abbrechen
Vorschläge aktivieren
Mit der automatischen Vorschlagsfunktion können Sie Ihre Suchergebnisse eingrenzen, da während der Eingabe mögliche Treffer angezeigt werden.
Suchergebnisse werden angezeigt für 
Stattdessen suchen nach 
Meintest du: 

Datenschutzproblem bei DATEV ... jetzt nicht auch noch ...

9
letzte Antwort am 28.04.2026 07:35:09 von janm
Dieser Beitrag ist geschlossen
0 Personen hatten auch diese Frage
Klaus_Marwede
Einsteiger
Offline Online

‎20.04.2026 18:06 zuletzt bearbeitet am ‎23.04.2026 10:31 von DATEV-Mitarbeiter

Nachricht 1 von 10
1258 Mal angesehen

Diese Mail habe ich heute dem Datenschutzbeauftragten von DATEV geschrieben:

Hallo,

Ich wende mich nun ganz offiziell vorrangig an Sie als Datenschutzbeauftragten oder als Datenschutzbeauftragte - über die Mail-Adresse gem. Webseite. 

Es geht um anliegenden Screenshot und um nachstehende Mail:

"Hallo Herr myIdentifier" - mit einem abgelaufenen Zertifikat ... leider habe ich auch nach dem dritten Versuch niemanden dazu bringen können, dass er mit mir mal frei von jeder Eskalation über Datenschutz bei DATEV spricht. Deshalb wende ich mich nun an Sie persönlich.

DATEV operiert derzeit so ein bisschen am offenen Herzen an der Anwendung "Auftragswesen next" herum. Das erkennt man an Details wie der Ausfall letzte Woche gelaufen ist - und man erkennt es an den unvorbereiteten Reaktionen - unvorbereitet nicht nur aus Datenschutzsicht sondern insbesondere auf der Service- und Supportseite.

Mails mit abglaufenen Zertifikat zu verschicken passt halt nicht so recht zu den belehrenden Redaktionsmaßnahmen hier in der Community (@Herr Ulherr: Mit dem Kunden Sch**** war ich einig, dass ich das Problem hier offen zeigen darf).

Auch das LOGIN verhält sich übrigens seit ein paar Tagen äußerst merkwürdig. Auch mit frisch installierten Browsern läuft der Einlogg-Vorgang immer doppelt ab. Konkret: Man kommt auf eine neue Maske und dann mit einem ersten QR-Scann auf die alte Maske - und von dort dann mit einem zweiten QR-Scan in die Anwendung.


Viele Grüße,
Klaus Marwede

>>>
#gerneperdu
gsm: XXXXXX
web: XXXXXX

Meine Mail ist eine Antwort auf diese Mail von DATEV an mich:

 

Am 20.04.26 um 17:15 schrieb auftragswesen-next@service.datev.de:

> Sehr geehrter Herr mIDentity,
>
> die Anwendung DATEV Auftragswesen next stand am 20.04.2026 von 09:38 Uhr bis
> 13:00 Uhr nicht zur Verfügung.
> Für die entstandenen Unannehmlichkeiten entschuldigen wir uns.
> Über den aktuellen Status der Systemverfügbarkeit informieren wir Sie unter
> www.datev-status.de <http://www.datev-status.de>.
> Bei weiteren Fragen sind wir gerne unter auftragswesen-next@service.datev.de
> oder per Servicekontakt online für Sie da.
>
>
> Freundliche Grüße
> DATEV eG
> (Diese Mitteilung wurde automatisch generiert)
>

 

Wie gehen wir Nutzer damit weiter um?

1. Ich rege an, dass wir uns vernetzen. Ich denke dabei an einen "DATEV-User-Verein", der die Kommunikation mit DATEV zentral gestaltet. Das halte ich für wichtig, weil es bei Datenpannen und Betriebsausfällen nicht wirklich weiterhilft, wenn wir hier in der DATEV-Community mit zig Beiträgen alle "drauf hauen".

2. Ich rege an, dass wir DATEV bitten, uns einen Ansprechpartner in der Entwicklung zu geben, dem wir die Probleme zeigen können, die wir in der Praxis haben. Der müsste dann die gewonnenen Erkenntnisse intern verteilen, und so könnte aus dieser DATEV-Community ein "Kunden-Club mit Mehrwert für alle" werden.

3. Wenn DATEV das nicht möchte, dann müsste dieser Verein seine Aktivitäten halt etwas anders gestalten, - aber sinnvoll ist die Idee dann ja sogar erst recht.

Wer die Idee gut findet und mitmachen würde, der meldet sich bitte per E-Mail bei XXXX ... Falls Interesse besteht schaffe ich uns dann als erstes eine gesicherte Kommunikationsplattform, auf der wir Erkenntnisse über Sicherheitsprobleme diskutieren können, ohne dass wir Hackern öffentlich die Lücken zeigen.

Was ich betonen möchte:

Ich bin ein großer DATEV-Fan und das bleibt auch so. Ich bitte also den einen oder anderen bekannten Querulanten, auf Abstand zu bleiben (der Kollege weiß wer gemeint ist).  Mir geht es nicht ums Stänkern.

 

Personenbezogene Daten im Beitrag und Screenshot gelöscht durch DATEV wegen Verstoß gegen Nutzungsbedingungen (Echtdaten, s. Punkt 5 Nutzungsbedingungen & Datenschutz)

Viele Grüße,
Klaus Marwede

https://www.kmb2.de/bootb/
https://www.klaus-marwede.de/impressum
Antworten
andrereissig
Überflieger
Offline Online

am ‎20.04.2026 19:15

Nachricht 2 von 10
1214 Mal angesehen
@Klaus_Marwede  schrieb:


1. Ich rege an, dass wir uns vernetzen. Ich denke dabei an einen "DATEV-User-Verein", der die Kommunikation mit DATEV zentral gestaltet.

Diesen Versuch gibt es bereits seit vielen Jahren:

 

https://www.idaev.com/

 

An der Aktualität der Seite sieht man den Erfolg und selbst die Facebookseite wird nur noch mit Werbung zugespammt.

Live long and prosper!
Antworten
janm
Meister
Offline Online

am ‎20.04.2026 20:10

Nachricht 3 von 10
1181 Mal angesehen

An welcher Stelle geht denn ein abgelaufenes Zertifikat hervor? Man muss halt den DATEV Herausgeberzertifikaten vertrauen. Genau das gibt auch die Meldung wieder.

 

 -> Signierte E-Mails von DATEV

Antworten
Klaus_Marwede
Einsteiger
Offline Online

‎21.04.2026 00:08 zuletzt bearbeitet am ‎23.04.2026 10:33 von DATEV-Mitarbeiter

Nachricht 4 von 10
1099 Mal angesehen

Das sehe ich anders. Der Mailclient zeigt an:

  • „Digitale Signatur ist ungültig“

  • Zertifikat ausgestellt von „CA DATEV MEMV 02“

  • Hinweis, dass der ausstellenden Zertifizierungsstelle für diese Art von Zertifikat nicht vertraut wird

  • Zusätzlich: „Nachricht ist nicht verschlüsselt“

Aus fachlicher Sicht ergeben sich daraus mehrere Punkte:

  1. Integrität und Authentizität
    Eine ungültige bzw. nicht vertrauenswürdig prüfbare Signatur bedeutet, dass weder die Echtheit des Absenders noch die Unverändertheit der Nachricht technisch sauber verifiziert werden kann. Für automatisierte Systemmails ist das zumindest ungewöhnlich.

  2. Zertifikatsmanagement
    Die Fehlermeldung kann auf ein nicht vertrauenswürdiges Root-Zertifikat, ein internes CA-Modell oder ein abgelaufenes Zertifikat hindeuten. In allen Fällen stellt sich die Frage, wie die Vertrauenskette beim Empfänger sichergestellt werden soll.

  3. Fehlende Verschlüsselung
    Die Mail wird laut Anzeige unverschlüsselt übertragen. Damit fehlt neben der Integrität auch die Vertraulichkeit auf Inhaltsebene (abgesehen von ggf. vorhandener Transportverschlüsselung).

  4. Einordnung unter Art. 32 DSGVO
    In der Kombination (ungültige Signatur + fehlende Inhaltsverschlüsselung) ist fraglich, ob hier ein dem Risiko angemessenes Schutzniveau für ggf. enthaltene personenbezogene Daten gegeben ist. Insbesondere Systemmeldungen können mittelbar personenbeziehbare Informationen enthalten.

Frage in die Runde:

  • Ist dieses Zertifikatsverhalten bei DATEV-Systemmails bekannt bzw. so vorgesehen (z. B. interne CA)?

  • Gibt es eine empfohlene Konfiguration, um die Signatur korrekt validieren zu können?

  • Ist perspektivisch eine Ende-zu-Ende-Verschlüsselung für solche Mails vorgesehen? 


Ich will nicht "klug**bleep**ern" - aber insbesondere der Punkt mit dem Zerfikatsmanagement passt zu den Vorgängen rund um Auftragswesen next in den letzten Tagen.

XXXXXXX

 

Personenbezogene Daten im Beitrag geschwärzt durch DATEV wegen Verstoß gegen Nutzungsbedingungen (s. Punkt 5 Nutzungsbedingungen & Datenschutz)

Viele Grüße,
Klaus Marwede

https://www.kmb2.de/bootb/
https://www.klaus-marwede.de/impressum
0 Kudos
Antworten
Klaus_Marwede
Einsteiger
Offline Online

am ‎21.04.2026 00:09

Nachricht 5 von 10
1098 Mal angesehen

Danke für den Hinweis. Ich nehme dorthin mal Kontakt auf.

Viele Grüße,
Klaus Marwede

https://www.kmb2.de/bootb/
https://www.klaus-marwede.de/impressum
0 Kudos
Antworten
janm
Meister
Offline Online

am ‎21.04.2026 09:26

Nachricht 6 von 10
899 Mal angesehen

Zu 1, 2 und auch 3 / den Fragen in die Runde: Siehe den Link aus meiner Antwort. Hier nochmal der Link: Signierte E-Mails von DATEV

 

Zur verschlüsselten E-Mail-Kommunikation: E-Mail mit dem Anhang secure-email.html

Haben Sie schon eine digitale Identität einer anderen Zertifizierungsstelle?
Senden Sie uns bitte Ihr Zertifikat per signierter E-Mail, dann wir fügen es unserem Bestand hinzu: schluesselimport@datev.de

 

Zu 3 (ggfs. 4)) Was an/in dieser E-Mail ist denn so "sensibel" oder "vertraulich", dass es inhaltlich verschlüsselt werden muss/sollte? Der Transportweg der Mail war zudem sicherlich per TLS gesichert (/ verschlüsselt)

 

(Auch wenn DATEV auf "öffentliche" Zertifikate einer "vertrauenswürdigen" Zertifizierungsstelle (bspw. Swiss Sign o.ä.) zurückgreifen würde, bedeutet das ja noch lange nicht, dass man dieser CA an seinen Endgeräten vertraut/vertrauen muss.)

0 Kudos
Antworten
cwes
Meister
Offline Online

am ‎21.04.2026 09:35

Nachricht 7 von 10
860 Mal angesehen
@Klaus_Marwede  schrieb:

Frage in die Runde:

  • Ist dieses Zertifikatsverhalten bei DATEV-Systemmails bekannt bzw. so vorgesehen (z. B. interne CA)?

  • Gibt es eine empfohlene Konfiguration, um die Signatur korrekt validieren zu können?

  • Ist perspektivisch eine Ende-zu-Ende-Verschlüsselung für solche Mails vorgesehen? 


Ich will nicht "klug**bleep**ern" - aber insbesondere der Punkt mit dem Zerfikatsmanagement passt zu den Vorgängen rund um Auftragswesen next in den letzten Tagen.

https://www.klaus-marwede.de/category/arbeit/datenschutzbeauftragter/


  • Das ist seit mehr als zehn Jahren so. Datev bekommt es nicht hin, seine Stammzertifikate von den Softwaregroßen in die vorinstallierten Zertifikate aufnehmen zu lassen und bekommt es auch nicht hin, sich die Zertifikate von vorinstallierten signieren zu lassen.
  • Ja, alter Hut. Datev-Zertifikate installieren. Gibt es Hilfe-Doks zu.
  • Manche kommen E2EE, manche nicht. Wenn E2EE kommt, dann steckt besser die richtige Smartcard. Hast du mehrere Smartcards: viel Spaß beim herausfinden, mit welcher man die Mail lesen kann

Und ja, das passt alles gut zu Datev. Nichts ist vollständig durchdacht, alles ein Flickenwerk, das den Benutzer hat, um den Mist zusammenzuhalten.

#sendepause
Antworten
Klaus_Marwede
Einsteiger
Offline Online

‎21.04.2026 16:16 zuletzt bearbeitet am ‎23.04.2026 10:34 von DATEV-Mitarbeiter

Nachricht 8 von 10
668 Mal angesehen

So ist auch meine Lesart zu dem Thema ... und wenn dann jemand an "Herrn mIdentifier" schreibt, dann motiviert das auch nicht gerade, das Zertifikat zu akzeptieren. Ich hänge es hier noch mal mit dran.

Die E-Mail enthält eigentlich alles, was ich meinen Mitarbeitern beibringe, was sie NICHT anklicken und NICHT akzeptieren sollen. 

 

Screenshot gelöscht durch DATEV wegen Verstoß gegen Nutzungsbedingungen (Echtdaten, s. Punkt 5 Nutzungsbedingungen & Datenschutz)

Viele Grüße,
Klaus Marwede

https://www.kmb2.de/bootb/
https://www.klaus-marwede.de/impressum
0 Kudos
Antworten
Klaus_Marwede
Einsteiger
Offline Online

am ‎27.04.2026 23:32

Nachricht 9 von 10
422 Mal angesehen

Abschließend:

Es gab Gespräche mit DATEV, die noch fortgesetzt werden. Aber man hat jetzt reagiert.

* Die Signaturen von E-Mails hatten ein Problem, das gelöst wurde.
* Merkwürdigkeiten beim LOGIN konnten aufgeklärt werden.

Was ich gut finde: Nachdem die Datenschutzabteilung sich eingemischt hat kam Bewegung in die Sache. Gute Kommunikation - besser als bei früheren Gelegenheiten.

Viele Grüße,
Klaus Marwede

https://www.kmb2.de/bootb/
https://www.klaus-marwede.de/impressum
0 Kudos
Antworten
janm
Meister
Offline Online

am ‎28.04.2026 07:35

Nachricht 10 von 10
357 Mal angesehen
@Klaus_Marwede  schrieb:


* Die Signaturen von E-Mails hatten ein Problem, das gelöst wurde.

Was für ein Problem hatten die Signaturen und wie wurde es gelöst?

0 Kudos
Antworten
  • Erster Beitrag Zum ersten Beitrag
  • Letzter Beitrag Zum letzten Beitrag
    • 9
    letzte Antwort am 28.04.2026 07:35:09 von janm
    Dieser Beitrag ist geschlossen
    0 Personen hatten auch diese Frage
    avatar rank icon
    Rang:
    Status:offline
    Mitglied seit:
    Zum Profil