DATEV-Apps als Baukasten für Teams mit der Sicherheit der DATEV (Mandantenportal)

Im Idealfall sogar so, dass auch Dokumente aus dem DMS mit einem Klick an den Mandanten "veröffentlicht" werden können.

Grundsätzlich mag ich diese ganzen Ideen für Microsoft Teams und natürlich wäre es ein Traum diese Features zu haben, aber ist bei diesen Wünschen auch nur im Ansatz eine Aussicht auf Erfolg gewährleistet? Vieles widerspricht radikal dem Sicherheits- und Datenschutzkonzept der DATEV. Sehr viele Steuerberater können sich schon ein EO und ein DMS in der DATEV Cloud nicht vorstellen und wollen auch gar nicht das sensible Informationen wie Stamm- oder Adressdaten dort abgelegt werden, gleichzeitig wünscht man sich aber, dass man in der Mandantenübersicht Schnittstellen zu MS Teams hin etabliert, um sensible Daten wiederum in der Microsoft Cloud abzulegen.

Wie gesagt, ich würde viele der dargelegten Idee für die Zusammenarbeit mit Mandanten unterstützen, nur hat sich selbst die DATEV zu keiner einzigen bisher geäußert. Wenn dies alles wegen Sicherheit und Datenschutz sowieso nicht möglich oder sogar von der DATEV nicht gewollt ist, muss man an dieser Stelle erst gar nicht weitermachen. Bisher sagt DATEV, dass Benutzername/Passwort alleine zu unsicher ist und man deswegen auf SmartCard/Smartlogin setzt, wie bildet man das über Teams ab? Ich kann dem Mandanten kaum vorschreiben das er für seinen MS Account MFA aktiviert, ganz zu schweigen davon, dass MFA nur in den höherpreisigen Abo Modellen enthalten ist. Da gibt es viele konzeptionelle Fragen, bis man zu den Ideen kommt, was eigentlich über Schnittstellen mit MS Teams getauscht werden soll.

@Datev

Bitte einmal grundsätzlich dazu äußern, ohne auf einzelne Ideen einzugehen.

Wie gesagt, das macht alles nur sicherheitstechnisch Sinn, wenn DATEV zur 365-Cloud (wie damals die Telekom-Treuhänder-Cloud) wird und bspw. das Smart-Login als MFA-Ersatz verwenden kann. Dann ist die Sicherheit gegeben.

Aber richtig, wo bleiben die Beiträger von DATEV(-Mitarbeitern). Dürft oder wollt Ihr nicht?

---

@dombrowski schrieb:

Vieles widerspricht radikal dem Sicherheits- und Datenschutzkonzept der DATEV.

---

Ja, stimme ich zu. Auf der anderen Seite bietet DATEV im DATEVasp für einige Genossen, die es ausprobieren wollen, auch Microsoft365 Apps for Business an bzw. die großen E-Pläne. Dann scheint es hier ja prinzipiell weiter zu gehen. Wer welche Verantwortung übernimmt, kann ich nicht sagen. Noch sind wir keine Pilotanwender. Soweit ich das aber gesehen habe, ist (verständlicherweise) nirgends der Exchange Online dabei. Heißt, für Microsoft Teams was genau, wo über den Kalender z.B. Einladungen zu Meeting verschickt werden können und es der Kalender aus dem Exchange Postfach des Users ist?

DATEV wird sicher keine hybride Umgebung fahren und damit muss der Exchange dann bei DATEV stehen, wenn man DATEVasp hat und M365 will? Ja, es gibt auch DATEVasp individual Konstellationen und hat man dann nur einen Exchange 2013, der laut Microsoft offiziell nicht für Teams geeignet ist - Fragen über Fragen. 

---

@dombrowski schrieb:

Sehr viele Steuerberater können sich schon ein EO und ein DMS in der DATEV Cloud nicht vorstellen und wollen auch gar nicht das sensible Informationen wie Stamm- oder Adressdaten dort abgelegt werden

---

Wenn das tatsächlich so ist, ist das aber auch nicht zu Ende gedacht. Wir haben schon etliche Daten im DATEV RZ: meineSteuern, DUO, Kontoauszüge, digitale Personalakte, alle online Anwendungen, LODAS & Abrechnungen und dann macht man sich wegen EO und DMS Sorgen? 😳 Es gibt keinen sicheren Ort für Daten als im DATEV RZ. Ich mache da keine Werbung für aber was mir der jüngste Exchange Hack gezeigt hat: Das Katz und Mausspiel werden wir nie gewinnen können. Sage niemals nie aber in dem Fall ist es so. Wenn sich grundlegend nichts technisch ändert, können wir nur so schnell wie möglich alle Systeme patchen und im jüngsten Fall war auch nicht mal das ausreichend und man hatte den Salat, wenn man sich technisch nicht derart gut mit den Systemen auskennt und ich würde behaupten wollen, dass es für E-Mails beim DATEV hosted Exchange keinen sichereren Ort gibt. Dort arbeiten Mitarbeiter, die 24/7 die Lage im Blick haben und das Ganze auch schneller auffassen können als ein einzelner EDV Mitarbeiter, der sich um seine Systeme kümmert. Dass das Ganze im DATEV RZ weniger komfortabel ist, liegt in der Natur der Sache.

Und wenn ich teils mir anschaue, wie Server in Kanzlei "gesichert" werden - da ist das DATEV RZ 100x sicherer gegen. 

Auch da muss sich das allgemeine Mindset stark ändern. Nur weil ich die Daten quasi anschauen kann, wo sie liegen, heißt das lange nicht, dass diese auch dort sicher sind. Sei es der Tresor, der fehlt oder weil (Windows) Updates noch immer als nicht so wichtig eingestuft werden. Und da fängt's erst an ... Bug in Intels ME-Firmware: Wieder BIOS-Updates nötig 

@Axel_Neumann: Der DATEV ein wenig Zeit geben. Kann mir gut vorstellen, dass wir aus der Community uns wieder so abgefahrene Sachen und Funktionen wünschen 🤓, über die DATEV erstmal nachdenken muss, bevor DATEV hier ein ja oder nein abgibt. Wenn die Mehrheit der Denkweise so ist wie @dombrowski das ausführt, machen sich diejenigen keinerlei Gedanken um Teams / M365 und wie man das mit DATEV in Zukunft verbinden könnte - die Cloud ist ja böse 😈. 

@metalposaunist 

Zu dem Exchange Hack gibt es aber auch das Gegenbeispiel. Was passiert wenn bei deinem Cloud Anbieter mal eben 12.000 Server in Flammen aufgehen?

https://www.faz.net/aktuell/feuilleton/medien/groesstes-rechenzentrum-europas-brennt-komplett-nieder-17241629.html

Mag jetzt nicht so oft vorkommen, passierte aber.

Ich warte übrigens noch immer auf eine Äußerung der DATEV zu dieser und vielen anderen Ideen hinsichtlich Teams.

@Annekathrin_Bels Könnten Sie vielleicht die Kollegen auf die ganzen Ideen zu M365 & MS Teams aufmerksam machen? Bisher kam keinerlei Feedback und man fragt sich ein wenig, ob die Wünsche der Nutzer sich überhaupt in dem Fahrplan der DATEV widerspiegeln. Danke

Ich teste zur Zeit "Microsoft 365" inkl. MS Teams und Exchange Online u.a. Apps vorerst nur mit öffentlich zugänglichen Daten und bin natürlich stark an einer Aussage der Datev eG interessiert, ob "Microsoft 365" zeitnah und produktiv in der Datev-Steuerkanzlei eingesetzt werden kann.

---

@dombrowski schrieb:

Was passiert wenn bei deinem Cloud Anbieter mal eben 12.000 Server in Flammen aufgehen?

---

Auch richtig. Soweit ich aber gelesen habe, gab es dort nicht mal automatische Löschvorrichtungen oder Sprinkleranlagen / Zerstäuber, die das Feuer hätten schon eindämmen können. Also ist man hier nicht seiner Sorgfaltspflicht in meinen Augen nachgekommen. Daher muss man wohl auch dahingehend schauen, bei dem man das hostet. Wird weder bei DATEV noch bei Microsoft vorkommen. 

@dombrowski: Und soweit ich gelesen habe, ging die Ursache von einer kurz zuvor gewarteten USV aus. Und auch eine USV lokal in der Kanzlei kann sich ebenso entzünden und den Server daneben mitreißen. Also OVH ist jetzt nicht das beste Beispiel nicht in die Cloud zu gehen 😬.

Im Übrigen zeigt uns das wieder, wenn es wirklich die USV war, dass Elektroautos in meinen Augen auch nicht das gebe vom Ei sind aber das ist eine andere Diskussion.  

Es sind auch genau 3 Wochen nach der Microsoft365 Ideas Freigabe um. Ich würde der DATEV 4 Wochen geben, bis diese alles sammelt und dann einen internen Cut macht, das bequatscht und uns dazu ein Feedback geben kann. Die Entscheidungswege sind etwas länger und bevor hier jemand ja oder nein sagt und sich damit in die Nesseln setzt, wenn man die Aussage doch wieder revidieren muss, überlegt man sich die Antwort genau. 

Und was wir und @blum sich wünschen sind schon schicke, abgefahrene, zukunftsreiche Ideen 🤓😎, die gegen alle bisherigen DATEV Denken und Programme sprechen, weil eben Datenschutz mitunter Prio A hat. 

Hallo in die Runde,

kurz vorne Weg… Natürlich beobachten wir DATEV Ideas täglich, lesen mit, vermerken uns ihre Ideen und beginnen im Hintergrund die Ideen ins Haus zu tragen. Ich persönlich lasse der Diskussion auch gerne freien Lauf. Ich habe bereits mehrfach die Erfahrung gemacht, dass nach einem Post eines DATEV-Mitarbeiters die Diskussion ins Stocken kommt oder ganz aufgehöhrt hat. Dementsprechend halten wir uns hier eher etwas im Hintergrund. Sofern sie es anders sehen, werden wir uns natürlich gerne aktiver mit einbringen.  

Wie bereits in den Spielregeln und dem Startpost geschrieben, ist das Thema M365 nicht nur von unserem Willen, sondern vor allem vom Thema Datenschutz abhängig. Dies soll aber jetzt nicht zum Frust beitragen und Aussagen wie „Na dann wird eh nichts kommen“ führen! Wir bauen – unabhängig der Gegebenheiten - gerade in diesem Bereich Know-How auf und arbeiten bekanntlich bereits an M365 <> DATEV Szenarien/Schnittstellen, z.B. hier.

Das man sich für seine Idee ein sofortiges Feedback wünscht, kann ich natürlich nachvollziehen. Ich sag es aber ganz ehrlich – es ist nicht möglich. Sie alle haben bereits gute und umfangreiche Ideen eingebracht die aber mit einem ja/nein nicht beantwortet werden können oder anders gesagt, noch nicht 😊 Geben Sie uns die Zeit ihre Ideen unter verschiedenen Gesichtspunkten zu prüfen.  

@metalposaunist Die 4 Wochen werden da leider nicht reichen... 😞

@Axel_Neumann Natürlich dürfen wir 😉

@Stefan_Poersch 

Es geht auch nicht um ein Ja/Nein zu bestimmten Ideen, eher um eine ungefähre Richtung. Herr @blum hat zum Beispiel mehrere sehr abgefahrene / innovative Ideen skizziert. Ist das ein möglicher Weg und kann man in diese Richtung weiter Ideen präsentieren oder wird das schon im Keim erstickt, um Datenschutz und Datensicherheit gewährleisten zu können? An vielen dieser sehr langen Beiträge sitzen einige Kollegen mit Sicherheit Stunden. Wenn das vergebene Lebensmühe ist, darf man das gern erfahren 😉

Moin,

jetzt nachdem ich noch einmal darüber nachgedacht habe, ändere ich meinem Vorschlag dahingehend ab, dass die DATEV doch nicht als Treuhänder-Cloud für M365 auftreten muss. Nicht, dass ich das nicht als interessante Lösung empfinde, aber die Telekom ist an der Aktualisierung der Funktionen etc. gescheitert. Aber für meinen Vorschlag benötigen wir diese Sicherheit nicht, lediglich die Absicherung des Zugangs zu M365, sprich die Kopplung zwischen Smartlogin und dem Login für M365. Damit wäre geregelt, wer etwas sehen darf, weil der Benutzer auch im DATEV-Umfeld authentifiziert wäre. Damit und mit der Gestaltung der Apps als Webapplikationen, die lediglich einen lesenden Zugriff auf die DATEV-Daten zulassen, hätte man die notwendige Sicherheit in der beschriebenen Funktion. Alles schreibende würde ich dann über Formulare steuern, die beim Steuerberater aufschlagen und dieser wie beim Stammdatenabgleich die Änderung der Daten bestätigen oder verwerfen kann. Macht das Sinn? Was meint Ihr?

MdgV Axel Neumann

Moin Moin

Das grundlegende Problem mit Teams ist: Es unterliegt der US-Gesetzgebung. Deswegen gibt es Kontra von Datenschützern (EU und national). NAtürlich nicht nur Teams, sondern auch, was sonst MS an Daten abzweigt und was in der MS Cloud (also i.d.R. in OneDrive) gespeichert wird.

Bezüglich vieler Mandanten mag das irrelevant erscheinen - anders wird es mit Mandanten, die beispielsweise Tochterfirmen in Übersee haben.

Wenn eine Kanzlei auch in Übersee Mandanten hat, wird auch das, was in Temas erzählt/Gechattet wird möglicherweise zu einem Problem - wenn eine flapsige Bermerkung eine Einreise in die USA behindert.

Aus Sicht von MS ist es ein Problem, MS muss sich an US-Gesetze halten und damit gibt es keine rechtliche Grundlage nach der DSGVO.

Aus Sicht eines EU-UNternehmens bleibt da nur, mit zusätzlichen organisatorischen Maßnahmen abzusichern, so dass damit doch eine DSGVO konforme Verbindung gibt. 

Nur welche Maßnahmen gibt es???

Sperren von IP-Adressen? Das kann sich jederzeit ändern - und überhaupt, wer sagt, dass es alle relevanten IP-Adressen sind?

Sperren von URLs? Besser, aber werden, alle URLs publiziert? Und mit welche IP-Adressen sind sie verknüpft? Wichtig, damit nicht irgendeine Adresse durchschlüpft.

ICh fgühre da nicht weiter aus, es ist auch so offensichtlich, diese Maßnahmen in den Griff zu bekommen ist schwer. Bei Teams erscheint es mir praktisch unmöglich.

Naja, es ist nicht nur Teams. Es ist die MS-Cloud grundlegend. 

Die MS-Stretgie ist, alles in die Cloud zu verlegen. Das hat oft schon den Anschein von Nötigung.

Auch Teams kölnnte ohne Cloud funktionieren einschließlich all den andern Zusatzangeboten. Es ist MS-Strategie, dass das nicht geht. Führt zum MS-Eiertanz bzgl. der DSGVO, was angesichts der Datenschutz- und sonstigen Vertragbestandteilen (eh unübersichtlich für mich als Prüfer) mich nicht verwundert.

"Server in Deutschland" hilft da auch nicht, denn auch für diese Server soll US-Gesetz gelten, sagt die US-Administration und die ist für MS-maßgeblich.

Es ist echt Mist! Es geht rechtlich nur über eigene abwehrende Maßnahmen. MS sagt aber auch nicht alles - und damit ist es dann immer ein Glücksspiel ...

Immerhin, wenn man alles was MS veröffentlich beherzigt, dann bleiben ggf. Regressansprüche (hoffentlich).

Sorry, aber bisher habe ich kein Konzept gesehen, dass die Datenschutzprobleme behebt. MS selber kann es nicht - wobei ich Ihnen gerne unterstelle, dass sie es würden, so sie es könnten - sofern sie die Cloud-Strategie wenigstens teilweise aufgeben. Und leider ist es wohl auch so, dass die US-Regierung, die derzeit den Hauptschlüssel in der Hand hält, da keine Bereitschaft zeigt.

Sprich, alles was mit Teams zu tun hat, ist gar nicht oder nur "sauschwer" umzusetzen. Liegt aber nicht am Datenschutz, sondern an den Begehrlichkeiten anderer.

QJ