Datenpanne in der Lohnabrechnung Datev sendet Lohnabrechnungen an falsche Empfänger

Anbieter zum Thema

DATEV eG

sysob IT-Distribution GmbH & Co. KG

Vogel IT-Akademie

FAST LTA GmbH

Probeabrechnungen aus dem Lohnabrechnungssystem LODAS landeten zeitweise bei falschen Empfängern. Ursache war ein technischer Zu­ord­nungs­fehler. Doch Umfang und Zahl der Betroffenen bleiben bislang offen.

Im Lohnabrechnungssystem „Lodas“ der Datev kam es zu einer Datenpanne. Pro­be­ab­rech­nun­gen mit personenbezogenen Lohn- und Gehaltsdaten wurden fremden Mandanten angezeigt. Die Daten stammten aus Datev-Rechenzentren und sollten regulär an die jeweiligen Auftraggeber zurückgespielt werden.

Datenschutzverletzungen „made in Germany“

Die größten deutschen Datenpannen in 2025

Wo und wann trat der Fehler auf?

Medienberichten zufolge begann die Störung am Donnerstag, den 8. Januar. Eine Über­gangs­lö­sung am Folgetag soll den Rückfluss der Dokumente sicherstellen, führte aber zu einer feh­ler­haf­ten Zuordnung. Datev meldete die Behebung bis zum späten Freitagnachmittag, dem 9. Januar.

Welche Daten waren betroffen?

Bei den Dokumenten handelte es sich um Probeabrechnungen der Lohn- und Ge­halts­ab­rech­nung. Diese enthalten Namen, Anschriften, Sozialversicherungsnummer und Angaben zu Entgelt und Abzügen. Die Unterlagen sind inhaltlich nahezu vollständig und entsprechend weitgehend den späteren Endabrechnungen.

Wer ist betroffen?

Öffentlich bestätigt sind weder die Zahl der betroffenen Kanzleien und Unternehmen noch die der Ar­beit­neh­mer. Datev informiert nach eigenen Angaben betroffene Anwender und hat die zuständige Da­ten­schutzaufsicht, das Bayerische Landesamt für Da­ten­schutzaufsicht, unterrichtet. Der Kreis der Betroffenen wird weiter ermittelt.

Über den Vorfall berichteten Fachmedien am 11. Januar. Demnach erhielten einzelne Anwender Abrechnungen fremder Mandanten. Auffällig ist die Konstellation, dass Empfänger die Fehlzuordnung erkennen konnten, die eigentlichen Dateninhaber jedoch nicht zwingend automatisch informiert wurden.

Security-Insider Podcast – Folge 98

Wo Daten lagern, lauern Risiken!

Darum ist der Vorfall da­ten­schutzrechtlich so relevant

Lohn- und Gehaltsdaten zählen zu den besonders schutzwürdigen personenbezogenen Informationen, da sie Rückschlüsse auf die wirtschaftliche Situation zu­lassen. Bereits die unbefugte Offenlegung stellt ein Risiko für die Rechte und Freiheiten der Betroffenen dar. Eine missbräuchliche Nutzung ist für die Bewertung nicht erforderlich.

Bei einer Da­ten­schutzverletzung mit Risiko für Betroffene besteht eine Meldepflicht an die Aufsichtsbehörde binnen 72 Stunden nach Bekanntwerden. Liegt ein hohes Risiko vor, müssen die betroffenen Personen informiert werden. Maßgeblich ist die konkrete Gefährdungslage im Einzelfall.

Welche rechtlichen Folgen möglich sind

Nach Artikel 82 Da­ten­schutz-Grundverordnung kann immaterieller Schadensersatz in Betracht kommen. Die Rechtsprechung von Europäischem Gerichtshof und Bundesgerichtshof sieht keine Bagatellgrenze vor. Bereits der zeitweise Verlust der Kontrolle über personenbezogene Daten kann einen ersatzfähigen Schaden begründen, sofern er nachvollziehbar dargelegt wird.

Das Betroffene können jetzt tun

• Beim Arbeitgeber oder der Personalabteilung schriftlich anfragen, ob eigene Daten betroffen waren und welche Datenkategorien offengelegt wurden.

• Zeitpunkt der Kenntnisnahme und erhaltene In­for­ma­tio­nen dokumentieren.

• Prüfen, ob eine Benachrichtigung nach Artikel 34 Da­ten­schutz-Grundverordnung erfolgt ist.

• Mögliche Ansprüche auf Schadensersatz rechtlich prüfen lassen, insbesondere bei nachvollziehbarer persönlicher Belastung durch die Offenlegung von Gehaltsdaten.

Cybersicherheitsvorfälle

Aktuelle Cyberangriffe auf deutsche Unternehmen 2025

(ID:50679163)