Christine Munker: Herzlich willkommen zu einer neuen Folge von So geht sicher, dem Podcast für Datenschutz, IT-Sicherheit und den regelkonformen Einsatz von KI in Steuerkanzlei. Mein Name ist Christine Munker und ich möchte Ihnen heute an einem ganz konkreten und im Grunde auch sehr aktuellen Beispiel zeigen, warum die drei Kernthemen unseres Podcasts schon heute und ganz sicher auch in Zukunft nicht mehr voneinander getrennt betrachtet werden können. In meinem Beispiel, das ich heute einfach mal als Grundlage mitnehmen möchte durch unsere Podcast-Folge, geht es ein Thema, das jeden Kanzleialltag berührt. Die digitale Kommunikation mit ihren Mandanten. Ob über Portale, per E-Mail oder über Messenger ist dabei im Grunde auch ganz egal, denn wo auch immer digital kommuniziert wird, lauern entsprechende Risiken. Je digitaler wir arbeiten, je komplexer und verzahmter die Prozesse werden, die wir jeden Tag benutzen, desto besser müssen wir natürlich auch aufpassen, dass bei all den Zahnrädchen und Technologien, die da eben im Alltag den ganzen Tag zusammenarbeiten müssen, nicht Lücken entstehen, die für die Kanzleisicherheit am Ende des Tages alles andere als gut sind. Wenn jetzt noch KI-Assistenzsysteme wie ChatGPT, Microsoft Co-Pilot oder eben Kanzleichatbots, Kanzleisysteme mit ins Spiel kommen, dann wird relativ schnell klar, nur wer Datenschutz, Alterssicherheit und KI-Compliance, also den regelkonformen Einsatz der KI, zusammen und aus einem Guss denkt, der bleibt auch wirklich auf der sicheren Seite. Stellen wir uns mal folgendes Szenario dazu vor, das Ganze etwas bildlicher zu gestalten. Ein Mandant lädt zum Beispiel die Unterlagen zur Gehaltsabrechnung über ein Kanzlei-Portal hoch. Ein Mitarbeiter ihrer Kanzlei fragt parallel per E-Mail noch

Christine Munker: nach den fehlenden Unterlagen, zum Beispiel bezüglich der Privatnutzung eines neu angeschafften Firmenwagens für einen der Mitarbeiter des Mandanten. Oder besser, das macht direkt die KI. Denn Standard-E-Mails, Standard-Formulierungen, wie die Bitte Zusendung von Unterlagen, das geht so viel schneller von der Hand, als wenn man das selber alles schreibt. So oder so ähnlich passieren die Vorgänge tagtäglich tausendfach in den Kanzlei. Das ist alles Routine und super digital. Ist auch richtig so. Aber was passiert, wenn zum Beispiel ein falscher Empfänger eine E-Mail bekommt? In unserer letzten Episode haben wir darüber gesprochen, wie häufig der Versand an falsche Empfänger vorkommt. Was passiert, wenn ein Angreifer sich mit einer Phishing-Mail zum Beispiel zugang zu einem Portal verschafft oder eine technische Panne beim Hersteller, wie kürzlich tatsächlich in einem ähnlichen Fall passiert, anderen Nutzern den Zugriff auf die Mandantendaten ermöglicht. Oder was passiert, wenn die KI wegen einer falschen Einstellung Mandantendaten als Trainingsdaten nutzt. Genau solche Szenarien zeigen recht deutlich und recht einfach. Digitale Kommunikation ist zwar logischerweise, da sind wir uns alle einig, absolut komfortabel und sie erleichtert ganz sicher den Kanzleralltag. Die Vielzahl an Systemen, die dabei zum Einsatz kommen und die dahinterstehende Technologie macht das Thema allerdings wirklich sicherheitsrelevant. Schauen wir uns mal ein paar der Themen an, die es in diesem Fall in dem Beispiel digitale Kommunikation in ihrer Kanzlei zu beachten gibt, aus der Sichtweise Datenschutz, IT-Sicherheit und KI Compliance. Im Datenschutz geht es ja in der Regel klare Regelungen und natürlich die Einhaltung der DSGVO und mit geltender Vorschriften dazu. Für die digitale Kommunikation und den Versand von Mandantendaten brauchen wir beispielsweise

Christine Munker: absolut sichere Kanäle, sowohl hinsichtlich der Verschlüsselung, aber natürlich auch, was die Speicherorte der Daten, der Mandanten-Naten bei den Kommunikationsanbietern oder bei den Herstellern ihrer Software-Lösungen angeht. Schauen Sie dabei am besten nicht nur auf das, was Sie als Technologie frei geben, sondern auch ganz besonders auf das, was auch den Smartphones ihrer Mitarbeiter tagtäglich passiert. Stichwort WhatsApp beispielsweise. Das finden wir in der Praxis immer wieder als Kommunikationsmittel mit den Mandanten. 1 zu 1 Mitarbeitermandant, aber auch für interne Kanzlei-Gruppen, bestimmte Themen zu diskutieren. Vielleicht auch mal den ein oder anderen Mandanten, wenn mehrere Mitarbeiter daran arbeiten. Denken Sie bitte immer daran. Wo nichts geregelt ist, ist auch nichts verboten. Und was nicht verboten ist, irgendwann einfach gemacht. Das ist kein böser Wille, das ist einfach praktisch. Und das erleben wir ständig in unserer Beratung. Aber an dieser Stelle auch gleich dem alten Image entgegenzuwerken, das uns Datenschützer in der Regel vorausweilt, natürlich kann man alles verbieten, was einfach geht und was die Mitarbeiter zur Verfügung haben, auch auf privater Ebene. Wenn man aber, so wie wir, auf jahrzehntelange Erfahrung in der Beratung von Steuerkennsteinen zurückblicken kann, dann hat man bestimmt auch die ein oder andere Idee in der Tasche, wie man etwas erlauben kann, was genauso gut funktioniert, oder aber wie man gar nicht erst irgendwas verbieten muss. Das ist natürlich das Optimum, wenn wir Prozesse in der Kanzlei gestalten können, die einfach gehen, die von den Mitarbeitern akzeptiert werden. Und genau da wollen wir auch im Datenschutz hin. Lassen Sie mich noch ein Thema ansprechen, das aus Datenschutzsicht zu unserem Beispiel der digitalen Mandantenkommunikation geregelt werden muss. Das Thema Auftragsverarbeitung. Sie müssen mit den Anbietern der Technologien, die bei Ihnen zum Einsatz kommen,

Christine Munker: Verträge zur Auftragsverarbeitung abschließen. Die haben sie wahrscheinlich schon auf dem Schreibtisch gehabt und solche Verträge haben sie bestimmt auch schon abgeschlossen. Das ist tatsächlich nicht nur reine Bürokratie, denn darin werden ganz wichtige Themen geregelt. Beispielsweise müssen Hersteller dort Angaben zu den sogenannten technisch-organisatorischen Maßnahmen machen. Darunter versteht man die Maßnahmen, die für uns aus Sicherheitsaspekten heraus besonders relevant sind, das sind die Maßnahmen, die ihre Anbieter ergreifen, also die Hersteller der Lösungen, für die Sicherheit der Daten und die datenschutzkonforme Verarbeitung in deren Verantwortungsbereich zu sorgen. Beispielsweise, wie werden Zugänge geregelt? Wie werden die Daten denn in den Rechenzentren oder auch während des Transports verschlüsselt? Wo sind die Daten gespeichert? Ganz wichtige Frage, hat auch was mit der Abgabenordnung zu tun. Wie funktioniert die Datensicherung und so weiter? Das alles sind Themen, bei denen wir uns einig sein dürften, dass man da mal einen Blick drauf werfen sollte, wenn man einem anderen Demandantendaten zur Verfügung stellt oder anvertraut. Am besten machen das allerdings nicht Sie selbst und das nehmen Sie mir bitte nicht übel. denn sie sind in der Regel weder Datenschutzspezialist noch IT-Sicherheitsexperte. Sie sind dankbarerweise Steuerberater oder Steuerfachmensch und Menschen wie ich sind sehr sehr froh darüber, dass es Profis wie Sie in diesem Bereich gibt. Mein Fachbereich ist das ganz und gar nicht. Wir sehen es aber tatsächlich ganz ganz oft, dass solche Verträge einfach nebenbei abgenickt werden. und mit Verlaub, dann können Sie sich den Aufwand aber auch direkt sparen. Spezialisten in dem Bereich, wie eben unsere Berater, welche sind, wissen genau, wo sie hin schauen müssen und welche Regelungen in den Verträgen in Ordnung sind und welche nicht. In solchen Verträgen verstecken sich gerne mal spannende Ideen der Hersteller, von Providern oder eben von Softwareanbietern, die man

Christine Munker: nicht auf den ersten Blick sofort bemerkt. Und da schauen wir ganz besonders drauf. Werfen wir auch einen Blick auf die IT-Sicherheit zum Thema digitale Kommunikation. Was gibt es da für Themen, auf die wir schauen müssen? Hier steht uns natürlich als erstes der Bereich Verschlüsselung ans Auge, ein ganz großer Dauerbrenner in der IT-Sicherheit. Und dabei eben auch entsprechend die E-Mail-Verschlüsselung. Auch hier gibt es natürlich Basics, die mindestens umgesetzt werden sollten und es gibt Lösungen, die den E-Mail-Verkehr ganz fürchterlich kompliziert machen. Ich darf an der Stelle einmal erzählen, was mich persönlich wirklich stört und das ist das Prozedere rund die E-Mail-Verschlüsselung eines großen Kanzlei-Software-Anbieters. Das ist wirklich unglaublich kompliziert, vor allem wenn man viele E-Mails von seinem Steuerberater bekommt und nervt mich als Mandant, wenn ich das einmal so direkt sagen darf. glaube, mit der Meinung bin ich nicht ganz alleine. Dazu gibt es eben zum Beispiel Alternativen, die viel smarter funktionieren, die im Alltag nicht stören, weder den Mitarbeiter ihrer Kanzlei noch den Mandanten und die wirklich praktikabel sind. Für uns ist es auch in der Beratung eben Wichtig nicht nur die Basics, die Vorgaben einzuhalten, dass etwas den rechtlichen oder technischen Anforderungen entspricht, sondern dass es auch praxistauglich ist. Es ist ja im Grunde ganz einfach. Was nervt, wird nicht eingesetzt und was nicht eingesetzt wird, kann auch nicht für Sicherheit in Ihrer Kanzlei sorgen. Soweit wollen wir es natürlich gar nicht erst kommen lassen. Gerade Zur IT-Sicherheit könnten wir hier natürlich noch über wahnsinnig viele Beispiele sprechen. Aber zum einen habe ich Ihnen ja immer versprochen, in diesem Podcast geht es nicht zu sehr Tech-Talk. Und ich denke, Sie haben den Zusammenhang zwischen Datenschutz und IT-Sicherheit an der Stelle schon verstanden. Wir gucken auch hier auf Themen drauf, die wir im Bereich Datenschutz auch nur mit einer anderen Sichtweise.

Christine Munker: behandelt. Und jetzt zur KI-Compliance, die kommt nämlich auch noch mit ins Spiel. Das ist ein Bereich, der im Moment natürlich rasant an Bedeutung gewinnt. Hier sollten Sie zum Beispiel auf jeden Fall schon mal vorausschauend auf die Erfüllung von Transparenzpflichten achten, auch im Bereich der digitalen Kommunikation mit Ihren Mandanten. Mandanten sollten nämlich wissen, ob eine Antwort von Menschen kommt, oder von der KI. Die E-Mail aus unserem Beispiel zur Anforderung fehlender Unterlagen, die sollte dann auch entsprechend als KI generiert gekennzeichnet werden. Das einfach auch als Hinweis, damit das Gegenüber einschätzen kann, wie diese Benachrichtigung einzuordnen ist. Genauso sollten sie zum Beispiel, was im Moment sehr häufig passiert, den Einsatz von KI-Telefonagenten Wenn sie das planen oder wenn sie das schon umgesetzt haben, darauf hinweisen, dass ihr Gegenüber oder das Gegenüber nicht mit echten Menschen spricht. das ist heute an der Stimme des KI-Agenten kaum noch zu erkennen. In diesem Thema kommt noch ein ganz spannender Aspekt hinzu. Wenn ein KI-Telefonagent jetzt neu zum Einsatz kommt, dann sprechen wir natürlich auch von reiner digitaler Kommunikation. Der KI macht aktuell wahnsinnig schnell Dinge digital, die noch vor kurzem irgendeine Form der menschlichen Interaktion gebraucht haben. Denken Sie daran, dass solche Systeme in Ihr Sicherheitskonzert eingebunden werden müssen. KI, die in Kontakt mit Ihren Datenbeständen kommt, sollte außerdem auch so eingestellt werden können, dass die Daten, die der KI bekannt werden oder die sie in der Bearbeitung ihrer Fälle mit der KI erstellen, nicht in die Trainingsdaten mit eingezogen werden. Und ganz wichtig ist dabei, auch in der Kommunikation mit Mandanten sollte der Mensch nicht auf die letzte Kontrolle verzichten. KI ist nach wie vor nicht unfehlbar. Deswegen auch der Tipp oder der Hinweis, die KI erzeugten Inhalte zu kennzeichnen und für den Mandanten deutlich zu machen, dass es hier

Christine Munker: KI geht. KI halluciniert nach wie vor ab und an, auch wenn das mit den aktuellen Systemen mittlerweile schon schon sehr viel besser geworden ist. Die fadliche Prüfung durch sie als Experten am Ende nach der Erstellung eines Ergebnisses durch die KI bleibt aber Pflicht unbedingt. Sie haben an diesen Beispielen längst erkannt, wie Datenschutz, IT-Sicherheit und KI-Compliance zusammenspielen. Der Datenschutz regelt, welche Daten unter welchen Umständen verarbeitet werden dürfen. Die IT-Sicherheit sorgt dafür, dass die dafür notwendigen Prozesse in Ihrer Kanzlei auch wirklich sicher ablaufen und geschützt bleiben. Die KI-Compliance stellt sicher, dass Ihre neuen digitalen Helfer nicht zum Risiko werden und dass die Vorgaben der KI-Verordnung entsprechend in Ihrer Kanzlei umgesetzt.

Christine Munker: drei Bereiche haben dabei natürlich große Schnittmengen und genau die geht es uns. Denn sie sind im Grunde nur andere Sichtweisen auf die gleiche Sache und kümmern sich Maßnahmen, die aus der jeweiligen Sicht notwendig sind. Schaut man sich die drei Bereiche, Datenschutz, Altsicherheit und den regelkonformen Einsatz von KI-Systemen, also die KI-Compliance, gleich gemeinsam an. Dann reicht es eben aus, das einmal zu tun, die notwendigen Maßnahmen zu ergreifen. Man muss nicht immer wieder beim Hersteller nachfragen, man muss sich nicht immer wieder die Sicherungsmechanismen anschauen. Das reicht, wenn man das einmal tut. Hat man für jeden Bereich einen eigenen Spezialisten am Start, dann wird vieles doppelt und dreifach gemacht. Und das wird nicht zuletzt dann offensichtlich, wenn wir zum Beispiel über die so wichtigen Schulungen für ihr Team sprechen. Wenn die Wissensvermittlung zu allen drei Themen gemeinsam und aus einem Guss stattfindet, dann bekommen ihre Mitarbeiter ein wirklich rundes Bild auf die Aspekte aller drei Sichtweisen, das auch wirklich alle Themen gut abdeckt. Das Fazit unserer heutigen Podcast-Folge. Unser Beispiel der digitalen Kommunikation mit Mandanten zeigt, denke ich, ganz wunderbar, wie Datenschutz, IT-Sicherheit und der regelkonforme KI-Einsatz zusammen agieren können und wie auf diese Weise ganz effizient mehr Aufwand vermieden werden kann. Es zeigt auch, wie wichtig alle drei Themen gerade heute sind oder geworden sind, wo wir alle sammeln mitten in der Digitalisierung der verschiedensten Prozesse und der Einführung von KI-Tools für diese Digitalisierung stecken. Diese Entwicklung von Anfang an, am besten von jetzt an, sicher und regelkonform zu gestalten, macht bestimmt nicht nur aus unserer Sicht Sinn, denn

Christine Munker: dass es komplex wird, das alles im Nachhinein noch irgendwie gerade zu ziehen, wenn man vorher nicht auf Sicherheit und die Einhaltung von rechtlichen Vorgaben geguckt hat. Das liegt auf der Hand. Wenn Sie Ihre Prozesse jetzt auf den Prüfstand stellen wollen, dann schreiben Sie uns am besten an info-at-munka.info oder Sie rufen uns einfach an und wir unterhalten uns darüber. wie wir das Thema für Ihre Kanzlei am besten angehen können. Die Kontaktdaten finden Sie wie immer in den Show Notes. Show Notes als schwieriges Wort zu dieser Episode oder auch ganz einfach auf unserer Homepage www.monka.info Wenn Sie Fragen zu unserer Folge haben oder Themenwünsche für den Podcast, dann schreiben Sie uns ebenfalls gerne. Ich würde mich über eine Bewertung von So geht's sicher freuen und natürlich auch über ein Abo, wenn Sie das noch nicht gemacht haben. Vielen Dank fürs Zuhören und für Ihre Zeit und bis zum nächsten Mal bei So geht's sicher.