Einen aktuellen Status gibt es hier:

Störung bei der Probeabrechnung seit gestern 08.01... - DATEV-Community - 529803

Viele Grüße

Stefanie Herold

---

@T_Ahmad  schrieb:

... Zumindest sind die Daten nicht ungesichert im Netz gelandet, sondern vielleicht nur in der möglicherweise fragwürdigen IT-Infrastruktur einer Wald & Wiesen Kanzlei.

---

Das hört sich ein bisschen so an, als seien letztlich vielleicht noch die "Wald- und Wiesen-Steuerberater" [wer oder was auch immer das sein mag] die Doofen, weil sie vielleicht mit Daten nicht richtig umgehen, die Ihnen bei einer Datenpanne ungewollt(!) zugesendet worden sind!

Ein wenig anmaßend, finde ich!

Der Umkehrschluss ließe zu, bei dem betroffenen Datenverarbeiter von einem Wald- und Wiesen-Rechenzentrum zu sprechen....

---

---

Das hört sich ein bisschen so an, als seien letztlich vielleicht noch die "Wald- und Wiesen-Steuerberater" [wer oder was auch immer das sein mag]

---

... niemand

... außer vielleicht Herr 🦊  & Frau 🐰

@ Frau Herold

Ich habe jetzt für meine Meldung bei datenschutz@datev.de und soc@datev.de einen Servicekontakt bekommen.

Fragen?

- Muss ich die Meldung jetzt bezahlen?

- Soll ich jetzt auf Eilservice setzen?

- Soll ich jetzt auf Vertraulich setzen?

---

@Stefanie_Herold  schrieb:

Einen aktuellen Status gibt es hier:

Störung bei der Probeabrechnung seit gestern 08.01... - DATEV-Community - 529803

 

Viele Grüße

Stefanie Herold

---

Ja, herzliche Grüße auch.

Dann hat sich "Unsere Software mag Ihre Macken und notwendigen Würgarounds haben, aber dafür sind wir immer gesetzeskonform und legen höchsten Wert auf Datenschutz und Datensicherheit" auch erledigt.

Das ist dann die endgültige Ensh1t1fic4tion der Datev?

Frohes Neues.

Liebe Nina, meiner eigenen Erfahrung nach, sind Kanzleien die kleiner sind oft besser aufgestellt was die Prozesse und somit auch den Datenschutz angeht.
Ich stimme Dir voll zu!
Schönes Wochenende, trotz allem!

Wollt ihr mich **bleep**en? Probeabrechnung einer mir komplett fremden Beraternummer mit einem mir komplett fremden Unternehmen von heute Morgen 7:38 ?

Direkt Meldung DSGVO Verstoß?

Nein, wir sind selbstbuchende Mandanten und können das System genauso nutzen wie StB das tun. Entsprechend wäre es theoretisch möglich, das wir, wenn wir Daten zurückbekämen, auch Daten von anderen StB bekommen könnten.

Nun sind zwar unsere Mitarbeitenden ebenfalls mit einer deutlich "schärferen" DS-Klausel versehen, aber eben nicht durch eine Berufsverschwiegenheitsklausel.

Was m.E. aber nichts daran ändert, dass sich DATEV damit ein massives Problem eingehandelt hat.

---

@Nijkamp  schrieb:

 

Direkt Meldung DSGVO Verstoß?

---

Ich sehe da keinen Weg drumherum, wenn man betroffen ist.

Zumindest ist es in anderen sozialen Medien Thema.

Das Problem ist ja, dass keiner weiß, ob er betroffen ist. Weiß ich, ob meine gesendeten Probeabrechnungen bei einem anderen Berater/Unternehmen sichtbar geworden sind? - Nein. Dann kann nur das Unternehmen mit falschen Rückmeldungen diese Meldung vornehmen. (Was meines Erachtens durchaus gemacht werden sollte).

In welchen Medien ist es denn schon öffentlich? 

---

@mhaas  schrieb:

Das Problem ist ja, dass keiner weiß, ob er betroffen ist. Weiß ich, ob meine gesendeten Probeabrechnungen bei einem anderen Berater/Unternehmen sichtbar geworden sind? - Nein. Dann kann nur das Unternehmen mit falschen Rückmeldungen diese Meldung vornehmen. (Was meines Erachtens durchaus gemacht werden sollte).

---

Betroffene Mitglieder werden informiert:

---

@MMueller0208  schrieb:

In welchen Medien ist es denn schon öffentlich? 

---

LinkedIn auf alle Fälle

Wir haben auch Probeabrechnungen anderer Steuerberater zurückgemeldet bekommen.

Die ersten beiden Ziffern der Beraternummer waren identisch mit unserer eigenen Beraternummer.

Allerdings wurden "nur" Erstattungsanträge zur Lohnfortzahlung U1 angezeigt - keine Lohnabrechnungen oder Fehlermeldungen.

Trotzdem - schlimm genug....

also ich hab ja lieber Probeabrechnungen, die an den falschen Empfänger gehen als gar keine Probeabrechnungen. Damit dürfte ich in DE aber relativ alleine da stehen ... 

Argh. Das wollte ich jetzt eigentlich NICHT lesen müssen.

Naja, das einzig postive scheint mir der Umstand zu sein, dass wir vielleicht wirklich mal erfahren WAS schief gelaufen ist. Der Zyniker in mir tippt ja auf KI Mist oder so. Der Rest tippt da auch drauf... 🙂

also wir sind selbstbuchendes Unternehmen, ich habe eine fremde Nebenverdienstbescheinigung bekommen und sehe natürlich den vollen Namen des Mitarbeiters, Anschrift, Geburtsdatum, das eigentliche Steuerbür, abrechnende Person etc.  

---

@lbattke  schrieb:

also ich hab ja lieber Probeabrechnungen, die an den falschen Empfänger gehen als gar keine Probeabrechnungen. Damit dürfte ich in DE aber relativ alleine da stehen ... 

---

Stimmt, ich habe das lieber umgekehrt - hätte ich solche Auswertungen an den nicht-berechtigten Empfänger versendet, wäre ich meinen Job los...

Hatte ich auch in einem Fall so.

Bei dem zweiten mir bekannten Fall konnte ich aber auch alle Brutto/Netto-Abrechnugnen einsehen.

Sie haben vollkommen Recht! Ich habe aber gern eine Wald- und Wiesenkanzlei!!!

Mein Zirkus - meine Regeln!😉

Aktuelle Info von unserem Datenschutzbeauftragten bei der DATEV:

Sehr geehrte Damen und Herren,

 

aktuell können in LODAS keine Probeabrechnungen durchgeführt werden. Das Problem ist bei DATEV bekannt und wird mit Hochdruck bearbeitet. Die reguläre Abrechnung und die Eilverarbeitung sind NICHT betroffen und funktionieren.

 

Einige Kunden haben uns informiert, dass bis zur Deaktivierung der Probeabrechnungen teilweise FALSCHE Probeabrechnungen ANDERER Personen aus der Mandantschaft ganz anderer Kanzleien angezeigt wurden. Datenschutzrechtlich verantwortlich für eine solche Datenschutzverletzung ist die jeweilige andere Kanzlei, auch wenn der Grund beim Auftragsverarbeiter DATEV liegt. Sofern Sie bzw. Ihre Mitarbeitenden falsche Probeabrechnungen angezeigt bzw. übertragen bekommen haben, handelt es sich aus meiner Sicht nicht um eine von Ihnen zu bewertende Datenpanne.

 

Derzeit kann noch nicht sicher und abschließend bestimmt werden, welche Beraternummern von diesem Problem betroffen waren.

Tatsächlich betroffene Mitglieder werden von DATEV schnellstmöglich über die notwendigen Schritte und potenzielle Meldepflichten informiert. Sollten Sie demnächst eine Mitteilung von DATEV zu einem möglichen Datenschutzverstoß im Zusammenhang mit LODAS-Probeabrechnungen erhalten, unterstütze ich Sie gerne bei der Risikobewertung und der daraus folgenden Schritte.

 

Bitte informieren Sie Ihre Mitarbeitenden, insbesondere der Lohnbuchhaltung, dass nach Reaktivierung der Services Probeabrechnungen vor einer eventuellen Weiterverarbeitung oder gar Weiterleitung genau geprüft werden sollten.

 

Falsch angezeigte oder übertragene Probeabrechnungen dürfen selbstverständlich nicht weiterverarbeitet und sollten nach Behebung des Problems gelöscht werden.

 

Für Rückfragen stehe ich gerne zur Verfügung.

---

@andrereissig  schrieb:

Aktuelle Info von unserem Datenschutzbeauftragten bei der DATEV:

 

Einige Kunden haben uns informiert, dass bis zur Deaktivierung der Probeabrechnungen teilweise FALSCHE Probeabrechnungen ANDERER Personen aus der Mandantschaft ganz anderer Kanzleien angezeigt wurden. Datenschutzrechtlich verantwortlich für eine solche Datenschutzverletzung ist die jeweilige andere Kanzlei, auch wenn der Grund beim Auftragsverarbeiter DATEV liegt. Sofern Sie bzw. Ihre Mitarbeitenden falsche Probeabrechnungen angezeigt bzw. übertragen bekommen haben, handelt es sich aus meiner Sicht nicht um eine von Ihnen zu bewertende Datenpanne.

 

---

Hmmmm ... aber "die jeweilig andere Kanzlei" (die ja nicht immer Kanzlei ist) weiß ja im Zweifel nichts von ihrem Glück, dass uns die Daten angezeigt wurden ... das greift hier m.E. zu kurz (oder ich verstehe es nur nicht).

Mir fehlen die Worte! Die Verantwortung liegt zu 100% bei der Datev! Dieser Vorfall musst ernste Konsequenzen nach sich ziehen! Sowohl personell als auch strategisch.

---

@mhaas  schrieb:
Hmmmm ... aber "die jeweilig andere Kanzlei" (die ja nicht immer Kanzlei ist) weiß ja im Zweifel nichts von ihrem Glück, dass uns die Daten angezeigt wurden ... das greift hier m.E. zu kurz (oder ich verstehe es nur nicht).

Der Auftragsverarbeiter (DATEV) ist verpflichtet seine Kunden zu informieren. Die Kunden sind verpflichtet den Datenschutzverstoß zu melden. Melden muss derjenige dessen Daten verloren gegangen sind.

Ich diesem Fall hat die DATEV bereits geschrieben, dass Sie betroffene Kanzleien informieren will/wird. Diese Kanzleien müssen dann entsprechende Maßnahmen einleiten. Dazu gehört es auch betroffene Mandanten zu informieren.

Auftragsverarbeiter sind nicht datenschutzrechtlich verantwortlich. Das sind immer die Kunden.

Eventuelle rechtliche Ansprüche der Kunden, z.B. bei Fahrlässigkeit, haben nichts mit der datenschutzrechtlichen Verantwortung zu tun.

---

@andrereissig  schrieb:

Aktuelle Info von unserem Datenschutzbeauftragten bei der DATEV:

 

Bitte informieren Sie Ihre Mitarbeitenden, insbesondere der Lohnbuchhaltung, dass nach Reaktivierung der Services Probeabrechnungen vor einer eventuellen Weiterverarbeitung oder gar Weiterleitung genau geprüft werden sollten.

 

Falsch angezeigte oder übertragene Probeabrechnungen dürfen selbstverständlich nicht weiterverarbeitet und sollten nach Behebung des Problems gelöscht werden.

Und wie löschen die Sachbearbeiter die Probeabrechnungen ohne diese neu zu senden ?

Mit freundlichen Grüßen

Frank Bähren

Aber das muss dann innerhalb der 72 Std erfolgen.... das WE liegt dazwischen und wer weiß, wie groß die ganze Geschichte ist und ob sich so einfach nachverfolgen lassen kann, wer welche Daten erhalten hat

---

@UK1  schrieb:

Mir fehlen die Worte! Die Verantwortung liegt zu 100% bei der Datev! Dieser Vorfall musst ernste Konsequenzen nach sich ziehen! Sowohl personell als auch strategisch.

---

Na, wenn Sie das sagen......

---

@Jinye  schrieb:

Aber das muss dann innerhalb der 72 Std erfolgen.... das WE liegt dazwischen und wer weiß, wie groß die ganze Geschichte ist und ob sich so einfach nachverfolgen lassen kann, wer welche Daten erhalten hat

---

72 Stunden ab Kenntnisnahme. Also 72 Stunden nach erhalt der Mitteilung durch DATEV. Eine entsprechende Sicherstellung rechtzeitiger Bearbeitung liegt ebenfalls in der Verantwortung der Kanzlei. Bei Verzögerung aus gutem Grund kann diese bei der Meldung auch beigefügt werden. Das Wochenende interessiert dabei nicht, die Feuerwehr kommt ja auch nicht erst am Montag wenn es Freitag brennt.

Hier einmal die relevanten Auszüge aus der DSGVO:

Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der gemäß Artikel 55 zuständigen Aufsichtsbehörde [..]

Erfolgt die Meldung an die Aufsichtsbehörde nicht binnen 72 Stunden, so ist ihr eine Begründung für die Verzögerung beizufügen.

Wenn dem Auftragsverarbeiter eine Verletzung des Schutzes personenbezogener Daten bekannt wird, meldet er diese dem Verantwortlichen unverzüglich.

„Verantwortlicher“: Die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet

Steuerberater sind bei der Lohnabrechnung für ihre Mandanten übrigens keine Auftragsverarbeiter. Reine Lohnbüros sind hingegen selbst auch Auftragsverarbeiter, hier hilft dann das Gespräch mit dem eigenen Datenschutzbeauftragten.