Beim Dienstleister für Steuerberater und Firmen, der DATEV, scheint es derzeit mächtig zu "rumpeln". Es muss wohl seit dem 8.1.2026 eine technische Störung beim Modul zur Lohnabrechnung geben, die wohl zwischenzeitlich per Workaround behoben werden konnte. Dabei scheinen "Mandantenzuordnungen" in Datenbanken oder Cache-Speichern in der Cloud kaputt gegangen zu sein. Aktuell mehren sich die Meldungen, dass DATEV-Mitglieder plötzlich LODAS Probe-Lohnabrechnungen von gänzlich anderen Mandanten erhalten. Ein veritables DSGVO-Problem, was den Steuerberatungskanzleien auf die Füße fällt.
Die DATEV im Überblick
DATEV steht für "Datenverarbeitung für Steuern und Wirtschaftsprüfung". Das 1966 auf genossenschaftlicher Basis gegründete deutsches Unternehmen bietet Software und Dienstleistungen in den Bereichen Buchhaltung, Steuerberatung und Wirtschaftsprüfung an und betreibt auch ein Rechenzentrum.
Die DATEV zählt sich laut Eigenaussage mit 1,51 Milliarden Euro Umsatz heute zu den größten Softwarehäusern Europas und sieht sich gleichzeitig als drittgrößter Anbieter für Business-Software in Deutschland. Auf der Unternehmensseite heißt es, dass die DATEV Software- und Cloud-Lösungen für Steuerberater, Wirtschaftsprüfer und Rechtsanwälte sowie für deren Mandanten bietet. Es gibt über 40.000 DATEV-Mitglieder mit über 850.000 Kunden (Mandanten).
Die Lösungen der DATEV decken betriebswirtschaftliche Aufgaben wie Buchhaltung, Lohnabrechnung, Jahresabschluss und Personalwesen ab und erleichtern die Zusammenarbeit zwischen mittelständischen Unternehmen und den steuerberatenden Berufen. Dabei stehen Datensicherheit, Datenschutz und Compliance im Vordergrund, heißt es.
Eine Störung im Modul LODAS
Aktuell gibt es seit dem 8. Januar 2025 wohl eine Störung im LODAS-Modul zur Lohnabrechnung, welches mit "LODAS Probeabrechnung senden/holen" umschrieben wird.
Kanzleien, die eine Probeabrechnung für Lohn in LODAS versandt haben, bekommen diese nicht zurück. Kann vorkommen – derzeit ist der Status noch "auf Analyse" gestellt – zumindest, was ich den Foreneinträgen entnehme. Auf dieser Seite ist ebenfalls von Störungen die Rede. Man scheint zwischenzeitlich auch einen Workaround eingebaut gehabt zu haben, so dass die Probeabrechnungen zurück kamen. Aber es trat ein gravierenderes Problem auf.
Falsche Mandantenzuordnung von Probeabrechnungen
Ein ungenannt bleiben wollender Leser sowie eine Leserin haben mich per Mail darauf hingewiesen, dass es bei DATEV-Mitgliedern aktuell zu DSGVO-Problemen in Verbindung mit den LODAS-Probeabrechnungen kommt (vielen Dank). DATEV-Mitglieder bekommen Probeabrechnungen von fremden Mandanten zurück.
Es gibt bei der DATEV diesen Thread zum Problem, dass erst keine Probeabrechnungen für LODAS zurück kommen. Der Thread umfasst bereits viele Seiten – da brennt, bildlich gesprochen, die Hütte, weil die DATEV-Mitglieder die Lohnabrechnungen probeweise laufen lassen wollen.
Aber ab Seite 4 kommt das eigentliche Problem heraus, siehe obiger Screenshot. Die DATEV-Mitglieder, die eine Probeabrechnung eingereicht haben und die vermeintlichen Ergebnisse des Laufs abholen, stellen fest, dass ihnen fremde Mandantendatensätze zugestellt werden. Hier ein Zitat:
Ich bekomme neue Meldungen zur Probeabrechnung mit Daten von komplett anderen Mandanten aus Abrechnungen anderer Kanzleien. Komplett und mit allen sensiblen Daten. Wenn so etwas in falsche Hände gerät na dann…..
Jemand umschreibt es so:
Habe ich hier jetzt auch bemerkt, ich bekomme Probeabrechnungen einer GmbH, die 600 km weit weg ist.
Das ist aus Datenschutzgründen eine Vollkatastrophe.
Der aktuelle Status, soweit ich es beim Querlesen gesehen habe, ist, dass die DATEV-Technik den zum Beheben der Störung eingebauten Workaround wieder zurückgenommen hat.
Wer ist betroffen, wer macht DSGVO-Meldung?
Aber die oben angesprochene DSGVO-Problematik besteht natürlich weiter – denn DATEV-Mitglieder haben persönliche Daten fremder Mandanten zurück bekommen. Jetzt geht die Diskussion los, wer verantwortlich ist und wer eine DSGVO-Meldung an die Datenschutzaufsicht machen muss. Verantwortlich für die DSGVO ist eigentlich immer die Kanzlei , die die Mandantendaten verarbeitet (oder das Unternehmen was LODAS nutzt) und an den Auftragsverarbeiter DATEV weiter reicht.
Denn formal ist die DATEV nur Auftragsdatenverarbeiter der einzelnen Kanzleien. Aber die Kanzleien bzw. Nutzer haben eigentlich keinen Einfluss darauf, welche Daten von fremden DATEV-Mitgliedern als Probeabrechnung zurückkommen oder an andere Kanzleien bzw. Nutzer übermittelt werden.
Von einer Leserin habe ich obige DATEV-Stellungnahme erhalten (danke dafür), in der die DATEV ihre Sicht darlegt. DSGVO-Verantwortliche ist die Kanzlei bzw. das Unternehmen, die/das die Daten einstellt, schreibt die DATEV. Die DATEV will aber die Betroffenen informieren, sobald dieser Kreis festgestellt ist. Eine arg bescheidene Situation, denn:
- Die Kanzlei (oder das LODAS nutzende Unternehmen), deren Mandantendaten durch die DATEV in falsche Hände gelangt sind, muss den DSGVO-Vorfall bei ihrer zuständigen Datenschutzaufsicht melden. Zudem muss der Mandant als Betroffener informiert werden (hier lauert in meinen Augen das größere Problem, da hier jemand auf Schadensersatz klagen könnte).
- Die Kanzlei bzw. das Unternehmen weiß aber im Zweifelsfall nicht, dass es einen DSGVO-Vorfall bei der DATEV gegeben hat und die Mandantendaten an eine andere Kanzlei oder Unternehmen gingen.
Wenn es der DATEV nicht gelingt, alle Betroffenen zu informieren, und diese ihrer Meldepflicht eines DSGVO-Vorfalls an die Landesdatenschutzaufsicht binnen 72 Stunden nach Kenntnisnahme nicht nachkommen (können), liegt ein Verstoß vor. Der Vorfall zeigt erneut das Problem der Cloud – bei einer lokalen Verarbeitung durch eine On-Premises Lohnsoftware wäre das Problem nicht aufgetaucht. Einen kurzen Abriss habe ich ja in diesen Kommentar weiter unten zusammen getragen. Aber das ist ein anderes Thema. In einer Facebook DATEV-Gruppe habe ich einige Leute gesehen, die Probeabrechnungen fremder Mandanten bekommen haben. Ist jemand aus der Leserschaft betroffen?
