Der E-Mail Alptraum: Eine Betroffenenanfrage nach der DSGVO:




So könnte eine E-Mail an Ihr Unternehmen aussehen. Wissen Sie wie Sie darauf reagieren? Sie haben 4 Wochen.


Sehr geehrter Herr / Frau (Names des Datenschutzbeauftragten)

ich schreibe Ihnen in Ihrer Eigenschaft als Datenschutzbeauftragter für Ihr Unternehmen. Ich bin ein Kunde von Ihnen, und angesichts der jüngsten Ereignisse ersuche ich um Zugang zu personenbezogenen Daten gemäß Artikel 15 der Datenschutz-Grundverordnung. Ich bin besorgt, dass die Informationspraktiken Ihres Unternehmens meine persönlichen Informationen einem ungebührlichen Risiko aussetzen oder in der Tat gegen die Verpflichtung verstoßen haben, meine persönlichen Informationen zu schützen.

Ich füge eine Kopie der Dokumentation bei, die notwendig ist, um meine Identität zu überprüfen. Wenn Sie weitere Informationen benötigen, kontaktieren Sie mich bitte unter meiner oben genannten Adresse.

Ich möchte, dass Sie von vornherein wissen, dass ich eine Antwort auf meinen Antrag innerhalb eines Monats gemäß Artikel 12 erwarte, andernfalls werde ich meine Anfrage mit einem Beschwerdebrief an die weiterleiten.

Bitte informieren Sie über Folgendes:

1. Bitte bestätigen Sie mir, ob meine persönlichen Daten verarbeitet werden oder nicht. Wenn dies der Fall ist, teilen Sie mir bitte die Kategorien der persönlichen Daten mit, die Sie über mich in Ihren Dateien und Datenbanken haben. Bitte sagen Sie mir insbesondere, was für Informationen Sie über mich in Ihren Informationssystemen gespeichert haben. Dies bezieht sich auf, aber nicht ausschließlich auf Datenbanken, E-Mails, Dokumente in Ihren Netzwerken, Sprachaufzeichnungen oder andere Medien.

b. Bitte teilen Sie mir außerdem mit, in welchen Ländern meine persönlichen Daten gespeichert sind oder von wo aus Sie darauf zugreifen können. Wenn Sie Cloud-Dienste zum Speichern oder Verarbeiten meiner Daten nutzen, geben Sie bitte die Länder an, in denen sich die Server befinden, wo meine Daten gespeichert sind oder waren (in den letzten 12 Monaten).

c. Bitte stellen Sie mir eine Kopie oder Zugang zu meinen persönlichen Daten zur Verfügung, die Sie haben oder bearbeiten.

2. Bitte geben Sie mir eine detaillierte Protokollierung über die spezifischen Verwendungen, die Sie mit meinen persönlichen Daten gemacht haben, machen oder machen werden.

3. Bitte geben Sie eine Liste aller Dritter an, mit denen Sie meine persönlichen Daten teilen (oder haben können).

a. Wenn Sie die spezifischen Dritten, denen Sie meine persönlichen Daten mitgeteilt haben, nicht mit Sicherheit identifizieren können, geben Sie bitte eine Liste von Dritten an, denen Sie möglicherweise meine persönlichen Daten mitgeteilt haben.

b. Bitte geben Sie auch an, in welcher Rechtsordnungen, die in 1 (b) erwähnten Dritten, meine persönlichen Daten verarbeiten und/oder von welcher Rechtsordnung aus diese Zugriff auf meine persönlichen Daten haben. Bitte geben Sie auch einen Einblick in die rechtlichen Gründe für die Übermittlung meiner persönlichen Daten an diese Rechtsordnungen. Wenn Sie dies auf der Grundlage geeigneter Sicherheitsvorkehrungen getan haben oder tun, legen Sie bitte eine Kopie bei.

c. Darüber hinaus würde ich gerne wissen, welche Sicherheitsvorkehrungen in Bezug auf diese Dritten getroffen wurden, die Sie in Bezug auf die Übermittlung meiner persönlichen Daten identifiziert haben.

4. Bitte geben Sie an, wie lange Sie meine persönlichen Daten speichern. Wenn die Speicherung auf der Kategorie personenbezogener Daten basiert, geben Sie bitte an, wie lange die einzelnen Kategorien aufbewahrt werden.

5. Wenn Sie zusätzlich personenbezogene Daten über mich von einer anderen Quelle als mir erheben, geben Sie mir bitte alle Informationen über ihre Quelle gemäß Artikel 14 der DSGVO.

6. Wenn Sie automatisierte Entscheidungen über mich treffen, einschließlich Profilerstellung, z.B. auf der Grundlage von Artikel 22 der Datenschutz-Grundverordnung, bitte geben Sie mir Informationen über die Grundlagen für die Logik solcher automatisierter Entscheidungen und die Bedeutung und Konsequenzen von solche einer Verarbeitung.

7. Ich würde gerne wissen, ob meine persönlichen Daten in der Vergangenheit versehentlich von Ihrem Unternehmen oder aufgrund einer Sicherheits- oder Datenschutzverletzung offengelegt wurden.

a. Wenn ja, bitte informieren Sie sich über die folgenden Details jedes einzelnen Verstoßes:

i. eine allgemeine Beschreibung dessen, was passiert ist;

ii. Datum und Uhrzeit des Verstoßes (oder die bestmögliche Schätzung);

iii. das Datum und die Uhrzeit, zu der der Verstoß entdeckt wurde;

iv. die Quelle des Verstoßes (entweder Ihre eigene Organisation oder ein Dritter, dem Sie meine persönlichen Daten übermittelt haben);

v. Details meiner persönlichen Daten, die veröffentlicht wurden;

vi. die Einschätzung Ihres Unternehmens bezüglich des Risikos eines Schadens für mich als Folge des Verstoßes;

vii. eine Beschreibung der getroffenen oder geplanten Maßnahmen, um weiteren unbefugten Zugriff auf meine persönlichen Daten zu verhindern;

viii. Kontaktinformationen, damit ich mehr Informationen und Unterstützung in Bezug auf einen solchen Verstoß erhalten kann, und

ix. Informationen und Ratschläge darüber, was ich tun kann, um mich vor Schäden zu schützen, einschließlich Identitätsdiebstahl und Betrug.

b. Wenn Sie nicht mit Gewissheit sagen können, ob eine solche Exposition stattgefunden hat, geben Sie bitte die Technologien zur Risikoreduzierung an und welche Maßnahmen Sie ergriffen haben, wie z.B:

i. Verschlüsselung meiner persönlichen Daten;

ii. Datenminimierungsstrategien; oder,

iii. Anonymisierung oder Pseudonymisierung;

iv. Irgendein anderes Mittel

8. Ich würde gerne Ihre Informationspolitik und -standards kennen, die Sie in Bezug auf den Schutz meiner persönlichen Daten befolgen, z. B. ob Sie ISO27001 zur Informationssicherheit einhalten, und insbesondere Ihre Praktiken in Bezug auf Folgendes:

a. Bitte teilen Sie mir mit, ob Sie meine persönlichen Daten auf Band, Diskette oder anderen Medien gesichert haben und wo sie gespeichert sind und wie sie gesichert sind, einschließlich der Schritte, die Sie unternommen haben, um meine persönlichen Daten vor Verlust oder Diebstahl zu schützen.

b. Bitte geben Sie auch an, ob Sie über eine Technologie verfügen, mit der Sie mit hinreichender Sicherheit wissen können, ob meine persönlichen Daten offengelegt wurden, einschließlich, aber nicht beschränkt auf:

i. Einbrucherkennungssystem;
ii. Firewall-Technologien;
iii. Zugangs- und Identitätsmanagement-Technologien;
iv. Datenbankprüfungs- und / oder Sicherheitstools; oder,
v. Verhaltensanalyse-Tools, Log-Analyse-Tools oder Audit-Tools;

9. In Bezug auf Mitarbeiter und Auftragnehmer, bitte informieren Sie über Folgendes:

a. Mit welchen Technologien oder Geschäftsverfahren stellen Sie sicher, dass Personen innerhalb Ihrer Organisation überwacht werden, um sicherzustellen, dass sie nicht absichtlich oder unabsichtlich personenbezogene Daten außerhalb Ihres Unternehmens, per E-Mail, Webmail oder Instant Messaging oder auf andere Weise weitergeben.

b. Hatten Sie in den letzten zwölf Monaten Umstände, in denen Mitarbeiter oder Auftragnehmer entlassen wurden und/oder strafrechtlich belangt wurden, weil Sie auf meine persönlichen Daten unangemessen zugegriffen haben oder - wenn Sie dies nicht auf meine Daten eingrenzen können -gab es generell Fälle bei Kundendaten?

c. Bitte geben Sie an, welche Schulungs- und Sensibilisierungsmaßnahmen Sie ergriffen haben, um sicherzustellen, dass Mitarbeiter und Auftragnehmer in Übereinstimmung mit der Datenschutz-Grundverordnung auf meine personenbezogenen Daten zugreifen und diese verarbeiten.

Mit freundlichen Grüßen



Noch Fragen? Kontaktieren Sie uns und lassen Sie sich ein Angebot erstellen!





Herzliche Glückwünsche. Ihre Nachricht wurde erfolgreich gesendet.
Fehler, bitte erneut versuchen. Ihre Nachricht wurde nicht gesendet.