Στη Datev σημειώθηκε στις αρχές Ιανουαρίου ένα περιστατικό προστασίας δεδομένων. Μετά από μια τεχνική βλάβη στο σύστημα μισθοδοσίας Lodas, οι πελάτες έλαβαν προσωρινά δοκιμαστικές εκκαθαρίσεις (probeabrechnungen) άλλων πελατών/εντολέων.
Αυτό που ξεκίνησε ως μέτρο αποκατάστασης εξελίχθηκε έτσι σε πρόβλημα προστασίας δεδομένων με σημασία ως προς τον ΓΚΠΔ (DSGVO).
Η Datev, με κύκλο εργασιών 1,51 δισ. ευρώ, συγκαταλέγεται στις μεγαλύτερες εταιρείες λογισμικού στην Ευρώπη.
Η γερμανική εταιρεία προσφέρει λογισμικό και υπηρεσίες στους τομείς της λογιστικής, της φορολογικής συμβουλευτικής και του ελέγχου (audit). Στους πελάτες ή/και στα μέλη της Datev περιλαμβάνονται φοροτεχνικά γραφεία αλλά και επιχειρήσεις.
Οι εργοδότες πρέπει να υποβάλλουν τη δήλωση παρακράτησης φόρου μισθωτών (Lohnsteueranmeldung) για τους εργαζομένους τους το αργότερο τη δέκατη ημέρα μετά τη λήξη της περιόδου δήλωσης.
Στη Datev, η μισθοδοσία μπορεί να διενεργείται από φοροτεχνικούς, αλλά και από τις ίδιες τις επιχειρήσεις, μέσω του λεγόμενου υπομονάδας (module) Lodas. Το λογισμικό λειτουργεί στο κέντρο δεδομένων (rechenzentrum) της Datev.
Οι δοκιμαστικές εκκαθαρίσεις αποστέλλονται απευθείας στον υπολογιστή που τις υπέβαλε
Σύμφωνα με τον πάροχο, το Lodas είναι ιδιαίτερα κατάλληλο για μεγάλα πελατολόγια/εντολές, που λαμβάνουν την εκκαθάριση μισθών ή αποδοχών μόνο στο τέλος του μήνα.
Κατά τη διάρκεια του μήνα είναι δυνατές οι λεγόμενες δοκιμαστικές εκκαθαρίσεις, οι οποίες είναι πάντα διαθέσιμες μέσα σε λίγα λεπτά, ανεξάρτητα από το πόσοι εργαζόμενοι πρέπει να υπολογιστούν.
Οι δοκιμαστικές εκκαθαρίσεις χρησιμοποιούνται σε γραφεία και επιχειρήσεις για ποιοτικό έλεγχο, ώστε πριν από την οριστική μισθοδοσία να ελεγχθούν αλλαγές ως προς τις παραμέτρους εκκαθάρισης. Με την υποβολή μιας δοκιμαστικής εκκαθάρισης δημιουργείται μια αυτόματη εντολή παραλαβής των αποτελεσμάτων.
Αυτό έχει ως αποτέλεσμα η δοκιμαστική εκκαθάριση, αμέσως μετά την ολοκλήρωσή της στο κέντρο δεδομένων της Datev, να μεταφέρεται αυτόματα πίσω στον υπολογιστή που την υπέβαλε.
Τεχνικά προβλήματα με το Lodas
Στις 8 Ιανουαρίου 2026 προέκυψε στο σύστημα Lodas τεχνική βλάβη, με αποτέλεσμα οι δοκιμαστικές εκκαθαρίσεις να μη επιστρέφονται στους πελάτες που τις απέστειλαν.
Σύμφωνα με αναρτήσεις στο φόρουμ της Datev, η τεχνική βλάβη ξεκίνησε ήδη στις 8 Ιανουαρίου 2026, αλλά συνεχίστηκε και στις 9 Ιανουαρίου. Η τεχνική ομάδα της Datev υλοποίησε τότε ένα λεγόμενο workaround (παράκαμψη/προσωρινή λύση), ώστε να εξαναγκαστεί η παράδοση των δοκιμαστικών εκκαθαρίσεων στους αποστολείς.
Ωστόσο, λόγω των σφαλμάτων μετάδοσης που αναφέρονται παρακάτω, το workaround έπρεπε να αποσυρθεί. Μόνο αργά στις 9 Ιανουαρίου 2026 φάνηκε ότι η αποστολή των δοκιμαστικών εκκαθαρίσεων από το κέντρο δεδομένων της Datev προς τους πελάτες λειτουργούσε ξανά από αργά το απόγευμα.
Η τεχνική βλάβη οδηγεί σε περιστατικό ΓΚΠΔ
Το workaround που εφαρμόστηκε από την τεχνική ομάδα της Datev είχε μεν ως αποτέλεσμα να επιστρέφονται δοκιμαστικές εκκαθαρίσεις από τη Datev στους πελάτες — όμως όχι στους σωστούς.
Αντίθετα, οι πελάτες της Datev έλαβαν τις δοκιμαστικές εκκαθαρίσεις άλλων πελατών/εντολέων.
Από αναρτήσεις σε φόρουμ της Datev προκύπτει ότι σε εργαζομένους πολλών φοροτεχνικών γραφείων και επιχειρήσεων διαβιβάστηκαν δοκιμαστικές εκκαθαρίσεις άλλων πελατών/εντολέων. Είδαμε επίσης αναφορές για τέτοιες λανθασμένες αποστολές σε κλειστές ομάδες της Datev στο Facebook.
Άγνωστος ο αριθμός των λανθασμένων αποστολών
Το πρόβλημα, σύμφωνα με αναρτήσεις σε φόρουμ, επιλύθηκε από την τεχνική ομάδα της Datev κατά τη διάρκεια του απογεύματος της 9ης Ιανουαρίου 2026. Ωστόσο, υπήρξε άγνωστος αριθμός λανθασμένων αποστολών δοκιμαστικών εκκαθαρίσεων.
Αυτό που επιφανειακά μοιάζει με μια δυσάρεστη τεχνική αστοχία, σε αυτό το πλαίσιο είναι ένα περιστατικό προστασίας δεδομένων στη Datev που απαιτεί γνωστοποίηση.
Διότι οι δοκιμαστικές εκκαθαρίσεις περιέχουν προσωπικά δεδομένα εργαζομένων, τα οποία, λόγω των λανθασμένων αποστολών, κατέληξαν σε ξένα χέρια.
Εδώ τίθεται το ερώτημα: Ποιος πρέπει να γνωστοποιήσει το περιστατικό και σε ποιον; Η Datev αναφέρει, σε δήλωση που έχει στη διάθεσή του ο συγγραφέας, ότι πράγματι είναι εκτελών την επεξεργασία (Auftragsverarbeiter) κατά τον ΓΚΠΔ.
Εν τούτοις, υπεύθυνος για τη γνωστοποίηση ενός περιστατικού ΓΚΠΔ είναι το γραφείο (ή η επιχείρηση που χρησιμοποιεί το Lodas η ίδια), που λειτουργεί ως συμβαλλόμενο μέρος.
Ποιος πρέπει να γνωστοποιήσει το περιστατικό;
Συνεπώς, το γραφείο ή η επιχείρηση, των οποίων τα δεδομένα εργαζομένων στην δοκιμαστική εκκαθάριση κατέληξαν σε λάθος χέρια, πρέπει να γνωστοποιήσει αυτό το περιστατικό ΓΚΠΔ στην αρμόδια εποπτική αρχή προστασίας δεδομένων του κρατιδίου (Landesdatenschutzaufsicht) εντός 72 ωρών από τη στιγμή που έλαβε γνώση.
Επιπλέον, οι πελάτες/εντολείς των γραφείων, καθώς και οι επηρεαζόμενοι εργαζόμενοι στην επιχείρηση, πρέπει να ενημερωθούν από αυτούς.
Πιθανότατα, και εταιρείες των οποίων επηρεάστηκαν τα δεδομένα εργαζομένων πρέπει να υποβάλουν δική τους γνωστοποίηση ΓΚΠΔ στην αρμόδια εποπτική αρχή, καθώς το φοροτεχνικό γραφείο ενδέχεται επίσης να είναι μόνο εκτελών την επεξεργασία.
Το πρακτικό πρόβλημα εδώ είναι το εξής: ο πελάτης της Datev και η επιχείρηση που επηρεάζεται από το περιστατικό ΓΚΠΔ ενδέχεται να μη γνωρίζουν καν ότι η δοκιμαστική τους εκκαθάριση στάλθηκε σε λάθος παραλήπτη.
Προς το παρόν, η Datev διερευνά τον κύκλο των επηρεαζόμενων πελατών, ώστε να τους ενημερώσει.
Τα επηρεαζόμενα φοροτεχνικά γραφεία πρέπει στη συνέχεια να ενημερώσουν τους πελάτες/εντολείς τους, και οι πελάτες/εντολείς με τη σειρά τους τους επηρεαζόμενους εργαζομένους τους, καθώς και τις εποπτικές αρχές για το περιστατικό ΓΚΠΔ.
Η άποψη μου
Η υπόθεση δείχνει πόσο περίπλοκες μπορεί να είναι οι ευθύνες βάσει ΓΚΠΔ, όταν η επεξεργασία γίνεται σε κέντρα δεδομένων ή στο cloud από παρόχους που λειτουργούν ως εκτελούντες την επεξεργασία, καθώς και από φοροτεχνικούς.
Τέτοια λάθη δεν πρέπει να συμβαίνουν στη Datev και θα έπρεπε, σε επίπεδο σχεδιασμού και οργάνωσης της επεξεργασίας δεδομένων για λογαριασμό τρίτων, να αποκλείονται.
Το περιστατικό, συνεπώς, υποδηλώνει πιθανότατα και ελλείψεις στην οργανωτική δομή του κέντρου δεδομένων της DATEV, η οποία ακριβώς τέτοιου είδους σφάλματα θα έπρεπε να αποτρέπει.
