Beim Dienstleister für Steuerberater und Firmen, der DATEV, scheint es derzeit mächtig zu "rumpeln". Es muss wohl seit dem 8.1.2026 eine technische Störung beim Modul zur Lohnabrechnung geben, die wohl zwischenzeitlich per Workaround behoben werden konnte. Dabei scheinen "Mandantenzuordnungen" in Datenbanken oder Cache-Speichern in der Cloud kaputt gegangen zu sein. Aktuell mehren sich die Meldungen, dass DATEV-Mitglieder plötzlich LODAS Probe-Lohnabrechnungen von gänzlich anderen Mandanten erhalten. Ein veritables DSGVO-Problem, was den Steuerberatungskanzleien auf die Füße fällt.
Die DATEV im Überblick
DATEV steht für "Datenverarbeitung für Steuern und Wirtschaftsprüfung". Das 1966 auf genossenschaftlicher Basis gegründete deutsches Unternehmen bietet Software und Dienstleistungen in den Bereichen Buchhaltung, Steuerberatung und Wirtschaftsprüfung an und betreibt auch ein Rechenzentrum.
Die DATEV zählt sich laut Eigenaussage mit 1,51 Milliarden Euro Umsatz heute zu den größten Softwarehäusern Europas und sieht sich gleichzeitig als drittgrößter Anbieter für Business-Software in Deutschland. Auf der Unternehmensseite heißt es, dass die DATEV Software- und Cloud-Lösungen für Steuerberater, Wirtschaftsprüfer und Rechtsanwälte sowie für deren Mandanten bietet. Es gibt über 40.000 DATEV-Mitglieder mit über 850.000 Kunden (Mandanten).
Die Lösungen der DATEV decken betriebswirtschaftliche Aufgaben wie Buchhaltung, Lohnabrechnung, Jahresabschluss und Personalwesen ab und erleichtern die Zusammenarbeit zwischen mittelständischen Unternehmen und den steuerberatenden Berufen. Dabei stehen Datensicherheit, Datenschutz und Compliance im Vordergrund, heißt es.
Eine Störung im Modul LODAS
Aktuell gibt es seit dem 8. Januar 2025 wohl eine Störung im LODAS-Modul zur Lohnabrechnung, welches mit "LODAS Probeabrechnung senden/holen" umschrieben wird.
Kanzleien, die eine Probeabrechnung für Lohn zur Kontrolle in LODAS versandt haben, bekommen diese nicht zurück. Kann vorkommen – derzeit ist der Status noch "auf Analyse" gestellt – zumindest, was ich den Foreneinträgen entnehme. Auf dieser Seite ist ebenfalls von Störungen die Rede. Man scheint zwischenzeitlich auch einen Workaround eingebaut gehabt zu haben, so dass die Probeabrechnungen zurück kamen. Aber es trat ein gravierenderes Problem auf (siehe nachfolgender Text). Nachtrag: Zum Abend des 9.1.2026 scheint die Störung beseitigt.
Ergänzung: Formal sieht es, wenn man den Störungseinträgen und Forenpost folgt, so aus, als ob die in LODAS zur Kontrolle angestoßene Probeabrechnung nie zugestellt wurde. Dies sollte laut DATEV binnen Minuten erfolgen, egal wie viele Mitarbeiter in der Probeabrechnung zu verarbeiten sind. Nach "durchdenken" des nachfolgend beschriebenen Sachverhalts hege ich inzwischen den Verdacht, dass diese Probeabrechnungen schon "zurück übermittelt wurden" – allerdings an die falschen Nutzer. Das fiel mutmaßlich erst später auf, als erste Forenbeiträge zu den Fehlläufern bei der DATEV auftauchten. Aber ich mag mich hier täuschen.
Aufklärung könnte nur die DATEV mit einem Post-Incident-Report geben. Ob es aber von der DATEV so etwas (öffentlich) gibt? Ich lasse mich ja gerne überzeugen – bei der Südwestfalen IT (SIT) ist ein solcher Bericht über die Verantwortlichen (Aufsichtsgremium) bei mir als kleinem IT-Blogger eingeschlagen (die wollten am Ende des Tages Transparenz). Deutlicher kann ich mit dem Scheunentor nun nicht winken – und die Forenaussage "UI. Morgen stehen wir dann wieder in der borncity…" klingt so, als ob ich schuld wäre oder dass man durch Schweigen das Problem lösen könne.
Falsche Mandantenzuordnung von Probeabrechnungen
Ein ungenannt bleiben wollender Leser sowie eine weitere Leserin haben mich per Mail darauf hingewiesen, dass es bei DATEV-Mitgliedern aktuell zu DSGVO-Problemen in Verbindung mit den LODAS-Probeabrechnungen kommt (vielen Dank). DATEV-Mitglieder bekommen Probeabrechnungen von fremden Mandanten zurück.
Es gibt bei der DATEV diesen Thread zum Problem, dass erst keine Probeabrechnungen für LODAS zurück kommen. Der Thread umfasst bereits viele (8) Seiten – da brennt, bildlich gesprochen, die Hütte, weil die DATEV-Mitglieder Probeabrechnungen vor der Meldung zum 10. des Monats für die Lohnmeldung laufen lassen wollen.
Aber ab Seite 4 kommt das eigentliche Problem heraus, siehe obiger Screenshot. Die DATEV-Mitglieder, die eine Probeabrechnung eingereicht haben und die vermeintlichen Ergebnisse des Laufs abholen lassen, stellen fest, dass ihnen fremde Mandantendatensätze zugestellt werden. Hier ein Zitat:
Ich bekomme neue Meldungen zur Probeabrechnung mit Daten von komplett anderen Mandanten aus Abrechnungen anderer Kanzleien. Komplett und mit allen sensiblen Daten. Wenn so etwas in falsche Hände gerät na dann…..
Jemand umschreibt es so:
Habe ich hier jetzt auch bemerkt, ich bekomme Probeabrechnungen einer GmbH, die 600 km weit weg ist.
Das ist aus Datenschutzgründen eine Vollkatastrophe.
Der aktuelle Status, soweit ich es beim Querlesen gesehen habe, ist, dass die DATEV-Technik den zum Beheben der Störung eingebauten Workaround wieder zurückgenommen hat. Ergänzung: Am späteren Nachmittag des 9.1.2026 soll die Zustellung der Probeabrechnungen laut DATEV-Forenaussagen wieder funktionieren.
Wer ist betroffen, wer macht DSGVO-Meldung?
Aber die oben angesprochene DSGVO-Problematik besteht natürlich weiterhin – denn DATEV-Mitglieder haben persönliche Daten fremder Mandanten zurück bekommen. Jetzt geht die Diskussion los, wer verantwortlich ist und wer eine DSGVO-Meldung an die Datenschutzaufsicht machen muss. Verantwortlich für die DSGVO ist eigentlich immer das Unternehmen, dessen Daten in falsche Hände gelangen. Die Kanzlei, die die Mandantendaten verarbeitet ist in meinen Augen eher Auftragsverarbeiter, genau wie die DATEV, die Auftragsverarbeiter für die Kanzleien (oder für die Unternehmen, die selbst LODAS nutzen) ist.
Verflixte Situation, denn formal ist die DATEV nur Auftragsdatenverarbeiter der einzelnen Kanzleien, führt aber aus und hat den Fehler gemacht. Aber die Kanzleien bzw. Nutzer haben eigentlich keinen Einfluss darauf, welche Daten von fremden DATEV-Mitgliedern als Probeabrechnung zurückkommen oder an andere Kanzleien bzw. Nutzer übermittelt werden.
(Quelle: Leser bzw. DATEV-Forum)
Von einer Leserin habe ich obige DATEV-Stellungnahme erhalten (danke dafür), in der die DATEV ihre Sicht darlegt. DSGVO-Verantwortliche ist die Kanzlei bzw. das Unternehmen, die/das die Daten einstellt, schreibt die DATEV. Die DATEV will aber die Betroffenen informieren, sobald dieser Kreis festgestellt ist. Eine arg bescheidene Situation, denn:
- Die Kanzlei (oder das LODAS nutzende Unternehmen), deren Mandantendaten durch die DATEV in falsche Hände gelangt sind, muss die Zuständigkeiten prüfen und klären, wer informiert werden muss. Auf jeden Fall sind dies die betroffenen Mandanten (samt Hinweis, dass diese ihre Mitarbeiter informieren müssen). Sofern die Steuerberatungskanzlei kein Auftragsverarbeiter sondern DSGVO-Verantwortlicher ist, ist auch eine Meldung an die Datenschutzaufsicht fällig.
- Beim direkt mit LODAS arbeitenden Unternehmen ist der Sachverhalt klar: Gelangen die Daten in fremde Hände, ist es als DSGVO-Verantwortlicher für die Information der Betroffenen und der Datenschutzaufsicht zuständig, sobald es über den Vorfall als Betroffener Kenntnis erlangt hat.
- Aktuell ist unklar, ob das Unternehmen, welches als Mandant vom Steuerberater informiert wurde, neben den betroffenen Mitarbeitern auch noch die Datenschutzaufsicht über den DSGVO-Vorfall informieren muss (das müsste der Steuerberater ja bereits getan haben).
- Die Kanzlei bzw. das Unternehmen weiß aber im Zweifelsfall nicht, dass es einen DSGVO-Vorfall bei der DATEV gegeben hat und die Mandantendaten über die bei der DATEV in LODAS angestoßene Probeabrechnung an eine andere Kanzlei oder ein anderes Unternehmen gingen.
Die obigen Ausführungen zeigen, wie komplex die Zuständigkeitskette ist – wohl dem, der dies als Unternehmen oder Kanzlei sauber dokumentiert und entsprechende Meldepläne in der Schublade hat. Gelingt es der DATEV nicht, alle Betroffenen zu informieren, und kommen diese ihrer Meldepflicht eines DSGVO-Vorfalls an die Landesdatenschutzaufsicht binnen 72 Stunden nach Kenntnisnahme nicht nach, liegt ein Verstoß vor.
Der Vorfall zeigt auch noch das Problem der Cloud-/Rechenzentrums-Verarbeitung. Bei einer lokalen Verarbeitung durch eine On-Premises Lohnsoftware wäre das Problem so vermutlich nicht aufgetaucht. Andererseits müsste ein Rechenzentrumsbetreiber wie die DATEV eigentlich organisatorisch sicherstellen, dass so ein Fehler nicht passieren kann. Einen kurzen Abriss meiner Gedanken habe ich ja in diesen Kommentar weiter unten zusammen getragen. Aber das ist ein anderes Thema. In einer geschlossenen Facebook DATEV-Gruppe habe ich übrigens weitere Leute gesehen, die ebenfalls Probeabrechnungen fremder Mandanten bekommen haben. Ist jemand aus der Leserschaft betroffen?
MVP: 2013 – 2016
Ja, ist genau so bei uns vorgefallen. Probeabrechnung abgeschickt und Daten einer fremden Firma zurückbekommen.
Auch wenn die DSGVO hier vermutlich eine Lücke hat, halte ich den Verursacher der Panne, also die DATEV, für schuldig.
Firma X oder Kanzlei Y können so etwas ja nicht beinflussen, außer es wird kein DATEV verwendet.
Nur ist DATEV genau so ein Quasistandard wie Photoshop.
Zum Glück unterliegen ALLE DATEV-Mitglieder (Kanzleien) auch einer gesetzlichen beruflichen Verschwiegenheitspflicht, so dass auch fehlgeleitete Probeabrechnungen keinen "Schaden" verursachen können und man sich keine Sorgen machen muss.
Im Forum der DATEV gibt es auch Beiträge von Unternehmen welche die Lohnabrechnung selbst durchführen. Hier gibt es also auch betroffene.
Danke für die Ergänzung – irgendwann habe ich beim Schreiben des Beitrag aufgehört, die zig Seiten des Theads weiter durchzulesen.
Was nicht bedeutet, dass deren Probeabrechnung auch falsch verschickt wurde.
Die zwei Mitteilung im DATEV Forum, dass wieder verschickt und danach wieder gestoppt wurde erfolgte fast gleichzeitig.
Mittlerweile wurde dort auch klargestellt, das nur vereinzelte und nicht alle Probeabrechnungen von der falschen Zustellung betroffen waren.
Also wohl eher menschliche Fehlerursache bei der Aufarbeitung eines entstanden Rückstandes durch Aussteuerung eines abgebrochenen Batchjobs als ein systemischer IT Fehler.
Das gab es auch im Zeitalter als die Ausdrucke von DATEV noch per Post verschickt wurden schon mal in vereinzelten Fällen.
Unserem derzeitig ständig wechselnden auf e-Lastenbikes rasenden Postboten hier passierte das letztes Jahr nicht nur "vereinzelt", sondern mindestens "verdreizelt".
Die Verschwiegenheitspflicht betrifft nicht nur Inhalte von denen man rechtmäßig Kenntnis erhält, sondern alle.
Und in der Regel sind alle, die mit Lohnabrechnungen beauftragt sind, egal ob in DATEV, externer Lohnabrechnung und den Firmen selbst nicht nur implizit per Gesetz, sondern auch noch explizit durch abgegebene Erklärungen nach entsprechenden Belehrungen zur besonderen Verschwiegenheit über alles im Zusammenhang mit ihrer Tätigkeit verpflichtet.
DATEV hat im Forum mittlerweile auch mitgeteilt, dass man sich mit allen Betroffenen direkt in Verbindung setzen wird. Da dürfte dann auch nach entsprechender rechtlicher Prüfung durch DATEV empfohlen werden wie weiter vorgegangen werden soll.
Das Risiko ist nur sehr gering, dass hier überhaupt nachweisbarer Schaden außer durch Mehrarbeit bei den Abrechnungen selbst entstehen könnte.
Da können versehentlich den Falschen innerhalt einer Firma zur Kenntnis gekommenen Gehälter wesentlich mehr dickes Blut machen. Einen real verursachten Schaden hierdurch nachzuweisen dürfte trotzdem praktisch unmöglich sein.
peter0815, die Höhe der Gehälter sind keine geheimen Daten und eine Offenlegung ist rechtlich i.d.R. i.O..
Völliger Unsinn! Solche grundfalschen Aussagen degradieren das Blog zu einem Altherrenforum, in dem jeder mal drauf los fabuliert, und beschädigen seine Funktion als verlässliche Quelle für die interessierte Öffentlichkeit, Fachpublikum und Journalisten der Tages- und Wochenpresse.
Die datenschutzechtliche Einordnung von Lohnabrechnungen ergibt sich aus (1).
_
(1) https://www.proliance.ai/blog/datenschutz-bei-der-gehaltsabrechnung
Das ein Schaden entsteht, habe ich auch so nicht postuliert (muss im Einzelfall geprüft und ggf. gerichtlich festgestellt werden). Trotzdem ist es ein DSGVO-Vorfall, der sich mit Verschwiegenheitspflicht nicht heilen lässt. Als Mandant wäre ich angepisst, wenn meine Daten in fremde Hände gelangen, ich nicht informiert werde und es später herausfinden würde. Transparenz und Meldung ist das, was passieren muss. Von der Datenschutz-Aufsicht wird da (nach meiner aktuellen Sichtweise) nicht viel an Sanktionen kommen – und Schadensersatzpflichtig im Sinne der DSGVO ist es vermutlich auch nicht (solange es nur Steuerberater betrifft – problematischer könnte es bei Firmen werden).
Warum ich das Thema aber aufgreife: So etwas kann vorkommen, aber es wird mir viel zu wenig hinterfragt, wie wir die IT-Architekturen aufbauen. Es müsste eine Architektur her, dass so ein Fall per se nicht auftreten kann – z.B. Verschlüsselung der Probeabrechnungsaufträge. Wird ein falscher Mandant zugeordnet, könnte die Kanzlei den Datensatz nicht lesen, weil sie nicht den benötigten Schlüssel hat.
Warum das relevant ist? Ich hatte 2023 im Beitrag Sind Zwischenfälle in Exchange Online mit Offenlegung von Daten DSGVO-meldepflichtig? den Fall aufgegriffen, dass Microsoft Nutzer bzw. Administratoren Daten von fremden Tenants sehen konnten.
– Was, wenn Fremde auf deine E-Mails oder sensible Produktionsdaten zugreifen können?
– Was, wenn so etwas bei deiner Bank passiert und Du ein fremdes Konto sehen kannst?
– Was, wenn Du einen Steuerbescheid einer fremden Person bekommst und das FA bei dir dessen Steuerschuld abbucht?
Ich habe gestern nach einer Lesermail die Presseabteilung eines großen deutschen Versicherers kontaktiert und um Kontaktaufnahme von dessen Datenschutzbeauftragtem gebeten. Der Leser bekommt seine Versicherungsdaten bei der DSGVO-Auskunft nicht angezeigt, erhält andererseits aber Versicherungsunterlagen für ein Fahrzeug, was ihm nicht gehört etc. Versuch einer Klärung: Schwierig. Ich habe der Presseabteilung des Unternehmens den Ball gespielt – wenn die binnen 14 Tagen nicht reagieren, geht der Fall an die Landesdatenschutzaufsicht.
Die Traufnasen in den Führungsebenen träumen von KI-Agenten, die den Job der Sachbearbeiter erledigen. Was kann da schon schief gehen, wenn wir solche IT-Architekturen wie oben bei DATEV skizziert haben, wo solche Verbuxelungen stattfinden können? Einfach über den Schüsselrand denken – der Blog ist ja nicht für Steuerberater, sondern IT-Mitarbeiter und soll auch in Beiträgen wie diesen für solche Fälle sensibilisieren.
Eine Verschlüsselung hilft aber nicht gegen Programmierfehler.
Denn einen Schlüssel muss es immer geben, auch auf Server Seite.
Meine Meinung zur DSGVO hab ich oft genug kundgetan.
Ein Software Fehler, da kann man nix machen.
Zu: "Ein Software Fehler, da kann man nix machen." – doch, kann man. Wenn ich als Nutzer einen Schlüssel habe, der nur zu einem Gegenstück auf dem Server passt, kann nur ich diese Daten entschlüsseln. Wenn bei der Implementierung auf dem Server dann darauf geachtet wird, dass alle Daten eines Nutzers in einer gesicherten Umgebung an diesen Schlüssel gebunden bleiben, sollte so etwas nicht vorkommen. Aber vielleicht denke ich mal wieder zu kompliziert …
"Ein Softwarefehler, da kann man nix machen" ist ein FeFe Zitat, weil diese Ausrede immer gerade in den normalen Nachrichten kommt.
Zu deinem Schlüssel.. das würde nur funktionieren wenn die Cloud einfacher Speicherplatz wäre. Aber das ist sie nicht. Dort sollen ja Dinge passieren. Dadurch braucht die Cloud Zugang zu den Daten, um eben Dinge zu machen.
Dadurch ist nur eine Autorisierung möglich, aber nie eine echte Verschlüsselung.
Und es ist natürlich nicht so, dass jeder Kunde dort eine Server Instanz hat, wozu auch. Technisch macht das ja keinen Sinn. Viele Kunden machen gefühlt 1-2 Aufrufe pro Monat.
Aber das spielt keine echte Rolle. Denn am Ende muss eine Software auf Seiten von DATEV entscheiden wohin welche Aufruf gehört. Wie das dann genau im Backend gemacht wird ist egal.
Es reicht wenn diese Software die die Zuteilung macht einen Fehler hat. Was sie offenbar hatte.
Offenbar gibt es kein echtes End-to-End Testing bei DATEV, ansonsten wäre das vor dem Release aufgefallen.
Aber das Testen von Software ist leider immer noch ein völlig ungelöstes Problem.
Zu "Ein Softwarefehler, da kann man nix machen" ist ein FeFe Zitat -> ok, kannte ich zwar, war mir aber nicht bewusst, dass Du darauf anspielst – sorry – nehme alles zurück. Inzwischen ist mir durch weitere Kommentare klar, wie die DATEV vorgeht. Hier müsste imho organisatorisch sichergestellt sein, dass solche Fälle nicht auftreten. Im aktuellen Fall kam wohl vieles zusammen: Weihnachtspause, wo viele Mitarbeiter vielleicht noch in Urlaub sind, technische Probleme mit Probeabrechnungen wenige Tage vor dem Stichtag 10. Tag im Monat zur Abgabe der Lohnsteuermeldungen, und dann ein wilder Workaround der verbliebenen Mannschaft, um irgend etwas zu retten.
Aber Leidtragende sind jetzt die betroffenen Mitarbeiter sowie die Kanzleien sowie Firmen, die DATEV LODAS nutzen und jetzt über einen DSGVO-Vorfall informieren müssen.
Es ist am Ende ein Qualitätssicherungs Problem.
Zu Verschlüsselung: natürlich funktioniert das mit assymetrischer Verschlüsselung
Wie es aber technisch dort aussieht, weiß nur die IT der Datev.
Nein
Was soll das bringen, wenn jemand Verträge falschen Versicherten warum auch immer explizit zugeordnet hat?
Dass man seine Daten in der DSGVO-Auskunft so wie sie gespeichert und nicht wie sie richtig sind mitgeteilt bekommt ist dann normal. Sind ja derzeit so dort gespeichert.
Wenn es dumm läuft werden hoffentlich nur zwei Fahrzeuge wegen fehlendem Versicherungsschutz still gelegt. Dann stimmen aber immerhin die Daten wieder ;)
Datenschutzbeauftrage von Versicherung oder gar Land sind hier eher die falschen Ansprechpartner. Normalerweise ist das der Makler des Versicherungsabschlusses oder notfalls dessen Datenschutzbeauftragter, da in der Regel eigenständige Unternehmen.
Der Buchbinder Wanninger lässt immer wieder nach Abschlüssen über Onlineportale als Makler grüßen, wo schief gegangen ist was schief gehen kann: "Da san ma ned zuständig."
Aber sind die derzeitigen dressierten Call Center Äffchen häufig in Subsubunternehmen wirklich besser als KI-Agenten? Wird man sehen müssen, sollte das je kommen.
Die es mit KI-Agenten bereits ausprobiert haben, haben es alle bisher recht schnell wieder sein lassen. Und das waren Firmen wie Klarna, die schon zuvor überhaupt keinen Kundenservice hatten.
Wenn jemand KI-Agenten seinen Kunden zumutet, kann man nur möglichst schnell seine Verträge dort kündigen. Mehr kann man nicht.
Merkwürdige Ansichten.
Nach den ersten drei Absätzen habe ich aufgehört zu lesen. Für mich sind das nur Worthaufen. Können Sie erklären, worauf Sie Bezug nehmen und versuchen, irgendwie doch noch eine Sinnhaftigkeit herzustellen?
Das stimmt so nicht ganz. Nicht alle, die LODAS nutzen, sind Kanzleien. LODAS wird auch von Mandanten direkt sowie von weiteren Unternehmen eingesetzt, die ihre Lohnabrechnungen darüber abwickeln. Daher kann man nicht pauschal davon ausgehen, dass überall eine gesetzliche Verschwiegenheitspflicht wie bei Steuerberatern oder Rechtsanwälten greift.
Dann bin ich mal gespannt ob die DATEV ihrem Anspruch gerecht wird und den Vorgang transparent und korrekt aufarbeitet und meldet.
https://www.datev.de/web/de/berufsgruppenuebergreifend/ueber-datev/datenschutz-und-compliance
Open Data ist doch ein cooles Feature von DATEV.
Klingt gut, lässt sich da was mit KI machen und das dann kostenpflichtig vermarkten ;-).
Aah, die DATEV: Ein Quasimonopolist, der sich mangels Mitbewerbsdruck seit Jahren einen Schnitzer nach dem anderen erlauben kann, ohne vom Markt abgestraft zu werden. Wer beruflich in Sachen IT mit denen zu tun hat, dürfte über die seit langem nachlassende Qualität in IT-Fragen nicht überrascht sein.
Die fehlende Qualitätssicherung bei Partner-Dienstleistern durfte hier vor einiger Zeit im Blog dank erheblicher Auswirkungen auch schon bestaunt werden.
wird sie nicht tun, wieso auch, bei der DATEV ist seit 2015 der Kurs eingeschlagen worden, Schuld sind immer die Berater.
DSGVO ist ein Thema, aber auch ein Thema ust tatsächlich, dass Montag die Lohnsteuer angemeldet sein muss und Steuerberater haben in der Regel gut zu tun, so dass einige Stunden unmittelbar vorm Steuertermin wieder einmal von den Beratern aufgefangen werden müssen.
P.S.
Lodas ist offiziell keine Cloud Anwendung, es ist eine altmodische Rechenzentrumsverarbeitung. klingt wie das gleiche, ist es aber nicht. Denn Lodas hat ein eigenes Programm, eine eigene Oberfläche und läuft nicht im neuen Cloud RZ der DATEV.
Danke zu den LODAS-Insights – ich habe von dem DATEV-Zeug Null Ahnung. Aber vom Anwendergesichtspunkt ist es egal, ob es im DATEV-Rechenzentrum, oder in einem Rechenzentrum eines Cloud-Anbieters liegt – oder habe ich was übersehen?
Jein, altmodische Rechenzentrumsanwendung bei LODAS meint:
Lokale IT Infrastruktur, die natürlich auch in der Cloud liegen kann, aber definitiv nicht muss (Windows Server + MS SQL Server, Windows Clients, oft Terminalserver). Mitarbeiter geben Daten ins Programm und damit die lokale Datenbank ein. Dann werden Abrechnungsaufträge über eine verschlüsselte Verbindung (abgesichert über Smartcard) ins DATEV Rechenzentrum in die Warteschlange geschickt und nach Berechnung/Verarbeitung durch den Großrechner zum Kanzleiserver rückübertragen. Kostenpflichtig wie alles. ;)
Warum das heute von der Architektur her noch immer so wie vor 60 Jahren gemacht wird? Gute Frage, nächste Frage.
Auch die Unternehmen ohne Steuerberater, die über die DATEV-Programme ihren Lohn verarbeiten, konnten fremde Probe-Lohnabrechnungen einsehen.
Das betrifft somit nicht nur die von der (beruflichen) Verschwiegenheit verpflichteten Steuerberater, somit alle Nutzer des Programms. So zumindest lt. Forum.
Immerhin ist die Störung mittlerweile behoben, hoffentlich. Nun Wochenendschicht einlegen :D
Gab es deshalb heute noch eine Benachrichtigung von Arbeitnehmer online über ein neues Dokument? Habe noch nicht rein geschaut, da das idR. Zum 1. Eines Monats kommt und auch kam.
Nein, das wird bei dir vermutlich eher eine Jahresmeldung oder ähnliches sein.
Vom Lodas Probeabrechnungsproblem bin ich / mein AG auch betroffen. Meine Kollegen haben ebenfalls Probeabrechnungen fremder Firmen erhalten.
Ich habe es in obigem Artikel am Ende nachgetragen – bezüglich der DSGVO-Meldepflicht ergeben sich interessante Zuständigkeiten (ist mir beim Schreiben des Artikels für Golem erst so richtig klar geworden). Für die DSGVO ist das Unternehmen zuständig, für dessen Mitarbeiter die Lohnabrechnung erfolgt. Das Unternehmen überträgt (sofern es LODAS nicht selbst nutzt) diese Aufgabe an eine Steuerberater-Kanzlei. Diese lässt die Proberechnung vor der Meldung über LODAS im DATEV-Rechenzentrum erstellen. DATEV ist auch nur Auftragsverarbeiter.
Nun kommt die Verantwortlichkeitskette: DATEV ist kein DSGVO-Verantwortlicher, sondern Auftragsverarbeiter. Die DATEV meldet den Vorfall an seine Kunden (Steuerberater-Kanzleien und ggf. LODAS-Kunden in Unternehmen). LODAS wird nur für große Mandate empfohlen. Die Kanzlei muss dann ihre Mandanten informieren, fungiert mutmaßlich auch nur als Auftragsverarbeiter. Am Ende der Kette liegt die Verantwortung beim Unternehmen, welches seine Mitarbeiter und die Aufsichtsbehörden informieren muss.
Ob das mal gut geht? Ich denke an "stille Post", wo die Übermittlung die seltsamsten Ergebnisse ergibt.
Nach gängiger Auffassung sind Steuerberater keine Auftragsverarbeiter da sie eigenverantwortlich als Freiberufler handeln.
Im Bereich der Lohnabrechnung kann bzgl. der SV eventuell auch eine andere Auffassung vertreten werden.
Wenn DATEV alles auf Cloud umgestellt hat, dann wird es genauso gut wie Qualität, Datenschutz und Sicherheit bei Microsoft…
Lernen wird man daraus wieder nichts, der Wille zur Cloud kommt ja scheinbar nur von ganz oben… nicht von den Genossen..
Danke für die Einschätzung zum Thema "Steuerberater und Auftragsverarbeitung".
Betr. "Nach gängiger Auffassung sind Steuerberater keine Auftragsverarbeiter da sie eigenverantwortlich als Freiberufler handeln.":
Mitnichten gängige Auffassung sondern gesetzlich festgeschrieben! Siehe § 11 StBerG (1) Absatz 2, Satz 2: " … sind bei Verarbeitung sämtlicher personenbezogener Daten ihrer Mandanten Verantwortliche gemäß Artikel 4 Nummer 7 der Datenschutz-Grundverordnung (EU) 679/2016" – mithin keine Auftragsdatenverarbeiter.
_
(1) https://dejure.org/gesetze/StBerG/11.html
Betr. "Jetzt geht die Diskussion los, wer verantwortlich ist und wer eine DSGVO-Meldung an die Datenschutzaufsicht machen muss.":
Als potentiell betroffener Kanzleikunde kann ich mich an die vorliegend zuständige Datenschutz-Aufsichtsbehörde, das Bayerische Landesamt für Datenschutzaufsicht wenden. Im einschlägig zu verwendenden Meldeformular https://www.lda.bayern.de/de/beschwerde.html ist festgehalten, dass nachvollziehbares Darlegen nicht Voraussetzung ist, um die Eingabe als Kontrollanregung zu platzieren.
Wer lieber von Pontius zu Pilatus wandelt, bis oben angesprochene Diskussion abgeschlossen ist, möge dies tun.