DSGVO gibt Identitätsdiebstahl-Opfern scharfe Waffe
23.12.2025 - 09:45:12Neue Gerichtsurteile stärken das Auskunftsrecht von Betrugsopfern. Unternehmen müssen nun alle mit der gestohlenen Identität verknüpften Daten offenlegen, auch solche, die von Tätern generiert wurden.
Opfer von Identitätsbetrug können ab sofort alle Daten einfordern, die Kriminelle in ihrem Namen hinterlassen haben. Das entscheiden aktuelle Gerichtsurteile und Expertisen zur DSGVO.
Durchbruch nach Jahren der Blockade
Bisher stießen Betroffene oft auf eine Mauer des Schweigens. Wenn sie bei Online-Händlern oder Banken nach Daten zu betrügerischen Konten fragten, schwärzten Unternehmen häufig entscheidende Informationen. Sie beriefen sich auf den Datenschutz der Täter oder interne Vertraulichkeit. Diese Praxis ist jetzt rechtswidrig. Eine Reihe von Klarstellungen europäischer und deutscher Gerichte, die in der Diskussion um ein Grundsatzurteil des Bundesgerichtshofs (BGH) vom vergangenen Donnerstag gipfelten, macht den Weg frei. Das Auskunftsrecht nach Artikel 15 der Datenschutz-Grundverordnung (DSGVO) ist umfassend. Opfer haben Anspruch auf alle mit ihrer Identität verknüpften Daten – selbst wenn ein Krimineller sie technisch generiert hat. Diese Transparenz ist oft der einzige Weg, um die eigene Unschuld zu beweisen und Schufa-Einträge zu bereinigen.
Auch „Täter-Daten“ gehören dem Opfer
Der Kern der neuen Rechtslage liegt in der Definition von „personenbezogenen Daten“ beim Betrug. Juristische Analysen vom 21. Dezember 2025 stellen klar: Daten aus einer betrügerischen Transaktion – etwa die vom Täter genutzte IP-Adresse oder eine gefälschte Lieferadresse – müssen dem Opfer offengelegt werden. Diese Daten sind mit dem Namen des Opfers verknüpft und fallen damit unter die DSGVO. Eine Weigerung der Herausgabe behindert nicht nur die Verteidigung, sondern widerspricht auch dem Transparenzgebot der Verordnung.
„Das Argument, die Privatsphäre des Betrügers gegenüber dem Opfer schützen zu müssen, ist rechtlich nicht haltbar“, so Datenschutzexperten in einer aktuellen Analyse. Der Konsens Ende 2025 lautet: Wer die Identität eines anderen missbraucht, verwirkt seinen Datenschutzanspruch auf diese Transaktion gegenüber dem Geschädigten.
BGH-Urteil schließt Schlupfloch für Unternehmen
Die Transparenz-Debatte wurde durch das BGH-Urteil vom 18. Dezember 2025 (Az. I ZR 97/25) befeuert. Zwar ging es primär um Speicherfristen bei Auskunfteien wie der Schufa. Doch das Gericht bekräftigte ein zentrales Prinzip: die Richtigkeit und Überprüfbarkeit von Daten. Kreditinstitute und Händler müssen bei Hinweisen auf Identitätsdiebstahl gründlich nachforschen. Bestreitet ein Verbraucher einen Eintrag als betrügerisch, muss das Unternehmen die zugrundeliegenden Daten vorlegen. Nur so kann der Betroffene seinen Anspruch belegen.
Dies schließt ein Schlupfloch: Bisher löschten Unternehmen strittige Daten oft einfach, um eine Auskunft zu umgehen. Das Opfer blieb im Unklaren über das Ausmaß des Betrugs. Jetzt ist die Auskunftspflicht der Schlüssel, um anschließend Berichtigung oder Löschung der Daten durchzusetzen.
Ende des „Geheimwissens“ bei Risikobewertungen
Ein weiterer Paukenschlag betrifft interne Risikobewertungen. Wie Branchenbeobachter am 21. Dezember berichteten, hat der Europäische Gerichtshof (EuGH) seine Linie gefestigt: Auch „interne Notizen“ und „Risikoscores“ unterliegen dem Auskunftsanspruch nach Art. 15 DSGVO.
Banken sperren Konten oft basierend auf automatisierten Betrugserkennungssystemen. Bisher erfuhren Kunden selten, warum. Der neue Standard verpflichtet die Unternehmen, die Logik dieser Entscheidungen offenzulegen – inklusive der spezifischen Risikofaktoren. Für ein Identitätsdiebstahl-Opfer ist diese Information entscheidend, um zu verstehen, wie seine Identität kompromittiert wurde und künftige Vorfälle zu verhindern.
Das bedeutet die neue Rechtslage für die Praxis
Für Unternehmen erfordern diese Entwicklungen eine sofortige Überarbeitung ihrer Prozesse für Datenauskunftsersuchen (DSAR). Standard-Antwortvorlagen, die „Drittdaten“ aussparen, sind bei Identitätsdiebstahl-Vorwürfen nicht mehr ausreichend.
Die zentralen Compliance-Pflichten für 2026:
* Vollständige Offenlegung: Unternehmen müssen Transaktionsprotokolle, Geräte-IDs und Kommunikationsverläufe zu betrügerischen Vorgängen herausgeben.
* Sichere Identitätsprüfung: Die Identität des Antragstellers muss zweifelsfrei verifiziert werden, um sicherzustellen, dass es sich um das Opfer und nicht um den Täter auf Datensuche handelt.
* Proaktive Transparenz: Vorausschauende Firmen integrieren bereits „Betrugs-Logs“ in ihre Kundenportale, damit verifizierte Nutzer verdächtige Aktivitäten direkt einsehen können.
Der Fokus wird sich 2026 voraussichtlich auf die Geschwindigkeit dieser Transparenz verlagern. Die Frage des „Umfangs“ ist zugunsten der Opfer geklärt. Die nächste Frontlinie wird die Durchsetzung sein. Datenschutzbehörden dürften Bußgelder gegen Unternehmen erhöhen, die weiterhin „tätergenerierte“ Daten vorenthalten. Die Botschaft ist klar: In der digitalen Welt ist Transparenz die erste Verteidigungslinie.
Passend zum Thema Verarbeitungsverzeichnis – viele Unternehmen unterschätzen, wie detailliert die Dokumentation nach Art. 30 sein muss, gerade wenn es um Betrugsfälle und Auskunftsansprüche geht. Mit einer fertigen Excel-Vorlage plus begleitendem E‑Book erstellen Datenschutzbeauftragte und Compliance‑Teams das Verzeichnis rechtssicher, inklusive Pflichtfelder, Praxisbeispielen und Formulierungen für Prüfungen. Das spart Zeit bei der Bearbeitung von Betroffenenanfragen und reduziert Prüfungsrisiken. Verarbeitungsverzeichnis nach Art. 30 jetzt herunterladen
