PDF-Ausgabe verschlüsselt

Kommentare

7 Kommentare

  • Avatar
    Martin Klank

    Genau das war auch meine Idee, denn E-Mail-Verschlüsselung ist wohl den meisten Kunden zu kompliziert. Das wäre Prima und würde einige Probleme lösen.

    0
    Aktionen für Kommentare Permalink
  • Avatar
    Franz-Jürgen Haas

    Eine Möglichkeit der Verschlüsselung eines PDF für den Mailversand wäre nötig, zumindest für Privatkunden oder auch Ein-Personen-Unternehmen.

    Ansonsten bliebe, bei allen Digitaliserungsbestrebungen, nur der Postweg, oder man muss das PDF manuell verschlüsseln und senden (und das Kennwort dem Kunden mitteilen).

    Ich sehe das Problem, das der Kunde das Kennwort vergessen könnte. Wenn der Kunde das PDF irgendwann noch mal lesen will, meldet er sich vielleicht, weil er die Rechnung nochmal braucht. 

    Einzelunternehmer: Der Beleg muss jederzeit lesbar sein

    Oder der Kunde will das PDF in einem (privaten) DMS speichern, und das kann mit verschlüsselten PDFs nichts anfangen.

    Sinnvoller als eine PDF-Verschlüsselung wäre meiner Ansicht nach das automatische »Zippen« und Verschlüsselung des Archivs. Dann braucht der Kunde nur einmal das Kennwort, um das Archiv zu entpacken, in dem eine lesbare PDF-Datei steckt.

    Ich hätte da noch eine andere Idee: eine Anbindung an einen »E-mail zu Post«-Dienst, d. h. Hochladen des PDFan diesen über eine gesicherte Verbindung; der Dienst erledigt Ausdrucken, Kuvertieren, Versenden und Zustellung. Kostet je nach Anbieter sogar weniger als das normale Porto; auf jeden Fall entfällt im Haus das Ausdrucken, Kuvertieren, Freimachen, Zur-Post-bringen.

     

    0
    Aktionen für Kommentare Permalink
  • Avatar
    Marc Funk

    Das Verschlüsseln des PDF-Dokuments ist von Gesetzeswegen nicht möglich. Ich als Empfänger muss die Originaldatei (also die E-Mail mit dem PDF) aufbewahren und jederzeit dem Finanzbeamten zugänglich machen. Ohne das Passwort kommt er nicht an die Dokumente ran. Und ihm eine Liste mit Passwörtern zu den Belegen zu geben (das können ja mitunter 100te sein) wird er als unzumutbar deklarieren.

    Auch ein ausdrucken hilft nichts, denn ich muss den elektronischen Beleg revisionssicher archiveren können (Vgl. 3.2.5 und 4 GoBD). Lese ich ein verschlüsseltes Dokument in ein DMS ein, kann er die Datei nicht lesen und sie wäre nicht ordnungsgemäß archiviert.

    Die Einzige Option wäre, wie Franz-Jürgen sagte, den Beleg als ZIP mit Passwort zu packen. Hier mal ein Überblick für die Entwickler:

    - Kundenstamm: Angabe eines Standardpasswortes beim Kunden
    - Belegdruck: Im Auswahldialog (PDF, E-Mail,...) bei E-Mail die Option "Beleg verschlüsseln)
    - Hintergrundarbeit: Beleg wird als zip gepackt und verschlüsselt mit dem im Kundenstamm hinterlegten Kennwort. Anschließend wird die ZIP als Anhang an die Mail gehangen.

    Das dies alles "nicht mal eben so" geht, sollte jedem klar sein. Im Zuge der DS-GVO wäre dieses Feature aber ein Alleinstellungsmerkmal ggü. anderen Buchhaltungssystemen.

    0
    Aktionen für Kommentare Permalink
  • Avatar
    Sven C. Merckens

    Hallo Marc, Danke, ein sehr berechtigter Einwand.

    der Versand als verschlüsselte ZIP-Datei erscheint mir auch der einfachste Weg, die von Dir geschilderte Problematik zu umgehen!

    Das Thema MIME-Verschlüsselung wäre noch eine Alternative, bringt aber viele andere Probleme mit sich, weil der Empfänger das ja dann auch unterstützen muss.

    0
    Aktionen für Kommentare Permalink
  • Avatar
    Franz-Jürgen Haas

    Die Frage ist aber, ob man PDF-Anhänge wirklich verschlüsseln muss. Bei »Firmen« (= selbstgewählter Unternehmensname) stellt sich die Frage nicht, da keine  personenbezogene Daten.

    Bei Privatpersonen dürfte DGSVO, Art 5, 1 f gelten:

    >>

    Personenbezogene Daten müssen:

    f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“)

    >>

    Im Besonderen die Passagen »angemessene Sicherheit« und »geeignete technische und organisatorische Maßnahmen« und bietet hier noch viel Interpretationsspielraum für Verarbeiter, Datenschutzbehörden und Gerichte.

    Wenn man auf dem Standpunkt steht, dass PDF-Anhänge von E-Mails verschlüsselt werden müssten, müssten folgerichtig auch der Textteil von E-Mails, wenn er personenbezogene Daten enthält, verschlüsselt werden, oder nur noch E-Mails ohne Text, sondern nur mit verschlüsselten Dateianhängen versendet werden dürfen.

    Die natürlich noch spezifisch benannt werden müssten; es soll ja Leute geben, denen Anhänge wie »Anhang.zip« suspekt erscheinen.

    Wie kann es bei E-Mails zu »unbefugter oder unrechtmäßiger Verarbeitung« kommen?

    Das die E-Mails zwischen Absender und seinem Mail-Server verschlüsselt übertragen werden, versteht sich von selbst.

    a) Der Emailverkehr zwischen E-Mail-Server des Adressaten und Adressaten ist unverschlüsselt und wird mitgelesen.

    -> dann kann der »Mitleser« aber auch das Passwort für eine verschlüsselte Datei mitlesen, wird diese per E-Mail-verschickt.

    Möglich wäre, das Passwort auf einem anderen Weg zu verschicken [SMS, Fax, Brief  ;-) ]. 

    Ob man bei diesem Aufwand für Sender und Empfänger noch von »geeignet« sprechen kann, wir wohl irgendwann mal durch Gerichte entschieden.

    Andererseits: Der Emailverkehr zwischen E-Mail-Server des Adressaten und Adressat liegt nicht im Einflussbereich des Senders. Und eine Mitwirkungspflicht der »betroffenen Person« zum Datenschutz ist in der DSGVO, soweit ich das sehe, nicht vorgesehen. Der Absender ist ja auch nicht verantwortlich dafür, wenn der Empfänger einen Brief mit personenbezogen Daten, etwa die Papierrechnung, offen irgendwo liegen lässt oder unzerstört entsorgt.

    b) Versand an den falschen Empfänger, an falsche Empfänger (»Antwort an alle«)

    Hier müssen beim Absender »geeignete organisatorische Maßnahmen« getroffen werden, am besten mit Dokumentation (Verfahrensbeschreibung), dass das Risiko dafür gegen 0 geht.

    Sind diese organisatorischen Maßnahmen getroffen, dass die E-Mail an den richtigen Empfänger geht, könnte eine Verschlüsselung der E-Mail oder nur des Anhangs nicht unbedingt erforderlich sein, da hier eine »angemessene« Sicherheit gewährleistet wäre.

    Im besonderen, wen man zum Beispiel von einer DE-Mail-Adresse an eine andere DE-Mail-Adresse sendet.

    Wer auf der sicheren Seite sein will, verschickt Dokumente per Post, wer ganz sicher sein will, per Einschreiben »eigenhändig«. Den auch ein Brief kann in falschen Händen oder falschen Briefkästen landen.

    Oder man nimmt viel Geld in die Hand und bietet seinen Kunden ein passwortgeschütztes »Downloadportal«. Die freuen sich sich bestimmt darüber. 

    Resümee – kurz und knapp:

    Ob Verschlüsselung - oder nicht, da sagt uns irgendwann mal ein Gericht 

    :-)

     

     

     

     

    0
    Aktionen für Kommentare Permalink
  • Avatar
    Fryd

    Rechnung als zip-Datei? So wie in den Viren-Mails, die man so bekommt? Ich weiß ja nicht, ob das so eine gute Idee ist.

    Man sollte die Kunden wählen lassen: a) unverschlüsselte Rechnung per Mail b) Mail mit Rechnung S/MIME-verschlüsselt oder c) Rechnung per Post gegen Aufpreis.

    0
    Aktionen für Kommentare Permalink
  • Avatar
    Franz-Jürgen Haas

    Für Verkäufe an Privatpersonen (B-to-C) sind Rechnungen rechtlich nicht verpflichtend.

    Und wenn doch welche ausgestellt werden: Rechnung per Post mit Aufpreis ist aber laut BGH nur in bestimmten Fällen (reine Online-Geschäfte) möglich.

    Für B-to-B gilt:

    »Rechnungen sind auf Papier oder vorbehaltlich der Zustimmung des Empfängers elektronisch zu übermitteln.«

    Damit dürfte klar sind, das auch kein Aufpreis möglich ist.

     

     

     

     

    0
    Aktionen für Kommentare Permalink

Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.