Was ist ein Identitätsdiebstahl und was ein Datenmissbrauch?
Beim Identitätsdiebstahl beschaffen sich die Täter zunächst nur die Identität eines Menschen. Generell hat man, erst wenn es zu einem Missbrauch kommt und ein Schaden entsteht, überhaupt die Möglichkeit, Kenntnis von dem Datenklau zu erlangen. Denn beim Identitätsmissbrauch geben sich die Täter als Sie aus. Kommt es beispielsweise zu einem Betrug liegt erst eine Straftat vor.
Das Bundeskriminalamt versteht übrigens unter Identitätsdiebstahl lediglich das Abgreifen von digitalen personenbezogenen Daten. Wie viele solcher Daten schon gestohlen wurden, darüber lässt sich nur spekulieren. Damit die Taten in der richtigen Statistik auftauchen, müssen sie von den Opfern einerseits richtig als Identitätsdiebstahl benannt und angezeigt werden und andererseits von der Polizei auch tatsächlich registriert werden.
Mittlerweile werden häufig mittels Deepfakes Bild- und Audioaufnahmen täuschend echt manipuliert, sodass der Fake kaum zu erkennen ist. Aus diesem Grund sollte man sehr vorsichtig sein, wo man Bilder-, Ton- und Videoaufnahmen veröffentlicht. Viele KI-Deepfakes benötigen nur noch wenige Sekunden echtes Material, um perfekte Fakes zu kreiieren. Identiätsmissbrauch war noch nie so einfach.
Auch immer häufiger werden Telefondaten missbraucht – mittel und Call ID Spoofing. Ob Essensfraud (betrügerische Essensbestellungen über Plattformen), Hateraids oder Fake-Anrufe unter der Telefonnummer des Opfers bei Notrufen – für die Opfer ist nur ein sofortiger Rufnummernwechsel die Möglichkeit, sich zu wehren. Man sollte auch in jedem Fall immer sofort Strafanzeige stellen.
Wie unterscheidet sich eine Fake-President-Attack von einem Identitätsdiebstahl?
Neben dem privaten Identitätsmissbrauch hat sich mittlerweile ein neues Phänomen herausgebildet. Bei einer sogenannten Fake-President-Attacke (auch CEO-Fraud genannt) geben sich Betrüger in der Regel für den Vorstand eines Unternehmens aus und täuschen Mitarbeiter, die Zahlungsverkehrsberechtigungen besitzen oder Stammdaten in der Finanzbuchhaltung ändern können, so sehr, dass Transaktionen in Millionenhöhe ausgelöst werden. In der Regel werden die betroffenen Beschäftigten dabei massiv unter Druck gesetzt. Ähnlich funktionieren auch sogenannte Payment-Diversion-Fälle, bei denen häufig mehrere Tausend bis Hunderttausend Euro erbeutet werden. Auch hierbei handelt es sich in der Regel um den Missbrauch von Identitäten.
Wie bemerkt man einen Identitätsdiebstahl?
Ihre Schufa-Selbstauskunft enthält Schuldeneinträge, die Sie nie gemacht haben? Versandhäuser und Unternehmen, mit denen Sie niemals eine Rechtsbeziehung hatten, haben Ihre Bonität überprüft? Sie bekommen Rechnungen und Mahnungen für Bestellungen, die Sie nie getätigt haben? Bei einer Verkehrskontrolle hält man Sie fest, weil Haftbefehle gegen Sie vorliegen, obwohl Sie sich nichts haben zu Schulden kommen lassen? Dann sind Sie mit sehr großer Wahrscheinlichkeit Opfer von Identitätsdiebstahl geworden.
Zur Begriffsklärung, was NICHT dazu gehört:
- von der Kreditkarte wurde widerrechtlich abgebucht
- vom Konto wurde widerrechtlich abgebucht
- betrügerische Unternehmen (Gewinnspiele, Lotterien, Abo-Fallen) buchen Geld vom Konto ab, obgleich man nie einen schriftlichen Vertrag mit ihnen abgeschlossen hat, sondern allenfalls telefonisch oder im Internet mit diesen Firmen Kontakt hatte und versehentlich in eine Abzock-Falle geraten ist
In diesen Fällen handelt es sich meist um ganz gewöhnliche Betrugsfälle, die Sie sofort bemerken können, da man Ihnen an das reale, eigene Konto ranwill. Lassen Sie die Gelder einfach zurückbuchen und erstatten Sie vorsorglich Anzeige wegen Betrugs. Sollten Sie von den Abo-Abzockern oder Gewinnspiel-Unternehmen weiterhin belästigt werden, schalten Sie einen Anwalt ein.
Wie verbreitet ist Identitätsdiebstahl?
Identitätsdiebstahl und Identitätsmissbrauch sind zu einem Massenphänomen geworden. Studien zufolge soll schon jeder dritte bis fünfte Deutsche Opfer geworden sein. Einer Untersuchung der Unternehmensberatung PWC aus dem Jahr 2016 zufolge entsteht den Opfern dabei im Schnitt ein Schaden von 1.366 Euro. Am gängisten ist demnach Warenkreditbetrug.
Das Phänomen ist mittlerweile stark im Fokus der Öffentlichkeit angekommen. Zweidrittel der Deutschen hat der PWC-Studie zufolge große Sorge, Opfer von Identitätsdiebstahl zu werden – besonders beim Einkaufen im Internet. 2020 zeigte eine repräsentative Umfrage von OpSec Security, dass 86 Prozent der befragten Verbraucherinnen und Verbraucher im gleichen Jahr Opfer von Identitätsdiebstahl, Kredit-/Debitkartenbetrug oder einer Datenschutzverletzung geworden waren, 2019 lag dieser Anteil noch bei 80 Prozent.
Laut einer Sonderauswertung des Lagebericht Cybercrime 2020 des Bundeskriminalamts hat der Missbrauch in der Corona-Pandemie massiv zugenommen. Im Lagebericht für das Jahr 2019 wurden hingegen gerade einmal rund 100.500 Fälle von Cybercrime festgestellt – dabei hatte bereits 2016 das Deutschen Instituts für Wirtschaftsforschung (DIW) in einer repräsentative Studie fast 15 Millionen Fälle von Datenmissbrauch festgestellt, darunter sollen allein mehr als zwölf Millionen Fälle von Phishing, Identitätsbetrug und Angriffe mittels Schadsoftware sein.
Gemessen an der Zahl der in der Polizeilichen Kriminalstatistik (PKS) registrierten Straftaten im Bereich Cybercrime würde dies ein weitaus größeres Dunkelfeld bedeuten als angenommen. Die offizielle Polizeistatistik klafft so weit auseinander, weil extrem viele Straftaten zum einen nicht bemerkt und zum anderen nicht angezeigt werden.
Was tun die Täter mit der Identität von Fremden?
Im Fall eines Identitätsdiebstahls verwenden Betrüger Ihren Namen und mindestens auch Ihr Geburtsdatum, um damit Straftaten wie Warenkreditbetrug oder Handel mit Kinderpornos zu begehen. In besonders schlimmen Fällen eröffnen Betrüger mit der geklauten Identität und häufig auch unter Verwendung eines verlorenen Passes Konten, nehmen Kredite auf, schließen horrende Leasing- oder Kaufverträge für hochwertige Waren ab oder beginnen betrügerischen Online-Handel auf Auktionsplattformen wie Ebay. Es gibt auch Fälle, in denen Pädophile die Identität Unbescholtener verwenden, um beispielsweise Minderjährige in Internetchats zu belästigen. Deutlich häufiger und meist in Verbindung mit Mobbing oder Stalking legen die Übeltäter falsche Accounts in sozialen Netzwerken an, um den Ruf ihrer Opfer zu beschädigen.
Dann wird Identitätsdiebstahl als Mittel zum Mobbing und Stalking eingesetzt. Identitätsmissbrauch wird auch eingesetzt, wenn Ex-Partner sich nach einer Trennung rächen wollen. Für sie ist es besonders einfach, weil sie in der Regel viele sensible Daten haben. Auch Fälle, in denen sich gekündigte Mitarbeiter am Vorgesetzten rächen, kommenn vor. Da wird der Name des Opfers missbraucht, um unter dessen Identität etwa rechtsextreme Äußerungen oder Beleidigungen zu verbreiten oder auch eine Straftat anzukündigen.
Wie kommen die Betrüger an die Daten?
Alles, was es braucht, um sich der Bonität eines unbescholtenen Bürgers zu bemächtigen, ist der Name und das Geburtsdatum. Weiß man dann noch, welchem Beruf derjenige nachgeht, hat man schon mal hinreichende Indizien darauf, wie hoch dessen Bonität ist. Name, Beruf, Geburtsdatum – alles das sind Daten, die man einfach über die meisten Menschen herausfinden kann. Dazu sind nicht mal Phishingmails notwendig. Es reicht der Blick in die sozialen Netzwerke wie Facebook, Xing oder LinkedIn, wo Nutzer reihenweise ihre realen Geburtsdaten veröffentlicht haben. Viele – insbesondere Medienschaffende, Künstler, Politiker und Menschen, die in der Öffentlichkeit stehen – haben ihre Geburtsdaten ohnehin auf ihrer Website veröffentlicht oder können es gar nicht verhindern, dass diese sensiblen Daten in Internetlexika wie der Wikipedia oder Branchendiensten publiziert werden.
Nach wie vor sind Trojaner und Phishing das Mittel der Wahl der Täter. Noch immer fallen genügend Nutzer auf Mails mit Anhängen rein, in denen sich Trojaner verstecken. Oder sie laden sich Schadware automatisch in kostenlosen Programmen mit auf den Rechner.
Häufig imitieren Phishingmails aber auch die Absendeadresse. Klickt man so eine Mail an, wird man in der Regel auf eine gefälschte, aber identisch aussehende Website geführt. Hier soll man seine persönlichen Daten angeben. Studien zeigen: Selbst aufgeklärte Nutzende fallen mit hoher Wahrscheinlichkeit darauf hinein.
Aber man kann Daten auch offline kapern. An die Identität eines Menschen kommt man auch, wenn man die Brieftasche klaut. Oder technische Geräte wie Computer oder Smartphones. .
Professionelle Täter hacken Computer oder ganze Netzwerke von Unternehmen, die Tausende oder Millionen personenbezogene Daten gespeichert haben. Sie geben sich als Wohnungsvermieter aus, so kommt man leicht an die Kopie eines Ausweises – und so lässt sich richtig Schaden anrichten. Sie fragen Kollegen, Angehörige, Bekannte oder Dienstleister.
Oder sie fragen einfach direkt – etwa durch das Vorgaukeln von Telefonumfragen. Und auch das simple Durchsuchen von Mülltonnen oder die Manipulation von Geldautomaten bringt die Täter an die persönlichen Daten.
Zudem blüht unter Kriminellen ein Handel mit Datensätzen. Es gibt ganze Internetforen, in denen die Daten von Abertausenden getauscht werden. Ob geklaute Daten-CDs aus Banken und Unternehmen, gehackte Datenbanken, Pishingmails oder der Handel mit verlorenen und gestohlenen Pässen – personenbezogene Daten sind viel wert und niemand kann wirklich garantieren, dass sie am Ende nicht doch missbraucht werden.
Darum sollten Sie darauf achten, so wenig personenbezogene Daten wie möglich in Umlauf zu bringen. Geben Sie in sozialen Netzwerken niemals Ihr reales Geburtsdatum an und veröffentlichen Sie dieses auf keinen Fall. Sofern Sie dies getan haben, löschen Sie es oder bringen Sie einen Zahlendreher rein. Eine gute Gelegenheit, sich um ein Jahr jünger zu machen. Löschen Sie Ihr Geburtsdatum aus dem Lebenslauf von Ihrer Website.
Ein sensibler Umgang ist auch bei „analogen Daten“ angebracht. Wer Briefe von der Bank oder der Versicherung nicht schreddert, muss sich nicht wundern, wenn diese Daten irgendwann einmal missbraucht werden.
Wie gehen die Täter bei einem Warenkreditbetrug vor?
In den meisten Fällen werden Ihre Daten für Warenkreditbetrug verwendet. Die Betrüger bestellen Waren auf Rechnung in Onlineshops und Versandhäusern unter Ihrer Identität. Sie brauchen reale Personen mit einer guten Bonität, weil die meisten Shops die Kreditwürdigkeit der Kunden vorab überprüfen. Heißt: Für ausgedachte Personen wie Lisa Müller, geboren am 1. Juli 1969 in Nürnberg, würden die meisten Shops keine Waren versenden, wenn Auskunfteien wie die Schufa oder Creditreform keine Daten über diese Person gespeichert haben.
Die Betrüger bestellen die Waren natürlich nicht an Ihre reale Adresse und verwenden auch nicht Ihre Kontonummer – dann würden Sie von den Machenschaften ja Kenntnis erhalten und könnten sich rechtzeitig wehren. Vielmehr verwenden sie Paketstationen, an denen sie die Ware bequem abholen können. Häufig nutzen sie aber auch leer stehende Wohnungen in anonymen Mehrfamilienhäusern. Dort postieren sie Mittelsmänner, die die Ware dann von der Post annehmen – oder sie lassen die Waren von gutgläubigen Nachbarn annehmen. In eher seltenen Fällen mieten die Betrüger auch Wohnungen an und halten sich selbst darin auf. Anzeichen für betrügerische Aktivitäten können ständig wechselnde Namensschilder an der Haustür sein.
Zumeist eröffnen die Betrüger dann auch unter einer geklauten Identität Onlineshops oder Ebay-Konten, um die Waren weiterzuverkaufen. Oftmals verkaufen sie die gleiche Ware mehrmals. In Fällen, in denen der Personalausweis abhanden kommt, können die Betrüger sogar Konten oder Kreditkarten beantragen.
Die geprellten Unternehmen und Kunden versuchen natürlich, ihre offenen Forderungen einzutreiben und schalten irgendwann auch Rechtsanwälte und Inkassofirmen ein. Zumeist beginnt jetzt ein monatelanger Prozess. Vollstreckt wird unter den falschen Adressen, wo man Sie natürlich niemals antrifft. Nach mehreren Mahnungen tritt irgendwann der Gerichtsvollzieher auf den Plan, der den vermeintlichen Schuldner ebenfalls an der falschen Adresse aufsucht. Weil er diesen natürlich niemals antreffen kann, ergeht am Ende des Verfahrens ein zivilrechtlicher Haftbefehl zur Abgabe der eidesstaatlichen Versicherung (Haftbefehl) – und ein Eintrag ins Schuldnerverzeichnis der Stadt. Die Betrüger sind zu diesem Zeitpunkt längst schon über alle Berge und treiben an einem anderen Ort und mit neuen Identitäten ihr Unwesen. Von den sehr realen Schuldnereinträge und Haftbefehle erlangen Sie während dieser ersten Phase erst einmal keine Kenntnis – solange Sie nicht gerade ein Rechtsgeschäft abwickeln, in dessen Zuge Ihre Bonität überprüft wird und solange Sie nicht in eine Polizeikontrolle geraten.
Nun beginnt Phase 2: Die Inkassofirmen sind etwas gewiefter und recherchieren etwas besser als die Behörden. In den allermeisten Fällen finden sie die realen Personen sehr rasch. In der Annahme, Sie seien der säumige Schuldner, schicken sie nun aggressive Forderungen an Ihre reale Adresse. Jetzt beginnt für Sie der Albtraum.
Ich bin Opfer geworden. Was muss ich jetzt tun?
Zunächst: Tief durchatmen und ruhig bleiben! Identitätsdiebstahl ist mittlerweile ein Massenphänomen, das sich gut handeln lässt.
Erstatten Sie Anzeige bei der Polizei wegen Betrugs und Identitätsdiebstahls. Leider kennen viele Behörden das Problem noch nicht und es mangelt an den Ressourcen, sofort umfassend zu ermitteln. Aus diesem Grund ist es überaus wichtig, dass Sie jede einzelne Forderung, die bei Ihnen eintrifft, zur Anzeige bringen. Beziehen Sie sich dabei immer wieder auf das Kennzeichen der ersten Anzeige. Kopieren Sie die Anzeige.
Leider müssen Sie sich auch mit jeder einzelnen Forderung auseinandersetzen. Häufig sind die ersten Forderungen, die bei Ihnen eintreffen, bereits der zweite oder dritte Mahnbescheid; es wurde ja bereits versucht, an der falschen Adresse zu vollstrecken. Für Sie ist daher oft nicht ersichtlich, um was konkret es bei der Forderung eigentlich geht. Denn was wohin wann und für wie viel Geld bestellt wurde, steht in den wenigsten Mahnbriefen.
Die Inkassobüros drohen Ihnen nun zumeist mit einer Konto- und Gehaltspfändung – und es kann auch sein, dass sie bei Ihnen vor der Haustür stehen, um Ihnen etwas Angst einzujagen.
Tipp: Schicken Sie alle Schreiben zunächst per Fax und per Email an die Unternehmen, schreiben Sie „zuerst per Fax/Email“ auf den Kopf, dann brauchen Sie keine Einschreiben zu verwenden. Das spart Geld. Setzen Sie den Unternehmen immer Fristen von 14 Tagen. Dieser Zeitraum ist angemessen und ausreichend. Lassen die Firmen diese Fristen verstreichen, schalten Sie sofort den Anwalt ein. Wenn die Firmen Ihrer Forderung nach Aufklärung nicht nachkommen, müssen sie die Kosten für Ihre anwaltliche Vertretung übernehmen.
Seien Sie jedoch unbesorgt: Sie sind nicht der Schuldner und die Beweispflicht liegt nicht bei Ihnen, sondern bei den geprellten Unternehmen, die natürlich niemals beweisen können, dass Sie die Waren bestellt haben. Sie müssen also auf keinen Fall die Rechnungen bezahlen und Sie sollten sich auch nicht einschüchtern lassen.
Trotzdem müssen Sie sich wehren – und zwar innerhalb der sehr kurzen Fristen, die Ihnen die Inkassofirmen aufnötigen. Teilen Sie den Firmen – und auch den geprellten Unternehmen, welche die offene Forderung ja zumeist an das Inkassobüro verkauft haben – schriftlich mit, dass Sie nicht der gesuchte Schuldner sind und hier ein Betrugsfall vorliegt. Nennen Sie das Aktenzeichen der Anzeige, legen Sie diese immer in Kopie mit bei und nennen Sie den Firmen die Kontaktdaten der ermittelnden Polizeibehörde mit der Aufforderung, sich umgehend hier mit der offenen Forderung zu melden. Sehr wichtig ist, dass Sie sehr deutlich von den Inkassobüros und Unternehmen alle Informationen zu diesem Fall anfordern. Diese müsse Sie umgehend der Polizei mitteilen. Fordern Sie die Unternehmen und Inkassobüros auch auf, Ihnen binnen einer 14-tägigen Frist mitzuteilen, welche Daten sie über Sie gespeichert oder an weitere Unternehmen und Behörden weitergeleitet haben. Drängen Sie massiv darauf, dass diese falschen Daten über Sie gemäß des §35 des Bundesdatenschutzgesetzes umgehend zu löschen sind. Die Firmen sind dazu verpflichtet und sie sind auch verpflichtet, Ihnen darüber einen Beleg innerhalb der 14-tägigen Frist, die völlig angemessen ist, zukommen zu lassen. Das Bundesdatenschutzgesetz ist in diesem Fall eindeutig.
Versäumen die Firmen die Löschung dieser falschen Daten, kann das unangenehme Folgen für Sie haben – dies ist der eigentliche Schaden für die Opfer aus dem Identitätsdiebstahl. Denn die Unternehmen handeln mit den Datensätzen – und die falschen Schuldnerdaten belasten Ihre Bonität. Es kann sein, dass Sie künftig Probleme bekommen, wenn Sie einen Kredit aufnehmen, ein Auto kaufen oder einen Handyvertrag abschließen wollen.
Oftmals werden die Inkassofirmen zu allem Überfluss nicht nach Ihrem schriftlichen Widerspruch locker lassen und Sie trotzdem weiter belästigen. In den allermeisten Fällen werden die Firmen Ihren Forderungen nach Mitteilung über die gespeicherten Daten oder deren Löschung zunächst auch gar nicht nachkommen. Da dies ein grober Verstoß gegen das Bundesdatenschutzgesetz ist, müssen Sie spätestens an dieser Stelle einen Anwalt einschalten und Ihr gutes Recht durchsetzen. Das ist das ärgerlichste an der ganzen Sache. Bleiben Sie hier hartnäckig, auch wenn es psychisch belastend ist. Nur so wird Ihr guter Ruf irgendwann wieder hergestellt.
Wichtig: Seit 2016 kann man sich als Opfer auch in eine Datenbank bei der Schufa eintragen lassen – das verhindert einen weiteren Missbrauch. (Behindert die Opfer allerdings selbst bei wirtschaftlicher Teilhabe. Online-Shopping und anderes wird auf diese Weise etwas komplizierter. Dennoch für die Akut-Phase eine gute Hilfe.)
Sind die Opfer selbst schuld?
Problematisch ist, dass dieser Eindruck in fast aller einschlägiger Literatur zum Thema Identitätsdiebstahl erweckt wird.
Die Ratschläge, vorsichtig mit den eigenen Daten umzugehen, vermitteln den Betroffenen das Gefühl, den Missbrauch fahrlässig in Kauf genommen zu haben, weil sie zu unvorsichtig waren.
Aber in einer Welt von Big Data ist es unmöglich geworden, verantwortungsvoll mit den eigenen Daten umzugehen. Wir produzieren und hinterlassen überall Daten – und haben überhaupt nicht in der Hand, wer damit handelt, sie weiterverarbeitet, analysiert oder schlimmstenfalls Schindluder damit betreibt.
Einen Datenbrief, wie ihn Datenschützer seit Jahren fordern, gibt es bis heute noch nicht. Die Idee dahinter ist, dass alle Unternehmen, die personenbezogene Daten sammeln, erfassen, speichern, verarbeiten oder damit handeln und diese weitergeben, den Bürgern einmal im Jahr Auskunft darüber geben müssen, welche Daten sie gespeichert haben.
Wo finde ich gute Rechtsberatung und wer zahlt die Kosten dafür?
Es gibt immer mehr Kanzleien, die auf die Vertretung von Opfern von Identitätsdiebstahl spezialisiert sind. Auch erste Versicherer bieten einen Rechtschutz für Datenmissbrauch an, erste Unternehmen bieten ganze Komplettpakete inklusive Datenlöschung für Betroffene an. Allerdings sind die Angebote derzeit teilweise fragwürdig. Eine sorgfältige Prüfung vor Abschluss ist zwingend nötig.
Tipp: Lassen Sie sich von Ihrem Anwalt Standardschreiben aufsetzen, mit denen Sie auf alle weiteren Forderungen reagieren. Andernfalls zahlen Sie horrende Summen für hunderte von Anwaltsschreiben. Und vergessen Sie niemals, jede weitere Forderung ebenfalls zur polizeilichen Anzeigen zu bringen und bei jeder weiteren Forderung die Unternehmen auf die Herausgabe und Löschung der falschen Daten zu drängen.
Branchendienste für Juristen geben Auskunft, welche Kanzlei in Ihrer Nähe sich mit dem Phänomen befasst. Achten Sie darauf, dass die Kanzlei sowohl Ahnung von Zivil- und Strafrecht als auch von IT-Recht und Datenschutz hat. Vielfach müssen die Opfer die Kosten für eine juristische Vertretung aber selbst zahlen müssen.
Jedoch finden Sie Hilfe beim Landesdatenschützer Ihres Bundeslandes und auch die Verbraucherzentralen beraten Betroffene. Zudem gibt es in Bochum eine Forschungsgruppe zu diesem Phänomen, die ein Sorgentelefon eingerichtet hat (Nummer unten); auch einige Medien und Mediendienste wie Golem oder Heise.de bieten weitere Informationen an.
Hoffnung macht auch Folgendes: Die Kosten für Ihre rechtliche Vertretung können Sie zumeist bei den Inkassofirmen wieder geltend machen. Wenn diese Sie nämlich trotz schriftlichem Widerspruch und Mitteilung, dass ein Betrugsfall vorliegt, weiter belästigen und Ihren Forderungen nach Löschung der falschen Daten nicht nachkommen, können Sie die Kosten für das anschließende Rechtsverfahren natürlich den Inkassofirmen auferlegen. Manche lassen es jedoch zunächst darauf ankommen, dass Sie sie verklagen. Dabei werden Sie zunächst in Vorleistung gehen müssen. Seien Sie dennoch unbesorgt: Das Recht ist auf Ihrer Seite – nur liegt es an Ihnen und Ihrem Anwalt, dieses Recht nun auch durchzusetzen.
Was passiert mit den falschen Daten?
Sehr wichtig ist nun auch, dass Sie bei der Schufa eine Selbstauskunft einholen. Neben der Schufa gibt es in Deutschland eine Reihe weitere Auskunfteien und Unternehmen (siehe Liste als Download), die mit Ihren Daten und Kreditwerten handeln. Leider ist die Rechtslage noch immer so, dass Sie – außer dem Recht auf eine kostenlose Selbstauskunft einmal im Jahr – sogar noch dafür zahlen müssen, damit die Unternehmen Ihnen mitteilen, welche Daten sie über Sie gespeichert haben. Verwenden Sie auch hier ein Standardschreiben, das Sie sich am Besten von Ihrem Anwalt aufsetzen lassen. Informieren Sie darin die Auskunfteien darüber, dass Sie Opfer von Identitätsdiebstahl geworden sind. Wichtig ist auch: Bestrittene Forderungen dürfen nicht eingetragen werden! Leider halten sich nicht alle Unternehmen und Vertragspartner der Auskunfteien daran und lassen offene Forderungen dennoch eintragen. Aber hier hilft es, sich sowohl umgehend an das meldende Unternehmen als auch sich an die Auskunftei zu wenden.
Tipp: Unter www.selbstaufkunft.net kann gegen eine Spende alle datenspeichernden und datenverarbeitenden Unternehmen, Auskunfteien, Adresshändler und Behörden anschreiben lassen und bekommt rasch Auskunft darüber, wer welche Daten gespeichert hat – deutlich günstiger als die Identitätsdiebstahls-Pakete von Schufa und weiteren Anbietern.
Es gibt einige Auskunfteien, die Ihnen entgegenkommen und einen Sperrvermerk in Ihre Daten einfügen, die falschen Daten umgehend löschen und auch alle weiteren Unternehmen, die geschädigt wurden und Sie noch nicht gefunden haben, über den Betrugsfall informieren.
Auf jeden Fall geben Ihnen die Selbstauskünfte Indizien darüber, wo die Betrüger noch unter Ihrer Identität Schulden angehäuft haben. Aus den Datensätzen geht zwar nicht hervor, was wann wo und wie bestellt wurde, sondern nur, dass Forderungen offen sind – doch diese Indizien reichen ja aus, um die Unternehmen zu kontaktieren. Warten Sie nicht ab, dass auch diese Firmen Inkassobüros auf Sie hetzen, werden Sie selbst tätig und schreiben Sie auch diese Unternehmen mit einem Standardschreiben an, in dem Sie über den Betrug informieren. Zeigen Sie auch diese Fälle an.
Wie lange dauert ein Identitätsdiebstahl, wann ist es vorbei?
Niemand kann Ihnen genau sagen, wann der Spuk vorbei sein wird. Fest steht aber: Irgendwann hört es auf, ganz einfach weil Ihre Identität für die Betrüger wertlos wird, wenn Ihre Bonität schlecht ist, was vorprogrammiert ist. In sehr schlimmen Fällen haben die Betrüger dann mehr als hundertmal unter Ihrem Namen Warenkreditbetrug begangen, in eher einfachen Fällen ist die Sache nach wenigen Malen ausgestanden.
Wichtig ist an dieser Stelle zu erwähnen, dass man heute für einen Spottpreis tausende Identitäten im Darknet erwerben kann – das führt dazu, dass die Kriminellen immer häufiger eine Identität nur noch für maximal eine Handvoll oder weniger Bestellungen nutzen. Betroffene, die bei der ersten Mahnung sehr verängstigt sind, dürfen daher Anlass zur Hoffnung haben: In der Regel wird der Identitätsdiebstahl mit einigen wenigen Schreiben abgearbeitet sein.
Auch wenn es schlimm ist: Sorgen Sie in der Zeit, in der Mahnungen und Forderungen bei Ihnen eintreffen, immer dafür, dass Ihr Briefkasten geleert wird. Sollten Sie in dieser Zeit eine Weile abwesend sein, riskieren Sie damit, dass die Verfahren an Ihrer realen Adresse weitergeführt werden und am Ende sogar eine Konto- und Gehaltspfändung ansteht. Darum ist es überaus wichtig, auf die Forderungen zu reagieren und die Fristen einzuhalten.
Was passiert mit Haftbefehlen und Schuldeneinträgen?
Sofern Haftbefehle gegen Sie und Einträge über Sie im Schuldnerverzeichnis vorliegen, müssen Sie umgehend deren Löschung bei den zuständigen Amtsgerichten beantragen. Das sollten Sie besser nicht auf eigene Faust machen, sondern dazu Ihren Anwalt einschalten. Die Behörden sind auf das Phänomen nicht vorbereitet, erwarten Sie also lieber nicht, dass man mit Ihnen sensibel umgeht. Für die meisten Amtsrichter werden Sie der gesuchte Schuldner sein und auch bleiben, der sich nun auch noch dreist dagegen zu wehren versucht. Jedoch ist die Rechtslage eindeutig. Nach einigen Wochen werden diese Daten über Sie gelöscht.
Ärgerlich ist es, wenn Sie gar nicht wissen, ob solche falschen Daten in fremden Städten über Sie gespeichert sind. Leider gibt es kein Zentralregister, das darüber Auskunft gibt.
Habe ich als Opfer Anspruch auf Schadensersatz?
Ja, aber Sie werden ihn höchstwahrscheinlich niemals durchsetzen können. Zum einen werden in über 95 Prozent der Fälle die Betrüger nie gefunden, zum anderen ist bei denen zumeist nichts zu holen. Und das Schlimmste: Vor Ihnen sind alle geschädigten Unternehmen schadensersatzberechtigt. Sie selbst teilen sich Ihr Recht auf Wiedergutmachung zudem mit sehr wahrscheinlich hunderten anderen, deren Identität ebenfalls von den Betrügern missbraucht wurde.
Wer sind die Täter?
Die Polizei geht von drei klassischen Tätergruppen aus. Da sind zum einen die Menschen, die auf einfachen Weg versuchen, andere zu betrügen. Sie selbst kaufen in Onlineshops Ware und geben dabei die Identität von Nachbarn, Kollegen, Bekannten, Familienangehörigen an. Meist lassen sie sich die Ware dann auch gleich an die Firmenadresse oder die der Verwandten senden und fangen diese dort ab. Oder sie nutzen – und das ist schon clever – ein Paketlager oder eine Paketstation. Bei mir melden sich viele Opfer, die den Täter aus ihrem unmittelbaren Umfeld kennen.
Oft verfügen diese Täter über keinen hohen Bildungsstand, viele sind arbeitslos und von Armut betroffen. Die Opfer können diese Täter dann zwar anzeigen – einen Schadensersatz gibt es bei dieser Tätergruppe aber so gut wie nie. Die geprellten Unternehmen bleiben ebenso wie die Betroffenen des Identitätsraubs auf ihrem Schaden sitzen.
Eine weitere Tätergruppe sind Kleinkriminelle. Sie besorgen sich die Identitäten von real existierenden Personen in den genannten Foren. Oder sie nutzen Phishing. Sie basteln aus den Namen meist in Verbindung mit dem Geburtsdatum Mailadressen und Accounts. Diese Täter kennen ihre Opfer in der Regel nicht. Sie bekommen auch nichts mit von dem Schaden, den sie anrichten. Das macht es für sie auch moralisch viel einfacher. Diese Täter verfügen über einfache Programmier- und Hackerkenntnisse. Viel braucht man übrigens nicht, um den Loginbereich von Facebook oder fürs Online-Banking zu programmieren. Die Anleitung dafür gibt es im Internet. Phishing für Anfänger.
Zur dritten Gruppe gehören organisierte Kriminelle, für die hochkarätige Hacker arbeiten. Diese Täter betreiben einen sehr großen Aufwand, hacken ganze Unternehmensnetzwerke, stehlen die Daten von oft Hunderttausenden und lassen keine Mittel und Methoden aus, um sich zu anonymisieren. Diese Tätergruppe wird in der Regel nie gefasst. Strafermittlungsbehörden vergleichen die Verfolgung dieser Täter so, als würde man versuchen mit dem Dreirad einen Kriminellen zu fassen, der im Porsche davon fährt. Besonders vor den Attacken der Täter letzterer Gruppe ist es quasi unmöglich, sich als Privatperson zu schützen. Und selbst für große datenverarbeitende Unternehmen ist es schwer.
Was steht in der Datenschutzgrundverordnung und gibt es hier eine Rechtsvorschrift, die mir hilft?
Das EU-Datenschutzrecht sieht Unternehmen in der Haftung und auch Bußgelder bis zu 20 Millionen Euro vor, wenn es gravierende Verstöße gibt. Zudem können Betroffene Schmerzensgeld geltend machen – was allerdings recht schwierig ist – sofern ihnen ein materieller oder immaterieller Schaden entstanden ist. Außerdem hat sich die Beweisumkehr geändert: Künftig müssen die Verantwortliche – sprich: datenverarbeitende Unternehmen – gem. Art. 82 Abs. 3 DSGVO nachweisen, dass sie den Schaden nicht verursacht haben.
Die wichtigsten Linke zum Thema Identitätsdiebstahl finden Sie hier:
-
- Arbeitsgruppe Identitätsschutz im Internet (bietet auch ein Beratungstelefon immer montags 16 bis 18 Uhr sowie donnerstags 15 bis 17 Uhr unter 0234/3228058), Link zum Beratungsangebot