Bei dem IT-Dienstleister DATEV kam es im Zusammenhang mit dem Lohnabrechnungssystem LODAS zu einem erheblichen Datenschutzvorfall. Am 8. Januar führte eine technische Störung im Rechenzentrum dazu, dass Probeabrechnungen nicht wie vorgesehen an die jeweiligen Auftraggeber zurückgeschickt werden konnten. Am Folgetag implementierte DATEV eine temporäre Lösung, um den Rückfluss der ausstehenden Dokumente sicherzustellen. Dieser technische Workaround verursachte jedoch einen schwerwiegenden Zuordnungsfehler: Anstatt die erstellten Dokumente an die rechtmäßigen Auftraggeber zu übermitteln, wurden die sensiblen Unterlagen fremden Mandanten angezeigt.
Bei den fehlgeleiteten Dokumenten handelte es sich um Lohn- und Gehaltsdokumente, die typischerweise sensible personenbezogene Informationen enthalten, darunter Namen, Anschriften, Sozialversicherungsnummern und Einkommensdaten. Diese Daten begründen ein besonders hohes Missbrauchspotential. Nach Angaben von DATEV wurde die zuständige Datenschutzbehörde (BayLDA) informiert; betroffene Kunden sollen sukzessive benachrichtigt werden. Die genaue Anzahl der betroffenen Unternehmen und Arbeitgeber ist bislang nicht öffentlich bekannt. Verschiedene Medienberichte weisen jedoch darauf hin, dass DATEV derzeit den Kreis der Betroffenen ermittelt.
Aus datenschutzrechtlicher Perspektive ist der Vorfall eindeutig als kritisch einzustufen. Bereits die unbefugte Offenlegung von Lohnabrechnungen stellt ein erhebliches Risiko für die Rechte und Freiheiten der Betroffenen dar, unabhängig davon, ob ein Missbrauch nachweislich erfolgte oder nicht. Für Arbeitgeber bedeutet dies eine Meldepflicht gegenüber der zuständigen Aufsichtsbehörde nach Art. 33 DSGVO. Entscheidend ist dabei bereits die Möglichkeit eines Kontrollverlusts über die sensiblen Informationen. Liegt – wie hier angesichts der Datenkategorien naheliegend – ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen vor, ist zusätzlich eine Benachrichtigung nach Art. 34 DSGVO erforderlich.
Unternehmen, die DATEV als Auftragsverarbeiter einsetzen, bleiben weiterhin selbst verantwortlich für die fristgerechte Meldung und die Information der Betroffenen. Betroffene Unternehmen sollten daher unverzüglich prüfen, ob eigene Mitarbeiterdaten betroffen sind. Da Unternehmen über die Betroffenheit der eigenen Mitarbeiter nicht bzw. nicht immer automatisch informiert werden, ist es empfehlenswert, proaktiv Auskunft beim Dienstleister oder der betreuenden Steuerkanzlei einzuholen.
