Der kirchliche Datenschutz folgt dabei weiterhin dem verfassungsrechtlich abgesicherten Selbstbestimmungsrecht der Kirchen. Zugleich rückt er näher an die Systematik der Datenschutz-Grundverordnung (DS-GVO) heran. Für die Praxis bedeutet das mehr Klarheit, aber auch höhere Anforderungen an Governance, Dokumentation und technische Umsetzung. Wer heute digitale Prozesse nutzt, personenbezogene Daten in der Cloud verarbeitet oder externe Dienstleister einbindet, muss seine Strukturen neu überprüfen. Dabei wird auch das Verhältnis zwischen kirchlichen Trägern, Ehrenamtlichen und Dienstleistern neu definiert. Ehrenamtliche werden künftig datenschutzrechtlich Beschäftigten gleichgestellt.
Treiber der Reform: digitaler Alltag, neue Risiken
Seit der Einführung des KDG im Jahr 2018 hat sich die digitale Realität kirchlicher Träger massiv verändert. Online-Beratungen, Streaming von Gottesdiensten, digitale Personalverwaltung, cloudbasierte spezialisierte Software für bestimmte Arbeitsprozesse und komplexe Konzern- und Verbundstrukturen gehören inzwischen zum Alltag. Die Novelle trägt diesem Wandel Rechnung. Sie schließt Regelungslücken, harmonisiert zentrale Begriffe mit der DS-GVO und schafft spezifische Vorgaben dort, wo kirchliche Besonderheiten bislang nur unzureichend abgebildet waren – etwa beim Umgang mit sensiblen kirchlichen Dokumentationen oder bei der Aufarbeitung sexualisierter Gewalt. Hierzu stellt das neue KDG ausdrücklich klar, dass die Aufarbeitung sexualisierter Gewalt ein überragendes kirchliches Interesse darstellt und datenschutzrechtlich privilegiert wird.
Gleichzeitig wird der Anspruch an Nachweisbarkeit und Steuerbarkeit deutlich erhöht. Datenschutz soll nicht mehr nur formal vorhanden sein, sondern in der Organisation tatsächlich funktionieren – mit klaren Zuständigkeiten, überprüfbaren Prozessen und belastbaren technischen Maßnahmen. Auch zentrale Verfahren, bei denen mehrere Einrichtungen Aufgaben arbeitsteilig übernehmen, erhalten erstmals eine klare datenschutzrechtliche Grundlage.
Rechtmäßigkeit, Einwilligung und Betroffenenrechte werden schärfer
Eine der wichtigsten Änderungen liegt in der präziseren Ausgestaltung der Rechtsgrundlagen. Die Novelle macht deutlicher, auf welcher Basis kirchliche Stellen personenbezogene Daten verarbeiten dürfen. Verweisungen auf kirchliches, staatliches oder europäisches Recht werden systematischer, unklare Konstruktionen aus der bisherigen Praxis werden bereinigt. Für Verantwortliche heißt das: Die Prüfung der Rechtmäßigkeit wird strukturierter, aber auch anspruchsvoller. Die pauschale Berufung auf „kirchliche Aufgaben“ reicht nicht mehr aus, wenn digitale Verfahren, neue Zweckbindungen oder externe Dienstleister im Spiel sind.
Auch das System der Einwilligungen und der Betroffenenrechte wird näher an die DS-GVO herangeführt. Auskunft, Löschung, Berichtigung und Widerspruch müssen daher nicht nur rechtlich möglich sein, sondern im Alltag über klare, belastbare Abläufe funktionieren. Besonders deutlich zeigt sich das bei der Einwilligung: Das bislang oft kritisierte grundsätzliche Schriftformerfordernis entfällt vollständig. Entscheidend ist künftig allein die Nachweisbarkeit einer freiwilligen, informierten und eindeutigen Einwilligung. Neu geregelt wird zudem die Einwilligung von Minderjährigen, da die bisherige Altersgrenze für kirchliche Online‑Angebote entfällt.
Gerade bei digitalen Angeboten – von der Online-Beratung bis zum Spendenportal – steigen damit die Anforderungen an Transparenz, einfache Widerrufsmöglichkeiten und saubere interne Workflows. Einrichtungen, die diese Abläufe bislang eher informell gehandhabt haben, sollten sie jetzt verbindlich festlegen und nachvollziehbar dokumentieren.
Digitale Realität rückt in den Mittelpunkt
Besonders praxisrelevant sind die neuen Regelungen zu digitalen Verarbeitungssituationen. Die Übertragung von Gottesdiensten, Veranstaltungen oder Bildungsangeboten wird ausdrücklich erfasst. Damit geht es nicht nur um Kameras im Kirchraum, sondern um Datenschutz-Informationen, Abwägungen zwischen Persönlichkeitsrechten und Öffentlichkeitsarbeit sowie um sichere technische Setups.
Noch deutlicher wird der Paradigmenwechsel bei der IT-Nutzung. Die neue KDG-DVO zieht klare Grenzen für den Umgang mit personenbezogenen Daten außerhalb gesicherter dienstlicher Umgebungen. Die Weiterleitung an private E-Mail-Konten oder Cloud-Speicher ist grundsätzlich untersagt. Die Mitarbeiter müssen organisatorisch und technisch so eingebunden sein, dass unbefugte Dritte keinen Zugriff erhalten. Homeoffice und mobiles Arbeiten bleiben möglich, aber nur mit tragfähigen Sicherheitskonzepten.
Ein besonders sichtbares Signal ist das Faxverbot. Die Übermittlung personenbezogener Daten per Fax ist künftig grundsätzlich unzulässig. Was lange als „bewährte Praxis“ galt, wird damit abgelöst durch verschlüsselte E-Mails, sichere Portale oder andere digitale Übertragungswege. Für viele Einrichtungen bedeutet das einen echten Medienbruch – und den Zwang, gewachsene Routinen zu modernisieren.
Auch Cloud-Dienste werden strenger gefasst. Nicht die Nutzung an sich steht infrage, wohl aber ihr Sicherheitsniveau. Der Stand der Technik, nachvollziehbare Risikobewertungen und klare Exit-Strategien werden zur Pflicht. Wer heute spezialisierte Software für bestimmte Arbeitsprozesse, Personalsoftware oder Archivsysteme aus der Cloud nutzt, muss künftig nachweisen können, dass die Daten geschützt, verfügbar und kontrollierbar bleiben, auch bei einem Anbieterwechsel oder einer Störung.
Verantwortlichkeiten werden transparenter
Die Novelle räumt auf: Verantwortlichkeiten sollen künftig nicht mehr im „Graubereich“ hängen, sondern eindeutig festgelegt sein. Ob mehrere Einrichtungen gemeinsam verantwortlich handeln, klassische Auftragsverarbeitung gegeben ist oder hybride Modelle bestehen – das neue KDG verlangt klare Linien und nachvollziehbare Zuständigkeiten. Für externe IT‑ und Serviceanbieter wird es damit verbindlicher als bisher: Ihre Rolle muss präzise beschrieben werden, und die Kontrollrechte der kirchlichen Stellen werden spürbar gestärkt. Zugleich fällt die bisherige Beschränkung auf den Europäischen Wirtschaftsraum weg – ein Schritt, der mehr Flexibilität, aber auch deutlich höhere Sicherheitsanforderungen mit sich bringt.
Auch personell wird der Datenschutz neu aufgestellt. Die Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten greift künftig erst ab 20 Mitarbeitern, gleichzeitig öffnet sich das Gesetz für eine Neuerung: Erstmals können auch juristische Personen diese Aufgabe übernehmen. Bei den Diözesandatenschutzbeauftragten werden mit dem Ziel, Aufsicht und Beratung zugleich unabhängiger und professioneller aufzustellen, die Amtszeiten verkürzt und die Qualifikationsanforderungen modernisiert.
Datenschutz wird zur Managementaufgabe
Unterm Strich markiert die KDG‑Novelle einen echten Perspektivwechsel: Weg vom bloßen Regelwerk, hin zu einer Datenschutz‑Governance, die im Alltag spürbar wirken muss. Datenschutz wird damit zu einem festen Bestandteil moderner Organisationssteuerung – eng verzahnt mit IT‑Management, Qualitätskontrolle und den operativen Abläufen. Verarbeitungsverzeichnisse, Risikoanalysen, technische Maßnahmen und Schulungen dürfen nicht länger lose nebeneinanderstehen, sondern müssen als funktionierendes Gesamtsystem ineinandergreifen und im Zweifel jederzeit prüfbar sein.
Für viele kirchliche Einrichtungen bedeutet das eine spürbare Herausforderung, eröffnet aber gleichzeitig eine bemerkenswerte Chance: Wer seine Datenflüsse, Systeme und Dienstleister wirklich kennt und aktiv steuert, gewinnt nicht nur rechtliche Sicherheit, sondern schafft auch Transparenz, Effizienz und Stabilität. Gerade in Zeiten knapper Ressourcen und zunehmender digitaler Abhängigkeiten kann das bei wirtschaftlicher Tätigkeit ein entscheidender Wettbewerbsvorteil sein.
Flankiert wird dieser neue Anspruch durch einen Bußgeldrahmen, der die Bedeutung des Themas unmissverständlich unterstreicht: Bis zu 3 Mio. Euro – oder bis zu 4 % des Jahresumsatzes bei wirtschaftlicher Tätigkeit – können künftig verhängt werden. Die Botschaft ist klar: Datenschutz ist kein Nebenprozess mehr, sondern ein strategischer Faktor für die Zukunftsfähigkeit kirchlicher Einrichtungen.
Praxis-Hinweis
Die Novellierung des KDG und der KDG-DVO bringt den kirchlichen Datenschutz spürbar näher an den europäischen Standard – mit mehr Klarheit, aber auch mit höheren Anforderungen an Organisation, IT und Nachweisführung. Für Einrichtungen in Kirche, Gesundheit und Sozialwirtschaft zählt jetzt vor allem die Umsetzung im Alltag: Kommunikation muss sicher funktionieren, digitale Prozesse müssen rechtlich sauber aufgesetzt sein, und Verantwortlichkeiten dürfen in Verbünden und Dienstleisterketten nicht „zwischen den Stühlen“ hängen. Wer die kommenden Monate nutzt, um Strukturen zu überprüfen und pragmatisch nachzuschärfen, reduziert Haftungs- und Vorfallrisiken und schafft eine stabile Basis für Digitalisierung. Als Beratungspartner unterstützen wir Sie dabei, den Handlungsbedarf zielgerichtet zu ermitteln, Maßnahmen sinnvoll zu priorisieren und die Dokumentation so aufzusetzen, dass sie auch in der Praxis und bei Prüfungen trägt.
