Merkwürdige Anfrage zum Datenschutz auf Englisch erhalten?

Datenschutz

Ich habe letzte Woche (am 12.12.2021) eine merkwürdige Anfrage erhalten. Ich gebe sie mal hier im Wortlaut wieder und habe nur den Namen entfernt:

Das DSGVO-Ersuchen im „Originaltext“

To Whom It May Concern:

My name is [Name wurde von mir entfernt], and I am a resident of Moscow, Russia. I have a few questions about your process for responding to General Data Protection Regulation (GDPR) data access requests:

Would you process a GDPR data access request from me even though I am not a resident of the European Union?
Do you process GDPR data access requests via email, a website, or telephone? If via a website, what is the URL I should go to?
What personal information do I have to submit for you to verify and process a GDPR data access request?
What information do you provide in response to a GDPR data access request?
To be clear, I am not submitting a data access request at this time. My questions are about your process for when I do submit a request.

Thank you in advance for your answers to these questions. If there is a better contact for processing GDPR requests regarding datenschutz-guru.de, I kindly ask that you forward my request to them.

I look forward to your reply without undue delay and at most within one month of this email, as required by Article 12 of GDPR.

Sincerely,

[Name wurde von mir entfernt]\

Hmmmhhh…was ist das hier?

So eine Anfrage kommt einem natürlich sofort merkwürdig. Der Betroffenen möchte eine Menge wissen, aber ein Auskunftsersuchen nach Art. 15 DSGVO macht er ausdrücklich nicht geltend.

Gleichwohl hält er sein Ersuchen aber offenbar von den Betroffenenrechten der DSGVO gedeckt. Denn er beruft sich bei der Beantwortung der E-Mail auf die „Fristenregelung“ in Art. 12 DSGVO, wonach auf wahrgenommene Betroffenenrechte grundsätzlich binnen eines Monats reagiert werden soll.

Erste Gedanken zum Umgang mit dem „Ersuchen“

Was also tun mit so einem Ersuchen? Es ist offenbar merkwürdig. Will der Betroffene hier möglicherweise „erforschen“, welche Systeme man zur Beauskunftung vorhält, um diese dann ggf. angreifen zu können?

Oder ist es einfach nur Spam, der dazu dient, bei einer Antwort die E-Mail-Adresse von mir als korrekte E-Mail-Adresse zu validieren?

Also besser nicht antworten?

Dann habe ich den Namen recherchiert. Eine Kunde von uns ist es sicher nicht. Und ansonsten finde ich zu dem Namen nur den Eintrag zu einem russischen Tennisspieler. Hilft also auch nicht weiter.

Eine erweiterte Recherche erhärtet dann zunächst den SPAM-Verdacht bzw. den Fraud-Versuch. Denn in einem „reddit“-Forum ist diese E-Mail in ähnlicher Form auch Thema.

Meine Entscheidung: Wir antworten.

Da die E-Mail-Adresse, an die sich der Betroffene hier gewendet hat, „bekannt“ ist und als Support-Adresse dient, sehe ich wenig Risiken bzgl. einer „SPAM“-Problematik zu antworten.

Und im Hinblick auf einen möglicherweise beginnenden Betrugsversuch habe ich bei der von mir angedachten Antwort auch kein Risiko gesehen. Also war meine Entscheidung klar: Wir antworten.

Die Antwort-E-Mail

Unsere Antwort lautete dann so:

Hello,

we never disclose information about internal policies or procedures.

If you wish to exercise your data subject rights against us, you can send us an e-mail to support@datenschutz-guru.de.

Alternatively, you can also contact us by letter to our postal address. Otherwise, you can exercise your data subject rights in the manner provided for in the GDPR.

After receipt of the request, you will then receive further instructions from us.

Best regards

Auf diese Art und Weise haben wir keine „Geheimnisse“ preisgegeben und dennoch für den unwahrscheinlichen Fall, dass die Anfrage „echt“ und „ernsthaft“ ist, eine Antwort gegeben.

Die Auflösung – was ist das hier?

Da mehr und mehr Unternehmen diese oder ähnliche E-Mails auf Basis von GDPR- oder CCPA-Ersuchen bekommen haben, habe ich noch einmal weiter recherchiert und einen prima Beitrag zu dem „Vorgang“ gefunden.

Und siehe da: Für die Anfragen ist nicht eine SPAM- oder Hacker-Crew verantwortlich, sondern Forscher der Universität Princeton und der Universität Radboud.

Diese E-Mails wurden massenhaft versendet, um die Implementierung von Datenschutzrecht bzgl. Auskunftsersuchen von Betroffenen zu untersuchen. Hier gibt es die offizielle Erklärung der Forschergruppe zu der Studie: Princeton-Radboud Study on Privacy Law Implementation

Ich weiß nicht, ob ich jetzt erleichtert oder sauer bin. Vielleicht auch beides.

Fazit: Antwort in diesem Fall nicht erforderlich

Da es in diesem Fall kein ernsthaftes Ersuchen war, wäre eine Antwort nicht erforderlich gewesen.

Gleichwohl sollte bei ähnlichen Anfragen immer im Einzelfall geprüft werden, wie auf „merkwürdige“ Anfragen reagiert wird.

Update: Die Universität reagiert

Die Durchführenden der Studie haben sich übrigens in der Weihnachtszeit per E-Mail an alle Empfänger der „merkwürdigen“ E-Mail gewendet und die Studie damit offiziell beendet. Hier ist die E-Mail im Wortlaut:

Hello,

You may have recently received an email from novatormail.ru regarding your process for responding to General Data Protection Regulation (GDPR) or California Consumer Privacy Act (CCPA) data requests for the following domain(s): datenschutz-guru.de. Please disregard that email.

The email was sent as part of an academic research study on GDPR and CCPA, which we have concluded. We will delete all responses received on December 31, 2021. We sincerely apologize for any burdens caused by our study.

If you would like more information about the study or to contact our research team, please see: https://privacystudy.cs.princeton.edu.

Sincerely,

Princeton-Radboud Study on Privacy Law Implementation

Stephan Hansen-Oest

Ich bin Rechtsanwalt & Fachanwalt für IT-Recht. Auch wenn ich mich seit 1995 mit Datenschutzrecht beschäftige, bin ich sicher kein Datenschutz-Guru. Mein Ziel ist es, Menschen dabei zu helfen, den Datenschutz in Unternehmen einfach besser zu machen. Und ich freue mich über jeden, der meinen Newsletter abonniert. Wenn du unbedingt noch mehr zu mir wissen möchtest, kannst du dir mein Profil ansehen. Und wenn du Lust hast, am Datenschutz-Coaching teilzunehmen findest du hier mehr Informationen.