Einen direkten Tipp nicht, aber googlen kann ich. 😁

muster zustimmung unverschlüsselte datenübermittlung 

Gibt viele Treffer und z.B. auch ein Muster, das man als Inspiration nutzen könnte.

Hören Sie, die Community Mitglieder, auch den Datenschutz und die IT-Security weinen? 

deswegen frage ich ja wie andere Kanzlein das handhaben. Und wir selbst wollen keine Diskussionen mehr und würden es für diejenigen die darauf drängen gern möglich machen auf deren Verantwortung. Aber schön so, dass wir nicht eine Haftung oder einen Datenverstoß kommen.

Ich habe schon gesehen 

1. Passus im Steuerberatungsvertrag

2. Disclaimer in den versandten E-Mails mit Hinweis auf die Transportverschlüsselung

Jede Email ist normalerweise TSL verschlüsselt, das reicht aus. Es gibts Services, die den Einsatz der TLS prüfen, damit wäre die rechtliche Seite sauber. 

Nur weil eine Mail normalerweise transportverschlüsselt wird, kann man als Sender leider nicht garantieren, dass das auch immer so ist. Und die Betreiber von Mailservern (oft in Übersee) könnten trotz Tranportverschlüsselung in der Regel auch mitlesen.

So einfach ist es leider nicht.

MfG, F.Lange

---

@flange  schrieb:

Nur weil eine Mail normalerweise transportverschlüsselt wird, kann man als Sender leider nicht garantieren, dass das auch immer so ist. 

---

??? Dann gerne meinen Beitrag zu Ende lesen 🙄 Da steht, dass es SERVICES gibt, die genau dieses prüfen, comcrypto z.B. kann das. Ich weiß durchaus, was normalerweise bedeutet, deswegen habe ich es ja geschrieben...

Damit wollte ich darauf hinweisen, dass nur Einzelfälle nicht verschlüsselt laufen und es durchaus eine Option ist, diese herauszufiltern und einzeln zu bearbeiten. Das würde ja keinen Sinn machen, wenn die Mails nur vereinzelt transportverschlüsselt sind. 

an der TLS-(Transport-)Verschlüsselung stört mich nach wie vor, dass das Mitlesen der E-Mails nicht vollständig verhindert wird. An einigen Stellen auf dem Transportweg, z.B. bei den beteiligten E-Mail-Providern, liegen die E-Mails im Klartext vor.

Aber mich stört auch bei der Ende-zu-Ende-Verschlüsselung, dass die so (eigentlich sehr gut) verschlüsselten E-Mails oder Dokumente am Ende (z.B. in der Kanzlei oder im Unternehmen) doch wieder entschlüsselt abgelegt werden. Somit wird zwar das Mitlesen außerhalb der Quelle und des Ziels, nicht aber das Mitlesen der vertraulichen E-Mails und Dokumente am Ziel verhindert.

Es gibt für Außenstehende viele Möglichkeiten, diese 'Informationsquellen' anzuzapfen, z.B. auf Seiten der Mitarbeiter, auf Seiten der IT-Betreuer und ggfs. weiteren Personen oder gar durch 'Spionage-'Software

Hallo @irisla ,

ich habe folgenden Passus in meine AAB formuliert, die ich mir unterzeichnen lasse:

"k) Der Steuerberater hat beim Versand bzw. der Übermittlung von Unterlagen, Dokumenten, Arbeitsergebnissen etc. auf Papier oder in elektronischer Form die Verschwiegenheitsverpflichtung zu beachten.
Der Mandant stellt seinerseits sicher, dass er als Empfänger ebenfalls alle Sicherungsmaßnahmen beachtet, dass die ihm zugeleiteten Papiere oder Dateien nur den hierfür zuständigen Stellen zugehen.

Dies gilt insbesondere auch für den E-Mail-Verkehr. Zum Schutz der überlassenen Dokumente und Dateien sind die entsprechenden technischen und organisatorischen Maßnahmen zu treffen.
Gem. Bundessteuerberaterkammer v. 07.02.2019 i.V. mit diesen AAB erfolgt die standardisierte Zustellung mit Transportverschlüsselung (TLS).
Sollten auf Wunsch des Mandanten, besondere, über dieses normale Maß hinausgehende Vorkehrungen getroffen werden müssen, so ist eine entsprechende schriftliche Vereinbarung über die Beachtung zusätzlicher, sicherheitsrelevanter Maßnahmen zu treffen, insbesondere ob im E-Mail-Verkehr eine stärkere Verschlüsselung vorgenommen
werden muss."

---

@RAHagena  schrieb:

Jede Email ist normalerweise TSL verschlüsselt, das reicht aus. Es gibts Services, die den Einsatz der TLS prüfen, damit wäre die rechtliche Seite sauber. 

---

Die Zeiten sind vorbei: https://www.gesetze-rechtsprechung.sh.juris.de/bssh/document/NJRE001598708

---

@cwes  schrieb:

---

@RAHagena  schrieb:

Jede Email ist normalerweise TSL verschlüsselt, das reicht aus. Es gibts Services, die den Einsatz der TLS prüfen, damit wäre die rechtliche Seite sauber. 

---

Die Zeiten sind vorbei: https://www.gesetze-rechtsprechung.sh.juris.de/bssh/document/NJRE001598708

---

Mir lag gerade im Finger auf die Entscheidung des OLG Schleswig zu verweisen.  Allerdings betrifft diese Entscheidung den B2C-Verkehr und ist im Detail recht angreifbar.

Für den Bereich des B2B hat das OLG Karlsruhe am 27.07.2023, Az. 19 U 83/22, eine etwas anwenderfreundlichere Entscheidung getroffen (TLS als "Stand der Technik" noch ausreichend).

Das irgendeines der Muster im Lichte der Rechtsprechung zur Haftungsfreizeichnung tatsächlich "wasserdicht" ist, würde ich nicht unterschreiben. 

Ein Restrisiko bleibt und sollte nach Möglichkeit durch den Einsatz von Alternativen, wie MyDATEV Kanzlei etc. umgangen werden. Eine nur mittelprächtig funktionierenden Portallösung ist meiner Meinung nach unter Haftungs- und Verschwiegenheitsaspekten Lichtjahre besser, als die unverschlüsselte E-Mail-Kommunikation.

Ich wäre froh, wenn endlich die Voraussetzungen für dessen Verwendung auch für meine Berufsgruppe möglich geschaffen würden. 

Na ja, die "Zeiten sind längst nicht vorbei", weil das OLG Schleswig etwas zum Besten gibt.

Der Schluss ist zumeist wichtig:

"104 Die Revision wird gemäß § 544 Abs. 2 Nr. 1 ZPO zugelassen. Die Frage, welches Schutzniveau vom Verarbeiter gem. Art. 24, 32 DSGVO beim Versand geschäftlicher Emails mit personenbezogenen Daten, insbesondere mit angehängten Rechnungen, einzuhalten ist, ist höchstrichterlich noch nicht geklärt."

Ferner betrifft dieses Urteil m.E. ausschließlich den b2c-Bereich, also im Falle der Steuerberatung nur den Bereich der ausschließlichen Privatsteuern (ESt, ErbSt, ...). Den wesentlichen Mandatsbereich des b2b-Bereich erfasst dieses Urteil m.E. nicht bzw. wäre anders zu würdigen.

Das Problem wird mit der https://www.europeanpaymentscouncil.eu/what-we-do/other-schemes/verification-payee ab Oktober sowieso obsolet.

Mit einer Revision im vorliegendem Fall ist durchaus zu rechnen.

Hier wurde m.E. schon etwas schwammig argumentiert (...der Kläger konnte nicht beweisen, dass er dem Beklagten sagte, dass er mit TLS verschlüsseln würde RZ21) und konstruiert.

Wer Problem erst gar nicht enstehen lassen möchte, vereinbart die TLS ganz einfach... (siehe oben) hätte dem Handwerksbetrieb m.E. auch den ganzen Ärger erspart und sind wir mal ehrlich:

Hat dieses Urteil überhaupt (noch) eine Relevanz für die Steuerkanzlei und darauf zielte der Eingangsbeitrag von @irisla  ja ab ?

Liebe Community, wir haben Mandanten die wollen absolut keine Verschlüsselung ihrer Daten, wenn wir diese digital versenden. Wir würden dem Wunsch gern nachgehen. ABER, wir möchten uns bei diesen Mandanten auch absichern in Form einer Freigabe mit ihrer Unterschrift, dass wir hier wirklich die Daten unverschlüsselt an sie versenden dürfen. 

---

@irisla  schrieb:

ABER, wir möchten uns bei diesen Mandanten auch absichern in Form einer Freigabe mit ihrer Unterschrift, dass wir hier wirklich die Daten unverschlüsselt an sie versenden dürfen. 

Beachten Sie, dass eine Zustimmung vom Mandant Sie nicht schützt wenn bspw. Fehler in der Kanzlei gemacht werden. Das häufigste Beispiel wäre hier ein falscher Empfänger (z.b. durch Tippfehler). Bei Nutzung von TLS laufen Sie hier mMn komplett in die Haftung.

Auch ergeben sich eventuell Probleme mit Daten von Dritten die in Ihrer Kommunikation enthalten sind, z.B. Mitarbeiter des Mandanten, Kunden des Mandanten (wenn Verbraucher). Die Zustimmung zur offenen Kommunikation durch den Mandanten erfolgt wahrscheinlich nicht ebenfalls in Namen der Mitarbeiter und Kunden. Während sich hier die Frage des Pflichtverstoßes sicherlich auf den Mandanten abschieben ließe, wäre das mir einfach zu stressig. Falls in Falle eines Vorfalls dann doch etwas an der Kanzlei hängen bleibt ...

die DSGVO hat viele "Pfeile im Köcher",

die Frage ist nur, ob sie jemals abgeschickt wurden oder abgeschickt werden , ob sie 'stumpf' oder 'spitz', gefährlich oder harmlos sind.

Ich habe schon mehrere unangenehme Streitereien und Drohungen zum Thema DSGVO erlebt. Zu einer konkreten, juristischen Auseinandersetzung ist es allerdings (noch) nicht gekommen. Ich kann auch gut darauf verzichten. 

Leistungs-, Funktions- und Preisvergleiche sind mir jedenfalls viel lieber als gerichtliche Vergleiche 😎

---

@TLudwig  schrieb:

---

Bei Nutzung von TLS laufen Sie hier mMn komplett in die Haftung.

Ist dem so ? Q.E.D. ! 

Abgesehen davon:

Sämtliche Eventualitäten im Leben und Beruf lassen sich niemals abdecken und es ist stets abzuwägen, wie und mit welchem Einsatz, welches Resultat erreicht werden kann.

Ich kannte einen Kollegen, der eine chronische Haftungsphobie entwickelte und der dadurch nahezu beratungs- und quasi berufsunfähig wurde; das ist kein Scherz !

Ca. 90% meiner Mandate lehnen eine end-to-end, wie bei @irisla , kategorisch ab.

Und nun ?

Zwang ?

Mandatskündigung ?

Tippfehler bei der Eingabe der E-Mail-Adresse ? Hmm . . . Bei allem Respekt @TLudwig , aber dies ist schon sehr theorethisch und jeder hat doch Möglichkeiten im Vorfeld diesbezüglich Sicherheitsmaßnahmen zu treffen, die fehlerhafte Adressangaben gegen Null führen.

Es ist grade so, als warne man davor, auf ein Kuvert den falschen Namen und die falsche Adresse zu schreiben, damit ein Brief nicht fehlversendet wird oder man drauf hinweist, den Brief ins richtige Kuvert zu packen . . .

Wie oft tippt man eine E-Mail-Adresse bei Mandanten ein?

Nie, weil Adressbuch/Stammdaten.

Wie oft erfolgt sodann tatsächlich eine Fehlzustellung?

Ich persönlich nutze E-Mail seit 1996 und kann mich tatsächlich daran erinnern, Anfang der 2000er Jahre eine Fehlzustellung ausgelöst zu haben. "Auto-Vervollständigen" war da der Auslöser und ist bei uns schon seit Jahren kanzleiweit deaktiviert.

Wenn dann eine Fehlzustellung tatsächlich in einem von hundertausend Fällen vorkommen würde, in wie viel Fällen sind dann wiederum vertrauliche Daten, ggf. dann sogar Dritter, enthalten und wie erhält der Dritte dann auch noch Kenntnis davon ?

Würde jemand den richtigen Empfänger oder einen enthaltenen Dritten bei der "Datenpanne" informieren, wenngleich er dazu nicht berechtigt ist und sich selbst u.U. haftbar nach  Art. 82 und 34 DSGVO machen würde?

.

.

Ein aufgezähltes Vorkommnis bedingt bereits das Zutreffen des Vorigen . . .

... und zuletzt muss ein Schaden entstanden sein, gerichtlich festgestellt werden, dann wieder die Schuldfrage geklärt und irgendwann eine Haftungsschuld ausgelöst werden.

Man mag mir Pragmatismus vorwerfen können, aber so manches Mal ist es für mich schon recht erstaunlich, auf was Allem man die größten Haftungsprobleme konstruieren kann.

"Last but not least" muss natürlich jeder selbst entscheiden "was er alles für nichts tun will" . . . 

Ich hole kontextuell mal etwas aus:

1. In einer StB-Kanzlei ist das Thema Datenschutz in den seltensten Fällen ein Thema der DSGVO, da StBerG § 57 Abs. 1 im Grundsatz viel weiter greift. Das Wort "alles" ist juristisch wenig anfechtbar. Da gibt es kein grau.

In der BOStB § 5 Abs. 2 wird zwar die Möglichkeit der Entbindung von der Verschwiegenheitspflicht aufgeführt, allerdings ist Abs. 3 wiederum recht unmissverständlich:

Steuerberater müssen dafür sorgen, dass Unbefugte während und nach Beendigung ihrer beruflichen Tätigkeit keinen Einblick in Mandantenunterlagen und Mandanten betreffende Unterlagen erhalten.

Wenn durch die Nutzung von TLS nun Unbefugte Einblick in Mandantenunterlagen erhalten, haben wir sowohl einen Verstoß gegen § 5 Abs. 3 der BO (muss sich die Kammer drum kümmern), mMn aber eben auch einen Verstoß gegen § 57 Abs. 1 StBerG. 

Sie gilt nicht für Tatsachen, die offenkundig sind oder ihrer Bedeutung nach keiner Geheimhaltung bedürfen.

Immerhin hat man die Chance, dass Satz 3 greift, wenn man sich nur einen schönen Urlaub wünscht. Vorausgesetzt, das Mandatsverhältnis selbst ist öffentlich. Ich vermute allerdings, dass das bei den meisten Mandanten nicht der Fall sein wird.

2. Die Folgen von Verstößen gegen die berufliche Verschwiegenheit oder die DSGVO sind halt sehr schwammig, wenngleich sich das über die letzten 2-3 Jahre bereits erheblich ändert, zumindest bei der DSGVO wird stärker durchgegriffen und empfindliche Strafen verhängt. Aktuelle Beispiele bei denen die Summen öffentlich sind:

03.06.2025	45.000.000 €	Vodafone	Unzureichende Überprüfung und Überwachung von Unterauftragnehmern und Sicherheitsmängel im Onlineportal.
31.12.2024	496.000 €	Finanz-Unternehmen	Verspätetes Informieren von Betroffenen eines Sicherheitsvorfalls.
12.11.2024	900.000 €	Dienstleister	Aufbewahrung personenbezogener Daten über Löschfristen hinaus.

Vielleicht braucht es auch hier mal den Turbo, damit die Ansicht "merkt ja keiner", "weiß ja keiner", "passiert ja nix" verschwindet.

3. Dem Mandanten sind diese Sachen meist auch nur so lange egal und lästig, bis ihm bedauerlicherweise mal ein Schaden entsteht. Wenn sich dann die Ansicht des Mandanten ändert, halten die Vereinbarungen hoffentlich stand. Und man hat auch vorweg ausreichend aufgeklärt, wenn es B2C ist.

@deusex  schrieb:

---

@TLudwig  schrieb:

---

Bei Nutzung von TLS laufen Sie hier mMn komplett in die Haftung.

Ist dem so ? Q.E.D. ! 

Die versehentliche Weitergabe von Mandanteninformationen, inkl. der Information über die Mandantschaft selbst, verstößt immer gegen § 57 StBerG. Bei vollständiger Verschlüsselung werden keine Informationen preisgegeben und die Haftung bleibt aus.

Ca. 90% meiner Mandate lehnen eine end-to-end, wie bei @irisla , kategorisch ab.

Und nun ?

Zwang ?

Mandatskündigung ?

irisla fragte nach "absichern", "konform" und "sicher". Vielleicht liegt die Lösung in der Akzeptanz, dass es halt nicht "konform" und "sicher" geht.

Das Finanzamt, Krankenversicherungen und viele weitere Unternehmen interessiert es übrigens nicht im geringsten, ob Sie gerne unverschlüsselt kommunizieren möchten. Die geben das halt vor, inkl. den möglichen Kommunikationswegen. Es muss ja auch nicht unbedingt immer die E-Mail sein, samt dem unermüdlichen Versuch ein unsicheres Medium sicher zu basteln.

Tippfehler bei der Eingabe der E-Mail-Adresse ? Hmm . . . Bei allem Respekt @TLudwig , aber dies ist schon sehr theorethisch und jeder hat doch Möglichkeiten im Vorfeld diesbezüglich Sicherheitsmaßnahmen zu treffen, die fehlerhafte Adressangaben gegen Null führen.

Es ist grade so, als warne man davor, auf ein Kuvert den falschen Namen und die falsche Adresse zu schreiben, damit eine Brief nicht fehlversendet wird.

 

Wie oft tippt man eine E-Mail-Adresse bei Mandanten ein?

Nie, weil Adressbuch/Stammdaten.

Wir wissen beide, wie häufig dieser Fall in der Realität auftaucht. Oder die Rundmail an die Mandanten mit CC statt BCC. Menschen machen Fehler und Menschen tippen Mail-Adressen falsch ab. Oder setzen die falsche Person mit ins CC.

Würde jemand den richtigen Empfänger oder einen enthaltenen Dritten bei der "Datenpanne" informieren, wenngleich er dazu nicht berechtigt ist und sich selbst u.U. haftbar nach  Art. 82 und 34 DSGVO machen würde?

Sie sind als Verursacher der Datenpanne sogar verpflichtet diese zu melden und den richtigen Empfänger über die (eventuell) preisgegebenen Daten zu informieren. Auf Art. 34 DSGVO weisen Sie ja hin, siehe auch die Strafe vom 31.12.2024 aus obiger Liste.  

Man mag mir Pragmatismus vorwerfen können, aber so manches Mal ist es für mich schon recht erstaunlich, wie man aus fast Nichts, die größten Probleme konstruieren kann.

---

Vielleicht unterscheiden wir uns da fundamental. Ordentlicher Datenschutz oder in diesem Kontext eher Verschwiegenheit, haben mMn einfach keinen Spielraum für Pragmatismus. Entweder schütze ich die Daten, oder ich schütze Sie nicht. So ein kleines bisschen zu sichern und sich das dann selbst schönreden, ist selten die Lösung.

>> deswegen frage ich ja wie andere Kanzlein das handhaben.

Also wir nutzen dazu die DATEV Kanzleibox. Bei befreundeten Kollegen habe ich aber auch schon andere Portale im Einsatz gesehen. 

So ein kleines bisschen zu sichern und sich das dann selbst schönreden, ist selten die Lösung.

Woraus entstammt Ihre Kenntnis eines "Schönredens" ?

Nun, danke für die Ausführungen, die letztlich nichts an den meinigen und meiner Haltung ändern und ergänze, dass ich sogar eine Haftung für Fehlzustellungen ausschließen würde, wenn einer TSL ausdrücklich durch den Mandanten zugestimmt wird.

Das Argument, dass man mit der Zustimmung auch eine evtl. Fehlzustellung in Kauf nimmt, wird ein Richter sicherlich gewogen bewerten, denn der Mandant wurde schließlich ausdrücklich darauf hingewiesen, dass er eine höhere Sicherheitsstufe wählen kann.

Sie haben in einem Punkt vollkommen recht:

Unsere Auffassung hierzu liegt fast diametral zu einander und bin nun wieder umso mehr von meiner Vorgehensweise überzeugt, denn genau das was im Einzelnen geschildert wird, ist praktisch nicht oder kaum umsetzbar.

Sie übergehen u.a. die Ablehnung von 95% der Mandanten und mir scheint, Sie arbeiten diesbezüglich eher im rechtlichen background oder IT-Sicherheit und nicht in der Steuerkanzlei (soll nicht wertend sein), denn wenn der Mandant offen sagt, wenn das nicht geht, geht er woanders hin, bin ich irgendwann zwar ein Held des §57, aber auch pleite . . .

Ferner widerspreche in dem Kontext auch ausdrücklich der Aussage, dass es beim Datenschutz nur eine Alles-oder-Nichts bzw. Schwarz-weiß-Sicht gibt. Es gibt keinen ultimativen, endgültigen Datenschutz.

Offenbar ist sich die BStbK mit ihrer Verlautbarung aus 2019/2024 den Umständen durchaus bewusst und debattiert nicht auf einer theoretischen Metaebene, sondern begibt sich in die Kanzleisphäre.

Hieran gilt es sich zu orientieren und die entsprechenden Vorkehrungen zu treffen. Wäre TLS grundsätzlich unzureichend, wäre dies entsprechend kommunziert:

Verlautbarung BStBK - Umgang mit personenbezogenen Daten d. Stb 

Der Vollständigkeit halber verweise ich konkret auf 5.4: Bei Abschluss des Mandatsvertrages werden mit dem Mandanten die Wege und Regeln der elektronischen Kommunikation vereinbart.

Genau das gilt, das erfülle ich und daher meine Empfehlung nach wie vor:

• Arbeiten sie praxisorientiert mit der TLS-Verschlüsselung,
• und lassen sie sich dies schriftlich bestätigen.
• Informieren sie die Mandanten zu evtl. Risiken der TLS-Verschlüsselung.
• Schätzen Sie ihre eigenen Risiken sorgsam ab,
• und lassen Sie sich nicht ständig vom "Haftungsgespenst" ins Bockshorn jagen.
• Nutzen Sie Meine Steuern für die Überlassung von Dokumenten und Unterlagen aus der Kanzlei an den Mandanten (was übrigens sehr gut angenommen wird).
• Sprechen Sie gerne mit Ihrer zuständigen Kammer, auch in Bezug auf die Verlautbarung der BStbK. Absolution wird dadurch zwar nicht zuteil, aber Sie erhalten, wertvolle Hinweise zum Umgang mit dem Thema.

Mit MyDATEV Portal führt die DATEV eine eigene Plattform zur kollaborativen Zusammenarbeit Mandant-Kanzlei an, die die E-Mail-Problematik hinfällig machen könnte.

Im Moment sehe leider noch nicht den notwendigen Leistungsumfang gegeben und die Kommunikationsmöglichkeit via Portal stößt nach wie vor auf wenig Zustimmung, womit die E-Mail bei uns zumindest für die schnelle Korrespondenz noch mittelfristig Hauptkommunikationsweg bleiben wird.

Ich denke, @TLudwig die beiden Sichtweisen aufzuzeigen sind für die Meinungsbildung durchaus wichtig.... wobei mir natürlich schon der Satz in den Ohren klingelt:

Beim Datenschutz gibt es keine zwei Meinungen 😉 .

@deusex  schrieb:

So ein kleines bisschen zu sichern und sich das dann selbst schönreden, ist selten die Lösung.

Woraus entstammt Ihre Kenntnis eines "Schönredens" ?

TLS als ausreichende Kommunikationssicherung anzusehen, ist für mich schönreden. Oder anders ausgedrückt, die grundsätzliche Suche nach Wegen und Möglichkeiten mit TLS auszukommen, obwohl man weiß, dass es halt nicht sicher ist. Und man den Mandanten explizit drauf hinweist, dass es nicht sicher ist. Und man sich dann umdreht und sagt, "naja .. aber anders geht es ja nicht". Genau das ist Schönreden. 😉 

Hierzu muss der Steuerberater sicherstellen, dass die E-Mail auf dem Transportweg verschlüsselt ist und sich die Server der E-Mail-Provider des Steuerberaters und des Empfängers in Deutschland befinden.

Es wird ihnen schwerlich möglich sein die Server-Standorte der E-Mail-Provider ihrer Mandanten zu überprüfen. Wie löst man diese Anforderung denn im Alltag dann pragmatisch?

Es ist ihm zu erläutern, dass diese Zustimmung durch ihn ohne Vertretungsmacht nicht für die Daten Dritter, wie z. B. von Beschäftigten, Kindern, Ehepartnern etc., abgegeben werden kann.

Sie können in der täglichen Kommunikation mit Mandanten gar nicht überblicken, ob Sie von jedem Dritten, der in den Daten eventuell auftaucht, eine persönliche Einverständnis haben. Geschweige denn diese auch sinnvoll einholen. Pragmatisch ist für mich anders.

Ohne Verschlüsselung oder eine Portallösung sind die Anforderungen nach § 57 StBerG mMn nicht realistisch umsetzbar. Die Handlungsempfehlungen der BStBK scheitern an den Einschränkungen, die es auch mit Zustimmung der Mandanten immer noch gibt. Denn TLS-Versand mit Zustimmung klingt nur praktisch, wenn man nicht liest was unter dem Sternchen im Kleingedruckten steht.

Übrigens: Ich bin grundsätzlich der Meinung, dass hier jeder die Freiheit hat, auf eigenes Risiko, die Anforderungen und Maßnahmen so umzusetzen, wie man das selbst für richtig hält. Aber wieso sollte ich jemandem empfehlen die Dinge falsch und damit rechtlich unsicher zu machen, besonders wenn explizit nach "sicher" und "konform" gefragt wurde?

---

@deusex  schrieb:

Sie übergehen u.a. die Ablehnung von 95% der Mandanten [...] denn wenn der Mandant offen sagt, wenn das nicht geht, geht er woanders hin, bin ich irgendwann zwar ein Held des §57, aber auch pleite . . .

Das habe ich nicht übergangen, ich bin doch konkret drauf eingegangen.

Verdeutlicht: Sie geben als Kanzlei den Weg vor. Bei der Belegeinreichung entscheiden Sie ob Sie Papier annehmen oder nicht. Sie entscheiden ob Sie die Durchwahl der Mitarbeiter an den Mandanten geben oder nicht. Sie entscheiden ob verschlüsselt kommuniziert wird oder nicht.

Ich kenne mehrere Kanzleien die konsequent eine Portallösung zur Kommunikation nutzen und definitiv nicht pleite sind. Eher im Gegenteil.

Ich kenne auch eine Kanzlei die per Mail ausschließlich Ende-zu-Ende-verschlüsselt kommuniziert. Auch nicht pleite.

Das Argument, dass einem die Mandanten weglaufen halte ich für eins der schwächsten Argumente im Gesamt-Kontext der digitalen Zusammenarbeit, egal ob Belegwesen oder Kommunikation.

und mir scheint, Sie arbeiten diesbezüglich eher im rechtlichen background oder IT-Sicherheit und nicht in der Steuerkanzlei (soll nicht wertend sein)

Ich habe einen IT-Background, und arbeite in der Steuerkanzlei. Mir sind praktische Limitierungen sehr bewusst. Ich weiß aber auch, dass die allermeisten Mandanten problemlos mitmachen, wenn man ihnen eine ordentliche Lösung präsentiert. Kisten mit Belegen bringt Ihnen hoffentlich auch keiner mehr vorbei.

Nun ich denke, das Meiste ist ausgetauscht, möchte aber noch etwas richtigstellen, da offenbar jetzt ein wenig die Fantasie durchgeht.

Und man sich dann umdreht und sagt, "naja .. aber anders geht es ja nicht". Genau das ist Schönreden. 

Ich hatte niemals behauptet, eine bessere Verschlüsselung abzulehnen oder gar zu verweigern !

Jeder Empfänger hat stets die Möglichkeit eine stärker Verschlüsselung wählen, was vereinbart werden kann und auf was ich ausdrücklich hinweise, aber letztlich"Nullbedarf" besteht; ja sogar wissentlich und willentlich darauf verzichtet werden möchte.

Die TLS lasse ich mir zur Debattenreduzierung als Standardwunsch dennoch bestätigen:

Gelöst: Digitale Unterlagen ohne Verschlüsselung bereitste... - DATEV-Community - 500513 

Der "Bestrafte" im Urteil des OLG Schleswig wäre damit nicht bestraft worden; denn das war der strittige Punkt.

Nun hierzu vielleicht doch noch eine Anmerkung:

Ich weiß aber auch, dass die allermeisten Mandanten problemlos mitmachen, wenn man ihnen eine ordentliche Lösung präsentiert. 

Kisten mit Belegen bringt Ihnen hoffentlich auch keiner mehr vorbei.

Wissen, Glaube oder Wunsch Vater des Gedanken ? Möglicherweise eine stark abweichende Mandatsstruktur oder regionale Unterschiede? Man weiß es nicht.

Gerade die Portalkommunikation ist wohl eher so semierfolgreich , wie ich aus Gesprächen mit Bank und Krankenversicherung entnommen habe; obwohl die Lösungen "ordentlich" sind und ich sie persönlich eifrig nutze.

In Steuerkanzleien arbeitet man allerdings wohl offenbar noch weitgehend höchstens "hybrid".

Die Arbeitsabläufe der Kanzlei geben selbstverständlich wir vor, aber verbieten Sie Ihren Mandanten, Sie anzurufen, weil Ihre Workflows keine Anrufe vorsehen und/oder nur schriftlich kommunzieren wollen ? Kann man machen . . . 

Seit 2013 sind bei uns ALLE laufenden Mandanten-Buchführungen auf digitales Belegbuchen (UO) umgestellt und die Quote liegt seit zwei Jahren bei 100%; also digitale Berührungsängste sind weder auf Kanzlei- noch Mandatsseite gegeben.

In diesem Zeitraum wurde und wird annähernd alles digitalisiert, was möglich war und heute verlässt hier kein Blatt Papier das Büro, das nicht zuvor (versehentlich) als Original das Büro "betrat" oder old-school-Jahresbuchführungen von Kleinstmandaten sind.

Mit Einführung von Unternehmen online und Meine Steuern, gingen wir dazu über, sensible Dokumente und sämtliche Arbeitsergebnisse ausschließlich digital bereitzustellen, womit im E-Mail-Verkehr im Prinzip keine sensiblen Dokumente/Daten übermittelt werden, die proaktiv überlassen werden und trotz allem bleibt die E-Mail m.E. die nächsten Jahre noch das primäre Kommunikationsmittel.

Die Vorgaben "Standort" und "Dritte" (zur BStbK) sind m.E. relativ nicht sonderlich schwer zu lösen. . . und bevor hier ein falscher Verdacht aufkommt:

TLS ist nach wie vor eine sichere Übertragungsmöglichkeit.

Last but not least, das wurde wohl etwa missverstanden . . .

Aber wieso sollte ich jemandem empfehlen die Dinge falsch und damit rechtlich unsicher zu machen, besonders wenn explizit nach "sicher" und "konform" gefragt wurde?

. . . denn das wurde doch angefragt:

Liebe Community, wir haben Mandanten die wollen absolut keine Verschlüsselung ihrer Daten, wenn wir diese digital versenden. Wir würden dem Wunsch gern nachgehen. ABER, wir möchten uns bei diesen Mandanten auch absichern in Form einer Freigabe mit ihrer Unterschrift, dass wir hier wirklich die Daten unverschlüsselt an sie versenden dürfen. 

Jetzt fehlt mir aber tatsächlich eine Idee wie man sowas konform und sicher formuliert.

Hier würde ich der Formulierung "absolut keine Verschlüsselung" so interpretieren, dass keine zusätzliche Verschlüsselung über die bereits vorhandene Standardverschlüsselung eingeführt werden soll, die zusätzlichen Aufwand oder Barrieren bedeuten könnte.

Jedenfalls ein wertvoller Austausch @TLudwig . Danke dafür.

Wir haben folgende E-Mail Vorlage und dies müssen uns alle Mandanten bestätigen, welche keine MeineSteuern nutzen:

Beispiel

Anrede...

aufgrund der aktuellen Datenschutzbestimmungen, benötigen wir Ihre schriftliche Zustimmung.

Einwilligung der Datenübermittlung per E-Mail

Möchten Sie das Duplikat der Steuererklärung und künftige Unterlagen weiterhin in Papierform von uns erhalten oder digital per E-Mail?

Bei der digitalen Variante bieten wir Ihnen die verschlüsselte- (mit Passwort für die PDF-Dateien) und die unverschlüsselte Variante an.

Bitte um kurze Rückmeldung per E-Mail vollkommen ausreichend.

Signatur"

--------------------------------------------------------------------------------------------------------------------------

Mit MeineSteuern Zugang, stellen wir alle Unterlagen/Erklärungen/Bescheide direkt in MeineSteuern ein = Datenschutzproblem gelöst.

Ich merke schon ich muss mich UNBEDINGT an das Thema MEINE STEUERN ranmachen und diesen Weg als den künftigen anvisieren. DANKE für den Hinweis.

@irisla 

Kleiner Tipp:

Wir nehmen Neumandanten nur noch mit MeineSteuern Zugang auf, dies erleichtert die Arbeit ohne Ende, ist schneller und auch ohne Ordner schleppen im Homeoffice möglich.

Das Ganze ist ja bekanntlich mehr, als die Summe seiner Teile.

Der Vollständigkeit halber sollte noch die "digitale Signatur für E-Mails" als weiteres Sicherheitsfeature für die E-Mail-Versendung erwähnt werden (kein Ersatz für Verschlüsselung), welches relativ einfach in Outlook i.V. DATEV-Mydentity eingerichtet werden kann.

 https://www.aconitas.com/magazin/digitale-e-mail-signatur 

edit:

Sollte der Gedanke im Raum stehen, MyDATEVs Kommunikationsplattform zu aktivieren, empfehle ich noch kurz diesen Beitrag: DATEV Kommunikation verfügt nicht einmal über Basi... - DATEV-Community - 483280