Dr. Jens Ambrock
Identitätsdiebstahl: Wie kann der Datenschutz helfen?
So alt wie die Parallelwelt des Internets ist auch das Phänomen des Identitätsdiebstahls. Aus verschiedensten Motivationen heraus erstellen Personen Nutzungsprofile im Namen eines anderen Menschen. Bestellbetrug im Onlinehandel ist der häufigste Anwendungsfall. Konstellationen des Mobbings und der Demütigung im sexuellen Kontext geraten aktuell in den öffentlichen Fokus u.a. durch die Berichterstattung um den Schauspieler Christian Ulmen. Staatsanwaltschaften sehen in solchen Fällen oftmals Strafbarkeitslücken – ein Stück weit kann jedoch das Datenschutzrecht diese füllen und Betroffenen Hilfestellung bieten.
I. Betrugsfälle im Onlinehandel
Datenschutzbehörden haben regelmäßig mit Identitätsdiebstahl zu tun. Zum Tagesgeschäft gehören Fallgestaltungen im Versandhandel, bei denen Betroffene eine Rechnung erhalten zu einem Kaufvorgang, den sie nicht getätigt haben. Oftmals stecken Kriminelle dahinter, die ein Kundenkonto mit der Identität der Opfer angelegt haben. Die Täter begehen damit eine Verletzung der DSGVO, diese tritt jedoch hinter der Eigentumsstraftat zurück. Erfolgt der Datenschutzverstoß zum Zweck, Sachwerte zu entwenden, werden die Fallakten gemäß § 41 Abs. 1 OWiG an die Staatsanwaltschaft abgegeben.
1. Praxistipps fĂĽr Betroffene
Den Datenschutzbehörden obliegt gleichwohl die Aufgabe, die Betroffenen in einer solchen Situation zu beraten. Zunächst gilt es darauf hinzuweisen, dass die gegenstandslose Rechnung des Versandhauses nicht ignoriert werden sollte. Ein Widerspruch verhindert gemäß § 31 Abs. 2 Nr. 4 lit. d BDSG Negativeinträge bei einer Auskunftei und bewahrt meist vor weiteren Forderungsschreiben. Bleibt das Versandhaus unnachgiebig, wird eine Anzeige gegen unbekannt bei der Polizei empfohlen, um im Wiederholungsfall einen aktenkundigen Vorgang dokumentiert zu haben.
In eklatanten Fällen wiederholten Datenmissbrauchs kann es ratsam sein, sich freiwillig in den Fraud-Pool der Auskunftei Schufa eintragen zu lassen. Teilnehmende Onlinehändler erhalten dann bei Bestellungen auf den eigenen Namen eine Warnung, dass besondere Vorsicht geboten ist. Kriminelle Fehlbestellungen werden damit oft wirksam unterbunden. Die Betroffenen haben fortan jedoch ggf. auch Schwierigkeiten, eigene, korrekte Bestellungen zu tätigen.
2. Auskunftsrecht
Darüber hinaus ist der Datenschutz ein wichtiges Werkzeug, um die Hintergründe zu erfahren. Das Auskunftsrecht aus Art. 15 DSGVO bringt Betroffene in die Position zu erfahren, ob eine schlichte Verwechselung vorliegt oder ob sich Kriminelle die eigene Identität angeeignet haben. So können abweichende Lieferanschriften und verwendete E-Mail-Adressen und Telefonnummern ermittelt werden, die Hinweise auf die Täter liefern. In der Literatur ist umstritten, ob Informationen aus Kundenkonten, die ein Dritter angelegt hat, als personenbezogene Daten des Opfers herausgabefähig sind. Für die Datenschutzbehörden liegt der Fall ganz klar. Dem EDSA ist es in den Leitlinien 01/2022, V. 2.0, Rn. 107 ein Anliegen, „dringend zu betonen, dass das Opfer Informationen über alle personenbezogenen Daten“ erhalten muss. Auch wenn das Opfer die Daten nicht selbst eingegeben hat, sind es doch Informationen, die der Person zugeordnet sind. Dies gilt auch dann, wenn sie falsch sind.
Das Auskunftsrecht ist ein bedeutendes Instrument des Opferschutzes. Es auszuüben, empfiehlt sich in allen Konstellationen des Identitätsdiebstahls. Die Wahrscheinlichkeit, dass die Polizei auf eine Anzeige hin tätig wird, steigt, wenn die Datenkopie Hinweise auf die Täter liefert. Ungereimtheiten wie falsche Telefonnummern können gegenüber dem Händler als Beleg für die generelle Unrichtigkeit der Angaben im Kundenprofil angeführt werden. Ob dieser Weg auch künftig weiterhin beschritten werden kann, hängt vom Fortgang des Omnibusverfahrens des EU-Gesetzgebers ab. Der Kommissionsentwurf schlägt vor, zu datenschutzfremden Zwecken gestellte Auskunftsanträge vom Anspruch auszuschließen. Ob die Ermittlung von Tätern noch als Datenschutz-Zweck im weiteren Sinne eingestuft werden kann, müsste dann die künftige Auslegungspraxis zeigen.
II. Fälle im sexualisierten Kontext
Identitätsdiebstahl zur Ansprache von Dritten in einem sexuellen Kontext wird seltener aktenkundig. Er fällt jedoch auch in den Anwendungsbereich des Datenschutzrechts.
1. Verarbeitung personenbezogener Daten
Bereits die Erstellung eines Kundenkontos in einem sozialen Netzwerk unter fremdem Namen stellt eine Verarbeitung von Daten dieser Person dar. Dies gilt unabhängig davon, ob es sich um „richtige“ Daten oder Falschangaben in fremdem Namen handelt. Werden die Profile genutzt, um Dritte anzuschreiben, ist auch die Konversation eine Verarbeitung personenbezogener Daten des Opfers. Ebenso fällt unter diese Kategorie die Erstellung von Inhalten zum Zweck der Versendung, etwa KI-generierte Personenbildnisse mit dem Gesicht des Opfers. Das Datenschutzrecht reicht damit in Bereiche, die dem Strafrecht verwehrt sind. Nicht erforderlich ist ein pornographischer Kontext bzw. ein Eindringen in die Intimsphäre. Jegliches Bild und jegliche Konversation, die unter fremdem Namen erfolgt, ist eine Verarbeitung personenbezogener Daten, für die sich keine Rechtsgrundlage finden lassen wird.
2. Handlungsfeld der Datenschutzbehörden
Wo der Staatsanwaltschaft aufgrund enger Straftatbestände die Hände gebunden sind, kann die Datenschutzbehörde oftmals aktiv werden. Ermittlungsmaßnahmen und ggf. Sanktionen können hilfreiche Wirkung entfalten. Auch dann, wenn die Tat nicht hinreichend nachgewiesen oder zugerechnet werden kann, zieht ein Behördenschreiben mit Sachverhaltsfragen auf offiziellem Briefkopf oftmals Folgen nach sich. Es signalisiert den mutmaßlichen Tätern, dass die Betroffenen nicht alleine sind und der Vorfall eine ernste Angelegenheit ist.
Die Datenschutzbehörden sind bei allem Engagement bestrebt, sich aus individuellen Scheidungsdramen herauszuhalten. Dabei gilt es, sorgfältig zu differenzieren. Eklatante Fälle wie der Identitätsdiebstahl zur Diskreditierung der Ex-Partner werden mit Nachdruck verfolgt. Sachverhalte, in denen darüber gestritten wird, wer welche Information an den Klassenlehrer oder die Kinderärztin weitergegeben hat, werden hingegen selten für alle Beteiligten besser, wenn sich die Aufsichtsbehörde einschaltet.
Fälle sexueller Übergriffigkeit erreichen die Datenschutzbehörden in der Regel als Abgabe von der Staatsanwaltschaft, wenn sie zur Erkenntnis kommt, dass das Täterverhalten keine Strafnorm erfüllt. Mit stetiger Regelmäßigkeit erfolgt dies bei Fotografien von ausnahmslos Männern, die junge Frauen im öffentlichen Raum oder auch mittels versteckter Kameras in Badezimmern ablichten. Enthalten die Aufnahmen keine explizite Nacktheit, ist keine Strafnorm verletzt, die Datenschutzbehörde kann jedoch nach weicheren Maßstäben übernehmen (vgl. HmbBfDI, TB 2024, S. 144 ff.). Vielfach kommt es zu Geldbußen gegen die Privatpersonen, die ausnahmslos bezahlt werden. Auf Widersprüche, die zur öffentlichen Verhandlung vor dem Amtsgericht führen würden, verzichten die Täter stets.
3. Auskunftsanspruch
Auch in Fällen übergriffigen Verhaltens ist der Auskunftsanspruch ein wichtiges Instrument. Ist die Identität des Täters unklar, kann ggf. der Social-Media-Betreiber weiterhelfen. Soweit Metadaten oder E-Mail-Adressen zu einem Fake-Profil vorliegen, sind sie der Person herauszugeben, auf deren Namen der Account angelegt ist. Ggf. enthält die Kommunikation auch private Fotos, die nur vom Ex-Partner stammen können.
4. Haushaltsausnahme
An Grenzen stößt die Datenschutzbehörde, wenn die Haushaltsausnahme des Art. 2 Abs. 2 lit. c DSGVO greift. Die Abgrenzung, wann eine Handlung der persönlichen oder familiären Tätigkeit unterfällt, ist bislang nur unzureichend konturiert. Erstellen Personen Fake-Bilder ihrer Ehefrau, ist diese Verarbeitung für die Datenschutzbehörde kaum greifbar. Verbreiten sie diese Bilder jedoch an Dritte, ist in der Regel der Rahmen der Haushaltsausnahme überschritten.
III. StrafbarkeitslĂĽcken
Die Einbindung des Datenschutzes ist notwendig, wenn die engen Strafnormen wie § 184k StGB (Verletzung des Intimbereichs durch Bildaufnahmen) oder § 238 StGB (Nachstellung) nicht einschlägig sind. Dabei ist auch an den bei Staatsanwaltschaften oft übersehenen § 42 Abs. 2 BDSG zu denken, der Datenverarbeitungen mit Schädigungsabsicht unter Strafe stellt. In Konstellationen der Identitätsanmaßung zur bewussten Bloßstellung kann der Paragraph greifen, auch wenn die Absicht hinter einer Tat meist schwierig nachzuweisen ist.
Die DSGVO greift als Reaktion auf viele Taten des Identitätsdiebstahls, soweit die Haushaltsausnahme nicht eröffnet ist. Daraus ist mitnichten zu schließen, dass die aktuelle Reformdebatte zum StGB überflüssig sei. Zwar unterscheiden sich die Geldbußen der Datenschutzbehörden der Höhe nach nicht von einer möglichen Geldstrafe. Für Opfer und auch für Täter macht es jedoch einen gewaltigen Unterschied, ob eine Verwaltungsbehörde eine Ordnungswidrigkeit verfolgt, vergleichbar mit Verstößen gegen Vorfahrts- oder Mülltrennungsregeln, oder ob sich die Handelnden vor Gericht verantworten müssen und strafrechtlich verurteilt werden.
IV. Handlungsempfehlungen
Betroffenen von Identitätsdiebstahl ist zu raten, das Auskunftsrecht der DSGVO zur Sachverhaltsermittlung und Beweissicherung zu nutzen. Auf der Basis empfiehlt sich der erste Weg zu den Strafverfolgungsbehörden, ggf. mit explizitem Hinweis auch auf die Strafnorm des BDSG. Kann dort keine wirksame Hilfe erlangt werden, ist oftmals die Beschwerde bei der Datenschutzbehörde ratsam.
| Autor: | Dr. Jens Ambrock ist Referatsleiter beim Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit sowie Lehrbeauftragter an der Christian-Albrechts-Universität zu Kiel. Der Beitrag gibt ausschließlich seine persönlichen Auffassungen wieder. |  |