Uns erreichen im Moment Berichte, dass Kunden per Mail angeschrieben werden und Fragen rund um einen sogenannten „GDPR Data Access Process“ gestellt bekommen. Die E-Mails sind gleichartig aufgebaut und lesen sich in etwa wie folgt:

„To Whom It May Concern:

My name is [gelöscht], and I am a resident of Moscow, Russia. I have a few questions about your process for responding to General Data Protection Regulation (GDPR) data access requests:

Would you process a GDPR data access request from me even though I am not a resident of the European Union?

Do you process GDPR data access requests via email, a website, or telephone? If via a website, what is the URL I should go to?

What personal information do I have to submit for you to verify and process a GDPR data access request?

What information do you provide in response to a GDPR data access request?

To be clear, I am not submitting a data access request at this time. My questions are about your process for when I do submit a request.

Thank you in advance for your answers to these questions. If there is a better contact for processing GDPR requests regarding [gelöscht], I kindly ask that you forward my request to them.

I look forward to your reply without undue delay and at most within one month of this email, as required by Article 12 of GDPR.

Sincerely“

Recherchiert man zu den E-Mails dieser Machart etwas genauer, stößt man schnell auf einen sehr gut recherchierten privaten Blogbeitrag unter https://joewein.net/blog/2021/04/21/questions-about-gdpr-data-access-process-spam-from-virginia/. Dort wird vermutet, dass die E-Mails tatsächlich in falschem Namen versendet werden und in Wirklichkeit von einem Team aus Forschern der Princeton University sowie der Radboud University versendet werden. Vermutet wird ein Bezug zur „Princeton-Radboud Study on Privacy Law Implementation“, welche sich auf einer Unterseite der Princeton University hier darstellt: https://privacystudy.cs.princeton.edu/. Da dies bislang nur Vermutungen sind, haben wir sowohl den auf der Internetseite genannten Kontakt als auch die Datenschutzbeauftragten der beteiligten Universitäten um Stellungnahme gebeten. Eine Antwort steht noch aus, wir haben uns aber auch erst heute Mittag per E-Mail an die beteiligten Personen gewandt.

Wie kann man nun auf solche E-Mails reagieren? Grundsätzlich sind Datenschutzanfragen ernst zu nehmen und erfüllen einen sinnvollen Zweck. Vorliegend sind die Anhaltspunkte aber hoch, dass es sich gar nicht um eine echte Betroffenenanfrage handelt. Aus der Mail selbst ergibt sich, dass derzeit auch gar kein „data access request“ gestellt werden soll. Der Hinweis auf die Frist aus Art. 12 DSGVO könnte allerdings etwas anderes nahelegen. Wir empfehlen daher kurz zu antworten und offen zu fragen, ob es sich um eine echte Betroffenenanfrage oder um eine wissenschaftliche Studie handelt.

Sollte es sich um eine wissenschaftliche Studie handeln kann man sich sicherlich fragen, wie repräsentativ die Antworten sein werden, wenn man sich mit einer derartigen Mail massenhaft an Unternehmen wendet und im Internet bereits Blogbeiträge dazu veröffentlicht werden. Auswertbare wissenschaftliche Erkenntnisse erscheinen mir aufgrund solch systematischer Fehler im „Versuchsaufbau“ zumindest zweifelhaft (meine persönliche Meinung). Man könnte sich dann auch fragen, ob es legitim ist, sich unter falschem Namen und mit Datenschutzrechten im Gepäck auf den Weg zu machen um und sich als Informatikforscher mit an SPAM erinnernden E-Mails an eine breite Öffentlichkeit zu wenden. Und, last but not least, könnte man auch einmal näher betrachten, welche datenschutzrechtlichen Rahmenbedingungen eigentlich für wissenschaftliche Studien gelten.

Weitere Berichte zu der Aktion findet man übrigens auch hier https://www.datenschutz-guru.de/merkwurdige-anfrage-zum-datenschutz-auf-englisch-erhalten/ und hier https://www.linkedin.com/feed/update/urn:li:activity:6876867198217023488/ und demnächst sicher auch an weiteren Stellen (Update: Zum Beispiel hier https://steigerlegal.ch/2021/12/16/datenschutz-gefaelschte-anfragen-dsgvo/). Dies unterstreicht meines Erachtens den systematischen Fehler der Studie (sofern es denn wirklich eine solche Studie ist) und zeigt zumindest eins:

Die Datenschutzcommunity funktioniert und ist gut vernetzt.

Sollten wir auf unsere E-Mail an die möglicherweise beteiligten Universitäten eine Antwort bekommen, halten wir Sie auf dem Laufenden.

Update vom 20.12.2021

Am Freitag erreichte uns eine Antwort des DPO der Radboud University, mit folgender Aussage:

„I asked the researcher involved from Radboud University and he stated that the mails are from/for the study.

To be more clear in the future they are working on a faq for the webpage.“

Bei mir hinterlässt eine solche Aktion ehrlich gesagt nur noch ungläubiges Kopfschütteln.