KI-Verordnung: Diese Pflichten gelten für Steuerkanzleien

ki-verordnung

jan-dobinsky
Von Jan Dobinsky

Die KI-Verordnung (KI-VO) der Europäischen Union, die am 1.8.2024 in Kraft getreten ist, legt verbindliche Regeln für die Nutzung von Künstlicher Intelligenz (KI) innerhalb der EU fest. Viele Steuerkanzleien setzen inzwischen KI-gestützte Systeme wie ChatGPT, Microsoft Copilot oder spezialisierte Verlagsbots (KI-ChatBots) ein. Dies wirft die Frage auf, welche rechtlichen Konsequenzen sich daraus für Kanzleien ergeben.

Der vorliegende Beitrag gibt einen praxisnahen Überblick über die zentralen Regelungen der KI-VO. Im Fokus stehen insbesondere die Pflichten, die sich aus der Nutzung von ChatGPT & Co. für Kanzleien ergeben.

Hinweis:

Die Informationen in diesem Beitrag dienen nicht als Ersatz für individuelle rechtliche Beratung. Sie bieten lediglich einen ersten Überblick über die Thematik. Bei konkreten rechtlichen Fragen sollte immer anwaltlicher Rat eingeholt werden.

1. Definition von KI-Systemen

Zentraler Anknüpfungspunkt für die Anwendung der KI-VO ist der Begriff des „KI- Systems“ gemäß Art. 3 Nr. 1 KI-VO. Danach handelt es sich vereinfacht gesagt um ein maschinengestütztes System, das auf der Grundlage von Eingaben bestimmte Ziele ableitet und daraufhin Inhalte, Empfehlungen oder Entscheidungen generiert.

Wird für diese Prozesse maschinelles Lernen eingesetzt, wie es bei nahezu allen KI-Chatbots der Fall ist, handelt es sich zweifelsfrei um ein KI-System im Sinne der Verordnung. Somit fallen Anwendungen wie ChatGPT, Copilot oder Verlagsbots unter den Anwendungsbereich der KI-VO.

2. Verwendung des KI-Systems

Entscheidend für die rechtliche Bewertung ist zunächst, in welcher Rolle die Steuerkanzlei das KI-System nutzt. Hier unterscheidet die KI-VO insbesondere zwischen „Anbieter“ und „Betreiber“:

  • Als Anbieter im Sinne des 3 Nr. 3 KI-VO gilt vereinfacht, wer ein KI-System selbst entwickelt oder entwickeln lässt.
  • Als Betreiber im Sinne des 3 Nr. 4 KI-VO gilt vereinfacht, wer ein KI-System für eigene Zwecke nutzt.

Kanzleien setzen ChatGPT & Co. in der Regel als sogenannte Software-as-a-Service (SaaS)-Lösung ein. Die Nutzung erfolgt über eine Weboberfläche, ohne dass die Kanzlei selbst Entwicklungsleistungen erbringt. Die Verantwortung für Modell, Infrastruktur und Updates liegt beim jeweiligen Anbieter.

Daher ist die Einordnung als Betreiber im Sinne der KI-VO in der Regel zutreffend.

3. Risikoeinstufung des KI-Systems

Ein zentrales Element der KI-VO ist die risikobasierte Kategorisierung von KI-Systemen. Je nach Einstufung ergeben sich unterschiedliche rechtliche Anforderungen und Pflichten für den Einsatz in der Praxis.

Übersicht der Risikogruppen

Jedes KI-System ist gemäß KI-VO einer von vier Risikogruppen zuzuordnen. Die Einstufung entscheidet darüber, welche Pflichten für die Nutzung gelten. Je höher das Risiko, desto umfangreicher sind die regulatorischen Anforderungen – bis hin zum vollständigen Verbot einzelner Anwendungen.

ki-verordnung
Die vier Risikostufen laut KI-VO

Ein vollständiges Verbot kommt in Betracht, wenn die Voraussetzungen des Art. 5 KI-VO erfüllt sind. Hochrisiko-Systeme im Sinne von Art. 6 KI-VO unterliegen besonders strengen Anforderungen.

Einstufung in die Risikogruppe

Im typischen Kanzleieinsatz von ChatGPT & Co. – also im Rahmen eines SaaS-Modells – ist eine Einstufung als verbotenes oder hochriskantes System in der Regel nicht gegeben. Funktionen wie biometrische Identifikation oder Emotionserkennung spielen im Kanzleialltag keine Rolle.

Diskutiert wird mitunter, ob Art. 6 Abs. 2 i.V.m. Anhang III Nr. 8a KI-VO greifen könnte. Dieser bezieht sich auf KI-Systeme, die zur Auslegung von Sachverhalten und Rechtsvorschriften eingesetzt werden. Allerdings ist laut Wortlaut des Anhangs ausdrücklich von Justizbehörden die Rede – Kanzleien sind damit nicht erfasst.

Da somit weder ein Verbot noch eine Hochrisikoeinstufung im Kanzleieinsatz naheliegt, handelt es sich typischerweise um ein KI-System mit geringem Risiko. Diese Systeme interagieren mit natürlichen Personen und können eine gewisse manipulative Wirkung entfalten. Für ChatGPT dürfte dies regelmäßig zutreffen.

Dokumentation KI-Systeme

Für den Einsatz von Hochrisiko-KI-Systemen sieht die KI-Verordnung eine umfassende Dokumentationspflicht hinsichtlich der verwendeten KI-Systeme vor. Nutzen Kanzleien hingegen ausschließlich KI-Systeme als Betreiber mit geringem Risiko, besteht zwar keine formelle Verpflichtung zur Dokumentation. Dennoch ist es aus Gründen der Nachvollziehbarkeit sinnvoll, eine übersichtliche Aufstellung aller eingesetzten KI- Anwendungen zu führen. Im Folgenden ist eine Übersicht über die eingesetzten KI-Systeme beispielhaft dargestellt:

ki-verordnung
Beispielhafte Dokumentation der genutzten KI-Systeme

Der Einsatz neuer KI-Systeme sollte erst erfolgen, nachdem eine fachliche Bewertung vorgenommen und die erforderliche Dokumentation erstellt wurde. Bei Unsicherheiten hinsichtlich der Risikoklassifizierung empfiehlt es sich, eine rechtliche Einschätzung einzuholen.

4. Pflichten für Betreiber

Wenn KI-System mit geringem Risiko genutzt werden und die Kanzlei als Betreiber gilt, ergeben sich bestimmte Pflichten.

Im Vordergrund stehen dabei zwei Regelungsbereiche:

  • Schulungspflicht gem. Art. 4 KI-VO
  • Transparenzpflicht gem. Art. 50 KI-VO

Schulungspflicht

Art. 4 KI-VO verpflichtet Betreiber von KI-Systemen dazu, sicherzustellen, dass eine hinreichende KI-Kompetenz bei den Nutzenden aufgebaut wird. Mitarbeitende müssen wissen, wie das eingesetzte KI-System funktioniert, wie es zielführend und verantwortungsvoll eingesetzt wird und welche Chancen und Risiken damit einhergehen.

In der Praxis hat sich als Best Practice herausgebildet, Mitarbeitende im Rahmen einer internen Schulung mit den Grundlagen vertraut zu machen. Ergänzend hat sich die Einführung einer internen KI-Richtlinie bewährt. In dieser kann u. a. festgelegt werden, welche KI-Chatbots verwendet werden dürfen, welche Regeln bei der Prüfung von KI-Antworten gelten und wie mit sensiblen Daten umzugehen ist.

Idealerweise wird festgehalten, wann Schulungen stattgefunden haben und wer daran teilgenommen hat. Als Nachweis eignen sich zum Beispiel Schulungsbescheinigungen.

Eine Musternutzungsrichtlinie für den Einsatz von KI in der Kanzlei kann hier heruntergeladen werden.

Transparenzpflicht

Neben Schulungsmaßnahmen sieht die KI-VO auch bestimmte Transparenzanforderungen vor. Ziel ist es, Täuschung, Desinformation oder Manipulation durch KI-Systeme zu vermeiden.

Für den Kanzleialltag sind viele dieser Vorschriften wenig praxisrelevant – etwa die Pflicht, Deepfake-Bilder als solche zu kennzeichnen, gem. Art. 50 Abs. 4 Unterabsatz 1 KI-VO.

Relevanz kann Art. 50 Abs. 4 Unterabsatz 2 KI-VO erlangen. Danach ist kenntlich zu machen, wenn durch KI generierte Inhalte veröffentlicht werden, um die Öffentlichkeit über Themen von allgemeinem Interesse zu informieren. Fraglich ist, ob zum Beispiel Blogbeiträge einer Kanzlei zu Gesetzesänderungen davon betroffen sind.

Die KI-VO sieht eine praxisnahe Ausnahme vor. Wird der KI-generierte Inhalt vor der Veröffentlichung überprüft und redaktionell verantwortet, entfällt die Pflicht zur Kennzeichnung als KI-generierter Inhalt.

Des Weiteren müssen nach Art. 50 Abs. 1 KI-VO KI-Systeme so gestaltet sein, dass jede Interaktion für die Nutzenden eindeutig als solche erkennbar ist. Den Nutzenden muss hierfür ein klarer Hinweis angezeigt werden, dass sie mit einem KI-System kommunizieren. Dies ist bei größeren Anbietern wie OpenAI oder Microsoft gegeben.

Zusammenfassend lässt sich sagen, dass die Transparenzpflichten für den Kanzleialltag überschaubar bleiben und sich in der Praxis gut handhaben lassen.

Fazit: Überschaubare Pflichten für Steuerkanzleien

Die KI-VO betrifft auch Steuerkanzleien – allerdings in den meisten Fällen in einem überschaubaren Rahmen. Bei der klassischen Nutzung von KI-Systemen wie ChatGPT als SaaS-Lösung ist weder ein Verbot noch eine Hochrisikoeinstufung zu erwarten. Kanzleien sind in den meisten Fällen als Betreiber einzustufen und müssen vor allem die Schulungs- und Transparenzpflicht beachten.

Mit überschaubarem Aufwand lassen sich die Anforderungen bei kleineren Kanzleien in der Praxis gut umsetzen. Eine interne Schulung, klare Nutzungsrichtlinien und ein bewusster Umgang mit veröffentlichten KI-Inhalten bilden die Basis für einen rechtssicheren KI-Einsatz im Kanzleialltag.

In den kommenden Jahren wird die Umsetzung der KI-VO schrittweise erfolgen. Die EU-Kommission plant ergänzende Leitlinien, um die Anwendungspraxis zu konkretisieren. Zudem ist vorgesehen, ein zentrales europäisches KI-Register aufzubauen, in dem bestimmte Systeme erfasst werden müssen.

Auch nationale Aufsichtsbehörden werden ihre Prüftätigkeit aufnehmen und Standards für die Dokumentation und den Nachweis der Pflichterfüllung entwickeln. Kanzleien sollten die weitere Entwicklung aufmerksam verfolgen, da Anpassungen einzelner Pflichten und Konkretisierungen durch Durchführungsrechtsakte zu erwarten sind.

ChatGPT für Steuerkanzleien - das Grundlagenwerk

Wie Steuerexpertinnen und -experten diese neuen, multifunktionalen Möglichkeiten nutzen können, zeigt die aktuelle Auflage „ChatGPT und KI für Steuerkanzleien – das Grundlagenwerk“ von KI-Experte Jan Dobinsky.

Hier gratis downloaden

jan-dobinsky
Weitere Beiträge

Jan Dobinsky ist Experte für den Einsatz von KI in der Steuerberatung. Durch sein Studium der Rechts- und Wirtschaftswissenschaften sowie einschlägiger Berufserfahrung bei PwC, WTS und Taxdoo verfügt er über ein breites Spektrum an Fachwissen zur Automatisierung von steuerrechtlichen Prozessen. Darüber hinaus ist er als Dozent für die Steuerfachschule Endriss und für das IFU-Institut tätig.

Bildquelle: Adobe Stock/©Sidney vd Boogaard

Ähnliche Beiträge: