Datenschutz beim Einsatz generativer KI

Generative KI-Tools wie ChatGPT oder Google Gemini kommen zunehmend im Kanzleialltag an. Viele Berater testen derzeit KI-Lösungen im ­Tagesgeschäft. Damit diese Werkzeuge sicher genutzt werden können, müssen bestimmte Voraus­setzungen erfüllt sein – auch beim Test. Prüfen Sie diese Voraussetzungen immer vor einer Testphase. Erfüllt ein Tool die zentralen Anforderungen nicht, sollten Sie es im Kanzleialltag eh nicht einsetzen.

Der wichtigste Grundsatz lautet: Mandanten- und personenbezogene Daten dürfen nicht in generative KI-Systeme eingegeben werden. Solange nicht sichergestellt ist, dass ein Tool die Anforderungen der DSGVO und des Berufsrechts erfüllt, darf die KI nur mit anonymisierten Daten genutzt werden – oder für Zwecke, die keine sensiblen Daten erfordern.

Ort der Datenverarbeitung

Die Daten, die Sie einer KI anvertrauen, sollten ausschließlich in der EU verarbeitet werden. Fehlen verlässliche Angaben zu Serverstandorten, ist der Einsatz aus Datenschutzsicht nicht zulässig. Regelungen dazu finden sich im Vertrag zur Auftragsverarbeitung.

Vertrag zur Auftragsverarbeitung

Ein KI-Tool darf nur eingesetzt werden, wenn der Anbieter den Abschluss eines Vertrags zur Auftragsverarbeitung anbietet. Dieser regelt ­wichtige Maßnahmen rund um die Verarbeitung personenbezogener Daten.

Weitergabe von Daten an Dritte

Achten Sie bei der Vertragsgestaltung darauf, dass die Weitergabe Ihrer Daten an Dritte ­ausgeschlossen­ ist. Auch hierfür ist der Vertrag zur Auftragsverarbeitung eine gute Basis. Nutzen Sie keine kostenlosen Versionen von KI-Systemen. Der „Preis“ ist häufig die Weitergabe von Informationen. 

Die Trainingsdaten

Die Verwendung von Informationen, die Sie eingegeben oder hochgeladen haben, zu Trainingszwecken muss grundsätzlich deaktiviert werden können. Oft steht diese Funktionalität nur in bestimmten Preismodellen zur Verfügung. Prüfen Sie hier die Lizenzbedingungen.

Einsatzzweck der KI

Legen Sie vor dem Einsatz fest, wofür KI genutzt werden darf und wofür nicht. Recherche oder Ideensammlung sind meist unproblematisch. Die Verarbeitung sensibler Mandatsdaten in Klartext sollte unterbleiben. Ob Datenschutz und Berufsrecht eingehalten werden, hängt damit maßgeblich vom Einsatzzweck ab.

Last but not least: Schulung der Mitarbeiter

Die KI-Verordnung verpflichtet Sie, bei allen Mitarbeitern, die KI nutzen, für die erforderliche Kompetenz zu sorgen. Auch aus Datenschutzsicht sind Schulungen unerlässlich. Die meisten Datenpannen geschehen aus Unwissenheit.

Fazit

Generative KI kann auch in Steuerkanzleien sinnvoll eingesetzt werden – aber nur mit klaren Regeln und Vorgaben, mit geprüften Tools und entsprechenden vertraglichen Regelungen. Die zentrale Rolle bei der Nutzung generativer KI in der Steuerkanzlei spielt der Einsatzzweck. Kommen sensible Informationen zum Einsatz, sollten Sie auf große öffentliche Sprachmodelle verzichten und auf Tools ausweichen, die den Datenschutz und Ihr Berufsrecht felsenfest im Blick haben.