Neue Regelungen zu Schulungen in der KDG-DVO

Große Ereignisse werfen ihre Schatten voraus: Ab dem 01.03.2026 gelten die novellierten Fassungen zum Gesetz über den Kirchlichen Datenschutz (KDG) und zur Durchführungsverordnung zum Gesetz über den Kirchlichen Datenschutz (KDG-DVO). In den kommenden Tagen werden wir ausgewählte Änderungen und die daraus resultierenden Maßnahmen vorstellen.

Beginnen wollen wir dabei mit dem Thema „Schulungen“. In diesem Bereich gibt es nämlich gleich zwei relevante Änderungen. Zum einen legt der neue § 2 Abs. 7 KDG-DVO eine Schulungspflicht für Mitarbeitende fest und zum anderen weitet § 3 KDG-DVO die Pflicht zur Verpflichtung auf das Datengeheimnis auf ehrenamtlich tätige Personen aus. Gleichzeitig wurde auch die Regelung, wonach die Verpflichtungserklärungen, die nach § 4 KDO (Vorläuferregelung 2018 außer Kraft getreten) erfolgten, wirksam bleiben, gestrichen.

Insgesamt nähert sich das kirchliche Datenschutzrecht damit stärker dem etablierten Standard der Datenschutz-Grundverordnung (DSGVO) an.

Was regelt der neue § 2 Abs. 7 KDG‑DVO?

Die Vorschrift verpflichtet Einrichtungen nun eindeutig dazu, Mitarbeitende regelmäßig zu schulen. Damit soll eine kontinuierliche Sensibilisierung der Beschäftigten gewährleistet werden. Eine solche erfolgte bislang ausschließlich über die Verpflichtung auf das Datengeheimnis für hauptamtlich Beschäftigte.

Im Rahmen dessen sei hervorgehoben, dass durch den Wegfall des Verweises auf § 4 KDO – in der Norm zum Datengeheimnis – es nun erforderlich sein dürfte, Beschäftigte, die noch zu KDO-Zeiten verpflichtet wurden, erneut auf die nun aktuellen Regelungen zu verpflichten. Zur Schaffung von Rechtssicherheit wird empfohlen, die aktiven Mitarbeitenden, die vor 2019 eingestellt wurden, erneut auf das Datengeheimnis zu verpflichten. Zusätzlich sollten, sofern nicht bereits erfolgt, auch ehrenamtlich tätige Personen auf das Datengeheimnis verpflichtet werden.

Status quo im weltlichen Datenschutzrecht

Unklar bleibt, wie genau die Schulungspflicht mit Leben gefüllt werden soll. Die Norm selbst trifft zu den Detailfragen keine Aussagen. Daher lohnt sich ein Blick auf die Umsetzung der Schulungspflicht im weltlichen Datenschutzrecht. In der DSGVO gibt es allerdings ebenfalls keine explizite Schulungspflicht; diese folgt vielmehr aus mehreren einzelnen Bestimmungen wie bspw.:

• Art. 39 DSGVO: Sensibilisierung und Schulung der Beschäftigten als Aufgabe der bzw. des Datenschutzbeauftragten
• Art. 5 Abs. 2 DSGVO: Nachweis ordnungsgemäßer Verarbeitung – welche ohne geschulte Mitarbeitende nicht erfüllbar ist
• Art. 32 DSGVO: geeignete organisatorische Maßnahmen zur Sicherheit der Verarbeitung, wozu Schulungen als etablierter Mindeststandard gehören

Das Bundesdatenschutzgesetz (BDSG) geht sogar noch etwas weiter und enthält in § 7 Abs. 1 Nr. 2 BDSG eine klare Verpflichtung zur Sensibilisierung und Schulung durch Datenschutzbeauftragte. Damit wird deutlich: Die neue kirchliche Schulungspflicht fügt sich nahtlos in die Erwartungen ein, die das weltliche Datenschutzrecht bereits seit Jahren an Verantwortliche stellt.

Was bedeutet das für kirchliche Einrichtungen?

Kirchliche Einrichtungen müssen nun ihre bestehenden Maßnahmen kritisch prüfen und, wo erforderlich, erweitern. Entscheidend ist dabei die Entwicklung eines strukturierten Schulungskonzepts. Wie dieses auszusehen hat, ist aufgrund der nicht genau geregelten Anforderungen durch das Gesetz aber der verantwortlichen Stelle überlassen. Im weltlichen Bereich hat sich die Durchführung von Basisschulungen alle ein bis zwei Jahre sowie deren Dokumentation etabliert. Aber auch andere Methoden dürften der neuen Regelung entsprechen, wie bspw. der Einsatz von regelmäßigen Datenschutz-Refreshern, mit denen bestimmte Themen (wieder) ins Bewusstsein der Mitarbeitenden gerückt werden. Elementar ist lediglich, dass alle Beschäftigten eine regelmäßige und kontinuierliche Sensibilisierung für das Thema Datenschutz erhalten.

Fazit und Ausblick

Die Einführung der ausdrücklichen Schulungspflicht im KDG‑DVO ist ein konsequenter Schritt, um das kirchliche Datenschutzniveau an die Realität moderner Datenverarbeitung anzupassen. Sie schließt eine Lücke zwischen kirchlichem und staatlichem Datenschutzrecht und stärkt die Datensicherheit im Alltag kirchlicher Einrichtungen. Regelmäßige Schulungen tragen dazu bei, Risiken durch Unwissenheit zu minimieren, die Einhaltung rechtlicher Vorgaben sicherzustellen und einen verantwortungsvollen Umgang mit personenbezogenen Daten zu fördern.

Gerade weil Mitarbeitende häufig unbeabsichtigt Auslöser von Datenschutzverstößen sind, wird die verbindliche Schulungspflicht künftig ein zentraler Baustein kirchlicher Datenschutz-Compliance sein. Die Novelle schafft hierfür eine klare Rechtsgrundlage deren Ausgestaltung aber noch genügend Ermessensspielraum für die verantwortlichen Stellen gibt.