Technikstörung führt zu DSGVO-Vorfall
Der von der Datev-Technik vorgenommene Workaround führte zwar dazu, dass Probeabrechnungen von der Datev an Kunden rückübermittelt wurden – jedoch nicht an die richtigen. Stattdessen erhielten Datev-Kunden die Probeabrechnungen fremder Mandanten(öffnet im neuen Fenster) .
Datev-Forenbeiträgen(öffnet im neuen Fenster) ist zu entnehmen, dass den Mitarbeitern mehrerer Steuerberatungskanzleien und Unternehmen Probeabrechnungen fremder Mandanten übermittelt wurden. Auch in geschlossenen Datev-Facebook-Gruppen sahen wir Meldungen zu solchen Fehlläufern.
Zahl der Fehlzustellungen unbekannt
Das Problem wurde zwar laut Forenbeiträgen von der Datev-Technik im Laufe des Nachmittags des 9. Januars 2026 gelöst. Aber es gab eine unbekannte Anzahl an Fehlzustellungen bei den Probeabrechnungen. Was vordergründig wie eine unangenehme Technikpanne aussieht, ist aber in diesem Kontext ein meldepflichtiger Datev-Datenschutzvorfall. Denn die Probeabrechnungen enthalten persönliche Daten der Beschäftigten, die durch die Fehlzustellungen in fremde Hände gelangten.
Hier ergibt sich die Frage: Wer muss melden und an wen? Die Datev verweist in einer dem Autor vorliegenden Stellungnahme darauf, dass sie zwar Auftragsverarbeiter gemäß DSGVO sei. Verantwortlich für die Meldung eines DSGVO-Vorfalls sei aber die Kanzlei (oder das Unternehmen, das Lodas selbst nutzt), das als Vertragspartner fungiert.
Wer muss den Vorfall melden?
Demgemäß muss die Kanzlei oder das Unternehmen, dessen Mitarbeiterdaten in der Probeabrechnung in falsche Hände gelangt sind, diesen DSGVO-Vorfall binnen 72 Stunden nach Kenntnisnahme der zuständigen Landesdatenschutzaufsicht melden. Zudem müssen die Mandanten der Kanzleien sowie die betroffenen Beschäftigten im Unternehmen von diesen informiert werden. Mutmaßlich müssen auch Firmen, deren Mitarbeiterdaten betroffen sind, eine eigene DSGVO-Meldung bei der zuständigen Datenschutzaufsicht einreichen, da die Steuerberatungskanzlei ggf. auch nur Auftragsverarbeiter ist.
Das praktische Problem dabei: Der Datev-Kunde und das vom DSGVO-Vorfall betroffene Unternehmen haben möglicherweise gar keine Kenntnis darüber, dass seine Probeabrechnung dem falschen Empfänger übermittelt wurde. Derzeit ermittelt die Datev den Kreis der betroffenen Kunden, um diese zu informieren. Betroffene Steuerberatungskanzleien müssen dann ihre Mandanten, und die Mandanten dann ihre betroffenen Mitarbeiter sowie die Aufsichtsbehörden über den DSGVO-Vorfall informieren.
Der Autor meint dazu:
Der Fall zeigt, wie komplex DSGVO-Verantwortlichkeiten sein können, wenn die Verarbeitung in Rechenzentren oder in der Cloud durch als Auftragsverarbeiter fungierende Dienstleister sowie Steuerberater erfolgt. Solche Fehler dürfen bei der Datev nicht passieren, und sollten konzeptionell sowie organisatorisch bei der Auftragsdatenverarbeitung ausgeschlossen sein. Der Vorfall deutet daher mutmaßlich auch auf Mängel in der DATEV-Rechenzentrumsorganisation hin, die genau solche Fehler verhindern sollte.