Erweiterung der SmartLogin App für mehrere Zugänge

---

Das geht aber nur wenn beide Unternehmen beim gleichen Berater sind.

Die Idee ist es auch bei verschiedenen Beratern einen Smartlogin verwendbar zu machen.

---

 SmartLogins können wie bei SmartCards auch mitgliedsübergreifend eingerichtet werden. Habe ich erst diese Woche so eingerichtet. 

Ein Mandant / ein SmartLogin / mehrere Kanzleien. 

Beste Grüße

Christian Ockenfels

Auch ich möchte mich diesem Wunsch eindringlich anschließen.

Wenn alle juristischen und natürliche Personen beim gleichen Steuerberater sind, ist es ja vielleicht auch noch DSGVO-konform möglich, eine Krücken-Lösung zu finden. Aber spätestens, wenn der Unternehmen-Online-Bearbeiter bei einem anderen Steuerberater mit der ESt Mandant ist, im Nebenjob oder im Ehrenamt auch mit Unternehmen-Online arbeiten muss, gibt es keine DSGVO-konforme Lösung, als die Anschaffung mehrerer Mobiltelefone, was nicht zumutbar ist.

Daher bleibt eigentlich nur noch die Lösung, dass in der App mehrere IDs verwaltet werden können, so dass die natürliche Person jederzeit entscheiden kann, ob sie sich nun als Gesellschafter bei der Gesellschaft, als Ehegatte bei der Einkommensteuer oder als Ehrenamt beim Verein oder als Arbeitnehmer beim Arbeitgeber einloggt. 

Ich habe mittlerweile Mitarbeiter bei Mandanten, deren Steuerberater Meine Steuern einrichten und wo es eben zu diesen Problemen kommt.

Auch bei Beraterunion ist es schwierig zu entscheiden, welcher Gesellschaft jetzt welcher Gesellschafter/Geschäftsführer, Arbeitnehmer etc. zugeordnet wird. Zumal in der Historie fast jede Gesellschaft irgendwann mal Gesellschafter wechseln, Veräußerungen statt finden etc.

Lindenberg

Liebe Community,

eine Lösung, in der in der SmartLogin-App mehrere SmartLogin-IDs verwaltet werden, wird es in dieser Form nicht geben. Sehr wohl untersuchen wir aber aktuell das dargestellte Problem. Wenn es zur Umsetzung einer Lösung konkrete Infos gibt, werden wir wieder informieren.

Viele Grüße

Markus Praller
DATEV eG

Liebe Community,

eine Lösung, in der in der SmartLogin-App mehrere SmartLogin-IDs verwaltet werden, wird es in dieser Form nicht geben. Sehr wohl untersuchen wir aber aktuell das dargestellte Problem. Wenn es zur Umsetzung einer Lösung konkrete Infos gibt, werden wir wieder informieren.

Viele Grüße

Markus Praller
DATEV eG

@Robin_Meyer 😒 Ich möchte keine Diskussion über den Sinn oder Unsinn der Entscheidung der Fachabteilung anstoßen. Diese wäre müßig und für beide Seiten demotivierend.

Sehr wohl möchte Ich darauf Hinweisen, dass das Problem einer Person mit verschiedenen Rollen innerhalb der DATEV Umgebung nicht unwahrscheinlich ist.

Beispiel: Vereinsvorstand/ private Steuern / Abteilungsleiter im Beruf und schon braucht es unter Umständen weil es drei Berater sind drei Zugänge. Soll derjenige sich dann drei mobile Endgeräte zulegen? --> Dafür braucht es eine Lösung.

Insofern die berufliche DATEV Identität beim gleichen Berater administriert wird bei der auch die ESt gemacht wird gibt es ja einen Workaround. (Servicekontake "Datev meine Steuern administrierbar machen für Kapitalgesellschaft") --> Das wieder die Anwender sich durchhangeln müssen ist ein Unding.

"Beispiel: Vereinsvorstand/ private Steuern / Abteilungsleiter im Beruf und schon braucht es unter Umständen weil es drei Berater sind drei Zugänge."

Für dieses Szenario gibt es die mitgliedsübergreifende Freischaltung.

Bei einer mitgliedsübergreifenden Freischaltung sind aber alle Steuerberater involviert. Das halte ich aus DSGVO-Gründen für nicht realisierbar. Es geht den Steuerberater des AG nun mal nichts an, bei welchem Steuerberater der AN/Ehegatte oder der AG des Zweitjobs oder der Verein ist, für den der AN ehrenamtlich tätig ist und umgekehrt! Abgesehen von der Frage, wer die Kosten wofür übernimmt.

Ich habe noch alte Smartcard-"Leichen" in meiner EDV von diversen anderen Steuerberatern, weil ich mir mal Arbeitnehmer geteilt habe bzw. auch ehrenamtlich tätig bin. Darüber habe ich z.B. auch erfahren, dass ehemalige Mitarbeiter nen neuen Nachnamen haben etc.. Das geht mich einfach nichts an, wenn der AN es mir nicht freiwillig selber erzählt. Und ich kann mich bemühen, so viel ich will, ich bekomme diese Daten nicht aus meinem System.  

In Stimme Ihnen zu, dass aus Datenschutzgründen beim angeführten Beispiel die mitgliedsübergreifende Freischaltung nicht geeignet ist. Aus Datenschutzgründen müßte m. E. der jeweilige Arbeitgeber/das jeweilige Unternehmen dann jedoch tatsächlich dem Betroffenen einen eigenes physisches Zugangsmedium (Smartcard/Smartphone) pro Unternehmen/Bestand/Sachverhalt aus folgenden Gründen zur Verfügung stellen:

- Der Zugriff von einem privaten Endgerät auf (mehrere) Unternehmensdaten sollte nicht möglich sein. Insofern werden nicht mehrere SmartLogin auf dem privaten Gerät benötigt.

- Vom dienstlichen Gerät eines Unternehmens sollte nicht auf dienstliche Daten eines anderen Unternehmens zugegriffen werden können, wenn das Gerät selbst bei der Datensicherheit als Besitzkomponente eingesetzt wird.

@Lindenberg: Genau wie ich sehe ich die mitgliedsübergreifende Freischaltung kritisch. Wer trägt letztlich die Verantwortung? wäre da auch noch so eine Frage.

@eliansawatzki: Das sehe ich anders. Warum schafft die DATEV nicht über das Trustcenter eine eindeutige Identität für eine natürliche Person. Dieser Person wird dann das Recht für A B und C eingeräumt. A B und C stimmen zu das die DATEV Identität der natürlichen Person ihre Daten einsehen darf und administriert selber was in welchem Umfang.

@eliansawatzki: Das mag ja in der Theorie gut sein, aber mit der Wirklichkeit hat das wenig zu tun. Natürlich kann jeder Arbeitnehmer mit x Mobiltelefonen rum laufen. Tut nur keiner. Und dann liegen die teuren Geräte im Büro oder sonstwo rum? Und die Arbeitgeber zahlen dann fröhlich Gebühren für Telefone, die nie benutzt werden? W-Lan gibt es auch nicht überall. Selbst Prepaid ist anstrengend. Ich habe hier zwei Notfallhandys im Büro liegen mit Prepaid. Die Verwaltung dazu ist unverhältnismäßig.

Nicht zu vergessen: WIR müssen das den Mandanten als bequeme Lösung verkaufen! Sonst wollen die das Produkt nicht und wir bleiben auf den Scanvorgängen und/oder Papierkram Post und Druck sitzen. Wenn ich daran denke, was meine Mandanten sagen, weil sie nen Scanner brauchen, frag ich mich, was die sagen, wenn ich denen erzähle, dass zusätzlich für die zuständigen x Personen auch noch Smartphones angeschafft werden müssen. Oder eines, auf das dann alle ununterscheidbar Zugriff haben....

Wäre die Anschaffung weiterer Telefone die Lösung, hätten wir akut keinen Handlungsbedarf. Denn das geht ja auch jetzt schon. Dann bleibe ich aber doch lieber beim mIDentity und muss halt an allen Geräten das Sicherheitspaket installieren. Auch wenn es mich schon nervte, als ich noch "nur" 2 mIDentitys im Einsatz hatte. 
 
Meine Mitarbeiter haben sämtlich "ihr" Smartlogin selbstverständlich auf ihren privaten Handys. Keiner von denen ist bei mir Mandant. Ok. Die sind auch nicht bei anderen Steuerberatern. Aber deren selbständige Partner mit der Buchhaltung halt manchmal schon und nicht alle Arbeitnehmer arbeiten bei Steuerberatern und können ihre Steuererklärung selber fertigen.

Smartlogin ist ja nur eine Art elektronischer Ausweis. Warum dafür extra ein weiteres Gerät anschaffen? Und wo genau liegt da das Problem, diesen Ausweis auf einem Gerät für mehrere Zugänge zu verwalten? Sofern sicher gestellt ist, dass "mir" nicht alle x Mandate angezeigt werden, wenn ich mich mit der jeweiligen ID anmelde, ist doch alles gut.

Nicht gut ist bei der mitgliedsübergreifenden Freischaltung, dass AN immer im Übersichtsbaum landet, wo alle Mandanten angezeigt werden, und jeder ganz bequem und versehentlich auch mal im falschen Mandanten landen kann. 

Unterm Strich muss eine Lösung gefunden werden mit der

- eine Person sich mit einem Gerät für mehrere Mandate freischalten kann
- auf dem Computer dann aber zuverlässig nur dieser eine Mandantenkomplex (Arbeitgeber 1 mit Filiale 1-3, ODER die eigene ESt ODER Arbeitgeber/Ehrenamt 2 etc.) bearbeitbar bzw. sichtbar ist
- jeweils nur der zugehörige Steuerberater für die Freischaltung der jeweiligen Rechte involviert und informiert ist

- die jeweils anderen Rechte/die Funktionalität unberührt bleiben, wenn ein Recht erlischt, egal, obs das erste oder das letzte Recht war
- wenig bis kein Übertragungs-Verwaltungsaufwand, wenn Steuerberater wechseln

Ich hätte gewettet, dass es am (daten)sichersten, preisgünstigsten, einfachsten und schnellsten zu programmieren wäre, entweder mehrere SmartLogin-Apps auf einem Telefon zu erlauben oder mehrere IDs in einer App zu verwalten, als alle anderen Lösungen, die DATEV sich ausdenken kann.

Bin gespannt, wann die DATEV da was liefert und ob wir bis dahin alle schon diverse Krücken gebaut haben müssen. Ich habe Freizeichnung online bei allen Mandanten und Meine Steuern bei allen Mandanten mit ESt umgesetzt und treibe Unternehmen online stark voran. Mehrere Gesellschaften wechseln 2020/2021 die Eigentümer/Geschäftsführer bzw. werden geschlossen. Ich habe JETZT die Probleme.

Sie haben ja mehrfach auf die Datenschutzgrundverordnung hingewiesen. Ist es aus Ihrer Sicht DSGVO-konform, dass Ihre Mitarbeiter mit privaten Endgeräten auf personenbezogene Daten und Unternehmensdaten Ihrer Mandanten zugreifen können? Wissen Ihre Mandanten von diesem Umstand?

Das was Sie als Theorie bezeichnen, sind die strengen Regeln des Datenschutzes - egal ob diese praktikabel sind oder nicht.

Gleichwohl verstehe ich die Motivation der Anforderung als solches. Ja, es könnte alles so einfach sein.

Moin

Es ist doch eigentlich so, dass die Datev-App nur eine Ordnungszahl mehr beherrschen müßte: Die SmartLogin-ID.

Unter dieser könnte dann der zuständige STB entsprechende Freischaltungen in der RVO vergeben. Das würde dann auch STB-übergreifend funktionieren  müssen.

Wenn die App sauber programmiert wurde, sehe ich nicht die Schwierigkeit. Im Grunde gäbe es nur eine Weiche, welches SmartLogin benutzt wird.

Ich kann die Ablehnung nicht nachvollziehen! Zumal es saubere Lösungen für vertracktere Fälle erlauben würde.

QJ

Die Stellungnahme von Herrn Praller klingt erstaunlich selbstbewusst, um nicht zu sagen endgültig.

Es klingt fast so, als ob Smartlogin durch ein anderes Medium ersetzt werden soll?

@Lindenberg meine volle Zustimmung. Mit Ausnahme, dass die beruflichen IDs innerhalb Ihrer Kanzlei tatsächlich nicht auf den privaten Handys Ihrer AN laufen sollten. Bei uns haben das nur die Kanzleiinhaber. ANs alle Mydentity.

Prinzipiell bin ich aber bei Ihnen.

Eine Person, eine DATEV ID, x Zugänge in y Systeme welche jede vom eigenen Admin betreut wird.

Und die Admins hat es nicht zu kümmern welche Berechtigung die ID wo anders hat. Der Vereinsvorstand kann ja Sekretär im Beruf sein. Als Vereinsvorstand sieht er alles, als Sekretär in der Firma sicher nicht die Lohnzahlungen....

@eliansawatzki 
Wo genau ist der Unterschied, zwischen mein Mitarbeiter hat ein Firmenhandy mit Schlüssel oder mein Mitarbeiter hat auf seinem Privathandy den Schlüssel?

Auf dem Handy haben meine Mitarbeiter keinerlei Mandantendaten und könne die auch nicht sehen, ohne ein weiteres Handy für den QR-Code-Schlüssel zu benutzen. Mit dem privaten Handy dürfen meine Mitarbeiter nicht mit Mandanten telefonieren und tun das auch nicht.

Würde ich Angst haben vor Missbrauch haben, müsste ich mir jeden Abend die Geräte aushändigen lassen bzw. im home-office abholen und morgens wieder aushändigen und optimal den Mitarbeitern auch keinen Büroschlüssel geben. Ich hoffe, dass Sie mir zumindest hier zustimmen, dass das Weltfremd wäre. Da wäre es doch sehr viel leichter, wenn DATEV programmieren würde, dass der Steuerfachangestelltenzugang immer außerhalb der Bürozeiten und bei eingetragener (Urlaubs-)Abwesenheit gesperrt ist. Oder ich einfach den zwielichtigen Mitarbeiter raus werfe.

Meine Mitarbeiter haben Firmenlaptops, wo das Sicherheitspaket und der asp-Zugang drauf ist. Für den Zugang zu Mandantendaten brauchen sie daher tatsächlich nur Internet. Warum nun Firmenlaptops und nicht auch Privatlaptops wie Privathandys? Ganz einfach, weil da von mir noch weitere Programme drauf sind, ich die Sicherheitseinstellungen und den Browser vorgebe und sich allein wegen der Telefonie, aber auch aus Zwischenspeichergründen, doch ganz gern mal, anders als beim Smartlogin-Handy, Mandantendaten auf diesem Gerät befinden! 

Ja, das halte ich für DSGVO-Konform. Denn meine Mitarbeiter sind zur Verschwiegenheit verpflichtet, vertrauenswürdig, professionell und äußerst zuverlässig und eben verschwiegen. Sie arbeiten teilweise im home-office und alle meine Mandanten wissen, dass das so ist. 

Bedenklich finde ich, dass meinen Mitarbeitern, wenn sie die Buchhaltung ihrer Partner oder die gemeinsame ESt mit einem beraterübergreifenden Smartlogin bearbeiten, auch alle meine Mandanten in dem Baum angezeigt werden. Denn zu diesem Zeitpunkt ist es nicht unwahrscheinlich, dass Mitarbeiter und Partner gemeinsam vor dem PC sitzen. Der Baum wäre bis auf den Partner leer, wenn mein Mitarbeiter dafür eine eigene ID hätte. Das ist einer meiner Punkte!

Ja, das kann ich aktuell über Zweit- und Dritthandys aktuell lösen, aber das halte ich eben für eine Krücke und nicht für die Lösung. Mir persönlich sind dann aber 3 mIDentitys lieber als 3 Handys, auch dann, wenn es bedeutet nicht von jedem Gerät auf die Daten zugreifen zu können.

Hallo @Lindenberg 

ich verstehe selbstverständlich die Motivation des Beitrages und kann die Anforderung absolut nachvollziehen. Gleichwohl beurteile ich persönlich den Sachverhalt anders. 

Das Thema Smartphone ist hier wie folgt umgesetzt:

- jeder Mitarbeiter, der aus dienstlichen Gründen Apps zur Erfüllung seiner Tätigkeiten im Rahmen des Arbeitsverhältnisses benötigt, bekommt ein eigenes Smartphone (und darf dieses auf Vertrauensbasis auch privat nutzen - bei Missbrauch wird die private Nutzung untersagt; dies ist jedoch noch nicht vorgekommen)

- der dienstliche Bereiche ist vom privaten Bereich technisch auf dem Smartphone getrennt - das bedeutet unter anderem, dass es zwei Telefonbücher gibt, die nicht miteinander synchronisiert werden können (das private Telefonbuch und eines im geschützten Bereich welches sich mit dem dienstlichen Outlook synchronisiert)

- im Smartphone ist für den Nutzer nicht veränderbar eingestellt, wann das Smartphone bei Nichtnutzung in den Sperrbildschirm wechselt; außerdem ist hinterlegt, dass der Sperrbildschirm nur mit einer Authentifizierung (z. B. Pin) verlassen werden kann; der dienstliche Bereich ist separat durch ein Passwort geschützt, welches nicht im Smartphonespeicher vorgehalten werden kann

- Außerdem werden die Mitarbeiter informiert, sobald es für das jeweilige Gerät Softwareupdates gibt und die Updates müssen innerhalb einer bestimmten Zeit durchgeführt werden, sonst wird der dienstliche Bereich gesperrt - so ist sichergestellt, dass keine Sicherheitslücken wegen veralteter Systeme entstehen

Es gibt weitere Aspekte im Bezug auf den Datenschutz und die Datensicherheit der Geräte und vor allem der damit erreichbaren Daten. Ich denke jedoch, dass dieser kleine Einblick reicht. 

Den Vorschlag von @jjunker kann ich überhaupt nicht unterstützen:

"Prinzipiell bin ich aber bei Ihnen.

Eine Person, eine DATEV ID, x Zugänge in y Systeme welche jede vom eigenen Admin betreut wird.

Und die Admins hat es nicht zu kümmern welche Berechtigung die ID wo anders hat. Der Vereinsvorstand kann ja Sekretär im Beruf sein. Als Vereinsvorstand sieht er alles, als Sekretär in der Firma sicher nicht die Lohnzahlungen..."

- Wer organisiert hier die ID bei DATEV? Welcher steuerliche Berater wird tätig und wie prüft DATEV die Identität?

- Was passiert, wenn es den bestellenden Berater nicht mehr gibt bzw. die Geschäftsbeziehung zu diesem endet?

- Soll die jeweilige Person dann ihre ID selbst weitergeben können, an wo auch immer herkommende Administratoren damit diese Rechte vergeben können?

- Wer erkennt dann bei unbekannten Ordnungsbegriffen überhaupt noch, welche Rechte diese Person hat?

- An wen wendet sich die Person bei Rückfragen?

Ich hätte noch viele weitere Fragen, die sicher auch alle irgendwie beantwortet werden könnten. Gleichwohl werden in Summe die Datenschutz- und Datensicherheitsrichtlinien der DATEV, die zum Glück, wenn auch manchmal sperrig, so sind, wie Sie sind, nicht eingehalten werden können. 

Und daher begrüße ich auch den in einem vorherigen Beitrag als "erstaunlich selbstbewußt" bezeichneten Beitrag von Herrn Praller. Für mich ist die Interpretation daraus nicht, dass eventuell das SmartLogin durch etwas anderes abgelöst wird. Meine Interpretation ist: Datenschutz- und Datensicherheit stehen bei DATEV an oberster Stelle und da gibt es keine Kompromisse.

Ich blicke jetzt bei den ganzen vertrackten Fallbeispielen nicht mehr durch, aber mein Wunsch ist eigentlich ganz einfach:

Es sollte einfach auf jeder SmartLogin oder SmartCard ID das Recht für Meine Steuern administrierbar sein, wo wie für jede anderen Anwendung auch (Belege, Kasse, Stammdaten, Freizeichnung etc.)

Dass ich den Mandanten mit einer neuen Unterberaternummer anlege ist ok, z.B. für die Weitergabe bei Steuerberaterwechsel. 
Aber wenn er schon ein Login hat auf eine andere Unterberaternummer, z.B. als Firmenchef, dann möchte ich dort einfach Unterberaternummer + Mandantennummer für seine ESt eingeben können. 

Denn jetzt läuft es umgekehrt: ich muss Meine Steuern auf die Unterberaterummer der Firma anlegen damit er das vorhanden Login verwenden kann: alles andere verkauft sich schlecht - nur damit schläft es sich schlecht:
Ja, ich muss aktiv einen Fehler machen wenn sein Angestellter in seine Steuern kommt. 
Aber eine der Folgeerscheinungen ist jetzt z.B., dass ich in der neuen Nachrichten-Funktion 50 Mitarbeiter der Firma in der möglichen Kontaktliste habe, auch irgendwie nicht so schön. 
Hätte ich den ESt Mandanten unter eigener Unterberaternummer angelegt, wäre das nicht der Fall. 
Und wie ist das jetzt wenn der Mandant die (oder sein) Firma verlässt? Wie komme ich da raus aus der Verstrickung von Firma und ESt in einer Nummer? (damit der Mandant sein SmartLogin verwenden kann sah ich mich gezwungen dass so zu machen...)

Also kurz gesagt: "Meine Steuern" auf jeder ID individuell administrierbar machen und fertig 🙂

(so wie sagen wir bei "Belege" ja auch möglich, gegebenenfalls mit steuerberater-übergreifenden Berechtigungen)

@p_gölder: Das geht schon heute via Servicekontakt insofern beruflicher Smart Login und private Steuern beim gleichen Berater sind.

"Meine Steuern für Smartcard/Smartlogin administrierbar machen" Smart Login ID angeben.

Später in der Rechteverwaltung Online auf dem beruflichen SmartLogin die private Unterberaternummer des AN freigeben. Die Daten sind getrennt und Zugriff besteht über den beruflichen Smartlogin. Verlässt der AN das Unternehmen muss ein neuer SmartLogin für seine private Unterberaternummer angelegt werden.

Meine Steuern sollten Sie nie auf die Unterberaternummer der Firma anlegen. --> Datentrennungsgebot. Da können Sie in Teufelsküche kommen. Was ist denn wenn die Firma die Unterberaternummer kündigt und keine Sicherung der Daten macht? Dann sind die ESt Belege der der Angestellten weg?

Bitte nicht am Telefon bei der Rechteverwaltung abwimmeln lassen sondern darauf beharren, dass es geht.

Mich hat das zwei Mails und zwei Telefonate gekostet als ich dass das erst Mal eingerichtet habe.

Beim zweiten Mal wurde es "durchgewunken. Das wird nicht gerne gemacht weil es manuelle Arbeit für die Fachabteilung bedeutet.

Hallo Herr jjunker,

ja richtig, mittlerweile geht das. 
Nur leider ganz am Anfang nicht, bzw. man hat gesagt es geht nicht. Daher habe ich nun den ein oder anderen ESt Mandanten in der Firma drin, ein Gräuel. 

Wenn es Datentrennungsgebot geben sollte dann wäre es doch nicht schlecht wenn DATEV das vorher auch im Auge hat dass man Meine Steuern unter bestimmten Umständen nicht einrichten kann, also nicht auf die Firma. 

hat jemand eine Idee wie ich von dem Sachverhalt wieder wegkommen kann?

Meine Steuern des Mandanten löschen lassen und neu anlegen? Aber da sind ja schon Dokumente drin im Portal...