Hallo Herr Probst,

mit Ihren einleitenden Worten haben Sie völlig Recht. Die meisten Mandanten  halten von verschlüsselten Mails herzlich wenig und wollen nicht gegen Ihren willen "geschützt" werden. Dass wohl jeder Steuerberater die Vertraulichkeit extrem ernst nimmt, ergibt sich bereits aus dem Berufsrecht und unserer Stellung in der Öffentlichkeit. Das muss uns die DSGVO nicht neu erklären. Wir handhaben es künftig so:

1. Der Mandant wird auf die "Gefahren" einer unverschlüsselten Mail hingewiesen und er soll selbst entscheiden, ob er künftig unverschlüsselte Mails haben will. Dies muss er uns schriftlich bestätigen (Problem: rechtssichere Abfassung einer solchen Erklärung des Mandanten). Die DATEV hat doch tatsächlich gemeint (Dok.-Nr.: 1001502 unter 4. ), eine Befreiung durch den Mandanten sei nicht möglich, weil § 203 StGB dies dem Wortlaut nach nicht hergebe (das 2. Argument der Drittbetroffenheit der Daten kann in Einzelfällen dagegen m.E. schon eingreifen, aber eher selten).

2. Bei Mandanten, die künftig verschlüsselte Mails haben wollen, werden wir künftig die DATEV-Lösung (E-Mailverschlüsselung) verwenden. Haben wir noch nicht in der Praxis ausprobiert, hört sich aber von der Programmbeschreibung her vernünftig an.

Im Übrigen bringt es Herr Dostal mit seinen Argumenten auf den Punkt.

Gruß

KH

1. Der Mandant wird auf die "Gefahren" einer unverschlüsselten Mail hingewiesen und er soll selbst entscheiden, ob er künftig unverschlüsselte Mails haben will. Dies muss er uns schriftlich bestätigen (Problem: rechtssichere Abfassung einer solchen Erklärung des Mandanten). Die DATEV hat doch tatsächlich gemeint (Dok.-Nr.: 1001502 unter 4. ), eine Befreiung durch den Mandanten sei nicht möglich, weil § 203 StGB dies dem Wortlaut nach nicht hergebe (das 2. Argument der Drittbetroffenheit der Daten kann in Einzelfällen dagegen m.E. schon eingreifen, aber eher selten).

Sehr geehrter Herr Probst, ich habe dies auch im Zuge der ganzen DSGVO-Hektik auch andernorts gelesen, dass dies wohl nicht rechtssicher abdingbar ist und selbst bei schriftlicher Einwilligung des Mandanten keine befreiende Wirkung entfaltet wird.

Wenn Sie diesbezüglich Neues hören, wäre ich Ihnen dankbar, diese Erkenntnisse zu teilen. Ich schätze nämlich auch, dass der überwiegende Teil der Mandanten auf den Kokolores gerne verzichten würde. Danke.

Meiner Meinung nach, genügt es seit der DSGVO nicht mehr, wenn der Mandant in den unverschlüsselten Email-Verkehr einwilligt. Ich habe auf der Seite der BStBK eine FAQ-Liste gefunden https://www.bstbk.de/export/sites/standard/de/ressourcen/Dokumente/04_presse/publikationen/02_steuerrecht_rechnungslegung/42_2018-04-05_Praxishilfen_Datenschutz_Fragen_zur_Datenschutz-Grundverordnung.pdf. Demnach kann der Mandant nicht mehr in die unverschlüsselte Übertragung einwilligen, wenn es um Mitarbeiterauswertungen geht, da nur die betroffene Person einwilligen kann. Das würde im Umkehrschluss bedeuten, dass eine Einwilligung wirksam wäre. Allerdings habe ich im Internet auch mehrfach die Meinung gefunden, dass die DSGVO zwingend ist und selbst eine ausdrückliche Einwilligung des Mandanten keine rechtlich bindende Wirkung habe.

Ich persönlich habe für mich beschlossen, weiterhin zu verschlüsseln.

s/mime halte ich verschlüsselungstechnisch für die beste Lösung, allerdings stellen sich da noch Fragen:

1. Mitarbeiter verschickt  mit Zertifikat verschlüsselte Mail an Mandant, Mandant antwortet ebenfalls mit Verschlüsselung per Zertifikat. Kann ich als Chef oder andere Mitarbeiter dann diese Antwortmail noch öffnen und lesen?
2. Was passiert, wenn der Mitarbeiter die Kanzlei verlässt (Rente, Kündigung) und seine Smartcard gelöscht wird. Kann man dann noch auf die verschlüsselten Mails zugreifen?

Für einfache Dokumente aus Word oder Excel oder Auswertungen aus Datev-Anwendungen wählen wir den Ausgabekorb. Da können wir mehrere Ausgabewege  gleichzeitig bedienen (z. B. Ablage in der Dokumentenablage und Versand per Mail) und jeweils auswählen, ob die Mail oder die Dateiablage mit einem Passwort verschlüsselt wird.

Zwar kann man grundsätzlich auch eine Antwortmail über den Ausgabekorb als passwortgeschützte Email ausgeben, allerdings wird dann die Mail zur PDF-Datei, die einer Mail angehängt wird. Ein doppelter Salto rückwärts.

Wir haben bereits vor gut 10 Jahren mit einigen ausgewählten Mandanten die Kommunikation über SharePoint erprobt und waren alle grundsätzlich zufrieden.

Vielleicht sollten wir einfach alle bei dem Thema digitale Kommunikation umdenken und weg von der Email neue Wege suchen?

Unsere Kinder nutzen Email so gut wie gar nicht mehr. Messenger-Apps sind viel wichtiger geworden.

Überall lesen wir, dass die Digitalisierung unser Leben und unsere Arbeitsweisen verändern wird.

Liebe DATEV, das gilt auch für euch.

Wie wäre es denn z. B. mit folgender Idee:

Eine Messenger App von DATEV, mit der wir Steuerberater entweder über ein Mandantenmodul mit dem Mandanten direkt Kontakt aufnehmen können oder aber wir stellen die Nachricht auf dem Server der DATEV - ähnlich dem Verschlüsselungsportal zur Verfügung. Der Mandant wählt dann selbst, ob er mittels Smartlogin, Passwort oder Zertifikat auf das Portal Zugriff nimmt.

Da Steuerberater und Mandant den gleichen Messengerservice nutzen, ist die end-to-end-Verschlüsselung überhaupt kein Problem mehr (hat sogar Whats App geschafft).

Gäbe es die App dann noch als Handy und Desktop-Version, wäre das der Hammer (zugegeben, auch das hat Whats App schon geschafft).

Selbst mit dem Finanzamt könnte man so sicher kommunizieren. Die Anfänge liegen ja ohnehin schon vor (elektronischer Einspruch, elektronischer Antrag auf Anpassung VZ). Eine weitere sinnvolle Anwendung wäre die die Übermittlung von Belegen, die das Finanzamt angefordert hat.

Für diejenigen, die sich auf keinen Fall von der Email trennen wollen, könnten m. A. nach sogar beide Systeme nebeneinander existieren.

Aber wahrscheinlich dauert das mindestens die nächsten zwei 5-Jahresplanungszyklen, bis so etwas überhaupt in die Planung aufgenommen wird.

Gäbe es die App dann noch als Handy und Desktop-Version, wäre das der Hammer (zugegeben, auch das hat Whats App schon geschafft).

Da ist dann aber auch nur der Transportweg verschlüsselt. Der Inhalt an sich bleibt Klartext. Das ist i.d.R. bei E-Mail auch so.

Das kann man ja regeln.

Smartphone: Gesichtserkennung, Fingerabdrucksensor, PIN-Eingabe, Passworteeingabe, SmartLogin, ...

Desktop: Für den Zugriff auf den Messenger muss das Sicherheitspaket/Sicherheitspaket compact installiert sein und der entsprechende mIdentity gesteckt sein.

M.E. dürften Messenger-Dienste hinsichtlich der Verschlüsselung die gleichen Probleme haben, wie die E-Mail. Innerhalb von Whatsapp mag es funktionieren (jetzt mal die Debatte außen vor gelassen, wo die Schlüssel liegen und wie wichtig das ist oder nicht ist). Das entspricht aus meiner Sicht dem Prinzip der Verschlüsselung innerhalb von Web.de/GMX, Posteo, Protonmail ... Mit anderen Messengern kann Whatsapp m.W. auch nicht verschlüsselt kommunizieren.

Auf Nachfrage wurde mir gesagt, dass das nur daran liegt, dass viele Mobiltelefone keine verschlüsselten ZIP-Dateien öffnen können. Das würde also auch jedes andere Gerät oder Betriebssystem betreffen, das nicht mit verschlüsselten ZIPs umgehen kann. Wäre dann also keine Schwäche von IS-Fox.

Und genau, die Mandanten können ja ganz einfach selbst IS-Fox einsetzten - oder manuell verschlüsselte ZIP-Archive erstellen.

Hallo FB,

unter https://www.datev.de/web/de/service/antworten-finden/signatur-und-verschluesselung/herausgeber-zertifikate/herausgeber-zertifikate können Sie die Datev-Wurzelzertifikate herunterladen. Vielleicht hilft Ihnen das weiter.

Viele Grüße.

Jeder Messenger ist nur zu sich selbst kompatibel. Sie können von Whats App keine Mitteilung an Threema, Telegram , Viper, usw. schicken. und umgekehrt.

Mit einem Datev-Messenger würde ich mich also innerhalb einer geschlossenen Teilnehmergemeinschaft bewegen, was an sich schon ein Sicherheitsvorsprung gegenüber der Email (mehr aber auch nicht) wäre.

Es gibt aber Überlegungen in der Politik diese Interoperabilität zu erzwingen.

Hallo,

wir haben gestern unseren "Rumdumschlag" ausgeführt und unsere Infomail an > 100 Mandanten überlassen.

Anschließend haben wir sofort den Verschlüsselungsvorgang gestartet und erwartungsgemäß zahlreiche Anrufe erhalten und eifrig Passwörter hinterlegt.

Das Arbeiten mit IS-Fox ist recht charmant, gerade weil je E-Mail-Empfänger das Passwort in Outlook gespeichert wird und bei einer neuen E-Mailverschlüsselung vorgegeben wird; es ist in der Tat nur ein Klick mehr.

Dennoch erwarte ich natürlich noch Probleme im folgenden Praxisbetrieb.

Was natürlich sehr charmant ist: Eine recht sensible E-Mail mit rund 10 Anlagen, welche Pdf-, Word- und Exceldateien enthielt, konnte einfach an eine E-Mail angehängt werden und mit klick auf verschlüsseln einfach verschlüsselt werden. Tolle Sache. Leider hatte das Gegenüber Thunderbird im Einsatz und konnte damit die verschlüsselte *.msg nicht öffnen... Die Email-Kurz als memo in pdf gedruckt, allen Anlagen ran, verschlüsselt und versendet. Alles piccobello angekommen. Hier gilt es eben noch im Einzelnen den workflow zu schleifen.

Bezüglich des mobil-Makels hatten wir noch keine negativen Rückmeldungen. Ich habe es nachgestellt, aber es ist in der Tat nicht möglich, verschlüsselte Zips zu öffnen; bricht ab.

Bis jetzt sehen wir den Einsatz von IS-Fox positiv und die Mitarbeiter hatten es auch schnell im Griff, eben weil es einfach anzuwenden ist.

Aber wie sagte der Blinde gleich: Schau mer mal...

Hallo,

ich danke Ihnen für den Erfahrungsbericht! Wir selbst sind noch nicht gestartet.

Zu den verschlüsselten ZIPs unter Android hat mir eine kurze Suche folgende Treffer geliefert:

• Total Commander
• ArchiDroid
• AndroZip (enthält Werbung)

Habe sie nicht getestet. Aber laut den Beschreibungen können sie wohl mit verschlüsselten ZIPs umgehen.

Oh,

sehr interessante Info. Soweit waren wir noch gar nicht, werde dem aber noch nachgehen.

Ich habe an sich auch den Eindruck, der Mandant wird durch die mangelnde Mobilitätsfunktion mehr oder weniger auch dazu "verleitet" die E-Mails am Rechner statt auf dem Smartphone zu lesen und damit auch eher zur Kenntnis zu nehmen. Ich hatte gestern und heute diesbezüglich schon positive Überraschungen verzeichnet. Ist zwar eine etwas rüde "Erziehungsmethode" aber was bringen uns E-Mails, bei denen der Mandant den Betreff oder noch die ersten beiden Zeilen liest und anruft und fragt, was denn da jetzt stand (kommt laufend vor) und was er machen soll, weil einfach nicht zu Ende gelesen wird (ist meine Vermutung), da an sich alles beschrieben wird.

Insofern bin ich wirklich am überlegen, ob ich Ihre Tipps da weiterleiten soll Vielen Dank jedenfalls.

Ich selbst zippe mit 7 zip finde ich sehr komfortabel und funktioniert tadellos.

Relativ einfach zu verschlüsseln sei es eine Datei oder ganze Ordner.

Ich hatte hier einen etwas lästigen Workflow indem ich mit der Informationspflicht zudem alle Mandanten angeschrieben habe und ihnen eine sogeanntes Kanzlei Passwort schriftlich mitgeteilt habe.

Daher seit dem 25.5 verläßt kein Dateianhang mehr unverschlüsselt meine Kanzlei.

Bin zwar noch am überlegen ob hier Verbesserungen gemacht werden können,weil so 100% überzeugt bin ich von meiner  eigenen Lösung noch nicht.

sogeanntes Kanzlei Passwort schriftlich mitgeteilt habe.

Meinten Sie mit "Kanzlei Passwort", dass für alle Mandanten ein identisches Passwort vergeben wurde?

Das wäre dann vermutlich aber nicht DSGVO-konform.

Wir arbeiten seit einiger Zeit mit Encrypt (Sophos Outlook Add-In), das von unserer IT-Firma installiert wurde. Einigen Mandanten ist das Öffnen dieser mails über einen PDF-Viewer zu umständlich und es kam der Wunsch bei "enfachen mails" (nur kurzes Anschreiben und z.B. eine Lohnbescheinigung als PDF-Anhang) die email unverschlüsselt zu senden und nur die PDF-Datei im Anhang mit einem Passwort zu schützen. Können wir dem Wunsch (wenn er schriftlich vorgetragen wird) entsprechen? 

Gerade Lohnbescheinigungen betreffen Dritte und deshalb würde ich solche niemals unverschlüsselt versenden!

Warum nicht ?

Ich konnte der DS GVO nur entnehmen dass verschlüsselt werden muss. Wie verschlüsselt wird kann denke ich noch jede Kanzlei selbst entscheiden.

Mir ist schon klar dass damit wenn falsche Email an falschen Mandant mit falschem Anhang eine Datenpanne möglich ist, aber diese pot. Datenpannen können befürchte ich in fast jedem Kontext passieren und da auch ich nicht zur Brieftaube zurück möchte, habe ich mich jetzt kurzfristig erstmal für diese praktikable Lösung entschieden.

Danach werden ich die Lösung teamdrive angehen, scheint mir die sinnvollste Lösung zu sein.

Sie (also ich meine Frau Franz) verschlüsseln doch die wirklich sensiblen, schützenswerten Lohndaten in der pdf mit Passwort - sehen das andere hier als unverschlüsselt? Ich nicht.

Und was ist schon wirklich "sicher"?! Was "zulässig" ist, steht auf einem anderen Blatt - und wir wissen noch nicht, was da drauf steht, und die Behörden selbst auch noch nicht... das Thema wird wohl so lange es Technoligien gibt spannend bleiben - also immer. Und immer wird es Möglichkeiten geben, Daten und Briefe zu knacken...Neugierige und Kriminelle wird es immer geben - leider. Aber hoffentlich nicht so viele, dass Jede/r betroffen ist :-).

7-Zip auf Linux oder Windows ist definitiv top! Eine mobile 7-Zip-Version gibt es vom Original-Anbieter m.W. allerdings nicht. Und die App 7zip aus dem Play-Store (die eben nicht von Igor Pavlov stammt) kann keine überzeugenden Bewertungen vorweisen. Oder habe ich etwas übersehen? Gibt es eine offizielle App? Dann gerne her mit dem Link

Btw, ein einziges "Kanzlei-Passwort", für alle Mandanten gleich? Hmmm ... Aber gut, geht mich nix an

Danke, Herr Emerich und Deus Ex. Dank ihren Erklärungen haben wir uns jetzt auch für Is-Fox entschieden.

Freut mich für Sie. Wir haben es momentan intensiv im Praxiseinsatz. Die Passwörter wurden kommuniziert. Der ein oder andere Empfänger holt sich IS-Fox, aber bisher haben wir keine negativen Feedbacks erhalten; im Gegenteil.

Der workflow ist angepasst und nicht wesentlich erschwert.

Ich sehe bei IS-Fox nur das Problem in der Erstellung einer .zip- Datei.
Diese wird von vielen Firewalls direkt geblockt und erreicht so nicht den Empfänger...Hat hierzu eventuell jemand weitergehende Infos gerade im Bezug auf Kommunikation mit dem Finanzamt und Krankenkassen?

Finanzamt und Krankenkassen waren bisher kein Problem.

Bisher hatte ich nur mit der Postbank Probleme.

Das bedeutet, dass die Finanzämter und Krankenkassen die zip Dateien annehmen?

Finanzamt mal ja mal nein, hatte ich schon beides innerhlab des gleichen FA :

einmal Auskunft dürfen wir nicht

das andere mal kein Problem

Sozialversicherung hat mit der Prüfung funktioniert 1 verschlüsselte Zip Datei wurde angenommen und kann entschlüsselt und gelesen werden.

KK hatte ich noch nicht.

Wir haben uns auch die IS-FOX Variante entschieden und bis jetzt noch keine großen Beschwerden, die kleineren wurden bei der Installation per Fernbetreuung unterstützt und sind insofern zufrieden.

Danke für den Tipp

Die Cloudbox arbeitet glücklicher Weise mit SmartLogin. Ist jedoch NICHT zu empfehlen, da teuer, unausgereift und nicht praktikabel.