Datenpanne bei der Datev: Wenn die Lohnabrechnung beim Falschen landet

Der Jahresauftakt verlief für viele Steuerberater und Personalabteilungen turbulenter als erhofft. Was am Donnerstag als vermeintlich einfache technische Störung im Rechenzentrum des Nürnberger IT-Dienstleisters Datev begann, weitete sich innerhalb von 48 Stunden zu einer handfesten Datenschutzpanne aus. Betroffen war mit dem System Lodas eines der Flaggschiffe des Softwarehauses, das „individuelle Lösungen für Ihre Lohnbuchhaltung“ verspricht.

Die Software Lodas ist vor allem bei größeren Mandanten im Einsatz, bei denen während des laufenden Monats „Probeabrechnungen“ zur Qualitätskontrolle erstellt werden. Diese Vorab-Belege dienen dazu, Änderungen bei Abrechnungsparametern zu prüfen, bevor die finale Lohnabrechnung erfolgt. Normalerweise werden diese Ergebnisse innerhalb weniger Minuten automatisiert an den Rechner zurückübertragen, der den Auftrag ausgelöst hat. Doch genau dieser Rückfluss geriet am 8. Januar ins Stocken, wie Datev-Mitarbeiter auf einem Community-Portal mitteilten. Die Probeabrechnungen wurden im Rechenzentrum zwar erstellt, erreichten ihre Empfänger aber nicht.

Um den entstandenen Datenstau aufzulösen, implementierten Datev-Techniker laut den Einträgen im Laufe des Freitags einen „Workaround“. Ziel war es, die Zustellung der ausstehenden Probeabrechnungen an die Absender zu erzwingen. Doch die medizinische Metapher von der „geglückten Operation bei verstorbenem Patienten“ drängt sich hier förmlich auf: Der Reparaturversuch funktionierte zwar technisch, verursachte aber einen Zuordnungsfehler. Anstatt die Dokumente an die rechtmäßigen Auftraggeber zurückzusenden, lieferte das System die Probeabrechnungen wahllos an fremde Mandanten aus.

Komplexes juristisches Nachspiel

In einschlägigen Fachforen und sozialen Netzwerken verbreitete sich die Nachricht von den „Fremd-Abrechnungen“ wie ein Lauffeuer. Mitarbeiter von Kanzleien berichteten fassungslos, dass sie plötzlich die hochsensiblen Gehaltsdaten völlig fremder Unternehmen auf ihren Bildschirmen sähen und beklagten eine „Vollkatastrophe“. Da diese Dokumente Namen, Anschriften, Sozialversicherungsnummern und natürlich die Verdienstdaten von Beschäftigten enthalten, dürfte die Schwelle zum meldepflichtigen Vorfall nach der Datenschutz-Grundverordnung (DSGVO) überschritten sein.

Die Datev konnte die technische Störung bis zum späten Freitagnachmittag nach eigenen Angaben beheben. Doch das juristische Nachspiel bleibt für die Kunden komplex. Die Softwarefirma positionierte sich in einer Stellungnahme gegenüber dem IT-Blogger Günter Born als reiner Auftragsverarbeiter. Das bedeutet im Umkehrschluss, dass die Verantwortung für die Meldung des Vorfalls bei den Kanzleien oder Unternehmen liegt, die Lodas in Eigenregie nutzen.

Gemäß DSGVO muss eine solche Meldung binnen 72 Stunden nach Bekanntwerden des Vorfalls an die zuständige Landesdatenschutzaufsicht erfolgen. Zusätzlich stehen die Kanzleien in der Pflicht, ihre Mandanten zu informieren. Die betroffenen Firmen wiederum müssen ihre Beschäftigten über den Datenabfluss in Kenntnis setzen.

Eine Tücke liegt in der Unwissenheit vieler Betroffener. Wer eine fremde Abrechnung erhalten hat, bemerkte den Fehler zwar sofort. Der Betrieb, dessen Daten fälschlicherweise abgewandert sind, weiß dagegen oft noch nichts von seinem Pech. Die Datev arbeitet derzeit laut Born daran, den Kreis der betroffenen Kunden zu identifizieren und diese gezielt zu informieren. Erst im Anschluss könnten die gesetzlich vorgeschriebenen Meldeketten überhaupt in Gang gesetzt werden.

(nen)