"Große Steuerberatungsfirmen und Unternehmen: auch bei Datev Datenschutz-Vorfall nicht unvermeidlich"
Ein technischer Fehler bei der Probeabrechnung bei der Datev hat zu einer unbekannten Anzahl an Fehlzustellungen geführt. Kunden erhielten Probeabrechnungen fremder Mandanten. In den letzten Tagen des Jahres 2026 kam es zu einer technischen Störung im Lohnabrechnungssystem Lodas, so dass die Probeabrechnungen nicht an die absendenden Kunden zurückgeliefert wurden.
Die Datev zählt mit 1,51 Milliarden Euro Umsatz zu den größten Softwarehäusern Europas. Das Unternehmen bietet Software und Dienstleistungen in den Bereichen Buchhaltung, Steuerberatung und Wirtschaftsprüfung an. Zu den Kunden bzw. Datev-Mitgliedern zählen Steuerberatungen sowie Firmen.
Die Probeabrechnungen dienen in Kanzleien und Unternehmen der Qualitätskontrolle, um vor der eigentlichen Lohnabrechnung Veränderungen hinsichtlich der Abrechnungsparameter zu prüfen. Durch Einreichen einer Probeabrechnung wird ein automatischer Auftrag zur Abholung der Ergebnisse angelegt.
In geschlossenen Datev-Facebook-Gruppen sahen sich Meldungen zu solchen Fehlläufern. Es ist jedoch unklar, wie viele Kunden die Probeabrechnungen fremder Mandanten erhalten haben. Die Datev-Forenbeteiligten selbst bestätigen jedoch, dass der Workaround, den sie vorgenommen hatten, um die Zustellung der Probeabrechnungen an die Absender zu erzwingen, wieder zurückgenommen werden musste.
Der von der Datev-Technik vorgenommene Workaround führte zwar dazu, dass Probeabrechnungen von der Datev an Kunden rückübermittelt wurden – jedoch nicht an die richtigen. Stattdessen erhielten Datev-Kunden die Probeabrechnungen fremder Mandanten.
Hier sind Fragen, die zu klären sind: Wer muss melden und an wen? Die Datev verweist darauf, dass sie zwar Auftragsverarbeiter gemäß DSGVO sei, aber Verantwortlich für die Meldung eines DSGVO-Vorfalls sei der Kunde oder das Unternehmen. Das Unternehmen würde jedoch wahrscheinlich eine eigene Meldung bei der zuständigen Landesdatenschutzaufsicht einreichen müssen.
Der Vorfall zeigt, wie komplex DSGVO-Verantwortlichkeiten sein können, wenn die Verarbeitung in Rechenzentren oder in der Cloud durch als Auftragsverarbeiter fungierende Dienstleister sowie Steuerberater erfolgt. Der Fehler deutet darauf hin, dass Mängel in der Datev-Rechenzentrumsorganisation bestehen, die konzeptionell sowie organisatorisch bei der Auftragsdatenverarbeitung ausgeschlossen sein sollten.
"Die Probeabrechnungen enthalten persönliche Daten der Beschäftigten, die durch die Fehlzustellungen in fremde Hände gelangt sind", so der Autor. "Wer muss den Vorfall melden? Wer ist für die Meldung zuständig?"
Der Fehler zeigt, wie wichtig es ist, dass Steuerberatungsfirmen und Unternehmen konzeptionell sowie organisatorisch bei der Auftragsdatenverarbeitung vorsichtig sind und DSGVO-Vorläufigkeit nicht riskieren.
Ein technischer Fehler bei der Probeabrechnung bei der Datev hat zu einer unbekannten Anzahl an Fehlzustellungen geführt. Kunden erhielten Probeabrechnungen fremder Mandanten. In den letzten Tagen des Jahres 2026 kam es zu einer technischen Störung im Lohnabrechnungssystem Lodas, so dass die Probeabrechnungen nicht an die absendenden Kunden zurückgeliefert wurden.
Die Datev zählt mit 1,51 Milliarden Euro Umsatz zu den größten Softwarehäusern Europas. Das Unternehmen bietet Software und Dienstleistungen in den Bereichen Buchhaltung, Steuerberatung und Wirtschaftsprüfung an. Zu den Kunden bzw. Datev-Mitgliedern zählen Steuerberatungen sowie Firmen.
Die Probeabrechnungen dienen in Kanzleien und Unternehmen der Qualitätskontrolle, um vor der eigentlichen Lohnabrechnung Veränderungen hinsichtlich der Abrechnungsparameter zu prüfen. Durch Einreichen einer Probeabrechnung wird ein automatischer Auftrag zur Abholung der Ergebnisse angelegt.
In geschlossenen Datev-Facebook-Gruppen sahen sich Meldungen zu solchen Fehlläufern. Es ist jedoch unklar, wie viele Kunden die Probeabrechnungen fremder Mandanten erhalten haben. Die Datev-Forenbeteiligten selbst bestätigen jedoch, dass der Workaround, den sie vorgenommen hatten, um die Zustellung der Probeabrechnungen an die Absender zu erzwingen, wieder zurückgenommen werden musste.
Der von der Datev-Technik vorgenommene Workaround führte zwar dazu, dass Probeabrechnungen von der Datev an Kunden rückübermittelt wurden – jedoch nicht an die richtigen. Stattdessen erhielten Datev-Kunden die Probeabrechnungen fremder Mandanten.
Hier sind Fragen, die zu klären sind: Wer muss melden und an wen? Die Datev verweist darauf, dass sie zwar Auftragsverarbeiter gemäß DSGVO sei, aber Verantwortlich für die Meldung eines DSGVO-Vorfalls sei der Kunde oder das Unternehmen. Das Unternehmen würde jedoch wahrscheinlich eine eigene Meldung bei der zuständigen Landesdatenschutzaufsicht einreichen müssen.
Der Vorfall zeigt, wie komplex DSGVO-Verantwortlichkeiten sein können, wenn die Verarbeitung in Rechenzentren oder in der Cloud durch als Auftragsverarbeiter fungierende Dienstleister sowie Steuerberater erfolgt. Der Fehler deutet darauf hin, dass Mängel in der Datev-Rechenzentrumsorganisation bestehen, die konzeptionell sowie organisatorisch bei der Auftragsdatenverarbeitung ausgeschlossen sein sollten.
"Die Probeabrechnungen enthalten persönliche Daten der Beschäftigten, die durch die Fehlzustellungen in fremde Hände gelangt sind", so der Autor. "Wer muss den Vorfall melden? Wer ist für die Meldung zuständig?"
Der Fehler zeigt, wie wichtig es ist, dass Steuerberatungsfirmen und Unternehmen konzeptionell sowie organisatorisch bei der Auftragsdatenverarbeitung vorsichtig sind und DSGVO-Vorläufigkeit nicht riskieren.
so wie ich ihn sehe, ist ein klassischer Beispiel dafür, wie leicht die Datenschutz-Regeln aus dem Auge gelassen werden können. Wer sagt mir, dass es nicht eine geplante Manipulation ist? 
Ich meine, warum sollte der Kunde oder das Unternehmen die Meldung eines DSGVO-Vorfalls bei der zuständigen Landesdatenschutzaufsicht einreichen müssen? Das klingt nach einer perfekten Ablenkungsmanöver für die Datev-Management.
. Ich meine, ich verstehe, dass es ein Fehler war, aber das muss ja nicht bedeuten, dass man sich nicht mehr darum kümmert. Die DSGVO ist nicht nur ein Schutz für die Kunden, sondern auch für die Datev selbst. Ich denke, es wäre gut, wenn sie sich mal wieder über ihre Auftragsverarbeiter informiert hätte und dann eine Meldung bei der zuständigen Stelle einreichen würde. Die Kunden sollten ja nicht allein aufhören zu melden, wenn das Unternehmen es nicht tut.
Ich denke, es ist wirklich schade, dass Kunden mit Probeabrechnungen fremder Mandanten konfrontiert wurden. Das zeigt definitiv, dass die Datev-Organisation noch viel zu lernen hat, wenn es um die Datensicherheit und Datenschutz geht.
Der Datev-Vorfall ist ein nettes Beispiel dafür, wie man mit Datenschutzproblemen umgehen kann - indem man einfach den Fehler in die falschen Hände gibt 
Die Datev, ja die größte Softwarefirma in Europa, und schon wieder ein Problem. Ich meine, ich verstehe, dass es Fehler passieren kann, aber dass Kunden Probeabrechnungen von Fremden erhalten haben? Das ist ja einfach unverantwortlich! 
Die Datev muss hier eine Ausrede finden und schnell!
. Ich bin froh, dass es zumindest in den geschlossenen Facebook-Gruppen von Datev Meldungen gab, aber ich frage mich, ob diese auch wirklich aufgehoben wurden...
. Ich denke, es wäre ratsam, wenn sie mal eine Unabhängigkeitsprüfung durchführen lassen, um sicherzustellen, dass alles wirklich so ist wie sie behaupten 
.
.
. Die Datev ist ja so ein großes Unternehmen und jetzt geht es um den Datenschutz und die Datensicherheit... das ist wichtig, natürlich! 
Aber warum kommt nur der Kunde in Frage, wenn es um Meldungen geht? Ich denke doch, dass es eher die Auftragsverarbeiter sein sollten, die dafür verantwortlich sind. Und was ist mit den Steuerberatungsfirmen und Unternehmen? Sie müssen doch auch konzeptionell vorsichtig sein!