Unternehmen müssen auch „Fake-Daten“ bei Identitätsmissbrauch vollständig herausgeben

Das VG Berlin stellt klar: Bei Identitätsmissbrauch umfasst der Auskunftsanspruch nach Art. 15 DSGVO auch unter fremder Identität gespeicherte Daten. Unternehmen müssen sämtliche verknüpften Kontodaten offenlegen.

Unberechtigte Abbuchung und verweigerte Auskunft

Im August 2020 bemerkte ein Betroffener eine Abbuchung für ein kostenpflichtiges E-Learning-Sprachabo von seinem Bankkonto, obwohl er nie Kunde des Anbieters gewesen war. Auf seine Anfrage teilte der Kundenservice mit, dass die Belastung auf einem „französischen Abonnement“ beruhe, das über ein bestimmtes Benutzerkonto abgeschlossen worden sei.

Der Betroffene machte daraufhin seinen Auskunftsanspruch nach Art. 15 DSGVO geltend und verlangte eine vollständige Auskunft über die zu seiner Person gespeicherten Daten. Der Anbieter verwies den Betroffenen zunächst an die Polizei und führte aus, nur im Falle einer Strafanzeige berechtigt zu sein, sämtliche zu dem Konto gespeicherten Daten herauszugeben.

Nachdem der Betroffene erneut auf sein Auskunftsrecht hingewiesen hatte, teilte der Anbieter mit, dass abgesehen von seinem Namen und der verwendeten Bankverbindung, keine weiteren personenbezogenen Daten zu seiner Person vorlägen. Weitergehende Informationen, insbesondere zu dem Nutzerkonto, über das das Abonnement abgeschlossen worden war, lehnte der Anbieter aus „datenschutzrechtlichen Gründen“ ab. Diese Daten könnten lediglich den zuständigen Ermittlungsbehörden zur Verfügung gestellt werden.

Mit Bescheid vom 22. September 2022 sprach die Berliner Beauftragte für Datenschutz und Informationsfreiheit unter anderem wegen der unvollständig erteilten Auskunft eine datenschutzrechtliche Verwarnung gegen den Anbieter aus. Gegen diese Verwarnung erhob dieser am 28. Oktober 2022 Klage.

Entscheidung des VG Berlin

Das Verwaltungsgericht Berlin wies die Klage ab. Die Kernpunkte im Überblick:

1. Verarbeitung unter der Identität des Betroffenen begründet Auskunftspflicht
   Für die Einordnung als personenbezogene Daten ist es nicht erforderlich, dass der Betroffene die Daten selbst erzeugt oder zur Verfügung gestellt hat. Es genügt, dass der Verantwortliche Daten verarbeitet, die unter dem Namen des Betroffenen geführt und mit seiner Identität verknüpft sind, auch wenn sie von einer dritten Person übermittelt wurden. Ein und dieselbe Information kann mehrere natürliche Personen betreffen und damit für jede von ihnen personenbezogen sein. Entscheidend ist, dass diese Personen bestimmt oder bestimmbar sind.
2. Umfang der Auskunft
   Auch Daten, die ein Dritter erzeugt und die der Verantwortliche einem Kundenkonto einer natürlichen Person zuordnet, mit dieser verknüpft und auf sie bezieht, stellen personenbezogene Daten dieser Person dar. Herauszugeben sind sämtliche unter der Identität des Betroffenen gespeicherten Daten, insbesondere Daten zum Kundenkonto, zu Kontobewegungen oder zur Bestellhistorie. Unerheblich ist, dass diese Daten unter Vorspiegelung einer falschen Identität verursacht wurden.
3. Rechte des Täters überwiegen nicht
   Art. 15 Abs. 4 DSGVO sieht vor, dass das die Auskunft die Rechte und Freiheiten anderer Personen nicht beeinträchtigen darf. Die Vorschrift schützt damit grundsätzlich auch Dritte, deren Daten von einer Auskunft mit umfasst sein könnten. Wer jedoch wissentlich die Identität einer anderen Person missbraucht, kann sich regelmäßig nicht mit Erfolg auf diesen Schutz berufen. Im Rahmen der vorzunehmenden Abwägung überwiegt in solchen Fällen das Auskunftsrecht des Betroffenen. Eine Verweigerung der Auskunft unter Hinweis auf die Rechte und Freiheiten des Täters kommt bei Identitätsmissbrauch daher grundsätzlich nicht in Betracht.

Daten, die ein Dritter im Rahmen eines Identitätsmissbrauchs zur Verfügung stellt und die unter dem Namen des Betroffenen im System gespeichert werden, sind weiterhin als personenbezogene Daten der betroffenen Person anzusehen und vom Auskunftsanspruch nach Art. 15 DSGVO umfasst (Urteil vom 09.10.2025 – Az.: 1 K 463/22).

Das Auskunftsrecht nach Art. 15 DSGVO

Nach Art. 15 DSGVO hat jede betroffene Person das Recht, Auskunft über die zu ihrer Person verarbeiteten personenbezogenen Daten zu erhalten. Im Rahmen der Auskunft muss der Verantwortliche nicht nur bestätigen, ob personenbezogene Daten vorliegen, sondern auch eine Kopie dieser Daten bereitstellen.

Darüber hinaus umfasst der Anspruch weitere Informationen, insbesondere zu

• den Verarbeitungszwecken,
• den Datenempfängern,
• der Speicherdauer,
• der Herkunft der Daten (sofern sie nicht bei der betroffenen Person erhoben wurden),
• einer etwaigen Übermittlung in Drittländer,
• dem Bestehen einer automatisierten Entscheidungsfindung, einschließlich Profiling,
• sowie zu den Rechten auf Berichtigung, Löschung, Einschränkung der Verarbeitung und Widerspruch,
• und dem Beschwerderecht bei einer Aufsichtsbehörde.

Das Auskunftsrecht soll Betroffenen die Möglichkeit geben, zu verstehen, welche personenbezogenen Daten über sie verarbeitet werden, und wie diese Verarbeitung genau aussieht. Nur so können sie prüfen, ob ihre Daten rechtmäßig verwendet werden und gegebenenfalls weitere Rechte wie Berichtigung oder Löschung ausüben.

Bedeutung für Unternehmen

Die Entscheidung macht deutlich, dass Unternehmen bei Auskunftsersuchen in Fällen eines vermutlichen Identitätsmissbrauchs besonders sorgfältig prüfen müssen, welche Daten unter der Identität einer Person verarbeitet werden.

• Keine Beschränkung auf „echte“ oder selbst angegebene Daten: Auch Daten, die durch einen Dritten im Rahmen eines Identitätsmissbrauchs zur Verfügung gestellt wurden, sind zu beauskunften, sofern sie im System unter der Identität des Betroffenen gespeichert sind.
• Art. 15 Abs. 4 DSGVO regelmäßig kein Ausschlussgrund: Die Auskunft kann grundsätzlich nicht mit dem Hinweis auf Rechte und Freiheiten des missbräuchlich handelnden Dritten verweigert werden. Nach der vom Gericht vorgenommenen Abwägung überwiegt regelmäßig das Auskunftsrecht des Betroffenen.
• Risiken bei unvollständigen Auskünften: Unzureichende Auskünfte können aufsichtsbehördliche Maßnahmen sowie Schadensersatzansprüche nach Art. 82 DSGVO nach sich ziehen.

Im konkreten Fall hätte eine vollständige Auskunft unter Einbeziehung aller unter dem Namen gespeicherten Daten die aufsichtsrechtliche Verwarnung voraussichtlich vermieden.

Fazit & Handlungsempfehlungen

Das Auskunftsrecht nach Art. 15 DSGVO ist ein zentrales Instrument zur Gewährleistung von Transparenz und informationeller Selbstbestimmung. Verantwortliche Stellen müssen daher umfassend prüfen, welche Informationen unter dem Namen der betroffenen Person verarbeitet werden, und diese gegebenenfalls vollständig offenlegen.

Praxis-Tipps:

• Ausschlussgründe nach Art. 15 Abs. 4 DSGVO sorgfältig prüfen: Eine Verweigerung der Auskunft unter Hinweis auf „Rechte Dritter“ sollte nur nach dokumentierter Einzelfallabwägung erfolgen. Die Rechte eines unbefugt handelnden Dritten werden regelmäßig nicht überwiegen.
• Daten vollständig beauskunften: Sämtliche unter einer Identität gespeicherten Daten sind in den Auskunftsprozess einzubeziehen.
• Kundenservice schulen: Mitarbeitende im Kundenkontakt sollten regelmäßig datenschutzrechtlich sensibilisiert werden, damit Auskunftsersuchen erkannt und unverzüglich an die zuständige Datenschutzabteilung weitergeleitet werden.
• Klare Zuständigkeiten festlegen: Die rechtliche Prüfung und Beantwortung von Auskunftsanfragen sollte stets durch die zuständige Datenschutzabteilung erfolgen, um unvollständige Auskünfte zu vermeiden.