Wenn jemand deine digitale Identität klaut

Wenn jemand deine digitale Identität klaut

Stell dir vor, jemand aus deinem Netzwerk schickt dir einen Screenshot. „Schau mal – ist das nicht deine Website?" Du klickst auf den Link. Und siehst: deinen Namen, deine Fotos, deine Texte. Auf einer Domain die dir nicht gehört.

Genau das ist passiert. Ich begleite gerade einen solchen Fall – und ich schreibe darüber weil er exemplarisch zeigt, was im Web möglich ist wenn jemand methodisch vorgeht. Namen nenne ich keine. Aber der Fall ist real, er läuft gerade, und er hat mich einiges gelehrt.

Die gefälschte Präsenz sah auf den ersten Blick wie ein schlechter Klon aus. Auf den zweiten Blick war sie gefährlich. Originalfotos, übernommene Texte, eine ähnlich klingende Domain – und ein Kontaktformular. Das Kontaktformular ist das eigentliche Problem. Denn damit wurden Anfragen abgefangen. Echte Menschen haben ihre persönlichen Daten auf einer fremden Seite hinterlassen, in dem Glauben sie schreiben der richtigen Person.

Was wir konkret festgestellt haben und was das rechtlich bedeutet

Meine Rolle in diesem Fall war es, einen Sachverständigen-Schriftsatz als Vorbereitung für die anwaltliche Vertretung zu erstellen. Kein juristisches Dokument – das ist Sache des Anwalts – sondern eine strukturierte Analyse aus digitaler Sicht: Was wurde übernommen, wie wurde es eingesetzt, welche technischen Spuren gibt es, welcher Schaden ist nachweisbar.

Was dabei herauskam, war eine Kombination aus mehreren parallelen Rechtsverstößen. Das Urheberrecht wurde verletzt, weil professionelle Fotos und Texte ohne Zustimmung übernommen wurden. Das Persönlichkeitsrecht wurde verletzt, weil Name und Identität einer realen Person für eine fremde Präsenz missbraucht wurden – und weil im Impressum der gefälschten Seite echte Namen ohne jede Zustimmung verwendet wurden. Für Besucher, für Behörden, für jeden der die Seite aufgerufen hat, entstand dadurch der Eindruck dass diese Personen die Betreiber sind. Sie hafteten scheinbar für Inhalte über die sie keine Kontrolle hatten und von denen sie nichts wussten. Das UWG greift, weil durch die Imitation bewusst Verwechslung erzeugt wurde. Und die DSGVO ist relevant, weil über das gefälschte Kontaktformular personenbezogene Daten Dritter gesammelt wurden – ohne jede Rechtsgrundlage. Jeder dieser Punkte für sich wäre schon ein Problem. Zusammen ergibt sich ein sehr klares Bild.

Was man in den ersten 48 Stunden tut

Sofort dokumentieren, bevor irgendjemand irgendetwas löscht. Screenshots mit Zeitstempel, WHOIS-Abfragen, Archivierungen über Netzbeweis – ein österreichischer Dienst der Webseiten rechtssicher und gerichtsverwertbar dokumentiert – sowie die Sicherung aller erreichbaren Metadaten. Was du jetzt beweisen kannst, kannst du später einsetzen. Was weg ist, ist weg.

Parallel dazu rechtliche Einschätzung einholen – und den technischen Weg nicht warten lassen bis das rechtliche klar ist. Abuse-Meldung beim Hosting-Anbieter, Eskalation bei der Domain-Registry, Deindex-Anfrage bei Google. Jeder dieser Kanäle hat eine andere Geschwindigkeit. Zusammen bauen sie Druck auf. Wobei ich aus diesem Fall auch gelernt habe wie begrenzt manche Wege sind: Ich habe zweimal einen Google-Entfernungsantrag gestellt, innerhalb von zwei Monaten. Beide Male ohne Erfolg. Irgendwann ist das mildere Mittel ausgeschöpft – dann braucht es den Anwalt.

Was hätte diesen Fall früher sichtbar machen können

Ein aktives SEO-Monitoring. Wer regelmäßig beobachtet wie die eigene Online-Präsenz im Netz abgebildet wird, bemerkt früher wenn plötzlich eine neue Domain mit ähnlichem Namen, ähnlichen Inhalten oder identischen Texten auftaucht. Tools wie SE Ranking – das wir bei identity für unsere Kunden einsetzen – zeigen unter anderem neu indexierte Seiten die mit denselben Keywords ranken, Backlink-Strukturen die auf neue Domains hinweisen und Veränderungen im Sichtbarkeitsumfeld einer Marke. Das ist primär für Rankings gedacht, funktioniert aber auch als Frühwarnsystem: Wenn eine fremde Domain plötzlich mit denselben Begriffen auftaucht für die du jahrelang gearbeitet hast, ist das ein Signal das man sehen will – bevor Anfragen woanders landen.

Wie es weitergeht

Das Verfahren läuft. Ich werde berichten sobald es Neues gibt, weil ich glaube dass konkrete Erfahrungen aus solchen Fällen mehr wert sind als jeder abstrakte Ratgeber-Artikel.

Was ich in der Zwischenzeit jedem empfehle: Schau nach ob jemand ähnliche Domains registriert hat. Richte einen Google Alert auf deinen Namen ein. Und wenn du eine erkennbare Online-Präsenz hast – überleg ob du weißt was gerade damit passiert.