Datenpanne bei Datev: Was tun, wenn Lohnabrechnungen falsch zugestellt werden?
Geschrieben von Kemal Webersohn, veröffentlicht am 15.01.2026Ein technischer Fehler im Lodas-System der Datev führte kürzlich dazu, dass sensible Probeabrechnungen an falsche Empfänger versendet wurden. Wir erläutern den Vorfall und klären, welche datenschutzrechtlichen Pflichten nun auf Steuerberatungskanzleien und betroffene Unternehmen zukommen.
Was genau ist bei der Datev vorgefallen?
Der Jahresstart brachte für viele Nutzende der Datev-Lösung Lodas unerwartete Probleme mit sich. Ursprünglich handelte es sich um eine Störung im Rückfluss von sogenannten Probeabrechnungen. Diese Vorab-Belege dienen der Qualitätskontrolle vor der finalen Lohnabrechnung. Ein Reparaturversuch seitens der Datev, um den Datenstau aufzulösen, verursachte jedoch einen Zuordnungsfehler.
Das Resultat: Sensible Gehaltsdaten, inklusive Namen, Anschriften und Sozialversicherungsnummern, landeten nicht bei den Auftraggebenden, sondern auf den Bildschirmen fremder Kanzleien und Mandanten. Auch wenn die Datev die Störung inzwischen behob, liegt hier ein klassischer Fall einer Verletzung der Sicherheit der Verarbeitung vor.
Warum ist das passiert? Kurz erklärt
Nach der bisherigen öffentlich bekannten Faktenlage liegt die Ursache nicht in einem Hackerangriff, sondern in einem klassischen (und besonders gefährlichen) Muster:
✅ Technische Störung
➡️ Workaround/Übergangslösung
➡️ Fehlzuordnung und Fehlversand sensibler Dokumente
Welche Pflichten ergeben sich aus der DSGVO?
Da es sich um Finanzdaten und Sozialversicherungsnummern handelt, wiegt der Vorfall schwer. Den das Risiko für die Rechte und Freiheiten der betroffenen Personen ist hoch. Für die verantwortlichen Stellen – in diesem Fall die Kanzleien und die eigentlichen Arbeitgeber – greifen nun konkrete rechtliche Mechanismen.
Die Datenschutz-Grundverordnung sieht hier strikte Meldewege vor:
- Meldung an die Aufsichtsbehörde: Gemäß § Art. 33 DSGVO müssen verantwortliche Stellen eine Verletzung des Schutzes personenbezogener Daten unverzüglich, möglichst binnen 72 Stunden, an die zuständige Aufsichtsbehörde melden. Zwar informierte die Datev als Auftragsverarbeiter bereits das Bayerische Landesamt für Datenschutzaufsicht (BayLDA), doch entbindet dies die eigentlichen verantwortlichen Stellen (die Unternehmen/Kanzleien) nicht von der eigenen Prüfung und Dokumentation.
- Benachrichtigung der Betroffenen: Besteht ein hohes Risiko für die persönlichen Rechte und Freiheiten der betroffenen Personen (hier die Mitarbeitenden, deren Lohndaten offenlagen), müssen diese gemäß Art. 34 DSGVO benachrichtigt werden.
Ein wichtiger vorgeschalteter Schritt ist überdies die Rolle der Datev als Auftragsverarbeiter. Gemäß § Art. 33 Abs. 2 DSGVO ist die Datev als Auftragsverarbeiter verpflichtet, die verantwortlichen Stellen (also etwa Steuerkanzleien oder anderen direkt betroffenen Unternehmen) unverzüglich über die Verletzung zu informieren.
Wie reagieren Kanzleien und Unternehmen jetzt richtig?
Viele betroffene Personen wissen noch gar nichts von dem Datenschutzvorfall, da die fehlgeleiteten Abrechnungen bei Dritten landeten. Um den Schaden zu begrenzen und Bußgelder zu vermeiden, empfehlen wir folgendes Vorgehen:
- Sachverhalt klären: Prüfen Sie, ob Ihre Kanzlei oder Ihr Unternehmen betroffen ist. Gab es Fehlzustellungen oder fehlen Rückläufe aus dem Zeitraum um den 8. Januar?
- Dokumentation: Dokumentieren Sie den Vorfall intern genau. Auch wenn Sie entscheiden, nicht zu melden (etwa, weil das Risiko als gering eingestuft wird), müssen Sie diese Entscheidung schriftlich begründen.
- Kommunikation: Gehen Sie transparent mit den betroffenen Mitarbeitenden um. Das schafft Vertrauen und erfüllt die gesetzlichen Vorgaben.
- Rücksprache halten: Nutzen Sie die Expertise Ihres Datenschutzbeauftragten, um die Risikoeinschätzung vorzunehmen.
Fazit: Schnelligkeit und Transparenz sind entscheidend
Technische Pannen bei Auftragsverarbeitern wie der Datev lassen sich nie zu 100 Prozent ausschließen. Entscheidend ist der Umgang damit. Der aktuelle Vorfall zeigt, wie schnell aus einem Software-Bug ein datenschutzrechtliches Risiko wird.
Als externe Datenschutzbeauftragte unterstützen wir Sie bei der rechtssicheren Risikoeinschätzung und übernehmen die korrekte Meldung an die Behörden sowie die Kommunikation mit den betroffenen Personen. So minimieren Sie Haftungsrisiken und bewahren das Vertrauen Ihrer Mandantschaft und Belegschaft.
Sprechen Sie uns gerne an, bei Fragen zu Datenpanne bei Datev: Was tun, wenn Lohnabrechnungen falsch zugestellt werden?
Kemal Webersohn,
Geschäftsführer der WS Datenschutz GmbH und seit über zehn Jahren im Datenschutz und in der Informationssicherheit tätig.
Er schreibt außerdem auf unserem Blog zu Themen rund um Datenschutz, Informationssicherheit und die KI-Verordnung.
Weitere Artikel
- BGH-Urteil zur Speicherdauer: SCHUFA darf Daten länger speichern als das Schuldnerverzeichnis
- Cyberangriffe mit KI: Der ESET Threat Report und die Gefahr durch PromptLock
- Der AI Act im Vergleich zu US-Regulierungen
- Keine Auskunft von personenbezogenen Daten am Telefon
- Berlins Datenschutzbeauftragte geht
- Chancen für Nachhaltigkeit: Kann der AI Act grüne Technologie fördern?
Verwandte Artikel
- Der Digitale Omnibus: Opfert die EU den Datenschutz für KI und Big Tech?
- Bias bei KI-Modellen: Diskriminierung durch die Maschine und ihre Ursachen
- KI-Transkription bei Videocalls: Das müssen Sie beachten
- Ohne Einheit droht Chaos: Warum KI-Regeln transatlantisch werden müssen
- KI-Verordnung in Behörden: Neuer Leitfaden vom Bundestag schafft Klarheit
- EU‑Mustervertragsklauseln für die KI‑Beschaffung