Identitätsdiebstahl melden – Verbraucherzentrale Hilfe

Rechtliche Grundlagen des Identitätsdiebstahls

§ StGB – Strafrechtliche Dimension

Grundlegend relevant ist der Straftatbestand des § 263 StGB (Betrug), wenn durch Identitätsmissbrauch Vermögensschäden verursacht werden. Missbraucht ein Täter personenbezogene Daten, um bei einer Bank eine Überweisung zu veranlassen, liegt regelmäßig ein Betrug gemäß § 263 Abs. 1 StGB vor. Wenn der Täter eine Urkunde verwendet (z. B. gefälschter Ausweis), kann zusätzlich § 267 StGB (Urkundenfälschung) einschlägig sein.

Weiterhin kommt § 246 Abs. 1 StGB (Unterschlagung) in Betracht, wenn jemand bereits den Besitz übergangen erhält – etwa Zugangsdaten, Tokens oder Karten — und sie dann behält oder nutzt. Ebenso kann § 202a StGB (Ausspähen von Daten) greifen: Wer sich unbefugt Zugang zu Daten verschafft, die gegen unbefugten Zugang besonders gesichert sind, macht sich strafbar.

In schwerwiegenden Fällen ist § 263a StGB (Computerbetrug) einschlägig, wenn der Täter eine Datenverarbeitung manipuliert. Ferner kann § 269 StGB (Missbrauch von Zahlungsdaten) relevant werden, wenn Zahlungsinstrumente oder -daten wie Kreditkarten oder IBAN missbraucht werden.

Schließlich ist bei Identitätsdiebstahl die Strafzumessung wichtig: Nach § 46 StGB sind mindernde Umstände, etwa bei geringem Schaden, zu berücksichtigen; bei besonders schweren Fällen greift § 263 Abs. 3 StGB (bei Vermögensschädigung großer Bedeutung oder gewerbsmäßiger Begehung).

Die strafrechtliche Verfolgung erfolgt im Regelfall durch Staatsanwaltschaft nach Anzeige bei der Polizei. Für Betroffene besteht jedoch kein Anspruch auf ein Verfahren – das Ermessen liegt bei der Staatsanwaltschaft (vgl. § 152 GVG).

Zivilrechtliche Ansprüche – BGB & Schadensersatz

Neben dem Strafverfahren stehen den Opfern zivilrechtliche Ersatzansprüche zu. Nach § 823 Abs. 1 BGB haftet der Täter für fahrlässige oder vorsätzliche Verletzung eines Rechtsguts (hier: Vermögen oder Persönlichkeitsrecht). Damit kann der Betroffene Schadensersatz verlangen. Ergänzend greift bei Verletzung von Datenschutzpflichten § 7 BDSG i. V. m. Art. 82 DSGVO: Nach Art. 82 DSGVO ergibt sich ein Anspruch auf Ersatz des materiellen und immateriellen Schadens.

Zudem kann eine Unterlassungsklage nach § 1004 BGB analog herangezogen werden, wenn der Missbrauch fortdauert, also z. B. wenn nach Bekanntwerden nicht alle Zugänge gesperrt sind. In manchen Fällen kann eine Feststellungsklage gem. § 256 ZPO sinnvoll sein, um rechtsverbindlich feststellen zu lassen, dass der Täter schadenersatzpflichtig ist.

Bezüglich Bonitätsbeeinträchtigung (z. B. bei falschen SCHUFA-Einträgen) kann das Recht auf Berichtigung oder Löschung nach Art. 16 DSGVO und Art. 17 DSGVO geltend gemacht werden. Bei Auskunfteien greift zusätzlich § 34 BDSG (Auskunftsanspruch) und § 35 BDSG (Berichtigung, Löschung).

Zudem besteht ein Anspruch nach § 249 BGB, der den Zustand herzustellen verlangt, der bestehen würde, wenn der schädigende Umstand nicht eingetreten wäre. Kosten für die Wiederherstellung von Identität, Umschreibungen, Löschung falscher Daten sowie ggf. anwaltliche Gebühren können sich darunter subsumieren.

Datenschutzrechtliche Aspekte – DSGVO & BDSG

Zentral für den modernen Identitätsdiebstahl ist das Datenschutzrecht. Art. 4 Nr. 1 DSGVO definiert personenbezogene Daten, Art. 4 Nr. 12–13 DSGVO regeln Informationspflichten bei Datenverarbeitung und Datenpannen.

Kommt es zu einer Datenpanne (z. B. Hackerangriff, Datendiebstahl), greift Art. 33 DSGVO (Meldepflicht gegenüber der Aufsichtsbehörde) und Art. 34 DSGVO (Informationspflicht gegenüber Betroffenen). Die Verantwortlichen – etwa Unternehmen, Diensteanbieter oder Datenbanken – müssen die Panne unverzüglich und möglichst binnen 72 Stunden melden.

Darüber hinaus berechtigen Art. 15 DSGVO (Auskunft über gespeicherte Daten) und Art. 16 DSGVO (Recht auf Berichtigung) den Betroffenen, Auskünfte zu verlangen und falsche Einträge zu korrigieren. Das Recht auf Löschung (Art. 17 DSGVO) und Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO) kommen ins Spiel, sobald Daten rechtswidrig verarbeitet wurden oder die Betroffenen widersprechen.

Für die Verantwortlichen gelten technische und organisatorische Maßnahmen (Art. 32 DSGVO), um Daten vor unbefugtem Zugriff zu schützen. Bei Verstößen drohen Bußgelder nach Art. 83 DSGVO bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes.

Im deutschen Datenschutzrecht konkretisiert das BDSG zusätzliche Pflichten (z. B. §§ 24 ff. BDSG über Beschäftigtendaten, § 43 BDSG über Bußgelder), ebenso Vorschriften über Auskunft (§ 34 BDSG) und Löschung (§ 35 BDSG).

Verhältnis zwischen Straf- und Zivilrecht

Das Strafverfahren und zivile Ansprüche sind rechtlich getrennt, jedoch ergänzen sie sich in der Praxis. Die Entscheidung für zivilrechtliche Ansprüche steht Betroffenen jederzeit offen, unabhängig vom Ausgang des Strafverfahrens. Im Zivilprozess gelten die strengeren Beweisregeln (Zivilmaßstab, § 286 ZPO – v. a. volle Überzeugung), während im Strafverfahren zwischen „Überwiegender Wahrscheinlichkeit“ (vgl. § 261 StPO) zu unterscheiden ist.

Die Beweiserhebung in der Strafakte (z. B. Ermittlungsakten, Beschlagnahmen, Forensik) kann als Beweiszug im Zivilprozess genutzt werden (sog. „Einsicht in Akte“ gem. § 147 Abs. 6 StPO). Mit einer Nebenklage oder Zulassung eines Anwenders (soweit zulässig) kann der Betroffene im Strafverfahren seine Interessen einbringen.

Sofortmaßnahmen & Beweissicherung bei Identitätsdiebstahl

Erkennung und Dokumentation

Sofortiges Handeln ist essenziell, wenn Sie Anzeichen von Identitätsmissbrauch feststellen: unautorisierte Überweisungen, Kreditkartenposten, unerklärliche Verträge oder Warnungen von Auskunfteien (etwa SCHUFA). Erfassen Sie jede Auffälligkeit unverzüglich schriftlich mit Datum, Uhrzeit, beteiligten Instituten und Belegen.

Fotografieren oder sichern Sie E-Mails, SMS, Kontoauszüge, Fehlermeldungen und Screenshots – idealerweise mit Metadaten (Zeitstempel). Speichern Sie Logdateien, IP-Adressen, Zugriffsprotokolle sowie alle Korrespondenzen mit Banken oder Auskunfteien.

Verwenden Sie sichere Kopien (z. B. verschlüsselte Container, externe Festplatten) und fertigen Sie revisionssichere Sicherungen an. Dies erleichtert die spätere forensische Analyse und dient als Beweismittel in Polizei-, Straf- und Zivilverfahren.

Sofortige Sperrmaßnahmen & Prävention

Kontaktieren Sie umgehend Ihre Bank und Kreditinstitute zur Sperrung betroffener Konten, Karten oder Zugangsdaten. Fordern Sie eine Prüfung verdächtiger Transaktionen und schreiben Sie ein Sperrschreiben mit Fristsetzung. Lassen Sie Ihre TAN-Verfahren (z. B. mobile TAN, Push-TAN) neu konfigurieren oder deaktivieren.

Informieren Sie kurzfristig die Auskunfteien (z. B. SCHUFA, Bürgel) über den möglichen Missbrauch, um falsche Einträge zu verhindern oder zumindest vorläufig zu blockieren. Gleichzeitig empfiehlt sich ein Sicherheitscheck Ihrer digitalen Identitäten: Ändern Sie sofort Passwörter, aktivieren Sie Zwei-Faktor-Authentifizierung (2FA), prüfen Sie, ob Ihre Mailadressen oder Zugänge in öffentlich bekannten Leaks gelistet sind (z. B. via „Have I Been Pwned“).

Diese Sofortmaßnahmen sind entscheidend, um weiteren Missbrauch zu begrenzen. Sie erleichtern zugleich späteren Institutionen die Einordnung des Vorgangs und die Prüfung von Ansprüchen.

Meldung an Verbraucherzentrale

Nachdem Sie erste Sperrmaßnahmen durchgeführt haben, sollten Sie den Identitätsdiebstahl möglichst bald an die Verbraucherzentrale melden. Die Verbraucherzentralen (bundesweit und in den Ländern) bieten kompetente Beratung in Fällen von Datenmissbrauch und Identitätsklau.

In Ihrer Meldung sollten Sie möglichst detailliert alle bekannten Informationen angeben: Art des Missbrauchs (z. B. Online-Banking Betrug, Kreditkartenbetrug), Datum des Vorfalls, Umfang des Schadens, beteiligte Banken oder Dienstleister, gemachten Sicherungsmaßnahmen und vorhandene Beweismittel (z. B. Screenshots, Strafanzeige). Die Verbraucherzentrale kann Sie bei der Formulierung weiterer Schritte unterstützen – etwa Musterbriefe an Banken, Auskunfteien oder Behörden bereitstellen.

Häufig verweisen Verbraucherzentralen zudem auf spezialisierte Rechtsstellen und unterstützen bei Klärung mit betroffenen Institutionen (z. B. Zahlungsdienstleister, Mobilfunkanbieter). Die Meldung bei der Verbraucherzentrale kann nicht notwendigerweise den strafrechtlichen Prozess auslösen, aber sie stärkt Ihre Position bei etwaigen zivilrechtlichen Ansprüchen und fördert Transparenz und Expertise.

Die Verbraucherzentrale kann zudem Sie darüber informieren, ob eine Meldung an die Datenschutzaufsichtsbehörde im jeweiligen Bundesland sinnvoll ist (etwa bei vermutetem Datenleck), und Sie bei Auskunfts- oder Löschersuchen gegenüber Unternehmen begleiten.

Verfahren gegenüber Banken, Auskunfteien und Kreditinstituten

Pflichten der Banken bei Identitätsdiebstahl

Sobald ein Identitätsmissbrauch im Zusammenhang mit einem Bankkonto oder einer Zahlungstransaktion festgestellt wird, trifft die Bank umfangreiche Pflichten aus dem Zahlungsdienstevertrag (§ 675f BGB ff.). Nach § 675u BGB muss die Bank unautorisierte Zahlungsvorgänge dem Kunden erstatten, sofern dieser die Transaktion nicht autorisiert hat. Voraussetzung ist, dass der Kunde den Missbrauch unverzüglich nach Kenntniserlangung meldet (§ 675v Abs. 1 BGB).

Wird beispielsweise eine unautorisierte Überweisung ausgeführt, ohne dass der Kunde seine Zwei-Faktor-Authentifizierung (2FA) wissentlich nutzte, liegt regelmäßig kein grob fahrlässiges Verhalten vor. Der Bundesgerichtshof hat klargestellt, dass eine Bank nur dann eine Haftungsbefreiung beanspruchen kann, wenn der Kunde gegen elementare Sicherheitsregeln verstoßen hat (vgl. BGH, Urteil v. 26.01.2016, XI ZR 91/14).

Eine Pflichtverletzung der Bank kann darüber hinaus eine Schadensersatzpflicht nach § 280 Abs. 1 BGB auslösen, wenn sie z. B. nicht rechtzeitig auf auffällige Transaktionen reagiert. Banken sind zur Überwachung verdächtiger Zahlungsvorgänge verpflichtet (§ 25h KWG), insbesondere bei möglichen Geldwäscheverdachtsfällen (§ 43 GwG).

Der Kunde muss allerdings nachweisen, dass er nicht grob fahrlässig handelte (§ 675v Abs. 2 BGB). In der Praxis wird die Beweisführung erleichtert, wenn er alle Sicherheitsmaßnahmen dokumentiert, z. B. regelmäßige Passwortänderungen, gesicherte Geräte und aktuelle Virenschutzsoftware.

Wird das Konto missbraucht, sollte unverzüglich eine Sperrung nach § 675k BGB verlangt werden. Gleichzeitig empfiehlt es sich, alle Vorfälle bei der Polizei anzuzeigen (§ 158 StPO) und das Aktenzeichen der Strafanzeige an die Bank weiterzuleiten, um die interne Prüfung zu beschleunigen.

Rückbuchung und Erstattungspflicht

Erweist sich eine Transaktion als nicht autorisiert, muss die Bank den Betrag spätestens am folgenden Geschäftstag nach Anzeige erstatten (§ 675u S. 2 BGB). Diese Pflicht ist verschuldensunabhängig – sie besteht unabhängig davon, ob die Täter ermittelt werden können.

Erst wenn die Bank nachweist, dass der Kunde grob fahrlässig gehandelt hat, entfällt der Anspruch (§ 675v Abs. 3 BGB). Der Begriff „grob fahrlässig“ wird eng ausgelegt (vgl. BGH, Urteil v. 16.06.2020, XI ZR 294/19): Nur wer offensichtliche Sicherheitswarnungen ignoriert oder Zugangsdaten an Dritte weitergibt, verliert seinen Schutz.

Bei Streitfällen kann der Kunde den Ombudsmann der privaten Banken einschalten (vgl. Verfahrensordnung Ombudsmann 2018). Diese Schlichtung ist kostenfrei und ersetzt häufig eine anwaltliche Erstberatung.

Parallel kann die Verbraucherzentrale hinzugezogen werden, um die Argumentation zu prüfen oder eine Musterbeschwerde zu formulieren. Eine juristisch präzise Darstellung aller Fakten erhöht die Erfolgsaussicht auf Rückzahlung.

Auskunfteien und SCHUFA-Einträge

Identitätsdiebstahl führt häufig zu unberechtigten SCHUFA-Einträgen, wenn unter fremdem Namen Verträge abgeschlossen oder Zahlungsverpflichtungen ausgelöst werden. Hier greifen die Rechte nach Art. 16 und 17 DSGVO: Betroffene können eine Berichtigung oder Löschung unrichtiger Daten verlangen.

Nach § 35 Abs. 1 BDSG muss eine verantwortliche Stelle personenbezogene Daten löschen, wenn ihre Speicherung unzulässig ist oder sie für den Zweck nicht mehr erforderlich sind. Die SCHUFA ist als Auskunftei eine solche „verantwortliche Stelle“ im Sinne des Datenschutzrechts.

Betroffene sollten eine Auskunft nach Art. 15 DSGVO beantragen, um festzustellen, welche Daten gespeichert sind. Findet sich dort ein unberechtigter Eintrag, sollte eine schriftliche Aufforderung zur Löschung erfolgen – unter Hinweis auf Art. 17 DSGVO, verbunden mit einer Fristsetzung von 14 Tagen.

Verweigert die SCHUFA die Löschung, besteht die Möglichkeit einer Beschwerde bei der zuständigen Datenschutzaufsichtsbehörde (§ 77 DSGVO). In Deutschland ist dies die Landesdatenschutzbehörde Hessen, da sich die Zentrale der SCHUFA dort befindet.

In gravierenden Fällen kann zusätzlich eine einstweilige Verfügung nach §§ 935 ff. ZPO beantragt werden, um den Eintrag vorläufig zu löschen. Der Nachweis eines Identitätsmissbrauchs (z. B. durch Polizeibericht oder Verbraucherzentrale-Bestätigung) genügt häufig zur Glaubhaftmachung (§ 294 ZPO).

Vertragsverhältnisse mit Dritten

Wird ein Vertrag unter fremdem Namen geschlossen – etwa ein Mobilfunkvertrag, ein Online-Shop-Kauf oder ein Leasingvertrag – ist dieser nach § 116 BGB i. V. m. § 117 BGB wegen fehlender Willenserklärung nichtig. Der Vertrag entfaltet keine Rechtswirkung gegenüber der betroffenen Person.

Problematisch wird es, wenn Inkassounternehmen oder Mahngerichte aktiv werden. Hier ist eine Widerspruchserklärung gegen Mahnbescheid erforderlich (§ 692 ZPO). Sie sollte mit Hinweis auf Identitätsdiebstahl und Beifügung der Strafanzeige erfolgen.

Kommt es zu einem gerichtlichen Verfahren, kann die betroffene Person eine negative Feststellungsklage (§ 256 ZPO) einreichen, um gerichtlich feststellen zu lassen, dass keine Zahlungsverpflichtung besteht. Dieses Verfahren stoppt Inkassomaßnahmen und schützt vor weiteren SCHUFA-Einträgen.

Die Verbraucherzentrale unterstützt hierbei häufig mit Musterbriefen und verweist auf spezialisierte Anwälte für IT- und Datenschutzrecht.

Datenschutzaufsichtsbehörden und Meldepflicht

Wenn der Identitätsdiebstahl auf eine Datenpanne eines Unternehmens zurückzuführen ist, besteht eine Meldepflicht des Verantwortlichen nach Art. 33 DSGVO gegenüber der Aufsichtsbehörde. Der Betroffene selbst kann eine Beschwerde nach Art. 77 DSGVO einreichen, wenn er den Eindruck hat, dass die Meldung unterblieben ist.

Ein Anspruch auf Auskunft nach Art. 15 DSGVO kann hier helfen, den Ursprung des Datenlecks zu identifizieren. Weigert sich ein Unternehmen, Auskunft zu erteilen, kann dies einen Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO begründen (vgl. EuGH, Urteil v. 04.05.2023, C-300/21).

Versicherungsschutz bei Identitätsmissbrauch

Viele Cyber-Versicherungen oder Rechtsschutzversicherungen umfassen heute den Tatbestand „Identitätsmissbrauch im Internet“. Die Bedingungen sind unterschiedlich: Manche Policen decken anwaltliche Beratung und forensische Wiederherstellungskosten, andere auch die psychologische Nachsorge.

Nach § 1 VVG ist der Versicherer verpflichtet, das vereinbarte Risiko zu tragen. Wichtig ist die unverzügliche Schadenmeldung nach § 30 VVG, sonst kann die Leistung verweigert werden. Der Versicherungsnehmer sollte deshalb alle Dokumente, Anzeigen und Banknachweise sofort einreichen.

Besteht zusätzlich eine Rechtsschutzversicherung, kann sie nach § 125 VVG die Anwaltskosten übernehmen. Hierzu zählen insbesondere Klagen gegen Auskunfteien, Betrüger oder Banken.

Rolle der Verbraucherzentrale

Die Verbraucherzentrale übernimmt keine rechtliche Vertretung, jedoch eine entscheidende Beratungs- und Vermittlungsfunktion. Sie informiert über Musterverfahren, begleitet bei Datenschutzanfragen und verweist auf kompetente Fachanwälte.

Nach § 2 Abs. 1 Verbraucherzentralen-Gesetz (VZVG) dient sie dem Schutz und der Aufklärung der Verbraucher. Im Bereich „Identitätsdiebstahl melden Verbraucherzentrale“ hat sie praxisorientierte Informationsseiten eingerichtet, die kostenlos heruntergeladen werden können (z. B. Musterbriefe zur Löschung falscher SCHUFA-Einträge oder zur Anfechtung unberechtigter Verträge).

Die Einbindung der Verbraucherzentrale in die Kommunikation mit Unternehmen kann eine außergerichtliche Lösung erleichtern. In vielen Fällen reagieren Anbieter schneller, wenn eine institutionelle Stelle wie die Verbraucherzentrale involviert ist.

Zivilprozessuale und internationale Aspekte des Identitätsdiebstahls

Gerichtliche Durchsetzung von Ansprüchen

Betroffene von Identitätsdiebstahl stehen häufig vor der Herausforderung, dass Täter unbekannt sind oder sich im Ausland befinden. Dennoch bestehen in Deutschland klare zivilprozessuale Wege, um Rechtspositionen zu sichern oder Schadensersatz durchzusetzen. Die zentrale Grundlage bildet die Zivilprozessordnung (ZPO), die die gerichtlichen Verfahrensarten regelt.

Zunächst ist festzustellen, dass der Betroffene aktivlegitimiert ist, wenn sein Persönlichkeitsrecht oder Vermögen verletzt wurde (§ 823 BGB). Besteht die Gefahr weiterer Datenveröffentlichungen oder falscher Vertragsnutzungen, kann eine einstweilige Verfügung nach §§ 935 ff. ZPO beantragt werden. Diese setzt einen Verfügungsgrund (Eilbedürftigkeit) und einen Verfügungsanspruch (z. B. Unterlassung nach § 1004 BGB analog) voraus.

Eine solche Verfügung kann binnen weniger Tage erlassen werden und verpflichtet z. B. Auskunfteien, Online-Händler oder Telekommunikationsanbieter, Daten vorläufig zu löschen oder Veröffentlichungen zu stoppen. Für eine wirksame Antragstellung sind glaubhafte Beweise nötig (§ 294 ZPO), etwa eine Kopie der Strafanzeige oder eine Stellungnahme der Verbraucherzentrale.

Zugleich kann der Geschädigte eine negative Feststellungsklage gemäß § 256 ZPO einreichen, wenn ein Unternehmen unberechtigt Forderungen geltend macht. Der Klageantrag lautet dann regelmäßig auf die Feststellung, dass kein Vertragsverhältnis zwischen Kläger und Beklagtem besteht. Dieses Urteil entfaltet rechtskräftige Wirkung und zwingt auch Auskunfteien zur Korrektur.

Bei hohen Schäden kann eine Leistungsklage auf Schadensersatz erhoben werden (§ 249 BGB i. V. m. § 823 BGB). Hierzu zählen Vermögensschäden, Anwaltskosten, Kosten der Identitätswiederherstellung und gegebenenfalls Schmerzensgeld nach Art. 82 DSGVO.

Die Verjährung solcher Ansprüche richtet sich nach § 195 BGB (regelmäßig drei Jahre) und beginnt gemäß § 199 Abs. 1 BGB mit Ablauf des Jahres, in dem der Geschädigte von Schaden und Täter Kenntnis erlangte. Bei unbekannten Tätern kann die Frist gehemmt sein (§ 203 BGB), wenn z. B. Ermittlungen laufen.

Beweislast und forensische Beweissicherung

Die zivilprozessuale Beweislast folgt dem Grundsatz „actori incumbit probatio“ – den Kläger trifft die Beweisführung. Der Geschädigte muss nachweisen, dass die streitgegenständliche Handlung nicht von ihm ausging. In Fällen des digitalen Identitätsdiebstahls kann das durch technische Nachweise (IP-Adressen, Logdateien, Gerätefingerprints) erfolgen.

In der Praxis hat die Rechtsprechung die Anforderungen für Betroffene etwas erleichtert: Das AG München (Urteil v. 11.05.2011, Az. 142 C 2564/11) entschied, dass ein Verbraucher nicht haften muss, wenn eine Online-Bestellung nachweislich über eine IP-Adresse erfolgte, die ihm nicht zugeordnet werden kann. Ähnlich stellte das OLG Köln (Urteil v. 24.03.2022, Az. 15 U 137/21) klar, dass allein die Nutzung einer E-Mail-Adresse nicht als Beweis genügt, dass der Inhaber selbst handelte.

Forensische IT-Gutachten können im Streitfall entscheidend sein. Nach § 402 ZPO können Sachverständige bestellt werden, um zu klären, ob Datenmanipulation, Phishing oder Trojaner vorlagen. Betroffene sollten daher frühzeitig digitale Beweise sichern, bevor Systeme bereinigt oder Geräte ausgetauscht werden.

Internationale Zuständigkeit und EU-Recht

Da viele Täter aus dem Ausland agieren, spielt das internationale Zivilverfahrensrecht eine bedeutende Rolle. Nach Art. 4 Abs. 1 der Brüssel-Ia-Verordnung (EU) Nr. 1215/2012 kann eine Klage grundsätzlich am Sitz des Beklagten erhoben werden. Für Delikte wie Identitätsdiebstahl, die online begangen werden, bestimmt Art. 7 Nr. 2 Brüssel-Ia-VO, dass der Kläger auch am Ort des Schadenseintritts klagen darf – also am Wohnsitz des Betroffenen.

Das bedeutet: Ein deutscher Verbraucher kann gegen einen im EU-Ausland ansässigen Täter oder Dienstanbieter vor einem deutschen Gericht klagen, wenn der Schaden (z. B. Bonitätsverlust, unautorisierte Überweisung) in Deutschland eingetreten ist.

Die Rom-II-Verordnung (EG) Nr. 864/2007 legt fest, welches materielle Recht anwendbar ist. Nach Art. 4 Abs. 1 Rom-II gilt grundsätzlich das Recht des Staates, in dem der Schaden eintritt. Damit findet auf Identitätsmissbrauch deutscher Verbraucher in aller Regel deutsches Recht Anwendung, auch wenn der Täter im Ausland sitzt.

Europol und grenzüberschreitende Ermittlungen

Identitätsmissbrauch ist eines der zentralen Felder des Europol European Cybercrime Centre (EC3). Nach Art. 4 Europol-Verordnung (EU) 2016/794 arbeitet Europol eng mit nationalen Polizeibehörden zusammen, um internationale Tätergruppen zu identifizieren. Fälle, in denen deutsche Opfer durch Server im Ausland geschädigt wurden, können über das Bundeskriminalamt (BKA) an Europol gemeldet werden.

Diese Kooperation ist besonders relevant bei komplexen Betrugsketten, in denen Server in verschiedenen Ländern (z. B. Lettland, Rumänien, Russland) eingesetzt werden. Europol sammelt Metadaten, IP-Beziehungen und Geldflussanalysen, um Täter zu lokalisieren.

Zudem unterstützt Eurojust gemäß Beschluss 2002/187/JI die Koordination der Strafverfolgungsbehörden in grenzüberschreitenden Fällen. Das bedeutet: Wird ein Täter im EU-Ausland gefasst, kann ein deutsches Strafverfahren parallel zum ausländischen geführt oder über ein Europäisches Ermittlungsersuchen (EIO) beantragt werden (Richtlinie 2014/41/EU).

Für Betroffene empfiehlt es sich, in der Strafanzeige ausdrücklich auf mögliche Auslandsspuren hinzuweisen. So kann die Staatsanwaltschaft internationale Ermittlungen frühzeitig anstoßen.

Europäische Datenschutzkooperation

Auch im Datenschutz besteht eine enge Zusammenarbeit innerhalb der EU. Nach Art. 60 ff. DSGVO koordinieren die Datenschutzaufsichtsbehörden ihre Verfahren bei grenzüberschreitender Datenverarbeitung. Ist beispielsweise eine ausländische Plattform (etwa ein Online-Shop in Irland) für den Identitätsmissbrauch verantwortlich, wird die dortige Aufsichtsbehörde als „federführend“ tätig.

Betroffene können sich dennoch bei ihrer nationalen Behörde beschweren (§ 77 DSGVO), die den Fall an die zuständige Stelle weiterleitet. Dieses Verfahren soll gewährleisten, dass EU-weit ein einheitlicher Datenschutzstandard gilt.

Wenn die Datenpanne auf unzureichende Sicherheitsmaßnahmen zurückzuführen ist, drohen Bußgelder nach Art. 83 Abs. 4–5 DSGVO in Höhe von bis zu 20 Mio. Euro oder 4 % des weltweiten Jahresumsatzes. Ein solcher Bußgeldbescheid kann zugleich Grundlage für einen Schadensersatzanspruch nach Art. 82 DSGVO sein.

Europäische Gesetzgebung und NIS-Richtlinie

Zur Prävention digitaler Identitätsdelikte hat die EU die NIS-2-Richtlinie (EU) 2022/2555 verabschiedet. Sie verpflichtet Betreiber kritischer Infrastrukturen und digitale Dienste zu erhöhten Sicherheitsanforderungen. Besonders relevant sind Art. 21 ff. NIS-2, die Maßnahmen zur Verhinderung von Datenmissbrauch vorschreiben, darunter Risikomanagement, Verschlüsselung und Meldepflichten.

Deutschland setzt diese Vorgaben im BSI-Gesetz (BSIG) um. Nach § 8a BSIG müssen Betreiber „angemessene organisatorische und technische Maßnahmen“ ergreifen, um IT-Sicherheitsvorfälle zu verhindern. Verstöße können als Ordnungswidrigkeit mit bis zu 2 Mio. Euro geahndet werden (§ 14 BSIG).

Die Verbindung von Datenschutz-, IT-Sicherheits- und Verbraucherrecht bildet so ein europäisches Schutzsystem, das Bürgern ermöglicht, auch grenzüberschreitend ihre Rechte bei Identitätsdiebstahl wahrzunehmen.

Europäische Beweisaufnahme und Anerkennung von Urteilen

Urteile deutscher Gerichte in Identitätsdiebstahlsachen werden innerhalb der EU ohne besonderes Anerkennungsverfahren vollstreckt (Art. 36 Brüssel-Ia-VO). Damit können Schadensersatzentscheidungen oder Unterlassungsverfügungen in anderen Mitgliedstaaten direkt durchgesetzt werden.

Für die Beweisaufnahme gilt die Verordnung (EU) 2020/1783, die grenzüberschreitende Zeugenaussagen und elektronische Dokumente erleichtert. In der Praxis können E-Mails, Serverlogs oder Bankauskünfte aus dem Ausland gerichtlich angefordert werden, ohne ein förmliches Rechtshilfeverfahren.

Internationale Täter außerhalb der EU

Bei Tätern außerhalb der Europäischen Union gelten völkerrechtliche Grundsätze. Eine Klage gegen einen Nicht-EU-Täter ist möglich, wenn ein hinreichender Inlandsbezug besteht (§ 32 ZPO – „Tatortprinzip“). Der Bundesgerichtshof hat dieses Prinzip mehrfach bestätigt (vgl. BGH, Urteil v. 02.03.2010, VI ZR 23/09 – Internetveröffentlichung).

Die Vollstreckung ausländischer Urteile außerhalb der EU erfordert regelmäßig ein Anerkennungsverfahren nach § 328 ZPO. Hierbei ist entscheidend, ob ein Gegenseitigkeitsabkommen zwischen Deutschland und dem betreffenden Staat besteht. Für die USA, Russland oder China gelten unterschiedliche bilaterale Regelungen.

Praktisch ratsam ist es, bei internationalen Tätern zivilrechtliche Ansprüche zu bündeln und in Deutschland Feststellungsurteile zu beantragen, die später Grundlage für Interpol- oder Europol-Meldungen werden können.

Europäische Zusammenarbeit in Verbraucherschutzfragen

Die Verordnung (EU) 2017/2394 über die Zusammenarbeit im Verbraucherschutz (CPC-VO) ermöglicht nationalen Behörden, bei grenzüberschreitenden Online-Betrugsfällen Informationen auszutauschen und Maßnahmen zu koordinieren. Deutsche Verbraucher können sich über die Verbraucherzentrale an das Europäische Verbraucherzentrum Deutschland (EVZ) wenden, das in direktem Kontakt mit den Partnerstellen anderer Mitgliedstaaten steht.

So lassen sich betrügerische Online-Shops oder Identitätsplattformen EU-weit sperren, und betroffene Verbraucher erhalten Unterstützung bei der Rückabwicklung. Diese Kooperation ist insbesondere dann relevant, wenn Identitätsdiebstahl durch fingierte Online-Käufe oder Finanzplattformen erfolgt.

Psychologische, wirtschaftliche und sozialrechtliche Folgen des Identitätsdiebstahls

Psychische Belastungen und immaterieller Schaden

Identitätsdiebstahl betrifft weit mehr als nur finanzielle Verluste. Er greift tief in das allgemeine Persönlichkeitsrecht ein, das nach Art. 1 Abs. 1 und Art. 2 Abs. 1 GG verfassungsrechtlich geschützt ist. Wer erlebt, dass seine Identität missbraucht wird, erleidet nicht selten eine erhebliche psychische Beeinträchtigung – geprägt von Kontrollverlust, Angst und Misstrauen gegenüber digitalen Systemen.

Die Rechtsprechung erkennt inzwischen ausdrücklich an, dass ein solcher immaterieller Schaden einen eigenständigen Schmerzensgeldanspruch nach Art. 82 DSGVO begründen kann. Das LG Darmstadt (Urt. v. 26.05.2020, Az. 13 O 244/19) sprach einer Betroffenen 5.000 € zu, nachdem ihre personenbezogenen Daten unbefugt veröffentlicht worden waren. Entscheidend war, dass bereits die bloße Datenpreisgabe eine erhebliche Verletzung des Persönlichkeitsrechts darstellt – ein Grundsatz, der auf Identitätsdiebstahl unmittelbar übertragbar ist.

Psychische Belastungen können zudem als gesundheitliche Schäden im Sinne von § 823 Abs. 1 BGB gewertet werden. Nach medizinischer Dokumentation (z. B. ärztliches Attest) kann der Täter für Behandlungskosten, Therapien oder Verdienstausfall haften. In extremen Fällen kann auch eine Schmerzensgeldrente (§ 843 BGB) geltend gemacht werden.

Parallel bieten einige Bundesländer – etwa Berlin, Hamburg oder Bayern – Opferentschädigungsstellen gemäß dem Sozialgesetzbuch XIV (SGB XIV), die bei erheblichen psychischen Folgen staatliche Leistungen gewähren. Voraussetzung ist der Nachweis einer „rechtswidrigen tätlichen Handlung“ im weiteren Sinn (§ 1 Abs. 1 SGB XIV), worunter auch systematischer Cyberangriff oder massiver Identitätsmissbrauch fallen kann.

Wirtschaftliche Folgen und Bonitätsschäden

Die finanziellen Folgen sind vielfältig: Neben direkten Abbuchungen oder Kreditkartenmissbrauch können langfristige Bonitätsschäden entstehen. Ein unberechtigter negativer Eintrag bei der SCHUFA oder Bürgel kann zu erheblichen Nachteilen bei Kreditanträgen, Mietverträgen oder Jobbewerbungen führen.

Rechtlich liegt hier eine Verletzung des allgemeinen Persönlichkeitsrechts in der Form des Rechts auf informationelle Selbstbestimmung vor (vgl. BVerfG, Urt. v. 15.12.1983 – 1 BvR 209/83). Der Betroffene kann die Löschung falscher Daten nach Art. 17 DSGVO und gegebenenfalls Schadensersatz nach Art. 82 DSGVO verlangen.

Ferner kann ein wirtschaftlicher Schaden nach § 249 BGB geltend gemacht werden, etwa für Kosten der Kontosperrung, Ersatz von Bankgebühren, Aufwendungen für Gutachten, Post- und Dokumentationskosten. Diese Posten sind konkret zu belegen, etwa durch Rechnungen oder Kontoauszüge.

Wird die Bonität infolge eines Identitätsklaues herabgestuft, kann zusätzlich ein Anspruch auf Widerruf oder Gegendarstellung nach § 1004 BGB analog bestehen. Die Veröffentlichung oder Weitergabe unrichtiger Bonitätsdaten stellt eine rechtswidrige Beeinträchtigung dar, die zu unterlassen ist (vgl. BGH, Urt. v. 23.06.2009, Az. VI ZR 196/08).

Sozialrechtliche Auswirkungen

Im Bereich der Sozialleistungen kann Identitätsmissbrauch gravierende Folgen haben, etwa wenn Täter unter fremdem Namen Arbeitslosengeld oder Kindergeld beantragen. Behörden stützen sich bei der Leistungsgewährung auf §§ 60 ff. SGB I (Mitwirkungspflichten). Sobald Unregelmäßigkeiten auftreten, wird häufig ein Ermittlungsverfahren nach § 63 SGB I** eingeleitet, das zur vorläufigen Leistungseinstellung führen kann.

Betroffene sollten umgehend den Identitätsmissbrauch anzeigen und Nachweise (z. B. Polizeibericht, Verbraucherzentrale-Bestätigung) einreichen. Nach § 45 SGB X** kann ein rechtswidriger Bewilligungsbescheid nur aufgehoben werden, wenn der Begünstigte den Missbrauch kannte. Nachweise der eigenen Unschuld verhindern Rückforderungen und entlasten den Betroffenen rechtlich.

Behörden sind verpflichtet, bei Verdacht auf Identitätsdiebstahl das Verfahren auszusetzen (§ 22 SGB X) und Beweise zu sichern. In der Praxis empfiehlt sich die Hinzuziehung eines Fachanwalts für Sozialrecht, insbesondere bei drohender Leistungsversagung oder Bußgeldverfahren.

Opferrechte im Strafverfahren

Opfer von Identitätsdiebstahl sind gemäß § 406d StPO berechtigt, Akteneinsicht zu beantragen, sobald sie als Geschädigte anerkannt sind. Sie können außerdem nach § 403 StPO im Strafverfahren unmittelbar Schadensersatzansprüche geltend machen (sog. Adhäsionsverfahren). Dies ermöglicht eine einheitliche Entscheidung über strafrechtliche und zivilrechtliche Ansprüche.

Weiterhin steht ihnen das Recht zu, sich einer Nebenklage (§ 395 StPO) anzuschließen, wenn die Tat schwere Folgen hatte – etwa bei erheblichem wirtschaftlichen Schaden oder massiver Persönlichkeitsverletzung. Opfer können im Verfahren durch einen Rechtsanwalt vertreten werden; die Kosten trägt in bestimmten Fällen die Staatskasse (§ 397a Abs. 1 Nr. 1 StPO).

Zudem besteht ein Anspruch auf psychosoziale Prozessbegleitung nach § 406g StPO, um Betroffene emotional und organisatorisch zu unterstützen. Diese Leistungen sind besonders für stark belastete Opfer von Identitätsklau vorgesehen, die etwa durch fortgesetzte Bedrohung, Rufschädigung oder existenzielle Notlagen betroffen sind.

Prävention und technische Schutzmaßnahmen

Die effektivste Verteidigung gegen Identitätsklau liegt in der Prävention. Technisch geboten sind starke Passwörter, Zwei-Faktor-Authentifizierung (2FA), aktuelle Sicherheitssoftware sowie Zurückhaltung bei der Preisgabe personenbezogener Daten. Nach Art. 32 DSGVO sind auch private Nutzer verpflichtet, „dem Risiko angemessene Sicherheitsmaßnahmen“ zu treffen, wenn sie personenbezogene Daten verarbeiten – etwa bei Cloud-Nutzung oder Online-Banking.

Empfehlenswert ist die regelmäßige Überprüfung der eigenen Identität auf Plattformen wie „Have I Been Pwned“ oder durch Sicherheitswarnungen von Google und Microsoft. Wird eine Datenpanne vermutet, sollte unverzüglich das Passwort geändert, die Anmeldung über 2FA aktiviert und die Plattform informiert werden.

Darüber hinaus rät die Verbraucherzentrale, sensible Dokumente (Personalausweis, Steuer-ID, IBAN, Krankenkassenkarte) niemals vollständig zu veröffentlichen. Nach § 14 Abs. 1 PAuswG** ist das unbefugte Kopieren oder Verwenden von Personalausweisdaten ohnehin verboten.

Versicherungsschutz und Rechtsschutz

Cyber-Versicherungen decken zunehmend Fälle von Identitätsmissbrauch ab. Je nach Tarif umfasst die Police:
– juristische Erstberatung,
– Wiederherstellung digitaler Identitäten,
– Löschung illegaler Daten im Internet,
– Kostenerstattung für Anwälte oder IT-Forensiker.

Nach § 30 VVG** muss der Schaden „unverzüglich“ gemeldet werden. Unterbleibt die Anzeige schuldhaft, kann der Versicherer leistungsfrei sein (§ 28 Abs. 2 VVG). Betroffene sollten daher direkt nach Entdeckung der Tat sowohl den Versicherer als auch die Verbraucherzentrale informieren.

Eine ergänzende Rechtsschutzversicherung übernimmt Anwaltskosten für Verfahren gegen Banken, Auskunfteien oder Täter (§ 125 VVG). Dabei gilt meist eine Wartezeit von drei Monaten – eine wichtige Information für präventiven Versicherungsschutz.

Arbeitsrechtliche und berufliche Folgen

Wird ein Identitätsdiebstahl öffentlich bekannt, können Arbeitnehmer Reputationsverluste oder arbeitsrechtliche Schwierigkeiten erleiden, etwa wenn unter ihrem Namen betrügerische Bestellungen oder beleidigende Inhalte verbreitet werden. Arbeitgeber dürfen solche Vorfälle jedoch nicht ohne Zustimmung des Betroffenen in der Personalakte vermerken (§ 83 Abs. 1 BetrVG).

Kommt es aufgrund der Falschinformation zu einer Kündigung, kann diese unwirksam sein, wenn der Arbeitnehmer nachweist, dass er Opfer eines Identitätsmissbrauchs war (§ 626 BGB i. V. m. § 242 BGB). Das LAG Baden-Württemberg (Urt. v. 21.07.2021, Az. 4 Sa 27/21) entschied, dass selbst massive Online-Verleumdungen keine Kündigung rechtfertigen, wenn eindeutig Dritte handelten.

Betroffene sollten die Personalabteilung schriftlich informieren, Nachweise beilegen und ggf. eine Richtigstellung verlangen (§ 84 Abs. 1 BetrVG). Eine Meldung bei der Verbraucherzentrale kann als unabhängiger Nachweis dienen.

Gesellschaftliche und politische Dimension

Identitätsdiebstahl ist kein Einzelfall, sondern ein strukturelles Risiko der digitalen Gesellschaft. Laut einer Studie des Bundeskriminalamts aus 2024 wurden über 130.000 Fälle von digitalem Identitätsmissbrauch registriert – mit steigender Tendenz. Der Gesetzgeber reagiert darauf mit Initiativen wie dem Digitale-Dienste-Gesetz (DDG) und der Anpassung des Strafgesetzbuchs durch das 2. Cyber-Sicherheits-Gesetz.

Ziel ist eine verbesserte Haftung von Plattformbetreibern, die nach § 10 DDG verpflichtet sind, rechtswidrige Inhalte oder gefälschte Identitäten unverzüglich zu löschen. Ergänzend soll die Einführung einer Digital-Identity-Wallet auf EU-Ebene (Verordnung (EU) 2024/1183) künftig mehr Kontrolle über persönliche Daten bieten.

Fazit Identitätsdiebstahl melden Verbraucherzentrale

Der Identitätsdiebstahl stellt eine vielschichtige Bedrohung dar, die juristisch, technisch und psychologisch bearbeitet werden muss. Die Verbraucherzentrale bietet dabei eine niederschwellige, seriöse und rechtlich fundierte erste Anlaufstelle. Ihre Unterstützung kann den entscheidenden Unterschied machen, um Schäden zu begrenzen, Rechte zu sichern und langfristige Folgen zu vermeiden.

Handlungsempfehlung:

1. Sofort Sperrung, Anzeige, Dokumentation.
2. Kontaktaufnahme mit Verbraucherzentrale und Datenschutzbehörde.
3. Einleitung zivil- und strafrechtlicher Schritte.
4. Beantragung von Löschungen, Versicherungsleistungen, ggf. Schmerzensgeld.

👉 Jetzt Checkliste „Identitätsdiebstahl melden – Verbraucherzentrale“ herunterladen und rechtssicher reagieren.

Jetzt in 4 Schritten den Identitätsdiebstahl erfolgreich stoppen –

👉 Direkthilfe für Opfer von Identitätsdiebstahl 

FAQ – Identitätsdiebstahl melden Verbraucherzentrale

1. Was ist rechtlich unter Identitätsdiebstahl zu verstehen?

Identitätsdiebstahl bezeichnet die unbefugte Verwendung personenbezogener Daten (§ 3 Abs. 1 BDSG, Art. 4 Nr. 1 DSGVO), um im Namen einer anderen Person rechtsgeschäftlich oder betrügerisch zu handeln. Juristisch handelt es sich häufig um eine Kombination mehrerer Straftatbestände: § 263 StGB (Betrug), § 263a StGB (Computerbetrug), § 202a StGB (Ausspähen von Daten) oder § 269 StGB (Fälschung beweiserheblicher Daten). Auch die missbräuchliche Nutzung von Ausweis- oder Bankdaten kann eine Urkundenfälschung (§ 267 StGB) oder einen Missbrauch von Ausweispapieren (§ 281 StGB) darstellen. Im zivilrechtlichen Sinne wird zudem das allgemeine Persönlichkeitsrecht nach Art. 1 Abs. 1, Art. 2 Abs. 1 GG verletzt. Dieses schützt die Identität als Ausprägung des Selbstbestimmungsrechts. Betroffene können daher Schadensersatz (§ 823 Abs. 1 BGB) und immateriellen Ausgleich nach Art. 82 DSGVO verlangen. Der Identitätsdiebstahl umfasst sowohl analoge als auch digitale Formen, einschließlich Social Engineering, Phishing oder Datenverkauf im Darknet.

2. Wie und wo melde ich Identitätsdiebstahl bei der Verbraucherzentrale?

Die Verbraucherzentrale bietet bundesweit ein zentrales Melde- und Beratungssystem für Fälle von Identitätsklau an. Der erste Schritt ist die schriftliche oder elektronische Meldung über das offizielle Formular der jeweiligen Landesverbraucherzentrale (Rubrik „Digitale Welt“ oder „Datenmissbrauch“). Dabei sollten alle verfügbaren Nachweise beigefügt werden – etwa Kontoauszüge, E-Mails, Vertragsunterlagen oder Mahnschreiben. Die Verbraucherzentrale analysiert den Sachverhalt, prüft rechtliche Handlungsoptionen und stellt Musterbriefe zur Verfügung, etwa zur Sperrung betroffener Konten oder zur Löschung unberechtigter SCHUFA-Einträge. Sie selbst ist keine Ermittlungsbehörde, arbeitet aber eng mit Datenschutzaufsichtsbehörden und der Polizei zusammen (§ 2 Abs. 1 Verbraucherzentralen-Gesetz). Die Meldung dient der Dokumentation des Identitätsdiebstahls und ist eine wertvolle Ergänzung zur Strafanzeige bei der Polizei (§ 158 StPO). Viele Banken und Versicherungen akzeptieren den Nachweis der Verbraucherzentrale bereits als formellen Beleg für eine Missbrauchsmeldung.

3. Warum ist eine Strafanzeige bei der Polizei zwingend notwendig?

Die Verbraucherzentrale kann Betroffene beraten, ist aber keine Ermittlungsinstanz. Eine Strafanzeige bei der Polizei ist unerlässlich, um ein Ermittlungsverfahren durch die Staatsanwaltschaft einzuleiten (§ 152 GVG). Sie dient als Grundlage für Akteneinsicht, Spurensicherung und spätere Schadensersatzforderungen. Die Anzeige kann mündlich oder schriftlich erfolgen (§ 158 StPO). Wichtig ist, alle Belege – E-Mails, IP-Adressen, Kontoauszüge – vorzulegen. Nach der Anzeigenerstattung erhältst du ein Aktenzeichen, das gegenüber Banken, Auskunfteien und Versicherern als Nachweis gilt. Selbst wenn der Täter unbekannt bleibt, dokumentiert die Anzeige deine Sorgfaltspflicht (§ 675v BGB) und verhindert Nachteile bei der Bankhaftung. In internationalen Fällen kann die Polizei über das BKA eine Meldung an Europol (Art. 4 VO (EU) 2016/794) weiterleiten. Die Anzeige schützt nicht nur dich, sondern hilft, Täterstrukturen aufzudecken und systematische Datenmissbräuche zu bekämpfen.

4. Welche Rechte habe ich nach der DSGVO, wenn meine Identität missbraucht wurde?

Die DSGVO gewährt dir weitreichende Schutzrechte: Nach Art. 15 DSGVO hast du Anspruch auf Auskunft über gespeicherte personenbezogene Daten. Du darfst außerdem unrichtige Daten berichtigen lassen (Art. 16 DSGVO) und unrechtmäßig gespeicherte Informationen löschen (Art. 17 DSGVO). Wenn ein Unternehmen deine Daten missbraucht oder unzureichend schützt, haftet es auf Schadensersatz gemäß Art. 82 Abs. 1 DSGVO – auch für immaterielle Schäden wie Stress oder Reputationsverlust. Datenschutzbehörden können Verstöße mit Bußgeldern ahnden (Art. 83 DSGVO). Nach Art. 33 DSGVO besteht zudem eine Meldepflicht des Verantwortlichen bei Datenpannen binnen 72 Stunden. Sollten deine Daten unbefugt weitergegeben worden sein, kannst du dich gemäß Art. 77 DSGVO bei der zuständigen Aufsichtsbehörde beschweren. Die Verbraucherzentrale unterstützt dich bei der Durchsetzung dieser Rechte, insbesondere bei Anträgen auf Löschung, Berichtigung oder Auskunft gegenüber datenverarbeitenden Unternehmen.

5. Was bedeutet „unauthorisierte Zahlung“ im Zusammenhang mit Online-Banking?

Eine unautorisierte Zahlung liegt vor, wenn eine Transaktion ohne Zustimmung des Kontoinhabers erfolgt (§ 675j Abs. 1 BGB). Wird ein Konto durch Identitätsdiebstahl manipuliert – etwa über Phishing oder gehackte TAN-Systeme – ist die Bank verpflichtet, den Betrag unverzüglich zu erstatten (§ 675u Satz 2 BGB). Der Kunde trägt keine Haftung, solange er nicht grob fahrlässig gehandelt hat (§ 675v Abs. 2 BGB). Grobe Fahrlässigkeit liegt nur vor, wenn offensichtliche Sicherheitswarnungen ignoriert oder TANs freiwillig weitergegeben wurden (vgl. BGH, Urt. v. 26.01.2016 – XI ZR 91/14). Der Nachweis der fehlenden Autorisierung erfolgt meist über Kontoauszüge, Login-Protokolle und technische Analysen. Der Kunde muss den Vorfall unverzüglich melden (§ 675v Abs. 1 BGB). Unterlässt er das schuldhaft, kann die Erstattung verweigert werden. Eine Dokumentation durch die Verbraucherzentrale stärkt die Beweisführung gegenüber der Bank erheblich.

6. Wie wehre ich mich gegen falsche SCHUFA-Einträge durch Identitätsmissbrauch?

Zunächst beantragst du eine kostenlose Selbstauskunft nach Art. 15 DSGVO bei der SCHUFA oder anderen Auskunfteien (§ 34 BDSG). Stößt du auf unrichtige Einträge, fordere ihre Löschung nach Art. 17 DSGVO und Berichtigung nach Art. 16 DSGVO. Belege die Unrichtigkeit mit einer Kopie der Strafanzeige, der Verbraucherzentrale-Meldung oder einer Bankbestätigung. Nach § 35 Abs. 2 BDSG muss die SCHUFA falsche oder unzulässige Daten unverzüglich löschen. Reagiert sie nicht, kannst du dich bei der Datenschutzaufsicht Hessen beschweren (§ 77 DSGVO). In dringenden Fällen ist auch eine einstweilige Verfügung nach §§ 935 ff. ZPO möglich, um weitere Datenübermittlungen zu stoppen. Das AG Frankfurt a.M. (Urt. v. 13.12.2019 – 31 C 2571/19) bestätigte, dass eine SCHUFA verpflichtet ist, fehlerhafte Einträge aus Identitätsdiebstahl zu entfernen. Die Verbraucherzentrale stellt passende Musterbriefe und Fristformulare zur Verfügung.

7. Welche Beweise sollte ich bei Identitätsdiebstahl sichern?

Beweise sind die Grundlage jeder Durchsetzung. Sichere alle digitalen und analogen Dokumente: Kontoauszüge, E-Mails, SMS, Bestellbestätigungen, Mahnungen und IP-Adressen. Screenshots sollten mit Zeit- und Datumsangabe erstellt werden, am besten mit Metadaten (EXIF). Logfiles aus Browser oder Banking-App können den Zugriff des Täters belegen. Nach § 371 ZPO gelten elektronische Dokumente als Urkundenbeweis. Für forensische Sicherungen können spezialisierte IT-Sachverständige hinzugezogen werden (§ 402 ZPO). Diese erstellen Gutachten über Manipulationen, Malware oder unautorisierte Zugriffe. Wichtig ist die Beweiskette: keine Änderungen an Originaldateien vornehmen, stattdessen Kopien anfertigen. Ergänze deine Unterlagen durch die Strafanzeige und die Bestätigung der Verbraucherzentrale. Nur so lassen sich Ansprüche auf Schadensersatz (§ 823 BGB, Art. 82 DSGVO) und Unterlassung (§ 1004 BGB analog) erfolgreich durchsetzen.

8. Welche zivilrechtlichen Ansprüche habe ich nach einem Identitätsdiebstahl?

Zivilrechtlich stehen dir mehrere Ansprüche zu:
(1) Schadensersatz (§ 823 Abs. 1 BGB) für Vermögensschäden (z. B. Kontobelastungen, Rücklastschriftgebühren).
(2) Immaterieller Schadensersatz nach Art. 82 DSGVO, etwa für psychische Belastung oder Rufschädigung.
(3) Unterlassungs- und Löschungsanspruch (§ 1004 BGB analog, Art. 17 DSGVO), wenn Daten weiterhin missbräuchlich verarbeitet werden.
(4) Feststellungsklage (§ 256 ZPO) zur gerichtlichen Klärung, dass kein Vertrag besteht.
(5) Einstweilige Verfügung (§§ 935 ff. ZPO) zur schnellen Abwehr weiterer Eingriffe.
Ein Beispiel: Wird unter deinem Namen ein Handyvertrag abgeschlossen, ist dieser mangels eigener Willenserklärung nach § 117 BGB nichtig. Die Verbraucherzentrale hilft bei der Formulierung solcher Erklärungen und verweist bei Bedarf an Fachanwälte für IT- und Medienrecht.

9. Haftet meine Bank automatisch bei Online-Betrug durch Identitätsdiebstahl?

Grundsätzlich ja – die Haftung der Bank ergibt sich aus § 675u BGB. Wird eine Zahlung ohne Autorisierung des Kunden ausgeführt, ist die Bank verpflichtet, den Betrag unverzüglich zu erstatten. Nur bei nachweisbarer grober Fahrlässigkeit des Kunden (§ 675v Abs. 2 BGB) entfällt dieser Anspruch. Grobe Fahrlässigkeit liegt nur vor, wenn der Kunde elementare Sicherheitsregeln verletzt, etwa TAN-Codes an Dritte weitergibt oder Sicherheitswarnungen ignoriert (vgl. BGH, Urt. v. 26.01.2016 – XI ZR 91/14). Das Kreditinstitut trägt die Beweislast dafür, dass die Transaktion vom Kunden selbst ausgelöst oder grob fahrlässig ermöglicht wurde. Banken müssen außerdem über § 25h KWG und § 43 GwG verdächtige Transaktionen überwachen. Wird eine Meldung unterlassen, droht eine aufsichtsrechtliche Sanktion. Betroffene sollten alle Belege dokumentieren und den Vorfall der Verbraucherzentrale melden. Diese prüft Musterbriefe und hilft, die Rückerstattung rechtssicher einzufordern.

10. Was kann ich tun, wenn die Täter im Ausland sitzen?

Bei Tätern innerhalb der EU gilt die Brüssel-Ia-Verordnung (EU) Nr. 1215/2012): Du kannst am Ort des Schadenseintritts klagen (Art. 7 Nr. 2). Dadurch kannst du auch in Deutschland gegen ausländische Täter vorgehen, wenn der Schaden hier eingetreten ist. Für Delikte außerhalb der EU greift das Tatortprinzip des § 32 ZPO. Die deutschen Gerichte sind zuständig, wenn sich die rechtswidrige Handlung im Inland ausgewirkt hat. Ermittlungen erfolgen über das Bundeskriminalamt (BKA), das über Europol und Eurojust internationale Ermittlungsverfahren koordiniert (Art. 4 Europol-VO (EU) 2016/794). Die Durchsetzung von Urteilen erfolgt innerhalb der EU automatisch (Art. 36 Brüssel-Ia-VO). Außerhalb der EU ist eine Anerkennung nach § 328 ZPO erforderlich. Bei internationalen Tätern unterstützt die Verbraucherzentrale in Zusammenarbeit mit dem Europäischen Verbraucherzentrum (EVZ) bei grenzüberschreitenden Rechtsdurchsetzungen.

11. Welche Rolle spielt die Datenschutzaufsichtsbehörde bei Identitätsdiebstahl?

Die Datenschutzaufsichtsbehörde überwacht die Einhaltung der DSGVO und des BDSG. Wird eine Datenpanne durch ein Unternehmen verursacht, ist es verpflichtet, diese binnen 72 Stunden zu melden (Art. 33 DSGVO). Unterlässt das Unternehmen die Meldung oder verletzt es Datenschutzpflichten, kannst du Beschwerde einlegen (Art. 77 DSGVO). Die Behörde prüft den Vorfall und kann Bußgelder bis zu 20 Mio. Euro oder 4 % des Jahresumsatzes verhängen (Art. 83 DSGVO). Zuständig ist die Aufsicht des Bundeslandes, in dem das Unternehmen seinen Sitz hat. Für Auskunfteien etwa ist der Hessische Datenschutzbeauftragte zuständig. Betroffene haben Anspruch auf Auskunft (§ 34 BDSG), Berichtigung und Löschung (§ 35 BDSG). Die Verbraucherzentrale hilft, diese Rechte formgerecht geltend zu machen und Beschwerden zu formulieren. Eine erfolgreiche Beschwerde kann Grundlage für einen Schadensersatzanspruch nach Art. 82 DSGVO sein, selbst wenn kein direkter Vermögensschaden entstanden ist.

12. Kann ich Schmerzensgeld für seelische Belastung nach Identitätsklau verlangen?

Ja, nach Art. 82 DSGVO besteht Anspruch auf Ersatz immaterieller Schäden – also auch psychischer Belastungen, Angst oder Kontrollverlust. Der EuGH stellte im Urteil C-300/21 (Österreichische Post) klar, dass bereits die unrechtmäßige Weitergabe personenbezogener Daten einen Entschädigungsanspruch auslösen kann, auch ohne Vermögensschaden. Deutsche Gerichte haben Schmerzensgelder zwischen 500 und 5.000 Euro zugesprochen, abhängig von Schwere und Dauer der Verletzung (z. B. LG Darmstadt, Urt. v. 26.05.2020 – 13 O 244/19). Wird der Identitätsmissbrauch öffentlich oder über längere Zeit fortgesetzt, kann der Betrag steigen. Grundlage ist das allgemeine Persönlichkeitsrecht aus Art. 1 Abs. 1, Art. 2 Abs. 1 GG, konkretisiert durch § 823 Abs. 1 BGB. Betroffene sollten psychische Folgen ärztlich dokumentieren, um den immateriellen Schaden glaubhaft zu machen (§ 287 ZPO). Die Verbraucherzentrale hilft bei der Formulierung entsprechender Anträge oder Verweise an Fachanwälte.

13. Was tun, wenn ich Inkasso-Schreiben wegen Identitätsbetrug erhalte?

Wenn du Mahnungen oder Inkasso-Forderungen zu Verträgen bekommst, die du nie abgeschlossen hast, solltest du unverzüglich widersprechen (§ 692 Abs. 1 Nr. 3 ZPO). Der Widerspruch erfolgt am besten schriftlich per Einschreiben mit Belegen – etwa der Strafanzeige oder Verbraucherzentrale-Meldung. Unterlasse keine Reaktion, sonst droht ein Vollstreckungsbescheid. Du kannst zudem eine negative Feststellungsklage (§ 256 ZPO) einreichen, um gerichtlich feststellen zu lassen, dass keine Forderung besteht. Inkassounternehmen unterliegen strengen Regeln (§ 11a RDG): Sie dürfen keine offensichtlich unberechtigten Forderungen eintreiben. Wiederholte Belästigungen können zudem einen Unterlassungsanspruch nach § 1004 BGB analog begründen. Bei falschen SCHUFA-Meldungen gilt zusätzlich der Anspruch auf Löschung nach Art. 17 DSGVO. Die Verbraucherzentrale bietet Musterwidersprüche und prüft, ob eine Beschwerde bei der Aufsichtsbehörde oder der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) sinnvoll ist.

14. Wie lange kann ich meine Ansprüche geltend machen?

Die regelmäßige Verjährungsfrist beträgt drei Jahre (§ 195 BGB). Sie beginnt mit dem Ende des Jahres, in dem du von Schaden und Täter Kenntnis erlangst (§ 199 Abs. 1 BGB). Wenn Ermittlungen laufen, ruht die Frist (§ 203 BGB). Für Datenschutzverstöße wird Art. 82 DSGVO analog angewendet – auch hier gilt eine dreijährige Frist ab Kenntnis. Bei andauerndem Missbrauch (z. B. fortbestehender SCHUFA-Eintrag) beginnt die Frist erst mit der Beendigung der Beeinträchtigung (§ 199 Abs. 3 Nr. 1 BGB). Schadensersatzforderungen aus unerlaubter Handlung (§ 823 BGB) verjähren spätestens nach zehn Jahren (§ 199 Abs. 3 Nr. 2 BGB). Die Verbraucherzentrale empfiehlt, Verjährungshemmung durch gerichtlichen Mahnbescheid (§ 204 Abs. 1 Nr. 3 BGB) oder Klageeinreichung (§ 204 Abs. 1 Nr. 1 BGB) sicherzustellen. Frühzeitiges Handeln ist entscheidend, da verspätete Ansprüche von Banken und Unternehmen regelmäßig zurückgewiesen werden.

15. Deckt meine Versicherung Schäden durch Identitätsdiebstahl ab?

Viele moderne Cyber-Versicherungen und Rechtsschutzversicherungen schließen Identitätsmissbrauch explizit ein. Die Versicherungspflicht des Anbieters ergibt sich aus § 1 VVG, die Mitwirkungspflichten des Versicherten aus §§ 30, 31 VVG. Melde den Vorfall unverzüglich, sonst droht Leistungsfreiheit (§ 28 Abs. 2 VVG). Versicherungen übernehmen in der Regel Anwaltskosten, Wiederherstellung digitaler Identitäten, IT-Forensik, psychologische Beratung und Löschung illegaler Inhalte. In manchen Fällen werden auch Kosten für neue Dokumente (Personalausweis, Pass) ersetzt. Die Verbraucherzentrale empfiehlt, Vertragsbedingungen sorgfältig zu prüfen, da „Cybercrime“, „Datenmissbrauch“ und „Identitätsdiebstahl“ teils unterschiedlich definiert sind. Liegt eine bestehende Rechtsschutzversicherung vor, werden Streitkosten nach § 125 VVG übernommen – insbesondere bei Klagen gegen Banken oder Auskunfteien. Wichtig ist die Dokumentation aller Schäden und die parallele Strafanzeige.

16. Welche Aufgaben übernimmt die Verbraucherzentrale konkret?

Die Verbraucherzentrale ist nach § 2 Abs. 1 Verbraucherzentralen-Gesetz (VZVG) zur Aufklärung, Information und Interessenvertretung von Verbrauchern verpflichtet. Bei Identitätsdiebstahl berät sie Betroffene rechtlich, hilft bei der Dokumentation des Falls und stellt Musterbriefe für Banken, Auskunfteien oder Telekommunikationsanbieter zur Verfügung. Sie arbeitet eng mit Datenschutzbehörden und Fachanwälten zusammen, kann aber keine individuelle Rechtsvertretung übernehmen. Darüber hinaus führt sie Abmahnverfahren nach § 8 UWG gegen Unternehmen, die systematisch Verbraucherrechte verletzen, etwa durch mangelhafte Datensicherheit. Ihre Stellungnahmen werden regelmäßig von Gerichten als sachverständig berücksichtigt. Die Meldung an die Verbraucherzentrale ist daher nicht nur beratend, sondern auch beweisunterstützend: Sie zeigt, dass du den Vorfall offiziell gemeldet hast und deiner Mitwirkungspflicht (§ 675v BGB) nachgekommen bist.

17. Wie kann ich Identitätsklau technisch und rechtlich vorbeugen?

Die wirksamste Prävention liegt in sicherem Verhalten und moderner IT-Schutztechnik. Verwende komplexe Passwörter, Passwortmanager und aktiviere die Zwei-Faktor-Authentifizierung (2FA). Öffne keine verdächtigen Links (Phishing) und halte Betriebssystem und Virenschutz aktuell – diese Maßnahmen erfüllen die Anforderungen des Art. 32 DSGVO (technische Sicherheit). Teile sensible Daten nur verschlüsselt oder gar nicht. Prüfe regelmäßig Auskünfte bei SCHUFA oder CRIF Bürgel, um falsche Einträge frühzeitig zu erkennen. Rechtlich kannst du deine Identität durch Sperrlisten (z. B. „Kontoschutzsystem“ des Bankenverbands) und Eintragung bei der „Internet-Beschwerdestelle“ schützen. Beachte, dass das unbefugte Weitergeben von Ausweiskopien gegen § 14 Abs. 1 PAuswG verstoßen kann. Die Verbraucherzentrale bietet regelmäßig Präventionswebinare zu Identitätsmissbrauch und Datenschutz an.

18. Welche Rechte habe ich als Opfer im Strafverfahren?

Als Opfer eines Identitätsdiebstahls bist du Geschädigter im Sinne von § 406d StPO. Du hast das Recht auf Akteneinsicht, kannst im Adhäsionsverfahren (§ 403 StPO) Schadensersatz geltend machen und dich der Nebenklage (§ 395 StPO) anschließen, wenn die Tat erhebliche Folgen hatte. Über die psychosoziale Prozessbegleitung (§ 406g StPO) erhältst du emotionale und organisatorische Unterstützung während des Verfahrens. Ein Opferanwalt kann dich vertreten; die Kosten trägt in bestimmten Fällen der Staat (§ 397a StPO). Nach Abschluss des Strafverfahrens können zivilrechtliche Ansprüche einfacher durchgesetzt werden, da die Schuld des Täters bereits rechtskräftig festgestellt wurde (§ 322 ZPO). Die Verbraucherzentrale unterstützt bei der Einordnung deiner Opferrechte und verweist bei Bedarf an Opferhilfeorganisationen wie den Weißen Ring.

19. Was tun, wenn mein Personalausweis oder Reisepass missbraucht wurde?

Melde den Missbrauch sofort bei der Ausweis- oder Passbehörde (§ 28 PAuswG, § 7 PassG). Der unbefugte Gebrauch amtlicher Ausweisdaten ist eine Straftat nach § 281 StGB (Missbrauch von Ausweispapieren). Die Behörde sperrt die Ausweisnummer und kann den Ausweis für ungültig erklären (§ 29 PAuswG). Beantrage umgehend ein neues Dokument und notiere die alte Nummer, um Missbrauchsnachweise zu ermöglichen. Informiere zusätzlich Banken, Versicherungen, Arbeitgeber und Mobilfunkanbieter über den Vorfall. Wenn der Personalausweis online genutzt wurde (eID-Funktion), sperre diesen Zugang über den Sperrnotruf 116 116. Bei fortgesetztem Missbrauch kannst du die Löschung deiner Personalausweisnummer aus unrechtmäßigen Datenbanken verlangen (Art. 17 DSGVO). Die Verbraucherzentrale hält Checklisten und Vorlagen zur Anzeige des Ausweis-Missbrauchs bereit.

20. Was kann ich tun, wenn meine Daten im Darknet verkauft werden?

Wird bekannt, dass deine Daten im Darknet kursieren, sichere zunächst Beweise: Screenshots, URLs und Zeitangaben. Melde den Vorfall der Polizei und der Verbraucherzentrale. Unternehmen, die für die Daten verantwortlich sind (z. B. Online-Shops, Banken), müssen die Panne binnen 72 Stunden der Datenschutzaufsicht melden (Art. 33 DSGVO). Du kannst eine Auskunft nach Art. 15 DSGVO verlangen, um die Quelle des Lecks zu identifizieren. Bei vorsätzlichem oder fahrlässigem Verhalten besteht Anspruch auf Schadensersatz nach Art. 82 DSGVO. Zudem sollte sofort das Passwort geändert, 2FA aktiviert und alle Konten auf verdächtige Aktivitäten geprüft werden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die Verbraucherzentrale geben aktuelle Warnungen zu Datenlecks heraus. Eine Anzeige ist auch über das Portal „Cybercrime Polizei“ möglich.