19 Antworten Neueste Antwort am 06.05.2016 17:55 von rvh

    Email-Verschlüsselung und datenschutzrechtliche Probleme

    mapex Fortgeschrittener

      Hallo zusammen,

       

      nachdem in der Community ja inzwischen heiß diskutiert wird über Whattsapp und dessen Folgen habe ich mich bei uns in der Kanzlei auch mal mit dem Thema versucht auseinanderzusetzen.

       

      Im Rahmen dieser Diskussion über Whattsapp wurde mir von einem anderen Nutzer geraten (weil die es in der Kanzlei auch betreiben) eine schriftliche Einverständniserklärung aufzusetzen, für den Fall, dass Mandanten darauf verzichten möchten, dass Ihre Emails verschlüsselt werden.

       

      Jetzt habe ich aber folgendes Problem, bei dem ich eure Meinungen brauche und vielleicht vielmehr das Wissen. Unsere Datenschutzbeauftrage meinte, dass es eigentlich gar nicht möglich ist, das Risiko einer Haftung über so ein Formular oder eine Erklärung auszuschließen, WEIL es schlicht und ergriefend standes- und berufsrechtlich vorgeschrieben ist.

       

      Auf gut deutsch, wir können uns das Schreiben von so einer Einwilligung sparen. Zwar könnte man im zivilrechtlichen Sinne ggf. Schadenbegrenzung betreiben, aber wenn das über die Kammer ginge, hätte man zwingend ein Problem. Sozusagen wäre dies eine unumgängliche Vorschrift. Sie gab aber auch zu, dass dies bereits wieder ein paar Jahre her sei, dass Sie auf diesem Seminar war und die Unterlagen hierzu bestimmt veraltet wären. Wir hängen also ein wenig in der Luft.

       

      Mich interessiert im großen und ganzen eigentlich, ob man damit ein Haftungsrisiko begrenzen kann. Wenn unsere Chefs dann entscheiden, dass sie bei Vorliegen einer solchen Erklärung dem Wunsch der Mandanten nach unverschlüsselten Mails nachkommen wollen - is mir das egal. Von meiner Seite aus gäbe es entweder eine verschlüsselte Mail oder gar keine. Dann eben wieder per Fax.

       

      Wie sehen das die anderen Teilnehmer?

        Alle Antworten
        • 1. Re: Email-Verschlüsselung und datenschutzrechtliche Probleme
          mkinzler Fachmann

          Die Frage ist auch, ob der Mandant wirklich für alle Betroffene sprechen kann; in den Daten können ja auch die Rechte Dritter betroffen sein ( Mitarbeiter, Kunden usw.)

          2 von 2 Personen fanden dies hilfreich
          • 2. Re: Email-Verschlüsselung und datenschutzrechtliche Probleme
            agmü Aufsteiger

            Vielleicht helfen die Ausführungen der RA-Kammer Hamm weiter.  Diese sind unter http://www.rechtsanwaltskammer-hamm.de/aktuell/kammerreport/68-heft-04-2012-elektronische-kommunikation-in-der-rechtsanwaltskanzlei.html zu finden.

            4 von 4 Personen fanden dies hilfreich
            • 3. Re: Email-Verschlüsselung und datenschutzrechtliche Probleme
              dombrowski Einsteiger

              Von meiner Seite aus gäbe es entweder eine verschlüsselte Mail oder gar keine. Dann eben wieder per Fax.

               

              Wie sehen das die anderen Teilnehmer?

              Sehe ich ganz ähnlich, in der Praxis aber leider nicht umsetzbar. Verschlüsselung ist seit zehn Jahren ein Thema und dennoch haben insbesondere kleinere Mandanten davon a) absolut keine Ahnung, wollen sich b) damit nicht beschäftigen und scheuen c) ganz einfach die Kosten. Bei größeren Mandanten mit entsprechender Infrastruktur oft ein Selbstgänger, dann hört es aber auch auf.

              • 4. Re: Email-Verschlüsselung und datenschutzrechtliche Probleme
                mapex Fortgeschrittener

                die frage mit den Rechten Dritter stellt sich natürlich, Herr Kinzler, keine Frage.

                 

                Dennoch würde ich es hier einfach mal ausblenden wollen und davon ausgehen, dass es wirklich NUR um Daten geht, die den Mandanten direkt und ausschließlich betreffen. Danke dennoch für den Hinweis.

                • 5. Re: Email-Verschlüsselung und datenschutzrechtliche Probleme
                  jan Aufsteiger

                  Hi,

                   

                  zu a) Ich habe keine Ahnung vom Autofahren

                  zu b) Ich möchte mich nicht damit auseinandersetzen

                  zu c) Ich sehe es nicht ein Geld für einen Führerschein auszugeben

                   

                  Also darf ich mich jetzt ins Auto setzen und losfahren

                   

                  Ein kleiner Mandant hat keine 13€ im Jahr für ein SMIME Zertifikat übrig?

                   

                  Gruß

                  Jan

                  • 6. Re: Email-Verschlüsselung und datenschutzrechtliche Probleme
                    mkinzler Fachmann

                    Dennoch würde ich es hier einfach mal ausblenden wollen und davon ausgehen, dass es wirklich NUR um Daten geht, die den Mandanten direkt und ausschließlich betreffen.

                    Was in der Praxis oft schwer ist.

                    • 7. Re: Email-Verschlüsselung und datenschutzrechtliche Probleme
                      deusex Fortgeschrittener

                      Vor zwei Jahren hatten wir (wieder) alle Mandanten mit e-mail-Kommunikation diesbezüglich schriftlich aufgeklärt und ergänzend mündlich nachbefragt.

                       

                      Wir hatten ca. ein halbes Jahr später bei den 90% nachgehakt, von welchen überhaupt keine aktive Resonanz zu verzeichnen war.

                       

                      Viele sagten, es sei zwar toll, was technisch möglich wäre, der Großteil jedoch wünschte sich nach einer Übergangsphase sogar wieder, dass wir die e-mail-Anlagen nicht mehr mit Passwort verschlüsseln sollen, da dies umständlich für sie wäre. Andere wiederum waren der Meinung, wenn jemand gezielt ihre Daten möchte, wären diese leicht in Besitz zu nehmen. Ferner lagen die Aussagen auch im Bereich von "ist mir wurscht" bis "ich habe nichts zu verbergen".

                       

                      KEIN Mandant wünschte sich bis heute eine Verschlüsselung oder Rückkehr zu passwortgeschützten Dateien oder Anhängen.

                       

                      Wir werden wohl in unserem nächsten Kanzleirundschreiben dieses Thema nochmals aufgreifen und überlegen, ob es Sinn macht, uns den unverschlüsselten e-mail-Verkehr von unseren Mandanten legitimieren zu lassen. womit ich sehr wohl der Meinung, dass dies bezüglich der Verschwiegenheit abdingbar ist.

                       

                      Die Problematik der "Dritten" sehe ich hier im Wesentlichen bei den Mitarbeiterdaten des Mandanten bei "LOHN"; hier müsste ggf. der Mandant mit seinen Mitarbeitern entsprechende Vereinbarungen treffen, da er m.E. hier in der Verantwortung steht, wenn er die Kanzlei zur Übermittlung der Personalauswertungen legitimiert; zwischenzeitlich werden rund 75% der Personalabrechnungen via e-mail (auf Mandantenwunsch) zugestellt.

                       

                      Auch ohne schriftliche Einwilligung, gefällt mir das Stichwort "Konkludente Einwilligung", im gesamten Kontext, eigentlich sehr gut...

                       

                      Danke für den sehr aufschlussreichen Link, Herr Müller.

                      1 von 1 Personen fanden dies hilfreich
                      • 8. Re: Email-Verschlüsselung und datenschutzrechtliche Probleme
                        agmü Aufsteiger

                        Gerne geschehen. Es handelt sich schließlich um ein Thema von dem Alle betroffen sind. 

                        • 9. Re: Email-Verschlüsselung und datenschutzrechtliche Probleme
                          jan Aufsteiger

                          Solange Daten von euch zum Mandanten nicht an die öffentlichkeit oder unbefugte Dritte geraten sehen die Mandanten das bestimmt total locker und als unnötig an. Wenn es zu spät ist, schlägt das äußerst zügig um.

                           

                          Wenn der Mandant wirklich so "beschränkt" ist und mit seinen und den Daten Dritter so unverantwortlich umgeht, sollte man vielleicht über eine (selbstgehostete) Lösung wie Citrix Sharefile / Sharepoint / OwnCloud oder eine Art Webakte wie den Anwälten nachdenken.

                          1 von 1 Personen fanden dies hilfreich
                          • 10. Re: Email-Verschlüsselung und datenschutzrechtliche Probleme
                            chrisocki Aufsteiger

                            Ein kleiner Mandant hat keine 13€ im Jahr für ein SMIME Zertifikat übrig?

                            DATEV-SmartCard  0,00 Euro / Sicherheitspaket compact 0,00 Euro

                            Scheckkartenleser entweder schon vorhanden (Bank) oder im EK auch schon ab 18,00 Euro... alternativ DATEV 36,00 oder 54,00 Euro einmalig.

                             

                            Leider zieht das Argument auch nicht bei allen Mandanten...

                             

                            Und selbst wenn dann die SC vorliegt, ist es den meisten schlicht zu lästig einen min. 6-stelligen PIN einzugeben um die Mail zu versenden...

                            Mal von der Einrichtung abgesehen, die für die Feld-Wald-Wiesen-Hobby-ichkannalles-Admins anscheinend schon eine unüberwindbare Hürde darstellt.

                             

                            Grüße

                             

                            Chr.Ockenfels

                            • 11. Re: Email-Verschlüsselung und datenschutzrechtliche Probleme
                              jan Aufsteiger

                              Die Unterlagen per Post zu senden / empfangen oder persönlich abzuholen / vorbeizubringen dürfte wesentlich unbequemer (und teuerer) werden als eine PIN einzugeben.

                              Bei einem SMIME Zertifikat einer beliebigen (kommerziellen) CA entfällt zudem noch das Eingeben der PIN (Komfort kostet halt )

                               

                              Und bei den von dir genannten Admins (Und Mandanten (Kanzleien / Wer auch immer) die so einen anstellen / beauftragen).. Naja frei nach dem Kölschen Grundgesetz: Et hätt noch emmer joot jejange.

                               

                              Das einzig bedenkliche an der Sache ist, wenn es zu spät ist, ist beim Mandant null Einsicht und es trifft alleine den "inkopetenten" Admin und dieser wird durch den nächsten (billigeren) ersetzt...

                              • 12. Re: Email-Verschlüsselung und datenschutzrechtliche Probleme
                                mapex Fortgeschrittener

                                ich sehe, dass im allgemeinen alle anderen von den gleichen Problemen betroffen sind, wie ich.

                                 

                                erstens ist es den Mandanten zu teuer, zweitens zu lästig und drittens haben sie keine lust sich mit Änderungen auseinander zu setzen.

                                 

                                die aussagen: ich habe nichts zu verbergen oder wenn jemand dran will schafft er es eh, kenne ich nur zu gut.

                                 

                                ich frage mich allerding, wenn ca. 90% der Mandanten aller bundesweiten Kanzleien so denken, warum hat die welt sich so aufgeführt, als merkels Handy ausgelesen wurde???

                                 

                                wir haben doch nichts zu verbergen, oder?

                                 

                                als privatmensch bin ich der Meinung: wer sich nicht schützt hat Pech, aber mir geht es ja auch darum, die schadensersatzansprüche gegen die Kanzlei zu vermeiden. die Daten sind mir "relativ" wurscht, denn das müssen die leute selbst entscheiden. leider wird man häufig - trotz vielfacher Belehrungen und Aufklärungen - erst immer abgetan und später dann doch dafür gehauen. ich denke, das gehört zu unserem beruf dazu.

                                 

                                manchmal müssen wir beraten, obwohl man es gar nicht möchte... schon seltsam die welt

                                • 13. Re: Email-Verschlüsselung und datenschutzrechtliche Probleme
                                  jan Aufsteiger

                                  Das liegt einfach daran, dass es erst jemanden stört, sobald es zu spät ist.

                                  Auch wenn die Kanzlei sich da vielleicht haftungstechnisch durch ominöse Klauseln in Vereinbarungen "rausgeredet" bekommt.

                                  Was tun wenn sich dann rumspricht Stb. XYZ hat Daten an ABC geschickt und die wurden abgefangen. Diesen Imageschaden wieder aufzupolieren wird in meinen Augen schwer bis unmöglich.

                                   

                                  Auch in diesem Fall wird der Mandant sich das ganz einfach machen und sagen: Der Stb hats vergeigt -> Neuer Stb und alles andere beim Alten.

                                   

                                  Man kann den Mandanten da vllt. nicht oft genug ins Gewissen reden. Aber irgendwann sollte die Pistole auf die Brust und sich die Wege trennen. Oder es bleibt beim "Et hätt noch emmer joot jejange."

                                   

                                  Manchmal frage ich mich, warum sich Leute von einem (Steuer- / IT- / Was auch immer) Berater beraten lassen, um dann alles zu ignorieren..

                                  • 14. Re: Email-Verschlüsselung und datenschutzrechtliche Probleme
                                    dombrowski Einsteiger

                                    Das einzig bedenkliche an der Sache ist, wenn es zu spät ist, ist beim Mandant null Einsicht und es trifft alleine den "inkopetenten" Admin und dieser wird durch den nächsten (billigeren) ersetzt...

                                    Grade bei kleineren Mandanten ist der "Admin" doch ein Sachbearbeiter mit ein paar selbstständig angelernten IT Kenntnissen. Schon so oft erlebt...

                                     

                                    Finde es schon fast beruhigend, dass sich scheinbar alle mit uneinsichtigen Mandanten herum plagen, obwohl das Thema wirklich wichtig ist ;-)

                                    • 15. Re: Email-Verschlüsselung und datenschutzrechtliche Probleme
                                      jan Aufsteiger

                                      In der Regel sollte bei so einem Mandanten auch irgendwann mal ein (kompetentes) Systemhaus die Infrastruktur in Betrieb genommen haben und dann an den (un)freiwilligen Admin übergeben haben.

                                      Also sollte es da doch bestimmt Kontakte geben, die entsprechend beraten können sollten.

                                       

                                      Bei nahezu allen anderen Konstellation ist eh Hopfen und Malz verloren

                                      • 16. Re: Email-Verschlüsselung und datenschutzrechtliche Probleme
                                        theo Erfahrener

                                        Als Beispiel, so formulieren es Teile der Exekutive:

                                         

                                        "Die Antwort-E-Mail der Bundesagentur für Arbeit kann aus technischen Gründen nicht über eine gesicherte Internetverbindung versandt werden. Es ist nicht sicher gestellt, dass die Nachricht mich tatsächlich erreicht. E-Mails können auf dem Übertragungsweg gelesen oder durch Unbefugte geändert bzw. gelöscht werden. Mir ist bekannt, dass die Kommunikation über das Internet unsicher ist. Gleichwohl bin ich damit einverstanden, dass mein Anliegen per E-Mail beantwortet wird."

                                        • 17. Re: Email-Verschlüsselung und datenschutzrechtliche Probleme
                                          agmü Aufsteiger

                                          Darf ich diesen Text ins beA als Standardantwort einstellen?

                                           

                                          ansonsten kann ich zum Hinweis der Bundesagentur für Arbeit nur noch den Kopf schütteln.

                                          • 18. Re: Email-Verschlüsselung und datenschutzrechtliche Probleme
                                            rvh Fortgeschrittener

                                            Hallo zusammen,

                                             

                                            ich stosse gerade eben auf diese Diskussion und möchte anmerken, dass wir bereits seit einigen Jahren (kurz nach dem Start der DATEV E-Mail-Verschlüsselung) flächendeckend und ohne Ausnahmen jegliche Mandanten- und Mandatskommunikation per Mail nur noch verschlüsselt auf den Weg gebracht haben.

                                             

                                            Das führte anfangs zu dem ein oder anderen Telefonat, aber schon nach kurzer Zeit (ich hatte mich da auf deutlich mehr Gegenwind eingestellt) lief das Thema ohne weitere Probleme.

                                             

                                            Wir haben allen Mandanten (egal ob Unternehmen oder ESt-Mandant) per Mail die "Spielregeln" für Passwörter erklärt und es frei gestellt, dass sich der Mandant selbst eines "bastelt", das wir dann in der DATEVnet-Verwaltung für ihn so hinterlegt haben. Wer das nicht wollte, bekam eines von DATEVnet zugeteilt und von uns entweder als Fax oder telefonisch zur Nutzung übergeben. Für die in UO arbeitenden Mandanten haben wir mittels Fernbetreuung dafür gesorgt, dass die Entschlüsselung über den mIDentity klappt.

                                             

                                            Heute haben wir eher Diskussionen mit Behörden, Banken o.ä., deren Firewalls gelegentlich nicht mit diesen Mails klar kommen - aber auch das bessert sich.

                                             

                                            Vor kurzem bekam ich von einem Amt eine mehrseitige Belehrung (verschlüsselte Mails seien im Verfahren nicht eingeführt und damit auch nicht zugelassen), weil ich die angeforderten Unterlagen nicht offen über die Leitung gelassen hatte. Dabei hatte ich keinerlei Anträge o.ä. gestellt, sondern wollte lediglich rund 100 Seiten Belege nicht übers Fax senden.

                                             

                                            Nach der "freundlichen" Belehrung habe ich dann die 100 Seiten - zur Freude der Poststelle des Amts - per Fax zugesendet. Das belegte deren Fax gut eine Stunde, führte zu reichlich Engpass dort (das Papier ging natürlich auch noch aus) und die Qualität war trotz höher eingestellter Auflösung suboptimal.

                                             

                                            Mal sehen, ob die nächste Beleganforderung wieder so abläuft ...

                                             

                                            Nachdem nun seit geraumer Zeit aus unseren Mails heraus auch eine "sichere Antwort" möglich ist (ein feines Feature), stelle ich fest, dass unsere Mailempfänger diese Funkton zunehmend nutzen - das Problembewusstsein ist offenbar größer geworden.

                                            3 von 3 Personen fanden dies hilfreich
                                            • 19. Re: Email-Verschlüsselung und datenschutzrechtliche Probleme
                                              theo Erfahrener

                                              Hallo Herr Hein,

                                               

                                              kommunizieren Sie auch mit dem Finanzamt per verschlüsselter Mail? Falls ja wie? Zertifikate (pgp / s/mime) dafür besitzen diese ja m.W. nicht?

                                               

                                              Mit freundlichem Gruß

                                              Theo

                                              • 20. Re: Email-Verschlüsselung und datenschutzrechtliche Probleme
                                                rvh Fortgeschrittener

                                                Hallo Herr Behrens,

                                                 

                                                meine digitale Kommunikation mit dem Finanzamt beschränkt sich auf Belegeinreichungen, Fragenbeantwortungen u.ä. nicht als Antrag zu wertende Kommunikation.

                                                 

                                                Für - fristbehaftete - Anträge wird aus Sicherheitsgründen noch immer der Brief- oder Faxversand gewählt, da ich mir da keine Flanke hinsichtlich unwirksamer Antragstellung öffnen will.

                                                 

                                                Meine "Erfahrungen" dazu habe ich ja oben schon wieder gegeben ...

                                                 

                                                Technisch läuft die digitale Kommunikation immer mit der DATEV-E-Mail-Verschlüsselung und direkter Nachreichung des Kennwortes per Fax. Leider stellt die FinVerw in Ba-Wü außer der Poststelle keine persönlichen Mailadressen zur Verfügung, obwohl praktisch alle Sachbearbeiter heute eine amtseigene Mailanschrift haben. Gelegentlich bekommt man die auch genannt, wenn eine zügige Erledigung erfolgen soll.

                                                 

                                                Schönes Wochenende

                                                 

                                                R. Hein