Datenschutz Umgang mit Emails in der Kanzlei ________________________________________________________
E-Mail an Mandanten

Das Internet bietet uns eine Vielzahl neuer Möglichkeiten, die Arbeitsabläufe in der Kanzlei zu optimieren.
So können zum Beispiel schnellere Kommunikationswege genutzt oder eine effiziente Informationsrecherche betrieben werden. Leider bietet das Medium Internet nicht nur Vorteile für die Anwender, sondern es birgt auch gewisse Risiken.

So nutzen zum Beispiel auch Hacker und Datenspione die Offenheit des Internet, um die Daten bei den
globalen Kommunikationsmöglichkeiten über das Internet vor unberechtigten Zugriffen zu schützen, muss der Internetanwender Vorkehrungen treffen.

Diese Pflicht obliegt gerade dem Steuerberater da er tagtäglich mit vertraulichen Daten der Mandanten arbeitet Ohne entsprechende Vorsichtsmaßnahmen können gesendete E-Mail, mit verhältnismäßig geringem Aufwand, auf ihrem Weg zum Empfänger abgefangen, gelesen und gegebenenfalls sogar unbemerkt manipuliert werden.


Zur Ihrer Sicherheit erfolgt eine Verschlüsselung mit Kennwortschutz aller Email Anhänge im PDF Format.

Das Dateiformat PDF ist heute aus der PC-Welt nicht mehr wegzudenken.
Die einfache und sichere Weitergabe von Druckdaten, die individuelle Archivierung und die unabhängige Ausgabe bestimmter Dokumente sind nur drei Punkte aus einer breiten Palette von Vorteilen.


Sie erhalten hierzu mit gesonderter Post Ihr persönliches Kennwort  welches Sie zum mühelosen Öffnen der E-Mail Anhänge verwenden können. 

Digitale Signatur

Zusätzlich werden alle unsere E-Mails digital signiert, das schützt die E-Mails vor Verfremdung durch Dritte


Wir werden also nur noch E-Mails mit  einer  Verschlüsselung und digitaler Signatur versenden. 


______________________________________________________________________

Es stand im DATEV Magazin 3 2010

DATEV Email-Verschlüsselung

Clever mailen in der Praxis

Vertraulichkeit bei der elektronischen Kommunikation ist nur durch Verschlüsselung zu gewährleisten.
Handelsübliche Lösungen für E-Mail-Programme erfüllen aber nicht immer die Anforderungen einer modernen Büroorganisation. Das Verfahren der DATEV schon.

die datev e-mail-verschlüsselung bietet eine automatische Verschlüsselung im Rechenzentrum, die auf DATEVnet aufbaut. Die Art der Verschlüsselung passt sich den technischen Gegebenheiten beim Mandanten an. Wenn er weder über eine DATEV SmartCard noch über ein vergleichbares System verfügt, wird die E-Mail automatisch in ein PDF-Dokument umgewandelt und mit einem Passwort verschlüsselt.Wann wird welches Verfahren angewendet? Drei Steuerberater berichten von ihren Erfahrungen. Bei Benjamin Wahler verlässt beispielsweise keine vertrauliche E-Mail versehentlich unverschlüsselt die Kanzlei. Jede E-Mail wird hier per Voreinstellung verschlüsselt. Peter Kuster hat mit allen Mandanten ein individuelles PDF-Kennwort vereinbart, das für die Verschlüsselung verwendet wird. Rainer Sandberg möchte als DATEVasp-Kunde den Verwaltungsaufwand möglichst gering halten und verlässt sich deshalb auf die automatischen Regeln des Systems. Im Gespräch verraten sie darüber hinaus, wie die Einführung in der Kanzlei verlief und wie ihre Mandanten auf die verschlüsselten E-Mails reagierten.

DATEV magazin: Warum haben Sie die DATEV E-Mail-Verschlüsselung in Ihrer Kanzlei eingeführt?

Benjamin Wahler: Wir haben uns letztes Jahr nach dem Qualitätssiegel des Steuerberaterverbandes zertifizieren lassen. Im Rahmen der Zertifizierung war der Schutz der personenbezogenen Daten in E-Mails auch ein Thema. Vor der Einführung haben wir mit den Mandanten ein individuelles PDF-Kennwort vereinbart. Die manuelle Verschlüsselung der einzelnen Dokumente war aber zu umständlich, sodass wir eine Lösung gesucht haben, die sich in unsere IT-Systeme einfügte.

Rainer Sandberg: Jeder Mandant mit einer E-Mail-Adresse erhält seine Auswertungen von uns per E-Mail zugesandt. Mit dieser strategischen Entscheidung für den elektronischen Versand brauchten wir eine Lösung, die uns unterstützt und nicht bremst. Nur so haben wir auch wirklich etwas davon, dass wir die ganzen Auswertungen nicht ausdrucken und kuvertieren müssen. Schließlich verdienen wir unser Geld nicht mit dem Versand der Auswertungen, sondern deren Erstellung

Peter Kuster: Wir haben Auswertungen auch schon vor der Einführung aus Lohn und Gehalt heraus als kennwortgeschütztes PDF-Dokument versendet. Als Kanzlei mit dem DStV-Qualitätssiegel ist die Verschlüsselung von E-Mails für uns nichts Neues. Für uns ist der verschlüsselte Versand von E-Mails aber nicht von deren Archivierung zu trennen. Deshalb waren wir auf der Suche nach einer Lösung aus einer Hand. DATEV bietet mit der E-Mail-Archivierung und E-Mail-Verschlüsselung ein rundes und schlüssiges Angebot.

DATEV magazin: Wie ist die technische Einrichtung verlaufen? Haben die Mitarbeiter eine Schulung erhalten?

Peter Kuster: Die Einrichtung war innerhalb kurzer Zeit erledigt. Eine Schulung der Mitarbeiter war nicht notwendig. Sie waren froh, dass endlich die manuelle Verschlüsselung nicht mehr erforderlich war.

Rainer Sandberg: Als Anwender von DATEVasp wurde die Einrichtung in Nürnberg durchgeführt. Für unsere Mitarbeiter war ein kurzes Briefing ausreichend. Sie müssen lediglich entscheiden, ob es sich um eine E-Mail mit vertraulichen Daten handelt oder nicht. Diese E-Mails werden mit der Wichtigkeit „Hoch“ markiert und dann versendet. Die Verschlüsselung geschieht automatisch im Hintergrund.

Benjamin Wahler: Wir hatten einen etwas höheren Aufwand für die Einrichtung, da wir zunächst eine eigene Domain zu DATEVnet umgezogen haben. Das war nicht unbedingt notwendig, da die Domain auch außerhalb von DATEVnet liegen darf. Wir wollten aber gerne alles in die Hände der DATEV geben. So mussten wir einige Wochen bis zur endgültigen Inbetriebnahme warten. Da die Einführung im Rahmen des DStV-Qualitätssiegels erfolgt ist, haben wir die Mitarbeiter von Anfang an mit in den Prozess integriert.

DATEV magazin: Haben Sie die Mandanten im Vorfeld angesprochen, und wie war deren Reaktion auf die erste verschlüsselte E-Mail?

Benjamin Wahler: Die Mandanten sind froh, dass ihre vertraulichen Daten sicher übermittelt werden. Etwas Irritationen gab es lediglich, weil wir bereits vor der Einführung mit ihnen ein individuelles PDF-Kennwort schriftlich vereinbart hatten. Durch die Kennwortregeln mussten wir das ändern. Sehr gute Rückmeldungen haben wir auch von den Banken erhalten. Sie sind froh über die elektronische Bereitstellung der vertraulichen Daten auf einem sicheren Weg.

Rainer Sandberg: Die Mandanten haben wir nicht eigens auf das Thema angesprochen, sondern gleich mit der Verschlüsselung begonnen. Natürlich gab es Rückfragen. Die Akzeptanz war aber schnell gegeben. Trotzdem ist einigen Mandanten selbst die Eingabe eines Passworts noch zu umständlich. Mit denen haben wir eine schriftliche Vereinbarung getroffen, dass die E-Mails unverschlüsselt versendet werden. Dies ist zwar immer noch ein rechtlicher Graubereich, denn von der berufsständischen Verschwiegenheitspflicht kann ich mich nicht einfach freisprechen lassen.

Peter Kuster: Jeder Neumandant erhält von uns eine laminierte Passwortkarte. Damit ist dann klar, dass er E-Mails verschlüsselt von uns erhält. Natürlich gibt es anfangs Nachfragen, wo beispielsweise die Anhänge im PDF-Dokument zu finden sind. Die Fragen können aber schnell beantwortet werden.

DATEV magazin: Je nach den technischen Voraussetzungen beim Mandanten wird die E-Mail verschlüsselt oder ein kennwortgeschütztes PDF-Dokument automatisch erzeugt. Wie erreichen Sie Ihre Mandanten?

Peter Kuster: Wir versenden ausschließlich kennwortgeschützte PDF-Dokumente. Hierfür haben wir für jeden Mandanten ein eigenes PDF-Kennwort eingerichtet. Das geht online über die DATEVnet-Administration. Die PDF-Kennwörter hinterlegen wir in unserem DokumentenManagement-System. E-Mails ohne vertraulichen Inhalt können wir anlassbezogen auch unverschlüsselt versenden(1).

Benjamin Wahler: Grundsätzlich werden alle E-Mails bei uns verschlüsselt. Ob die E-Mails als kennwortgeschütz tes PDF oder als verschlüsselte E-Mail ver sen det werden, überlassen wir hier bei dem System. In der Regel werden aber kennwortgeschützte PDF-Doku mente verschickt. Die Kennwörter für die E-Mails legen wir ebenfalls in unserem Dokumenten-Management-System ab. Nur die Empfänger, die keine verschlüsselte E-Mail wollen oder empfangen können, nehmen wir mit einer empfängerbasierten Regel aus der Verschlüsselung heraus. Neben ein paar Mandanten sind das vor allem Behörden, die damit nichts anfangen können oder wollen.

Rainer Sandberg: Maßgabe für uns ist, so wenig Verwaltungsaufwand wie nötig zu produzieren. Deshalb hinterlegen wir bewusst keine empfängerbasierten Regeln und überlassen dem System die Entscheidung, wie die Verschlüsselung aussehen soll. Die Mitarbeiter müssen beim Versand deshalb auch die Verschlüsselung explizit auswählen. Die Mehrzahl unserer Empfänger erhält ein kennwortgeschütztes PDF-Dokument. Das Kennwort wird uns direkt nach dem Versand mit einer gesonderten E-Mail zugestellt. Wir legen auch nichts im Dokumenten-Management-System ab. Auf Nachfrage erhält der Mandant sein PDF-Kennwort als Fax zugesandt. Das ist zwar auch nicht 100-prozentig korrekt, da Faxen auch ein potenziell un sicherer Kommunikationsweg ist. Die Wahrscheinlichkeit, dass zwei Kommunikationskanäle abgehört werden, ist unserer Ansicht nach aber vergleichsweise gering.

DATEV magazin: Haben Sie Anregungen oder Wünsche?

Rainer Sandberg: Ich habe keine Wünsche. Das System erfüllt seinen Zweck. Mehr brauche ich nicht.

Peter Kuster: Eine stärkere Integration in die Stammdaten fände ich sehr gut. Beispielsweise zur Pflege oder zumindest Einsicht der individuellen PDF-Kennwörter.

Benjamin Wahler: Leider ist der Schutz mit einem kennwortgeschützten PDF-Dokument nur einseitig. Die E-Mails der Mandanten sind in der Regel weiterhin unverschlüsselt. Ich wünschte, dass die Verschlüsselung bei Mandanten mit SmartCard oder mIDentity stärker verbreitet wäre. Für die Zukunft haben wir uns vorgenommen, bestimmte Mandanten gezielt auf die E-Mail-Verschlüsselung anzusprechen(2).

(1) Ab Herbst 2010 sind PDF-Kennwörter in der Administrationsoberfläche der DATEV E-Mail-Verschlüsselung separat konfigurierbar. Dann ist eine anlassbezogene Verschlüsselung auch bei einem fest vergebenen PDF-Kennwort möglich.  

(2) Heute werden bereits 40 Prozent der gesicherten E-Mails auf Basis eines Zertifikats wie der DATEV SmartCard sowie des DATEV mIDentitiy verschlüsselt.

der Autor Thorsten Jedlitzke, Security-Hardware, thorsten.jedlitzke@datev.de