Tina Grolls Fall

Nur wenige Tage nach Silvester erhalte ich per Einschreiben einen Antwortbrief der Creditreform. Beim Lesen fange ich am ganzen Körper an zu zittern. Das Schreiben ist wie eine Anklageschrift formuliert. In acht Punkten legt das Inkassounternehmen dar, dass ich die Schuldnerin sei. „Sie, Tina Groll, haben ….“, steht da. Ich hätte an der falschen Adresse gelebt, sei dort aber nie gemeldet gewesen. Das bestätige auch ein anhängiges Schreiben einer Nachbarsfamilie. Diese Personen behaupten, mich zu kennen und dass ich im Jahr 2009 eine Weile bei ihnen gewohnt habe. Ein Nachbar habe das Paket der WMF – und viele andere – für mich angenommen. Das bestätigt auch die Kopie seiner Unterschrift, die die Creditreform von der DHL bekommen hat. Später wird das Landeskriminalamt (LKA) herausfinden, dass die Betrüger selbst diese Schreiben verfasst haben. Offenbar wenige Tage, bevor sie die Wohnung verlassen.

Per Haftbefehl gesucht

Die Creditreform schreibt, dass es an mir liege, zu beweisen, dass ich nicht die Schuldnerin sei. Ich will Anzeige erstatten und zwar sofort. Erst dann fällt mein Blick auf die zweite Seite. Es liegen Haftanordnungen beim Amtsgericht Bremen-Blumenthal gegen mich vor, behauptet die Creditreform. Was heißt das? Kann ich jetzt verhaftet werden? Ich bin mir keiner Schuld bewusst.

Fragen surren durch meinen Kopf: Wie konnte so etwas passieren? Muss ich nun in jedem Einzelfall meine Unschuld beweisen? Muss ich für den Schaden haften? Haftet man für seine Daten? Wer ist überhaupt zuständig? Und wer kann mich so hassen, dass er mir so etwas antut?

Menschen, die mich höchstwahrscheinlich gar nicht kennen. Überwiegend handele es sich bei den Tätern um professionelle Betrüger, die Identitäten für Warenkreditbetrug nutzen. Das bestätigt mir auch der Beamter, der meine Anzeige aufnimmt. Er erzählt mir, dass ihm etwas Ähnliches selbst schon passiert sei. „Das sind vermutlich Betrügerbanden, Menschen, die Sie nicht kennen. Die scannen im Netz nach Daten. Man findet doch über nahezu jeden Geburtsdatum, Berufsangabe und Name“, sagt er.

Die Frage: „Wie kann denn so etwas passieren?“, kann ich mittlerweile nicht mehr hören. Die meisten finden die Geschichte auf gruselige Weise faszinierend. Aber viele nehmen an, dass ihnen das nicht passieren könnte. Sie gehen ja nicht leichtfertig mit ihren Daten um.

Problematisch ist, dass der Eindruck, die Opfer seien selbst schuld, in fast aller einschlägiger Literatur zum Thema Identitätsdiebstahl erweckt wird. Aber in einer Welt von Big Data ist es unmöglich geworden, verantwortungsvoll mit den eigenen Daten umzugehen.

Nein, die Opfer sind nicht selbst schuld

Angesichts Big Data ist bei einem Identitätsdiebstahl mit Warenkreditbetrug der große Schaden gar nicht eine falsche Forderung sondern die falschen Daten. Durchschnittlich 400 Arbeitsstunden fallen an, um den entstandenen Schaden wiedergutzumachen. Als ich diese Zahl das erste Mal hörte, musste ich schlucken. 400 Arbeitsstunden? Tatsächlich müssen es gut 800 Stunden gewesen sein.

Mehr als ein Jahr lang war ich mit der Beseitigung des Identitätsdiebstahls beschäftigt. Und bin es bis heute. Warum, zeigt folgendes Beispiel: An dem Tag, als ich das Antwortschreiben der Creditreform in der Hand halte und von der Polizei zurückkomme, telefoniere ich umgehend mit der Auskunftei. Der Geschäftsführer der Inkassoabteilung ist freundlich. Er rät mir dringend, mich beim Amtsgericht in Bremen-Blumenthal zu melden, wo die Haftbefehle bestehen. Es täte ihm auch leid. Er wolle „die Sache auf Eis legen“, sagt er.

Erst nachdem wir aufgelegt haben, fällt mir auf, dass es damit nicht getan ist. Wieso auf Eis legen? Ich bin nicht die Schuldnerin. Da ist nichts auf Eis zu legen, da sind die falschen Daten zu löschen und zwar umgehend. Aber genau wie es die Creditreform zunächst nicht tut, tun es viele weitere Unternehmen nicht. Die, bei denen die Waren bestellt worden sind, und auch die Inkassounternehmen haben die falschen Adressen und ihre Forderungen in der Regel an Schufa und Co – insgesamt gibt es mehr als 80 solcher Unternehmen hierzulande – gemeldet. Bei Schufa, Creditreform, Infoscore und Co führt man diese falschen Daten einfach mit den realen zusammen.

So sinkt kontinuierlich die Bonität. Und so entsteht ein völlig falscher Datensatz, in dem reale und falsche Daten vermengt werden. Dieses Datenknäuel wird weitergehandelt. Denn die datenverarbeitenden Unternehmen und Auskunfteien setzen ihre Vertragspartner – meist Banken und Sparkassen, Versicherungen und Telekommunikationsunternehmen von diesen Daten oft in Kenntnis. Auch diese Unternehmen geben oft ganz oder teilweise die falschen Daten gemeinsam mit den realen bei ihnen gespeichert an ihre Geschäftspartner weiter. Und die wiederum an die ihrigen. Wer was wohin verteilt – völlig intransparent.

Das Datenknäuel kommt immer wieder zurück

Das Datenknäuel verteilt sich auf diese Weise fort und fort. Und wenn an einer Stelle die falschen Daten gelöscht werden, heißt das noch lange nicht, dass sie auch dort gelöscht werden, wohin sie weiterverbreitet worden sind. Geschweige denn dort, wo sie vom Verbreiter des Verbreiter weiter verbreitet worden sind. Darum begrenzt es oft auch keinen Schaden, wenn an einer Stelle gelöscht wird. Oft kommen die bereits gelöschten falschen Daten sogar Jahre später wieder zurück. Dies erklärt auch, warum 400 Arbeitsstunden für die Beseitigung des Schadens eines Identitätsmissbrauchs noch recht optimistisch geschätzt ist.

Wer hilft einem dabei? Heute gibt es nicht nur Unternehmen, die sich als Dienstleistung gegen eine gute Gebühr auf Opfer von Identitätsdiebstahl spezialisiert haben, auch immer mehr Juristen vertreten die Opfer. Und erste Versicherungen bieten Schutz an. Identitätsdiebstahl ist damit nicht nur für die Betrüger ein schönes Geschäft geworden.

2009 war das noch anders.

Ich habe Angst, dass ein Gerichtsvollzieher bei mir auftauchen könnte. Oder eine Gehalts- oder Kontopfändung durchgeführt würde. Wie soll ich davon rechtzeitig erfahren und dem entgegenwirken, wenn die Betrüger doch falsche Adressen nutzen? Einen ganzen Tag verbringe ich mit der Suche nach einem Anwalt. Eine Rechtsschutzversicherung habe ich nicht. Ich überlege, eine abzuschließen. Nein, dieser Fall wäre nicht versichert, heißt es damals bei den Anbietern. Der Streitwert wäre zu hoch. Und jetzt, wo ich Kenntnis von dem Betrug habe, würde eine Versicherung sowieso nicht mehr dafür aufkommen.

Irgendwann finde ich eine Kanzlei. Sie ist groß, renommiert, teuer – aber glücklicherweise gut. Mein Anwalt kennt sich nicht nur mit Strafrecht aus, er ist auch Datenschutzrechtsexperte. In den kommenden Wochen setzt sich mein neuer Anwalt dafür ein, dass die Inkassofirmen die Vollstreckungsmaßnahmen gegen mich einstellen. Er erfährt beim Amtsgericht, dass dort weitere Haftbefehle vorliegen für Personen mit dem Familiennamen „Groll“ und der gleichen falsche Adresse. Ich google die Namen und finde im Internet die Identitäten, inklusive Geburtsdaten.

Mein Anwalt führt einen umfangreichen Schriftwechsel mit der Creditreform und anderen. Denn mittlerweile trudeln täglich neue Mahnschreiben, oft über mehrere Tausend Euro, bei mir ein. Allmählich dämmert mir, dass ich, soll der Spuk aufhören, Kontakt zu allen großen Auskunfteien aufnehmen muss.

Wieder versende ich die Briefe per Einschreiben. Wieder warte ich tagelang auf Antwort. Und lerne einige Wochen später, dass dies nicht genügt und vor Gericht auch nicht beweisbar wäre – denn ein Einschreiben weist nicht nach, was versandt wurde. Fortan stelle ich Schriftstücke zuvor per Fax zu, archiviere den Sendebericht und schicke danach die Briefe mit der Post.

400 Arbeitsstunden – eine optimistische Rechnung

Wieder sind meine Schreiben zunächst wirkungslos, wieder muss mein Anwalt ran. Er wird noch viele Male mit Inkassounternehmen Schriftwechsel führen. Letztlich und Wochen später werden die falschen Daten gelöscht. Meist bleiben die Firmen uns die Antwort schuldig, an wen sie die Daten weiterverbreitet haben. Wieder recherchiere ich, diesmal sammle ich Daten und Adressen von datenverarbeitenden Unternehmen und Auskunfteien. Ich schreibe alle an und fordere eine Selbstauskunft an. Erst seit 2010 haben Bürger einen Anspruch auf eine kostenlose Selbstauskunft pro Jahr. Diese Website bietet für zehn Euro den Service an, alle datenverarbeitenden Unternehmen, Behörden und Auskunfteien anzuschreiben – eine enorme Hilfe für Opfer von Identitätsdiebstahl. 2009 und 2010 ist das noch ein kostspieliger und zeitfressender Aufwand.

Wirkungsvoll sind damals wie heute Briefe meines Anwalts, der hohe Schadensersatzforderungen ankündigt, sofern die falschen Daten nicht gelöscht werden. In vielen Fällen muss mein Anwalt den Unternehmen aber sogar mehrmals erklären, wie die Datenlöschung nach dem Datenschutzgesetz zu erfolgen hat. Alles das kostet. Mein Anwalt rechnet auf Stundenbasis ab. Am Ende werde ich feststellen, dass es günstiger gewesen wäre, einfach die Schulden der Betrüger zu bezahlen.

Ein ganzes Jahr ist an einen längeren Urlaub nicht zu denken. Denn wenn die meist sehr kurzen Fristen in den Mahnungen verstreichen, kündigen die Inkassounternehmen Pfändungen durch Gerichtsvollzieher an. Versäume ich eine dieser Fristen, riskiere ich, dass mein Gehalt oder Konto gepfändet werden.

Und nicht nur das: Jeden einzelnen Betrugsfall muss ich anzeigen, jede neue Erkenntnis der Polizei mitteilen.

Ob Autokauf, Kontoeröffnung, Handyvertrag oder Immobilienfinanzierung – seit ich Opfer geworden bin, fürchte ich jedes Mal, dass es Probleme gibt. Dass ich von einem peinlich berührten Mitarbeiter diskret zur Seite genommen werde und man mir erklären wird, dass meine Bonität oder ein nicht gelöschter falscher Schuldeneintrag es nicht zulässt, mir etwas Selbstverständliches zu ermöglichen.

Falsche Daten, ein Leben lang

Daher nutze ich seit 2010 den Update-Service der Schufa. Deutschlands größte Auskunftei hat Daten von mehr als 66 Millionen Deutschen gespeichert. Und sie bietet einen kostenpflichtigen Service an, der regelmäßig über Änderungen in den bei ihr gespeicherten Daten informiert. Nach eigenen Angaben soll der Update-Service vor allem im Falle eines Identitätsmissbrauchs dabei helfen, schnell zu reagieren. Fast eine Millionen Menschen sollen den Dienst bereits nutzen. Einmal im Quartal bekommt man eine Nachricht aufs Handy und als E-Mail, wenn der Score neu berechnet wird oder neue Daten eingetragen werden. Was sich konkret verändert hat, geht aus der Benachrichtigung allerdings nicht hervor. Dafür muss man sich in einem mehrstufigen Identifizierungsverfahren bei der Schufa einloggen und alle dort gespeicherten Daten einzeln überprüfen.

In meinem Fall hatte man bei der Schufa auch einen Vermerk vorgenommen, dass ich Opfer von Identitätsdiebstahl geworden war. Der Vermerk machte sich auch später immer mal wieder bemerkbar: Bestellte ich Ware im Internet und prüfte ein Händler meine Bonität, bekam ich eine Nachricht von der Auskunftei mit der Anfrage, ob tatsächlich ich eine Bestellung vorgenommen habe. Opfern von Datenmissbrauch schafft diese Überwachung durchaus Vertrauen.

Im Juli 2014 erhalte ich wieder eine Datenaktualisierung und bemerke, dass mein Score auf gerade einmal neun Prozent gesunken ist. Meiner Selbstauskunft entnehme ich, dass das Frankfurter Inkassounternehmen Universum eine angeblich titulierte Forderung in Höhe von fast 1.000 Euro hatte eintragen lassen. Und das offenbar schon Ende November 2013. Aus den Schufa-Daten geht außerdem hervor, dass es sich um eine Alt-Forderung aus dem Jahr 2009 handelt. Jenes Jahr, als ich Opfer von Identitätsdiebstahl wurde.

Universum Inkasso war aber niemals bei mir vorstellig geworden. Stattdessen nahm ich 2010 – als ich die falschen Forderungen in meinen Schufa-Daten entdeckte – sofort Kontakt zu Universum Inkasso auf und schrieb, dass ein Betrugsfall vorliegt. Meinem Brief lagen damals auch das Aktenzeichen der ermittelnden Polizeibehörden und ein Brief meines Anwalts bei. Nach einigem hin und her erklärte der Anwalt des Unternehmens schließlich: Man habe keine weiteren Daten zu meiner realen Person an die Schufa übermittelt. Seltsam – aber die Schufa löschte 2010 die als falsch deklarierten Daten. Wie kommt es dann Jahre später zu diesem Falscheintrag?

Ganz einfach, das Inkassounternehmen hat Altforderungen im großen Stil eintragen lassen, erfahre ich von dem Berliner Rechtsanwalt Sven Tintemann. Seine Kanzlei vertritt Verbraucher wegen negativer Schufa-Einträge. Viele der Universum-Forderungen, die im November 2013 an die Schufa übermittelt wurden, seien mehr als drei Jahre alt, erzählt er mir. Offenbar handelt es sich um Forderungen der Firmen Karstadt und Quelle. Freilich haben viele seiner Mandanten tatsächlich Schulden gemacht. Allerdings müssten Forderungen richtig gemahnt werden, damit sie wirksam seien und später auch bei Auskunfteien eingetragen werden dürfen.

Paragraf 28a des Bundesdatenschutzgesetzes regelt die Kriterien dafür genau. Zunächst einmal muss die Forderung berechtigt sein. Das heißt, es hat ein Rechtsgeschäft stattgefunden, bei dem der Schuldner Ware oder eine Diensthaltung erhalten und nicht bezahlt hat. Er wurde mindestens zweimal schriftlich gemahnt in einem Abstand von einem Monat – mit einem Warnhinweis, dass die Forderung sonst bei einer Auskunftei eingetragen wird.

Reagiert der Schuldner nicht, braucht er sich über einen negativen Score nicht zu wundern. Ebenso darf eingetragen werden, wenn der Schuldner die Forderung sowieso anerkannt hat, es ein rechtskräftiges Urteil oder einen Schuldtitel für die Forderung gibt.

Fraglich ist, ob ein Eintrag ohne Mitteilung an den Schuldner erfolgen darf. Rechtsanwalt Tintemann ist da der Rechtsauffassung, dass dies gegen die Schufa-Grundsätze verstößt. Denkt man dies konsequent zu Ende, dürfte prinzipiell gar keine Forderung in den realen Datensatz eines Opfers von Identitätsmissbrauch eingetragen werden.

Und mehrere Jahre alte Forderungen dürften sowieso nicht einfach so an Auskunfteien weitergemeldet werden, ohne dass die Schuldner hierüber informiert werden. Dies habe die Schufa in ihren eigenen Eintragungsregeln so festgehalten.

Datenschlamperei auf allen Seiten

Bei der Schufa sieht man die Eintragung von Altforderungen hingegen nicht als Verstoß gegen die eigenen Richtlinien an. Gebe es einen rechtskräftigen Titel, dann habe der Gläubiger 30 Jahre lang Zeit, die Forderung einzutreiben – und auch bei Auskunfteien eintragen zu lassen. Wann die Eintragung erfolge, darüber könne der Gläubiger frei entscheiden. Es ist durchaus denkbar, dass dies erst Jahre nach der Titulierung erfolgen könne. Der Schuldner müsste darüber nicht abermals informiert werden. Denn er werde mit der Zustellung des Titels durch das Gericht informiert. Wenn er diese widerspruchslos akzeptiert, brauche er sich später nicht über eine Meldung an die Schufa zu wundern. Ein Problem für Opfer von Identitätsdiebstahl: Weil in der Regel falsche Adressen genutzt werden, an denen die realen Personen natürlich nicht wohnen, bekommen sie die Vollstreckungstitel auch nie zugestellt und können entsprechend auch nicht widersprechen.

Wie konnten nun die falschen Daten von damals erneut in meine Schufa-Daten gelangen?

Ich nehme Kontakt mit Universum Inkasso auf. Der Geschäftsführer reagiert umgehend und ist verlegen. Er habe das Unternehmen erst vor wenigen Monaten gekauft und könne zu Vorgängen aus der Vergangenheit nichts sagen. Aber der Datenschutzbeauftragte kümmere sich darum. Dieser meldet sich tags drauf und gibt zu: Offenbar hat man die Forderung damals nicht gelöscht. Und offenbar habe es auch nie einen rechtswirksamen Titel gegeben, weil die Zustellungsversuche unter der falschen Adresse natürlich fehlschlugen. Dort gab es natürlich keine Tina Groll.

„Aufgrund der Aktenlage kommen wir zu der Annahme, dass die Sachbearbeitung entschieden hat, die Forderungsbeitreibung trotz Ihres Hinweises auf einen Betrugsvorfall fortzusetzen, um an den tatsächlichen Schuldner zu langen“, heißt es vom Unternehmen. Man habe dann Monate später unter dem internen Hinweis „Schuldner unbekannt“ die Beitreibung ausgesetzt. Die Forderung erhielt den Vermerk „ruhend“, nicht aber abgeschlossen.

Gelöscht wurde sie also nie, es wurden nur meine realen Adressen nicht verwendet, die das Unternehmen durch Abfragen bei den Einwohnermeldeämtern in Erfahrung gebracht hatte. Und als es Ende 2012 ein neues Inkassosystem gab, wurden alle alten Forderungen übernommen. Dabei ging nur dummerweise der interne Verweis verloren, dass die Forderung eben nicht auf Tina Groll läuft. Als Universum Inkasso im November 2013 bei der Schufa eine Bestandsaktualisierung durchführt, gerät die falsche Forderung von damals erneut in meinen ganz realen Datensatz. Falsche Adresse hin oder her.

„Wir übernehmen die Daten unserer Vertragspartner nur spiegelbildlich“, heißt es auf Seiten der Schufa. Universum-Inkasso erklärt, es hätte eigentlich zu dieser Verwechslung nicht kommen dürfen, weil man ja nur die Forderung unter der falschen Adresse gemeldet hätte. Die Schufa sei der Schuldige. Sie habe falsche Adresse und reale Person nun erneut zusammengebracht. „Eine mögliche Zusammenführung Ihrer Person mit dieser Adresse bei Dritten liegt nicht in unserem Verantwortungsbereich“, schreibt mir der Datenschutzbeauftragte von Universum Inkasso.

Die Nachfrage bei der Schufa zeigt aber: Die falsche Adresse ist in meinem Datensatz gar nicht gespeichert, vielmehr läuft die Zusammenführung über Namen und Geburtsdatum – also den von dem Vertragspartner gemeldeten Daten. Das Datenknäuel ist wieder da!

Zugleich erfahre ich, dass Universum Inkasso bei der Wiederbelebung der alten Datensätze die falsche Forderung auch noch an eine andere Auskunftei weitergegeben hat. Immerhin: Nach einigem hin und her teilt mir das Inkassobüro mit, dass man eine Löschmitteilung an die Auskunfteien herausgegeben habe. Die Schufa ist unterdessen schon selbst tätig geworden. Vier Tage später ist mein Score wieder korrekt.

Im Zuge dessen beginne ich – fünf Jahre nach dem Datenmissbrauch – mal wieder alle Auskunfteien anzuschreiben. Auch bei Avarto Infoscore, der Auskunftei des Bertelsmann-Konzerns, hat man Falschdaten 2010 nicht gelöscht. Auch hier werde ich mit einer geringen Bonität wegen angeblich offener Forderungen geführt. Auch hier hatte man mir 2010 bescheinigt, alle falschen Daten zu löschen und es nie getan.

Warum habe ich nicht früher von den negativen Eintrag erfahren? Weil ich schlicht nicht jedes Jahr alle Unternehmen angeschrieben und mir einen vollständigen Datensatz habe erstellen lassen. Wer hat dazu schon die Zeit? Auch habe ich von „wiederbelebten“, wie es die Unternehmensdatenschützer nennen, falschen Forderungen nichts erfahren, weil nicht alle an die Schufa weitergegeben worden, die aber als einzige Auskunftei überhaupt einen Updateservice anbietet.

Kampf gegen Windmühlen

Und dann hatte die Schufa auch noch den Identitätsdiebstahls-Vermerk gelöscht, „weil ja alles ruhig geblieben war“. Jetzt gebe es wieder diesen Vermerk. Und diesmal solle er nicht gelöscht werden. Die Schufa selbst beklagt den mangenden Datenschutz bei den Vertragspartnern. „In manchen Fällen gehen die nicht sorgfältig genug mit den Daten um“, sagt die Pressestelle. Kein Wunder: Den Nachteil haben ja die Dritten – diejenigen, mit deren Daten gehandelt wird.

Am Ende bleibt die Erkenntnis, dass es eins ist, was im Bundesdatenschutzgesetz steht – und ein anderes, sein Recht auch wirklich zu bekommen.