KI-Richtlinie für die Steuerkanzlei: DStV-Muster umsetzen
So setzt Ihre Steuerkanzlei die DStV-Muster-KI-Anwendungsrichtlinie um: Tool-Verzeichnis, vier Risikostufen, Schulung nach Art. 4 EU AI Act. Mit Fahrplan.

Spricht täglich mit Steuerkanzleien zu KI-Einführung, DATEV-Integration und Kanzlei-Workflows.
↗ LinkedInSeit April 2026 stellt der Deutsche Steuerberaterverband eine Muster-KI-Anwendungsrichtlinie bereit: ein frei zugängliches, unverbindliches Muster, das Kanzleien an die eigene Struktur anpassen müssen. Die Kernlogik: KI darf nur eingesetzt werden, wenn das Tool freigegeben, der Anwendungsfall definiert und die jeweilige Risikostufe eingehalten ist. Was die Vorlage bewusst offenlässt (Tool-Verzeichnis, Use-Case-Verzeichnis, Schulungskonzept), muss die Kanzlei selbst erstellen. Dieser Guide erklärt Aufbau und Risikostufen und liefert einen Vier-Wochen-Fahrplan zur eigenen KI-Richtlinie.
Viele Steuerkanzleien wissen inzwischen, dass sie eine KI-Richtlinie brauchen. Die Nutzung ist längst da, oft auch dort, wo sie niemand freigegeben hat, und die Pflichten dahinter gelten bereits: KI-Kompetenz nach Art. 4 EU AI Act seit Februar 2025, dazu Verschwiegenheit nach §203 StGB und die DSGVO. Was bisher fehlte, war ein berufsständischer Startpunkt.
Den gibt es jetzt. Eine KI-Richtlinie für die Steuerkanzlei muss seit April 2026 niemand mehr auf dem leeren Blatt beginnen: Der Deutsche Steuerberaterverband (DStV) hat eine Muster-KI-Anwendungsrichtlinie veröffentlicht, frei zugänglich und ohne Mitglieder-Login. Dieser Guide zeigt, was drinsteht, was die Vorlage bewusst offenlässt und wie Sie in vier Wochen zu einer Richtlinie kommen, die in Ihrer Kanzlei tatsächlich gelebt wird.
Was ist die DStV-Muster-KI-Anwendungsrichtlinie?
Die Muster-KI-Anwendungsrichtlinie ist ein unverbindliches Muster des Deutschen Steuerberaterverbands (Version 1.0, Stand April 2026), mit dem Steuerkanzleien den KI-Einsatz intern regeln können. Sie gilt nach ihrem Geltungsbereich für Berufsträger, Mitarbeitende, freie Mitarbeitende, Auszubildende und externe Dienstleister und deckt generative KI ebenso ab wie KI-Funktionen in Fachsoftware, Belegverarbeitung und KI-Assistenz-Lösungen.
Zwei Eigenschaften sollte man von Anfang an kennen:
- Sie ist Orientierungshilfe, kein Fertigprodukt. Der DStV verpflichtet Anwender ausdrücklich, die Inhalte an Struktur, Größe, IT-Landschaft und bestehende Regelwerke der eigenen Kanzlei anzupassen. Eine unterschriebene, aber unangepasste Vorlage erfüllt den Zweck nicht.
- Sie erzeugt einen Prozess, kein einmaliges Dokument. Verzeichnispflege, Vorfallsmeldung, Schulungen und eine mindestens jährliche Überprüfung gehören zum Konzept dazu.
Das Dokument gliedert sich in neun Kapitel: Ziel und Geltungsbereich, Grundprinzipien, Datenschutz und Berufsrecht, KI-Tool-Verzeichnis, Use-Case-Verzeichnis mit Risikostufen, Schulung, Verstöße und Aktualisierung, Anhänge sowie Inkrafttreten mit Unterschriftenfeldern.
Wie die Richtlinie funktioniert: Tool, Anwendungsfall, Daten, Risiko
Die Kernlogik der Richtlinie steht in einem Satz: KI darf nur eingesetzt werden, wenn das KI-Tool freigegeben ist, der konkrete Anwendungsfall definiert ist und die Anforderungen der jeweiligen Risikostufe eingehalten werden. Der DStV fasst das als Formel „Tool, Anwendungsfall, Daten, Risiko" zusammen.
Dahinter stehen fünf Grundprinzipien:
- Nur freigegebene Tools und Use-Cases. Unzulässig sind unter anderem private Accounts für dienstliche Zwecke, die Eingabe personen- oder mandatsbezogener Daten in nicht freigegebene Systeme und die ungeprüfte Übernahme von KI-Ergebnissen.
- Menschliche Verantwortung. Wörtlich: „KI unterstützt, entscheidet jedoch nicht eigenständig." Automatisierte Entscheidungen ohne menschliche Kontrolle sind ausgeschlossen.
- Zweckbindung und Schutz vertraulicher Daten. Anonymisierung oder Pseudonymisierung, wo immer möglich.
- Mandanteninformation und Transparenz. Inklusive der Kennzeichnungspflichten der EU-KI-Verordnung, insbesondere bei KI-automatisierten Mandanteninteraktionen.
- Kompetenz. Basisschulungen für alle plus anwendungsfall- und toolbezogene Schulungen.
Das Kapitel zu Datenschutz und Berufsrecht macht die vertragliche Seite deutlich: Bei externen KI-Diensten sind eine Auftragsverarbeitungsvereinbarung und eine Vertraulichkeitsverpflichtung unter Berücksichtigung von §203, §204 StGB und §62a StBerG erforderlich. Ohne diese Absicherung ist die Verarbeitung mandatsbezogener Daten unzulässig. Wie diese Einbindung konkret aussieht, haben wir im Leitfaden zu §203 StGB bei DATEV-Drittanbietern beschrieben.
Die vier Risikostufen im Überblick
Herzstück der Richtlinie ist die interne Klassifizierung aller Anwendungsfälle in vier Risikostufen. Sie ist ausdrücklich von der Risikoklassifikation der EU-KI-Verordnung getrennt und dient dem kanzleiinternen Qualitätsmanagement.
| Stufe | Typische Anwendungsfälle | Anforderungen |
|---|---|---|
| 1 (niedrig) | Textoptimierung, interne Checklisten, allgemeine Recherche ohne personenbezogene Daten | Plausibilitätsprüfung, geringe Dokumentation |
| 2 (mittel) | Anonymisierte Schriftsatzentwürfe, Recherche mit Mandatsrelevanz | Fachliche Prüfung, Vier-Augen-Prinzip, mittlere Dokumentation |
| 3 (hoch) | Belegverarbeitung im laufenden Mandat, Vorprüfung von Steuererklärungen, Diktier-KI, Mandantenportale, automatisierte Kommunikation mit Mandanten | Fachliche Prüfung vor jeder Weiterverwendung, Freigabe durch verantwortliche Person, hohe Dokumentation |
| 4 (sehr hoch) | M&A, WpHG-Sachverhalte, PEP-Mandate, strafrechtlich relevante Sachverhalte | Einzelfallprüfung, grundsätzliche Prüfung eines Verzichts auf KI, Freigabe nur durch Berufsträger oder Kanzleileitung |
Für den Kanzleialltag ist Stufe 3 die wichtigste: Dort liegt fast alles, was KI im Mandatsgeschäft nützlich macht, von der Belegverarbeitung bis zur automatisierten Mandantenkommunikation. Die Anforderungen dieser Stufe lassen sich in einem Prinzip zusammenfassen: Die KI arbeitet vor, ein Mensch prüft und gibt frei, und beides wird dokumentiert. Werkzeuge, die genau nach diesem Entwurf-Freigabe-Prinzip gebaut sind, erfüllen die Stufe-3-Logik von Haus aus.
Was die Vorlage bewusst offenlässt
Wer die Richtlinie herunterlädt, sollte drei Lücken kennen. Sie sind kein Mangel, sondern Absicht: Der DStV liefert den Rahmen, die Kanzlei füllt ihn.
Die Anhänge fehlen. Kapitel 8 empfiehlt ein KI-Tool-Verzeichnis, ein Use-Case-Verzeichnis, einen Qualitätssicherungsleitfaden und einen Leitfaden „Sicheres Prompten", optional dazu Schulungskonzept, Datenschutzhinweise und eine Checkliste Mandantenkommunikation. Ausgefüllte Vorlagen dafür liegen dem Muster nicht bei. Diese Dokumente sind der eigentliche Arbeitsaufwand der Umsetzung.
Eigenentwicklungen sind ausgeklammert. Selbst entwickelte oder selbst trainierte KI-Systeme und Whitelabel-Lösungen behandelt die Richtlinie nicht, weil sie zusätzliche Pflichten nach der EU-KI-Verordnung auslösen können. Wer so etwas betreibt, braucht ergänzende Regelungen.
Die Freigabe-Entscheidungen trifft die Kanzlei. Welche Tools ins Verzeichnis kommen, entscheidet die benannte verantwortliche Stelle nach Prüfung von fachlicher Eignung, AVV, Berufsrecht und IT-Sicherheit. Die Kriterien dafür liefert die Richtlinie, die Prüfung selbst nicht. Eine praktische Ergänzung ist unser Leitfaden 3 Fragen, die jede Steuerkanzlei einem KI-Anbieter stellen muss.
Der Fahrplan: in vier Wochen zur eigenen KI-Richtlinie
Die folgenden vier Wochen sind unser Umsetzungsvorschlag aus der Praxis, keine DStV-Vorgabe. Sie funktionieren für die meisten kleinen und mittleren Kanzleien.
Woche 1: Bestandsaufnahme und Zuständigkeit
Laden Sie die Muster-Richtlinie beim DStV herunter und benennen Sie die verantwortliche Stelle für KI-Governance. Fragen Sie parallel Ihr Team sanktionsfrei ab, welche KI-Werkzeuge heute für welche Aufgaben genutzt werden. Diese Bestandsaufnahme liefert die realen Use-Cases, die Ihre Richtlinie regeln muss. Der DStV empfiehlt außerdem, Kanzleileitung, IT-Verantwortliche und, sofern vorhanden, den Datenschutzbeauftragten vor Einführung abzustimmen.
Woche 2: Tool-Verzeichnis und Use-Case-Verzeichnis anlegen
Übertragen Sie die Ergebnisse in die beiden Kernverzeichnisse: Welche Tools sollen freigegeben werden (mit Anbieter, Zweck, Datenkategorien, verantwortlicher Person), und welche Anwendungsfälle laufen darauf, jeweils mit Risikostufe? Bei externen Diensten gehört zu jedem Eintrag der Check: AVV vorhanden, §203-Vertraulichkeitsverpflichtung vorhanden, EU-Hosting geklärt. Tools, die diese Prüfung nicht bestehen, kommen nicht ins Verzeichnis, und der Bedarf dahinter kommt auf die Beschaffungsliste.
Woche 3: Richtlinie anpassen und Regeln konkretisieren
Passen Sie den Mustertext an: Kanzleigröße, Rollen, bestehende Regelwerke, konkrete Beispiele für zulässige und unzulässige Nutzung aus Ihrem Alltag. Streichen Sie, was nicht zutrifft. Eine Richtlinie, die auf zwei Seiten sagt, was gilt, wird gelesen. Ein Ordner, der jeden Eventualfall regelt, wird abgeheftet.
Woche 4: Schulung, Unterschriften, Inkrafttreten
Führen Sie die Basisschulung durch (Funktionsweise, typische Fehlerquellen wie Halluzinationen, Datenregeln, Prüfpflichten) und dokumentieren Sie die Teilnahme. Damit erfüllen Sie zugleich die Kompetenzpflicht aus Art. 4 EU AI Act. Danach setzen Leitung und Mitarbeitende die Richtlinie per Unterschrift in Kraft. Ab dann gilt der laufende Betrieb: Vorfälle melden, Verzeichnisse pflegen, mindestens jährlich überprüfen.
Fazit
Die DStV-Muster-KI-Anwendungsrichtlinie nimmt Kanzleien die schwerste Hürde ab: den Start. Rahmen, Grundprinzipien, Risikologik und Formulierungen liegen fertig vor, frei zugänglich und berufsständisch fundiert. Was bleibt, ist die eigentliche Governance-Arbeit: Verzeichnisse füllen, Regeln an den Kanzleialltag anpassen, schulen und das Ganze lebendig halten.
Der größte Gewinn liegt dabei nicht im Dokument, sondern in der Klarheit, die es erzwingt. Eine Kanzlei, die ihre Tools und Use-Cases einmal sauber erfasst und in Risikostufen eingeordnet hat, weiß nicht nur, was erlaubt ist. Sie weiß auch, wo KI den größten Hebel hat und welche Anforderungen ein Werkzeug erfüllen muss, bevor es Mandantendaten sieht.
Dieser Artikel dient der strukturellen Information und stellt keine Rechtsberatung im Einzelfall dar.
FAQ
Wo bekomme ich die DStV-Muster-KI-Anwendungsrichtlinie?
Direkt beim Deutschen Steuerberaterverband. Die Muster-KI-Anwendungsrichtlinie (Version 1.0, Stand April 2026) ist frei zugänglich und ohne Mitglieder-Login als PDF abrufbar. Sie umfasst neun Kapitel plus einen Anhang mit Rechtsgrundlagen und Orientierungshilfen.
Ist die DStV-Muster-KI-Anwendungsrichtlinie verbindlich?
Nein. Der DStV bezeichnet sie ausdrücklich als unverbindliches Muster und Orientierungshilfe. Verbindlich wird sie erst, wenn die Kanzlei sie an die eigene Struktur anpasst, in Kraft setzt und von Leitung und Mitarbeitenden unterzeichnen lässt. Die Anpassung an Kanzleigröße, IT-Landschaft und bestehende Regelwerke ist laut DStV Pflicht, kein Copy-Paste.
Was sind die vier Risikostufen der DStV-Richtlinie?
Die Richtlinie klassifiziert Anwendungsfälle intern in vier Stufen: Stufe 1 ohne personenbezogene Daten (z. B. Textoptimierung), Stufe 2 fachlich relevant ohne konkrete Mandatsdaten (z. B. anonymisierte Entwürfe, mit Vier-Augen-Prinzip), Stufe 3 mit personen- oder mandatsbezogenen Daten in Kernprozessen (z. B. automatisierte Mandantenkommunikation, mit Freigabepflicht) und Stufe 4 für besonders sensible Sachverhalte mit Einzelfallprüfung.
Muss jede Steuerkanzlei eine KI-Richtlinie haben?
Eine ausdrückliche gesetzliche Pflicht zur KI-Richtlinie gibt es nicht. Die Pflichten dahinter existieren aber bereits: KI-Kompetenz nach Art. 4 EU AI Act (seit Februar 2025), vertragliche Einbindung von Dienstleistern nach §203 StGB und die DSGVO-Anforderungen an Auftragsverarbeitung. Die Richtlinie ist das Instrument, mit dem eine Kanzlei diese Pflichten organisiert und nachweisbar macht.
In welche Risikostufe fällt automatisierte Mandantenkommunikation?
In Stufe 3 (hohes Risiko). Die DStV-Richtlinie nennt automatisierte Kommunikation mit Mandanten dort ausdrücklich als Beispiel, neben KI-gestützter Belegverarbeitung und Diktier-KI. Die Anforderungen: verpflichtende fachliche Prüfung vor jeder Weiterverwendung, Freigabe durch eine verantwortliche Person und hohe Dokumentationstiefe.
Mehr dazu: Pillar: KI-Agenten in der Steuerkanzlei · Schatten-KI in der Steuerkanzlei: erkennen und kanalisieren · §203 StGB bei DATEV-Drittanbietern: Der rechtliche Rahmen · 3 Fragen, die jede Steuerkanzlei einem KI-Anbieter stellen muss
Quellen: DStV, Muster-KI-Anwendungsrichtlinie, Version 1.0 (Stand April 2026, veröffentlicht 23.04.2026) · DStV-Mitteilung TB 049/26 · Haufe Taxulting, „DStV veröffentlicht Muster-KI-Anwendungsrichtlinie" (28.04.2026) · DATEV-Magazin, „KI in der Steuerberatung sicher einsetzen" (24.04.2026) · IWW Kanzleiführung professionell (06.05.2026) · Bundessteuerberaterkammer, „FAQ: KI im steuerberatenden Berufsstand" (Stand Januar 2026) · Art. 4 EU AI Act (KI-Kompetenzpflicht seit Februar 2025) · §203, §204 StGB · §62a StBerG.
EU AI Act Fristen 2026: Was für Steuerkanzleien gilt
EU AI Act und Digital Omnibus: Welche Fristen für Steuerkanzleien wirklich gelten, was verschoben wurde und ob KI-Entwürfe gekennzeichnet werden müssen.
Schatten-KI in der Steuerkanzlei: erkennen und kanalisieren
Warum Mitarbeiter heimlich ChatGPT nutzen, was §203 StGB dazu sagt und wie Kanzleien KI-Nutzung kanalisieren statt verbieten. Mit Vier-Schritte-Plan.
Fristenmanagement in der Steuerkanzlei: Haftungsrisiko Urlaub
Urlaub, Krankheit, Abwesenheit: Wie deutsche Steuerkanzleien Fristen absichern und warum Info-Postfächer der häufigste Risiko-Punkt sind.