Vorsicht, gefälschte E-Mail-Anfragen zum Datenschutz!

Was hat es mit den E-Mail-Anfragen mit «Questions About GDPR Data Access Process» als Betreff auf sich, die in diesen Tagen kursieren?

Wir wurden von Mandantinnen und Mandanten gefragt, wie sie auf diese E-Mails mit Fragen nach ihrem Umgang mit datenschutzrechtlichen Anfragen reagieren sollen. Die Absender verweisen jeweils auf die europäische Datenschutz-Grundverordnung (DSGVO) bzw. General Data Protection Regulation (GDPR).

Kurzantwort: Die E-Mail-Anfragen können gefahrlos ignoriert werden.

Ausgangslage: E-Mail-Anfragen auf Englisch und mit Bezug zur Datenschutz-Grundverordnung (DSGVO)

Die E-Mail-Anfragen werden auf Englisch verschickt, beziehen sich auf den Domainnamen der Empfängerinnen bzw. Empfänger und haben folgenden Inhalt:

«To Whom It May Concern:

My name is [NAME], and I am a resident of [ORT], [LAND]. I have a few questions about your process for responding to General Data Protection Regulation (GDPR) data access requests:

1. Would you process a GDPR data access request from me even though I am not a resident of the European Union?
2. Do you process GDPR data access requests via email, a website, or telephone? If via a website, what is the URL I should go to?
3. What personal information do I have to submit for you to verify and process a GDPR data access request?
4. What information do you provide in response to a GDPR data access request?

To be clear, I am not submitting a data access request at this time. My questions are about your process for when I do submit a request.

Thank you in advance for your answers to these questions. If there is a better contact for processing GDPR requests regarding [DOMAINNAME], I kindly ask that you forward my request to them.

I look forward to your reply without undue delay and at most within one month of this email, as required by Article 12 of GDPR.»

Das genannte Land war in den vorliegenden E-Mails jeweils ein Land ausserhalb des Europäischen Wirtschaftsraumes (EWR). In einer E-Mail meldet sich beispielsweise ein «Tom Harris», der behauptete, in «Sacramento, California» zu leben.

Hintergrund: Wissenschaftler verschicken gefälschte E-Mail-Anfragen

Die E-Mail-Anfragen müssen allein schon deshalb nicht beantwortet werden, weil sie gefälscht sind.

Die Angaben zum Absender und zum Wohnort sind gefälscht. Die E-Mails werden im Rahmen der «Princeton-Radboud Study on Privacy Law Implementation» verschickt:

«We are a team of computer science researchers at Princeton University and Radboud University, conducting an academic study of how online services have implemented the European Union General Data Protection Regulation (GDPR) and the California Consumer Privacy Act (CCPA).

As part of the study, we are asking public websites about their processes for responding to GDPR and CCPA data access requests. We attempt to identify a website’s correct email address for data access requests through an automated system. While we have evaluated the system to confirm that it has high accuracy, some emails may be incorrectly directed to a website or email address.

We are sending emails related to this study from the following single-purpose domains from fall 2021 through spring 2022:

envoiemail.fr
novatormail.ru
potomacmail.comT
princetondmarcstudy.org
princetonprivacystudy.org
yosemitemail.com

Please contact the lead researcher for this study, Ross Teixeira (rapt@princeton.edu), if you have any questions, believe you received an email in error, or would like to opt out of any future communication related to the study. The additional members of the study team are Professor Jonathan Mayer at the Princeton University Center for Information Technology Policy and Professor Gunes Acar at the Radboud University Digital Security Group.»

Die E-Mail-Anfragen müssten aber auch nicht beantwortet werden, wenn sie legitim wären:

1. In den E-Mails heisst es ausdrücklich, es handle sich noch nicht um einen «data access request». Anfragen, die den Umgang mit künftigen datenschutzrechtlichen Anfragen betreffen, müssen nicht beantwortet werden, auch nicht gemäss Art. 12 DSGVO
2. Wenn sich betroffene Personen gegenüber schweizerischen Verantwortlichen auf die europäische Datenschutz-Grundverordnung (DSGVO) berufen, muss immer geprüft werden, ob die DSGVO überhaupt anwendbar ist. Beim erwähnten «Tom Harris» aus «Sacramento, California» wäre das voraussichtlich nicht der Fall.
3. Wenn grundsätzlich eine berechtigte datenschutzrechtliche Anfrage vorliegen könnte, muss diese im Einzelfall sorgfältig geprüft werden. Dazu gehört insbesondere, dass die anfragende Person identifiziert wird. Gemäss dem schweizerischen Datenschutzgesetz (DSG) müssen Anfragen grundsätzlich schriftlich, das heisst per Briefpost, und mit einem Identitätsausweis erfolgen (Art. 8 Abs. 5 DSG i.V.m. Art. 1 Abs. 1 VDSG).

Fazit: Unnötiger Aufwand und unnötige Verunsicherung durch gefälschte E-Mail-Anfragen

Für mich ist nicht klar, wieso die Princeton University (USA) und die Radboud University (Niederlande) mit verdeckten Karten spielen. Mit ihrer «Umfrage» unter Verwendung von gefälschten E-Mails verursachen die Universitäten unnötigen Aufwand und unnötige Verunsicherung bei vielen Empfängerinnen und Empfängern.

Abgesehen davon zeigen die beteiligten Universitäten eine gewisse Inkompetenz, wenn sie .ch-Domainnamen der DSGVO bzw. dem EWR zuordnen. Die Wahrscheinlichkeit, dass schweizerische Verantwortliche gegenüber betroffenen Personen ausserhalb des EWR freiwillig die DSGVO anwenden, ist äussert gering.

---

Nachtrag vom 18. Dezember 2021

Einige deutsche Anwaltskollegen haben sich ebenfalls zu den E-Mails geäussert:

• SPAM im Namen des Datenschutzes? (Datenschutz-Notizen)
• Merkwürdige Anfrage zum Datenschutz auf Englisch erhalten? (Datenschutz-Guru)
• Haben Sie auch eine dieser E-Mails erhalten, die wie eine Datenschutzauskunft wirken? (Thomas Schwenke bei LinkedIn)

Joe Wein hatte bereits am 21. April 2021 über den Erhalt einer vergleichbaren E-Mail geschrieben.

Bei Reddit gibt es inzwischen zwei Threads zur Angelegenheit (Original, Fortsetzung).