Der Jahresstart 2026 war für viele Steuerkanzleien und Personalabteilungen alles andere als ruhig: Rund um das DATEV-Lohnsystem LODAS kam es Anfang Januar zu einer Störung – und in deren Folge zu einem Datenschutzvorfall, bei dem Probeabrechnungen zeitweise bei falschen Empfängern landeten.
Gerade weil Lohn- und Gehaltsdaten zu den sensibelsten Informationen eines Unternehmens gehören, stellt sich für Kanzleien und mittelständische Unternehmen jetzt vor allem die Frage: Was ist passiert – und was sollten Betroffene (und versehentliche Empfänger) jetzt konkret tun?
Wer ist DATEV – und warum spielt das für Kanzleien und Mittelständler so eine große Rolle?
DATEV eG ist ein genossenschaftlich organisiertes IT- und Softwareunternehmen mit Sitz in Nürnberg. Historisch ist DATEV eng mit dem steuerberatenden Berufsstand verbunden: Gegründet wurde die Genossenschaft 1966 von Steuerbevollmächtigten aus dem Kammerbezirk Nürnberg, um Buchführungsaufgaben gemeinschaftlich per EDV zu bewältigen. Heute bietet DATEV ein breites Portfolio an Software- und Cloud-Lösungen – insbesondere für Steuerberater, Wirtschaftsprüfer, Rechtsanwälte sowie deren Mandanten. Zudem betreut DATEV eine sehr große Kundenbasis (u. a. über 850.000 Kunden laut Unternehmensprofil).
Was ist LODAS?
LODAS ist ein DATEV-System bzw. -Modul für die Lohn- und Gehaltsabrechnung, das sowohl von Steuerkanzleien als auch von Unternehmen genutzt werden kann und im DATEV-Rechenzentrum läuft. In diesem können untermonatige Prüf- und Kontrollläufe (Probeabrechnungen) durchgeführt werden.
Was ist eine „LODAS Probeabrechnung“ – und wozu gibt es sie?
Eine Probeabrechnung ist vereinfacht gesagt ein Testlauf der Lohnabrechnung. Sie dient der Qualitätskontrolle, z. B. um Änderungen an Abrechnungsparametern (Ein-/Austritte, Einmalzahlungen, Steuer-/SV-Merkmale, Zeitwirtschaftsänderungen etc.) zu prüfen, bevor die finale Lohnabrechnung erstellt wird. Technisch ist der Ablauf so gedacht, dass eine Probeabrechnung im Rechenzentrum erzeugt und die Ergebnisse automatisiert (typischerweise innerhalb weniger Minuten) an den auslösenden Arbeitsplatz/Absender zurückübermittelt werden.
Was ist Anfang Januar 2026 passiert?
Nach übereinstimmender Berichterstattung begann am 8. Januar 2026 eine technische Störung, durch die Probeabrechnungen zwar im Rechenzentrum erstellt wurden, aber zunächst nicht mehr korrekt zurückkamen. Im Zuge eines Workarounds zur Störungsbehebung kam es dann zum eigentlichen Datenschutzproblem: Probeabrechnungen wurden falsch zugeordnet und landeten zeitweise bei fremden Auftraggebern/Mandanten.
Was sagt DATEV dazu?
Laut heise hat DATEV die zuständige Datenschutzbehörde informiert und auch betroffene Anwender benachrichtigt. Zudem hieß es, es gebe keine Hinweise auf Missbrauch und die Einsichtnahme habe sich auf den Kreis der DATEV-Auftraggeber beschränkt (mit berufsrechtlichen/vertraglichen Verschwiegenheitspflichten).
Warum ist das DSGVO-relevant?
Probeabrechnungen enthalten typischerweise hochsensible personenbezogene Daten (z. B. Name, Anschrift, Sozialversicherungsnummer, Vergütung). Entsprechend kann ein solcher Fehlversand die Schwelle zu einer meldepflichtigen Datenschutzverletzung überschreiten.
Wichtig für die Praxis: Die DSGVO nennt für die Meldung an die Aufsichtsbehörde grundsätzlich „möglichst binnen 72 Stunden“, nachdem die Verletzung bekannt wurde. Ob im konkreten Fall eine Meldung erforderlich ist, hängt von Risiko, Umfang und Umständen ab, und sollte mit dem Datenschutzbeauftragten bewertet werden.
Was sollten Empfänger falscher Probeabrechnungen jetzt tun?
Wenn Sie (Kanzlei oder Unternehmen) fremde Probeabrechnungen erhalten haben:
Nicht weiterverarbeiten / nicht weiterleiten
Keine Ablage in Mandantenakten, kein Upload in DMS, kein Versand per E-Mail, auch nicht „zur Sicherheit“.Zugriff sofort begrenzen
Dokument nur einem kleinen Kreis zeigen, keine Screenshots.Sicher löschen / vernichten
Elektronische Dateien löschen (inkl. Papierkorb/Download-Ordner). Ausdrucke sofort schreddern.Vorgang dokumentieren
Zeitpunkt des Erhalts, Art des Dokuments, wie viele Datensätze, ggf. Screenshot der Metadaten ohne Inhalte (falls für Beweissicherung nötig – mit Augenmaß).DATEV bzw. den „Absender-Kontext“ informieren
In der Praxis werden Betroffene laut Berichten ohnehin von DATEV kontaktiert – trotzdem: Falls möglich, den Vorfall über die vorgesehenen Support-/Sicherheitskanäle melden.
Was sollten betroffene Kanzleien und Unternehmen jetzt tun?
Wenn Sie LODAS nutzen (oder über die Kanzlei nutzen lassen) und vermuten, betroffen zu sein:
1) Interne „First Response“ starten
Incident verantwortliche Person benennen (IT + Datenschutz + Payroll).
Alle Hinweise sammeln: welche Probeabrechnungs-Läufe, welcher Zeitraum, welche Mandanten.
2) Auf DATEV-Informationen reagieren – aber nicht passiv bleiben
DATEV hat nach eigenen Angaben informiert und ermittelt weiterhin den Kreis der Betroffenen. Parallel sollten Sie intern vorbereiten: Kommunikationsbausteine, Ansprechpartner, Meldewege.
3) Rollen klären: Wer ist Verantwortlicher – wer Auftragsverarbeiter?
Typischerweise liegt die Verantwortlichkeit für Beschäftigtendaten beim Arbeitgeber, je nach Auslagerung kann die Kanzlei (und DATEV) als (Unter-)Auftragsverarbeiter eingebunden sein. Entscheidend ist die konkrete Vertrags- und Prozesslage.
4) DSGVO-Pflichten prüfen (72h-Frist im Blick)
Wenn eine meldepflichtige Verletzung vorliegt: Unverzügliche Meldung binnen 72 Stunden nach Kenntnis. Ob Betroffene (z. B. Beschäftigte) zu informieren sind, richtet sich nach Art. 34 DSGVO (hohes Risiko).
5) Betroffene informieren – strukturiert und faktenbasiert
Heise weist darauf hin, dass Kanzleien ihre Mandanten informieren müssen, und Unternehmen ggf. ihre Beschäftigten. Wichtig ist eine klare, ruhige Kommunikation: Was ist bekannt, was ist noch unklar, welche Maßnahmen wurden ergriffen, welche Risiken sind realistisch.
Einordnung: Was wir aus dem Vorfall lernen sollten
Der Vorfall zeigt (wieder einmal), dass Störungen und Workarounds ein reales Risiko für Datenschutz und Compliance sind, auch bei etablierten Anbietern. Entscheidend ist deshalb weniger ob, sondern wie gut Kanzleien und Unternehmen auf solche Situationen vorbereitet sind:
schnelle interne Eskalation
dokumentierte Melde- und Kommunikationswege
klare Rollen und Verantwortlichkeiten
saubere Nachweisführung (wer hat was wann erhalten/gelöscht)
