Die Journalistin Tina Groll arbeitet als Redakteurin bei der ZEIT in Berlin. 2009 wurde sie Opfer von Identitätsdiebstahl. Hier können Sie ihren Fall nachlesen:
Es ist kurz vor Weihnachten 2009, als ich einen ersten Brief eines Inkassounternehmens aus dem Briefkasten ziehe. Die Creditreform fordert rund 200 Euro für eine Warenlieferung der Württembergischen Metallwarenfabrik (WMF). Das Schreiben hat den Betreff „Mahnung“ und eine Kundennummer. WMF? Creditreform?
Mit beiden Unternehmen hatte ich zuvor noch nie Kontakt. Ich halte den Brief zunächst für betrügerische Werbung. Was tun? Nicht reagieren? Nachhaken?
Dann fallen mir falsche Daten ein, die in meiner Schufa-Selbstauskunft standen, die ich wenige Monate zuvor angefordert hatte. Damals fanden sich mir unbekannte Adressen und eine Forderung der Domnowski Inkasso GmbH über 1.000 Euro. Es machte gerade eine Studie des Bundesverbraucherministeriums Schlagzeilen: Demnach sei fast die Hälfte der Einträge bei Auskunfteien falsch. Ich hatte seinerzeit widersprochen, die Daten wurden gemäß § 35 Abs. 1 BDSG gelöscht. Ich verbuchte es als Schlamperei.
Doch jetzt bekomme ich Angst.
Ich suche die Telefonnummer der Creditreform und rufe an. Man fragt nach der Kundennummer. Es ist mir unangenehm, eine Nummer zu nennen, die einem Schuldenfall zugeordnet ist – und es ist nicht meine. Ich werde zur Inkassoabteilung durchgestellt, aber dort ist niemand mehr erreichbar.
Unschuldig angeklagt
An Weihnachten bespreche ich den Fall mit meiner Familie. Mein Vater tröstet mich: „Das ist bestimmt ein Versehen. Du musst widersprechen. Das brauchst du nicht zu bezahlen.“ Es nervt mich, dass ich überhaupt widersprechen muss. Ich habe weder Zeit noch Lust.
Trotzdem schreibe ich einen Brief und schicke ihn per Einschreiben an Creditreform und WMF. Ich erkläre, dass ich nie eine Vertragsbeziehung hatte, die Daten falsch sind, fordere Löschung und eine schriftliche Bestätigung. Parallel beginne ich zu recherchieren.
2009 gibt es kaum Informationen zu Identitätsdiebstahl. Eine Mitteilung des Justizministeriums rät: Bei Verdacht sofort mit dem rechnungsstellenden Unternehmen Kontakt aufnehmen und Polizei oder Staatsanwaltschaft einschalten.
Wie klaut man die Identität eines Menschen?
Es ist erschreckend einfach: Name und Geburtsdatum reichen oft. Mit einem weiteren Anhaltspunkt, etwa dem Beruf, lässt sich auf Bonität schließen.
Kafka hätte es kaum treffender beschrieben
So machten es wohl „meine Betrüger“. In Hunderten Fällen bestellten sie binnen weniger Wochen Waren auf Rechnung – unter einer gefälschten E‑Mail-Adresse, zusammengebaut aus meinem Namen und meinem Geburtsdatum. Die Geschäftspolitik vieler Onlineshops erleichterte das: Lieferung an beliebige Adressen, Bonitätsprüfung bei der Schufa – ist die gut, wird versendet. In meinem Fall gingen Lieferungen im Wert von mehreren Zehntausend Euro raus.
Der Ärger beginnt Wochen später, wenn die Zahlung ausbleibt. Es startet das Mahnverfahren an der in der Bestellung angegebenen (falschen) Adresse. Irgendwann merken die Unternehmen, dass die Adressen nicht stimmen, verkaufen die Forderungen an Inkassos. In meinem Fall bestellten die Betrüger bereits im Frühjahr 2009. Strohmänner nahmen die Waren unter falscher Adresse entgegen, gaben sich als Nachbarn aus. Als WMF mahnt, sind die Täter längst weitergezogen. WMF verkauft die Forderung an die Creditreform. Im Dezember googelt ein Mitarbeiter meinen Namen – der erste Treffer führt zu meinen realen Kontaktdaten auf meiner Website.
Wenige Tage nach Silvester kommt ein Einschreiben der Creditreform. Beim Lesen zittere ich am ganzen Körper. Das Schreiben liest sich wie eine Anklage. In acht Punkten werde ich zur Schuldnerin erklärt. „Sie, Tina Groll, haben …“ Ich hätte an der falschen Adresse gelebt, das bestätige eine Nachbarsfamilie. Ein Nachbar habe Pakete für mich angenommen – belegt durch eine Unterschriftskopie von DHL. Später wird das LKA feststellen, dass die Betrüger diese Schreiben selbst verfasst haben, kurz bevor sie auszogen.
Per Haftbefehl gesucht
Die Creditreform schreibt, ich müsse beweisen, dass ich nicht die Schuldnerin sei. Ich will sofort Anzeige erstatten. Dann sehe ich auf Seite 2: Es lägen Haftanordnungen beim Amtsgericht Bremen-Blumenthal gegen mich vor. Was heißt das? Kann ich verhaftet werden? Ich bin mir keiner Schuld bewusst.
Fragen schwirren: Wie kann das sein? Muss ich jetzt in jedem Einzelfall meine Unschuld beweisen? Hafte ich für den Schaden? Wer ist zuständig? Wer hasst mich so sehr, dass er mir das antut?
Der Beamte, der meine Anzeige aufnimmt, sagt: Vermutlich sind es professionelle Betrügerbanden, die wahllos Identitäten aus dem Netz ziehen. „Man findet doch über fast jeden Geburtsdatum, Beruf, Name“, sagt er.
Die Frage „Wie kann denn so etwas passieren?“ kann ich bald nicht mehr hören. Viele finden die Geschichte gruselig faszinierend – und glauben dennoch, ihnen könne das nicht passieren, weil sie „vorsichtig mit Daten umgehen“. Das ist ein gefährlicher Trugschluss.
Nein, die Opfer sind nicht selbst schuld
In einer Welt von Big Data ist es unmöglich, die Kontrolle über alle eigenen Daten zu behalten. Beim Warenkreditbetrug ist der größte Schaden oft nicht die unberechtigte Forderung, sondern die falschen Daten – und die daraus folgenden Konsequenzen.
Durchschnittlich heißt es, 400 Arbeitsstunden seien nötig, um den Schaden zu beheben. Bei mir waren es am Ende eher 800. Mehr als ein Jahr beschäftigte mich die Beseitigung des Identitätsdiebstahls – und sie beschäftigt mich bis heute.
Ein Beispiel: Am Tag des Creditreform-Schreibens telefoniere ich mit der Inkassoabteilung. Man rät, mich beim Amtsgericht in Bremen-Blumenthal zu melden (Haftbefehle). Man wolle „die Sache auf Eis legen“. Doch ich bin nicht die Schuldnerin. Da ist nichts „auf Eis zu legen“, da sind falsche Daten zu löschen – sofort. Genau das passiert jedoch oft nicht.
Die Unternehmen, bei denen unter falscher Identität bestellt wurde, und Inkassos melden die falschen Adressen und Forderungen regelmäßig an Schufa & Co. – mehr als 80 solcher Stellen gibt es in Deutschland. Dort werden falsche und reale Daten zusammengeführt. Die Bonität sinkt. Es entsteht ein Datensatz, in dem Wahres und Falsches vermengt ist. Dieses Knäuel wird weitergereicht – an Banken, Versicherungen, Telekommunikationsunternehmen, die es wiederum weitergeben. Wer was wohin verteilt – intransparent.
Das Datenknäuel kommt immer wieder zurück
Selbst wenn an einer Stelle gelöscht wird, heißt das nicht, dass überall gelöscht wird. Gelöschte falsche Daten tauchen Jahre später wieder auf. Deshalb sind 400 Stunden oft optimistisch.
Wer hilft? Heute gibt es Dienstleister, spezialisierte Juristinnen und Juristen und erste Versicherungen. 2009 war das anders.
Ich habe Angst vor dem Gerichtsvollzieher, vor Kontopfändung. Wie rechtzeitig erfahren, wenn alles an falsche Adressen geht? Ich suche lange nach einem Anwalt. Eine Rechtsschutzversicherung habe ich nicht – und kurzfristig abschließen hilft jetzt nicht. Schließlich finde ich eine Kanzlei, groß, teuer, kompetent. Mein Anwalt kann Strafrecht und Datenschutz. Er setzt Vollstreckungsmaßnahmen aus, recherchiert weitere Haftbefehle auf andere Namen „Groll“ unter derselben falschen Adresse.
Währenddessen trudeln täglich neue Mahnschreiben über mehrere Tausend Euro ein. Mir dämmert: Ich muss alle großen Auskunfteien anschreiben.
Ich verschicke Einschreiben. Später lerne ich: Ein Einschreiben beweist nicht den Inhalt. Fortan faxe ich zuerst und archiviere Sendeberichte, dann geht der Brief per Post.
400 Arbeitsstunden – eine optimistische Rechnung
Wieder bleiben meine Schreiben ohne Wirkung, wieder muss mein Anwalt ran. Wochen später werden falsche Daten gelöscht. Meist ohne Auskunft, wohin sie in der Zwischenzeit weitergegeben wurden. Ich sammle Adressen datenverarbeitender Unternehmen und Auskunfteien, schreibe alle an, fordere Selbstauskünfte – damals noch aufwändig und teuer.
Wirksam sind (damals wie heute) klare juristische Schreiben mit der Androhung von Schadensersatz, wenn die Daten nicht gelöscht werden. In vielen Fällen muss mein Anwalt Unternehmen erst erklären, wie Datenlöschung rechtlich korrekt umzusetzen ist. Alles kostet. Rückblickend denke ich zynisch: Es wäre fast günstiger gewesen, die Schulden der Betrüger zu bezahlen.
Ein längerer Urlaub? Unmöglich. Fristen in Mahnungen sind kurz, Pfändung wird angedroht. Versäume ich Fristen, riskiere ich Gehalts- oder Kontopfändung. Und: Jeden einzelnen Betrugsfall muss ich anzeigen – jede neue Erkenntnis der Polizei melden.
Falsche Daten, ein Leben lang
Seit 2010 nutze ich den Schufa-Update-Service. Er informiert über Score-Änderungen oder neue Einträge. In meinem Fall gab es zudem einen „Opfer-Vermerk“. Bei Online-Bestellungen erhielt ich gelegentlich Nachfragen, ob die Prüfung meiner Bonität tatsächlich von mir angestoßen wurde – das schafft Vertrauen.
Im Juli 2014 fällt mein Score plötzlich auf neun Prozent. Universum Inkasso hat eine angeblich titulierte Alt-Forderung (2009) gemeldet – obwohl ich 2010 bereits schriftlich den Betrug nachgewiesen hatte. Wie kommt das?
Ein Anwalt erklärt: Universum ließ Ende 2013 massenhaft Altforderungen eintragen. Vieles formal fragwürdig. Forderungen dürfen nur unter klaren Voraussetzungen gemeldet werden (§ 28a BDSG a. F.). Fraglich ist, ob ohne erneute Information eingetragen werden darf. Für Opfer von Identitätsdiebstahl gilt ohnehin: Forderungen, die auf Betrug beruhen, gehören nicht in reale Datensätze.
Laut Schufa können Gläubiger titulierte Forderungen lange eintreiben und auch später melden. Problem: Bei falschen Adressen bekommen Opfer Titel nie zugestellt und können nicht widersprechen.
Universum räumt später ein: Die Forderung wurde nie korrekt gelöscht, ein interner Vermerk („ruhend“) ging bei einer Systemumstellung verloren, die Daten landeten 2013 erneut in meinem Datensatz. Die Schufa sagt: Man übernehme spiegelbildlich; die Zuordnung erfolgt über Name/Geburtsdatum – das Datenknäuel ist zurück. Am Ende werden die Einträge gelöscht, mein Score korrigiert.
Fünf Jahre nach dem Missbrauch schreibe ich wieder alle Auskunfteien an. Auch bei anderen (z. B. Infoscore) finde ich Falscheinträge, die 2010 hätten gelöscht sein müssen. Warum merkte ich das nicht früher? Weil ich nicht jährlich alle Stellen anschreiben kann – wer hat die Zeit? „Wiederbelebte“ Alt-Forderungen werden nicht immer an die Schufa gemeldet; die Schufa ist die einzige Auskunftei mit Update-Service.
Die Schufa hatte meinen Opfer-Vermerk zwischenzeitlich gelöscht („weil alles ruhig war“) – nun steht er wieder. Man beklagt mangelnde Sorgfalt bei Vertragspartnern. Kein Wunder: Die Nachteile haben die Betroffenen, nicht die Datenhändler.
Kampf gegen Windmühlen – und trotzdem: Wehren lohnt
Am Ende steht die Erkenntnis: Was im Datenschutz steht, ist das eine – das eigene Recht durchzusetzen, das andere.
Meine Bilanz: rund 800 Arbeitsstunden, viel Geld für juristische Vertretung und enorm viel Lebensenergie. Der Reputationsschaden lässt sich kaum messen. Ich wollte nie Expertin für Identitätsdiebstahl werden. Aber manchmal findet man die Themen nicht – die Themen finden einen. Reporterglück, auf die harte Tour.
Und heute?
Seit diesen ersten Mahnschreiben hat sich die Welt weitergedreht, und mit ihr die Methoden der Täter. Identitätsmissbrauch ist heute ein Massenphänomen – und durch Künstliche Intelligenz zugleich raffinierter und schneller geworden. Wo 2009 Name und Geburtsdatum reichten, simulieren 2025/2026 täuschend echte Stimmen und Gesichter Telefonate, Videocalls und Anweisungen, die sich kaum noch von der Realität unterscheiden. Aus einmaligen Datendiebstählen sind dauerhafte Datenökosysteme geworden, in denen Leaks, Datenhandel und automatisierte Angriffe ineinandergreifen. Gleichzeitig ist der „Master-Schlüssel“ zur eigenen digitalen Existenz – die E‑Mail – wichtiger denn je, weil über sie Passwörter zurückgesetzt, Konten übernommen und Sicherheitsabfragen ausgehebelt werden. Neu ist nicht, dass Betroffene strukturiert widersprechen, Fristen wahren und Beweise sammeln müssen; neu ist die Geschwindigkeit, mit der sich ein Vorfall heute vervielfältigt, wenn nicht früh gegengesteuert wird.
Der gute Teil der Geschichte: Es gibt auch bessere Schutzwerkzeuge. Starke Mehrfaktorauthentifizierung und Passkeys, konsequente Verifikation per Rückruf über bekannte Nummern, klare Teamregeln gegen Zeitdruck und Geheimhaltungsdruck, Sicherheitsbenachrichtigungen für Logins und Transaktionen sowie regelmäßige Selbstauskünfte bei Auskunfteien begrenzen Schäden spürbar.
Mein persönlicher Weg von 2009 bis heute zeigt: Man kann die Kontrolle zurückerobern – aber man braucht System, Ausdauer und verlässliche Routinen. Genau darum geht es in den Büchern, die ich mit dem Ex-Interpol-Agenten und Cybercrime-Experten Cem Karakaya schreibe: Was damals begann, ist heute aktueller denn je – nur dass wir 2025/2026 lernen, mit KI-beschleunigten Risiken klüger, gelassener und wirksamer umzugehen.
