KDG-NOVELLE 2025

04.02.2026

Ab März 2026 gilt das neue Kirchliche Datenschutzgesetz (KDG). Die Novelle bringt zahlreiche Anpassungen – von der Einwilligung über die Auftragsverarbeitung bis hin zur Datenschutzaufsicht. Für kirchliche Einrichtungen, Verbände und Träger ist jetzt der richtige Zeitpunkt, Prozesse und Verträge zu prüfen.

1 WARUM DIE KDG-NOVELLE WICHTIG IST

Das KDG regelt den Datenschutz in katholischen Einrichtungen – von Pfarreien über Caritasverbände, Vereine, Kindergärten, bis hin zu kirchlichen Schulen und Verbänden. Mit der Novelle 2025 wird das Gesetz an die DSGVO und das bereits novellierte BDSG – das Bundesdatenschutzgesetz – angenähert, ohne kirchliche Besonderheiten aufzugeben.

Praxisbeispiel: Ein kirchlicher Verband möchte Fotos von einer Veranstaltung auf Ihrer Webseite veröffentlichen. Bisher herrschte Unsicherheit, ob dafür jede Person ein Einwilligungsdokument unterzeichnen muss oder ob eine rechtssicher formulierte Einwilligung bei der Anmeldung über das digitale Anmeldetool als Nachweis ausreicht. Mit der neuen Fassung des § 8 KDG kann die Einwilligung nun auch gesichert über ein digitales Formular oder per E-Mail eingeholt werden, solange der Vorgang nachweisbar dokumentiert wird und den üblichen Vorgaben des § 8 KDG entspricht. Das vereinfacht die Organisation erheblich. Welche Vorgaben das sind können u.a. in unserem letzten Blogbeitrag unter https://www.datafreshup.de/blog/datenschutz-und-kinder nachgelesen werden.

Kostenloses Erstgespräch sichern oder schreiben Sie an info@datafreshup.de

2 RECHTLICHER RAHMEN: DSGVO TRIFFT KIRCHENRECHT

Die KDG-Novelle 2025 wurde vom Verband der Diözesen Deutschlands (VDD) beschlossen und ersetzt ab 1. März 2026 die bisherige Fassung. 

Hier geht es zu den beschlossenen Texten:

Gesetz über den Kirchlichen Datenschutz (KDG) in der Fassung des Beschlusses der Vollversammlung des Verbandes der Diözesen Deutschlands vom 20. November 2017, geändert durch Beschluss der Vollversammlung des Verbandes der Diözesen Deutschlands vom 24. Nov

Durchführungsverordnung zum Gesetz über den Kirchlichen Datenschutz (KDG-DVO) in der Fassung des Beschlusses der Vollversammlung des Verbandes der Diözesen Deutschlands vom 19. November 2018, geändert durch Beschluss der Vollversammlung des Verbandes

Wichtig: Rechtlich verbindlich und gültig für die jeweilige verantwortliche Stelle ist offiziell nur das KDG bzw. Die KDG-DVO, das vom zuständigen Erz-/Bistum im kirchlichen Amtsblatt veröffentlicht wird.

Wesentliche Reformziele:

Praktikabilität des KDG und bestehende Fehler glätten
Anpassung der Durchführungsverordnung an den aktuellen Stand der Technik (z. B. Bezug auf Cloud-Systeme und Abkehr von Faxgeräten)
Harmonisierung mit staatlichem Datenschutzrecht (BDSG & DSGVO)
Klarere Zuständigkeiten bei Aufsicht und Verantwortlichkeit
Geschlechtergerechte Sprache im Gesetzestext

3 DIE WICHTIGSTEN ÄNDERUNGEN IM ÜBERBLICK

3.1 EINWILLIGUNG (§ 8 KDG): DIGITAL WIRD MEHR ZUM STANDARD

Schriftformpflicht entfällt – digitale Einwilligungen sind zulässig.
Nachweisbarkeit bleibt Pflicht.
Erleichtert Online-Prozesse für z. B. Newsletter, Online-Anmeldungen.

Die Wohl praxisrelevanteste Änderung: Die strikte Schriftformpflicht entfällt. Bisher sorgte die Forderung nach einer eigenhändigen Unterschrift für Rechtsunsicherheit bei digitalen Prozessen. Künftig ist eine Einwilligung auch in elektronischer Form (z. B. Per Online-Formular, E-Mail oder App) gültig. Entscheidend bleibt die Nachweisbarkeit: Sie müssen dokumentieren können, wer wann und wofür seine:ihre Einwilligung erteilt hat.

Praxis-Tipp: Nutzen Sie für Newsletter-Anmeldungen ein Double-Opt-In-Verfahren. Protokollieren Sie bei Online-Formularen den Einwilligungstext, den Zeitstempel und die IP-Adresse des:der Nutzer:in.

3.2 AUFTRAGSVERARBEITUNG (§ 29 KDG): MEHR FLEXIBILITÄT

Wegfall der EWR-Beschränkung: Auftragsverarbeitung außerhalb des EWR ist möglich, wenn geeignete Garantien bestehen.
Textform statt Schriftform: Verträge können elektronisch abgeschlossen werden.
KDG-Anerkennung durch Auftragsverarbeiter:innen, die der DSGVO unterliegen gesetzlich in KDG-DVO verankert.
Praxis-Tipp: Bestehende AV-Verträge prüfen und ggf. anpassen.

Die Zusammenarbeit mit externen Dienstleistern wird flexibler. Die bisherige Beschränkung auf den Europäischen Wirtschaftsraum (EWR) entfällt. Das bedeutet, Sie können – soweit die entsprechenden gesetzlichen Sicherheitsstandards des § 40 ff. KDG eingehalten werden – auch Dienstleister (z. Bsp. Für Cloud-Dienste oder Software) in Drittländern wie den USA beauftragen. Voraussetzung sind geeignete Garantien, meist in Form von Standardvertragsklauseln. Lesen Sie hierzu auch in unserem Blogbeitrag unter https://www.datafreshup.de/blog/was-passiert-wenn-dpf-kippt, wo wir uns mit der Frage nach Sicherheitsstandards für Datenübermittlungen beschäftigt haben. Zudem wird die Schriftform für AV-Verträge durch die Textform ersetzt, was den Vertragsabschluss per E-Mail ermöglicht. Weiter ist die bereits etablierte Anerkennung des KDG durch eine:n Auftragsverarbeiter:in die der DSGVO unterliegen nun gesetzlich in § 21 Abs. 5 KDG-DVO fixiert.

Praxis-Tipp: Prüfen Sie die Verträge mit Ihren IT-Dienstleistern. Sitzt ein:e Anbieter:in außerhalb des EWR? Stellen Sie sicher, dass ein gültiger AV-Vertrag inklusive aktueller Standardvertragsklauseln vorliegt. Prüfen Sie ob alle DSGVO-Auftragsverarbeiter:innen eine KDG-Anerkennung unterzeichnet haben oder ob Sie bei Ablehnung dessen dies im VdV dokumentiert haben.

3.3 EHRENAMTLICHE (§ 5 KDG I.V.M. § 2 KDG-DVO): ENDLICH IM GESETZ VERANKERT

Neu, die gesetzlich verankerte Verpflichtung auf das Datengeheimnis für Ehrenamtliche sowie die damit verbundene Schulungspflicht für Ehrenamtliche
Wichtig für Pfarreien, Verbände und Vereine mit freiwillig Engagierten.

Was die Aufsichtsbehörden schon lange forderten, ist nun Gesetz: Ehrenamtliche müssen auf das Datengeheimnis verpflichtet werden und unterliegen darüber hinaus einer Schulungspflicht (siehe Punkt 4). Weiter grenzt der Gesetzgeber hier nun klarer ab: Während Ehrenamtliche in der zentralen Begriffsbestimmung des KDG (§ 4 Nr. 24) bewusst nicht als „Beschäftigte“ gelten (was z. B. Folgen für die Mitarbeitervertretung haben könnte), werden sie für die Datenschutzpflichten in § 5 KDG und in der § 2 Abs. 1 KDG-DVO explizit, wie Mitarbeitende behandelt.

Praxis-Tipp: Lassen Sie Ihre:n Datenschutzbeauftragte:n ein Formular zur „Verpflichtung auf das Datengeheimnis für Ehrenamtliche“ erstellen. Planen Sie noch in diesem Jahr eine grundlegende Datenschutz-Schulung für ALLE Mitarbeitenden, explizit auch für alle Ehrenamtlichen!

3.4 DATENSCHUTZBEAUFTRAGTE (§ 36 KDG): NEUE REGELN

Schwelle steigt von 10 auf 20 Personen, die regelmäßig mit Daten arbeiten.
Juristische Personen können als Datenschutzbeauftragte bestellt werden.
Interessenkonflikte werden strenger gefasst und gesetzlich verankert; die Leitung der Organisation oder der IT dürfen explizit nicht als interne:r Datenschutzbeauftragte:r benannt werden (Leitungsfunktionen ausgeschlossen).

Die Pflicht zur Benennung eine:s betrieblichen Datenschutzbeauftragte:n greift künftig erst ab 20 Personen (statt bisher 10), die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Die Vorgaben, wobei eine Benennung auch bei Unterschreiten dieser Anzahl gesetzlich notwendig ist z. B. bei Vorliegen der Verarbeitung von besonderen Datenkategorien bleiben bestehen.

Neu ist auch, dass Interessenkonflikte strenger gefasst werden: Die Leitung der Einrichtung oder der IT darf nun auch qua Gesetz nicht zum:zur Datenschutzbeauftragte:n bestellt werden.

Wichtig: Hier entsteht schnell ein „false-friend“. Das Entfallen der zur Benennung führt nicht dazu, dass man von der Erfüllung von Datenschutzpflichten befreit ist!

Pflichten sind i. d. R.:

Umsetzung der Neuerungen der Novellierung z. B. bei der Verwendung von Cloud-Systemen, Bring-Your-Own-Device (BYOD), Schulungspflichten für Mitarbeitende,
die Erstellung von Informationspflichten (auch für Minderjährige!),
die Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten,
die Anwendung von Maßnahmen zur Sicherheit der Verarbeitung,
der Risikobewertung bei der Verwendung von Künstlicher Intelligenz (KI) für Bildbearbeitung.

Praxis-Tipp: Prüfen Sie über das Verarbeitungsverzeichnis (VdV) welche Daten Sie verarbeiten. Erfassen Sie die Anzahl aller Personen (haupt- und ehrenamtlich), die regelmäßig Daten verarbeiten. Prüfen Sie unbedingt vor Erreichen der Schwelle bereits, ob die bestellte Person die neuen Unabhängigkeitsanforderungen erfüllt. Ein:e externe:r Datenschutzbeauftragte:r kann hier eine rechtssichere Lösung sein.

Sollte die Benennungspflicht entfallen, prüfen Sie eindringlich gemeinsam mit Ihrem DSB inwiefern eine freiwillige Benennung aufgrund des Risikos der verarbeiteten Daten sinnvoll ist und welche Pflichten Sie weiterhin einhalten müssen.

3.5 DATENSCHUTZAUFSICHT UND BUSSGELDER (§§ 42–47 KDG): ES WIRD TEURE

Unabhängigkeit der kirchlichen Datenschutzaufsicht wird gestärkt.
Bußgelder steigen auf bis zu 1 Mio. €, bei wirtschaftlicher Tätigkeit bis zu 3 Mio. € oder 4 % des Jahresumsatzes.
Klarstellung der Zuständigkeit bei mehrdiözesanen Trägern.
Schutz der Identität von Hinweisgebern.

Die Unabhängigkeit der kirchlichen Datenschutzaufsicht wird gestärkt. Gleichzeitig werden die Sanktionen verschärft: Die Obergrenze für Bußgelder steigt auf bis zu 1 Million Euro. Für kirchliche Einrichtungen, die am Wettbewerb teilnehmen (z. B. Krankenhäuser, Altenheime, Kindertagesstätten, Beherbergungsbetriebe, Verlage), sind sogar bis 3 Millionen Euro oder 4% des weltweiten Jahresumsatzes möglich.

Praxis-Tipp: Eine saubere und lebendige Dokumentation Ihrer Datenschutzvorgänge und -maßnahmen, insbesondere ein aktuelles Verzeichnis von Verarbeitungstätigkeiten (VdV) inkl. technisch-organisatorischer Maßnahmen (TOMs) ist essenziell. Sie dient als Nachweis gegenüber der Aufsicht und kann das Bußgeldrisiko erheblich senken. Viele der Pflichten des KDG und der KDG-DVO sind gänzlich unabhängig von der Größe Ihrer Organisation.

3.6 ÜBERTRAGUNG VON VERANSTALTUNGEN UND GOTTESDIENSTEN (§ 52A KDG): KLARE REGELN FÜR STREAMS

Erstmals gesetzlich geregelt
Erlaubnisnorm für Live-Übertragungen
Pflicht zu übertragungsfreien Bereichen
Schutz besonders sensibler Situationen

Das Streamen von Gottesdiensten und Veranstaltungen erhält eine eigene Rechtsgrundlage. Das Gesetz schreibt nun explizit vor, dass übertragungsfreie Bereiche für Besucher:innen ausgewiesen werden müssen. Zudem ist auf die besonders schutzwürdigen Interessen der Teilnehmenden (v.a. Minderjährige z. B. Ministrant:innen) Rücksicht zu nehmen, etwa bei seelsorgerischen Handlungen oder dem Kommunionempfang.

Praxis-Tipp: Kennzeichnen Sie die von Kameras erfassten Bereiche in Ihrem Veranstaltungsraum oder Kirche deutlich. Informieren Sie vorab durch Aushänge, auf der Webseite und in den Meldungen über die Live-Übertragung und die kamerafreien Zonen.

3.7 AUFARBEITUNG SEXUALISIERTER GEWALT (§ 54A KDG I.V.M. § 6 ABS. 2 LIT. I KDG)

Sichere Rechtsgrundlage für die Verarbeitung geschaffen
Neue Rahmenregelung zur Datenverarbeitung bei Aufarbeitungsvorgängen.
Betont das „überragende kirchliche Interesse“ an Aufklärung und Transparenz.

Neu geschaffen wird eine Rahmenregelung für die Datenverarbeitung im Kontext der institutionellen Aufarbeitung von sexualisierter Gewalt und Missbrauch. Zum einen wird eine klare Rechtsgrundlage für die Verarbeitung oder Zweckänderung der verarbeiteten Daten geschaffen. Zum anderen stellt der neue Paragraph ein „überragendes kirchliches Interesse“ an dieser Verarbeitung fest und dient als Öffnungsklausel. Das bedeutet, die konkreten Verfahren und Regelungen zur Akteneinsicht und Datenverarbeitung müssen die einzelnen Diözesen festlegen. Wichtig: diese Rechtsgrundlagen gelten nur für institutionelle Aufarbeitungen nicht für grundsätzliche historische Aufarbeitungen von Fällen des Missbrauchs.

Praxis-Tipp: Prüfen Sie, ob für Ihr (Erz-)Bistum bereits eine eigene Aufarbeitungsordnung existiert. Diese diözesanen Regelungen konkretisieren die Vorgaben des KDG und sind für die rechtssichere Durchführung von Aufarbeitungsmaßnahmen entscheidend. Stellen Sie sicher, dass der Zugriff auf diese hochsensiblen Daten streng limitiert und technisch-organisatorisch bestmöglich abgesichert ist.

Kostenloses Erstgespräch sichern oder schreiben Sie an info@datafreshup.de

4 EXKURS: AUCH DIE KDG-DVO WIRD MODERNISIERT – EINE CHECKLISTE

Neben dem Gesetz selbst muss auch die Durchführungsverordnung (KDG-DVO) beachtet werden. Sie regelt die konkrete Umsetzung des Gesetzes für die Praxis und gibt Handlungsanweisungen für Konzepte, Pflichten und besondere Gefahrenlagen. Alle Vorgaben gelten sowohl für kleine Vereine und Organisationen auf Ortsebene wie auch große Vereine und Organisationen auf Diözesan und Bundesebene!

Regelmäßige Schulungen (§ 2 KDG-DVO): Dies ist eine der wichtigsten neuen organisatorischen Pflichten: Alle Mitarbeitenden müssen regelmäßig zum Datenschutz geschult werden. Die KDG-DVO stellt klar, dass hierzu ausdrücklich auch die Ehrenamtlichen zählen. Eine einmalige Belehrung reicht nicht mehr aus. Die Frequenz („regelmäßig“) ist risikobasiert zu verstehen: Je sensibler die Daten, desto öfter muss geschult werden.
Verbot von privater E-Mail-Weiterleitung (§ 21 KDG-DVO): Die Weiterleitung von E-Mails mit personenbezogener Daten an private E-Mail-Accounts ist nun grundsätzlich unzulässig egal ob automatisch oder manuell. Das gilt sowohl für Beschäftigte als auch für Ehrenamtliche!
Mehr-Faktor-Authentifizierung (MFA, §11 KDG-DVO): Für sicherheitskritische Bereiche und für Zugriffe von außerhalb gesicherte Netze wird eine MFA zur Pflicht.
Cloud-Nutzung mit Exit-Strategie (§ 18 KDG-DVO): Beim Einsatz von Cloud-Systemen muss von Anfang an eine Strategie für einen potenziellen Anbieterwechsel und weiteren anbieterseitigen Problemen mitgeplant werden.
Das Ende des Faxgeräts (§ 25 KDG-DVO): Die Übermittlung personenbezogener Daten per Fax ist ab sofort grundsätzlich unzulässig. Ausnahmen sind nur in eng definierten Fällen möglich.

5 IHR FAHRPLAN FÜR 2026: KONKRETE NÄCHSTE SCHRITTE

Statt einer unübersichtlichen To-Do-Liste empfehlen wir einen strategischen Ansatz. Nutzen Sie die Zeit bis zum Inkrafttreten für folgende drei Kernbereiche:

Schritt 1: Menschen sensibilisieren & Prozesse prüfen Der größte Hebel für guten Datenschutz sind informierte Mitarbeitende.

Bedarfe ermitteln: gemeinsam mit dem:der Datenschutzbeauftragten VdV, TOMs und Prozesse überprüfen und individuellen Plan für Anpassungen erstellen.
Schulungen organisieren: Planen Sie jetzt eine grundlegende Datenschutz-Schulung für alle Haupt- und Ehrenamtlichen. Das ist die neue Pflicht und die beste Investition zur Risikominimierung.
Einwilligungen digitalisieren: Überarbeiten Sie Ihre Anmelde- und Einwilligungsprozesse. Stellen Sie sicher, dass digitale Einwilligungen (z.B. für Fotos, Newsletter) sauber dokumentiert werden.
Verträge checken: Prüfen Sie alle Auftragsverarbeitungsverträge. Sind sie noch aktuell? Gibt es Dienstleister in Drittländern? Holen Sie sich ggf. aktualisierte Verträge in Textform.

Schritt 2: Technik und Organisation anpassen Die KDG-DVO gibt klare technische Vorgaben.

MFA einführen: Rollen Sie die Mehr-Faktor-Authentifizierung für alle externen Zugänge und kritischen Systeme aus.
Faxgeräte abschaffen: Kommunizieren Sie das Fax-Verbot intern und stellen Sie auf sichere digitale Alternativen um.
Richtlinien erstellen: Erstellen oder aktualisieren Sie eine interne Richtlinie zur Nutzung von E-Mail und Cloud-Diensten, die die neuen Regeln abbildet.

Schritt 3: Strategisch vorsorgen Blicken Sie über die direkten Pflichten hinaus.

Cloud-Strategie entwickeln: Definieren Sie für jeden Cloud-Dienst eine Exit-Strategie. Was passiert, wenn der Anbieter ausfällt oder die rechtlichen Rahmenbedingungen sich ändern? Habe ich alle meine Daten in der Cloud eigenständig rückgesichert?
Dokumentation leben: Sorgen Sie dafür, dass Ihr Verzeichnis von Verarbeitungstätigkeiten (VdV) kein Papiertiger ist, sondern ein lebendiges Dokument, das Ihre realen Prozesse abbildet.
IT-Nutzung immer im Blickbehalten: in schnelllebigen Zeiten mit IT und KI-Systemen, die sich in kürze ändern können, ist es wichtig den Überblick zu behalten. Das gelingt über schlanke Prozesse, eine lebendige Dokumentation und gut geschulte Mitarbeitende.

6 FAZIT: EVOLUTION STATT REVOLUTION: DATENSCHUTZ ALS CHANCE BEGREIFEN

Die KDG-Novelle 2025 ist eine Evolution, keine Revolution. Sie ist die Chance, veraltete Prozesse zu modernisieren, die digitale Zusammenarbeit zu professionalisieren und Rechtssicherheit zu schaffen. Ein gut umgesetzter Datenschutz ist kein Hindernis, sondern ein Qualitätsmerkmal, das Vertrauen bei Mitgliedern, Klient:innen und Mitarbeitenden schafft. Nutzen Sie die verbleibende Zeit, um diese Chance aktiv zu gestalten.

CTA: Audit anfragen oder individuelle Prüfung komplexer Fälle über info@datafreshup.de