Dr. Stoll & Sauer prüft DSGVO-Schadensersatz
Datenpanne bei DATEV: Probe-Lohnabrechnungen landen bei falschen Empfängern

Auslöser war nach heise online eine technische Störung beim Rückfluss von in DATEV-Rechenzentren erzeugten Probeabrechnungen am 8. Januar 2026, die anschließend durch eine Übergangslösung behoben werden sollte – mit gravierender Nebenwirkung: Dokumente wurden falschen Kunden zugeordnet.

Wesentliche Punkte aus den bisherigen Berichten:

• Betroffenes System: DATEV LODAS (Lohn- und Gehaltsabrechnung), insbesondere Probeabrechnungen zur untermonatlichen Qualitätskontrolle.
• Zeitraum: Störung ab Donnerstag, 8. Januar 2026; Workaround/Übergangslösung am Folgetag; nach DATEV-Angaben Behebung bis zum späten Freitagnachmittag, 9. Januar 2026.
• Art der Daten: Lohn- und Gehaltsdokumente enthalten u. a. Namen, Anschriften, Sozialversicherungsnummern und Verdienstdaten.
• Behörde informiert: Nach DATEV-Angaben wurde die zuständige Datenschutzaufsicht (BayLDA) informiert; betroffene Anwender seien unterrichtet worden.
• Zahl der Betroffenen: Weder DATEV noch die bisherigen Medienberichte beziffern öffentlich, wie viele Kanzleien/Unternehmen oder wie viele Arbeitnehmer tatsächlich betroffen sind; das Online-Magazin Golem berichtet, DATEV ermittle den Kreis der betroffenen Kunden.

Praktische Tücke: Wer eine „Fremd-Abrechnung“ erhalten hat, erkennt den Fehler sofort – aber das Unternehmen, dessen Daten unbefugt offengelegt wurden, erfährt davon nicht zwingend automatisch.

Warum die DATEV-Datenpanne datenschutzrechtlich heikel ist

Lohn- und Gehaltsdaten betreffen die Privatsphäre und die wirtschaftliche Situation der Arbeitnehmer unmittelbar. Deshalb ist die Schwelle zu einer meldepflichtigen Datenschutzverletzung regelmäßig schnell erreicht.

Wichtige Pflichten (allgemeine Einordnung):

• Meldung an die Aufsichtsbehörde binnen 72 Stunden nach Bekanntwerden, wenn ein Risiko für Rechte und Freiheiten besteht (Art. 33 DSGVO).
• Information betroffener Personen, wenn ein hohes Risiko besteht (Art. 34 DSGVO).

Aus Sicht von Dr. Stoll & Sauer entlastet der Hinweis „keine Hinweise auf Missbrauch“ nicht automatisch: Maßgeblich ist bereits die unbefugte Offenlegung und das daraus folgende Risiko.

Informieren Sie sich schnell und sicher. Geben Sie zur Erstellung Ihres persönlichen Zugangs Name, E-Mail-Adresse und Telefonnummer ein. Nach der Registrierung werden alle weiteren Schritte auf unserem abgesicherten Mandanten-Portal durchgeführt.

• Arbeitgeber/Personalabteilung schriftlich um Auskunft bitten, ob eigene Daten betroffen waren (und welche Datenkategorien).
• Mitteilung und Zeitpunkt der Kenntnis dokumentieren.
• Prüfen, ob eine Benachrichtigung erfolgt ist und welche Maßnahmen zum Schutz ergriffen wurden.
• Ansprüche auf DSGVO-Schadensersatz prüfen lassen, insbesondere bei nachvollziehbarer Belastung durch die Offenlegung von Gehaltsinformationen.

Dr. Stoll & Sauer bietet Betroffenen eine kostenlose Ersteinschätzung im DSGVO-Online-Check an.

Warum „Probeabrechnungen“ besonders viele sensible Daten enthalten

Probeabrechnungen dienen dazu, Änderungen an Abrechnungsparametern vor der finalen Lohnabrechnung zu kontrollieren. Sie sind deshalb häufig inhaltlich nahezu „vollwertig“ aufgebaut – und enthalten genau die Daten, die später auch in der endgültigen Abrechnung stehen.

Rechtliche Einschätzung: EuGH und BGH stärken Schadensersatz nach DSGVO

Bei Datenpannen können Betroffene unter Umständen immateriellen Schadensersatz nach Art. 82 DSGVO verlangen. Der EuGH hat im Urteil „Österreichische Post“ (C-300/21, Urteil vom 04.05.2023) klargestellt: Ein DSGVO-Verstoß allein genügt nicht, aber es gibt keine Bagatellgrenze – auch ein nicht erheblicher immaterieller Schaden kann ersatzfähig sein.

Für Datenleck-Fälle besonders wichtig ist zudem das EuGH-Urteil C-340/21 (Urteil vom 14.12.2023, „Natsionalna agentsia za prihodite“): Danach kann bereits die begründete Befürchtung eines Missbrauchs entwendeter Daten einen immateriellen Schaden darstellen; entscheidend bleibt die nachvollziehbare Darlegung im Einzelfall.

Der Bundesgerichtshof hat im Scraping-Komplex zu Facebook ebenfalls Leitlinien gesetzt: Schon der bloße (auch kurzzeitige) Verlust der Kontrolle über personenbezogene Daten kann einen immateriellen Schaden begründen (BGH, Urteil vom 18.11.2024, Az. VI ZR 10/24).

Betroffene des DATEV-Vorfalls sollten daher prüfen lassen, ob ein ersatzfähiger immaterieller Schaden vorliegt, ob Informationspflichten nach Art. 34 DSGVO erfüllt wurden und ob sich konkrete Ansprüche ergeben. Eine kostenlose Ersteinschätzung bietet Dr. Stoll & Sauer im DSGVO-Online-Check an.