Zentrales Gateway (Zertificon / Reddoxx / SEPPmail / NoSpamProxy Encryption). Dürfte am einfachsten zu handhaben sein. Ansonsten mit mIDentity oder sonstigen SMIME Zertifikaten verwaltet man sich schnell kaputt.

wir nutzen die neue Verschlüsselung der DATEV für alle Mandanten. zuerst gab es auch mal Überlegungen für andere Methoden, aber mit dem öffentlichen schlüssel etc. ist uns das zu kompliziert geworden, das bei den Mandanten umzusetzen bzw. zu erläutern und einzurichten.

Moin,

PGP und S/MIME macht das Mailgateway. Das hat, neber der zentralen Schlüsselverwaltung, auch Vorteile für die E-Mail-Archivierung, die Mailweiterleitung bei Vetretung und für OWA und Smartphones.

Für die Einrichtung beim Mandanten ist dessen Admin zuständig.

Gruß aus Hamburg

Worin bestehen denn kurz hierin die Vorteile?
Im Sinne von Weiterleitungen sind ohne Weitergabe eines Passwortes möglich?

Ich persönlich sehe aktuell auch noch PGP bzw. S/MIME als beste Möglichkeit an, die Verschlüsselung von Mails zu gewährleisten.
Ein nicht unerheblicher Nachteil ist hier eben, dass der Mandant hierfür offen sein muss und es keine Allgemeinlösung für jeden ist. Das System ist meiner Erfahrung nach sehr komplex und dadurch auch sehr kompliziert zu erklären, jedoch ist es danach ohne Probleme oder größeren Aufwand anwendbar.

Also die Verschlüsselung der gesamten Mail über DATEVnet?
Sodass der Mandant quasi nur eine verschlüsselte PDF Datei bekommt?

Vielen Dank für die Antwort

Das klingt theoretisch alles sehr interessant.
Für mich stellt sich die Frage: Der Mandant ist dafür verantwortlich, dass er verschlüsselte Mails lesen kann - liegt nicht darin oftmals in der Praxis das Problem? Für "kleinere" Mandanten ist das doch nicht gerade praxisfreundlich? Bzw. für kleine Kanzleien? Arbeitet hier jemand mit Freizeichnungen / Einwilligungen von Mandanten und wenn ja, gibt es dazu Textvorlagen für die Mandantenerklärung?

Die Frage, ob ein Mandant so einfach per Unterschrift seinen Mailverkehr auch in Zukunft unverschlüsselt bekommen kann ist bei uns auch noch nicht abschließend geklärt. Jedoch ist diese Frage auch sehr interessant, da man ja auch private Mandanten hat, welche im Jahr ein bis zwei Mails bekommen.

Das ist das Problem! Was machen wir mit Mandanten, die keine Email-Verschlüsselung haben (wollen)? Das liegt doch nicht in unserem Verantwortungsbereich?

Es lebe die Technik - ich würde lieber meine fachlichen Arbeiten erledigen 🙂 Nun geht es nicht mal mehr drum, was ich Mandanten schreibe (das ist ja unsere eigentliche Arbeit), sondern wie... am besten wohl Rückgang auf Briefe -  das kann es ja auch nicht sein...
Und wir können auch nicht nur denken "wo kein Kläger, da kein Richter", also wenn der Mandant einverstanden ist. Denn wir könnten Abmahnungen vom DS bekommen...

Zur Freizeichnung: https://www.datev.de/dnlexom/client/app/index.html#/document/1001502 (Punkt 4)

Wenn der Mandant kein PGP / SMIME will, muss er eben mit, je nach Anbieter, kennwortgeschützter PDF oder mit der Mail in einem Portal (wie derzeit bei DATEV) leben. Oder natürlich auf digitale Kommunikation verzichten.

Optimalerweise nutzt der Mandant natürlich ebenfalls ein entsprechendes Gateway.

die Sache ist die: es gibt Mandanten, die das definitiv nicht wollen, ABER es ist uns schlichtweg verboten von berufsrechtswegen. es gibt keine vorlage für eine Einwilligung, dass der mailverkehr auch künftig ohne passwirt stattfinden soll, weil es schlicht nicht vorgesehen ist.

es gibt Kanzleien, die damit arbeiten und praktisch überlegt würde das auch sinn machen, sich das schriftlich zu holen, aber ich glaube im Ernstfall kann da noch so viel unterzeichnet sein, man haftet mit.

es ist eine art zwang und deswegen tun wir dies ausnahmslos. deshalb haben wir auch die datev lösung zum verschlüsseln übernommen, da wir hierin die einzige Möglichkeit sehen, ALLE gleich abzufertigen und das mit dem geringsten erklärungsaufwand für Mandanten. wer es weiter nicht will, bekommt eben faxe. Pech gehabt!

Faxe laufen übrigens komplett unverschlüsselt, interessiert aber zum Glück niemanden...

das schon, aber nicht wenn sie nicht über IP laufen sondern noch über die alte leitung

Wir setzen die DATEV E-Mail-Verschlüsselung ein. Dabei stößt man hin und wieder auf Widerstand bei den Mandanten, manchmal klappt es mit einigen Systemen auch technisch nicht wirklich gut. Alternativ bleibt da nur der Passwortschutz der Dateianhänge. Dann dürfen im Mailtext aber aus datenschutzrechtlichen Gründen keine personenbezogenen Daten enthalten sein. Und da fangen dann die Schwierigkeiten an.

Wir suchen zur Zeit nach einer alternativen Austauschplattform. Wir haben uns da bereits einiges angesehen. Steuerbüro.online gefällt uns ganz gut und wird vielleicht demnächst getestet. Die DATEV geht wohl im Herbst mit der DATEV cloudbox an den Start, aber ich vermute, dass man da wieder an Midentity & Co. gebunden sein wird.

DATEV cloudbox an den Start, aber ich vermute, dass man da wieder an Midentity & Co. gebunden sein wird

Alternative dazu wäre es, wenn Sie eine eigene kleine Cloud aufsetzen. z.B. mittels OwnCloud. Sofern Sie dafür einen Administrator haben.

Das kann man sicher tun, aber wie oben schon in einem Beitrag von einem anderen Kollegen erwähnt, sollten wir uns um unser Kerngeschäft kümmern. Wir sind keine IT'ler oder Programmierer. Wenn jemand das Rad schon erfunden hat, die ganze Sache  in Deutschland in sicheren Rechenzentren nach DSGVO gehostet wird und einigermaßen bezahlbar ist,  wollen wir uns da nicht selbst betätigen.

Da haben Sie natürlich völlig recht. Nun kenne ich Sie ja nicht. Manche Kanzleien beschäftigen ja einen eigenen Informatiker, da wäre so etwas dann ja möglich. Und Sie schrieben ja in etwa, dass Sie gern frei von mIDentity u.ä. wären.

Leider sind wir aber auch für die IT verantwortlich, Kerngeschäft hin oder her (auch wenn das mehr wir lästig ist). Es gibt Menschen/Kollegen, die mit IT gut können... die immensen Möglichkeiten heutzutage überfrauen mich allerdings in meiner Kleinkanzlei.

Hallo Herr Liess,
alternativ zum Thema Mailverschlüsselung testen wir gerade einen SFTP-Server. Der Zugriff auf diesen Server erfolgt vom Mandanten aus über einen Webbrowser mit individuellem Usernamen und Kennwort. Der Connect über das SFTP-Protokoll ist an sich schon verschlüsselt - ähnlich einer VPN-Punkt-zu-Punkt-Verbindung.
Kanzleiseitig existiert also eine Verzeichnisstruktur mit Mandantenordnern, in der die Sachbearbeiter die Dokumente ablegen (passwortgeschützt oder auch nicht, das ist unerheblich). Die Mandanten können dann von extern nur auf "Ihren" Ordner zugreifen, Dokumente abholen und auch selbst hochladen.
Die von uns verwendete SFTP-Software ist clientseitig sehr einfach zu bedienen - so gibt es nach dem Login nur 2 Buttons:  upload und download. Beim Mandanten muss nichts installiert werden, und es funktioniert mit allen gängigen Browsern.

Alternativ ist dieses System z.B. zur OwnCloud zu sehen.

Danke, Herr Erbesdobler, das haben Sie sehr verständlich erklärt und es klingt interessant. Ich werde mich näher damit auseinander setzen.
Eine Frage vorab:
(Wie) Unterrichten Sie Mandanten, dass etwas in "Ihrem" Ordner zum Abruf bereit steht (z.B. Lohnabrechnung, BWA, UStVA)? Dann doch wieder eine Email? Unverschlüsselt oder nutzen Sie zudem eine Email-Verschlüsselung?

Das klingt sehr interessant und auch einfach gelöst. Hätten Sie mir eventuell weitere Informationen hierzu oder haben Sie diese Lösung von Ihrem EDVler erhalten?

liess​ das könnte man durch zum Beispiel Mailvorlagen oder automatisierte Mails lösen. Ähnlich der Mails der DATEV, wenn ein Mandant Belege ins Unternehmen Online hochgeladen hat. Solange nur die Information per Mail geschickt wird, dass Daten vorhanden sind, wurden ja keine personenbezogenen Daten verschickt

Sehr guter Lösungsansatz bisher! Ich werde mich in dieses Thema definitiv weiter einlesen.

Wir nutzen das Outlook-Addon von IS-Fox, welches die E-Mails per Passwort verschlüsselt.

Vorteile sind die niedrigen Kosten, der geringe Zeitaufwand und die gute Anbindung in Outlook.

Passwort teilen wir entweder automatisert per SMS oder per Anruf mit.

Wir haben den Mandanten vorab die ganze Problematik mit End-to-End Mailverschlüsselung erörtert und ihnen parallel das SFTP-Verfahren vorgestellt.

Da letzteres wirklich sehr einfach zu bedienen ist, nahmen die Mandanten das Verfahren gerne an. Allerdings kommunizierten wir auch die Auflage, dass die Mandanten nun selbstständig und eigenverantwortlich für das Abholen oder Hochladen von Dokumenten verantwortlich sind. Nach einer einstellbaren Zeit - i.d.R. 1 Monat - werden die von der Kanzlei zur Verfügung gestellten Dokumente automatisiert gelöscht - damit der Speicherplatz im Laufe der Zeit nicht überläuft.

Für die Kanzlei hat das Ganze einen schönen Vorteil:  stellen wir uns mal vor ein Sachbearbeiter schickt versehentlich eine Mail mit verschlüsseltem Anhang an einen falschen Mandanten (das Autovervollständigen von Mailadressen in Outlook und Co. hat ja manchmal so seine Tücken). Noch schlimmer, der Sachbearbeiter vergisst den Anhang mit einem Kennwort zu schützen ... Die 72h Meldepflicht in der zuständigen Aufsichtsbehörde lässt ab dem 28.05. grüßen ! Ich denke so ein Missgeschick kann richtig in Stress ausarten.
Diese Problem haben wir mit SFTP (oder auch OwnCloud) nicht, weil immer nur der Mandant der agierende ist.

Und ein zweiter Vorteil:  wenn mal Datev Unternehmen Online nicht funktioniert, haben wir eine zweite Austauschmöglichkeit.

Hallo,

Diese Problem haben wir mit SFTP (oder auch OwnCloud) nicht, weil immer nur der Mandant der agierende ist.

eine kurze Rückfrage zu Ihrer Aussage:

Kann es nicht trotzdem passieren, dass ein Mitarbeiter eine Auswertung in dem falschen Mandantenordner ablegt?

Dennoch finde ich diese Alternative zur E-Mail-Kommunikation sehr interessant.

Viele Grüße

Das habe ich mich auch gerade gefragt.

Ansonsten klingt die Lösung jedoch wirklich sehr charmant.

Ich kann ihnen gerne nähere Informationen dazu liefern.

Grundvoraussetzung ist, dass Sie für die Kanzlei einen Internetzugang mit fester öffentlicher IP-Adresse oder einen DNS-auflösbaren Namen haben.

Theoretisch könnte man den SFTP-Server auch bei einem Provider hosten - davon nehmen wir aber hinsichtlich der notwendigen AV-Verträge, einer "gefühlten" Unsicherheit einem "Billig-Provider" gegenüber, und nicht zuletzt wegen des einfacheren Backups gerne Abstand.

Hallo Frau Fitschen,

da haben Sie natürlich recht. Aber bedenken Sie, dass auch ein falsch eingetütetes Dokument welches auf dem Postweg verschickt wird, die selbe Problematik birgt.

Aus unserer Erfahrung kommt es eher zu falsch verschickten Mails als zu falsch abgelegten Dokumenten.

Okay, das kann ich nachvollziehen!

Hallo Herr Erbesdobler,

wenn die Dokumente nach einer vorbestimmten Zeit gelöscht werden, stellt sich für mich aber ein anderes Problem, das zwar nicht mit der Verschlüsselung zu tun hat, aber trotzdem von Bedeutung sein kann: Wie können Sie nachweisen, dass Sie die Dokumente dem Mandanten tatsächlich zur Verfügung gestellt haben, wenn diese bereits gelöscht sind?

Ich weiß, bei Email ist das auch nicht ganz einfach, was aber wenn der Mandant nach Löschung der Dokumente behauptet, diese wären vom Steuerberater nie hochgeladen worden?