Datenschutzrechtliche Entwicklungen außerhalb des unmittelbaren Anwendungsbereichs der DSGVO finden häufig nur begrenzte Aufmerksamkeit. Das gilt auch für die kirchlichen Datenschutzgesetze, die aufgrund des kirchlichen Selbstbestimmungsrechts neben dem staatlichen Datenschutzrecht bestehen. Sowohl die katholische Kirche mit dem Kirchlichen Datenschutzgesetz (KDG) als auch die Evangelische Kirche in Deutschland mit dem EKD-Datenschutzgesetz (DSG-EKD) verfügen über eigenständige Datenschutzregime. Nachdem die Evangelische Kirche ihr Datenschutzrecht bereits mit Wirkung zum 1.5.2025 umfassend überarbeitet und stärker an die DSGVO angenähert hat, ist nun zum 1.3.2026 die Novelle des KDG in Kraft getreten.
Zwar wurde das KDG nicht grundlegend neu gefasst, zahlreiche Regelungen wurden jedoch überarbeitet, präzisiert und stärker an die Terminologie und Systematik der Datenschutz-Grundverordnung (DSGVO) angelehnt. Die Reform verfolgt das Ziel, bewährte datenschutzrechtliche Standards des staatlichen Rechts mit den besonderen Anforderungen des kirchlichen Bereichs in Einklang zu bringen. Das Ergebnis ist ein modernisiertes Regelwerk, das an vielen Stellen klarer, anwenderfreundlicher und praxisnäher ausgestaltet ist als seine Vorgängerversion. Der folgende Beitrag gibt einen Überblick über die wesentlichen Änderungen und zeigt auf, welche Neuerungen für die Praxis von besonderer Bedeutung sind.
Wesentliche Änderungen
Aufbau und Struktur des KDG haben sich gegenüber der Ursprungsfassung von 2018 nicht geändert. Gleichgeblieben sind auch die Grundsätze für die Verarbeitung personenbezogener Daten.
Neu ist die nun ausdrücklich auch für ehrenamtlich tätige Personen in § 5 Abs. 2 KDG vorgeschriebene Verpflichtung auf das Datengeheimnis. Die Verpflichtungserklärung ist einzuholen, wenn ehrenamtlich Tätige personenbezogene Daten verarbeiten.
Weggefallen ist dagegen das bislang in § 8 Abs. 2 KDG enthaltene Schriftformerfordernis für Einwilligungen. Ein Nachweis über die erteilte Einwilligung ist aber weiterhin vom Verantwortlichen zu dokumentieren. Dies stellt einen wichtigen Schritt zur Vereinfachung und Digitalisierung von Prozessen dar.
Ersatzlos gestrichen wurde die Erlaubnis zur Offenlegung personenbezogener Daten, die bislang in §§ 9 und 10 KDG (a.F.) geregelt war. Mit der Streichung wird das kirchliche Datenschutzrecht auch insoweit an die staatlichen Regelungen angepasst.
Für die Praxis relevant ist die nunmehr erst ab einem Schwellenwert von in der Regel mindestens zwanzig ständig mit der Verarbeitung personenbezogener Daten Beschäftigter, § 36 Abs. 2 lit. a) KDG notwendige Bestellung eines betrieblichen Datenschutzbeauftragten. Nach § 36 Abs. 5 KDG können nach der KDG-Reform ausdrücklich auch jur. Personen als betriebliche Datenschutzbeauftragte bestellt werden.
Angepasst wurden des Weiteren die Regelungen zur Datenschutzaufsicht. Die Unabhängigkeit der kirchlichen Behörde wird bereits in der Kapitelüberschrift betont und mit den Vorschriften der §§ 42 ff. KDG inhaltlich ausgebaut.
Der Bußgeldrahmen für Datenschutzverletzungen in § 51 Abs. 4 KDG wurde auf eine Million EUR bzw. für den Bereich kirchlicher Unternehmen auf bis zu vier Prozent des Jahresumsatzes, maximal jedoch auf drei Millionen EUR erhöht. Im Vergleich zu den nach staatlichem Recht möglichen und in der Praxis auch verhängten Bußgeldern fällt die Anhebung moderat aus.
Die Aufzeichnung, Übertragung oder Veröffentlichung von Gottesdiensten und kirchlichen Veranstaltungen regelt der neu hinzugefügte § 52a KDG, der in Abs. 3 dazu verpflichtet, auch eine angemessene Zahl von der Aufzeichnung nicht erfasster Plätze vorzuhalten. Mit § 54a KDG wird schließlich ein überragendes kirchliches Interesse an der institutionellen Aufarbeitung sexualisierter Gewalt und anderer Formen des Missbrauchs betont. Der Norm kommt im wesentlichen klarstellende Funktion zu.
Neufassung der Durchführungsverordnung zum KDG
Parallel zur Reform des KDG wurde auch die Durchführungsverordnung zum KDG (KDG-DVO) modernisiert. Die Änderungen der KDG-DVO betreffen vor allem die technischen und organisatorischen Anforderungen an kirchliche Einrichtungen. Zudem wird der IT-Begriff mit der Novelle neutraler gefasst und erfasst nun ausdrücklich auch Cloud-Dienste und Kollaborationstools. Die Mehr-Faktor-Authentifizierung (MFA) bei Systemzugriffen außerhalb gesicherter Netze oder in sicherheitskritischen Bereichen wird praktisch Pflicht. Die Verarbeitung personenbezogener Daten auf privaten IT-Systemen ist grundsätzlich unzulässig. Dies gilt nun auch ausdrücklich für die Weiterleitung dienstlicher personenbezogener Daten auf private E-Mail-Konten. Die Übermittlung personenbezogener Daten per Fax erklärt die Neufassung der KDG-DVO für unzulässig. Schließlich sind Mitarbeitende regelmäßig datenschutzrechtlich zu schulen.
Praxistipp
Auch wenn die KDG-Novelle keine grundlegende Neuaufstellung des Datenschutzmanagements erfordert, sollten kirchliche Einrichtungen und ihre Berater die Reform zum Anlass nehmen, die bestehende Datenschutzorganisation kritisch zu überprüfen.
Besonderes Augenmerk verdient die Sensibilisierung und Schulung derjenigen Mitarbeitenden, die regelmäßig personenbezogene Daten verarbeiten. Gleiches gilt für ehrenamtlich tätige Personen, die nun ausdrücklich auf das Datengeheimnis zu verpflichten sind, soweit sie mit personenbezogenen Daten umgehen.
Daneben empfiehlt sich vor allem eine Überprüfung der technischen und organisatorischen Maßnahmen (TOM) im Hinblick auf die Vorgaben des reformierten KDG, der KDG-DVO sowie den aktuellen Stand der Technik. Dies betrifft insbesondere die Vergabe und Kontrolle von Zugriffsberechtigungen, vor allem bei externen Zugriffen oder Zugriffen außerhalb gesicherter Netzwerke. Schließlich sollten Verarbeitungsvorgänge, die auf Einwilligungen beruhen, daraufhin überprüft werden, ob die erforderlichen Einwilligungsnachweise vollständig vorliegen und die bestehenden Einwilligungsprozesse den neuen gesetzlichen Anforderungen entsprechen.
Fazit
Mit der Novelle des KDG ist dem kirchlichen Gesetzgeber eine insgesamt gelungene Modernisierung des kirchlichen Datenschutzrechts gelungen. Das reformierte Gesetz orientiert sich stärker an der Systematik und Terminologie der DSGVO, ohne dabei die Besonderheiten kirchlicher Strukturen und Tätigkeiten aus dem Blick zu verlieren. Zahlreiche Regelungen wurden präzisiert, bestehende Auslegungsfragen entschärft und die praktische Anwendbarkeit verbessert.
Positiv hervorzuheben ist insbesondere die größere Rechtsklarheit in zentralen Bereichen sowie die stärkere Ausrichtung an etablierten datenschutzrechtlichen Standards. Dies erleichtert nicht nur die Umsetzung in den kirchlichen Einrichtungen, sondern auch die Beratungspraxis, da bekannte Grundsätze des europäischen und staatlichen Datenschutzrechts häufiger übernommen oder nachvollzogen werden.
Insgesamt stellt das reformierte KDG jedoch einen überzeugenden Schritt hin zu mehr Rechtsklarheit, Praxistauglichkeit und Anschlussfähigkeit an das allgemeine Datenschutzrecht dar.











