Sanitized AI Team

Wie Sie Steuererklärungen von Mandanten während der Hochsaison aus ChatGPT heraushalten

Es ist die zweite Märzwoche. Ein Mitarbeiter hängt bei zwölf Akten hinterher, und der schnellste Weg, einen unübersichtlichen Stapel T-Belege mit der Vorjahreserklärung abzugleichen, besteht darin, beides in ChatGPT einzufügen und um Hinweise auf Abweichungen zu bitten. Die Antwort kommt in Sekunden und ist tatsächlich hilfreich. Sie hat aber gerade auch die Sozialversicherungsnummer eines Mandanten, das vollständige Einkommensbild und Angaben zu den Angehörigen aus der Kanzlei hinausbefördert — in ein Werkzeug, das Ihr Mandatsvertrag nie vorgesehen hat, unter Bedingungen, die Ihre Partner nie geprüft haben.

Dieses Szenario ist kein Ausnahmefall. Es ist das vorhersehbare Ergebnis, wenn man Zeitdruck, nützliche Werkzeuge und vertrauliche Daten in denselben Raum stellt. Und was es gefährlich macht, ist nicht der Fehler selbst — sondern dass der Fehler sich nicht rückgängig machen lässt.

Warum ausgerechnet in der Hochsaison genau das passiert

Der Druck, der die Steuersaison prägt, ist derselbe Druck, der das Urteilsvermögen darüber untergräbt, wohin Daten gelangen. Mitarbeiter, die lange Tage arbeiten, greifen nach allem, was die vor ihnen liegende Aufgabe verkürzt. Die Cyberhaven-Untersuchung von 2025 ergab, dass rund 40 % der KI-Interaktionen sensible Daten betreffen, und LayerX berichtete im selben Jahr, dass 77 % der Beschäftigten, die generative KI nutzen, Daten direkt in das Eingabefeld einfügen — davon 82 % aus nicht verwalteten persönlichen Konten. Gerade diese letzte Zahl ist für Wirtschaftsprüfungs- und Steuerkanzleien entscheidend: Der Mitarbeiter nutzt keinen genehmigten Unternehmenszugang mit Datenverarbeitungsvertrag. Er nutzt das kostenlose ChatGPT-Konto seines persönlichen Logins, weil es ohnehin schon in einem anderen Tab geöffnet ist.

Eine Mandantenerklärung ist dabei nahezu die schlimmstmögliche Datenfracht. Ein einziges Einfügen kann eine SIN, eine Wohnadresse, Angaben zu Ehepartnern und Angehörigen, Geschäftsumsätze und ein Vermögensbild enthalten — genau jene Kategorien, die unter PIPEDA die Meldepflicht bei realem Risiko erheblichen Schadens auslösen und unter Quebecs Law 25 empfindliche Sanktionen von bis zu 25 Mio. C$ oder 4 % des weltweiten Umsatzes nach sich ziehen. Ihre CPA-Verschwiegenheitspflichten setzen nicht aus, nur weil gerade März ist.

Der Teil, der sich nicht rückgängig machen lässt

Die meisten Kanzleien betrachten dies als ein Richtlinienproblem — eine Regel aufstellen, sich von den Leuten bestätigen lassen, weitermachen. Aber das entscheidende Merkmal eines geleakten Prompts ist, dass es keinen Bereinigungsschritt gibt. Sobald eine Erklärung an ein öffentliches KI-Werkzeug übermittelt wurde, wird der Inhalt den Nutzungsbedingungen dieses Anbieters unterworfen, die weitreichende Rechte einräumen können, ihn aufzubewahren, über Unterauftragsverarbeiter zu verarbeiten oder zur Verbesserung der Modelle des Anbieters zu verwenden. Sie können ihn nicht zurückholen, und Sie können nicht nachvollziehen, wohin er gelangt ist.

Samsung hat das 2023 erfahren: Innerhalb von etwa zwanzig Tagen, nachdem ChatGPT intern erlaubt worden war, hatten Ingenieure Quellcode, einen Algorithmus zur Fehlererkennung und ein Besprechungsprotokoll eingefügt. Die Daten ließen sich nicht wiederbeschaffen, und das Unternehmen verbot das Werkzeug. Die Lehre für eine Steuerkanzlei ist nicht „ChatGPT verbieten" — Verbote treiben die Leute in persönliche Konten, die Sie nicht sehen können. Die Lehre ist, dass die einzige Kontrolle, die funktioniert, vor der Übermittlung ansetzt, denn nach der Übermittlung bleibt nichts mehr zu kontrollieren.

Das ist auch der Grund, warum das Abschalten des Trainingsverlaufs oder das Widersprechen gegen die Datenspeicherung das Problem nicht löst. Diese Einstellungen ändern, was ein Anbieter mit den Daten zu tun verspricht; sie ändern nichts an der Tatsache, dass die SIN eines Mandanten die Grenzen Ihrer Kanzlei verlassen hat. Die Offenlegung ist bereits geschehen.

Governance, die den Kontakt mit einer Deadline übersteht

Der ehrliche Test für jede KI-Kontrolle lautet, ob sie um 23 Uhr in der schlimmsten Woche des Jahres standhält. Richtlinien, die davon abhängen, dass eine erschöpfte Person innehält und sich an die Regeln erinnert, versagen genau bei den Akten, bei denen sie am wichtigsten sind. Und die meisten bestehenden Schutzmaßnahmen überwachen nicht die richtige Stelle — herkömmliche Werkzeuge zur Verhinderung von Datenverlust prüfen Dateien, E-Mails und Endgeräte, nicht den Text, den ein Mitarbeiter in einen Browser-Tab tippt.

Was tatsächlich hilft, ist, dem Risiko im Moment des Einfügens zu begegnen — und zwar so, dass die Arbeit weiterläuft. Stellen Sie sich denselben Mitarbeiter vor, aber diesmal erkennt das Werkzeug, dass der eingefügte Block eine SIN und finanzielle Identifikatoren enthält. Statt es durchzulassen — oder die ganze Aufgabe zu blockieren und ihn aus Frust in ein persönliches Konto zu treiben — werden die sensiblen Werte redigiert, bevor der Prompt das KI-Werkzeug erreicht, und durch realistische Platzhalter ersetzt, damit die Abweichungsprüfung weiterhin funktioniert. Der Mitarbeiter erhält seine Antwort. Die Identität des Mandanten hat die Kanzlei nie verlassen.

Der zweite Effekt ist leiser, aber dauerhafter. Wenn ein Prompt gestoppt oder redigiert wird — mit einem Hinweis in klarer Sprache, der erklärt, was markiert wurde und warum —, lernt der Mitarbeiter in genau dem Moment etwas, an das er sich beim nächsten Mal erinnert. Über eine gesamte Hochsaison hinweg ergibt das Hunderte kleiner, konkreter Lektionen im sicheren Umgang mit KI — die Art von Verhaltensänderung, die keine jährliche Richtlinienbestätigung hervorbringt. Die Netskope-Daten von 2025 ergaben, dass eine durchschnittliche Organisation rund 223 Verstöße gegen Richtlinien zum Umgang mit sensiblen Daten pro Monat protokolliert, und regulierte Daten machten 54 % davon aus; jeder dieser Verstöße ist ein verpasster Lehrmoment.

Auf diesem Prinzip baut Sanitized AI auf: die sensiblen Daten im Prompt erfassen und redigieren, bevor sie das Werkzeug überhaupt erreichen, und jeden Beinahe-Vorfall in einen Moment unmittelbarer Schulung verwandeln — damit Governance nicht vom perfekten Urteilsvermögen in den unerbittlichsten Wochen des Jahres abhängt.

Was vor dem Abgabestress zu tun ist

Die praktische Frage, die Sie in diesem Quartal beantworten sollten, bevor der Deadline-Druck einsetzt, ist einfach: Wenn morgen einer Ihrer Mitarbeiter die Erklärung eines Mandanten in ein öffentliches KI-Werkzeug einfügen würde — wüssten Sie es, und könnten Sie verhindern, dass die sensiblen Felder die Kanzlei verlassen? Für die meisten Kanzleien lautet die ehrliche Antwort bei beidem: nein. Das zu beheben bedeutet nicht, Ihre Leute einzuschränken — es bedeutet, ihnen einen Weg zu geben, schnell zu arbeiten, ohne die SIN eines Mandanten mit aus der Tür zu tragen.

Wenn Sie sehen möchten, wie unmittelbare Redaktion und Schulung bei genau den Prompts wirken, die Ihr Team während der Hochsaison tatsächlich absendet, fordern Sie eine Demo an, und wir gehen sie mit Blick auf Ihre Arbeitsabläufe gemeinsam durch.