Die Kanzlei muss eine signierte Mail an Sie schreiben. Die enthält den öffentlichen Schlüssel.

Das Vorgehen ist dann abhängig von ihrem Mailprogramme. Beispiel Outlook: Signieren und Verschlüsseln von E-Mails mit Outlook 2016 - Rechenzentrum Universität Osnabrück  siehe Kapitel 3.1

brauche ich ja auch einen öffentlichen Schlüssel der Kanzlei. Wo bekomme ich diesen her?

Es gibt keinen Schlüssel der Kanzlei. Jeder SmartCard / Zertifikat ist einzigartig. Deshalb ist es eine Ende-zu-Ende Verschlüsselung. Die E-Mail kann nur von Ihnen beiden (Sender & Empfänger) gelesen werden. Wenn die E-Mail weitergeleitet wird, kann der 3. die E-Mail nicht lesen.

Falls es pro Person mehrere mIDentitys / Zertifikate gibt, kann es sein, dass Sie mit A verschlüsseln aber bei der Person B am PC steckt. Dann kann die E-Mail nicht gelesen werden. Daher sollte es immer nur 1 DATEV Stick pro Person geben, um Verwirrungen zu vermeiden.

Wenn Sie öffentliche Schlüssel von Personen suchen, können diese bei DATEV eingesehen und heruntergeladen werden. Sie müssen in Outlook den E-Mail Empfänger als Kontakt speichern und ihm / dahinter das Zertifikat zuweisen. Dann nutzt Outlook das beim Versand von E-Mails zum verschlüsseln.

Deshalb signiere ich ausgehende E-Mails immer. So weiß jeder, 1.) die E-Mail kommt wirklich vom Absender und 2.) das ist kein Spam und 3.) kann jeder mit der Signatur mir eine verschlüsselte E-Mail zukommen lassen.

Bitte beachten Sie, dass wenn die DATEV E-Mail Verschlüsselung im Einsatz ist, es trotzdem zu "komischen" E-Mails kommen kann.

Das heißt, die Mitarbeiter Ihres StBs müssen Ihnen E-Mails mit deren Signatur schicken, sofern jeder davon einen mIDentity hat / eine SmartCard. Dann speichern Sie die Kontakte ab und können untereinander E-Mails verschlüsselt schicken.

Das Ganze nennt sich verschlüsseln via S/MIME.

Und um es komplett zu machen: nicht nur die DATEV stellt via SmartCard / mIDentitys Zertifikate aus. Es gibt, insbesondere für den privaten Gebrauch auch kostenlose Zertifikate für jede E-Mail-Adresse. Diese sind allerdings meist nur 1 Jahr gültig aber erfüllen ihren Zweck.

So kann ich mit meiner privaten E-Mail-Adresse (@outlook.com) auch E-Mails mit meiner Kanzlei bzw. mit deren Mitarbeitern verschlüsseln. Klappt super und wenn es einmal eingerichtet ist fühlt es sich wie eine "normale" E-Mail, die aber niemand mitlesen kann, nicht mal, wenn sie im Internet abgegriffen wird.

Hallo,

meine Vorredner beziehen sich m. E. auf S/MIME. Zu PGP i. V. m. Datev habe ich in Info-Datenbank, Dok.-Nr. 1000786 folgende Aussage gefunden:

PGP-Schlüssel werden nur für den Versand von E-Mails genutzt

Eine zentrale Entschlüsselung von PGP verschlüsselten E-Mails ist nicht möglich.

Viele Grüße.

Ohne eine Antwort zu kennen, sehe ich bei der PGP- Verschlüsselung folgende Probleme:

• Anlagen werden auf dem Transportweg nicht nach Schadsoftware gescannt, so daß einfachste Makroviren durchgeschleust werden und wegen der zwanghaften laschen Sicherheitseinstellungen der Office- Anwendungen diese bei Augenblicks-versagen von ViWas erbarmungslos zuschlagen können. (Wir hatten erst die Situation, daß ViWas aufgrund eines Programmfehlers die Signaturen nicht aktualisierte)
• Mit dem Ausscheiden eines Mitarbeiters, der auf Vernichtung seiner Smartcard besteht, ist ein Sichten der archivierten Korrespondenz technisch nicht mehr möglich.
• Bei ungeplantem Ausfall eines Mitarbeiters kann kein Kollege die normale Mandantenkorrespondenz sichten.

Jetzt verstehe ich gar nichts mehr! Was bringt es mir, einen Schlüssel ins Datev Portal zu laden  wenn ich damit nur lesen und nicht verschlüsselt antworten kann?

Bitte vorher einmal einlesen. Ansonsten wird auch die Verschlüsselung nichts bringen, wenn Sie nicht wissen wieso & warum. Hier ist es schön erklärt.

1. Diesen Nachteil hat eine echte Ende-zu-Ende-Verschlüsselung nach meinem Kenntnisstand immer.
2. Ja. Hier hilft es nur, zusammen mit der Original-E-Mail einen PDF-Ausdruck der E-Mail zu archivieren.
3. Ja. Siehe 2.

Ist bei diesen "Nachteilen" eine Ende-zu-Ende-Verschlüsselung bei aufbewahrungspflichtigen Handelsbriefen lt. HGB überhaupt zulässig?

zu 3.) Bei DATEV- Smartcards müßte es doch möglich sein, Zugriffsrechte zu administrieren, so daß ausgewählte Personen Emails von Kollegen öffnen können bzw. der Kanzleiinhaber alle in die Dokumentenablage verschobenen Emails einsehen kann.

Wenn das nicht funktioniert... Bitte als Anforderung priorisieren und notfalls über den Standard nachdenken.

Auch Behörden haben das Problem, daß PvP- verschlüsselte Emails nicht zur Verarbeitung hausintern verteilt werden können.

Bei DATEV- Smartcards müßte es doch möglich sein, Zugriffsrechte zu administrieren, so daß ausgewählte Personen Emails von Kollegen öffnen können bzw. der Kanzleiinhaber alle in die Dokumentenablage verschobenen Emails einsehen kann.

Und wenn in der E-Mail nur der öffentliche Schlüssel für Person A liegt? Jeder Schlüssel ist einzigartig und wird anhand der ID der SmartCard fest gemacht. Ist doch der E-Mail dann egal, wenn ich mit SmartCard B ankomme und sage "bitte lesbar machen". Sagt die E-Mail: "Wenn Du mit dem richtigen Schlüssel = SmartCard kommst, werde ich lesbar".

Wenn, dann müssten in der E-Mail alle öffentliche Schlüssel aller Mitarbeiter der Kanzlei anhängen. Dann brauche ich aber nicht verschlüsseln, wenn es am Ende eh jeder lesen kann.

Dafür gibt es dann Lösungen wie NoSpamProxy, die eine E-Mail Verschlüsselung via Kennwort und PDF vor/nach dem Exchange erledigen.

Oder als PDF drucken und unverschlüsselt abspeichern. Wenn jemand dazu mal eine Lösung findet, die alle befriedigt, flexibel ist aber auch genauso sicher und komfortabel - derjenige wird sehr reich werden .

E-Mails verschlüsseln ist wie ein Brief mit Option Einschreiben eigenhändig.

Nun, aufbewahren können Sie den Handelsbrief ja konvertiert. Die aktualisierten GoBD lassen, wenn ich mich gerade richtig erinnere, nun ja auch Konvertierungen zu, solange keine Informationen verloren gehen. Wobei ich nun nicht weiß, ob dann bei einem PDF-Druck verloren gehende Header als verlorene Informationen anzusehen sind Leider bin ich weder Jurist, noch IT-Profi ...

Könnte mir vorstellen, dass das funktioniert, wenn sozusagen ein Kanzleizertifikat existiert, statt pro Person eines. Aber, wie schon geschrieben, da bin ich zu wenig Fachmann zu.

Wenn jemand dazu mal eine Lösung findet, die alle befriedigt, flexibel ist aber auch genauso sicher und komfortabel - derjenige wird sehr reich werden .

Oh ja!

Könnte mir vorstellen, dass das funktioniert, wenn sozusagen ein Kanzleizertifikat existiert, statt pro Person eines.

Hm, dann müsste es ja ähnlich wie bei Webseiten eine Art Wildcard sein. Alles was auf @domain.endung endet kann damit verschlüsselt werden und auch von allen gelesen werden. Aber auch das ist ja nicht unbedingt die Lösung, wenn die IT-Abteilung (wenn vorhanden) dann die E-Mails der FiBu/Lohnabteilung mitlesen kann, was alles bei den Mandanten im Personalwesen abgeht . Spätestens da wird doch die DSGVO sagen "diese Informationen hätten Sie nie lesen dürfen", oder?

Oder wenn der Kanzleiinhaber vertrauliche E-Mails mit Mandanten oder Externen verschlüsselt. Das geht wohl den Rest der Belegschaft rein gar nichts an.

Ob jetzt IT-Abteilung oder eine andere spielt ja keine Rolle. Ist mir nur gerade eingefallen, wenn es größere Kanzleien sind.

Innerhalb der Kanzlei sehe ich das (nur aus dem Bauch heraus) nicht kritisch. Auf Aktenordner kann in der Kanzlei schließlich auch jeder "Kanzleibefugte" zugreifen. Dafür haben wir ja alle eine Verschwiegenheitserklärung unterschrieben.

Wenn die E-Mails dann als zusätzlicher PDF-Ausdruck in DMS archiviert sind, kann auch jeder Befugte darauf zugreifen. Und die E-Mails nur in der verschlüsselten Form abzuspeichern, ist ja keine Lösung. Nicht nur falls ein Mitarbeiter abwesend ist oder ausscheidet, selbst wenn ich mal meine SmartCard zerbreche, weiß ich nicht, ob Datev mir eine neue Karte mit dem gleichen Schlüssel erstellen könnte. Dürfte ja eigentlich nicht möglich sein.

Also s/mime Zertifikate können immer nur für eine gültige Mailadresse ausgestellt werden, nie für eine komplette Domain als Art Wildcard.

Die DSGVO sagt dazu übrigens gar nichts. Nur das technisch organisatorische Maßnahmen nach dem Stand der Technik zu treffen sind um den Schutz personenbezogener Daten zu gewährleisten (also nichts konkretes und immer Auslegungssache - Bewertung Risiko und Eintrittswahrscheinlichkeit).

Guten Tag, ich habe die  Verschlüsselung sehr wohl verstanden, denn ich mache das schon seit  Jahren.

Ich empfehle Ihnen auch ein Video:

Mein Problem ist, dass ich nicht an den öffentlichen Schlüssel komme. Und ob ihr Datev System nur individuelle Schlüssel oder einen Schlüssel der Kanzlei hat, ist mir als Kunde völlig egal.

Als Kunde der Kanzlei erwarte ich, dass das System funktioniert.

Warum zum Beispiel kann ich in ihrem Datev Portal, in dem ich mich anmelden muss, wenn ich  Mails noch ohne PGP lesen möchte, nicht direkt den Schlüssel der Person herunter laden, die mir die Mail geschickt hat?? Das wäre sehr simple. Dann könnte ich im Portal meinen Schlüssel hoch- und den mich interessierenden direkt runterladen.

Es ist ja schön, wenn ihr System innerhalb Kanzlei und Datev funktioniert. Fein, wenn man den Kunden, der das ganze System bezahlt, vergisst. Ich empfehle Ihnen die Sprint Review Meetings aus SCRUM. Dann klappt's auch als IT-ler mit dem Kunden.

Bitte nicht falsch verstehen, aber das Thema ist komplex und niemand hier kennt Ihren Wissensstand.

Niemand wollte Sie angreifen.

zu ihrer Frage: den öffentlichen Schlüssel - sofern der Inhaber der Veröffentlichung zugestimmt hat - finden Sie hier: DATEV Encryption

oder eben der Mitarbeiter aus der Kanzlei schickt Ihnen einmal eine signiere Mail, und sie speichern den Kontakt wie wir es versucht haben Zu erklären.

ich hoffe das klappt jetzt. Wenn nicht auch gerne per PN.

viele Grüße as

Suchen Sie doch dort nach meinem Namen, laden das Zertifikat herunter und schicken mir eine verschlüsselte Mail... dann sehen wir doch ob es funktioniert hat 🙂

Hallo,

ich habe ein ähnliches Problem. Ich verschlüssele mit OpenPGP über Thunderbird und EnigMail. Ich habe ihnen ja einen PGP Schlüssel hochgeladen, das klappt. Nun brauche ich doch auch einen PGP Schlüssel und kein MiME Zertifikat meines Steuerberaters. Das Zertifikat finde ich auf dem Server, aber den PGP Schlüssel nicht. Warum kann ich nicht einfach einen PGP Schlüssel des Beraters importieren?

Das ganze Thema ist mir nicht neu, aber das hier ist ganz schon kompliziert.

DATEV stellt keine PGP Schlüßel zur Verfügung sondern setzt ausschließlich auf S/MIME. Leider sind die Systeme ja nicht kompatibel.
Wenn Ihr Steuerberater also nicht von Sich aus aktiv wird und sich auch ein PGP Zertifikat holt, haben Sie keine Chance auf direktem Weg.

GnuPG/Enigmail kann aber auch mit S/MIME umgehen.

Ok, jetzt mal Butter bei die Fische! Sie bieten an, dass ich mit meinem Steuerberater über Ihre Technik verschlüsselt kommunizieren kann.

Jetzt nutze ich PGP, kann von meinem Steuerberater Mails bekommen und diese Entschlüsseln (meinen PublicKey haben sie). Da mein Steuerberater über Sie aber weiterhin S/MIME verwendt, ich aber kein S/MIME Zertifikat habe, kann ich mit Thunderbird & EnigMail meinem Steuerberater nicht verschlüsselt antworten, richtig?

Sie benötigen den öffentlichen Teil des S/MIME-Zertifikates.

Ich habe den Schlüssel auf der Seite DATEV Encryption heruntergeladen und auch in Thunderbird importiert. Das Programm sagt mir, dass damit keine Verschlüsselung möglich sei.

Ich habe mein(e) Zertifikat(e) bei der DATEV nicht freigegeben, kann diese deshalb nicht über die Seite herunterladen. Ich habe die öffnetlichen Zertifikateanteile aber direkt von Windows exportiert und konnte diese in Kleopatra/Enigmail übernehmen:

Hallo Herr Benke,

Ich glaube da liegt jetzt ein Missverständnis vor.

Es ist weder meine Technik, noch bin ich Dienstanbieter.

Sie wollen Ihrem Steuerberater eine Mail verschlüsselt schicken? Dann können Sie über DATEV Encryption sein öffentliches Zertifikat herunterladen (sofern er es freigegeben hat) oder Sie lassen sich eine signierte Mail schicken und speichern daraus das Zertifikat.

Was Ihre Lösung Thunderbird und EnigMail kann oder nicht kann, kann ich nicht beurteilen (dazu haben hier andere Antwort gegeben).

Viele Grüße

Andreas Schön

Wenn es für Sie eine Option ist, so können Sie – Thunderbird-kompatibel (und m. W. neben PGP nutzbar) – für Ihren Steuerberater S/MIME nutzen.

Kostenlose, zeitlich beschränkte S/MIME-Zertifikate finden Sie hier:

• https://secure.comodo.com/products/frontpage?area=SecureEmailCertificate
• https://secorio.com/de/faqs/smime-zertifikate/78-wieviel-kosten-email-zertifikate-fuer-privaten-gebrauch

Bitte beachten Sie ggf. vorhandene Nutzungseinschränkungen dieser Anbieter bzgl. geschäftlicher Nutzung.

ACHTUNG: öffentliche Schlüssel können aktuell noch NICHT beim DATEV Schlüsselserver heruntergeladen und manuell installiert werden, wenn Outlook versendet werden soll. Problem wird angeblich bis August 2020 behoben. S. Hinweis bei der Schlüsselsuche.

Bezieht sich auf:

"Wenn Sie öffentliche Schlüssel von Personen suchen, können diese bei DATEV eingesehen und heruntergeladen werden. Sie müssen in Outlook den E-Mail Empfänger als Kontakt speichern und ihm / dahinter das Zertifikat zuweisen. Dann nutzt Outlook das beim Versand von E-Mails zum verschlüsseln."

---

@thowa  schrieb:

ACHTUNG: öffentliche Schlüssel können aktuell noch NICHT beim DATEV Schlüsselserver heruntergeladen und manuell installiert werden, wenn Outlook versendet werden soll. Problem wird angeblich bis August 2020 behoben. S. Hinweis bei der Schlüsselsuche.

---

Ich verstehe das Problem nicht?!

Es ist schon sehr interessant, die Diskussion hier zu verfolgen und wie sehr man nebeneinander vorbeizureden scheint. Ich habe leider das gleiche Problem

Ich

- nutze PGP, habe KEIN S/MIME Zertifikat

- habe öffentlichen Schlüssel zu DATEV hochgeladen

Mein Steuerberater

- hat scheinbar KEIN PGP

Problem

- ich kann verschlüsselte Mails erhalten, die von DATEV per PGP verschlüsselt werden

- mein Steuerberater keine MEINE Mails nicht verschlüsselt erhalten, weil ICH kein S/MIME Zertifikat habe und ER keinen PGP Schlüssel

Frage

- wer denkt sich so etwas aus? Verschlüsselung in nur eine Richtung? Dann noch unverschlüsselt antworten, oder wie? Kann ich absolut nicht nachvollziehen. Was ein unsinniger no brainer....