Datenpanne bei der Datev: Wenn die Lohnabrechnung beim Falschen landet

Der Jahresauftakt verlief für viele Steuerberater und Personalabteilungen turbulenter als erhofft. Was am Donnerstag als vermeintlich einfache technische Störung im Rechenzentrum des Nürnberger IT-Dienstleisters Datev begann, weitete sich innerhalb von 48 Stunden zu einer handfesten Datenschutzpanne aus. Betroffen war mit dem System Lodas eines der Flaggschiffe des Softwarehauses, das „individuelle Lösungen für Ihre Lohnbuchhaltung“ verspricht.

Die Software Lodas ist primär bei größeren Mandanten im Einsatz, bei denen während des laufenden Monats „Probeabrechnungen“ zur Qualitätskontrolle erstellt werden. Diese Vorab-Belege dienen dazu, Änderungen bei Abrechnungsparametern zu prüfen, bevor die finale Lohnabrechnung erfolgt. Normalerweise werden diese Ergebnisse innerhalb weniger Minuten automatisiert an den Rechner zurückübertragen, der den Auftrag ausgelöst hat. Doch genau dieser Rückfluss geriet am 8. Januar ins Stocken, wie Datev-Mitarbeiter auf einem Community-Portal mitteilten. Die Probeabrechnungen wurden im Rechenzentrum zwar erstellt, erreichten ihre Empfänger aber nicht.

Um den entstandenen Datenstau aufzulösen, implementierten Datev-Techniker laut den Einträgen im Laufe des Freitags eine Übergangslösung. Ziel war es, die Zustellung der ausstehenden Probeabrechnungen an die Absender zu erzwingen. Der Reparaturversuch funktionierte zwar technisch, verursachte aber einen Zuordnungsfehler. Anstatt die Dokumente an die rechtmäßigen Auftraggeber zurückzusenden, lieferte das System die Probeabrechnungen wahllos an fremde Mandanten aus.

Komplexes juristisches Nachspiel

In einschlägigen Fachforen und sozialen Netzwerken verbreitete sich die Nachricht von den „Fremd-Abrechnungen“ wie ein Lauffeuer. Mitarbeiter von Kanzleien berichteten fassungslos, dass sie plötzlich die hochsensiblen Gehaltsdaten völlig fremder Unternehmen auf ihren Bildschirmen sähen und beklagten eine „Vollkatastrophe“. Da diese Dokumente Namen, Anschriften, Sozialversicherungsnummern und natürlich die Verdienstdaten von Beschäftigten enthalten, dürfte die Schwelle zum meldepflichtigen Vorfall nach der Datenschutz-Grundverordnung (DSGVO) überschritten sein.

Die Datev konnte die technische Störung bis zum späten Freitagnachmittag nach eigenen Angaben beheben. Doch das juristische Nachspiel bleibt für die Kunden komplex.

Die Datev hat bereits die zuständige Datenschutzbehörde informiert, wie sie gegenüber heise online sagte: „Die betroffenen Anwender sowie die für Datev zuständige Datenschutzaufsicht (BayLDA) wurden von Datev über den Vorfall informiert. Hinweise auf einen Missbrauch von Daten gibt es nicht. Außerdem erfolgte die mögliche Einsichtnahme in Probeabrechnungen ausschließlich innerhalb des Kreises der Auftraggeber der DATEV. Deren Genossenschaftsmitglieder unterliegen einer berufsrechtlich begründeten Verschwiegenheitspflicht, zudem ist in den Datev AGB eine vertragliche Verschwiegenheitspflicht vereinbart.“

Gemäß DSGVO muss eine solche Meldung binnen 72 Stunden nach Bekanntwerden des Vorfalls an die zuständige Landesdatenschutzaufsicht erfolgen. Zusätzlich stehen die Kanzleien in der Pflicht, ihre Mandanten zu informieren. Die betroffenen Firmen wiederum müssen ihre Beschäftigten über den Datenabfluss in Kenntnis setzen.

Eine Tücke liegt in der Unwissenheit vieler Betroffener. Wer eine fremde Abrechnung erhalten hat, bemerkte den Fehler zwar sofort. Der Betrieb, dessen Daten fälschlicherweise abgewandert sind, weiß dagegen oft noch nichts von seinem Pech.

(nen)