KI-Telefonassistent für Steuerkanzleien: Was Art. 50 AI Act ab 2. August 2026 fordert
Ab 2. August 2026 gilt Art. 50 EU AI Act verbindlich auch für Steuerkanzleien. Welche Pflichten greifen, welche Bußgelder drohen und wie ein KI-Telefonassistent compliant bleibt.
Am 2. August 2026 wird aus einer EU-Verordnung geltendes Recht — auch für Steuerkanzleien. Wer bis dahin einen KI-Telefonassistenten betreibt, ohne die Transparenzpflichten aus Art. 50 erfüllt zu haben, handelt ordnungswidrig. Die gute Nachricht: Die vier zentralen Pflichten sind eindeutig, technisch umsetzbar und in einer normal ausgestatteten Kanzlei in 1–2 Wochen abgedeckt. Dieser Beitrag zeigt, was konkret verlangt wird, wo die Schnittstelle zum Mandantengeheimnis liegt und wie eine saubere Implementierung aussieht.
Was Art. 50 EU AI Act verlangt — in drei Sätzen
Art. 50 regelt die Transparenzpflichten für KI-Systeme, die als „limited risk“ eingestuft sind. Dazu zählen Chatbots, Telefonassistenten, Systeme zur Erkennung von Emotionen und Systeme, die synthetische Inhalte (Audio, Bild, Video, Text) erzeugen. Die Verordnung sagt im Kern: Der Betroffene muss wissen, dass er es mit einer KI zu tun hat — und zwar rechtzeitig, unmissverständlich und dokumentiert.
Die vier Pflichten für Steuerkanzleien
Von den Transparenzpflichten in Art. 50 sind vier für den Kanzleialltag relevant. Sie gelten additiv — nicht „eine von vier“, sondern alle zutreffenden gleichzeitig.
- Offenlegung der KI-Interaktion (Abs. 1). Bei jedem KI-System, das direkt mit natürlichen Personen interagiert, muss der Betreiber sicherstellen, dass die natürliche Person über die KI-Interaktion informiert wird — es sei denn, es ist aus dem Kontext bereits klar. Für einen Telefonassistenten heißt das: Eröffnungssatz nennt, dass es sich um einen automatischen Assistenten handelt.
- Kennzeichnung synthetischer Inhalte (Abs. 2). Wenn das System Audio, Text oder andere Inhalte erzeugt, müssen diese maschinenlesbar als KI-generiert markiert sein. Für eine Kanzlei betrifft das vor allem automatisch versandte Zusammenfassungen, Mandanten-E-Mails aus Textbausteinen und Rückruf-SMS. Der Hinweis darf dezent sein — er muss aber technisch auslesbar existieren.
- Offenlegung bei Emotionserkennung / biometrischer Kategorisierung (Abs. 3). Systeme, die Stimmmerkmale analysieren, um Emotionen, Alter oder Herkunft zu schlussfolgern, lösen eine zusätzliche Meldepflicht aus. Ein reiner KI-Telefonassistent ohne solche Analyse ist nicht betroffen — sobald aber „Sentiment-Scoring“ oder „Caller-Mood-Analyse“ verwendet wird, fällt das hier drunter.
- Kennzeichnung von Deepfakes und öffentlich informierenden Texten (Abs. 4). Praktisch relevant für Kanzleien, die KI-generierte Erklärvideos, Social-Media-Posts oder Blogartikel veröffentlichen. Auch hier gilt: kennzeichnen oder mit redaktioneller menschlicher Aufsicht veröffentlichen.
Warum Steuerkanzleien eine eigene Risikolage haben
Eine Friseurin kann in Ruhe Art. 50 abarbeiten — eine Steuerkanzlei nicht. Neben dem AI Act gelten parallel:
- § 203 StGB — Verletzung von Privatgeheimnissen, Strafnorm. Offenbarung eines Mandantengeheimnisses ist potenziell strafbar, auch wenn sie über einen technischen Dienstleister geschieht.
- § 57 StBerG in Verbindung mit der Berufsordnung (BOStB) — Verschwiegenheitspflicht als berufsrechtliche Kernpflicht; Verstöße können bis zum Ausschluss aus dem Beruf führen.
- DSGVO Art. 28 — jeder Dienstleister, der Mandantendaten berührt, braucht einen Auftragsverarbeitungsvertrag mit technischen und organisatorischen Maßnahmen (TOMs).
- TTDSG / § 201 StGB — für Aufzeichnungen von Telefonaten. In Deutschland gilt Zweiparteieneinwilligung. Ein Assistent, der Gespräche mitschneidet, ohne dies offenzulegen und die Einwilligung einzuholen, ist rechtswidrig — unabhängig vom AI Act.
Das Zusammenspiel dieser Regime macht die Kanzlei-Implementierung zu einer dreidimensionalen Aufgabe: Transparenz (AI Act), Datenschutz (DSGVO/TTDSG) und Berufsrecht (StBerG/StGB). Einzelne Maßnahmen schlagen oft in mehrere Dimensionen gleichzeitig ein.
Pflicht, Deadline, Bußgeld — der Überblick
Die folgende Tabelle bündelt die vier AI-Act-Pflichten aus Art. 50 mit den parallel wirkenden DE-Regelungen. Alle Stichtage und Bußgeldrahmen stammen aus dem offiziellen EU-Rechtstext (Verordnung (EU) 2024/1689) sowie den deutschen Ausführungsgesetzen zum Stand April 2026.
| Pflicht | Rechtsgrundlage | Deadline | Bußgeldrahmen |
|---|---|---|---|
| Offenlegung der KI-Interaktion am Telefon | Art. 50 Abs. 1 EU AI Act | 2. August 2026 | Bis 15 Mio. € oder 3 % Jahresumsatz |
| Maschinenlesbare Kennzeichnung KI-generierter Inhalte (Mails, SMS, Zusammenfassungen) | Art. 50 Abs. 2 EU AI Act | 2. August 2026 | Bis 15 Mio. € oder 3 % Jahresumsatz |
| Offenlegung bei Emotions- / Biometrieanalyse | Art. 50 Abs. 3 EU AI Act | 2. August 2026 | Bis 15 Mio. € oder 3 % Jahresumsatz |
| Kennzeichnung synthetischer Medien / öffentlicher Texte (Deepfakes) | Art. 50 Abs. 4 EU AI Act | 2. August 2026 | Bis 15 Mio. € oder 3 % Jahresumsatz |
| Zweiparteieneinwilligung bei Gesprächsaufzeichnung | § 201 StGB, TTDSG § 3 | geltendes Recht | Geldstrafe / Freiheitsstrafe bis 3 Jahre |
| Auftragsverarbeitungsvertrag mit KI-Anbieter, TOMs, EU-Standort | DSGVO Art. 28, Art. 32 | geltendes Recht | Bis 20 Mio. € oder 4 % Jahresumsatz |
| Wahrung des Mandantengeheimnisses bei Einschaltung Dritter | § 57 StBerG, § 203 StGB, BOStB | geltendes Recht | Berufsrechtliche Sanktionen bis Berufsausschluss; Strafnorm |
Quellen: Verordnung (EU) 2024/1689 (EU AI Act), StBerG, BOStB, DSGVO, TTDSG, StGB. Kein Ersatz für berufsrechtliche Einzelfallberatung.
Wie ein rechtskonformer KI-Telefonassistent konkret aussieht
Übersetzt in eine technische Architektur heißt das sieben Dinge. Keine davon ist neu oder exotisch — alle sind mit etablierten Komponenten abbildbar, ohne ein KI-Produkt „von Grund auf neu“ zu bauen.
- Eröffnungsformel als feste Systemvorgabe. Nicht optional, nicht vom Modell improvisiert — ein statischer Text, der mitgesprochen wird, bevor der eigentliche Dialog beginnt. Beispiel: „Kanzlei Müller, automatischer Assistent. Wie darf ich helfen?“
- Harter Themen-Gate zu Beginn. Der Assistent nimmt nur Termine, Standardauskünfte und Rückrufbitten an. Steuerberatung im engeren Sinne, Mahnverfahren, Rückfragen zu laufenden Betriebsprüfungen werden sofort eskaliert.
- Keine Aufzeichnung per Default. Transkript nur in Textform, Audio wird nicht gespeichert. Falls Audio erforderlich ist (z. B. für Qualitätsprüfung), greift Zweiparteien-Einwilligung mit expliziter Ansage.
- EU-Serverstandort ist Pflicht, nicht Option. Telefonie, Spracherkennung, Sprachsynthese und Sprachmodell laufen auf europäischer Infrastruktur. Alle vier müssen geprüft sein — ein deutsches Provider-Frontend mit US-Backend zählt nicht.
- Auftragsverarbeitungsvertrag pro Dienstleister. Für jede eingebundene Komponente ein AVV. Die Kanzlei unterschreibt den AVV, nicht der Implementierer — die Verantwortlichkeit bleibt bei der Kanzlei.
- Kein Training auf Kanzleidaten. Die Verträge müssen ausdrücklich ausschließen, dass Gesprächsinhalte oder Transkripte in Trainingsdaten des Modellanbieters einfließen. Anbieter, die das nicht zusichern, fallen raus.
- Protokollierung der Offenlegung. Jedes Gespräch erzeugt einen Eintrag in einem Compliance-Log: Zeitstempel, Nummer des Anrufers (hashiert), bestätigte KI-Offenlegung. Im Ernstfall ist das Ihre Nachweisgrundlage gegenüber der BNetzA.
7-Schritte-Checkliste für die nächsten 6 Wochen
Wenn Sie heute noch nicht angefangen haben: Sie haben gut 15 Wochen bis zum Stichtag. Der folgende Plan ist so getaktet, dass in jeder Woche ein konkreter Output entsteht, den Sie dokumentieren können.
- Woche 1 — Bestandsaufnahme: Welche KI-Tools sind in der Kanzlei im Einsatz? Auch ChatGPT-Konten einzelner Mitarbeiter, automatische Diktat-Software, Mailbox-Transkription.
- Woche 2 — Risikoklassifizierung: Für jedes Tool: limited risk / minimal risk / high risk. Die allermeisten Kanzlei-Anwendungen sind limited risk und fallen unter Art. 50.
- Woche 3 — Anbieter-Check: EU-Standort, AVV, Trainingsausschluss, Datenlöschung. Alles, was nicht alle vier erfüllt, wird entweder ersetzt oder abgeschaltet.
- Woche 4 — Eröffnungsformeln definieren: Pro System ein abgestimmter Offenlegungssatz. Nicht „auch KI möglich“, sondern eindeutig: „Sie sprechen / schreiben / lesen mit einer KI.“
- Woche 5 — Kennzeichnungsautomatik: Für Mails und SMS aus Textbausteinen: einen maschinenlesbaren Marker ergänzen. Im E-Mail-Header ist das ein einfaches Custom-Header-Feld.
- Woche 6 — Mitarbeiter-Briefing + Probelauf: Alle Kanzleimitarbeitenden wissen, wie eskaliert wird. Interner Anruf als Testfall dokumentieren.
- Woche 7 bis Stichtag — Dokumentation finalisieren: Compliance-Ordner: Art.-50-Mapping, AVV-Sammlung, TOM-Beschreibung, Logging-Ausschnitt, Schulungsnachweis.
Fehler, die wir in Steuerkanzleien am häufigsten sehen
Drei wiederkehrende Muster aus laufenden Implementierungen:
- „Unsere Telefonanlage macht eh schon Text-to-Speech.“ Text-to-Speech ohne KI-gestützte Intent-Erkennung ist kein KI-System im Sinne der Verordnung — aber sobald Routing, Antwortwahl oder Terminbuchung vom Modell entschieden werden, greift Art. 50. Die Grenze wird oft falsch gezogen.
- „Wir haben DSGVO schon, das reicht.“ DSGVO und AI Act sind parallele Pflichtsysteme. Eine DSGVO-konforme Implementierung kann Art.-50-widrig sein (z. B. keine Offenlegung) und umgekehrt. Beide müssen separat abgearbeitet werden.
- „Das macht der IT-Dienstleister.“ Verantwortlicher im Sinne des AI Act wie der DSGVO ist die Kanzlei, nicht der Implementierer. Verträge können Aufgaben delegieren, nicht aber die rechtliche Verantwortung. Das Compliance-Log gehört in die Kanzlei, nicht zum Dienstleister.
Weiterführende Werkzeuge
- Art. 50 für KMU — die Pflichten-Checkliste — Der allgemeine Leitfaden für alle KMU. Gute Grundlage, bevor die Kanzlei-Spezifika aufgesetzt werden.
- Branchenlösung Steuerkanzleien — Wie wir konkret in Kanzleien implementieren — Use Cases, Beispiele, Integrationen.
- EU AI Act Art. 50 Self-Check — 10 Fragen. 4 Minuten. Eine klare Einschätzung, wo Ihre Kanzlei steht.
- AVV- / DSGVO-Art.-28-Check — Verträge mit KI-Dienstleistern prüfen — ohne juristische Vorkenntnisse.
Häufige Fragen
Gilt Art. 50 EU AI Act auch für eine kleine Steuerkanzlei?
Ja. Art. 50 knüpft nicht an Unternehmensgröße oder Umsatz an, sondern an den Einsatz eines KI-Systems, das direkt mit natürlichen Personen interagiert. Eine Kanzlei mit drei Mitarbeitern und einem KI-Telefonassistenten fällt damit genauso unter die Pflichten wie ein Konzern.
Muss der KI-Telefonassistent am Anfang jedes Gesprächs sagen, dass er eine KI ist?
Ja, sofern es für den Anrufer nicht ohnehin offensichtlich ist. In der Praxis bedeutet das: eine kurze, unmissverständliche Eröffnungsformel, zum Beispiel „Sie sprechen mit dem automatischen Assistenten der Kanzlei Müller.“ Diese Offenlegung muss zu Gesprächsbeginn erfolgen, nicht erst auf Nachfrage.
Was passiert, wenn am 2. August 2026 noch nichts umgesetzt ist?
Bei Verstößen gegen Art. 50 sieht Art. 99 EU AI Act Bußgelder von bis zu 15 Mio. EUR oder 3 % des weltweiten Jahresumsatzes vor — je nachdem, welcher Betrag höher ist. Zuständige Marktüberwachungsbehörde in Deutschland ist die Bundesnetzagentur. Parallel besteht weiter die DSGVO-Aufsicht der Landesdatenschutzbehörden.
Wie passt der KI-Einsatz zum Mandantengeheimnis nach § 203 StGB und § 57 StBerG?
Die Verschwiegenheitspflicht gilt unverändert fort — auch, wenn die Kanzlei technische Hilfsmittel einsetzt. Entscheidend sind drei Punkte: ein wirksamer Auftragsverarbeitungsvertrag mit dem KI-Anbieter, EU-Serverstandort und eine technische Architektur, die verhindert, dass Mandantendaten in Trainingsdaten des Modellanbieters fließen.
Müssen Gespräche mit dem KI-Assistenten aufgezeichnet werden?
Eine generelle Aufzeichnungspflicht aus Art. 50 gibt es nicht, wohl aber Dokumentationspflichten für den Betreiber (Protokollierung der Offenlegung, Nachweis der Zweckbindung, ggf. Bias-Checks). Falls Audio aufgezeichnet wird, greifen TTDSG und § 201 StGB — das heißt: Einwilligung beider Gesprächsparteien ist zwingend.
Kann der KI-Telefonassistent DATEV-Daten abrufen oder Termine in die Kanzleisoftware schreiben?
Technisch ja, rechtlich nur mit sauberer Architektur: Berechtigungen auf Leseumfang minimieren, Schreibzugriffe nur auf einen dedizierten Terminkalender, keine Mandantenstammdaten an das KI-Modell zurückfließen lassen. In der Praxis empfiehlt sich ein Zwischenlayer, der die Anfrage validiert und nur strukturierte Daten an DATEV durchreicht.
Was ist, wenn ein Mandant dem KI-Kontakt ausdrücklich widerspricht?
Art. 50 verpflichtet zur Offenlegung, nicht zu einer reinen KI-Kommunikation. Jede compliance-fähige Implementierung braucht daher einen klaren Eskalationspfad — auf Wunsch des Anrufers, bei dringenden Anfragen oder bei Themen außerhalb des definierten Anwendungsbereichs (z. B. Steuerstrafrecht). Der Assistent übergibt dann an einen menschlichen Ansprechpartner oder nimmt eine Rückrufbitte auf.
Art. 50 in Ihrer Kanzlei sauber umgesetzt — in 1–2 Wochen.
30 Minuten am Telefon. Kostenlos. Wir zeigen Ihnen, was konkret zu tun ist, und welche Entscheidungen Sie vor August treffen müssen.