Lohnabrechnungen falsch verschickt: DSGVO-Vorfall bei der Datev
Bei der Datev ist es Anfang Januar zu einem Datenschutzvorfall gekommen. Nach einer technischen Störung im Lohnabrechnungssystem Lodas erhielten Kunden zeitweise Probeabrechnungen fremder Mandanten. Was als Reparaturmaßnahme begann, entwickelte sich damit zu einem Datenschutzproblem mit DSGVO-Relevanz.
Die Datev zählt mit 1,51 Milliarden Euro Umsatz zu den größten Softwarehäusern Europas. Das deutsche Unternehmen bietet Software und Dienstleistungen in den Bereichen Buchhaltung, Steuerberatung und Wirtschaftsprüfung an. Zu den Kunden bzw. Datev-Mitgliedern zählen Steuerberatungen und auch Firmen.
Arbeitgeber müssen die Lohnsteueranmeldung für ihre Beschäftigten spätestens am zehnten Tag nach Ablauf eines Lohnsteueranmeldezeitraums bei den zuständigen Stellen einreichen. Bei der Datev kann die Lohnabrechnung durch Steuerberater, aber auch durch Unternehmen selbst über das sogenannte Lodas-Modul erfolgen. Die Software läuft im Datev-Rechenzentrum.
Probeabrechnungen gehen direkt an den einreichenden PC
Lodas eignet sich laut Anbieter(öffnet im neuen Fenster) insbesondere für große Mandate, die erst am Monatsende ihre Lohn- bzw. Gehaltsabrechnung erhalten. Während des laufenden Monats sind sogenannte Probeabrechnungen möglich, die immer innerhalb weniger Minuten bereitstehen, egal, wie viele Arbeitnehmer abzurechnen sind.
Probeabrechnungen dienen in Kanzleien und Unternehmen der Qualitätskontrolle, um vor der eigentlichen Lohnabrechnung Veränderungen hinsichtlich der Abrechnungsparameter zu prüfen. Durch Einreichen einer Probeabrechnung wird ein automatischer Auftrag zur Abholung der Ergebnisse angelegt. Dies bewirkt, dass die Probeabrechnung direkt nach Fertigstellung im Datev-Rechenzentrum automatisch an den einreichenden PC zurückübertragen wird.
Technische Probleme mit Lodas
Zum 8. Januar 2026 kam es beim Lodas-System zu einer technischen Störung(öffnet im neuen Fenster), so dass die Probeabrechnungen nicht an die absendenden Kunden zurückgeliefert wurden.
Laut Datev-Foreneinträgen begann diese technische Störung bereits am 8. Januar 2026, dauerte aber am 9. Januar an. Von der Datev-Technik wurde dann ein sogenannter Workaround implementiert, um die Zustellung der Probeabrechnungen an die Absender zu erzwingen. Aufgrund der nachfolgend erwähnten Übermittlungsfehler musste der Workaround aber zurückgenommen werden. Erst am späten 9. Januar 2026 schien die Zustellung der Probeabrechnungen vom Datev-Rechenzentrum an die Kunden seit dem späten Nachmittag wieder zu funktionieren.
Technikstörung führt zu DSGVO-Vorfall
Der von der Datev-Technik vorgenommene Workaround führte zwar dazu, dass Probeabrechnungen von der Datev an Kunden rückübermittelt wurden – jedoch nicht an die richtigen. Stattdessen erhielten Datev-Kunden die Probeabrechnungen fremder Mandanten(öffnet im neuen Fenster).
Datev-Forenbeiträgen(öffnet im neuen Fenster) ist zu entnehmen, dass den Mitarbeitern mehrerer Steuerberatungskanzleien und Unternehmen Probeabrechnungen fremder Mandanten übermittelt wurden. Auch in geschlossenen Datev-Facebook-Gruppen sahen wir Meldungen zu solchen Fehlläufern.
Zahl der Fehlzustellungen unbekannt
Das Problem wurde zwar laut Forenbeiträgen von der Datev-Technik im Laufe des Nachmittags des 9. Januars 2026 gelöst. Aber es gab eine unbekannte Anzahl an Fehlzustellungen bei den Probeabrechnungen. Was vordergründig wie eine unangenehme Technikpanne aussieht, ist aber in diesem Kontext ein meldepflichtiger Datev-Datenschutzvorfall. Denn die Probeabrechnungen enthalten persönliche Daten der Beschäftigten, die durch die Fehlzustellungen in fremde Hände gelangten.
Hier ergibt sich die Frage: Wer muss melden und an wen? Die Datev verweist in einer dem Autor vorliegenden Stellungnahme darauf, dass sie zwar Auftragsverarbeiter gemäß DSGVO sei. Verantwortlich für die Meldung eines DSGVO-Vorfalls sei aber die Kanzlei (oder das Unternehmen, das Lodas selbst nutzt), das als Vertragspartner fungiert.
Wer muss den Vorfall melden?
Demgemäß muss die Kanzlei oder das Unternehmen, dessen Mitarbeiterdaten in der Probeabrechnung in falsche Hände gelangt sind, diesen DSGVO-Vorfall binnen 72 Stunden nach Kenntnisnahme der zuständigen Landesdatenschutzaufsicht melden. Zudem müssen die Mandanten der Kanzleien sowie die betroffenen Beschäftigten im Unternehmen von diesen informiert werden. Mutmaßlich müssen auch Firmen, deren Mitarbeiterdaten betroffen sind, eine eigene DSGVO-Meldung bei der zuständigen Datenschutzaufsicht einreichen, da die Steuerberatungskanzlei ggf. auch nur Auftragsverarbeiter ist.
Das praktische Problem dabei: Der Datev-Kunde und das vom DSGVO-Vorfall betroffene Unternehmen haben möglicherweise gar keine Kenntnis darüber, dass seine Probeabrechnung dem falschen Empfänger übermittelt wurde. Derzeit ermittelt die Datev den Kreis der betroffenen Kunden, um diese zu informieren. Betroffene Steuerberatungskanzleien müssen dann ihre Mandanten, und die Mandanten dann ihre betroffenen Mitarbeiter sowie die Aufsichtsbehörden über den DSGVO-Vorfall informieren.
Der Autor meint dazu:
Der Fall zeigt, wie komplex DSGVO-Verantwortlichkeiten sein können, wenn die Verarbeitung in Rechenzentren oder in der Cloud durch als Auftragsverarbeiter fungierende Dienstleister sowie Steuerberater erfolgt. Solche Fehler dürfen bei der Datev nicht passieren, und sollten konzeptionell sowie organisatorisch bei der Auftragsdatenverarbeitung ausgeschlossen sein. Der Vorfall deutet daher mutmaßlich auch auf Mängel in der DATEV-Rechenzentrumsorganisation hin, die genau solche Fehler verhindern sollte.
- Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.