KDG-Novelle

Novelle des KDG: Was sich im kirchlichen Datenschutz jetzt wirklich ändert

Die Novelle des Gesetzes über den Kirchlichen Datenschutz (KDG) und die überarbeitete KDG-Durchführungsverordnung (KDG-DVO) stellen den kirchlichen Datenschutz auf eine neue Grundlage. Das kirchliche Datenschutzrecht rückt näher an die DSGVO heran, bleibt aber eigenständig. Dieser Überblick zeigt, welche Änderungen im KDG und in der KDG-DVO wirklich zählen und wo jetzt konkreter Handlungsbedarf besteht. Am Ende des Artikels finden Sie auch eine Executive Summary.

Die Novelle des KDG im Überblick

Die Novelle des KDG verfolgt zwei zentrale Ziele: Zum einen soll das kirchliche Datenschutzrecht stärker an das staatliche Datenschutzrecht (DSGVO, BDSG) angeglichen werden. Zum anderen sollen kirchliche Besonderheiten klarer abgebildet werden, etwa bei der Aufarbeitung sexualisierter Gewalt oder bei der Übertragung von Gottesdiensten. Für die Praxis bedeutet das: weniger Brüche, mehr Klarheit – aber auch neue Pflichten im Datenschutz.

Argumentativ betrachtet ist das ein notwendiger Schritt: Ohne Nähe zur DSGVO drohen Insellösungen, die in der Zusammenarbeit mit externen Dienstleistern und staatlichen Stellen unnötig Komplexität erzeugen. Gleichzeitig wäre ein reiner Gleichlauf mit staatlichem Recht blind für kirchliche Strukturen, Seelsorge und ehrenamtlich geprägte Arbeit.

Die Novelle des KDG versucht deshalb einen Mittelweg: Sie übernimmt zahlreiche bewährte Mechanismen der DSGVO (etwa zur Zweckänderung, zu Betroffenenrechten und zu Auftragsverarbeitung), schärft aber dort nach, wo kirchliche Praxis eigene Antworten braucht. Für Verantwortliche ist entscheidend: Die bekannten Grundprinzipien des Datenschutzes gelten weiter – doch sie werden konkretisiert, nachgeschärft und mit einer deutlich stärkeren Durchsetzung durch die kirchlichen Aufsichten unterlegt.

Zentrale Änderungen im neuen KDG

Inhaltlich bleibt das KDG erkennbar das bisherige kirchliche Datenschutzgesetz – aber mit deutlichen Korrekturen an neuralgischen Punkten. Bei den Begriffsbestimmungen werden Beschäftigtenkreise präziser gefasst, Leiharbeitende ausdrücklich einbezogen. Besonders praxisrelevant ist das neue Datengeheimnis für Ehrenamtliche: Wer als Ehrenamtliche oder Ehrenamtlicher personenbezogene Daten verarbeitet, wird ausdrücklich zur Vertraulichkeit verpflichtet. Gerade in Pfarreien, Verbänden und Einrichtungen schafft dies Klarheit, auch wenn die Verpflichtung auch vorher schon dringend zu empfehlen war.

Bei den Rechtsgrundlagen geht es weniger um Neuschöpfungen als um Klarstellungen. Wichtig ist die erweiterte Möglichkeit der Zweckänderung: Daten dürfen künftig u. a. zur Geltendmachung rechtlicher Ansprüche, zur institutionellen Aufarbeitung sexualisierter Gewalt und zur Durchführung kirchlicher Wahlen genutzt werden. Damit entsteht mehr Rechtssicherheit in hochsensiblen Feldern, in denen bislang oft mit unsicheren Konstruktionen gearbeitet wurde.

Ein echter Praxisgewinn ist die Korrektur bei der Einwilligung: Die frühere Fixierung auf die Schriftform entfällt. Entscheidend ist nun die Nachweisbarkeit der Einwilligung – ein deutlicher Schritt hin zu digitaleren Prozessen, ohne die hohen Anforderungen an Transparenz und Freiwilligkeit aufzugeben. Gleichzeitig wird die Datenschutzaufsicht gestärkt, Bußgelder steigen, und die Aufsicht wird klar als unabhängige kirchliche Behörde definiert. Damit wächst der Durchsetzungsdruck – und der Handlungsdruck auf Verantwortliche.

Die neue KDG-DVO: Datenschutz in der Praxis neu justiert

Die überarbeitete KDG-DVO ist der Hebel, mit dem die KDG-Novelle in der täglichen Datenschutzpraxis ankommt. Sie definiert den „Stand der Technik“ neu, reagiert auf Remote-Arbeit, Cloud-Nutzung und digitale Kommunikation – und legt die Latte im technischen Datenschutz spürbar höher.

Kernpunkte:

• Eine ausdrückliche Schulungspflicht verpflichtet Verantwortliche, Datenschutzkompetenz bei Mitarbeitenden und Ehrenamtlichen regelmäßig zu stärken – Belehrung genügt nicht mehr.
• IT-Systeme werden breit definiert, sodass auch moderne Cloud- und Kollaborationsplattformen eindeutig erfasst sind.
• Technische und organisatorische Maßnahmen rücken näher an Best Practices wie BSI IT-Grundschutz und ISO 27001 heran:
  • Mehr-Faktor-Authentifizierung in sensiblen Bereichen wird zum De-facto-Standard,
  • Passwortregeln werden risikobasiert modernisiert, und
  • Datenminimierung wird als Kriterium bei der Systemauswahl verankert.
• Die Weiterleitung personenbezogener Daten an private Accounts wird stark eingeschränkt. Das mag unbequem sein, ist aus Sicht eines zeitgemäßen Datenschutzniveaus aber kaum zu bestreiten.
• Ein Paukenschlag kommt auch: „Die Übermittlung personenbezogener Daten per Fax ist grundsätzlich unzulässig.“ Es sind nur „Ausnahmen, insbesondere Übergangsbestimmungen“ möglich.

Beachte: Im Kapitel 5 über „besondere Gefahrenlagen“ werden Cloud-Systeme in einem neuen § 18 KDG-DVO geregelt. Das ist strukturell sehr ungeschickt: § 18 eröffnet das Kapitel, damit verschieben sich alle bisherigen Paragraphen ab da um eins. Dies kann in Datenschutzkonzepten zu Fehlern beim Referenzieren zu Paragrafen zu Fehlern führen.

Mehr Durchsetzung, mehr Verantwortung: Chancen und Risiken der KDG-Novelle

Mit der KDG-Novelle und der neuen KDG-DVO steigt nicht nur die formale Compliance-Anforderung, sondern auch das faktische Risiko bei Verstößen. Die kirchliche Datenschutzaufsicht erhält einen klarer umrissenen Instrumentenkasten, höhere Bußgeldrahmen und eine deutlicher betonte Unabhängigkeit.

Wer die KDG-Novelle zum Anlass nimmt, Prozesse zu straffen, Auftragsverarbeitung und Cloud-Nutzung sauber zu ordnen und Rollen (Leitung, betriebliche Datenschutzbeauftragte, IT, Personal) klar zu verteilen, erhöht nicht nur die Rechtssicherheit, sondern auch die eigene Handlungsfähigkeit. Datenschutz wird damit weniger „Bremse“ und mehr Teil einer professionellen Steuerung – vorausgesetzt, die Einrichtungen gehen das Thema strukturiert an und verstehen KDG-Compliance als Führungsaufgabe.

Was Einrichtungen jetzt konkret tun sollten

Damit die Novelle des KDG und die neue KDG-DVO nicht nur auf dem Papier ankommen, braucht es eine pragmatische Umsetzungslinie. Verantwortliche sollten zunächst klären, für welche Einrichtungen und Werke das KDG tatsächlich gilt und welche internen oder verbundenen Rechtsträger ggf. anderen Regimen unterliegen. Ohne saubere Abgrenzung bleiben Risiken und Pflichten unscharf – ein Problem insbesondere in komplexen Trägerstrukturen.

Im nächsten Schritt empfiehlt sich ein gezielter Review der zentralen Bausteine im „formalen Datenschutz“:

• Rechtsgrundlagen (einschließlich Zweckänderungen),
• Einwilligungstexte,
• Informationspflichten,
• Widerspruchsprozesse und
• Regelungen zur Auftragsverarbeitung – gerade mit Dienstleistern außerhalb des EWR oder mit Cloud-Bezug.

Parallel dazu sollten technische und organisatorische Maßnahmen an die neuen Anforderungen angepasst werden:

• Einführung oder Ausweitung von Mehr-Faktor-Authentifizierung,
• Überarbeitung von Passwort- und Remote-Arbeits-Regeln,
• Ersatz von Faxprozessen durch sichere Alternativen.

Schließlich ist die neue Schulungspflicht ernst zu nehmen: Datenschutz darf nicht nur beim betrieblichen Datenschutzbeauftragten „liegen bleiben“. Regelmäßige, risikoorientierte Schulungen für Mitarbeitende und Ehrenamtliche und klare Richtlinien zur Nutzung privater Systeme. Hierfür sollte ein Schulungskonzept entwickelt werden.

Wer diese Punkte jetzt geordnet angeht, reduziert Aufsichts- und Haftungsrisiken – und stellt gleichzeitig sicher, dass Datenschutz, KDG-Compliance und kirchlicher Auftrag nachhaltig zusammenpassen.

Zum Nachlesen:

https://www.dbk.de/fileadmin/redaktion/diverse_downloads/VDD/2025_KDG_neu_Lesefassung.pdf

https://www.dbk.de/fileadmin/redaktion/diverse_downloads/VDD/2025_KDG-DVO_neu_Lesefassung.pdf