Icon Datenschutzbeauftragter
Datenschutz

KDG Novelle 2026: Mehr Klarheit, wenig Umbruch

Verfasst von:

Winona Wenning
Beraterin für Datenschutz und Informationssicherheit

Zum 1. März 2026 trat die novellierte Fassung des Kirchlichen Datenschutzgesetzes (KDG) in Kraft. Die Reform bringt spürbare Klarstellungen, aber nur begrenzten akuten Handlungsbedarf. Was Verantwortliche jetzt wissen sollten.

Mit Wirkung zum 1. März 2026 gilt das Kirchliche Datenschutzgesetz (KDG) in einer novellierten Fassung. Ziel der Reform war insbesondere die systematische Angleichung an die DSGVO sowie die Bereinigung verbliebener Bezüge zum alten Bundesdatenschutzgesetz (BDSG a.F.).

Anders als bei der Novelle des DSG-EKD aus dem vergangenen Jahr handelt es sich beim neuen KDG jedoch um eine vergleichsweise moderate Anpassung. Die Struktur bleibt erhalten, Paragraphen wurden im relevanten Bereich nicht neu nummeriert. Viele Änderungen sind eher redaktioneller Natur – einige verdienen jedoch einen genaueren Blick.

Im Folgenden stellen wir die praxisrelevanten Änderungen vor und ordnen ein, wo tatsächlich Handlungsbedarf für Verantwortliche bestehen kann.

1. Einwilligung: Schriftform entfällt

Eine der praktisch relevantesten Änderungen betrifft § 8 KDG: In der bisherigen Fassung war für Einwilligungen grundsätzlich die Schriftform vorgesehen – mit der Möglichkeit, nur in „begründeten Ausnahmefällen“ davon abzuweichen. Digitale Einwilligungen erfüllten dieses Schriftformerfordernis streng genommen nicht. In der Praxis bedeutete das bisher häufig: Die Annahme solcher „besonderer Umstände“ wurde eher zum Regelfall, um elektronische Einwilligungsprozesse zu ermöglichen. Rechtssicherheit bestand jedoch nicht.

Die neue Fassung verzichtet auf das starre Schriftformerfordernis. Damit wird klargestellt:

  • Elektronische Einwilligungen sind zulässig
  • Digitale Prozesse sind ohne Medienbruch möglich
  • Die Regelung entspricht nun der DSGVO-Systematik

Praxisrelevanz:
Für Einrichtungen, die bislang aus Vorsicht auf Papierformulare gesetzt haben, kann eine Umstellung auf digitale Verfahren sinnvoll sein und Aufwand sparen. Wer bereits DSGVO-konform digital gearbeitet hat, gewinnt nun zusätzliche Rechtssicherheit.

2. Betroffenenrechte: punktuelle Anpassungen

Ausnahme bei Berufsgeheimnisträgern

§ 15 KDG wird um eine neue Ausnahme ergänzt: Datenübermittlungen im Zusammenhang mit der Begründung oder Durchführung eines Mandatsverhältnisses mit Berufsgeheimnisträgern lösen künftig keine Informationspflicht nach § 15 Abs. 4 KDG aus. In der Praxis bedeutet das zum Beispiel: Die Übermittlung von Daten an eine Rechtsanwaltskanzlei zur Rechtsverteidigung löst keine Informationspflicht gegenüber den Betroffenen aus. Hier folgt das KDG nun stärker der DSGVO-Logik und vermeidet unnötige Informationsschleifen.

Einschränkung der „kirchliches Wohl“-Ausnahme

Bislang sah § 16 Abs. 5 lit. a KDG vor, dass Informationspflichten entfallen konnten, wenn die Erteilung der Information „dem kirchlichen Wohle Nachteile bereiten würde“. Diese Formulierung war weit und eröffnete viele Situationen, die man darunter fassen konnte. Ab sofort bedarf es erheblicher Nachteile für das kirchliche Wohl. Damit wurde die Ausnahme deutlich enger gefasst.

Praxisrelevanz:
Eher gering. Einrichtungen sollten jedoch prüfen, ob sie sich bislang im Einzelfall auf diese Ausnahme von der Informationspflicht gestützt haben. Die neue Schwelle verlangt eine strengere Begründung und deren Dokumentation.

3. Datenschutzbeauftragte: Schwelle steigt – Klarheit bei externen Lösungen

Zwei Änderungen sind hier relevant:

1. Anhebung der Benennungsschwelle

Die Pflicht zur Bestellung eines Datenschutzbeauftragten (§ 36 Abs. 2 lit. a KDG) greift künftig erst bei 20 statt bisher 10 Personen, die ständig mit der Verarbeitung personenbezogener Daten befasst sind. Gleich bleibt aber: Es werden „Köpfe“ gezählt, nicht Stellen(-anteile) zusammengerechnet. Da auf Personen und nicht Mitarbeitende abgestellt wird, sind auch Ehrenamtliche einzubeziehen

Praxisrelevanz:
Für kleinere Einrichtungen kann die Bestellungspflicht entfallen. Eine strategische Prüfung ist sinnvoll – auch unter Berücksichtigung organisatorischer Risiken.

 

2. Bestellung juristischer Personen möglich

Bislang war umstritten, ob bei externer Bestellung stets eine konkrete natürliche Person benannt werden musste oder ob es auch möglich war etwa ein Dienstleistungsunternehmen zu benennen. Die neue Fassung des Text stellt klar: Auch juristische Personen können als Datenschutzbeauftragter benannt sein. Das schafft Rechtssicherheit für externe Dienstleistermodelle, und erübrigt das Vorgehen, einen konkreten Mitarbeitenden bei der Aufsicht anzugeben. 

Praxisrelevanz:
Keine zwingende Umstellung – aber klare rechtliche Grundlage für bestehende externe Beratungsmodelle. 

4. Ehrenamtliche: Klarstellung ohne materielle Änderung

Ehrenamtliche galten schon bisher nicht als Beschäftigte im Sinne des KDG (§ 4 Nr. 24). Neu ist ihre ausdrückliche Erwähnung in § 5 Abs. 2 KDG. Materiell ändert sich nichts: Alle Personen sind vor Aufnahme ihrer Tätigkeit auf das Datengeheimnis zu verpflichten, dies ergab auch schon die systematische Auslegung des alten Text.

Praxisrelevanz:
Keine unmittelbare Umstellung erforderlich – aber erhöhte Klarheit. Wer bisher Ehrenamtliche nicht ausdrücklich auf das Datengeheimnis verpflichtete, muss jedoch nacharbeiten.

5. Zweckänderung trotz Zweckbindung

§ 6 Abs. 2 KDG wird um zwei neue Tatbestände, die eine Zweckänderung erlauben, erweitert. Neu hinzu kommen:

  • Verarbeitung zur Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche
  • Verarbeitung zur institutionellen Aufarbeitung sexualisierter Gewalt auf kirchenrechtlicher Grundlage

Beide Ergänzungen schaffen Klarheit für bereits gelebte Praxis, die bisher umständlicher argumentiert werden mussten.

Praxisrelevanz:
Eher deklaratorisch – jedoch hilfreich für Dokumentation und Rechtfertigung entsprechender Prozesse.

6. Angleichung an die DSGVO

In § 7 KDG wurden die Datenschutzgrundsätze sprachlich an Art. 5 DSGVO angeglichen. Begriffe wie „Datenminimierung“ oder „Rechenschaftspflicht“ erscheinen nun ausdrücklich im Gesetzestext.

Auch an anderen Stellen wurde das Wording modernisiert und DSGVO-näher gefasst. Normen, die auf Konstrukten aus dem BDSG-alt basierten wie §§ 9, 10 KDG zur Zulässigkeit und Verantwortungszuweisung bestimmter Offenlegungen, wurden ersatzlos gestrichen, da Ihnen auch die Entsprechung in der DSGVO fehlt.

Einordnung:
Die Reform beseitigt Inkonsistenzen und Restbestände des BDSG-alt. Sprachliche Unterschiede werden abgebaut. Inhaltlich war das KDG bereits zuvor weitgehend DSGVO-kompatibel.

Und die neue KDG-DVO?

Parallel tritt eine neue Durchführungsverordnung (KDG-DVO) in Kraft.

Sie konkretisiert insbesondere:

  • technische und organisatorische Maßnahmen
  • Dokumentationspflichten
  • organisatorische Anforderungen

Die Änderungen sind umfangreich, aber überwiegend klarstellend.Ein sofortiger Anpassungsbedarf ergibt sich typischerweise nicht – gleichwohl empfiehlt sich eine Überprüfung bestehender TOM-Kataloge auf Übereinstimmung mit der neuen Struktur.

Gesamtbewertung: Wie groß ist der Handlungsbedarf wirklich?

Die Novelle verfolgt primär drei Ziele:

  1. Systematische Angleichung an die DSGVO
    Begriffe, Struktur und Regelungslogik wurden europarechtlich harmonisiert.
  2. Beseitigung praktischer Unsicherheiten
    Insbesondere bei Einwilligungen und einzelnen Ausnahmen der Informationspflicht.
  3. Klarstellung statt Erweiterung kirchlicher Sonderwege
    Die Reform reduziert eigenständige kirchliche Besonderheiten und rückt das KDG stärker in das allgemeine Datenschutzsystem ein.

Anders als bei der DSG-EKD-Novelle handelt es sich nicht um einen tiefgreifenden Umbau. Wer das KDG bislang bereits DSGVO-orientiert ausgelegt hat, wird nur begrenzte materielle Änderungen feststellen.

Relevante Anpassungen entstehen vor allem, wenn Einrichtungen:

  • bislang strikt am Wortlaut des alten § 8 KDG (Schriftform) festgehalten haben
  • sich großzügig auf die „kirchliches Wohl“-Ausnahme der Informationspflichten gestützt haben
  • interne Dokumentation oder Vertraulichkeitsverpflichtungen zu eng am Wortlaut des KDG und nicht an der DSGVO-Systematik ausgerichtet haben.

In vielen Fällen wird die Novelle eher bestehende Praxis legitimieren als neue Prozesse erzwingen.

Handlungsempfehlung: Was jetzt sinnvoll ist

Auch wenn die Reform keine Revolution des KDG darstellt, empfehlen wir folgende Schritte:

check_circle
Einwilligungsprozesse prüfen und ggf. digitalisieren
check_circle
Umsetzung von Informationspflichten auf die Anwendung der Ausnahmen überprüfen
check_circle
Externe DSB-Bestellung ggf. künftig auf die juristische Person beziehen
check_circle
Verpflichtung auf das Datengeheimnis bzgl. Ehrenamtlicher prüfen
check_circle
TOM-Katalog mit neuer KDG-DVO abgleichen

Fazit

Die KDG-Novelle 2026 ist eine systematische Modernisierung, keine materielle Neuausrichtung.

Für Organisationen, die Datenschutz bereits DSGVO-orientiert gelebt haben, entsteht wohl kaum Anpassungsbedarf. Wer hingegen das KDG bislang isoliert und formalistisch angewendet hat, sollte die Gelegenheit nutzen, Prozesse und Dokumentation neu zu justieren.

Die Reform beseitigt einige „Stolpersteine“ – sie ersetzt jedoch nicht die Notwendigkeit einer sauberen datenschutzrechtlichen Gesamtarchitektur.

chevron_left zurück zur Übersicht

Melden Sie sich für unseren Newsletter an.

Erhalten Sie immer die neuesten und wichtigsten Informationen zum Thema Datenschutz, Informationssicherheit und IT-Sicherheit und Compliance.