Identitätsdiebstahl verstehen und verhindern – juristisch sicher handeln

Juristische Einordnung und Abgrenzung

Nach deutschem Recht ist Identitätsdiebstahl ein Sammelbegriff für verschiedene Tatbestände. Entscheidend ist, ob der Täter die Daten „unbefugt“ nutzt und dadurch Vermögens- oder Persönlichkeitsrechte verletzt. Zivilrechtlich kann ein Anspruch auf Schadensersatz nach § 823 Abs. 1 BGB entstehen, wenn das allgemeine Persönlichkeitsrecht verletzt wurde. Dieses wird aus Art. 1 Abs. 1 und Art. 2 Abs. 1 GG abgeleitet und durch die Rechtsprechung des Bundesgerichtshofs (BGH, Urteil v. 05.10.2004 – VI ZR 255/03) konkretisiert. Datenschutzrechtlich greifen Art. 82 DSGVO (Schadensersatz bei Datenschutzverstößen) und Art. 17 DSGVO (Recht auf Löschung).

Strafrechtliche Aspekte

Die strafrechtliche Bewertung hängt vom konkreten Vorgehen ab. Wird beispielsweise ein Online-Banking-Zugang gehackt und eine unautorisierte Überweisung getätigt, liegt regelmäßig Computerbetrug nach § 263a StGB vor. Der Täter täuscht das System über die Berechtigung zur Verfügung und erlangt dadurch fremdes Vermögen. Wird hingegen der Personalausweis oder Reisepass missbraucht, kann § 281 StGB (Missbrauch von Ausweispapieren) einschlägig sein. Auch die unbefugte Verwendung personenbezogener Daten im Internet kann strafbar sein, wenn sie zur Täuschung im Rechtsverkehr dient (§ 269 StGB).

Zivilrechtliche Ansprüche der Betroffenen

Betroffene können gegen Täter oder Plattformbetreiber Ansprüche auf Unterlassung (§ 1004 BGB analog) und Schadensersatz (§ 823 BGB) geltend machen. Auch gegen Banken oder Auskunfteien kommen Ansprüche in Betracht, wenn diese trotz Hinweis auf einen Identitätsklau fehlerhafte Daten speichern. Nach § 280 Abs. 1 BGB i. V. m. dem jeweiligen Vertragsverhältnis haftet der Verantwortliche für Pflichtverletzungen. Die Rechtsprechung erkennt zunehmend auch immaterielle Schäden an, insbesondere bei Rufschäden oder psychischer Belastung (vgl. Art. 82 Abs. 1 DSGVO).

Datenschutz und DSGVO

Die Datenschutz-Grundverordnung bildet den zentralen europäischen Rechtsrahmen. Personenbezogene Daten dürfen nach Art. 6 DSGVO nur rechtmäßig verarbeitet werden. Kommt es zu einem Identitätsmissbrauch durch Datenpanne, ist die verantwortliche Stelle gemäß Art. 33 DSGVO verpflichtet, die Aufsichtsbehörde innerhalb von 72 Stunden zu informieren. Betroffene haben das Recht auf Auskunft (Art. 15 DSGVO) und auf Löschung ihrer Daten (Art. 17 DSGVO). Nach Art. 82 DSGVO kann ein Betroffener Schadensersatz verlangen, wenn durch die Datenschutzverletzung ein materieller oder immaterieller Schaden entstanden ist.

Identitätsdiebstahl im Online-Banking

Bank- und Kreditkartenbetrug sind die häufigsten Erscheinungsformen des Identitätsdiebstahls. Wird ein Konto gehackt oder eine IBAN missbraucht, liegt meist ein Verstoß gegen § 263a StGB vor. Nach § 675u BGB haftet die Bank grundsätzlich für unautorisierte Zahlungsvorgänge, es sei denn, der Kunde hat grob fahrlässig gehandelt (§ 675v Abs. 3 BGB). Gerichte nehmen Fahrlässigkeit an, wenn Sicherheitsvorkehrungen wie Zwei-Faktor-Authentifizierung ignoriert oder Passwörter mehrfach verwendet werden.

Folgen für die SCHUFA und Bonität

Ein gravierendes Problem entsteht, wenn durch den Identitätsklau Verträge unter falschem Namen geschlossen werden. Kommt es zu unbezahlten Rechnungen, melden Gläubiger die Forderung an Auskunfteien wie SCHUFA, CRIF Bürgel oder Creditreform. Der Eintrag kann die Bonität erheblich beeinträchtigen. Betroffene haben nach Art. 16 DSGVO Anspruch auf Berichtigung unrichtiger Daten und nach Art. 17 DSGVO auf Löschung. Wird die Löschung verweigert, kann der Betroffene sich an die zuständige Datenschutzaufsicht wenden oder den Anspruch gerichtlich durchsetzen (z. B. LG Frankfurt a. M., Urt. v. 03.09.2020 – 2-05 O 151/19).

Identitätsdiebstahl gegenüber Behörden

Auch Behörden werden zunehmend Ziel von Identitätsmissbrauch. Täter reichen gefälschte Anträge auf Sozialleistungen ein oder nutzen gestohlene Ausweisdaten für Steuer- oder Führerscheinangelegenheiten. Die unbefugte Nutzung amtlicher Identitätsnachweise kann den Tatbestand des § 281 StGB erfüllen. Wird ein Reisepass missbraucht, ist die Verlustanzeige bei der Polizei zwingend. Das Bundesministerium des Innern empfiehlt, Missbrauchsfälle sofort im Ausweisregister kennzeichnen zu lassen, um weitere Schäden zu vermeiden.

Versicherungsrechtliche Aspekte

Cyber-Versicherungen und Rechtsschutzversicherungen bieten zunehmend Deckung bei Identitätsklau. Versicherungsbedingungen regeln, ob die Kosten für Anwaltsberatung, Datenwiederherstellung oder Schadensabwehr übernommen werden. Maßgeblich sind die allgemeinen Versicherungsbedingungen (AVB). Viele Policen sehen eine Kostendeckung bei Phishing- oder Online-Betrugsfällen vor, sofern kein grob fahrlässiges Verhalten vorliegt.

Zivilprozessuale Möglichkeiten

Opfer können einstweilige Verfügungen beantragen, um weitere Rechtsverletzungen zu stoppen (§§ 935 ff. ZPO). Außerdem besteht die Möglichkeit einer Feststellungsklage nach § 256 ZPO, um gerichtlich feststellen zu lassen, dass ein bestimmter Vertrag wegen Identitätsbetrugs nicht zustande gekommen ist. Wird etwa ein Handyvertrag unter falschem Namen geschlossen, kann das Gericht feststellen, dass keine vertragliche Bindung besteht.

Prävention und technische Schutzmaßnahmen

Die effektivste Verteidigung gegen Identitätsmissbrauch liegt in Prävention. Sichere Passwörter, aktuelle Virenschutzsoftware, Zwei-Faktor-Authentifizierung und Wachsamkeit bei E-Mails sind entscheidend. Phishing-Mails zielen darauf ab, sensible Daten abzugreifen, indem sie täuschend echt aussehen. Eine Cyber-Versicherung kann zusätzliche Sicherheit bieten, ersetzt aber keine Eigenverantwortung. Auch regelmäßige Auskunft bei der SCHUFA nach § 34 BDSG kann helfen, frühzeitig Unregelmäßigkeiten zu erkennen.

Internationale Dimension und EU-Recht

Da viele Täter aus dem Ausland agieren, spielt europäisches Strafrecht eine zunehmende Rolle. Die Richtlinie (EU) 2013/40 über Angriffe auf Informationssysteme verpflichtet Mitgliedstaaten zur Strafverfolgung von Cybercrime. Europol koordiniert über das „European Cybercrime Centre (EC3)“ grenzüberschreitende Ermittlungen. Für die internationale Rechtshilfe gelten die Bestimmungen des EU-Rechtshilfeübereinkommens und der Verordnung (EU) 2016/794.

Opferrechte und Strafverfahren

Betroffene von Identitätsdiebstahl sind keine bloßen Zeugen, sondern Verletzte im Sinne der Strafprozessordnung. Nach § 406e StPO haben sie Anspruch auf Akteneinsicht, soweit berechtigte Interessen bestehen. Zudem können sie im Strafverfahren als Nebenkläger auftreten (§§ 395 ff. StPO). Diese Beteiligung eröffnet das Recht auf Anwesenheit in der Hauptverhandlung, das Stellen von Beweisanträgen und die Möglichkeit, Rechtsmittel einzulegen. Im Rahmen der Nebenklage können auch Schmerzensgeld- und Schadensersatzforderungen vorbereitet werden. Nach Art. 82 DSGVO besteht ein unmittelbarer Schadensersatzanspruch gegen den Verantwortlichen für unrechtmäßige Datenverarbeitung.

Wird die Tat angezeigt, leitet die Polizei die Ermittlungen an die Staatsanwaltschaft weiter. Die Ermittlungsbehörden können gemäß § 100g StPO Verkehrsdaten erheben und IP-Adressen zuordnen, um Täter zu identifizieren. Gerade bei Online-Betrug spielt die digitale Spurensicherung eine zentrale Rolle.

Technische Ermittlungen und IT-Forensik

Digitale Forensik ermöglicht die Nachverfolgung krimineller Aktivitäten im Netz. Beweissicherung erfolgt durch die Analyse von Logfiles, IP-Traces, E-Mail-Headern und Darknet-Foren. Bei Identitätsklau über Phishing-Websites werden oft Domains und Server außerhalb der EU verwendet, was die Ermittlungen erschwert. Hier greifen internationale Übereinkommen wie das Übereinkommen über Computerkriminalität des Europarates (Budapester Übereinkommen, 2001). Behörden wie Europol und Interpol tauschen regelmäßig Informationen über Tätergruppen aus.

In Deutschland obliegt die Zuständigkeit für Cybercrime überwiegend den Landeskriminalämtern. Das Bundeskriminalamt (BKA) betreibt spezielle IT-Forensik-Einheiten, die Datenflüsse rekonstruieren und gestohlene Identitäten zurückverfolgen. Auch private IT-Gutachter werden herangezogen, etwa um Schadsoftware zu identifizieren oder Beweise gerichtsfest zu sichern.

Psychologische und soziale Folgen

Identitätsdiebstahl verursacht nicht nur finanzielle, sondern auch erhebliche psychische Belastungen. Betroffene erleben Kontrollverlust, Angst und Scham, wenn ihre Daten missbraucht werden. Besonders gravierend sind Fälle, in denen falsche SCHUFA-Einträge oder Strafanzeigen auf den Namen des Opfers lauten. Studien des Bundesamts für Sicherheit in der Informationstechnik (BSI) zeigen, dass rund 30 % der Opfer längerfristige psychische Folgen erleiden.

Juristisch können solche seelischen Belastungen nach § 253 Abs. 2 BGB in Verbindung mit Art. 82 DSGVO Schmerzensgeldansprüche begründen. Das LG Darmstadt (Urt. v. 26.05.2020 – 13 O 244/19) sprach einem Kläger 1000 € immateriellen Schadensersatz wegen fehlerhafter Datenverarbeitung zu. Auch reputationsbezogene Schäden gelten als immaterieller Nachteil im Sinne der DSGVO.

Präventive rechtliche Maßnahmen

Jede Privatperson kann sich proaktiv vor Identitätsmissbrauch schützen. Neben technischer Vorsorge empfiehlt sich die regelmäßige Überprüfung von Vertragsabschlüssen, Kontoauszügen und Bonitätsauskünften. Nach § 34 BDSG steht jedem Bürger einmal jährlich eine kostenlose Selbstauskunft bei Auskunfteien zu. Frühzeitige Erkennung vermeidet Schäden und sichert Beweise.

Juristisch ist es sinnvoll, Identitätsmissbrauch sofort anzuzeigen. Die Polizei nimmt nach § 158 StPO Anzeigen auch formlos entgegen, etwa online über das „Internetwache“-Portal der Länder. Nach der Anzeige ist es wichtig, sämtliche Nachweise zu dokumentieren und Kopien verdächtiger Schreiben aufzubewahren.

Internationale Täter und Rechtshilfe

Ein Großteil der Täter operiert aus dem Ausland. Das erschwert nationale Strafverfolgung, weshalb die EU verstärkt auf Kooperation setzt. Die Verordnung (EU) 2016/794 über Europol ermöglicht die grenzüberschreitende Ermittlung im Bereich Cybercrime. Internationale Rechtshilfe erfolgt nach dem Europäischen Rechtshilfeübereinkommen oder bilateralen Abkommen.

Die DSGVO hat extraterritoriale Wirkung (Art. 3 Abs. 2 DSGVO). Das bedeutet, dass auch außereuropäische Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten, den europäischen Datenschutzbestimmungen unterliegen. Opfer können daher Ansprüche auch gegen internationale Plattformen geltend machen, sofern diese auf den EU-Markt ausgerichtet sind.

Wirtschaftliche und rechtliche Folgen

Die finanziellen Schäden eines Identitätsklau sind vielfältig: unautorisierte Überweisungen, Kreditkartenbetrug, Vertragsabschlüsse oder Mahnbescheide. Zivilrechtlich trägt der Täter die volle Haftung für den entstandenen Schaden (§ 823 BGB). Problematisch ist jedoch die Durchsetzung, da Täter oft unbekannt bleiben. In solchen Fällen kann auch derjenige haftbar sein, der die Sicherheitsvorkehrungen grob vernachlässigt hat – etwa durch Weitergabe von Passwörtern.

Gerichte erkennen zunehmend an, dass Betroffene durch negative Bonitätsauskünfte oder Rufschädigung wirtschaftliche Nachteile erleiden. Diese können Gegenstand von Schadensersatzklagen sein. Besonders relevant ist die Wiederherstellung der wirtschaftlichen Handlungsfähigkeit: Löschung falscher SCHUFA-Einträge, Korrektur von Vertragsdaten und Schutz vor weiteren Zugriffen.

Prävention im digitalen Alltag

Zwei-Faktor-Authentifizierung, starke Passwörter und regelmäßige Software-Updates sind essenziell. Keine Bank oder Behörde fordert Passwörter per E-Mail an – entsprechende Nachrichten sind nahezu immer Phishing-Versuche. Sicherheitsbewusstsein ist juristisch relevant, weil Gerichte bei grober Fahrlässigkeit die Haftung der Opfer einschränken (§ 254 BGB). Wer sensible Daten unverschlüsselt versendet oder öffentliche WLANs für Bankgeschäfte nutzt, kann Mitverschulden tragen.

Auch soziale Netzwerke sind Einfallstore. Täter übernehmen Profile, um Freunde oder Familie zu täuschen. Hier gilt: Je weniger persönliche Informationen öffentlich zugänglich sind, desto geringer ist das Risiko.

Fazit – juristisch sicher handeln bei Identitätsdiebstahl

Identitätsdiebstahl ist kein Bagatelldelikt, sondern eine schwerwiegende Verletzung der informationellen Selbstbestimmung. Zivilrechtliche, strafrechtliche und datenschutzrechtliche Regelungen greifen ineinander, um den Schutz der Betroffenen sicherzustellen. Wichtig ist, unverzüglich zu handeln: Anzeige erstatten, Daten korrigieren lassen, Verträge anfechten und gegebenenfalls anwaltliche Hilfe in Anspruch nehmen.

Die Rechtsprechung entwickelt sich fortlaufend, um digitale Identität als eigenständiges Rechtsgut zu schützen. Wer sich informiert, technisch vorsorgt und rechtlich abgesichert handelt, kann das Risiko erheblich senken.

👉 Jetzt rechtssicher handeln:
Sichere deine Daten, prüfe deine SCHUFA-Auskunft und informiere dich über aktuelle Urteile und DSGVO-Rechte. Juristische Vorlagen und Handlungshilfen findest du bei spezialisierten Kanzleien und Datenschutzstellen.

Jetzt in 4 Schritten den Identitätsdiebstahl erfolgreich stoppen –

👉 Direkthilfe für Opfer von Identitätsdiebstahl 

FAQ – Identitätsdiebstahl

1. Was ist Identitätsdiebstahl nach deutschem Recht?

Identitätsdiebstahl bezeichnet die unbefugte Nutzung personenbezogener Daten einer anderen Person, um im Rechtsverkehr zu täuschen oder Vermögensvorteile zu erlangen. Ein eigenständiger Tatbestand besteht im Strafgesetzbuch nicht, jedoch greifen mehrere Vorschriften: § 263 StGB (Betrug), § 269 StGB (Fälschung beweiserheblicher Daten) und § 303a StGB (Datenveränderung). Wird etwa eine fremde Identität zum Abschluss eines Handyvertrags verwendet, entsteht ein täuschungsbedingter Vermögensschaden beim Anbieter, während das Opfer reputationsrechtlich betroffen ist. Zivilrechtlich kann das Opfer Schadensersatz gemäß § 823 Abs. 1 BGB i.V.m. dem allgemeinen Persönlichkeitsrecht verlangen. Datenschutzrechtlich ist der unbefugte Umgang mit personenbezogenen Daten nach Art. 6 Abs. 1 DSGVO unzulässig. Die Rechtsprechung erkennt seit dem BGH-Urteil vom 05.10.2004 – VI ZR 255/03 die informationelle Selbstbestimmung als Teil des Persönlichkeitsrechts an, was den Schutzbereich des Identitätsmissbrauchs erheblich erweitert.

2. Ist Identitätsdiebstahl strafbar?

Ja. Auch ohne speziellen Paragrafen ist Identitätsdiebstahl strafbar, sobald die Tatbestände des Strafgesetzbuchs erfüllt sind. Wird beispielsweise mit fremden Zugangsdaten Online-Banking betrieben, greift § 263a StGB (Computerbetrug). Das unbefugte Verändern oder Löschen von Datensätzen ist nach § 303a StGB strafbar. Kommt gefälschte Identität in Dokumenten oder elektronischen Signaturen zum Einsatz, liegt eine Urkundenfälschung (§ 267 StGB) oder Fälschung beweiserheblicher Daten (§ 269 StGB) vor. Die Strafen reichen bis zu fünf Jahren Freiheitsstrafe, in besonders schweren Fällen bis zu zehn Jahren. Bei bandenmäßigem Vorgehen greifen die Regelungen des § 263 Abs. 5 StGB. Zusätzlich kann die unzulässige Verarbeitung personenbezogener Daten als Ordnungswidrigkeit gemäß Art. 83 DSGVO mit Bußgeldern von bis zu 20 Mio. € oder 4 % des Jahresumsatzes sanktioniert werden.

3. Welche Rechte haben Betroffene laut DSGVO?

Die Datenschutz-Grundverordnung verleiht Betroffenen umfassende Rechte. Art. 15 DSGVO gewährt Auskunft über gespeicherte Daten und deren Herkunft. Art. 16 DSGVO ermöglicht Berichtigung falscher Einträge, Art. 17 DSGVO garantiert Löschung unrechtmäßig verarbeiteter Daten. Bei Identitätsdiebstahl können Betroffene verlangen, dass unbefugt angelegte Konten oder Verträge gelöscht werden. Nach Art. 82 DSGVO steht ihnen Schadensersatz zu – auch für immaterielle Schäden wie Rufschädigung oder seelische Belastung. Das LG Darmstadt (26.05.2020 – 13 O 244/19) sprach einem Opfer 1000 € zu, nachdem ein Energieversorger falsche Vertragsdaten nicht gelöscht hatte. Datenschutzaufsichtsbehörden sind verpflichtet, Beschwerden zu prüfen (Art. 77 DSGVO).

4. Wie kann man Anzeige wegen Identitätsdiebstahl erstatten?

Nach § 158 StPO kann jede Person Anzeige bei der Polizei, Staatsanwaltschaft oder über die Onlinewachen der Länder erstatten. Wichtig sind Beweismittel: Kontoauszüge, Vertragskopien, E-Mails, IP-Protokolle. Die Anzeige sollte den konkreten Schaden und bekannte Täterhinweise enthalten. Die Polizei leitet das Verfahren an die Staatsanwaltschaft weiter. Diese prüft gemäß § 152 Abs. 2 StPO, ob ein Anfangsverdacht besteht. Bei digitalen Delikten werden spezialisierte Cybercrime-Abteilungen eingeschaltet. Betroffene erhalten ein Aktenzeichen, das sie später für Bank- oder SCHUFA-Korrespondenz benötigen. Eine frühzeitige Anzeige hilft, weitere Straftaten zu verhindern und zivilrechtliche Ansprüche zu sichern.

5. Was passiert nach der Strafanzeige?

Nach Eingang der Anzeige beginnt das Ermittlungsverfahren. Die Polizei sichert Beweise und hört Zeugen. Bei Online-Delikten werden IP-Adressen, Serverdaten und Zahlungsströme analysiert. Die Staatsanwaltschaft entscheidet, ob Anklage erhoben wird (§ 170 Abs. 1 StPO). Kommt kein Täter in Betracht, wird das Verfahren nach § 170 Abs. 2 StPO eingestellt. Opfer können Akteneinsicht beantragen (§ 406e StPO) oder sich dem Verfahren als Nebenkläger anschließen (§ 395 StPO). Auch wenn das Verfahren eingestellt wird, bleibt die Anzeige wichtig: Sie dient als Nachweis gegenüber Banken, Versicherern und Behörden.

6. Wie lassen sich falsche SCHUFA-Einträge löschen?

Falsche SCHUFA-Einträge nach Identitätsdiebstahl verletzen das Recht auf informationelle Selbstbestimmung. Nach Art. 16 DSGVO kann Berichtigung verlangt werden, nach Art. 17 DSGVO die Löschung. Grundlage im deutschen Recht ist § 34 BDSG. Die SCHUFA muss den Vorgang prüfen und unrichtige Daten entfernen. Bestätigt sich der Identitätsmissbrauch, sind alle negativen Einträge zu löschen. Wird der Antrag verweigert, kann der Betroffene Beschwerde bei der zuständigen Datenschutzaufsicht (z. B. Hessen) einlegen oder Klage beim LG Frankfurt a. M. einreichen, das für die SCHUFA zuständig ist. Eine anwaltliche Geltendmachung erhöht die Erfolgsquote erheblich.

7. Wer haftet beim Online-Banking-Betrug?

Gemäß § 675u BGB haftet grundsätzlich die Bank für unautorisierte Zahlungsvorgänge. Nur wenn der Kunde grob fahrlässig handelte – etwa durch Preisgabe der PIN – kann die Bank die Erstattung verweigern (§ 675v Abs. 3 BGB). Gerichte verlangen den Nachweis konkreter Fahrlässigkeit. Das AG Frankfurt a. M. (Urt. v. 23.06.2021 – 32 C 51/21) entschied, dass allein der Klick auf eine täuschend echte Phishing-Mail keine grobe Fahrlässigkeit begründet. Der Schadensersatzanspruch bleibt bestehen. Wichtig ist, den Betrug sofort der Bank zu melden, um Konten zu sperren und Rückbuchungen einzuleiten.

8. Was tun, wenn Personalausweis oder Reisepass missbraucht wurde?

Der Missbrauch amtlicher Ausweispapiere ist nach § 281 StGB strafbar. Wird der Ausweis gestohlen oder kopiert, sollte umgehend Anzeige erstattet und beim Bürgeramt eine Sperrung veranlasst werden. Die Sperrhotline 116 116 ermöglicht sofortige Deaktivierung der eID-Funktion. Neue Dokumente müssen beantragt werden. Behörden können im Ausweisregister einen Sperrvermerk setzen, um weiteren Missbrauch zu verhindern. Zivilrechtlich können Opfer nach § 823 BGB Schadensersatz fordern, wenn durch den Missbrauch Verträge entstanden sind. Betroffene sollten außerdem prüfen, ob Kopien des Ausweises im Internet kursieren, und Löschanträge nach Art. 17 DSGVO stellen.

9. Welche Schadensersatzansprüche bestehen?

Bei Identitätsdiebstahl können materielle (Vermögensschaden) und immaterielle (seelische Belastung, Rufschädigung) Schäden entstehen. Anspruchsgrundlagen sind § 823 BGB, § 826 BGB sowie Art. 82 DSGVO. Der Täter haftet voll für alle kausal verursachten Schäden. Gerichte sprechen zunehmend immateriellen Schadensersatz zu, wenn Datenschutzverstöße gravierende Folgen haben. So urteilte das AG Pfaffenhofen (15.09.2022 – 2 C 133/22), dass schon der Kontrollverlust über persönliche Daten einen ersatzfähigen Schaden darstellen kann. Die Höhe richtet sich nach Intensität und Dauer der Beeinträchtigung.

10. Wie lassen sich missbräuchlich gespeicherte Daten löschen?

Das Recht auf Löschung nach Art. 17 DSGVO erlaubt es, unrechtmäßig gespeicherte Daten zu entfernen. Der Antrag muss sich an den Verantwortlichen (z. B. Online-Shop, Plattform, Auskunftei) richten und den Missbrauch nachweisen. Wird der Antrag abgelehnt, kann die zuständige Datenschutzbehörde eingeschaltet oder Klage vor dem Verwaltungsgericht erhoben werden. Unternehmen müssen den Löschantrag binnen eines Monats bearbeiten (Art. 12 Abs. 3 DSGVO). Bei Identitätsdiebstahl empfiehlt sich zusätzlich, Suchmaschinenbetreiber (Google, Bing) zur Entfernung kompromittierender Inhalte aufzufordern („Right to be forgotten“, EuGH C-507/17 – Google Spain).

11. Hilft eine Rechtsschutz- oder Cyberversicherung?

Ja. Moderne Cyber- oder Internet-Rechtsschutzversicherungen decken Beratungskosten, IT-Forensik und anwaltliche Vertretung. Die Versicherungsbedingungen (ARB) definieren, wann Deckung greift. Meist gilt sie bei Phishing, Online-Shopping-Betrug oder Identitätsklau. Die Kostenübernahme umfasst auch Verfahren auf Löschung falscher SCHUFA-Einträge oder DSGVO-Schadensersatzklagen. Wichtig ist, den Schaden unverzüglich zu melden (§ 104 VVG). Bei grober Fahrlässigkeit kann der Anspruch entfallen. Einige Policen (z. B. Allianz CyberPrivat) bieten präventive Sicherheits-Audits an.

12. Welche Kosten entstehen bei anwaltlicher Hilfe?

Die Vergütung richtet sich nach dem Rechtsanwaltsvergütungsgesetz (RVG). Maßgeblich ist der Streitwert: Bei falscher SCHUFA-Meldung etwa 5 000 €. Daraus ergibt sich eine 1,3-Geschäftsgebühr (§ 13 RVG-VV) von rund 400 €. Rechtsschutzversicherungen übernehmen diese Kosten meist vollständig. Für einkommensschwache Personen besteht Anspruch auf Beratungshilfe (§ 1 BerHG). Bei gerichtlichen Verfahren trägt im Erfolgsfall der Gegner die Kosten (§ 91 ZPO).

13. Wie kann man sich effektiv vor Phishing und Social Engineering schützen?

Phishing ist die häufigste Methode des Identitätsdiebstahls im Internet. Täter verschicken täuschend echte E-Mails, die zu gefälschten Login-Seiten führen. Social Engineering nutzt psychologische Manipulation, um Opfer zur Preisgabe sensibler Daten zu bewegen. Rechtlich relevant wird Fahrlässigkeit: Wer grob unvorsichtig handelt, kann nach § 254 BGB ein Mitverschulden tragen und damit Ansprüche gegen Banken oder Versicherungen gefährden. Zur Prävention empfiehlt das Bundesamt für Sicherheit in der Informationstechnik (BSI): starke Passwörter, Zwei-Faktor-Authentifizierung, Misstrauen bei Links und regelmäßige Softwareupdates. Technische Schutzmaßnahmen allein genügen aber nicht – entscheidend ist Bewusstsein. Bei Verdacht auf Phishing sollte sofort das Passwort geändert, das betroffene Konto gesperrt und Anzeige erstattet werden. Strafrechtlich liegt häufig Computerbetrug nach § 263a StGB vor.

14. Was ist, wenn persönliche Daten im Darknet verkauft werden?

Werden persönliche Daten im Darknet gehandelt, liegt in der Regel ein Verstoß gegen § 202a StGB (Ausspähen von Daten) und § 303a StGB (Datenveränderung) vor. Das BKA arbeitet in solchen Fällen mit Europol und Interpol zusammen, gestützt auf das Budapester Übereinkommen (2001). Betroffene können Anzeige erstatten und gemäß Art. 15 DSGVO Auskunft über die Herkunft der Daten verlangen. Wichtig ist, kompromittierte Konten sofort zu sichern, Passwörter zu ändern und Zahlungsdaten zu überwachen. Oft stammen die Daten aus Sicherheitslücken von Online-Diensten – in diesem Fall greift Art. 33 DSGVO, wonach das Unternehmen die Datenschutzaufsicht binnen 72 Stunden informieren muss. Schadensersatzansprüche ergeben sich aus Art. 82 DSGVO. Wer Daten im Darknet anbietet oder erwirbt, macht sich selbst strafbar (§ 202d StGB – Datenhehlerei).

15. Können Jugendliche Opfer von Identitätsdiebstahl werden?

Ja, Jugendliche sind besonders gefährdet. Sie teilen häufig persönliche Informationen in sozialen Netzwerken, was Angreifern Missbrauch erleichtert. Wird z. B. ein Fake-Profil erstellt oder ein Account übernommen, können nach § 238 StGB (Nachstellung) oder § 263a StGB (Computerbetrug) Straftaten vorliegen. Eltern haben nach § 1626 BGB eine Aufsichtspflicht und müssen Kinder über Risiken digitaler Kommunikation aufklären. Plattformen wie Instagram oder TikTok sind nach der DSGVO (Art. 8) verpflichtet, bei minderjährigen Nutzern eine Einwilligung der Eltern einzuholen. Bei Verstößen gegen diese Pflicht können Bußgelder verhängt werden. Jugendliche sollten lernen, keine Ausweisdokumente oder Passfotos online zu posten. Schulen, Verbraucherzentralen und das BSI bieten Präventionsprogramme, um digitale Selbstbestimmung zu stärken.

16. Warum sind Senioren besonders häufig betroffen?

Senioren werden überdurchschnittlich oft Opfer von Identitätsbetrug, insbesondere durch Telefon- und Onlinebetrug. Täter nutzen mangelnde Technikkenntnis oder Vertrauen aus („Enkeltrick 2.0“). Häufig werden E-Mails oder Briefe gefälscht, um an Bankdaten zu gelangen. Rechtlich handelt es sich meist um Betrug nach § 263 StGB oder Computerbetrug (§ 263a StGB). Präventiv rät das BSI, keine sensiblen Daten telefonisch preiszugeben und bei unbekannten Absendern stets zu misstrauen. Angehörige sollten ältere Menschen im sicheren Umgang mit Technik schulen. Banken haben eine Verkehrssicherungspflicht (§ 241 Abs. 2 BGB) und müssen ihre Systeme gegen Phishing absichern. Senioren genießen bei Gerichten oft besonderen Schutz: Im Zweifel wird kein grob fahrlässiges Verhalten angenommen, wenn die Täuschung professionell inszeniert war.

17. Kann Identitätsdiebstahl im Ausland verfolgt werden?

Ja, dank internationaler Rechtsinstrumente. Das Budapester Übereinkommen über Computerkriminalität (2001) verpflichtet über 60 Staaten, bei Cybercrime zu kooperieren. Innerhalb der EU regelt die Richtlinie (EU) 2013/40 den Mindeststrafrahmen für Angriffe auf Informationssysteme. In Deutschland ist die Umsetzung in §§ 202a ff. StGB erfolgt. Ermittlungen koordiniert Europol (Verordnung (EU) 2016/794) über das European Cybercrime Centre (EC3). Rechtshilfeverfahren erfolgen über das Europäische Rechtshilfeübereinkommen oder direkt zwischen Staatsanwaltschaften nach dem Prinzip gegenseitiger Anerkennung. Auch zivilrechtlich gilt die DSGVO extraterritorial (Art. 3 Abs. 2): Unternehmen außerhalb der EU, die Daten europäischer Bürger verarbeiten, unterliegen europäischen Datenschutzregeln.

18. Welche zivilprozessualen Mittel stehen Opfern zur Verfügung?

Opfer können nach der Zivilprozessordnung (ZPO) gerichtliche Hilfe in Anspruch nehmen. Dringender Rechtsschutz erfolgt über eine einstweilige Verfügung (§§ 935 ff. ZPO), etwa zur sofortigen Löschung falscher Onlineprofile. Für die endgültige Klärung eignet sich eine Feststellungsklage (§ 256 ZPO), mit der festgestellt wird, dass kein wirksamer Vertrag besteht – z. B. bei einem unter falschem Namen abgeschlossenen Handyvertrag. Weiterhin können Betroffene Unterlassung (§ 1004 BGB analog) und Schadensersatz (§ 823 BGB) einklagen. Wichtig ist, Beweise wie IP-Daten, Schriftverkehr und polizeiliche Anzeigen vorzulegen. Bei Gefahr im Verzug kann auch eine einstweilige Anordnung vor dem Verwaltungsgericht beantragt werden, wenn Behörden betroffen sind.

19. Haben Opfer Anspruch auf Schmerzensgeld?

Ja. Das deutsche Zivilrecht schützt die Persönlichkeit nach § 253 Abs. 2 BGB. Wird sie verletzt – etwa durch unberechtigte Veröffentlichung oder Rufschädigung –, besteht Anspruch auf immateriellen Schadensersatz. Seit der DSGVO erweitert Art. 82 Abs. 1 DSGVO diesen Anspruch auf Datenschutzverstöße. Die Gerichte erkennen zunehmend seelische Belastungen und Kontrollverlust über eigene Daten als Schadensgrund an (z. B. AG Pfaffenhofen, Urt. v. 15.09.2022 – 2 C 133/22). Die Höhe des Schmerzensgeldes richtet sich nach Umfang, Dauer und öffentlicher Wirkung der Beeinträchtigung. Ein typischer Rahmen liegt zwischen 500 € und 5 000 €, kann aber bei existenzbedrohenden Folgen deutlich höher ausfallen.

20. Wie lässt sich zukünftiger Identitätsmissbrauch verhindern?

Der wirksamste Schutz ist eine Kombination aus technischem, organisatorischem und rechtlichem Bewusstsein. Nutzer sollten sichere, einzigartige Passwörter verwenden, Zwei-Faktor-Authentifizierung aktivieren und regelmäßig die eigene SCHUFA-Auskunft (§ 34 BDSG) prüfen. Kreditkartenabrechnungen und Verträge müssen auf unbekannte Buchungen kontrolliert werden. Öffentliche WLANs sind für Bankgeschäfte tabu. Datenschutzrechtlich gilt das Prinzip der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO) – also nur so viele personenbezogene Informationen preisgeben, wie unbedingt nötig. Eine Cyber-Versicherung kann finanzielle Folgen abfedern, ersetzt jedoch keine Eigenverantwortung. Wer proaktiv handelt und bei Verdacht sofort Anzeige erstattet, minimiert rechtliche und wirtschaftliche Risiken erheblich.