Am ersten März treten das neue Gesetz über den kirchlichen Datenschutz und die neue KDG-Durchführungsverordnung in Kraft. Die gute Nachricht: So vieles ändert sich nicht – und das meiste, was sich ändert, erleichtert das Leben eher.

Dennoch gibt es einige Punkte, die man im eigenen Datenschutzmanagement beachten sollte, damit der Umstieg auf die neue Rechtslage gelingt. Wichtig vor allem: Von den wenigen Änderungen im KDG sollte man sich nicht täuschen lassen – die Arbeit steckt in der Durchführungsverordnung.

Rechtsquellen und Analysen

Einen detaillierten Überblick über das neue KDG habe ich bereits im vergangenen Jahr veröffentlicht. Bei der KDG-DVO kann ich neben meinem Überblick den von Actago empfehlen.

Der aktuelle Text des neuen KDG und der Durchführungsverordnung zum KDG ist als Mustertext (nicht amtliche Fassung) hier abrufbar:

• Gesetz über den Kirchlichen Datenschutz (KDG) in der Fassung des Beschlusses der Vollversammlung des Verbandes der Diözesen Deutschlands vom 20. November 2017, geändert durch Beschluss der Vollversammlung des Verbandes der Diözesen Deutschlands vom 24. November 2025 (korrigierte Fassung)
• Durchführungsverordnung zum Gesetz über den Kirchlichen Datenschutz (KDG-DVO) in der Fassung des Beschlusses der Vollversammlung des Verbandes der Diözesen Deutschlands vom 19. November 2018, geändert durch Beschluss der Vollversammlung des Verbandes der Diözesen Deutschlands vom 24. November 2025

Neue Regeln für Ehrenamtliche

An einigen Stellen wurde der Umgang mit Ehrenamtlichen neu geregelt, die personenbezogene Daten verarbeiten. Im Idealfall ändert sich im Datenschutzmanagent dadurch nichts, weil es bisher schon sinnvoll war, so vorzugehen, wie es jetzt in den Normen steht.

Folgendes ist zu beachten:

• Ehrenamtliche sind nun wie Beschäftigte auf das Datengeheimnis zu verpflichten (§ 5 Abs. 2 KDG) – das stellt aber nur im Gesetz klar, was auch in der alten Durchführungsverordnung so geregelt war.
• Weiterhin keine gute Lösung gibt es dafür, dass viele Ehrenamtlichen keine dienstlichen Geräte gestellt bekommen und daher private Systeme verwenden – die Verwendung der Formulierung »Mitarbeitende« in § 21 KDG-DVO macht aber klar, dass für diese Verarbeitungssituation alles erfüllt werden muss, was bisher schon bei der Nutzung privater IT durch Beschäftigte gilt.
• § 21 Abs. 4 KDG-DVO verbietet nun grundsätzlich jede Weiterleitung personenbezogener Daten an private Mail-Konten, nicht nur die automatisierte. Es können zwar Ausnahmen festgelegt werden – die einzige wirklich tragfähige Lösung ist aber, Ehrenamtlichen dienstliche E-Mail-Konten zur Verfügung zu stellen.

Sensibilisierung und Schulung

• Bei langjährigen Beschäftigten kann eine erneute Verpflichtung aufs Datengeheimnis erforderlich sein: Die Übergangsregelung in § 3 Abs. 3 KDG-DVO, dass Verpflichtungen nach der alten KDO weiter gelten, findet sich in der neuen KDG-DVO nicht mehr.
• Der neue § 2 Abs. 7 KDG-DVO legt fest, dass Mitarbeitende regelmäßig zu schulen sind, zusätzlich zur bereits vorher bestehenden Informations- und Belehrungspflicht über Datenschutzregelungen. Schulungen sind weiter zu verstehen als die auf die Gesetzeslage und das jeweilige Einsatzfeld beschränkte Information und Belehrung. Was »regelmäßig« bedeutet, ist nicht definiert – zweckmäßig dürte ein risikoorientiertes Vorgehen sein: Der Pfarrsekretär häufiger als die Gärtnerin.

Anpassungsbedarf bei Rechtsgrundlagen

• Einwilligungen werden einfacher: Schriftform ist nicht mehr der Normalfall. Hier können gegebenenfalls Einwilligungsprozesse erleichtert werden. (§ 8 Abs. 1 KDG) – unter der Maßgabe, dass Einwilligungen weiterhin nachweisbar sein müssen.
• §§ 9 und 10 zur Offenlegung fallen weg. Falls Prozesse bestehen, die sich auf diese Normen stützten, müssen sie jetzt mit dem Instrumentarium der allgemeinen Rechtsgrundlagen und der Zweckänderung abgebildet werden, gegebenenfalls auch mit Spezialgesetzen wie im Bereich der Datenverwendung zur Aufarbeitung.
• § 52a KDG stellt nun eine ausdrückliche Rechtsgrundlage für Streaming von kirchlichen Veranstaltungen zur Verfügung – ein Segen vor allem für Pfarreien, die Gottesdienste streamen, da sie sich bisher nicht auf das berechtigte Interesse als Rechtsgrundlage berufen konnten. In jedem Fall ist beim Streaming zu überprüfen, ob die in der Norm vorgesehenen Schutzmaßnahmen erfüllt werde (hinreichende Information, Berücksichtigung schutzwürdiger Interessen und Ausweisung übertragungsfreier Bereiche).

Betriebliche Datenschutzbeauftragte

• Wie im BDSG müssen betriebliche Datenschutzbeauftragte jetzt erst ab 20, nicht schon ab 10 mit der Datenverarbeitung betrauten Personen bestellt werden (§ 36 Abs. 2 lit. a) KDG).
• Gemäß den Übergangsbestimmungen (§ 57 KDG) bleiben bestehende Bestellungen von betrieblichen Datenschutzbeauftragten bestehen, »soweit hierbei die Regelungen der §§ 36 ff. Beachtung finden« – zu diesen Regelungen gehört der Schwellwert; eine Bestellung in Einrichtungen mit weniger als 20 relevanten Personen dürfte also wegfallen. Der nachlaufende Kündigungsschutz gemäß § 37 Abs. 4 KDG bleibt aber erhalten, wenn man unter der »Abberufung« auch eine Amtserledigung durch die neue Rechtslage versteht. Das ist plausibel, weil es keine Abberufung im eigentlichen Sinne gibt, sondern lediglich das Ende der Amtszeit oder die Kündigung aus wichtigem Grund.
• § 36 Abs. 5 KDG stellt klar, dass auch juristische Person zu betrieblichen Datenschutzbeauftragten benannt werden können. Das ist interessant für alle, die bisher natürliche Personen bei externen Dienstleistern bestellt hatten; nun ist es möglich, die Dienstleistungsgesellschaft direkt zu bestellen.

Technische und organisatorische Maßnahmen

In der KDG-DVO gibt es einige Änderungen, die im wesentlichen aber Vorgaben technikoffener formulieren und Standards aus dem weltlichen Datenschutzmanagement und der IT-Sicherheit übernehmen und kompatibler machen. Die Nutzung von cloudbasierten Systemen und die zunehmende Bedeutung mobiler Arbeit spiegelt sich nun auch wieder.

• § 4 Abs. 1 KDG-DVO fasst den Begriff der IT-Systeme weiter: »sämtliche technischen
  Einrichtungen, mittels derer personenbezogene Daten automatisiert verarbeitet werden«, erfasst eindeutig auch cloudbasierte Systeme und Dienste, anders als das engere »alle elektronischen Geräte und Softwarelösungen«, das bisher verwendet wurde.
• § 6 zu den ToMs verweist nun unter anderem bei Verschlüsselung auf den Stand der Technik; vorher sollten aber schon »geeignete« Maßnahmen ergriffen werden, was wohl auch schon eine Berücksichtigung des Stands der Technik beinhaltete.
• Neu in § 6 Abs. 2 lit. b) KDG-DVO ist die ausdrückliche Vorgabe, zum Schutz personenbezogener Daten und zur Vermeidung von Identitätsdiebstahl geeignete ToMs nach dem jeweiligen Stand der Technik zu ergreifen. Zuvor war dort nur Zugangskontrolle geregelt
• Etwas misslich war im alten § 7 Abs. 2 KDG-DVO der Verweis lediglich auf anerkannte Zertifikate gemäß § 26 Abs. 4 KDG, also eines nach dem EU-Recht zertifizierten Verfahrens – so viele davon gibt es nicht. Das ist weiterhin möglich, die Verfahren müssen sich aber an BSI-Veröffentlichungen orientieren. (Ob das den Kreis der Zertifizierungen erhöht?) Erleichtert wird der Nachweis nun aber, da auch eine Orientierung an anderen Regelungen zulässig ist, »die einen vergleichbaren Schutzstandard gewährleisten (insbesondere ISO/IEC27001)«.
• Zwei-Faktor-Authentifizierung (§ 11 Abs. 2 lit. b)) ist jetzt schon in Schutzklasse 1 bei Zugriffen von außerhalb oder in sicherheitskritischen Bereichen erforderlich – wo mobil gearbeitet wird also wohl immer.
• Für Cloud-Systeme gibt es mit § 18 KDG-DVO sehr klare Vorgaben, die insbesondere die Verfügbarkeit absichern sollen. Ein gutes Datenschutzmanagement berücksichtigt diese Kriterien wohl jetzt schon. Wichtig und neu ist vor allem die klare Vorgabe, eine Exit-Strategie vorzuhalten.
• Nicht mehr nur die automatisierte Weiterleitung von Mails an private Accounts, sondern grundsätzlich jede Weiterleitung ist unzulässig (§ 21 Abs. 4 KDG-DVO), Ausnahmeregelungen sind aber möglich.
• Bei der dienstlichen Nutzung von privaten Systemen muss ein Zugriff von Dritten unterbunden werden (§ 21 Abs. 5 KDG-DVO). Will man das nicht allein mit organisatorischen Ansagen lösen, braucht es wohl Terminal-Lösungen und ähnliches.
• Eine große Erleichterung ist der Wegfall des Verbots der Auftragsverarbeitung in Drittstaaten ohne Angemessenheitsbeschluss in § 29 Abs. 11 KDG. Das dürfte einige schon bestehende Auftragsverarbeitungen legalisieren. Weggefallen ist auch § 29 Abs. 12 KDG zur analogen Anwendung auf Fernwartung; hier ist individuell zu prüfen, ob tatsächlich eine Auftragsverarbeitung vorliegt.
• Das Verbot der Übermittlung von personenbezogenen Daten per Fax in § 25 KDG-DVO ist entweder problemlos umzusetzen oder eine große Herausforderung: Vor allem in der Behördenkommunikation gibt es oft keine andere Wahl, als das Fax zu verwenden. Immerhin können Ausnahmen, »insbesondere Übergangsbestimmungen«, für das Fax-Verbot festgelegt werden. Die wohl häufigste Übergangsbestimmung dürfte mit »Solange die Behörde XY noch auf Fax besteht« beginnen.

Dokumentationspflichten

• Beim Verarbeitungsverzeichnis sind nun gemäß § 1 Abs. 3 KDG-DVO: Überprüfung und Aktualisierung regelmäßig zu dokumentieren, zuvor war nur die Überprüfung zu dokumentieren.
• So nützlich der neue § 18 KDG-DVO zu Cloud-Systemen auch ist: Dummerweise kommen danach noch zehn Paragraphen, so dass sich alle Nummern ab 18 (alt) um eins erhöhen – das muss in der Dokumentation stupide nachgetragen werden.

Fazit

Der Umstieg aufs novellierte katholische Datenschutzrecht sollte in der Regel recht reibungslos gelingen – jedenfalls da, wo schon ein gutes Datenschutzmanagement besteht und wo Lücken in der KDG-DVO etwa zu mobiler Arbeit und Clouddiensten mit gesundem Menschenverstand und mit Blick auf den Stand der Technik geschlossen wurden.

Was anspruchsvoll bleibt, ist die Umsetzung der KDG-DVO in ehrenamtlichen Kontexten. Hier hat die neue Fassung engere Grenzen gezogen, so dass man sich jetzt nicht mehr so leicht in Lücken und Interpretationsspielräumen verstecken kann.