DSGVO & KI-Telefonie in der Steuerkanzlei

1. Warum Datenschutz bei KI-Telefonie besonders wichtig ist

Steuerkanzleien verarbeiten hochsensible Daten: Einkommensverhältnisse, Vermögenswerte, Geschäftsgeheimnisse. Wenn ein KI-Telefonbot diese Daten verarbeitet, müssen besonders strenge Maßstäbe gelten. Anders als bei einem normalen Unternehmen greift hier nicht nur die DSGVO, sondern auch das Steuergeheimnis nach §203 StGB und die Abgabenordnung.

2. Das Steuergeheimnis nach §203 StGB

Steuerberater unterliegen der strafrechtlich geschützten Verschwiegenheitspflicht. Die Weitergabe von Mandantengeheimnissen an unbefugte Dritte ist strafbar. Das bedeutet: Ein KI-System, das Mandantengespräche verarbeitet, muss technisch und organisatorisch so eingerichtet sein, dass kein unbefugter Zugriff auf die Gesprächsinhalte möglich ist.

Unser Bot ist so konzipiert, dass Gesprächsdaten ausschließlich auf deutschen Servern verarbeitet werden und kein Zugriff durch Dritte — auch nicht durch unsere Entwickler — auf die Gesprächsinhalte im laufenden Betrieb möglich ist.

3. DSGVO-Anforderungen an KI-Telefonsysteme

Die DSGVO stellt klare Anforderungen an die Verarbeitung personenbezogener Daten. Für KI-Telefonie in der Steuerkanzlei sind insbesondere relevant:

• gavelArt. 6 DSGVO: Rechtmäßigkeit der Verarbeitung — Erforderlichkeit für die Vertragserfüllung oder berechtigtes Interesse
• gavelArt. 13/14 DSGVO: Informationspflichten — Mandanten müssen über die KI-Verarbeitung informiert werden
• gavelArt. 28 DSGVO: Auftragsverarbeitung — ein AVV zwischen Kanzlei und Anbieter ist Pflicht
• gavelArt. 32 DSGVO: Technische und organisatorische Maßnahmen (TOMs)
• gavelArt. 35 DSGVO: Datenschutz-Folgenabschätzung bei hohem Risiko

4. Auftragsverarbeitungsvertrag (AVV)

Jede Kanzlei, die einen KI-Telefonbot einsetzt, benötigt einen Auftragsverarbeitungsvertrag mit dem Anbieter. Dieser regelt unter anderem:

• descriptionArt und Zweck der Datenverarbeitung
• descriptionKategorien betroffener Personen und Daten
• descriptionTechnische und organisatorische Maßnahmen
• descriptionUnterauftragsverhältnisse und deren Genehmigung
• descriptionLöschpflichten nach Vertragsende
• descriptionKontrollrechte der Kanzlei

Wir stellen jeder Kanzlei einen vorbereiteten AVV zur Verfügung, der alle genannten Punkte abdeckt.

5. Technische Sicherheitsmaßnahmen

Unser KI-Telefonbot setzt auf mehrere Sicherheitsebenen:

6. Informationspflichten gegenüber Mandanten

Mandanten müssen darüber informiert werden, dass sie mit einem KI-System sprechen. Dies kann durch eine kurze Ansage zu Beginn des Gesprächs erfolgen. Wir empfehlen eine transparente Formulierung wie: „Sie sprechen mit dem KI-Assistenten der Kanzlei [Name]. Das Gespräch wird zum Zweck der Bearbeitung Ihres Anliegens verarbeitet.“

Zusätzlich sollte die Datenschutzerklärung der Kanzlei um einen Abschnitt zur KI-Telefonie ergänzt werden.

7. Die Abgabenordnung (AO) und KI

Neben dem StGB und der DSGVO regelt auch die Abgabenordnung den Umgang mit steuerlichen Daten. §30 AO schützt das Steuergeheimnis und verpflichtet alle Amtsträger und gleichgestellten Personen zur Verschwiegenheit. Ein KI-System, das im Auftrag der Kanzlei arbeitet, muss daher so eingerichtet sein, dass es den gleichen Schutzstandard bietet wie ein menschlicher Mitarbeiter.

8. Unsere Compliance-Garantie

Als Full-Service-Dienstleister übernehmen wir die Verantwortung für die technische Compliance. Jede Kanzlei erhält:

• verifiedEinen vollständigen Auftragsverarbeitungsvertrag (AVV)
• verifiedDokumentation aller technischen und organisatorischen Maßnahmen (TOMs)
• verifiedEine Vorlage für die Ergänzung der Kanzlei-Datenschutzerklärung
• verifiedRegelmäßige Sicherheitsaudits mit Ergebnisbericht
• verifiedEinen persönlichen Ansprechpartner für Datenschutzfragen