Der EU AI Act macht den Einsatz von KI auch in der Steuerfunktion zu einer Managementaufgabe. Sie sollten daher frühzeitig prüfen, welche KI-Systeme in Ihrer Organisation genutzt werden, wie diese regulatorisch einzuordnen sind und welche Governance-Strukturen erforderlich sind. Besondere Aufmerksamkeit verdient dabei auch der Einsatz von KI externer Software- und Cloud-Anbieter.
Betroffen sind dabei nicht nur IT und Datenschutz. Auch in Steuer- und Finanzfunktionen kommen KI-Systeme zunehmend zum Einsatz – etwa in der Datenanalyse, Dokumentenverarbeitung oder Risikobewertung. Wer KI nutzt, muss deshalb frühzeitig für Transparenz, klare Verantwortlichkeiten und belastbare Prozesse sorgen.
Entscheidend ist, dass Sie den Handlungsbedarf nicht erst mit Blick auf den 2. August 2026 bewerten. Der EU AI Act wird stufenweise anwendbar. Deshalb sollten Sie frühzeitig die zeitliche Umsetzung im Blick behalten und organisatorische Vorkehrungen rechtzeitig vorbereiten. Dabei geht es nicht nur um Compliance, sondern auch um Steuerungsfähigkeit, Haftungsprävention und wirksame Governance.
Was der EU AI Act für Sie in Deutschland bedeutet
Als EU-Verordnung gilt der EU AI Act unmittelbar in allen Mitgliedstaaten, also auch in Deutschland. Eine nationale Umsetzung ist nicht erforderlich. Die Vorgaben werden verbindlich, sobald die jeweiligen Regelungen anwendbar sind.
Der Anwendungsbereich erfasst Unternehmen, die KI-Systeme innerhalb der EU entwickeln, bereitstellen oder einsetzen. Für die Praxis ist insbesondere relevant, dass auch KI-Funktionen internationaler Cloud- oder Softwareanbieter in den regulatorischen Rahmen fallen können, wenn sie in Ihrer Organisation genutzt werden.
Der EU AI Act begründet keine klassische Genehmigungspflicht. Der Einsatz von KI ist jedoch an konkrete Governance-, Dokumentations- und Aufsichtspflichten geknüpft. Damit entsteht nicht nur ein Compliance-Thema, sondern auch ein Management- und Haftungsthema. Hinzu kommen erhebliche Sanktionsrisiken, deren Höhe von Art und Schwere des jeweiligen Verstoßes abhängt.
Was das für Ihre Steuerfunktion bedeutet
Der EU AI Act ist kein unverbindlicher Orientierungsrahmen, sondern ein verbindliches Regelwerk. Sie sollten deshalb frühzeitig Transparenz über die in Ihrer Organisation eingesetzten KI-Systeme schaffen und deren regulatorische Relevanz systematisch prüfen.
Wann KI in der Steuerfunktion regulatorisch relevant wird
Der EU AI Act adressiert unterschiedliche Rollen, insbesondere Anbieter von KI-Systemen und Organisationen, die solche Systeme in eigener Verantwortung einsetzen. Steuerabteilungen werden in der Praxis häufig Nutzer beziehungsweise Betreiber von KI-Systemen sein, auch wenn die technische Bereitstellung durch externe Softwareanbieter erfolgt.
Besonders relevant wird der EU AI Act dort, wo KI-Systeme steuerlich relevante Daten verarbeiten, Bewertungen unterstützen oder in wesentliche Compliance-Prozesse eingebunden sind. Nicht jedes KI-System in der Steuerfunktion ist automatisch ein Hochrisiko-System. Entscheidend ist vielmehr die Einordnung des jeweiligen Use Cases – insbesondere nach Zweck, Einsatzkontext und Rolle im Entscheidungsprozess.
Welche Anforderungen für Hochrisiko-KI-Systeme gelten
Für Hochrisiko-KI-Systeme sieht der EU AI Act ab dem 2. August 2026 umfangreiche Anforderungen vor. Für Entscheider sind dabei vor allem fünf Themenfelder relevant: belastbares Risikomanagement, angemessene Datenqualität, nachvollziehbare Dokumentation, menschliche Aufsicht sowie Genauigkeit, Robustheit und Sicherheit.
Welche Anwendungsfälle in der Steuerfunktion besonders relevant sind
Automatisierte Klassifikation von Rechnungen und Verträgen
Viele Organisationen nutzen KI-Systeme zur Erkennung und Klassifikation von Dokumenten. Regulatorische Relevanz kann insbesondere dann entstehen, wenn Ergebnisse in steuerlich wesentliche Folgeprozesse einfließen oder automatisierte Buchungsschritte vorbereiten. In solchen Fällen sind Datenqualität, Plausibilisierung und menschliche Kontrolle besonders wichtig.
KI‑gestützte Risikobewertung von Transaktionen
KI-Modelle können Muster in Transaktionsdaten identifizieren und auf potenzielle steuerliche Risiken hinweisen. Je stärker solche Analysen in steuerliche Bewertungen oder Kontrollprozesse einfließen, desto wichtiger werden Nachvollziehbarkeit, Dokumentation und eine belastbare fachliche Überprüfung der Ergebnisse.
Anomalie‑Erkennung in steuerlichen Daten
Systeme zur Erkennung von Unregelmäßigkeiten in ERP- oder Steuerdaten können Hinweise auf fehlerhafte Buchungen oder steuerliche Auffälligkeiten liefern. Werden solche Ergebnisse in Prüfungs- oder Freigabeprozessen genutzt, sollten Sie Protokollierung, fachliche Validierung und Verantwortlichkeiten klar ausgestalten.
Validierung von VAT‑ oder Pillar‑2‑Daten
KI-gestützte Validierungen können die Prüfung von VAT- oder Pillar-2-Daten beschleunigen und strukturieren. Da diese Anwendungen unmittelbar auf steuerliche Meldungen und Bewertungen einwirken können, empfiehlt sich eine sorgfältige rechtliche und organisatorische Einordnung des jeweiligen Use Cases.
Systeme zur Erstellung steuerlicher Entscheidungsvorlagen
Auch Systeme, die Analysen oder Entscheidungsvorlagen für steuerliche Fragestellungen erstellen, können regulatorisch relevant sein. Je größer ihr Einfluss auf fachliche Bewertungen und Entscheidungen ist, desto wichtiger sind Transparenz, dokumentierte Prüfungen und ein klar definiertes Human-Oversight-Konzept.
Wie Sie KI-Governance in der Steuerfunktion verankern
Ihre Steuerfunktion empfiehlt sich eine strukturierte KI-Governance. Zentrale Bausteine sind ein vollständiger Überblick über eingesetzte KI-Systeme, eine belastbare Risikoeinordnung, klare Verantwortlichkeiten, nachvollziehbare Dokumentation sowie definierte Kontroll- und Freigabeprozesse. Wichtig ist zudem die Verzahnung mit bestehenden Compliance-Strukturen – etwa dem Tax CMS, internen Kontrollsystemen sowie Datenschutz- und Informationssicherheitsprozessen.
Eine besondere Rolle spielt dabei der Einsatz von KI-Systemen, die nicht intern entwickelt, sondern von externen Anbietern bereitgestellt werden.
Welche Risiken bei Third-Party-KI besonders relevant sind
Besondere Aufmerksamkeit verdient der Einsatz von KI-Systemen externer Software- und Cloud-Anbieter. Auch wenn Entwicklung und Wartung beim Anbieter liegen, verbleiben wesentliche Governance- und Compliance-Pflichten bei Ihnen. Kritisch wird es vor allem dann, wenn Funktionslogik, Trainingsdaten, Modelländerungen oder die Verarbeitung sensibler Steuerdaten nur eingeschränkt nachvollziehbar sind. Third-Party-KI sollte deshalb nicht als reines Einkaufsthema behandelt werden, sondern als Teil Ihrer Governance- und Kontrollarchitektur.
Welche Rolle ISO/IEC 42001 dabei spielen kann
ISO/IEC 42001 kann als hilfreicher Orientierungsrahmen für ein KI-Managementsystem dienen. Die Norm unterstützt bei der Definition von Rollen, Prozessen, Freigaben und Auditfähigkeit, ersetzt jedoch nicht die eigenständige Prüfung der gesetzlichen Anforderungen des EU AI Act.
Welche Schritte Sie jetzt priorisieren sollten
1. Transparenz schaffen: Erfassen Sie zunächst, welche KI-Systeme in Ihren Steuer- und Finanzprozessen bereits genutzt werden oder kurzfristig eingeführt werden sollen.
2. Relevanz bewerten: Ordnen Sie die einzelnen Use Cases rechtlich und organisatorisch ein – insbesondere im Hinblick auf Risikoklasse, Entscheidungsrelevanz und erforderliche Kontrollen.
3. Governance verankern: Legen Sie Verantwortlichkeiten, Dokumentation, menschliche Aufsicht und Freigabeprozesse frühzeitig fest und stimmen Sie diese mit bestehenden Compliance-Strukturen ab.
4. Organisation befähigen: Schulen Sie Mitarbeitende, die KI-Systeme nutzen oder deren Ergebnisse bewerten. Nur so lassen sich regulatorische Anforderungen in der Praxis wirksam umsetzen.
Fazit und Ausblick
Der EU AI Act schafft einen verbindlichen Rahmen für den Einsatz von KI und macht das Thema auch für Ihre Steuerfunktion zu einer strategischen Managementaufgabe. Jetzt kommt es darauf an, Transparenz über eingesetzte KI-Systeme zu schaffen, deren regulatorische Relevanz fundiert zu bewerten und tragfähige Governance-Strukturen aufzubauen, bevor regulatorische Anforderungen und operative Abhängigkeiten weiter zunehmen.
Die Einordnung einzelner Use Cases, der Aufbau belastbarer Dokumentation und die Verzahnung mit bestehenden Compliance-Strukturen erfordern ein strukturiertes und interdisziplinäres Vorgehen. Wenn Sie bereits KI-Systeme in Steuer- oder Finanzprozessen einsetzen oder deren Einführung planen, sollten Sie Governance, Dokumentation und Rollenverteilung jetzt überprüfen. So schaffen Sie die Grundlage, regulatorische Risiken zu begrenzen und KI in Ihrer Steuerfunktion kontrolliert und verantwortungsvoll zu nutzen.
