August 2019 – MAISCH MANGOLD SCHWARTZ Rechtsanwälte

Im Bestreben, die Kontrolle zurückzuerlangen und um sich besser zu schützen, muss erstmal klar sein, welche Unternehmen was über einen wissen. Dazu ist jedermann berechtigt, von jedem Unternehmen Auskünfte verlangen, ob und welche Daten mit Bezug auf den Betroffenen verarbeitet werden. Auch Daten, die von Unbekannten z.B. durch Fake-Profile angelegt wurden, sind Daten, die Bezug zu der Person des Opfers aufweisen. Betroffenenrechte bilden einen wichtigen Beitrag, um Licht in die Schattenseiten der Digitalisierung zu bringen. Mit der Erkenntnis, wer was über einen weiss, kann gehandelt werden: Opfer können in den Grenzen der Datenschutz-Grundverordnung Berichtigung, Einschränkung, Löschung von Daten verlangen, die unrichtig oder von Dritten ohne Rechtsgrund über sie gespeichert und weitergegeben wurden. Zudem können Opfer in Erfahrung bringen, an welche Auskunfteien, Werbedienstleister oder Versicherungen falsche personenbezogene Daten weitergegeben wurden und diesen Datenflüssen nachspüren. Die Inanspruchnahme von Betroffenenrechten bildet daher einen wichtigen Schritt, neben technischen Schutzmaßnahmen, um Opfer in die Lage zu versetzen, Schadensfälle einzudämmen und sich präventiv besser gegen neue Angriffe zu schützen. Soweit sich herausstellen sollte, dass mangelhafte Datenschutz- und Datensicherheitsmaßnahmen für den Identitätsmissbrauch (mit-) ursächlich gewesen sind, stehen den Opfern zivilrechtliche Ansprüche auf Schadenersatz und Schmerzensgeld gegen die verantwortlichen Unternehmen offen. Flankierend können aufsichtsbehördliche Maßnahmen aufgrund von Beschwerden eingeleitet und das Unternehmen durch Androhung von Sanktionen zu einer Verbesserung des Datenschutzes bewegt werden.

In der Praxis sind Opfer von Identitätsmissbrauch in der Regel verzweifelt und suchen häufig vergeblich nach Hilfe und Sofortmaßnahmen ausgeliefert. Die Justiz verfügt nicht über die Kapazität, Verbraucher zu informieren – meist bleibt es bei einer Anzeige, die ins Leere läuft. Verbrauchern ist damit nicht geholfen. Informationsangebote, die Verbrauchern „Erste Hilfe“ im Missbrauchsfall bieten, um diesen mit einfachen Handlungsanweisungen zu helfen, fehlen fast vollständig. Auch fehlt es an Informationsangeboten, die Verbrauchern das Zusammenwirken aus Digitalisierung, insbesondere dem leichtfertigen Umgang mit persönlichen Daten und Cybercrime, verdeutlichen. Neben Informationsangeboten fehlt es aber vor allem an einer technisch und rechtlich wirksamen Umsetzung der DSGVO-Betroffenenrechte. Das vom Gesetzgeber gut gemeinte Regelwerk stellt Verbraucher vor viele praktische Herausforderungen: Diese beginnen mit der Form der Antragstellung, dem Antragsinhalt und fehlenden Kenntnissen, in welchem Umfang personenbezogene Daten mitgeteilt werden müssen, um eine Identifizierung der betroffenen Person zu ermöglichen. Ohne die Feststellung der Antragsberechtigung sind Unternehmen verpflichtet, Anträge zu Betroffenenrechten abzulehnen. Hinzu kommt häufig das rein tatsächliche Problem, den richtigen Ansprechpartner oder Antragsempfänger eines Unternehmens, das aus verschiedenen Gesellschaften besteht, zu adressieren. Schwierigkeiten zeigen sich auch bei der Interpretation von Auskünften und wie Opfer weiter vorgehen können.

Wer Opfer von Identitätsdiebstahl bzw. „Identitätsklau“ geworden ist, sollte schnell handeln und einen Rechtsanwalt kontaktieren, um die eigene Reputation und Bonität wiederherzustellen.

Von „Alexa“, dem Sprachassistenten, der alle Gespräche mithört, über neue Bewegungsprofile durch E-Scooter und zum Smart Home: Alle Lebensbereiche werden vollständig digitalisiert. Nichts geht mehr ohne die Verarbeitung von personenbezogenen Daten, um sich zu identifizieren oder zu bezahlen. Doch es gibt Schattenseiten: Identitätsmissbrauch. Neue Zahlen belegen, dass Verbraucher immer häufiger vom Missbrauch ihrer personenbezogenen Daten zur Begehung von Straftaten bedroht sind. Vielfach werden Identitäten für Betrugs- und Geldwäschedelikte, aber auch zur Erpressung (auch mit Privatfotos, sog. „Sextortion“) oder zum Cyber-Mobbing verwendet.

Bereits im Jahr 2016 ermittelte die Unternehmensberatung PwC, dass jeder dritte Deutsche schon einmal von einem Identitätsdiebstahl betroffen gewesen ist. Warenkreditbetrug sei die häufigste Masche. Mehr als ein Viertel der Geschädigten habe Rechnungen für Einkäufe erhalten, die sie nie getätigt haben. Von Konto-Abbuchungen, die nicht zuzuordnen waren, berichten mehr als 20 Prozent. Knapp 30 Prozent der Opfer haben durch diesen Identitätsdiebstahl einen finanziellen Schaden von durchschnittlich 1.366 Euro erlitten.[1]

Im Jahr 2017 wurden bereits 49% der deutschen Nutzer Opfer von Internetkriminalität, wie der bitkom Digitalverband erhoben hat.[2] „Rund jeder Fünfte gibt an, dass Zugangsdaten zu Online-Diensten wie Sozialen Netzwerken oder Online-Shops gestohlen (19 Prozent) oder persönliche Daten illegal genutzt (18 Prozent) wurden. Rund jeder Sechste (16 Prozent) ist beim Online-Shopping oder Online-Banking betrogen worden.“

Nach einer FORSA-Umfrage aus dem Jahr 2018 mit 2.040 Teilnehmern, gaben 12 Prozent der Befragten an, bereits Opfer von Identitätsmissbrauch gewesen zu sein. 10 Prozent der Befragten sei ein finanzieller Schaden durch Identitätsmissbrauch entstanden und 30% Prozent teilten mit, jemanden zu kennen, dessen Daten für Identitätsmissbrauch verwendet wurden.

Opfer von Identitätsmissbrauch werden meist kalt erwischt. Wer rechnet schon jeden Tag damit, dass ein Unbekannte im eigenen Namen im Internet auf Shopping-Tour gehen, Facebook-Konten hacken, um den eigenen Freunden gefährliche Links zu schicken oder in das Online-Bankkonto einbrechen? Nicht nur haben Opfer meist mit gravierenden rechtlichen und finanziellen Folgen zu kämpfen, z.B. Abwehr von unberechtigten Forderungen, die Wiederherstellung der Bonität oder technische Prävention weitere Schadensfälle. Die Opfer leiden meist unter der traumatischen Erfahrung, die Kontrolle darüber verloren zu haben, wer was über sie weiss und warum. Das Grundvertrauen in die Sicherheit der (mittlerweile lebensnotwendigen) Datenverarbeitung ist zudem nachhaltig erschüttert.

[1] PwC, https://www.pwc.de/de/handel-und-konsumguter/assets/cyber-security-identitaetsdiebstahl-2016.pdf

[2] Repräsentativen Befragung von 1.017 Internetnutzern ab 14 Jahren im Auftrag des Digitalverbands Bitkom, https://www.bitkom.org/Presse/Presseinformation/Cybercrime-Jeder-zweite-Internetnutzer-wurde-Opfer.html

Wie kann man sich vor Identitätsdiebstahl schützen?

Was ist Identitätsdiebstahl?