Löschung von Daten bei Religionsgemeinschaften
DSGVO Art 5-6, 9, 12, 15, 17-18, 82-83
Religionsbekenntnis - besondere Kategorie personenbezogener Daten - Zulässigkeit der Verwendung von personenbezogenen Daten - Speicherung von Daten in personenbezogener Form - Recht auf Löschung personenbezogener Daten - Recht auf Einschränkung der Verarbeitung - Sanktionen bei Verweigerung der Löschung
Damit gespeicherte Daten vollständig gelöscht werden, sind folgende Schritte erforderlich:
Auskunftsersuchen gemäß Art 15 DSGVO
Als erster Schritt ist an die betreffende Religionsgemeinschaft (Kirche, usw.) ein Auskunftsersuchen gemäß Art 15 Datenschutz-Grundverordnung (DSGVO) zu richten, damit überhaupt bekannt wird, welche konkreten personenbezogenen Daten von dieser gespeichert werden. Nur wenn man weiß, was gespeichert wird, kann man einen Antrag auf Löschung dieser Daten stellen.
Religionsbekenntnis - besondere Kategorie personenbezogener Daten
Gemäß Art 9 DSGVO bilden die personenbezogenen Daten zum Religionsbekenntnis eine besondere Kategorie im Datenschutzrecht und stehen daher unter einem besonderen Schutz. Die Verarbeitung von personenbezogenen Daten besonderer Kategorien verletzt das Datenschutzrecht nicht, wenn die Verarbeitung unbedingt erforderlich ist und geeignete Maßnahmen zum Schutz der Rechte und Freiheiten der Betroffenen gewährleistet sind und darüber hinaus entweder die Verarbeitung gemäß Art 6 DSGVO zulässig ist oder der Betroffene die Daten offenkundig selbst öffentlich gemacht hat.
Zulässigkeit der Verwendung von personenbezogenen Daten
Gemäß Art 5 Abs 1 lit b DSGVO dürfen Daten nur für festgelegte, eindeutige und rechtmäßige Zwecke erhoben und nicht in einer mit diesen Zwecken unvereinbaren Weise weiterverwendet werden. Aus diesem Grundsatz der Datenverwendung ergeben sich zwei Ansatzpunkte: Erstens ist eine Person nicht Mitglied einer bestimmten Religionsgemeinschaft, so dürfen deren Daten von dieser Religionsgemeinschaft überhaupt nicht ermittelt werden. Zweitens war die betreffende Person Mitglied dieser Religionsgemeinschaft und ist sie aus dieser ausgetreten, so dürfen die zuvor ermittelten Daten nicht weiterverarbeitet werden und sind von der Religionsgemeinschaft von sich aus zu löschen.
Speicherung von Daten in personenbezogener Form
Daten dürfen gemäß Art 5 Abs 1 lit e DSGVO nicht länger in personenbezogener Form gespeichert werden, als es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. Auch aus diesem Grundsatz der Datenverarbeitung ergibt sich, dass die Daten ab dem Zeitpunkt wo sie nicht mehr zur Zweckerfüllung erforderlich sind, nicht mehr in personenbezogener Form, sondern nur noch anonymisiert aufbewahrt werden dürfen.
Recht auf Löschung personenbezogener Daten
Jede Religionsgemeinschaft hat gemäß Art 17 Abs 1 DSGVO personenbezogene Daten aus eigenem Antrieb oder auf Antrag der betroffenen Person unverzüglich zu löschen, wenn die Daten für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind oder die personenbezogenen Daten unrechtmäßig verarbeitet wurden oder die Löschung der Daten zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist oder die Einwilligung des Betroffenen widerrufen wurde.
Dies bedeutet, dass eine Religionsgemeinschaft alle personenbezogenen Daten eines Betroffenen unverzüglich von sich aus zu löschen hat, sobald ihr bekannt ist, dass die betreffende Person nicht Mitglied ihrer Gemeinschaft ist. Dasselbe gilt für den Fall, dass die Religionsgemeinschaft von sich aus Daten über Personen ermittelt und dabei feststellt, dass diese Person nicht Mitglied ihrer Organisation ist. Daraus ergibt sich wiederum, dass es rechtwidrig ist, dass Religionsgemeinschaften personenbezogene Daten von Personen ermitteln, die nicht Mitglieder bei ihr sind.
Antrag auf Löschung personenbezogener Daten
Wurde durch das Auskunftsersuchen gemäß Art 15 DSGVO festgestellt, dass eine Religionsgemeinschaft personenbezogene Daten über eine Person speichert, die kein Mitglied dieser Organisation ist, so liegt eine unzulässige Datenverarbeitung vor.
Bei einer unzulässigen Datenverarbeitung hat die betreffende Person das Recht auf Löschung dieser Daten und kann einen diesbezüglichen Antrag an die Religionsgemeinschaft stellen, mit der Begründung, dass es sich um eine unzulässige Datenverarbeitung handelt, da man nicht Mitglied ist.
Löschung innerhalb eines Monats
Wurde ein Löschungsantrag gestellt, so müssen gemäß Art 12 Abs 2 DSGVO die personenbezogenen Daten unverzüglich, in jedem Fall aber innerhalb eines Monats ab Antragstellung, von der Religionsgemeinschaft gelöscht werden und der Antragsteller ist von der Löschung zu verständigen. Wird die Löschung verweigert, so ist der Antragsteller (Betroffene) ebenfalls innerhalb eines Monats schriftlich zu verständigen und es ist zu begründen, warum die Löschung nicht vorgenommen wird.
Recht auf Einschränkung der Verarbeitung gemäß Art 18 DSGVO
Betroffene haben das Recht auf Einschränkung, solange keine Feststellung über die Richtigkeit oder Unrichtigkeit der personenbezogenen Daten besteht. Darüber hinaus sind Einschränkungen zulässig, wenn ein Widerspruchsrecht des Betroffenen eingelegt wurde. Weiters kann ein Betroffener eine Einschränkung seiner Datenverarbeitung verlangen, wenn die Verarbeitung unrechtmäßig ist und keine Löschung verlangt wurde. Schließlich kann der Betroffene eine Einschränkung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen verlangen. In den oben genannten Gründen darf die Religionsgemeinschaft die personenbezogenen Daten grundsätzlich nur noch speichern, aber keine Verarbeitungsschritte durchführen.
Eine Weiterverarbeitung ist nur zulässig, wenn die Einwilligung des Betroffenen vorliegt oder dies zur Ausübung oder Verteidigung von Rechtsansprüchen des Verantwortlichen notwendig ist. Weiters darf die Religionsgemeinschaft eine Datenverarbeitung durchrühren, wenn dies zum Schutz der Rechte einer anderen natürlichen oder juristischen Person erforderlich ist oder es aus Gründen eines wichtigen öffentlichen Interesses notwendig ist.
Sanktionen bei Verweigerung der Löschung
Wird das Recht auf Löschung der personenbezogenen Daten verletzt, so ist gemäß 83 Abs 5 DSGVO eine Geldstrafe von bis zu 20 Millionen oder im Fall eines Unternehmens von bis zu 4 % des globalen Jahresumsatzes zu zahlen. Hat die Datenschutzverletzung auch einen materiellen oder immateriellen Schaden zur Folge, dann entsteht zusätzlich ein Recht auf Schadenersatzklage des Betroffenen gemäß Art 82 DSGVO. Die Zivilgerichte sind für Schadenersatzklagen zuständig.
|
