KDG-Novelle: Neue Anforderungen im kirchlichen Datenschutz

Mit der Novelle des Gesetzes über den Kirchlichen Datenschutz (KDG) und der überarbeiteten KDG-Durchführungsverordnung (KDG-DVO) wurde das kirchliche Datenschutzrecht umfassend modernisiert. Ziel der Reform ist eine stärkere Annäherung an die DSGVO, ohne die Besonderheiten kirchlicher Organisationen aus dem Blick zu verlieren.

Für kirchliche Einrichtungen bedeutet dies: Die bekannten Datenschutzgrundsätze bleiben bestehen, werden jedoch präzisiert, erweitert und stärker durchgesetzt. Gleichzeitig steigen die praktischen Anforderungen – etwa bei technischen Schutzmaßnahmen, Schulungen oder der Organisation von Datenschutzprozessen.

Aus Sicht einer Datenschutzkanzlei zeigt sich deutlich: Die Reform ist nicht nur eine rechtliche Anpassung, sondern auch ein Compliance-Thema für Leitungsebenen. Wer die Änderungen strukturiert umsetzt, kann Datenschutz nicht nur als Pflicht, sondern als Teil einer professionellen Organisationssteuerung nutzen.

Zielrichtung der KDG-Novelle

Die Novelle des Gesetzes über den Kirchlichen Datenschutz (KDG) verfolgt eine doppelte Zielsetzung: Einerseits soll das kirchliche Datenschutzrecht stärker an das staatliche Datenschutzrecht angenähert werden, andererseits sollen kirchliche Besonderheiten weiterhin eigenständig berücksichtigt werden. Damit reagiert der kirchliche Gesetzgeber auf die zunehmende Verzahnung kirchlicher Einrichtungen mit staatlichen Stellen, externen Dienstleistern und digitalen Infrastrukturen.

Änderungen des KDG

Inhaltlich orientieren sich zahlreiche Regelungen stärker an der Systematik der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes. Diese Annäherung erleichtert insbesondere die Zusammenarbeit mit IT-Dienstleistern und Auftragsverarbeitern. Gleichzeitig bleibt das KDG Ausdruck des kirchlichen Selbstbestimmungsrechts gemäß Art. 140 GG i. V. m. Art. 137 Abs. 3 WRV und behält daher eigene Regelungsbereiche bei.

Kirchenspezifische Besonderheiten zeigen sich etwa bei der Aufarbeitung sexualisierter Gewalt, bei kirchlichen Wahlverfahren, der Übertragung von Gottesdiensten sowie bei der datenschutzrechtlichen Einordnung ehrenamtlicher Tätigkeiten. Die Reform verfolgt damit einen Mittelweg: mehr strukturelle Nähe zur DSGVO bei gleichzeitiger Berücksichtigung kirchlicher Organisationsformen.

Auch in der evangelischen Kirche gilt seit Mai 2025 ein neues evangelisches Datenschutzgesetz.

Präzisierte Begriffsbestimmungen und Ehrenamt

Die Novelle bringt keine grundlegende Neustrukturierung des KDG, sondern gezielte Anpassungen an praxisrelevanten Stellen. Eine wichtige Änderung betrifft die Begriffsbestimmungen im Beschäftigtendatenschutz. Der Beschäftigtenbegriff wurde erweitert und umfasst nun ausdrücklich auch Leiharbeitende. Damit werden moderne arbeitsorganisatorische Strukturen besser abgebildet.

Neu ist zudem eine ausdrückliche Verpflichtung von Ehrenamtlichen auf das Datengeheimnis. Personen, die im Rahmen kirchlicher Tätigkeiten personenbezogene Daten verarbeiten, müssen künftig zur Vertraulichkeit verpflichtet werden. Gerade in Pfarreien, kirchlichen Verbänden und sozialen Einrichtungen mit umfangreicher ehrenamtlicher Mitarbeit schafft diese Regelung mehr Rechtssicherheit. Gleichzeitig entsteht organisatorischer Handlungsbedarf, etwa durch Verpflichtungserklärungen und Schulungsmaßnahmen.

Mehr Rechtssicherheit bei Zweckänderungen

Die Novelle präzisiert auch die Voraussetzungen für eine Weiterverarbeitung personenbezogener Daten zu anderen Zwecken. Eine Zweckänderung kann künftig insbesondere zulässig sein, wenn sie der Geltendmachung rechtlicher Ansprüche, der institutionellen Aufarbeitung sexualisierter Gewalt oder der Durchführung kirchlicher Wahlen dient.

Diese Klarstellungen schaffen für kirchliche Einrichtungen mehr Rechtssicherheit in sensiblen Bereichen, in denen bislang häufig unklare datenschutzrechtliche Grundlagen bestanden.

Modernisierung der Einwilligung

Eine weitere wichtige Anpassung betrifft die Einwilligung als Rechtsgrundlage der Datenverarbeitung. Die bislang im KDG vorgesehene Schriftform entfällt. Maßgeblich ist künftig – in Anlehnung an Art. 7 DSGVO – die Nachweisbarkeit der Einwilligung.

Damit werden digitale Einwilligungsprozesse, etwa über Online-Formulare oder elektronische Registrierungen, deutlich erleichtert. Voraussetzung bleibt jedoch, dass Transparenz, Informiertheit und Freiwilligkeit der Einwilligung gewährleistet sind.

Stärkere Datenschutzaufsicht

Parallel zur materiellen Anpassung des Datenschutzrechts wird auch die Stellung der kirchlichen Datenschutzaufsicht gestärkt. Die Aufsichtsbehörden werden klarer als unabhängige kirchliche Behörden ausgestaltet und erhalten erweiterte Durchsetzungsinstrumente. Auch Bußgelder können künftig eine größere Rolle spielen.

Für kirchliche Einrichtungen steigt damit der Druck, Datenschutzprozesse organisatorisch sauber umzusetzen und dokumentierte Compliance-Strukturen zu etablieren.

Bereit, die Verantwortung an einen externen Datenschutzbeauftragten zu übergeben?

Kontaktieren Sie uns noch heute, um zu erfahren, wie wir Ihr Unternehmen in Fragen des Datenschutzes und der Datenschutz-Compliance unterstützen können. 

Jetzt unverbindliches Angebot anfordern

Neue Anforderungen durch die KDG-DVO

Während das KDG die rechtlichen Grundlagen der Datenverarbeitung regelt, konkretisiert die überarbeitete KDG-Durchführungsverordnung (KDG-DVO) die Anforderungen an technische und organisatorische Maßnahmen. Dabei orientiert sich die Verordnung stärker an anerkannten IT-Sicherheitsstandards wie dem BSI IT-Grundschutz oder der ISO 27001.

Diese stärkere Ausrichtung führt dazu, dass sich die Erwartungen an das technische Datenschutzniveau in kirchlichen Einrichtungen deutlich erhöhen.

Schulungspflichten im Datenschutz

Eine zentrale Neuerung ist die verpflichtende Datenschutzschulung für Mitarbeitende und Ehrenamtliche. Eine einmalige Belehrung genügt künftig nicht mehr. Verantwortliche müssen regelmäßige und risikoorientierte Schulungen sicherstellen und diese auch dokumentieren.

Gerade in Organisationen mit vielen ehrenamtlich Tätigen gewinnt damit ein strukturiertes Schulungskonzept an Bedeutung.

IT-Systeme, Cloud und technische Schutzmaßnahmen

Die KDG-DVO erfasst IT-Systeme nun deutlich breiter. Neben klassischen IT-Anwendungen fallen ausdrücklich auch Cloud-Dienste, Kollaborationstools und moderne Kommunikationsplattformen unter die datenschutzrechtlichen Anforderungen. Fragen der Auftragsverarbeitung und der Zugriffssicherheit rücken damit stärker in den Fokus.

Auch die technischen Schutzmaßnahmen werden konkretisiert. In sensiblen Bereichen wird der Einsatz von Mehr-Faktor-Authentifizierung faktisch zum Standard. Gleichzeitig werden Passwortregelungen modernisiert und der Grundsatz der Datenminimierung stärker bei der Auswahl von IT-Systemen berücksichtigt.

Einschränkungen bei privaten Accounts und Faxkommunikation

Schließlich verschärft die KDG-DVO auch die Regeln für den Umgang mit Kommunikationsmitteln. Die Weiterleitung personenbezogener Daten an private E-Mail-Konten oder private Geräte wird deutlich eingeschränkt und erfordert klare organisatorische Regelungen.

Besonders deutlich ist die neue Regel zur Faxkommunikation:
Die Übermittlung personenbezogener Daten per Fax ist grundsätzlich unzulässig. Nur in eng begrenzten Ausnahmefällen können Übergangsregelungen greifen. Kirchliche Einrichtungen sollten daher bestehende Faxprozesse überprüfen und durch sichere digitale Alternativen ersetzen.

Mehr Durchsetzung bedeutet mehr Verantwortung

Mit der Reform steigt nicht nur der regulatorische Anspruch, sondern auch das Risiko bei Datenschutzverstößen.

Die kirchlichen Datenschutzaufsichten verfügen künftig über:

  • klarere Befugnisse
  • höhere Bußgeldrahmen
  • stärkere institutionelle Unabhängigkeit

Für Einrichtungen bedeutet das: Datenschutz sollte nicht nur als Einzelaufgabe des Datenschutzbeauftragten betrachtet werden. Vielmehr wird er zunehmend zu einer Management- und Governance-Aufgabe.

Unser Beratungsansatz

Die Umsetzung der KDG-Novelle erfordert häufig eine Kombination aus rechtlicher Beratung, organisatorischer Anpassung und technischer Bewertung.

In der Beratungspraxis haben sich mehrere strukturierte Ansätze bewährt.

1. KDG-Compliance-Check

Ein erster Schritt ist häufig eine Bestandsaufnahme der bestehenden Datenschutzorganisation, etwa durch:

  • Analyse der Rechtsgrundlagen und Verarbeitungstätigkeiten
  • Überprüfung bestehender Einwilligungen
  • Bewertung von Auftragsverarbeitungsverträgen
  • Prüfung der Cloud-Nutzung

Ziel ist es, konkrete Umsetzungsprioritäten zu identifizieren.

2. Anpassung von Datenschutzprozessen

Im nächsten Schritt sollten zentrale Datenschutzprozesse aktualisiert werden, insbesondere:

  • Informationspflichten
  • Widerspruchsprozesse
  • Dokumentation von Zweckänderungen
  • Verfahren zur Einwilligungserteilung

Gerade bei digitalen Angeboten oder Online-Kommunikation entstehen hier häufig Anpassungsbedarfe.

3. IT- und Sicherheitskonzepte

Ein weiterer Schwerpunkt liegt in der Anpassung technischer und organisatorischer Maßnahmen, beispielsweise:

  • Einführung von Mehr-Faktor-Authentifizierung
  • Überarbeitung von Passwort- und Remote-Arbeitsregeln
  • sichere Alternativen für Faxkommunikation
  • Governance-Regeln für Cloud-Dienste

Hier empfiehlt sich häufig eine enge Zusammenarbeit zwischen Datenschutz, IT und Organisationsleitung.

4. Schulungs- und Sensibilisierungskonzepte

Die neue Schulungspflicht macht strukturierte Programme erforderlich.

In der Praxis haben sich bewährt:

  • risikobasierte Schulungen für verschiedene Rollen
  • spezielle Formate für Ehrenamtliche
  • regelmäßige Auffrischungen
  • dokumentierte Schulungsnachweise

Handlungsempfehlungen für kirchliche Einrichtungen

Kirchliche Träger sollten die KDG-Novelle zum Anlass nehmen, ihre Datenschutzorganisation systematisch zu überprüfen. Zunächst ist zu klären, für welche Einrichtungen und Rechtsträger das KDG tatsächlich Anwendung findet – insbesondere bei komplexen Trägerstrukturen. Darüber hinaus empfiehlt sich eine Überprüfung der zentralen Datenschutzdokumentation, etwa der Rechtsgrundlagen der Datenverarbeitung, der Einwilligungsprozesse, der Informationspflichten sowie bestehender Auftragsverarbeitungsverträge. Parallel sollten technische und organisatorische Maßnahmen modernisiert werden, beispielsweise durch die Einführung von Mehr-Faktor-Authentifizierung, sichere Kommunikationslösungen und eine datenschutzkonforme Cloud-Nutzung. Ergänzend gewinnt ein strukturiertes Schulungs- und Sensibilisierungskonzept für Mitarbeitende und Ehrenamtliche an Bedeutung. Einrichtungen, die diese Schritte frühzeitig umsetzen, reduzieren nicht nur Aufsichts- und Haftungsrisiken, sondern stärken zugleich ihre organisatorische Handlungsfähigkeit.

Fazit

Die KDG-Novelle bringt das kirchliche Datenschutzrecht näher an die DSGVO, ohne seine Eigenständigkeit aufzugeben. Für kirchliche Einrichtungen bedeutet dies mehr Klarheit, aber auch mehr Verantwortung. Eine strukturierte Umsetzung der neuen Anforderungen bietet jedoch auch Chancen: Datenschutz kann so zu einem Bestandteil professioneller Organisationssteuerung werden.

Bereit, die Verantwortung an einen externen Datenschutzbeauftragten zu übergeben?

Kontaktieren Sie uns noch heute, um zu erfahren, wie wir Ihr Unternehmen in Fragen des Datenschutzes und der Datenschutz-Compliance unterstützen können. 

Jetzt unverbindliches Angebot anfordern

Das könnte Sie auch interessieren..

Meist gelesen

KDG-Novelle: Neue Anforderungen im kirchlichen Datenschutz
Analysiert KI bald Gerichtsurteile?
Analysiert KI bald Gerichtsurteile?
Europas große Antwort auf digitale Risiken: der Cyber Resilience Act
Europas große Antwort auf digitale Risiken: der Cyber Resilience Act 
Der erste Entwurf des EU-Verhaltenskodex zur Kennzeichnung von Deepfakes und KI-Texten
Der erste Entwurf des EU-Verhaltenskodex zur Kennzeichnung von Deepfakes und KI-Texten