Sicherheit auf vielen Ebenen

Doch nicht nur die Angriffe nehmen zu. Auch die Anforderungen an Unternehmen, sich davor zu schützen, steigen. Mit der Network and Information Security Directive (NIS), der Datenschutzgrundverordnung (DSGVO), KI-Verordnung (AI Act) oder dem Cyber Resilience Act (CRA) liegen komplexe Regelwerke vor, die eines gemeinsam haben: Sie fordern Transparenz, Nachweisbarkeit und Verantwortlichkeit – gerade im Umgang mit sensiblen Daten. Für einen beträchtlichen Anteil von Unternehmen und Herstellern innerhalb der EU werden diese gesetzlichen Vorschriften zur Informationssicherheit verpflichtend. Eine mangelnde Umsetzung kann Sanktionen mit sich bringen.

DATEV begegnet dieser Herausforderung mit einer umfassenden Sicherheitsstrategie. Daher denkt DATEV den Datenschutz und die Informationssicherheit immer gemeinsam. Denn ohne Informationssicherheit ist Datenschutz nicht möglich. Personenbezogene Daten brauchen Schutz – nicht nur auf dem Papier. Organisatorische und technische Schutzmaßnahmen gewährleisten einen sicheren Umgang mit Informationen und personenbezogenen Daten. Bei DATEV ist die Informationssicherheit ein wichtiges Fundament, auf dem der Datenschutz wirksam gründet.

Die Prozesse des integrierten Datenschutz- und Informationssicherheits-Managementsystems (DSMS/ISMS) sorgen dafür, dass alle organisatorischen und technischen Maßnahmen normkonform gestaltet und laufend überprüft sowie aktualisiert werden. Interne Risikobewertungen, externe Audits und veröffentlichte Auditberichte sowie Awareness-Kampagnen und eine enge Zusammenarbeit mit spezialisierten Security-Experten machen die Sicherheit wirksam – und sichtbar.

Auch was den Technologiewandel, sprich, den Weg in die Cloud angeht, bleibt DATEV nicht stehen. Mit sogenannter Zero-Downtime-Migration, bei dem es zu keiner spürbaren Unterbrechung des laufenden Betriebs kommt, sowie mit modularen Strukturen ermöglicht DATEV, dass die Portfolioentwicklung reibungslos und sicher verläuft. DATEV koordiniert als Cloud Anbieter die Security für die Bereitstellung und den Betrieb für Mitglieder und Kunden und trägt dadurch zu einer weiteren Erhöhung des Sicherheitsniveaus im Kundenumfeld bei.

Doch nicht erst seit dem Angebot von DATEV-Software in der Cloud ist das von den Kunden geforderte hohe Sicherheitsniveau gewährleistet. Daten und durchgängige Geschäftsprozesse waren und sind auf sehr hohem Niveau. Mehrfache Zertifizierungen und Nachweise zur Standard-Konformität, wie ISO 27001 (Informationssicherheit) und ISO 27701 (Datenschutzmanagement) sorgen dafür; die ISO 27701 steht für ein weltweit anerkanntes, DSGVO-konformes Datenschutzsystem. Nicht zuletzt gewährleisten die umgesetzten Anforderungen, dass DATEV auch für die kommende NIS 2-Regulierung eine hohe geprüfte Sicherheit vorweist.

So bietet DATEV in den eigenen Produkten eine rollenbasierte Zugriffskontrolle auf die Daten; mit einem ausgefeilten Berechtigungskonzept, bei dem jede Rolle und jede Verantwortlichkeit klar definiert werden kann. Es können somit Benutzerrechte selbst gesteuert und Genehmigungsworkflows eingerichtet sowie auf revisionssichere Audit-Logs zurückgegriffen werden. Jede Änderung wird automatisch protokolliert, ist jederzeit nachvollziehbar und dokumentiert. Mandantendaten sind dabei strikt getrennt, sodass keine unbefugten Einblicke möglich sind – ein Kernprinzip des Datenschutzes bei DATEV.

Nebstdem garantieren regelmäßige Bewertungen der IT-Systeme, Prozesse und Datenbestände eine realistische Einschätzung aktueller Bedrohungen. So unterzieht sich DATEV Prüfungen nach ISAE 3402 – besonders bei sensiblen Datenverarbeitungen. Diese Prüfungen analysieren die Wirksamkeit interner Kontrollen im Detail und erhöhen die Transparenz gegenüber Kunden. Für Kanzleien bedeutet das: maximale Nachvollziehbarkeit und rechtssichere Datenverarbeitung.

Nicht zuletzt lebt Sicherheit von einem hohen Maß an Wachsamkeit. Deshalb betreibt DATEV ein 24/7 Security Operation Center mit hochautomatisiertem Monitoring, das laufend Bedrohungen analysiert und ein schnelles Incident-Management für den Ernstfall bietet. DATEV-Angestellte und Mitglieder werden durch regelmäßige Phishing-Simulationen, Awareness-Kampagnen und Informationsangebote sensibilisiert. Aktuelle Warnungen und Hilfestellungen sind über datev.de/informationssicherheit jederzeit abrufbar.

DATEV unterstützt zusätzlich Kanzleien mit individuellen Notfallplänen, strukturierten Security-Assessments und Awareness-Maßnahmen – für mehr Übersicht über bestehende Schutzmaßnahmen und konkrete Handlungsempfehlungen im Ernstfall. Damit implementiert DATEV in seinen Strukturen ein deutlich höheres Maß an Sicherheit, als es Kanzleien oder kleinen und mittleren Unternehmen mit eigener Infrastruktur möglich ist.

Auf Basis dieser breiten Palette können sich Mitglieder und Kunden auf die sichere und rechtskonforme Verarbeitung ihrer Daten verlassen – und ihre eigene Nachweispflicht erfüllen.

Nicht nur intern, bei DATEV, sondern auch im wachsenden digitalen Ökosystem mit unterschiedlichen externen Partnern spielt Sicherheit und Datenschutz eine zentrale Rolle. Aus Umfragen weiß DATEV, dass Mitglieder bei Partnerlösungen höchste Sicherheitsstandards erwarten. DATEV-Marktplatz Premiumpartnerlösungen werden von DATEV empfohlen, entsprechend sind die Erwartungen zu Datenschutz und Informationssicherheit hoch. Bestehende Premium-Partner müssen daher verbindlich bis spätestens 30. Juni 2026 ein anerkanntes Sicherheitszertifikat vorlegen. Neue Premium-Partner dürfen erst dann auf dem DATEV-Marktplatz gelistet werden, wenn ein ausreichendes Sicherheitsniveau nachgewiesen und zertifiziert ist. Fehlt die Zertifizierung, ist ein kostenpflichtiger Quick Audit zur GAP-Analyse mit externen Anbietern erforderlich. Das vollständige Zertifikat muss innerhalb eines Jahres nachgereicht werden.

Auch bei den DATEV Solution Partnern ist aufgrund von Marktanforderungen und erhöhten Sicherheitsanforderungen das Premium-Partnermodell geschärft worden. So wurde mit dem DATEV PARTNERasp-Premiumpartner eine neue Kategorie eingeführt. Damit werden alle umfangreichen Anforderungen an einen DATEV PARTNERasp-Partner erfüllt und zusätzlich diese Sicherheit durch ein marktübliches Zertifikat nachgewiesen.

Ein skalierbares Zertifikatskonzept orientiert sich am Schutzbedarf, der Unternehmensstrategie und dem wirtschaftlichen Aufwand. Die Auswahl ist mittelstandsnah und wird von den Partnern eigenverantwortlich bei akkreditierten Zertifizierern erworben. Sämtliche Zertifikate der Premium-Partner sind im DATEV-Marktplatz einsehbar. Damit erkennen Kanzleien schnell, ob eine Partnerlösung die eigenen Anforderungen erfüllt. Auch Schnittstellen-Partner können Zertifikate veröffentlichen – für sie ist es allerdings keine Pflicht.

DATEV fordert Sicherheit – und steht den Partnern zur Seite: mit technischen Richtlinien, Guidelines zur sicheren Integration und Kontakt zu externen Prüfstellen. Ziel ist, das Sicherheitsniveau im gesamten Ökosystem zu vereinheitlichen – ohne die Innovationskraft der Partner zu bremsen. Damit ist Sicherheit kein Wettbewerbsnachteil, sondern eine Voraussetzung für nachhaltige Kooperation.

In einer digitalisierten Welt ist Sicherheit kein statischer Zustand. Sie ist ein Prozess, ein Qualitätsversprechen – und eine gemeinsame Aufgabe. DATEV investiert nicht nur in Technik, sondern auch in Transparenz, Verantwortungsbewusstsein und Vertrauen. Mit der eigenen Sicherheitsstrategie schafft DATEV einen hohen Standard im digitalen Ökosystem – und setzt ein deutliches Signal: Nur wer Sicherheit ernst nimmt, bleibt Teil des Netzwerks.