Datenpanne bei DATEV Lohnabrechnungen – DS News KW 03/2026

Transkript zur Folge:

Herzlich willkommen zum Datenschutz-Talk, eurem wöchentlichen Datenschutz-Update der Migosense.
Wir starten heute wieder gemeinsam mit euch ins Wochenende. Heute ist Freitag, der 16. Januar 2026.
Unser Redaktionsschluss, wie gehabt, um 10 Uhr. Mein Name ist Heiko Gossen und
an meiner Seite begrüße ich recht herzlich David Schmidt. Hallo David.
Hallo Heiko.
David, wir haben gerade schon mit den Sätzen festgestellt, der Januar ist schon wieder halb rum.
Aber das bedeutet natürlich auch, wir haben wieder ein paar Themen gesammelt.
Was hast du heute alles mitgebracht?
Ich habe heute eine Rubrik, die ich als aktuelles aus den Aufsichtsbehörden
zusammenfassen würde. Ich berichte über einen Vorfall bei DATEV.
Ich habe ein Bußgeld aus Frankreich mitgebracht und einen Lesetipp.
Wie sieht es bei dir aus, Heiko?
Ich würde heute ein Thema zum § 8 T3DG mitbringen.
Es geht nämlich um Spionage-Hardware.
Dann gucken wir auf ein paar Pressemitteilungen des BSI zum Thema Digitale Souveränität
in Deutschland und ein Vorlageverfahren rund um das Thema Google Fonds Abmahnwelle,
wo der BGH dem EuGH nun ein paar Vorlagefragen geschickt hat.
Das wären so meine Themen.
Bevor wir aber einsteigen,
Ich würde mit Blick auf das Datum Mitte Januar, und ich hatte das ja schon angekündigt,
in unserer ersten Folge, am 2.
Januar, dass wir versuchen natürlich ein bisschen Ersatzprogramm zu schaffen
für unseren ausgefallenen Jahresrückblick, den großen Menschenbilder-Datenschutz,
unsere große Silvester-Show.
Die Erfolgsaufsichten sind gut.
Es wird am Wochenende einen ersten Teil eines kleinen Jahresrückblicks geben,
Und zwar hatte ich das Vergnügen mit Christina Rost, der Landesdatenschutzbeauftragten
in Sachsen-Anhalt, schon mal zu sprechen.
Und dort haben wir mal einen Blick gewagt, wie sich das letzte Jahr in Sachsen-Anhalt dargestellt hat.
Aber was ich auch sehr spannend fand, wir haben auch darüber gesprochen,
wie sich denn überhaupt nach so vielen Jahren Vakanz dieser Stelle die Lage
in Sachsen-Anhalt dargestellt hat. wie Frau Rost überhaupt dahin gekommen ist,
wie sich das so ergeben hat.
Ich finde es eine interessante Folge, von daher bleibt am Wochenende wachsam.
Es wird dann noch neuen Input hier auf dem Kanal geben.
Ja, das klingt spannend. Das sind ja nochmal zusätzliche Insights.
Absolut. Und das sind ja auch Dinge, die man sonst so gar nicht mitbekommt.
Wie wird eigentlich so eine Stelle eines Landesdatenschutzbeauftragten besetzt?
Und ja, da hat Frau Rost doch mal das erzählt. Das fand ich ganz nett.
Dann starten wir mit Bettina Geig.
Die Landesbeauftragte für Datenschutz in Nordrhein-Westfalen hat nämlich auch
die Gelegenheit genutzt, um auf das vergangene Jahr zurückzublicken.
Das Ganze in Form eines Interviews, das auf der Webseite ihrer Behörde veröffentlicht
wurde. Insgesamt fällt ihr Urteil allerdings eher kritisch aus.
Frau Geig warnt vor einer zunehmenden Erosion von Bürgerrechten durch übereilte
Gesetzgebung auf Landes-, Bundes- und EU-Ebene,
welche den Sicherheitsbehörden weitreichende Kontrollbefugnisse und den Einsatz von KI zuspricht.
Gleichzeitig sei auch in der von ihr geleiteten Behörde ein enormer Anstieg
von Beschwerden zu verzeichnen gewesen, der auf seine Kapazitätsgründe,
auf seine Kapazitätsgrenzen stößt. Ähnliches hatten wir auch letzte Woche schon
aus anderen Behörden berichtet.
Und auch die Zentralisierungsbestrebungen der Aufsichtsbehörden sieht Frau Geig eher kritisch.
Sie befürchtet, dass diese die bürgernahe Beratung gefährden könnten.
Und Stichwort Zentralisierung, der Vorsitz der Datenschutzkonferenz,
also von dem Gremium, in dem sich die verschiedenen Behörden derzeit abstimmen,
um auf eine einheitliche Rechtsanwendung hinzuwirken,
wird dieses Jahr von Prof. Dr.
Tobias Keber, dem baden-württembergischen Landesbeauftragten für Datenschutz, übernommen.
Als zentrales Ziel seiner Amtszeit hat er sich auf die Fahne geschrieben,
die Anpassung an neue europäische Digitalgesetze durch praxisnahe Hilfestellungen. Wir sind gespannt.
Herzlichen Glückwunsch an dieser Stelle, Professor Keber.
Freut uns sehr und sind natürlich auch gespannt, was wir dann noch alles zu hören bekommen.
Ich hatte schon angekündigt, es geht ein bisschen um Spionage-Hardware.
Das Verwaltungsgericht Köln hat entschieden, dass ein vernetzter Futterautomat
mit Kamera und Mikrofon nicht als getarnte Spionagetechnik unter das Verbot des § 8 TDDDDG fällt.
Das Verwaltungsgericht Köln hat am 22.
Dezember letzten Jahres das Verkaufsverbot eines Haustierfotoautomaten mit integrierter
HD-Kamera und Mikrofon aufgehoben, weil das Gerät nach Auffassung des Gerichts
keine verbotene Überwachungsanlage darstelle.
Denn im Zentrum der Entscheidung stand die Auslegung des Begriffs verkleidete
Telekommunikationsanlage, so heißt es nämlich wortwörtlich im Paragrafen 8.
Das Gericht stellte klar, dass ein Gerät nämlich nur dann unter das Verbot fällt,
wenn seine Aufnahmefunktionen nach außen nicht erkennbar sind und das Gerät
objektiv den Eindruck eines unverdächtigen Alltagsgegenstandes ohne solche Funktionen vermittle.
Entscheidend ist dabei, ob Dritte, also unbeteiligte, berechtigterweise mit
einer Aufnahmefunktion rechnen müssten oder nicht.
Und jetzt wird es interessant, weil bisher würde ich sagen, naja, so ein Fotoautomat.
Erfüllt das ja eigentlich, aber laut Gericht reicht es dann nicht aus,
dass das Gerät technisch in der Lage ist, unbemerkt aufzunehmen,
sondern maßgeblich ist, ob der Hersteller oder Vertreiber erkennbar beabsichtigt
hat, die Anlage gerade zum heimlichen Aufnehmen in Verkehr zu bringen.
Und da der Automat hier einem klar kommunizierten Zweck dient,
nämlich der Tierüberwachung, sieht er das als nicht gegeben.
Ausgangspunkt war die Untersalungsverfügung der Bundesnetzagentur gegen ein Unternehmen,
das diesen smarten Futterautomaten mit Kamera und Mikrofon vertrieb und die
Behörde dementsprechend natürlich dann auch ein Verbot im Ende ausgesprochen
hat, nachdem einige Verhandlungen über Kennzeichnungen und so weiter nicht erfolgreich waren.
Daher forderte dann auch die Bundesnetzagentur, Plattformen wie Amazon auf,
das Produkt aus dem Sortiment zu nehmen.
Jetzt ist er am Ende in einem Eilverfahren vor dem VG Köln gelandet und ich
fand, wie gesagt, interessant, dass es hier auch auf die Absicht des Herstellers ankommt.
Also man hat das natürlich, wir kennen diese Themen ja zum Beispiel aus Spielzeug,
also einer Puppe, die dann eine Kamera im Auge verbaut hat.
Also da gilt es ja mittlerweile als, glaube ich, anerkannt, dass das dann eine
verdeckte Anlage ist, wenn die dann auch entsprechend aufnehmen kann und funken kann.
Aber hier hat man das offenbar nicht so gesehen. Wie schätzt du das ein, David?
Wenn du irgendwo zu Besuch bist, erwartest du in Futterautomaten immer Kamera und Mikrofon?
Nee, ich erwarte nur, dass der gut gefüllt ist mit Snacks, aber nicht,
dass der mich beobachtet und abhört.
Aber ich finde es tatsächlich super interessant, was du gesagt hast.
Also auch, dass eben auf diejenigen, die an diesem Automaten vorbeikommen, abzustellen ist.
Und ich muss auch zugeben, dass ich jetzt den Paragraf 8 T3DG so direkt gar
nicht auf dem Schirm hatte.
Ich glaube, es ist auf jeden Fall ein Thema, wenn man solche Dinge in Verkehr
bringt, wo Kamera und Mikrofon eingebaut ist, sollte man sich damit auf jeden
Fall beschäftigen und damit man keine bösen Überraschungen erlebt.
Beim Nürnberger IT-Dienstleister DATEV kam es 8.1. zu einer gravierenden Datenpanne.
Während einer Fehlerbehebung im LODAS-Lohnabrechnungssystem wurden Probeberechnungen
versehentlich an die falschen Mandanten verschickt und deren Mitarbeitern zugänglich gemacht.
Also mit anderen Worten konnten Mitarbeiter in ihrer Abrechnung die Daten von
Mitarbeitern anderer Unternehmen sehen, was natürlich alles andere als schön ist.
Dies umfasste, wie wir es kennen aus einer Lohnabrechnung, die Daten,
Namen, Anschriften, Sozialversicherungsnummern und auch die Gehaltsinformationen. Dateninformationen.
DATEV hat die Lücke inzwischen geschlossen und die bayerische Aufsichtsbehörde
über den Vorfall informiert.
Zwar bestehen bisher keine Hinweise auf einen Missbrauch der Daten und diese
gingen ja in Anführungsstrichen ja auch nur an Mitarbeiter von Unternehmen,
die ebenfalls das Lodas-Lohnabrechnungssystem von DATEV nutzen.
Dennoch rät DATEV den betroffenen Kunden, ihre Beschäftigten über diesen Vorfall zu informieren.
Ich gehe davon aus, dass das meistens im Rahmen der Auftragsverarbeitung erfolgt.
Von daher ist es ja auch richtig, dass dann die Unternehmen die Risiken abwägen
und entscheiden, ob eine Benachrichtigungspflicht dann besteht.
Grundsätzlich müsste, wenn ich jetzt im Rahmen der Auftragsverarbeitung bin,
ja eigentlich jedes Unternehmen das auch nochmal ihrer Aufsichtsbehörde melden.
Hast du dazu was gefunden, ob es da Aussagen gibt, dass andere Aufsichtsbehörden
da jetzt auf eine Meldung verzichten würden, weil das schon in Bayern gemeldet wurde?
Tatsächlich nicht. Wir haben über den Vorfall erfahren aus einem Heise-Artikel
und da stand tatsächlich nichts
dazu, ob jetzt diejenigen auch ihre Aufsichtsbehörden informiert haben.
Aber wie du sagst, das müsste ja eigentlich auf jeden Fall passieren.
Und wir sind ja hier wahrscheinlich sogar im 34, auf den DATEV hier auch nochmal
ausdrücklich hinweist, nachdem die verantwortlichen Unternehmen ihre Beschäftigten verfolgen.
Auch über den Vorfall zu informieren hätten.
Genau, also Lohnabrechnung dürfte die Meldung an die Aufsichtsbehörde für den
Verantwortlichen eigentlich nach 33 wahrscheinlich gegeben sein, so aus dem Bauch heraus.
Und wie du schon sagst, wahrscheinlich sogar 34. Da würde ich jedem empfehlen,
jedem Unternehmen, das Lodas einsetzt, sei es selbst oder vielleicht auch über den Steuerberater,
da nochmal zu schauen, wie letztendlich dann auch die Risikoeinschätzung ausfällt
und ob man auch die Betroffenen informiert. Gehen wir weiter.
Das Bundesamt für Sicherheit in der Informationstechnik, kurz BSI,
setzt auf Partnerschaften mit JONOS und AWS, um die Cloud-Souveränität in Deutschland zu stärken.
Das Bundesamt für Sicherheit in der Informationstechnik hat am 13.
Und 15. Januar die entsprechenden Kooperationen geschlossen bzw.
Die Pressemitteilungen veröffentlicht.
Dort geht es, wie gesagt, um digitale Souveränität in Deutschland.
Mit Amazon Web Services habe das BSI einen Rahmen zur Entwicklung und Anpassung
von Standards und Validierungsprozessen für Cloud-Umgebungen verabredet,
die ursprünglich für On-Premise-Systeme konzipiert waren.
Also da möchte man Sicherheit schaffen für entsprechende Systeme und Umgebungen.
Beide Partner hätten die Förderung digitaler Freiheit in Deutschland und der
Europäischen Union zum Ziel, so erklärt das BSI.
Und mit Jonas geht es um den Aufbau einer Private Enterprise Cloud für die Bundesverwaltung,
in der dann sensible Verwaltungsdaten unabhängig vom osteuropäischen Infrastrukturen
verarbeitet werden sollen. können.
Beiden Partnerschaften, das dem BSI wichtig haben oder legen den Rechtsrahmen
auch für den Austausch von hochvertraulichen Informationen,
was dem BSI natürlich dann auch entsprechende Prüfungen ermöglicht und von daher
glaube ich auch ein positives Signal.
Ja, sehe ich auch so. Also ich bin
Nach wie vor großer Fan davon, dass wir in Europa ein bisschen autonomer werden,
was die Cloud-Strukturen angeht.
Und manche sagen ja, der Zug ist abgefahren. Aber ich glaube nicht.
Ich glaube, dass das eine Ausrede ist und dass wir da auf jeden Fall Nachholbedarf
haben und da auch noch aufholen können.
Die französische Aufsichtsbehörde KNIL hat gegen den Mobilfunkprovider Free
wegen einer Vielzahl von datenschutzrechtlichen Verstößen ein Bußgeld in Höhe
von 42 Millionen Euro verhängt.
Dies ist das Nachspiel eines verheerenden Cyberangriffs, dessen Ziel Free Oktober 2024 wurde.
Damals konnten Cyberkriminelle eine Vielzahl von Kundendaten erbeuten.
Die Knüll untersuchte dann den Nachgang, die Attacke bzw.
Die Sicherheitsvorkehrung, die Free eingerichtet hatte und befand diese in Anbetracht
der Menge und der Sensibilität der Daten als insgesamt unzureichend,
was den Angriff überhaupt erst in dieser Form ermöglichte.
Danach war insbesondere die Absicherung der VPN-Zugänge, über die sich Mitarbeiter
aus dem Homeoffice einwählen, unzureichend.
Zudem waren die Systeme zum Erkennen ungewöhnlichen Verhaltens veraltet und
nicht so eingestellt, dass der massive Datenabfluss rechtzeitig hätte gestoppt werden können.
Darüber hinaus kritisierte die Behörde die Krisenkommunikation von Free gegenüber
den Betroffenen als intransparent und fand im Rahmen der Untersuchungen eine
Vielzahl archivierter Datensätze,
die schon vor Jahren hätten gelöscht werden müssen.
Alles nicht schön und ich glaube dann, wenn man die Behörde einmal im Haus hat,
dann kommt auch schnell eins zum anderen.
Absolut. Das ist natürlich ein ordentliches Bußgeld, wenn man überlegt,
dass man dann auch natürlich Kosten durch so einen Cyberangriff hat,
die sicherlich in der Höhe auch lagen, vielleicht sogar höher.
Ich weiß es natürlich nicht.
Aber das ist dann unterm Strich schon eine ordentliche Quittung, die man da bekommt.
Ja und erwähnenswert ist dir vielleicht auch noch, dass die Knill in dieser
Tiefe untersucht hat, weil viele sich beschwert haben und viel Druck von Betroffenen kam.
Nachvollziehbar, ne? Ist ja bei uns auch nicht anders.
Doch, wenn wir im Rahmen, wenn unsere Kunden mit einem Dienstleister,
wenn dann Auffälligkeiten erstmal auftreten, dann wird man halt hellhörig.
Ich habe es aber heute auch nicht mit den Worten.
Man wird hellhörig und dementsprechend nachvollziehbar, dass es dann auch in
eine tiefere Prüfung geht.
Und dann, klar, irgendwas findet man immer, wenn man möchte.
Die Google-Fonds-Abmannwelle ist nun beim EuGH gelandet.
Der BGH möchte klären lassen, ob dynamische IP-Adressen immer personenbezogene
Daten sind und ob mit provozierten Verstößen auch entsprechend ein Datenschutz-Schadensersatz
geltend gemacht werden kann.
Der BGH hat dazu nun drei Vorlagefragen an den EuGH gerichtet,
um das Thema, das wir auch alle kennen,
mit den Abmahnwellen, die wir hier auch schon öfters darüber berichtet haben,
rund um das Thema Einbindung von Google Fonds auf eine dynamische Art und Weise.
Nun entsprechend vorliegen hat.
Die drei Fragen führen jetzt natürlich dazu, dass dieses Verfahren erstmal on
hold liegt, bis der EuGH diese Fragen beantwortet hat.
Konkret möchte er wissen, ob auch wenn die Daten an Google, zum Beispiel die
IP-Adresse dann an Google übermittelt wird und die theoretisch keine Möglichkeit
haben, die personenbezogenen Zuordnungen dahinter vorzunehmen,
ob es dann entsprechend genügt, dass das als dynamische IP-Adresse, als verkündete.
Personenbezogenes Datum gilt oder ob das nur für den Zugangsbieter als personenbezogenes
Datum dann einzuordnen ist.
Mit der zweiten Frage rückt der BGH den immateriellen Schaden in den Fokus.
Hier möchte er erklären lassen, ob ein Schadensersatzanspruch entstehen kann,
wenn der behauptete Kontrollverlust nicht zufällig passiert,
sondern bewusst provoziert wird, was ja bei diesen Abmahn-Themen im Hintergrund immer passiert.
Das betrifft natürlich besonders Konstellationen, in denen solche Seitenaufrufe
in großer Zahl automatisiert ausgelöst wurden, wovon man hier in dem Fall auch ausgeht.
Mit der dritten Frage zielt der BGH auf das Verbot des Rechtsmissbrauchs und
möchte klären lassen, ob ein Anspruch ausgeschlossen ist, wenn jemand die Voraussetzungen
für einen Anspruch künstlich schafft, um einen finanziellen Vorteil zu erzielen.
Also drei Fragen. Die erste Frage zu der IP-Adresse, ob die dynamische IP-Adresse
ein personenbezogenes Datum darstellt oder nicht, ist interessant.
Weil wir haben natürlich dazu Rechtsprechung, wir haben das Breyer-Urteil aus
2016, glaube ich, war das ja schon.
Und jetzt haben wir ja jüngst noch die Entscheidung zu SRB zum Thema Anonymisierung, Pseudonymisierung.
Ich habe es jetzt in der Tiefe tatsächlich nicht durchdringen können,
warum mit diesen beiden Entscheidungen die Frage noch nicht abschließend beurteilt
werden kann vom BGH, aber ich gehe mal davon aus, die werden das schon mit gutem Grund tun.
Von daher durchaus für mich nochmal zumindest persönlich, ein Thema,
was spannend ist, auch noch mal zu vertiefen.
Und ich glaube, die anderen beiden Fragen sind sicherlich auch sehr wichtig,
um zukünftige ähnlich gelagerte Fälle vielleicht auch damit zu
im besten Fall einhegen zu können. Denn ich glaube, da sind wir uns auch einig,
da hat am Ende nur die Abmahnindustrie was von.
In der Regel bei den Schadensersatzhöhen, wir sprechen ja da in der Regel irgendwie
um 100 Euro, ist da ja für den Betroffenen nicht wirklich viel zu holen und
ansonsten macht es Gerichten, Betroffenen, Unternehmen und so weiter eigentlich auch nur Arbeit.
Also ich hoffe ein wenig da drauf, dass der EuGH hier eine weise Entscheidung trifft.
Ja, ich glaube, da sind wir alle bei dir. Ich bin natürlich auch gespannt.
Also ich kenne mich jetzt nicht so mit Rechtsmissbrauch aus,
wie das in anderen Ländern gehandhabt wird.
Bei uns gibt es ja diese Generalklausel Treue und Glauben, auf die man sich beziehen kann.
Ich weiß nicht, ob es im europäischen Recht sowas gibt und ob der EuGH sowas
kennt. Ich weiß auch nicht, wie jetzt die Fragen formuliert sind.
Aber ich glaube, wir brauchen da halt unbedingt etwas vom EuGH zu,
an dem man sich dann orientieren kann, was mehr Rechtssicherheit schafft und
was dann du sagst, hoffentlich, dieser Abmahnindustrie einen Riegel vorschiebt.
So ist es.
Wir springen zum angekündigten Lesetipp und der kommt in dieser Woche vom hamburgischen
Datenschutzbeauftragten.
Dieser hat einen neuen Fragenkatalog zur Interessenabwägung veröffentlicht,
der dem Verantwortlichen als strukturierte Navigationshilfe bei der Anwendung
von Artikel 6 Absatz 1 Buchstabe F DSGVO dienen soll.
Die Orientierungshilfe richtet sich nach dem bekannten dreistufigen Aufbau,
wonach erstmal ein berechtigtes Interesse vorliegen muss,
die Verarbeitung zur Verfolgung dieses Interesses erforderlich sein muss und
im dritten Schritt die Interessen oder Grundrechte und Grundfreiheiten der betroffenen
Personen nicht überwiegen dürfen.
Dabei wird durch eine klare Schritt-für-Schritt-Anleitung, durch den Abwägungsprozess
und dessen Dokumentation geführt.
Das sei jedem fürs Wochenende oder für die nächste Woche ans Herz gelegen,
der noch kein entsprechendes Template hat oder der mit seinem bisher genutzten
Template noch nicht ganz zufrieden ist oder sich nochmal Input holen möchte.
Finde ich eine sehr wertvolle Hilfestellung. Ich habe jetzt selber noch nicht
reingeschaut, aber wir haben ja auch hier im letzten Jahr immer wieder betont
oder ich habe es zumindest immer wieder auch versucht,
dieses Mantra hier zu platzieren, dass wir beim berechtigten Interessen sehr
sorgfältig sein müssen,
sehr genau schauen müssen, dass die Erforderlichkeit gegeben ist,
die Dokumentation passt und so weiter.
Von daher ist das natürlich ein bisschen schwierig.
Wasser auf meine Mühlen. Ich glaube, das ist sehr hilfreich und von daher würde
ich mich dir anschließen und jedem empfehlen, da auf jeden Fall nochmal reinzuschauen.
Selbst wenn man mit seinem Template vielleicht zufrieden ist,
könnte es ja sein, dass man da nochmal einen guten Impuls rausziehen kann.
Also wir werden das auf jeden Fall tun. In diesem Sinne, David,
dir ganz herzlichen Dank.
Ich habe zu danken, hat wieder Spaß gemacht.
Geht mir genauso. Wir hoffen euch natürlich auch.
Und wenn dem so ist, dann bleibt uns auf jeden Fall treu.
Hört gerne in die Folge mit Christina Rost rein.
Es wird noch eine weitere kleine Jahresrückblick-Folge geben.
Die nehme ich nächste Woche auf. So viel schon mal als kleiner Spoiler.
Am Ende der Folge von Frau Rost erzähle ich auch, mit wem die nächste Folge sein wird.
Ansonsten schaltet hier nächste Woche zu unseren News auf jeden Fall wieder ein.
Da werden wir das nämlich auch entsprechend spoilern. Und in dem Sinne,
bleibt uns gewogen und auf bald.
Macht es gut.