Rechnungswesen KI: Datenschutz und rechtliche Aspekte

Einleitung

Die Automatisierung von typischen buchhaltungsorientierten Routinetätigkeiten, wie z.B. Belegerfassung, Kategorisierung und Abstimmungsprozesse, führt zu spürbaren Effizienzsteigerungen und kann menschliche Fehler bei standardisierten Abläufen reduzieren. Während zwar die Grundprinzipien der Buchhaltung unverändert bleiben, wandelt sich jedoch die Art und Weise der Arbeitsausführung: KI-Tools – allerdings nicht generative KI-Tools wie Chatbots –unterstützen bei der Datenverarbeitung und Mustererkennung, komplexe Bewertungsentscheidungen und strategische Buchungsthemen erfordern jedoch weiterhin fachliche Expertise.

Der Schweizer Rechtsrahmen – insbesondere das Datenschutzgesetz, Revisionsrecht und branchenspezifische Compliance-Anforderungen – stellt dabei klare Anforderungen an Transparenz und Nachvollziehbarkeit. KI-gestützte Buchungsentscheidungen müssen dokumentierbar und für Revisionszwecke nachprüfbar bleiben. Dies erfordert durchdachte Implementierungsstrategien und oft hybride Ansätze, bei denen KI-Vorschläge durch menschliche Kontrolle validiert werden.

Das Ziel des vorliegenden Beitrags ist es, die mit dem Einsatz von KI in der Finanzbuchhaltung verbundenen datenschutzrechtlichen Anforderungen, Risiken und Handlungsempfehlungen für Schweizer Unternehmen darzustellen.

Typische Anwendungsfelder von KI in der Finanzbuchhaltung

Zu den Hauptanwendungsfeldern spezialisierter KI im Buchhaltungskontext gehören – und damit zentrale Einsatzbereiche von Rechnungswesen KI:

a. Belegerfassung und -verarbeitung:

• OCR-Technologie (Optical Character Recognition) für automatische Texterkennung
• intelligente Dokumentenklassifizierung (Rechnung, Beleg, Kontoauszug)
• automatische Extraktion relevanter Daten (Datum, Betrag, Steuersatz, Lieferant)

b. Kontierung und Kategorisierung:

• Machine Learning erkennt Muster aus historischen Buchungen
• automatische Vorschläge für Konten und Kostenstellen
• selbstlernende Systeme werden mit jeder Buchung präziser

c. Abgleich und Reconciliation:

• utomatischer Bankabgleich
• Erkennung und Zuordnung von Zahlungen
• Identifikation offener Posten

d. Anomalie- und Betrugserkennung:

• Erkennung ungewöhnlicher Transaktionsmuster
• Identifikation von Duplikaten oder verdächtigen Buchungen
• kontinuierliche Überwachung von Compliance-Verstössen

Für Schweizer Unternehmen besonders relevant sind in diesem Zusammenhang:

• eine MWST-konforme automatische Kategorisierung
• die Integration mit lokalen Banking-Standards (ISO 20022) sowie
• die Unterstützung verschiedener Buchführungsstandards (OR, Swiss GAAP FER)

Konkrete Anforderungen für Schweizer Unternehmen

a. Datenschutz & Datenmanagement

• KI-Systeme dürfen nur die nötigen Daten verarbeiten (Datenminimierung).
• Besonders schützenswerte Personendaten (z.B. Lohndaten, Krankheitsinformationen) erfordern strenge Sicherheitsmaßnahmen: Verschlüsselung, Zugriffskontrollen, Audit-Logs.
• Zusammenarbeit mit KI-Anbietern nur auf Basis von klaren Auftragsbearbeitungsverträgen (inkl. Serverstandort, Verantwortlichkeiten, Audit-Rechten)

b. Transparenz & Nachvollziehbarkeit

• Jeder KI-basierte Verarbeitungsschritt (z.B. automatische Kontierung, Reporting) muss erklärbar und prüfbar sein.
• «Black-Box»-Algorithmen ohne Nachvollziehbarkeit sind riskant – sowohl aus Revisionssicht als auch für die Haftung.
• KI-Ergebnisse sollten durch menschliche Kontrollschritte («Human-in-the-Loop») ergänzt werden.

c. Governance & Compliance

• KI muss ins interne Kontrollsystem (IKS) des Unternehmens integriert werden, z.B. durch besondere Freigaberegelungen oder Vieraugenprinzip bei sensiblen Buchungen.
• Unternehmen sollten ein Verzeichnis der KI-Verarbeitungstätigkeiten führen (analog zu Datenschutzinventaren).
• Für Schweizer Unternehmen mit Geschäftstätigkeit im EU-Raum: Compliance mit DSGVO und künftig EU AI Act muss sichergestellt sein.

Handlungsempfehlungen

Für Schweizer Unternehmen, die die oben genannten Risiken so weit wie möglich unter Kontrolle behalten wollen, gelten die folgenden Massnahmen als unverzichtbar:

1. Es sollten klare Zuständigkeiten sowie strukturierte Prozesse und Governance-Mechanismen für KI-Projekte geschaffen werden, wo diese noch nicht oder nur unzureichend vorhanden sind. Jede automatisierte Buchung muss prüfbar sein.
2. Wo Unternehmen eigene KI-Lösungen (on premise) einsetzen und trainieren, ist eine regelmässige Überprüfung der Trainingsdaten auf Qualität, Fehlerfreiheit und Aktualität angezeigt. Zusätzlich gilt bei erworbenen KI-Lösungen, dass auf deren Output-Qualität geachtet werden sollte, da Defizite in diesem Bereich ebenso auf nicht adäquate Trainingsdaten des Herstellers/Betreibers hinweisen könnten. Zudem sollten Cloud-Standorte & Drittlandstransfers klar und unmissverständlich geregelt sein durch entsprechende Standardklauseln, den Bezug zu TOM sowie Audit-Rechte.
3. Es gilt, eine Modell- und Prozessdokumentation für die im Unternehmen entwickelten, trainierten bzw. eingesetzten KI-Systeme zu erstellen und aktuell zu halten, damit die Nachvollziehbarkeit und Transparenz gegenüber Behörden und internen Prüfinstanzen sichergestellt werden kann. Diese Dokumentation bezieht auch Auftragsbearbeitungsverträge & Datenflüsse ein.
4. Unabhängige Prüfungen und Kontrollen durch interne oder externe Audit-Stellen gilt es zu etablieren. Vor allem ein allfälliger EU-Bezug ist zu prüfen, weil hierdurch die DSGVO sowie der EU AI Act die Compliance-Anforderungen deutlich anwachsen lässt.
5. Fortlaufende Schulung der Mitarbeitenden zu KI-Compliance und Risiken sowie gezielte Sensibilisierung für Datenschutz und Cybersecurity sorgen angesichts der klaren Bedrohungslage ebenfalls dafür, dass der Einsatz von KI-Systemen keine unkontrollierten Risiken entstehen lässt. Ein adäquates Schlüssel-/Secret-Management, Back-ups sowie ein Ransomware-Notfallplan sind vor allem in den besonders betroffenen KMU unverzichtbar.

Fazit und Ausblick

Schweizer Unternehmen können von Rechnungswesen KI stark profitieren stark profitieren, sollten aber Risiken und Compliance-Anforderungen aktiv steuern und geeignete Kontrollmechanismen für einen sicheren und transparenten Einsatz etablieren. Die Grenzen sind da erreicht, wo diese KI-Systeme zwar einerseits regelbasiert und mustererkennend arbeiten, jedoch weiterhin menschliche Überwachung und Validierung benötigen. Dies gilt besonders bei komplexen Buchungssachverhalten.

Darüber hinaus ist wichtig zu beachten, dass Rechnungswesen KI so lange eingesetzt werden darf, wie die Grundprinzipien des revidierten DSG (Transparenz, Zweckbindung, Sicherheit) eingehalten werden. Dazu gehört auch, dass Unternehmen jederzeit in der Lage sind, nachzuweisen, dass Buchungen ordentlich, nachvollziehbar und revisionssicher sind (Art. 957 ff. OR).

Abschliessend gilt, dass die Verantwortung immer beim Verwaltungsrat bzw. bei der Geschäftsleitung liegt – auch wenn KI Aufgaben übernimmt.

Quellenverzeichnis

Digicomp (2024): Künstliche Intelligenz und Datenschutz: die 6 grössten Risiken, online: https://digicomp.ch/blog/2024/11/08/kuenstliche-intelligenz-und-datenschutz-die-6-groessten-risiken

Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter – EDÖB (2024): Leitfaden zu den technischen und organisatorischen Massnahmen des Datenschutzes (TOM), online: www.edoeb.admin.ch/de/23012024-leitfaden-tom-publiziert?utm_source=chatgpt.com

KPMG (2024): Künstliche Intelligenz in der Finanzbranche: Chancen, Risiken und regulatorische Entwicklungen, Studie, online: https://assets.kpmg.com/content/dam/kpmgsites/ch/pdf/kpmg-ch-report-global-ai-audit-study-trusted-ai-framework.pdf

Schmid, F.; Weyermann, P. (2024): Umgang mit Künstlicher Intelligenz im regulierten Umfeld, GrantThornton, online: www.grantthornton.ch/de/aktuelles/kuenstliche-intelligenz-im-regulierten-umfeld/