---

@irisla  schrieb:

Jetzt bin ich verwirrt.

 

In den ersten beiden Mails der DATEV werden wir darüber informiert, dass Daten an Dritte offengelegt wurden. 

 

In der letzten Mail der DATEV stehen die gleichen MdtNr. (wie in der ersten und zweiten DATEV-Email) mit der Mitteilung, dass wir jedoch mit unseren Daten nicht von der Offenlegung betroffen waren. 

 

Jetzt dachte ich eigentlich, Glück gehabt, nur wir haben falsche Daten zurück bekommen, aber unsere Mdtdaten gingen nicht an Dritte. Nun bin ich aber so verwirrt, dass ich nicht mehr sicher bin. Kann mir jemand nochmal Aufschluss geben? DANKE

 

 

---

@irisla Genau richtig 🙂

---

@digitalindiezukunft  schrieb:

@Stefanie_Herold 

 

Liebe Frau Herold,

 

wir haben zwei E-Mails bzgl. "LODAS: Entwarnung für Ihren Sachverhalt zur Datenschutzverletzung nach Art. 33 Abs. 2 DS-GVO" erhalten. 

 

...

 

Besten Dank für Aufklärung. 

---

Hallo @digitalindiezukunft,
könnten Sie mir bitte Ihre Beraternummer und ggf. Kontaktdaten per PN schicken. Ich schau mir das an und melde mich dann.

Viele Grüße und sorry für die Verwirrung 🙁

Stefanie Herold

---

@total_chris  schrieb:

Hallo Frau Herold,

 

ich muss mich der Verwirrung anschließen, insbesondere, da in manchen der "Entwarnungs-mails" Beraternummern/Mandantennummern ausdrücklich erwähnt wurden und in anderen "Entwarnungs-mails" keine Nummern angegeben waren.

 

In den Warnmails vom Freitag waren in allen Mails konkrete Beraternummern/Mandantennummern enthalten. Es ist nicht eindeutig welche "Entwarnungs-mail" sich auf welche Warn-mail von Freitag bezieht.

 

Vielen Dank für Ihre Bemühungen

---

Hallo @total_chris,

bei kompletter Entwarnung war keine Mandantenliste enthalten.
Bei der teilweisen Entwarnung, weil Sie fehlerhaft zugeordnete Probeabrechnungen erhalten haben, haben Sie eine Aufforderung zur Löschung inkl. Mandantenliste bekommen, damit Sie wissen in welchem Bestand.

Offensichtlich haben Sie gestern fehlerhafterweise beide Schreiben bekommen 🙈
Falls Sie nicht durchblicken, schicken Sie mir gerne auch eine PN.

Viele Grüße

Stefanie Herold

Hallo Frau Herold,

ich habe jetzt noch eine Handvoll Mandanten für die es keine "Entwarnung" gibt. Diese wurden am Freitag/Samstag mitgeteilt und für diese Beraternummern (wir haben mehrere) kamen sowohl keine Mails ohne "Einzelaufstellung", als auch jetzt nochmal gesondert mit "Einzelaufstellung", der vermeintlich betroffenen Mandanten. Diese werden dann wohl leider bei den tatsächlich betroffenen Mandanten dabei sein, oder? 

Im übrigen vielen Dank für Ihren großen Einsatz!!!

---

@atheis  schrieb:

Hallo Frau Herold,

 

ich habe jetzt noch eine Handvoll Mandanten für die es keine "Entwarnung" gibt. Diese wurden am Freitag/Samstag mitgeteilt und für diese Beraternummern (wir haben mehrere) kamen sowohl keine Mails ohne "Einzelaufstellung", als auch jetzt nochmal gesondert mit "Einzelaufstellung", der vermeintlich betroffenen Mandanten. Diese werden dann wohl leider bei den tatsächlich betroffenen Mandanten dabei sein, oder? 

 

Im übrigen vielen Dank für Ihren großen Einsatz!!!

---

Hallo @atheis,

das kann gut sein, dass Sie da heute Abend nochmal beglückt werden 🙁

Wenn Ihnen morgen früh noch was komisch vorkommt, melden Sie sich gerne über PN bei mir.

Ich versuche bis dahin nicht vom Stuhl zu fallen 💪

Viele Grüße

Stefanie Herold

@Stefanie_Herold 

Dann halten Sie durch und ich harre der Dinge die da eventuell kommen...! Danke!!!!

Heise jetzt auch als YouTube

https://youtu.be/-kT-itgQuQ0?si=FSXqlyqF69G5Rr6b

Sehr geehrte Frau Herold,

sehr geehrte Datev Mitarbeiter und Mitarbeiterinnen,

damit die Sache rund wird, fehlt hier noch eine Vorlage zur Information der betroffenen Mandanten und Auflistung der Pflichten der Mandanten und ggf. eine Vorlage, wie diese Ihre Mitarbeiter datenschutzkonform über diese Datenpanne zu informieren haben.

Ich denke, dass das Systemhaus Datev die komplette Suppe, die man hier "gekocht hat", nun mal auslöffeln muss.

Es geht hier jetzt nicht um Menschenleben, wie im Krankenhaus. Daher lässt sich die Problematik mit etwas Zeit, Aufwand und Geld auflösen. Sollten Mandanten aufgrund des Vorfalls die Kanzlei wechseln, dann wird die Datev auch diesbezüglichen Schadenersatz leisten müssen.

Wenn sich ein Problem mit Geld lösen lässt, dann ist es kein wirkliches Problem sondern ein Ausgabe.

Ich danke den Mitarbeitern der Datev. Auch wenn meinem Gefühl nach in letzter Zeit an dem Softwarehaus etwas von Pleiten, Pech und Pannen haftet, ist man diesem konkreten Problem durchaus zeitnah und offen gegenüber getreten. Dort wo gearbeitet wird, können auch Fehler passieren. Wer nicht arbeitet, macht keine Fehler.

Freundliche Grüße

Jan Niklas

Ich bin jetzt auch langsam verwirrt.

Am Freitag kam ne Mail, in welcher mitgeteilt wurde, dass ich betroffen bin.

Dann kam heute früh ne Mail, dass ich nicht betroffen bin.

Und gerade kam noch ne Mail, dass ich doch wieder betroffen bin.

Mal sehn, wann das Schreiben für die Mandanten kommt.

Wird das den Betroffenen zugeschickt oder gibt es das Zentral irgendwo als Download ? 

Guten Tag, 

ich finde es persönlich jetzt auch superwirchtig, wie wir weiter vorgehen müssen. Müssen wir noch Meldungen leisten? Wie müssen wir die Mitarbeiter informieren? 

Frau Herhold,

vielen Dank für den Superjob, den Sie hier gemacht haben. Es gab kein Wegducken und in der Stunde, als DATEV und wir Sie brauchten, waren auch nicht auf dem Tennisplatz sondern haben das Wochenende durchgearbeitet, dafür wirklich vielen Dank. Sie sind Vorbild für viele!

Man wird Sie bald die "Helmut-Schmidt der DATEV" nennen, eben nach jedem, der Hamburg 1962 vor Schlimmeren bewahrte.  

Nochmals Danke!

Siegmar Kost

@Stefanie_Herold 

Guten Morgen und sorry, dass ich auch ich das Thema noch mal aufgreifen muss ... aber langsam ist die Verwirrung verwirrt.

Wir haben heute erst eine sonstige Nachricht erhalten "LODAS: Information über Datenschutzverletzung nach Art. 33 Abs. 2 DS-GVO" mit einer Mandantenliste und eine Minute später eine "LODAS: Entwarnung für Ihren Sachverhalt zur Datenschutzverletzung nach Art. 33 Abs. 2 DS-GVO" mit gleichlautender Mandantenliste. Wie ist das zu verstehen? Wurden unsere Probeabrechnungen Dritten offengelegt oder nicht?

Die Kommunikation diesbezüglich finde ich leider nicht ganz so geglückt. 

Wobei Ihnen persönlich mein Dank und Respekt für Ihren unermüdlichen Einsatz gelten.

Gruß Alma82

Die Information über Datenschutzverletzung nach Art. 33 Abs. 2 DS-GVO sind eine verpflichtende Information des Auftragsverarbeiters Datev an seine Auftraggeber gem. DS-GVO.

Die Entwarnung ergänzt die Information mit genaueren Angaben. Im Text stand bei uns dezidiert drin in welcher Form wir betroffen waren. Haben Sie alles gelesen oder nur die Mandantenliste geprüft?

Moin @Jan_Niklas77,

---

damit die Sache rund wird, fehlt hier noch eine Vorlage zur Information der betroffenen Mandanten und Auflistung der Pflichten der Mandanten und ggf. eine Vorlage, wie diese Ihre Mitarbeiter datenschutzkonform über diese Datenpanne zu informieren haben.

---

Da betritt die DATEN meines Erachtens das Feld der Rechtsberatung. Und das wird sie nicht machen.

---

Ich denke, dass das Systemhaus Datev die komplette Suppe, die man hier "gekocht hat", nun mal auslöffeln muss.

---

Ich habe die AGB nicht gelesen, aber ich würde mal davon ausgehen, dass es hier eine Ausschlussklausel gibt.

---

Daher lässt sich die Problematik mit etwas Zeit, Aufwand und Geld auflösen. Sollten Mandanten aufgrund des Vorfalls die Kanzlei wechseln, dann wird die Datev auch diesbezüglichen Schadenersatz leisten müssen.

---

Auch hier würde es mich wundern, wenn in den AGB nicht geregelt wäre.

Kurzum, DATEV hat hier Bockmist gebaut. Das passiert. Wie mit den Auswirkungen umzugehen ist, ist in den AGB geregelt oder muss mit Ihrem Rechtsbeistand geklärt werden.

DATEV wird aber einen Teufel tun und hier irgendwas zu sagen/schreiben.

Beste Grüße
Christian Ockenfels

Hallo @erickibler

sicher habe ich die Nachrichten gelesen. Für mich, und das sei durchaus meinem mangelnden technischen Verständnis geschuldet, widersprechen sich diese. Und da beide Nachrichten quasi zeitgleich eingetroffen sind wollte ich an dieser Stelle nachfragen, was nun korrekt ist. Zumal ich nicht verstehe, warum es eine "Entwarnung" gibt, wenn wir doch betroffen waren.

ich kann hier leider keine Antwort sehen. @Stefanie_Herold 

rein technisch müsste sich jede der falschen Mandanten-/(Kunden-)Zuordnungen identifizieren lassen.

Klein-Erna oder Klein-Ernst stellt sich das etwa wie folgt vor :

Man hat eine laaange Tabelle "A" mit Lohnabrechnungsdaten und man hat eine ebenso laaange Tabelle "B" mit Adressdaten

Diese beiden laaangen Tabellen wurden falsch miteinander verknüpft

Bei der Datev geht man davon aus, dass jeder einzelne Schritt jedes Prozesses protokolliert wird

Also müsste man "nur" die ursprünglichen Tabellen "A" und "B" nochmal neu und diesmal richtig miteinander verknüpfen, z.B. über eine jeweils eindeutige GUID und das falsche Ergebnis mit dem richtigen Ergebnis vergleichen.

Aber was im Kleinen noch 'überschaubar' ist, wird bei BigData natürlich schnell 'undurchschaubar' und erfordert entsprechende programmiertechnische Checks.

Theoretisch könnte ein einziger kleiner Fehler eines Datev-Mitarbeiters dieses große Schlamassel verursacht haben

Aber wenn sich die Ursache dieses Datenschutzvorfalls genau identifizieren lässt und die Betroffenen (Mandanten, Kunden, Berater) bekannt sind, sollte eine zentrale Meldung an die Datenschutzbehörden reichen, anstatt zigtausendfachen oder gar hunderttausendfachen 'künstlichen' Mehraufwand aus rechtlichen Gründen treiben zu müssen.

Hauptsache korrekt gegendert....

---

@vogtsburger  schrieb:

 

...

Aber wenn sich die Ursache dieses Datenschutzvorfalls genau identifizieren lässt und die Betroffenen (Mandanten, Kunden, Berater) bekannt sind, sollte eine zentrale Meldung an die Datenschutzbehörden reichen, anstatt zigtausendfachen oder gar hunderttausendfachen 'künstlichen' Mehraufwand aus rechtlichen Gründen treiben zu müssen.

---

Ich teile die Meinung, den Aufwand zu minimieren.

Allerdings erwarte ich durchaus eine Rückmeldung seitens DATEV dahingehend, ob und inwieweit meine Kanzlei von dem Vorfall betroffen war oder ist. Und das gilt auch hinsichtlich einer "Negativmeldung", d. h. wenn wir in keinster Weise betroffen waren oder sind.

Dem Vernehmen nach soll dies ja noch geschehen. Bisher haben wir allerdings nicht den geringsten offiziellen Hinweis von Datev auf das Geschehene erhalten. Obwohl wir auch in dem kritischen Zeitraum Probeabrechnungen gesendet und nicht zurückerhalten haben.

---

@Nicole11  schrieb:

Guten Tag, 

 

ich finde es persönlich jetzt auch superwirchtig, wie wir weiter vorgehen müssen. Müssen wir noch Meldungen leisten? Wie müssen wir die Mitarbeiter informieren? 

---

Hallo @Nicole11,

sorry, ich hab wohl versehentlich meinen Text gelöscht als ich auf senden gedrückt hab.

Wie auch im Schreiben genannt, haben wir die Meldepflicht gegenüber den Behörden Sie übernommen, wenn Sie dem Vorgehen nicht widersprochen haben.

Viele Grüße

Stefanie Herold

@Stefanie_Herold 

wird noch bekanntgegeben, an welche Anwender unsere Mandantendaten gegangen sind? Unsere Partnerschaft möchte sicherstellen, dass dort die Daten gelöscht wurden, dafür müssten wir aber wissen, wer sie erhalten hat.

@franzflott  schrieb:

---

[...]

Ich teile die Meinung, den Aufwand zu minimieren.

 

Allerdings erwarte ich durchaus eine Rückmeldung seitens DATEV dahingehend, ob und inwieweit meine Kanzlei von dem Vorfall betroffen war oder ist. Und das gilt auch hinsichtlich einer "Negativmeldung", d. h. wenn wir in keinster Weise betroffen waren oder sind.

[...]

ja, das würde ich auch erwarten !

Aber eine solche Serienmail-Aktion sollte für die Datev kein Problem sein ...

... jedenfalls überhaupt nicht zu vergleichen mit der Lawine bzw. mit der Überflutung der Datenschutzbehörden mit den individuellen Meldungen aller Betroffenen und mit dem daraus resultierenden gigantischen bürokratischen Aufwand

Wir haben erst von der Datev ein Email erhalten das nicht wäre und jetzt das wir doch betroffen sind.

Eine Probeabrechnung ging an einen anderen Lodas-Anwender.
Müssen wir den Mandanten informieren? Muss der Mandant seine Mitarbeiter informieren?

Hilfe!

VG

Tax

Ich habe mir gerade den Lohn 12/25, den ich am Freitag ohne Probeabrechnung verarbeitet habe, angeschaut und 2 Fehler festgestellt, indem ich nochmal eine Abrechnungsvorschau für Wiederabrechnung angeschoben habe. Da kam plötzlich eine andere Lohnsteueranmeldung. Hierzu kam überhaupt kein Hinweis, dass die Abrechnungen Fehler enthalten könnten. Hat das auch jemand gehabt? Ich muss jetzt nochmal alles prüfen und eine komplette Wiederabrechnung machen.

---

@Jan_Niklas77  schrieb:

Sollten Mandanten aufgrund des Vorfalls die Kanzlei wechseln,

---

… dann wird die Auswahl aber ziemlich schnell ziemlich klein.

Ja, die Kommunikation hätte besser sein können, aber grundsätzlich scheint mir DATEVs Umgang mit dem Vorfall schon sehr gut.

Ein Bekannter hat letzte Woche Booking.com beim zuständigen Landesdatenschutzbeauftragten gemeldet, weil die offenbar eine Lücke haben, durch die laufend aktuelle Buchungen abfließen. Und Booking.com seinen Kontakt dazu einfach ignoriert.

Übrigens wittert schon die erste Anwaltskanzlei das große Geschäft:

https://www.dr-stoll-kollegen.de/news-urteile/it-recht/datenpanne-bei-datev-probe-lohnabrechnungen-landen-bei-falschen-empfaengern

OT:

---

@Kristin_Heinze  schrieb:

Übrigens wittert schon die erste Anwaltskanzlei das große Geschäft:

 

https://www.dr-stoll-kollegen.de/news-urteile/it-recht/datenpanne-bei-datev-probe-lohnabrechnungen-landen-bei-falschen-empfaengern

---

#FunFact: "DSGVO" (bspw. wird der Google Tag Manager ohne Zustimmung geladen) scheinen die wohl selber nicht so ernst zu nehmen. 😉

Hallo @Stefanie_Herold, 

Hallo Community,

vielen Dank für die regelmäßigen Updates. Wir haben (bisher) offenbar keine Benachrichtigung erhalten oder wir haben sie übersehen. Über welchen Kanal versendet die DATEV denn die Mitteilungen?