
DSGVO-Auskunft nach Identitätsdiebstahl: Daten finden und löschen lassen
DSGVO Auskunft nach Identitätsdiebstahl – wie Sie betroffene Daten aufspüren, falsche Einträge beseitigen und Ihre Rechte nach Art. 15 und 17 DSGVO durchsetzen.
Identitätsdiebstahl ist mehr als ein Betrugsdelikt – er hinterlässt digitale Spuren, die sich über Monate oder Jahre in Datenbanken, Bonitätsauskünften und Plattform-Accounts festsetzen. Kreditkartenverträge werden auf fremde Namen abgeschlossen, Inkassoforderungen treffen Menschen, die mit dem zugrunde liegenden Vertrag nichts zu tun hatten.
Genau hier setzen die Datenschutzrechte an. Die DSGVO Auskunft Identitätsdiebstahl gibt Betroffenen ein effektives Werkzeug an die Hand: Auf Basis von Art. 15 DSGVO können Sie von jeder verarbeitenden Stelle verlangen zu wissen, welche Daten über Sie gespeichert sind. Mit Art. 17 DSGVO können Sie die Löschung rechtswidrig verarbeiteter Daten erzwingen.
Dieser Beitrag erklärt, wie Sie vorgehen, welche Fristen gelten, welche Schadensersatzansprüche bestehen – und wann anwaltliche Unterstützung die Durchsetzung dieser Rechte erheblich beschleunigt.
Wenn Ihre Daten nach einem Identitätsdiebstahl missbräuchlich verarbeitet werden, prüfen wir Ihre Auskunfts- und Löschungsansprüche nach der DSGVO. Jetzt unverbindlich Kontakt aufnehmen.

Was ist Identitätsdiebstahl – und warum ist die DSGVO relevant?
Identitätsdiebstahl bezeichnet das unberechtigte Verwenden personenbezogener Daten einer anderen Person – in der Regel Name, Adresse, Geburtsdatum und Bankverbindung. Die Täter eröffnen Konten, bestellen Waren auf Rechnung oder schließen Mobilfunkverträge ab. Die Opfer bemerken das oft erst, wenn Inkasso-Forderungen eintreffen oder die Schufa einen negativen Eintrag meldet.
Der datenschutzrechtliche Einstiegspunkt ist das Auskunftsrecht nach Art. 15 DSGVO. Jede Stelle, die personenbezogene Daten verarbeitet – ob Onlinehändler, Bank, Inkassounternehmen oder Auskunftei –, ist verpflichtet, auf Anfrage eine vollständige Kopie der gespeicherten Daten herauszugeben. Diese DSGVO Auskunft nach Identitätsdiebstahl ist der erste Schritt zur Aufklärung des Schadens.
Daneben besteht das Recht auf Berichtigung nach Art. 16 DSGVO und das Recht auf Löschung nach Art. 17 DSGVO. Diese Rechte greifen, wenn Daten auf Basis eines betrügerisch abgeschlossenen Vertrags verarbeitet werden – was nach einem Identitätsdiebstahl regelmäßig der Fall ist. Die Rechtsgrundlage für die Verarbeitung fehlt dann, und die Löschung ist zwingend.
Wie Identitätsdiebstahl abläuft: Typische Muster und erste Warnsignale
Die häufigsten Einstiegspunkte sind Datenpannen bei großen Plattformen, Phishing-Angriffe auf Bankkonten oder das sogenannte Dumpster Diving – das Sichten weggeworfener Post mit persönlichen Daten. Sobald Täter über Name, Anschrift und Geburtsdatum verfügen, können sie in vielen Fällen bereits im Namen der Betroffenen handeln.
Frühwarnsignale, auf die Betroffene achten sollten:
- Unerklärliche Inkassoforderungen für Verträge, die nie abgeschlossen wurden
- Negative Schufa-Einträge für unbekannte Kredite oder Rechnungen
- Unbestellte Pakete an die eigene Adresse – auf fremden Namen
- Benachrichtigungen über neue Accounts oder Passwortänderungen, die nicht von Ihnen stammen
- Kreditablehnungen ohne nachvollziehbaren Grund
- Kontaktaufnahme von Gläubigern für Schulden, die unbekannt sind
Wer einen oder mehrere dieser Punkte erkennt, sollte sofort handeln – und als ersten Schritt eine DSGVO Auskunft bei den infrage kommenden Stellen anfordern. Nur so lässt sich das Ausmaß des Datenmissbrauchs vollständig erfassen. Verwandte Muster kennt man auch vom Identitätsdiebstahl beim Bankkonto.
DSGVO Auskunft Identitätsdiebstahl: So stellen Sie den Antrag richtig
Der Antrag auf DSGVO Auskunft nach Identitätsdiebstahl kann formlos gestellt werden – schriftlich per Post, per E-Mail oder über ein Onlineformular. Entscheidend ist, dass der Antrag klar identifiziert, wer die anfragende Person ist, und was verlangt wird: eine vollständige Kopie aller verarbeiteten Daten sowie Auskunft über Herkunft, Zweck und Empfänger der Weitergabe.
Die Frist zur Beantwortung beträgt einen Monat ab Eingang des Antrags. Bei komplexen Anfragen kann die Stelle die Frist um weitere zwei Monate verlängern – muss das aber begründet mitteilen. Wer keine Antwort erhält oder eine unvollständige Auskunft bekommt, hat das Recht, Beschwerde bei der zuständigen Datenschutzbehörde einzureichen.
Für Betroffene eines Bankdaten-Diebstahls mit Identitätsdiebstahl empfiehlt sich ein systematisches Vorgehen: Zunächst Auskunft bei der Schufa und anderen Auskunfteien (Creditreform, CRIF), dann bei den jeweiligen Gläubigern und schließlich bei Plattformen, auf denen betrügerische Accounts angelegt wurden.
Wichtig: Die DSGVO Auskunft nach Identitätsdiebstahl ist kostenlos. Wer sich für die Übermittlung eine Gebühr berechnen lässt, hat Anspruch auf Rückzahlung. Ausnahme: Bei offensichtlich unbegründeten oder exzessiven Anträgen darf eine angemessene Gebühr verlangt werden – das ist in der Praxis aber selten.
Löschung und Berichtigung: Art. 17 und 16 DSGVO in der Praxis
Sobald klar ist, welche Daten missbräuchlich verarbeitet werden, beginnt der zweite Schritt: die Geltendmachung des Löschungsrechts nach Art. 17 DSGVO. Voraussetzung ist, dass die Daten für den ursprünglichen Zweck nicht mehr erforderlich sind, oder – im Fall des Identitätsdiebstahls besonders relevant – dass die Rechtsgrundlage für die Verarbeitung von Anfang an fehlte, weil der zugrunde liegende Vertrag betrügerisch zustande kam.
Negative Schufa-Einträge, die auf betrügerisch abgeschlossenen Verträgen beruhen, sind auf diesem Weg löschbar. Die Schufa ist nach Art. 17 DSGVO verpflichtet, unrichtige oder rechtswidrig gespeicherte Einträge zu entfernen. Ein einfaches Schreiben mit Nachweis der Täuschung – etwa eine Strafanzeige oder ein Negativattest – reicht in vielen Fällen aus, um den Prozess anzustoßen.
Für Berichtigungsansprüche nach Art. 16 DSGVO gilt: Sind Daten inhaltlich falsch – etwa eine falsche Adresse oder eine falsch zugeordnete Forderung –, hat die verarbeitende Stelle diese zu korrigieren. Auch das ist ein direktes Werkzeug nach einem Neobank-Phishing mit Datendiebstahl.
Schadensersatz nach Art. 82 DSGVO: Was Betroffene fordern können
Neben dem Auskunfts- und Löschungsrecht besteht bei rechtswidriger Datenverarbeitung ein Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO. Der Bundesgerichtshof hat mit Urteil vom 18. November 2024 (BGH VI ZR 10/24) klargestellt: Bereits der Kontrollverlust über personenbezogene Daten durch ein Datenleck ist ein ersatzfähiger immaterieller Schaden – ein konkreter Missbrauchsnachweis ist nicht erforderlich.
Der BGH nannte als Richtwert einen Betrag von etwa 100 Euro für einfache Fälle ohne nachgewiesenen Folgeschaden. Bei schwerem Identitätsdiebstahl mit finanziellem Schaden, Bonitätsverschlechterung und psychischer Belastung kann der Betrag erheblich höher ausfallen. Entscheidend ist, dass die verarbeitende Stelle die unzureichende Datensicherheit zu verantworten hat.
Der Anspruch richtet sich gegen denjenigen, der die Daten rechtswidrig verarbeitet hat – also den Händler, die Bank oder die Plattform, bei der die Datenpanne stattfand. Hinzu kann ein Anspruch gegen den eigentlichen Täter aus § 823 BGB treten, soweit der Täter identifiziert werden kann.
Als erfahrene Anwälte im Bank- und Kapitalmarktrecht ordnen wir Ihren Fall rechtlich ein und prüfen, welche Ansprüche und Schritte für Sie bestehen. Kontaktieren Sie uns jederzeit für ein unverbindliches Erstgespräch.

Sofortmaßnahmen nach einem Identitätsdiebstahl
Wer Opfer eines Identitätsdiebstahls wird, sollte folgende Schritte einleiten:
- Strafanzeige erstatten bei der Polizei – das Aktenzeichen ist für spätere Löschungsanträge wichtig
- Schufa-Selbstauskunft anfordern nach Art. 15 DSGVO
- Kontosperren bei Banken und Zahlungsdiensten beantragen, falls Kontodaten abgegriffen wurden
- Passwörter und Zugangsdaten ändern für alle betroffenen Dienste
- DSGVO-Auskunftsanträge stellen bei Inkassounternehmen, Auskunfteien und Plattformen
- Löschungsbegehren formulieren für alle rechtswidrig gespeicherten Einträge
Das Aktenzeichen der Strafanzeige öffnet weitere strafprozessuale Wege: Mit § 406e StPO können Verletzte nach Verfahrenseinleitung Akteneinsicht beantragen. Über § 475 StPO sind auch Auskünfte für Privatpersonen möglich. Beides liefert wichtige Informationen zur Identifizierung der Täter und zum Umfang des Datenmissbrauchs.
Verjährung und Fristen: Was Sie zeitlich beachten müssen
Für Schadensersatzansprüche nach Art. 82 DSGVO gilt die regelmäßige dreijährige Verjährungsfrist des deutschen Zivilrechts. Gemäß § 199 BGB beginnt diese Frist mit dem Schluss des Jahres, in dem der Anspruch entstanden ist und der Geschädigte Kenntnis von Schaden und Schuldner erlangt hat. Gerade bei der DSGVO Auskunft Identitätsdiebstahl ist der Zeitpunkt der Kenntnis oft schwer zu bestimmen.
Wer erst spät von einem Identitätsdiebstahl erfährt – etwa durch einen Inkasso-Brief mehrere Jahre nach dem Datendiebstahl –, hat unter Umständen noch ausreichend Zeit. Das Risiko liegt darin, dass die Kenntnis später als angenommen eingesetzt haben könnte. Ein Anwalt kann helfen, den Verjährungsbeginn korrekt zu bestimmen.
Das Löschungsrecht nach Art. 17 DSGVO hingegen verjährt nicht in dem Sinne, dass eine Löschungspflicht zeitlich entfällt – solange die Daten weiter rechtswidrig verarbeitet werden, besteht der Anspruch fort. Für Betroffene eines Romance-Scam-Phishing mit Identitätsdaten ist das eine wichtige Grundlage.
Wann anwaltliche Unterstützung die Durchsetzung beschleunigt
Die DSGVO Auskunft Identitätsdiebstahl ist formell einfach zu beantragen – die praktische Durchsetzung ist es nicht immer. Stellen verweigern Auskunft, antworten unvollständig oder berufen sich auf angebliche Ausnahmen. Inkassounternehmen halten an der Forderung fest, obwohl der Vertrag betrügerisch zustande kam.
Ein Rechtsanwalt kann das Auskunftsbegehren formal absichern, Beschwerde bei der zuständigen Datenschutzbehörde einlegen und im Streitfall klagen. Das ist besonders dann sinnvoll, wenn mehrere Stellen involviert sind, negative Bonitätseinträge nicht freiwillig gelöscht werden oder ein Schadensersatzanspruch nach Art. 82 DSGVO geltend gemacht werden soll.
Informieren Sie sich zudem über den Weg zur Hilfe als Cybercrime-Opfer und über die Möglichkeit, den Täter zu identifizieren. Wer den Schädiger kennt, kann zivilrechtliche Ansprüche nach § 826 BGB (vorsätzliche sittenwidrige Schädigung) direkt durchsetzen.
AK LAW Rechtsanwaltsgesellschaft mbH – Ihr Partner im Bank- und Kapitalmarktrecht
Die AK LAW Rechtsanwaltsgesellschaft mbH berät und vertritt Mandanten bundesweit im Bank- und Kapitalmarktrecht. Rechtsanwalt Dr. Michel de Araujo Kurth M.A. verfügt über langjährige Erfahrung im Bankwesen und in der anwaltlichen Praxis und hat sich auf die Vertretung von Mandanten in bank- und kapitalmarktrechtlichen Streitigkeiten spezialisiert.
Die Kanzlei begleitet Mandanten sowohl außergerichtlich als auch vor Gericht – von der ersten rechtlichen Einordnung über die Kommunikation mit Banken, Zahlungsdienstleistern und Finanzinstituten bis zur Durchsetzung von Schadensersatz- und Rückforderungsansprüchen. Beratungen finden in den Büros in Frankfurt am Main, Darmstadt und Offenbach am Main sowie bundesweit per Videokonferenz statt.
Wenn Sie rechtliche Unterstützung benötigen, stehen wir Ihnen jederzeit zur Verfügung. Kontaktieren Sie uns über unser Kontaktformular für ein unverbindliches Erstgespräch – telefonisch, per E-Mail oder online.
FAQs – Häufig gestellte Fragen zu DSGVO Auskunft Identitätsdiebstahl
Was ist eine DSGVO Auskunft nach Identitätsdiebstahl?
Die DSGVO Auskunft nach Identitätsdiebstahl ist ein Antrag auf Basis von Art. 15 DSGVO. Damit können Betroffene von jeder Stelle, die ihre Daten verarbeitet, vollständige Auskunft verlangen – welche Daten, zu welchem Zweck und an wen sie weitergegeben wurden. Die DSGVO Auskunft Identitätsdiebstahl ist der erste Schritt zur Aufklärung des Schadens.
Welche Rechte habe ich nach Art. 15 DSGVO?
Art. 15 DSGVO gibt Ihnen das Recht auf eine vollständige Kopie aller über Sie gespeicherten Daten. Die anfragende Stelle muss innerhalb eines Monats antworten. Auskunft ist kostenlos. Die Antwort muss enthalten: Art der Daten, Zweck der Verarbeitung, Herkunft, Empfänger und geplante Speicherdauer.
Kann ich Schufa-Einträge nach einem Identitätsdiebstahl löschen lassen?
Ja. Wenn ein negativer Schufa-Eintrag auf einem betrügerisch abgeschlossenen Vertrag beruht, fehlt die Rechtsgrundlage für die Verarbeitung. Nach Art. 17 DSGVO sind solche Einträge zu löschen. Ein Nachweis der Täuschung – etwa ein Strafanzeige-Aktenzeichen – beschleunigt den Prozess erheblich.
Habe ich Anspruch auf Schadensersatz bei einer DSGVO Auskunft Identitätsdiebstahl?
Ja. Nach Art. 82 Abs. 1 DSGVO können Betroffene Schadensersatz verlangen, wenn ihre Daten rechtswidrig verarbeitet wurden. Der BGH hat im Urteil VI ZR 10/24 (18.11.2024) entschieden: Bereits der Kontrollverlust über Daten ist ein ersatzfähiger immaterieller Schaden – ohne dass ein konkreter Missbrauch nachgewiesen werden muss. Richtwert: rund 100 Euro im einfachen Fall.
Wie stelle ich einen DSGVO-Auskunftsantrag richtig?
Der Antrag kann formlos per E-Mail, Post oder Online-Formular gestellt werden. Geben Sie klar Ihre Identität an und fordern Sie explizit alle verarbeiteten Daten, deren Herkunft, Zweck und Empfänger. Die Stelle muss innerhalb eines Monats antworten. Bei Nichtbeantwortung können Sie Beschwerde bei der zuständigen Datenschutzbehörde einreichen.
An welche Stellen sollte ich Auskunftsanträge stellen?
Prioritär: Schufa und andere Auskunfteien (Creditreform, CRIF), Inkassounternehmen, die betrügerische Forderungen geltend machen, Händler, bei denen Bestellungen auf Ihren Namen getätigt wurden, und Banken oder Zahlungsdienste, bei denen Konten eröffnet wurden. Auch Plattformen, auf denen fremde Accounts angelegt wurden, sind einzubeziehen.
Was tun, wenn die Stelle die Auskunft verweigert?
Wenn eine Stelle die DSGVO-Auskunft verweigert oder nicht fristgerecht antwortet, können Sie Beschwerde bei der zuständigen Datenschutzbehörde einlegen – in Deutschland je nach Sitz der Stelle bei einer der Landesbehörden oder dem Bundesbeauftragten für Datenschutz. Alternativ ist der zivilrechtliche Klageweg möglich.
Wie lange habe ich Zeit, Schadensersatz nach Art. 82 DSGVO zu fordern?
Die Verjährungsfrist beträgt drei Jahre, beginnend mit dem Schluss des Jahres, in dem Sie von Schaden und Schuldner Kenntnis erlangt haben (§§ 195, 199 BGB). Bei spätem Bekanntwerden des Identitätsdiebstahls kann die Frist entsprechend später beginnen. Im Zweifelsfall sollte ein Anwalt die Frist konkret bestimmen.
Hilft eine Strafanzeige bei der Datenlöschung?
Ja. Das Aktenzeichen der Strafanzeige ist ein wichtiges Dokument bei Löschungsbegehren gegenüber Schufa, Inkasso oder Händlern. Es belegt, dass der Vertrag nicht von Ihnen geschlossen wurde und dass ein Betrug vorliegt. Ohne diesen Nachweis ist die Geltendmachung von Löschungsansprüchen deutlich schwieriger.
Kann ich den Täter nach einem Identitätsdiebstahl zivilrechtlich belangen?
Grundsätzlich ja – sofern der Täter identifiziert werden kann. Ansprüche bestehen aus § 823 BGB (unerlaubte Handlung) und § 826 BGB (vorsätzliche sittenwidrige Schädigung). Die Identifizierung des Täters ist häufig die größte Hürde, kann aber über Akteneinsicht nach § 406e StPO im Strafverfahren gelingen.

