DSGVO-Auskunft bei Identitätsdiebstahl

Identitätsmissbrauch fühlt sich für Betroffene häufig an wie ein Kontrollverlust auf mehreren Ebenen. Plötzlich existiert irgendwo ein Nutzerkonto unter Ihrem Namen. Es werden Verträge abgeschlossen, Abos gebucht oder Zahlungen ausgelöst, ohne dass Sie irgendetwas veranlasst haben. Und wenn Sie dann „wenigstens wissen wollen, was da gespeichert ist“, folgt nicht selten die nächste Enttäuschung: Das Unternehmen teilt Ihnen nur rudimentäre Angaben mit oder verweigert die Auskunft mit dem Hinweis, die übrigen Daten stammten von einem Dritten, also dem Täter.

Genau an diesem Punkt setzt eine wichtige Entscheidung des Verwaltungsgerichts Berlin (Urt. v. 09.10.2025 - Az.: 1 K 463/22) an. Das Gericht hat klargestellt, dass die DSGVO-Auskunft nicht auf „echte“ Daten beschränkt ist. Sie kann auch solche Informationen erfassen, die ein Täter unter Ihrer Identität erzeugt hat. Vereinfacht gesagt: Wenn Daten im System eines Unternehmens unter Ihrem Namen verarbeitet werden, können sie auskunftspflichtig sein, selbst wenn Sie sie nie angegeben haben.

Der Fall vor dem VG Berlin

Wie ein angebliches Abo zu einer Grundsatzfrage wurde

Der Ausgangssachverhalt war praxisnah und gerade deshalb so lehrreich.

Ein Mann bemerkte, dass von seinem Konto Geld für ein Online-Abonnement abgebucht wurde. Nach seiner Darstellung hatte er ein solches Abo nie abgeschlossen. In der Kommunikation mit dem Anbieter zeigte sich, dass dort ein Kundenkonto existierte, das unter dem Namen des Mannes geführt wurde. Das Unternehmen berief sich sinngemäß auf dieses Konto als Grundlage für das Vertragsverhältnis.

Gleichzeitig gelang es dem Anbieter nach dem bekannten Verlauf des Falls nicht, einen belastbaren Zusammenhang zwischen dem Betroffenen und der Bestellung herzustellen. Mit anderen Worten: Es stand im Raum, dass ein Dritter unter dem Namen des Mannes ein Konto angelegt und das Abo ausgelöst hatte, ohne dass der Mann selbst beteiligt war.

Das Auskunftsverlangen des Betroffenen

Der Mann verlangte daraufhin eine vollständige datenschutzrechtliche Auskunft. Diese sollte ihm ermöglichen nachzuvollziehen:

• welche Daten zu seiner Person gespeichert werden
• welche Vorgänge im Zusammenhang mit dem fraglichen Nutzerkonto dokumentiert sind
• welche technischen Spuren zu dem Konto existieren

Gerade bei Identitätsmissbrauch ist die Auskunft oft der Schlüssel, um den Missbrauch zu verstehen und weitere Schritte vorzubereiten.

Die Reaktion des Unternehmens: „Das sind Daten eines Dritten“

Das Unternehmen erteilte nicht gar keine Auskunft, aber nach dem späteren Streitstand nur eine sehr reduzierte.

Mitgeteilt wurden im Kern Basisangaben wie:

• Name
• Kontoverbindung

Weitere Informationen verweigerte die Firma mit einer Begründung, die in der Praxis häufig zu hören ist: Alles, was darüber hinaus gehe, betreffe nicht den Betroffenen, sondern den Täter. Diese Daten seien daher als „Dritt-Daten“ zu behandeln. Man könne sie schon aus Datenschutzgründen nicht herausgeben.

Diese Sichtweise klingt auf den ersten Blick plausibel. Sie übersieht jedoch, dass die DSGVO nicht nur die Herkunft von Daten betrachtet, sondern vor allem deren Bezug zu einer identifizierbaren Person. Und genau das hat das VG Berlin in seiner Entscheidung deutlich herausgearbeitet.

Das behördliche Verfahren: Verwarnung wegen unvollständiger Auskunft

Warum die Aufsicht einschritt

Der Betroffene wandte sich an die Berliner Datenschutzaufsicht. Diese sah in der eingeschränkten Auskunft einen DSGVO-Verstoß und reagierte mit einer datenschutzrechtlichen Verwarnung gegen das Unternehmen.

Wichtig ist dabei: Eine Verwarnung ist kein „kleiner Hinweis ohne Bedeutung“. Sie ist eine formelle Maßnahme der Aufsicht und signalisiert, dass die Behörde einen Datenschutzverstoß als festgestellt ansieht und dies dokumentiert. Für Unternehmen kann das relevant sein, weil sich daraus Folgefragen ergeben können, etwa zu internen Prozessen, Wiederholungsfällen oder zukünftigen Kontrollen.

Das betroffene Unternehmen akzeptierte die Maßnahme nicht und klagte. Damit landete die Sache vor dem Verwaltungsgericht Berlin.

Die Entscheidung des VG Berlin vom 09.10.2025 (Az.: 1 K 463/22)

Warum das Gericht die Verwarnung bestätigte

Das Verwaltungsgericht Berlin wies die Klage des Unternehmens ab. Nach seiner Bewertung hatte die Datenschutzbehörde die Verwarnung zu Recht ausgesprochen.

Im Zentrum der Entscheidungsgründe standen zwei Fragen, die für die Praxis besonders bedeutsam sind:

• Fallen auch „Fake-Daten“ bei Identitätsmissbrauch unter den Begriff der personenbezogenen Daten des Opfers?
• Können sich Täter oder deren Daten erfolgreich auf den Schutz „Dritter“ berufen, um eine Auskunft zu blockieren?

Der Schlüsselbegriff: „personenbezogene Daten“ sind nicht nur „wahre Daten“

Das Gericht ging von einem weiten Verständnis personenbezogener Daten aus. Entscheidend ist nicht, ob eine Information inhaltlich „wahr“ ist oder ob sie vom Betroffenen selbst stammt. Maßgeblich ist vielmehr, ob die Information im System des Verantwortlichen mit der Person verknüpft wird.

Bei einem unter fremdem Namen angelegten Nutzerkonto bedeutet das:

• Das Unternehmen verarbeitet Daten, weil das Konto unter dem Namen des Betroffenen geführt wird
• Diese Daten werden im Rahmen dieses Kontos gespeichert, genutzt, ausgewertet oder zumindest vorgehalten
• Damit sind sie in der Verarbeitungssphäre des Unternehmens dem Betroffenen zugeordnet

Aus dieser Zuordnung folgerte das Gericht sinngemäß: Auch solche Daten sind „Daten über“ den Betroffenen, weil sie im System als Daten zu „diesem“ Nutzerkonto geführt werden, das unter seinem Namen existiert.

Für die Praxis ist das ein sehr wichtiger Punkt. Denn Unternehmen argumentieren in Identitätsmissbrauchsfällen häufig:

• „Das hat der Täter eingegeben, nicht Sie.“
• „Das sind daher Daten des Täters.“
• „Wir dürfen Ihnen das nicht geben.“

Das VG Berlin stellt dem entgegen: Für die Auskunftspflicht reicht es aus, dass das Unternehmen diese Daten im Zusammenhang mit der Identität des Betroffenen verarbeitet. Ob der Betroffene sie erzeugt oder bereitgestellt hat, ist dafür nach der Logik des Gerichts nicht ausschlaggebend.

Was bedeutet „verarbeiten“ in diesem Zusammenhang?

Das Gericht knüpft an das Verständnis an, dass „Verarbeitung“ sehr weit gefasst ist. Es geht nicht nur um aktives Auswerten. Schon das Speichern, Vorhalten, Zuordnen oder Abrufen kann ausreichen, um von Verarbeitung auszugehen.

Gerade bei Nutzerkonten im Onlinebereich ist typischerweise eine Vielzahl von Datenverarbeitungen angelegt, etwa durch:

• Anlage und Verwaltung eines Accounts
• Speicherung von Registrierungsdaten
• Protokollierung von Logins und Nutzungsaktionen
• Zuordnung technischer Kennungen zum Konto

Damit ist in Identitätsmissbrauchsfällen oft gar nicht die Frage, ob „überhaupt“ verarbeitet wird, sondern nur, welcher Umfang an Informationen zum Konto vorhanden ist.

Der Umfang der geschuldeten Auskunft: mehr als Name und IBAN

Nach der Entscheidung hätte das Unternehmen nicht bei Stammdaten stehen bleiben dürfen. Es hätte vielmehr auch weitere, kontobezogene Informationen offenlegen müssen, weil sie dem unter dem Namen geführten Konto zugeordnet waren.

Je nach Systemlandschaft kann das insbesondere umfassen:

• Account-ID oder interne Kundennummern
• Zeitpunkt der Registrierung oder Kontoeröffnung
• IP-Adressen im Zusammenhang mit Registrierung, Login oder Nutzung
• Geräte- oder Browserinformationen, soweit protokolliert
• Nutzungs- und Logdaten, also Protokolle über Kontoaktivitäten
• Kommunikationsdaten im Zusammenhang mit dem Account, etwa Supportkontakte
• Vertrags- und Transaktionsdaten, soweit dem Konto zugeordnet
• Historien und Statusdaten, etwa Änderungen von Daten, Sperrvermerke oder Verifizierungsstatus

Wichtig ist dabei: Nicht in jedem Fall wird jede dieser Kategorien tatsächlich gespeichert. Aber wenn sie gespeichert wird und dem Konto unter Ihrem Namen zugeordnet ist, rückt sie in den Kreis des Auskunftsanspruchs.

Das Gericht folgt damit dem Gedanken, dass Art. 15 DSGVO nicht nur „ein paar Datenpunkte“ liefern soll, sondern Transparenz über die Verarbeitung. Gerade in Missbrauchsfällen ist diese Transparenz der Kernnutzen.

Dritt-Daten und Art. 15 Abs. 4 DSGVO

Warum sich der Täter nicht ohne Weiteres auf Datenschutz berufen kann

Eine der zentralen Verteidigungslinien des Unternehmens lautete: Die weiteren Daten seien Daten eines Dritten. Und wenn Dritte betroffen seien, müsse man deren Rechte schützen.

In der DSGVO gibt es tatsächlich eine Regelung, die in diese Richtung weist. Sie wird in der Praxis häufig herangezogen, wenn Auskunftsbegehren angeblich Rechte anderer beeinträchtigen könnten. Vereinfacht gesagt geht es darum, dass Auskunft nicht dazu führen soll, dass schutzwürdige Rechte Dritter unverhältnismäßig verletzt werden.

Das VG Berlin hat in der konkret entschiedenen Konstellation deutlich gemacht, dass ein pauschaler Verweis auf Rechte eines „Dritten“ nach Art. 15 Abs. 4 DSGVO nicht automatisch eine Auskunft blockiert – insbesondere dann nicht, wenn die Drittperson die Verknüpfung gerade durch einen Identitätsmissbrauch herbeigeführt hat und die betroffenen Informationen zugleich dem unter dem Namen des Betroffenen geführten Konto zugeordnet sind.

Abwägung: Schutzinteresse des Täters gegen Auskunftsrecht des Opfers

Das Gericht stellte nach dem bekannten Inhalt der Entscheidungsgründe darauf ab, dass der Täter sich durch den bewussten Identitätsmissbrauch nicht in gleicher Weise auf den Schutz seiner Daten berufen kann, wenn diese Daten gerade durch das widerrechtliche Verhalten mit der Identität des Opfers verknüpft wurden.

Die Kerngedanken, die sich daraus für die Praxis ableiten lassen, sind:

• Ein Täter schafft die Verknüpfung mit der Identität des Opfers bewusst und gezielt
• Die Daten werden in diesem Moment in einem Kontext verarbeitet, der sich auf das Opfer bezieht
• Das Auskunftsrecht des Opfers hat ein hohes Gewicht, weil es der Aufklärung und dem Schutz dient
• Schutzrechte des Täters können in der Abwägung zurücktreten, wenn sie sich auf eine durch rechtswidriges Verhalten geschaffene Lage stützen

Das Gericht hat dabei ersichtlich nicht nur abstrakt argumentiert, sondern den konkreten Missbrauchscharakter des Geschehens als wesentliches Element in die Abwägung einbezogen.

Praktische Konsequenz: „Dritter“ ist nicht gleich „schutzwürdig“

Das ist ein Punkt, der in der anwaltlichen Praxis häufig erklärt werden muss. Nicht jeder „Dritte“ ist automatisch in gleicher Weise schutzwürdig. Die DSGVO kann im Rahmen von Art. 15 Abs. 4 DSGVO nicht dazu dienen, Auskunftsansprüche pauschal mit dem Hinweis auf Drittinteressen zu blockieren, wenn die Drittperson die relevante Verknüpfung durch Identitätsmissbrauch herbeigeführt hat. Maßgeblich bleibt eine Güterabwägung im Einzelfall.

Für Unternehmen bedeutet das zugleich: Ein pauschaler Verweis auf „Dritt-Daten“ kann riskant sein, wenn die Drittperson gerade der Täter ist und die Daten im Zusammenhang mit der missbrauchten Identität verarbeitet wurden.

Warum diese Entscheidung für Betroffene so wichtig ist

Auskunft als Instrument zur Aufklärung

Viele Betroffene wollen in Identitätsmissbrauchsfällen zunächst vor allem eines: Klarheit. Und zwar nicht im Sinne einer juristischen Bewertung, sondern ganz konkret:

• Wo wurde mein Name benutzt?
• Welche Daten wurden hinterlegt?
• Welche technischen Spuren gibt es?
• Welche Handlungen wurden über das Konto vorgenommen?

Gerade die Informationen, die Unternehmen zunächst gern zurückhalten, sind für Betroffene häufig die wertvollsten.

Das kann zum Beispiel bedeuten:

• IP-Adressen liefern Anknüpfungspunkte, um den Ursprung einzugrenzen
• Registrierungszeitpunkte helfen, den Ablauf zu rekonstruieren
• Logdaten zeigen, ob und wann das Konto genutzt wurde
• Account-IDs erleichtern es, bei weiteren Stellen präzise nachzufragen

Selbst wenn nicht jede Information unmittelbar „den Täter überführt“, ermöglicht die Auskunft oft, ein konsistentes Bild des Geschehens zu erstellen und Folgeschritte gezielter zu planen.

Konsequenzen für Unternehmen

Warum Auskunftsprozesse bei Identitätsmissbrauch besonders sensibel sind

Für Unternehmen bringt die Entscheidung einen deutlichen Handlungsauftrag: Auskunftsersuchen müssen gerade bei Missbrauchsfällen strukturiert und rechtssicher bearbeitet werden. Dabei entstehen typische Spannungsfelder.

Typische Konfliktlinien in der Praxis

Unternehmen stehen häufig vor Fragen wie:

• Ist der Anfragende wirklich die betroffene Person?
• Besteht das Risiko, dass ein Täter die Auskunft missbraucht?
• Welche Daten sind dem Konto zugeordnet und in welchen Systemen liegen sie?
• Welche Informationen können in der Abwägung möglicherweise geschwärzt werden?

Diese Fragen sind nicht „unberechtigt“. Aber sie dürfen nicht dazu führen, dass die Auskunft inhaltlich leerlaufen gelassen wird.

Was Unternehmen aus der Entscheidung mitnehmen sollten

Die Entscheidung legt nahe, dass Unternehmen insbesondere Folgendes beachten sollten:

• Auskunft ist grundsätzlich umfassend und nicht auf „vom Betroffenen eingegebene Daten“ reduziert
• Kontobezogene Daten können personenbezogene Daten des Opfers sein, wenn sie unter dessen Identität verarbeitet werden
• Drittargumente sind differenziert zu prüfen, insbesondere wenn es um Täterdaten geht
• Technische Daten sind nicht automatisch „neutral“ oder „nicht herauszugeben“, sondern häufig gerade zentraler Bestandteil der Auskunft

In der Praxis ist oft entscheidend, dass Unternehmen ihre Systeme so organisieren, dass sie kontobezogene Informationen auskunftsfähig zusammenstellen können, ohne dabei in hektische Ad-hoc-Reaktionen zu geraten.

Was Sie als Betroffener konkret tun können

So stellen Sie ein Auskunftsersuchen strategisch sinnvoll

Ein Auskunftsersuchen sollte bei Identitätsmissbrauch nicht nur „irgendwie“ gestellt werden. Es ist meist sinnvoll, den Antrag so zu formulieren, dass das Unternehmen den Missbrauchskontext erkennt und Sie die relevanten Datenkategorien ausdrücklich adressieren.

Inhaltliche Bausteine, die sich häufig anbieten

In einem Auskunftsschreiben kann es je nach Fallkonstellation sinnvoll sein, klarzustellen:

• dass Sie ein unter Ihrem Namen geführtes Konto oder einen Vertrag bestreiten
• dass Sie Auskunft über sämtliche zu Ihrer Person beziehungsweise zu dem unter Ihrem Namen geführten Konto verarbeiteten Daten verlangen
• dass Sie ausdrücklich auch technische und protokollierte Daten begehren, soweit vorhanden
• dass Sie Informationen über Zwecke, Empfänger, Speicherdauer und Datenherkunft verlangen, soweit diese Punkte im konkreten Fall relevant sind

Typische Datenkategorien, die Sie ausdrücklich benennen können

Gerade in Missbrauchsfällen wird häufig um folgende Kategorien gestritten. Es kann hilfreich sein, sie im Antrag konkret zu erwähnen:

• Registrierungsdaten zum Konto
• Zeitstempel zu Anlage, Änderungen und Nutzungsereignissen
• IP-Adressen und sonstige Zugangsdaten, soweit protokolliert
• Account-IDs und interne Kennungen
• Transaktions- und Vertragsdaten, soweit dem Konto zugeordnet
• Kommunikationsinhalte und Supportverläufe, soweit gespeichert
• Weitergaben an Dritte, etwa Zahlungsdienstleister, Inkasso, Auskunfteien, Dienstleister

Dabei gilt: Je konkreter Sie die Kategorien benennen, desto schwerer fällt es dem Unternehmen, die Auskunft auf ein Minimum zu reduzieren.

Identitätsprüfung: sinnvoll, aber verhältnismäßig

Unternehmen dürfen bei begründeten Zweifeln eine Identitätsprüfung verlangen. Das ist in Missbrauchsfällen sogar nachvollziehbar, weil eine falsche Auskunft an den Täter ein echtes Risiko wäre.

Wichtig ist dennoch, dass eine Identitätsprüfung in der Regel verhältnismäßig bleiben sollte. In der Praxis kann man häufig Lösungen finden, die Schutz und Auskunft miteinander verbinden, etwa durch:

• Abgleich über bekannte Vertrags- oder Kontodaten, soweit vorhanden
• geeignete Schwärzungen bei übermittelten Dokumenten, soweit möglich
• abgestufte Auskunftserteilung, wenn bestimmte Daten besonders sensibel sind

Eine pauschale Verweigerung „bis zur Vorlage einer Ausweiskopie“ ist nicht in jedem Fall zwingend, die Details hängen von den Umständen ab. Entscheidend ist, dass die Identitätsprüfung nicht als Vorwand genutzt wird, um die Auskunft inhaltlich auszubremsen.

Fazit

Identitätsmissbrauch ändert nicht den Auskunftsanspruch, sondern macht ihn besonders wichtig

Die Entscheidung des VG Berlin zeigt: Die DSGVO-Auskunft kann auch Fake-Daten erfassen, wenn diese im System eines Unternehmens unter Ihrer Identität verarbeitet werden. Gerade bei Identitätsmissbrauch ist das kein theoretisches Detail, sondern häufig der entscheidende Hebel, um Vorgänge aufzuklären und Folgefehler zu verhindern.

Wenn Unternehmen die Auskunft auf Basisdaten reduzieren oder sich pauschal auf „Dritt-Daten“ berufen, lohnt sich oft eine genaue juristische Prüfung. Die Entscheidung macht deutlich, dass eine solche Verkürzung zumindest in vergleichbaren Konstellationen rechtlich angreifbar sein kann.