Ratgeber · Recht & DSGVO
Identitätsdiebstahl vs. Test-Identität: der rechtliche Rahmen in Deutschland
Die Verwendung einer Fake-Identität ist in Deutschland nicht pauschal strafbar, sie wird es erst, wenn drei Elemente zusammenkommen: ein fremder Wille zur Identifikation, eine Vermögensverschiebung oder ein Beweismittel-Charakter, und Vorsatz. Dieser Ratgeber legt die relevanten Paragraphen und Schwellen offen.
Die drei Schwellen zur Strafbarkeit
Eine Fake-Identität ist in Deutschland erst dann strafrechtlich relevant, wenn drei Elemente zusammenkommen. Das ist eine wichtige Differenzierung, weil die meisten Test-Setups keines dieser Elemente erfüllen.
Schwelle 1: Verwendung gegenüber einem anderen. Eine fiktive Identität in einer privaten Datei oder einer internen Test-DB ist niemandem gegenüber verwendet. Erst wenn Sie diese Identität gegenüber einer anderen Person, einer Behörde oder einem System einsetzen, das eine echte Identifikation erwartet, beginnt die strafrechtliche Bewertung.
Schwelle 2: Rechtlich relevanter Vorgang. Selbst die Verwendung gegenüber einem anderen ist nicht zwangsläufig strafbar. Wer im Online-Forum unter Pseudonym schreibt, verwendet eine “Identität” gegenüber anderen Nutzern, aber das ist kein rechtlich relevanter Vorgang. Strafrechtlich relevant wird es bei Vertragsschlüssen, Beweismittel-Vorlagen, Amtsanmeldungen oder Finanztransaktionen.
Schwelle 3: Vorsatz oder grobe Fahrlässigkeit. Die genannten Paragraphen verlangen mindestens Vorsatz, einige (wie § 271 StGB) sogar Absicht. Wer versehentlich eine falsche Information übermittelt, ist in aller Regel nicht erfasst. Wer aber bewusst eine fiktive Identität einsetzt, ist es.
Wenn alle drei Schwellen überschritten sind, kommt der konkrete Paragraph zum Tragen.
§ 263 StGB, Betrug durch fiktive Identität
Der häufigste Straftatbestand. Wer “in der Absicht, sich oder einem Dritten einen rechtswidrigen Vermögensvorteil zu verschaffen, das Vermögen eines anderen dadurch beschädigt, dass er durch Vorspiegelung falscher oder durch Entstellung oder Unterdrückung wahrer Tatsachen einen Irrtum erregt oder unterhält”, begeht Betrug.
In der Praxis bedeutet das: Wer mit einer Fake-Identität Waren bestellt und nicht bezahlt, begeht Betrug. Wer mit einer Fake-Identität ein Probeabo abschließt, das automatisch in ein kostenpflichtiges Abo übergeht (und dann den Anbieter um den Abopreis prellt), begeht ebenfalls Betrug. Strafrahmen: bis zu 5 Jahre Freiheitsstrafe oder Geldstrafe, in besonders schweren Fällen (gewerbsmäßig, bandenmäßig) bis 10 Jahre.
In den letzten Jahren häufen sich Fälle, in denen Betrüger fake-name.de-ähnliche Tools für die Initialgenerierung der Identität nutzen, dann aber eigene Manipulationen (echte Telefonnummern aus VoIP-Diensten, gefälschte Personalausweis-Scans) hinzufügen. Das Ergebnis ist eine vollständige Betrugs-Identität, deren strafrechtliche Bewertung allein bei § 263 StGB beginnt.
§ 269 StGB, Fälschung beweiserheblicher Daten
Speziell für digitale Vorgänge. Wer “zur Täuschung im Rechtsverkehr beweiserhebliche Daten so speichert oder verändert, dass bei ihrer Wahrnehmung eine unechte oder verfälschte Urkunde vorliegen würde”, erfüllt diesen Tatbestand.
In der Praxis betroffen sind:
- Online-Formulare bei Behörden (Steuererklärung, Anmeldung beim Einwohnermeldeamt)
- Vertragsabschluss-Formulare bei kostenpflichtigen Diensten
- Bewertungen auf öffentlichen Plattformen, die als Entscheidungsgrundlage anderer dienen
- Eintragungen in öffentlich zugängliche Datenbanken (Handelsregister-ähnliche Strukturen)
Strafrahmen: bis zu 5 Jahre oder Geldstrafe. Der Versuch ist strafbar (§ 269 Abs. 2 StGB).
§ 11 GwG, Identifizierung bei Finanztransaktionen
Das Geldwäschegesetz verpflichtet bestimmte Berufsgruppen, die Identität ihres Vertragspartners “zuverlässig” zu prüfen. Das gilt für:
- Banken und Sparkassen (jede Kontoeröffnung)
- Versicherungen (Lebens- und Personenversicherungen)
- Notare (jede Beurkundung)
- Steuerberater und Rechtsanwälte (bei Finanzberatung)
- Immobilienmakler ab einem Transaktionsvolumen von 10.000 €
- Krypto-Dienstleister (jede Transaktion)
- Juweliere ab 10.000 € Bargeschäft
Eine Fake-Identität gegenüber einer dieser Stellen ist nicht nur § 263 StGB (Betrug), sondern bringt zugleich die andere Seite in eine eigene Verdachtsmelde-Pflicht nach § 43 GwG. Diese Doppel-Strafbarkeit macht GwG-Verstöße besonders riskant.
Was in Tests passieren darf, und was nicht
Wer fake-name.de für interne Tests nutzt, überschreitet keine der drei Schwellen aus dem ersten Abschnitt. Die generierten Daten sind nicht gegenüber einem anderen verwendet (sie liegen in einer internen DB), kein rechtlich relevanter Vorgang ist berührt (kein Vertragsschluss), und es gibt keinen Vorsatz zur Täuschung (sondern zum Test).
Anders sieht es aus, wenn ein Test-Setup nach außen kommuniziert. Drei konkrete Beispiele aus der Praxis:
Beispiel 1, Mailversand-Test gegen echtes SMTP: Ein Entwicklungsteam testet das Newsletter-System gegen einen echten SMTP-Server (nicht gegen Mailhog oder Mailpit). Die Test-Mails gehen an “max.mustermann@gmail.com”, eine fake-name.de-Adresse. Wenn die Mail einen echten Gmail-Empfänger trifft, ist das datenschutzrechtlich relevant (Art. 6 DSGVO fehlt) und je nach Inhalt auch wettbewerbsrechtlich (§ 7 UWG, unzumutbare Belästigung).
Beispiel 2, Demo-Video mit Fake-Adresse auf YouTube: Ein Entwickler nimmt ein Demo-Video auf, in dem das Tool eine fake-name.de-Adresse anzeigt. Das Video landet auf YouTube. Wenn die Adresse zufällig auf eine reale Person passt und diese Person sich entstellt sieht (etwa weil das Tool den Anschein erweckt, sie wäre Kundin eines bestimmten Dienstes), kann sie zivilrechtlich Unterlassung verlangen.
Beispiel 3, Bewertung auf Google Maps mit Test-Account: Ein QA-Tester legt einen Google-Account mit fake-name.de-Daten an und gibt damit eine Bewertung auf der eigenen Firmenseite ab, um zu testen, ob die Bewertungs-API korrekt funktioniert. Das ist § 269 StGB: beweiserhebliche Daten werden zur Täuschung im Rechtsverkehr eingestellt.
Konkrete Schadensbeispiele aus der BKA-Statistik
Das BKA hat in seinem Bundeslagebild “Identitätsdiebstahl” 2024 rund 50.000 Fälle dokumentiert. Die durchschnittliche Schadenshöhe pro Fall lag bei 2.140 €, was sich zu einem volkswirtschaftlichen Gesamtschaden von rund 107 Mio. € summiert. Davon entfielen:
- 48 % auf Vermögensbetrug (Bestellbetrug, Probeabo-Betrug)
- 27 % auf Mailing- und Werbung-Betrug
- 14 % auf Online-Banking-Betrug
- 11 % auf sonstige Fälle (Identitätsmissbrauch im Personalwesen, Sozialleistungs-Betrug)
Diese Zahlen sind eine wichtige Erinnerung: Die Verwendung einer Fake-Identität ist ein häufiger und schadensreicher Straftatbestand. Die rein technische Generierung über Tools wie fake-name.de ist davon klar abzugrenzen, und genau diese klare Abgrenzung dokumentieren wir im Onboarding jedes Akara-Kunden.
Tabelle: Wann welche Norm greift
| Use-Case | Norm | Strafbarkeit |
|---|---|---|
| Fake-Daten in interner Test-DB | keine | nein |
| Mailversand-Test an echte Gmail-Adresse | UWG § 7, DSGVO Art. 6 | zivilrechtlich relevant |
| Probeabo mit Fake-Daten + nicht zahlen | § 263 StGB | bis 5 Jahre |
| Bewertung auf Google mit Fake-Account | § 269 StGB | bis 5 Jahre |
| Konto-Eröffnung mit Fake-Identität | § 263 StGB + § 154 AO + GwG | bis 5 Jahre, GwG-Anzeige |
| Anmeldung beim Einwohnermeldeamt | § 132 StGB | bis 2 Jahre |
| Vertragsabschluss bei Telekom-Anbieter | § 263 StGB | bis 5 Jahre |
| Forenbeitrag unter Pseudonym | keine | nein |
| Newsletter-Abo (kostenlos) unter Pseudonym | keine | nein |
| LinkedIn-Account mit Fake-Identität | LinkedIn-AGB-Verstoß, kein StGB | zivilrechtlich |
Wichtig: Bei zivilrechtlicher Relevanz besteht keine strafrechtliche Verfolgung, aber Unterlassungs- und Schadensersatz-Ansprüche. Diese können in der Summe teurer werden als ein Bußgeld.
Die wichtigsten Hebel
Drei Hebel reichen, um Fake-Identitäten rechtskonform einzusetzen. Erster Hebel: Verwendung nur intern, niemals gegenüber einem identifizierenden Dritten. Zweiter Hebel: keine vertragsbegründende, beweiserhebliche oder amtliche Handlung mit der Identität. Dritter Hebel: bei jeder Unklarheit Pseudonymität als Alternative wählen, wer auf einem Forum unter “andreas_k” postet, ist niemandem identitätspflichtig und braucht keine Fake-Daten. Wer diese drei Hebel zieht, kommt mit fake-name.de unbedenklich durch jeden Test-Zyklus.
FAQ
Häufige Fragen
Ist die Erstellung einer Fake-Identität allein strafbar?
Nein. Die reine Generierung eines fiktiven Personendatensatzes ist in Deutschland straffrei. Strafbar wird erst die zweckgerichtete Verwendung dieser Identität, um einen anderen zu einer rechtlich relevanten Handlung zu bewegen.
Welche Paragraphen sind im StGB relevant?
Vor allem § 263 StGB (Betrug), § 269 StGB (Fälschung beweiserheblicher Daten), § 271 StGB (mittelbare Falschbeurkundung), § 281 StGB (Missbrauch von Ausweispapieren), § 132 StGB (Amtsanmaßung).
Was sagt das Geldwäschegesetz dazu?
Das GwG verlangt bei Finanztransaktionen ab bestimmten Schwellen (i.d.R. 10.000 €) eine zuverlässige Identifizierung des Vertragspartners (§ 11 GwG). Eine Fake-Identität gegenüber einem geldwäscherechtlich Verpflichteten ist nicht nur strafbar, sondern bringt die andere Seite in eine eigene Anzeigepflicht (§ 43 GwG).
Was passiert, wenn eine reale Person zufällig denselben Namen hat?
Bei der Generierung allein: nichts. Wenn Sie die Identität öffentlich verwenden (z.B. in einem Blog-Eintrag oder einer Demo-Aufnahme), kann die reale Person zivilrechtlich Unterlassung verlangen, wenn ein Schaden für ihren Ruf entsteht. Bei direkter Verwendung gegenüber Dritten, etwa beim Vertragsschluss, ist die Lage strafrechtlich relevant.
Ist Pseudonymisierung der eigenen Daten erlaubt?
Ja, wenn der Anbieter keine wahrheitsgemäße Identifikation zur vertraglichen Hauptleistung braucht. Bei kostenlosen Newslettern und Foren ist Pseudonymität üblich. Bei Banken, Versicherungen, Notaren, Behörden ist sie ausgeschlossen.
Quellen