EU AI Act ab August 2026: Was Steuerberater jetzt wissen müssen
Ab dem 2. August 2026 gelten die Kernanforderungen des EU AI Act vollumfänglich — für Unternehmen die KI einsetzen, entwickeln oder in Verkehr bringen. Steuerberater, Steuerkanzleien und Steuerberatungsgesellschaften fallen in diese Kategorie. Die Frage ist nicht ob der EU AI Act gilt. Die Frage ist: Was ändert sich konkret, und was müssen Kanzleien bis August geregelt haben?
Dieser Artikel gibt Ihnen eine klare Einschätzung: Was gilt, was nicht, wo die Risiken liegen und was Sie jetzt tun müssen.
Was der EU AI Act grundsätzlich regelt
Der EU AI Act klassifiziert KI-Systeme nach Risikoklassen. Je höher das Risiko für Menschen, desto strenger die Anforderungen. Das Spektrum reicht von verbotenen KI-Systemen (z.B. soziale Scoring-Systeme) über Hochrisiko-KI (z.B. Systeme die Kreditwürdigkeit oder Beschäftigung bewerten) bis hin zu Niedrig-Risiko-Anwendungen die nur begrenzte Transparenzpflichten auslösen.
Für die meisten Steuerkanzleien ist die zentrale Frage: In welche Risikoklasse fallen die KI-Anwendungen die wir nutzen oder planen zu nutzen?
Welche KI-Anwendungen in der Kanzlei betroffen sind
Niedrig-Risiko (geringe Auflagen): Automatisierungsworkflows wie n8n, die Routineaufgaben ausführen — Fristenerinnerungen versenden, Belege sortieren, Onboarding-E-Mails auslösen — fallen in aller Regel in diese Kategorie. Diese Systeme treffen keine Entscheidungen über Menschen. Sie führen Regeln aus. Die Anforderungen: grundlegende Transparenz und Dokumentation.
Hohe Auflagen bei Hochrisiko: Ein KI-System das eigenständig Steuerempfehlungen erstellt, Mandanten priorisiert oder Beschäftigungsentscheidungen beeinflusst, könnte als Hochrisiko-KI eingestuft werden. Hier greifen strenge Anforderungen: Risikomanagement-System, Qualitätsmanagementsystem, menschliche Aufsicht (Human Oversight), umfassende Dokumentation, Registrierung in der EU-Datenbank.
Verboten: Systeme die Mandanten manipulieren, heimlich überwachen oder anhand geschützter Merkmale diskriminieren. Für die normale Kanzleiautomatisierung irrelevant — aber wichtig zu wissen wenn es um Marketing-KI oder Scoring-Systeme geht.
Der Vergleich: §203 StGB und EU AI Act
Viele Steuerberater behandeln §203 StGB und EU AI Act als dasselbe Thema. Sie sind es nicht. Sie ergänzen sich, haben aber unterschiedliche Schutzrichtungen:
| Merkmal | §203 StGB | EU AI Act |
|---|---|---|
| Schutzgut | Berufsgeheimnis / Verschwiegenheit | Sicherheit, Grundrechte, Transparenz |
| Adressat | Berufsgeheimnisträger (Steuerberater, Anwälte, Ärzte) | Alle Unternehmen die KI einsetzen oder entwickeln |
| Sanktion bei Verstoß | Freiheitsstrafe bis 1 Jahr oder Geldstrafe (Strafrecht) | Bußgeld bis 35 Mio. EUR oder 7 % Jahresumsatz |
| Kern-Anforderung | Keine Weitergabe an unbefugte Dritte | Risikobewertung, Dokumentation, menschliche Aufsicht |
| Gilt für n8n Self-Hosted | Kein Risiko (keine Drittübermittlung) | Niedrig-Risiko (Basisdokumentation genügt) |
| Gilt für Cloud-KI (ChatGPT etc.) | Hohes Risiko (Offenbarung ggü. Drittem) | Abhängig von Risikoeinstufung des Anbieters |
Die wichtige Erkenntnis: Wer §203 StGB korrekt einhält, hat einen erheblichen Teil der EU AI Act Anforderungen bereits erfüllt. Wer auf lokale Verarbeitung und dokumentierte Prozesse setzt, ist in beiden Regelwerken gut aufgestellt.
Was Kanzleien bis August 2026 konkret tun müssen
Die gute Nachricht zuerst: Die meisten Steuerkanzleien in Deutschland nutzen heute KI vor allem für Texthilfe und Recherche — also Niedrig-Risiko-Anwendungen. Der bürokratische Aufwand ist überschaubar.
Konkret nötig bis 2. August 2026:
- KI-Inventar anlegen: Welche KI-Systeme werden in der Kanzlei genutzt? Auch die indirekt genutzten (z.B. KI-Funktionen in DATEV, in Microsoft 365, in Steuerberater-Software).
- Risikoklassifizierung: Für jedes System klären: Niedrig-, Mittel- oder Hochrisiko? Bei Hochrisiko sofort vertiefte Prüfung.
- Mitarbeiter informieren: Alle die KI-Systeme nutzen müssen die Grundprinzipien kennen: kein Einsatz für diskriminierende Zwecke, keine unkritische Übernahme von KI-Outputs in Mandantenberatungen ohne menschliche Prüfung.
- Dokumentation erstellen: Für jede KI-Anwendung ein Basis-Dokument: Was tut das System, wer hat Zugriff, wie wird die Qualität der Outputs geprüft.
- Anbieterverträge prüfen: Haben die KI-Anbieter selbst EU AI Act Konformität erklärt? Das ist ihre Pflicht als Anbieter — aber Sie als Nutzer müssen prüfen ob die Erklärungen vorliegen.
n8n-Workflows in der Kanzlei: Konkrete Einstufung
Zur Klarheit: Ein n8n-Workflow der Fristenerinnerungen versendet, Belege sortiert oder Onboarding-E-Mails auslöst, ist kein "KI-System" im Sinne des EU AI Act. Es handelt sich um regelbasierte Automatisierung ohne maschinelles Lernen und ohne adaptive Entscheidungsfindung.
Sobald n8n in Verbindung mit einem KI-Modell (z.B. einem lokalen LLM für Dokumentklassifizierung) genutzt wird, entsteht ein KI-System. Für Kanzlei-typische Anwendungen wie Belegsortierung oder Textklassifizierung gilt dann: Niedrig-Risiko. Die Anforderungen sind handhabbar.
Was Niedrig-Risiko konkret bedeutet:
- Keine Registrierung in der EU-Datenbank erforderlich
- Kein externes Audit erforderlich
- Dokumentation der Funktionsweise (intern, kein spezifisches Format vorgeschrieben)
- Transparenz gegenüber Mandanten wenn KI-Output sie direkt betrifft
Die Readiness-Checkliste: EU AI Act in der Steuerkanzlei
EU AI Act Readiness Checkliste — Steuerkanzlei (Stand: Juni 2026)
- KI-Inventar erstellt: alle genutzten KI-Systeme und -Funktionen erfasst
- Risikoklassifizierung für jedes System dokumentiert
- Hochrisiko-Systeme identifiziert und Prüfprozess gestartet (falls vorhanden)
- Mitarbeiter-Schulung zur EU AI Act Grundlagen durchgeführt
- Interne Nutzungsrichtlinie für KI-Tools erstellt und kommuniziert
- Anbieter-Konformitätserklärungen eingeholt und archiviert
- Dokumentation der KI-Anwendungen: Zweck, Funktionsweise, Qualitätssicherung
- Prozess für menschliche Überprüfung von KI-Outputs in der Mandantenberatung definiert
- Mandanten informiert wo KI-Systeme in Leistungen eingesetzt werden (Transparenzpflicht)
- Jährlicher Review-Prozess für KI-Inventar und Risikoklassifizierung eingerichtet
Was passiert bei Verstößen?
Der EU AI Act hat gestaffelte Bußgelder. Bei verbotenen KI-Systemen: bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes. Bei Hochrisiko-Verstößen: bis zu 15 Millionen Euro oder 3 %. Bei falschen oder unvollständigen Informationen an Behörden: bis zu 7,5 Millionen Euro.
Für die typische Steuerkanzlei die Niedrig-Risiko-Systeme nutzt und die grundlegenden Dokumentationspflichten erfüllt: das Bußgeldrisiko ist minimal. Das Risiko entsteht primär wenn Hochrisiko-KI ohne die vorgeschriebenen Maßnahmen eingesetzt wird — und das ist heute in den meisten Kanzleien nicht der Fall.
Fazit: Jetzt vorbereiten, nicht abwarten
Der EU AI Act ist kein abstraktes Brüsseler Bürokratieprojekt. Er ist eine verbindliche Verordnung mit direkter Wirkung in Deutschland ab 2. August 2026. Für die meisten Steuerkanzleien bedeutet das: überschaubarer Aufwand wenn man jetzt anfängt, erhebliches Risiko wenn man bis August wartet.
Der smarteste Weg: KI-Inventar anlegen, Risikoklassifizierung durchführen, Basisdokumentation erstellen, Mitarbeiter briefen. Das ist an einem halben Tag erledigt, wenn die KI-Nutzung der Kanzlei bisher auf Niedrig-Risiko-Anwendungen beschränkt war.
Wer gleichzeitig die §203-Compliance sicherstellt, hat beide regulatorischen Anforderungen mit einem Aufwand abgedeckt. Die Überschneidung ist groß.
Sie wollen die EU AI Act Readiness Ihrer Kanzlei konkret einschätzen?
In einem kostenlosen 30-Minuten-Gespräch gehen wir Ihr KI-Inventar durch, klassifizieren Ihre Systeme und zeigen welche Maßnahmen bis August 2026 wirklich nötig sind — ohne unnötige Panikmache, ohne Beraterwasser.