Auch bei Identitätsdiebstahl müssen im Rahmen der DSGVO-Auskunft alle gespeicherten Daten offengelegt werden, selbst wenn sie nicht vom Betroffenen, sondern vom Täter stammen (VG Berlin, Urt. v. 09.10.2025 - Az.: 1 K 463/22).
Ein Mann stellte fest, dass Geld von seinem Konto für ein Online-Abo abgebucht wurde, obwohl er nie ein solches abgeschlossen hatte. Der Anbieter verwies auf ein Kundenkonto mit dem Namen des Mannes, konnte jedoch keinen Zusammenhang mit einer Bestellung durch ihn belegen.
Der Mann verlangte eine vollständige datenschutzrechtliche Auskunft. Die Firma teilte ihm lediglich seine Basisdaten wie Name und Kontoverbindung mit, lehnte jedoch weitere Auskünfte mit der Begründung ab, dass es sich dabei um Daten eines Dritten handele, der betrügerisch ein Nutzerkonto unter dem Namen des Mannes angelegt hatte.
Die Berliner Datenschutzbehörde sprach aufgrund der nicht vollständigen DSGVO-Auskunft eine datenschutzrechtliche Verwarnung aus. Das betroffene Unternehmen wehrte sich dagegen.
Das VG Berlin wies die Klage ab, da die Datenschutzbehörde zu Recht gehandelt habe.
Der datenschutzrechtliche Auskunftsanspruch umfasse nämlich nicht nur "echte" Daten, sondern vielmehr alle Informationen, die mit einer Person verknüpft seien. Auch wenn diese durch einen Identitätsdiebstahl entstanden seien.
Wenn also ein Dritter unter falschem Namen handele und ein Konto anlege, seien auch diese gespeicherten “Fake-Daten” dem betroffenen Namen zugeordnet. Es handle sich damit um personenbezogene Daten des Opfers.
Die Firma hätte daher nicht nur Namen und IBAN mitteilen müssen, sondern auch alle weiteren Daten (wie z.B. IP-Adresse, Account-ID, Registrierungszeitpunkt und Nutzungsdaten).
Ein Schutzbedürfnis des Täters bestünde nicht, da er die Daten des Betroffenen bewusst missbraucht habe:
"Sämtliche dieser Informationen sind mit der Person des Beschwerdeführers verknüpft worden, weil sie zu dem unter seinem Namen erstellten Benutzerkonto gespeichert und damit verarbeitet wurden (…).
Es handelt sich daher (auch) um personenbezogene Daten des Beschwerdeführers. Darauf, dass der Beschwerdeführer diese Daten nicht selbst erzeugt bzw. zur Verfügung gestellt hat, kommt es nicht an. Es genügt für die Auskunftspflicht, dass die Klägerin die durch eine dritte Person übermittelten Daten im Sinne von Art. 4 Nr. 2 DSGVO verarbeitet hat (…)."
Und weiter:
“Rechte und Freiheiten dieser dritten Person durch die Beauskunftung der von ihr rührenden Daten nicht beeinträchtigt werden, weil sie sich durch ihr widerrechtliches Tun des Schutzes dieser Daten begeben hat. Ob hier bereits von einer konkludenten Einwilligung in die Herausgabe dieser Daten durch die herbeigeführte Verknüpfung mit der Identität des Beschwerdeführers ausgegangen werden kann, muss nicht entschieden werden, da jedenfalls Grundrechte und Grundfreiheiten dieses widerrechtlich agierenden Dritten das Auskunftsrecht des Beschwerdeführers bei der im Rahmen des Art. 15 Abs. 4 DSGVO vorzunehmenden Güterabwägung (…) nicht überwiegen.”