KDG-DVO Novelle – Was ändert sich wirklich?

4. Februar 2026

Bild des Heiligen Ivo - Schutzheiliger der Juristen

Startseite » Beiträge zum Thema Datenschutz » KDG-DVO Novelle

Artikel-Metadaten

Veröffentlicht am: 4. Februar 2026 Lesezeit: Minuten

Zusammenfassung Die KDG-DVO Novelle bringt ab dem 1. März 2026 zahlreiche Anpassungen im kirchlichen Datenschutz. Zentrale Änderungen betreffen das Verzeichnis von Verarbeitungstätigkeiten (VVT). Neu sind u. a. präzisierte Anforderungen an Verschlüsselung, Zugangskontrollen, Datenminimierung und die regelmäßige Überprüfung der TOM. Bei der Vorlage von Zertifikaten müssen sich diese an Veröffentlichungen des BSI oder Regelungen mit vergleichbaren Schutzstandards (z. B. ISO/IEC 27001) orientieren. Besonders relevant sind die Einführung einer faktischen MFA-Pflicht bereits ab Schutzniveau I, neue Regelungen zur Nutzung von Cloud-Diensten, strengere Vorgaben für private IT-Systeme im dienstlichen Einsatz sowie das grundsätzliche Verbot der Übermittlung personenbezogener Daten per Fax. Insgesamt modernisiert die Novelle die KDG-DVO deutlich, ohne für datenschutzkonforme Verantwortliche grundlegende Umstellungen zu erzwingen. In diesem Artikel: Verzeichnis von Verarbeitungstätigkeiten Schulung Verpflichtungserklärung IT-Systeme Technische und organisatorische Maßnahmen (ToM) Überprüfung der technischen und organisatorischen Maßnahmen Datenschutzklassen und Datenschutzniveau Nutzung von Cloud-Diensten Nutzung privater IT-Systeme zu dienstlichen Zwecken Übermittlung der personenbezogenen Daten per FAX Fazit Am 24. November 2025 beschloss die Vollversammlung des Verbandes der Diözesen Deutschlands die Novellierung der Durchführungsverordnung zum Gesetz über den Kirchlichen Datenschutz (KDG-DVO). Die neue Fassung soll planmäßig am 1. März 2026 die bestehende ablösen, muss dazu aber noch in den einzelnen Diözesen in Kraft gesetzt werden. Aber was sind die relevanten Unterschiede zwischen der alten Fassung (a. F.) und der neuen Fassung (n. F.) der KDG-DVO und was bedeuten sie für datenschutzrechtlich Verantwortliche? Verzeichnis von Verarbeitungstätigkeiten (VVT) Die erste inhaltliche Änderung ist wenig überraschend: Die Übergangsfrist für das Erstellen des VVTs in § 1 KDG-DVO wird nicht mehr genannt, schließlich wäre sie bereits 2019 abgelaufen. Auch für das Anpassen bereits erstellter Verzeichnisse wird keine Übergangsfrist mehr aufgeführt. Im Gegensatz zur bisherigen Regelung ist nicht nur die regelmäßige Überprüfung des VVTs zu dokumentieren, sondern auch dessen Änderungen, was allerdings in der Praxis kaum einen Unterschied für Verantwortliche machen dürfte, da die bereits vorher notwendige Dokumentenhistorie sinnvollerweise auch Änderungen enthalten haben dürfte. Schulung Gemäß § 2 Abs. 7 KDG-DVO n.F. sind Mitarbeitende regelmäßig zu schulen, auch das wird für gewissenhafte Verantwortliche keine Änderung mit sich bringen. Verpflichtungserklärung Während nach § 3 Abs. 3 Satz 2 KDG-DVO a. F. bestehende Verpflichtungserklärungen nach § 4 KDO noch wirksam bleiben, entfällt dies in der Lesefassung. Insbesondere bei Verantwortlichen mit einer geringen Fluktuation wurden wahrscheinlich bereits länger bei ihnen Beschäftigte noch nicht nach § 5 Satz 2 KDG verpflichtet, wobei sich § 4 KDO und § 5 KDG kaum unterscheiden. IT-Systeme Die Definition von “IT-Systemen” (§ 4 KDG-DVO) wird in der Lesefassung offener gestaltet als bisher. Als IT-Systeme gelten nicht nur “alle elektronischen Geräte und Softwarelösungen, mit denen personenbezogene Daten verarbeitet werden”, sondern “sämtliche technische Einrichtungen”, mit denen personenbezogene Daten automatisiert verarbeitet werden. Neu ist dabei auch, dass die automatisierte Verarbeitung von personenbezogenen Daten mit ausschlaggebend ist. Im zweiten Absatz ist die Aufzählung der beispielhaften IT-Systeme nun allgemeiner gehalten. Es werden die drei Kategorien hardwarebasierte IT-Komponenten, Softwarelösungen sowie cloudbasierte Systeme und Dienste genannt. Technische und organisatorische Maßnahmen (ToM) Während in § 6 Abs. 1 lit. b) KDG-DVO a. F. nur von “geeigneten Verschlüsselungsverfahren” die Rede ist, wird in der novellierten Fassung klargestellt, dass die Verfahren dem aktuellen Stand der Technik sowie dem Sicherheitsbedarf entsprechend zu wählen sind. Der Umfang der Zugangskontrolle wird auf Benutzerzugänge ausgeweitet (§ 6 Abs. 2 lit. b) KDG-DVO n. F.), bisher waren lediglich IT-Systeme umfasst. Es sind ausdrücklich ToM zu ergreifen, die geeignet sind, Identitätsdiebstahl zu vermeiden, insbesondere gilt das für Verarbeitungen außerhalb eines geschlossenen und gesicherten Netzwerks. Während das Trennungsgebot bisher allgemein für Daten gilt, wird in § 6 Abs. 2 lit. i) KDG-DVO n. F. nur noch von personenbezogenen Daten gesprochen. Neu ist die Klarstellung in Buchstabe k), dass dem Grundsatz der Datenminimierung schon bei der Auswahl von IT-Systemen, insbesondere von Softwarelösungen, angemessen Rechnung zu tragen ist. Überprüfung der technischen und organisatorischen Maßnahmen Die ToM sind weiterhin regelmäßig, mindestens aber alle zwei Jahre, auf ihre Wirksamkeit zu überprüfen. Die Vorlage eines anerkannten Zertifikats gemäß § 26 Abs. 4 KDG bleibt zulässig, allerdings müssen sich derartige Zertifikate künftig an Veröffentlichungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) oder anderen Regelungen, die einen vergleichbaren Schutzstandard gewährleisten (die KDG-DVO n. F. nennt hier explizit den Standard ISO/IEC 27001), orientieren. Datenschutzklassen und Datenschutzniveau Der Inhalt der §§ 9 (Einordnung in Datenschutzklassen) und 10 (Schutzniveau) KDG-DVO a. F. wird in den neuen Fassungen der §§ 9 (Einordnung in Datenschutzklassen und Datenschutzniveau) und 10 (Risikoanalyse) KDG-DVO n. F. beibehalten, die geänderte Struktur sorgt aber für mehr Übersichtlichkeit bei den Regelungen zur Einordnung in die Datenschutzklassen und Schutzniveaus. Während die Kriterien für die Einordnung in die Datenschutzklassen unverändert bleiben, gibt es Neuerungen hinsichtlich der Umsetzung der einzelnen Schutzniveaus. So ist bereits für Schutzniveau I (§ 11 Abs. 2 KDG-DVO n. F.) in sicherheitskritischen Bereichen oder bei Zugriffen außerhalb gesicherter Netze der Einsatz von Mehr-Faktor-Authentifizierungsverfahren (MFA) erforderlich. Diese Vorschrift wird vermutlich regelmäßig zu einer faktischen MFA-Pflicht führen. Hinsichtlich Sicherungskopien der Datenbestände wird nun explizit geregelt, dass sie nach aktuellem Stand der Technik mit geeigneten Maßnahmen vor unbefugten Zugriffen geschützt werden müssen, im Vergleich zur bisherigen Vorschrift, sie verschlossen aufzubewahren, ist das relativ streng. Ab Schutzniveau II (§ 12 Abs. 2 KDG-DVO n. F.) sind veränderte Regeln zu Passwörtern vorgesehen, diese müssen ausreichend komplex gewählt sein. Allerdings muss die Erneuerung von Passwörtern nicht mehr in regelmäßigen Abständen systemseitig vorgesehen werden, ausschlaggebend für die Erneuerung ist der jeweilige Sicherheitsbedarf. Damit nährt sich die KDG-DVO den Empfehlungen des BSI an, das von anlassunabhängigen Passwortänderungen abrät, da diese zu zunehmend unsichereren Passwörtern führen sollen. Um das Starten eines IT-Systems mit einem anderen Betriebssystem als dem dafür bereitgestellten zu unterbinden, sind geeignete technische Maßnahmen wie etwa ein Boot-Schutz umzusetzen. Nutzung von Cloud-Diensten Mit § 18 KDG-DVO n. F. finden Vorschriften zur Regelung der Nutzung von Cloud-Diensten Eingang in die Verordnung. Absatz 1 ähnelt dabei auf den ersten Blick der Norm zu autorisierten Programmen (§ 18 KDG-DVO a. F., § 19 KDG-DVO n. F.), allerdings wird im Gegensatz zur ausschließlichen Verwendung von autorisierten Programmen und Kommunikationstechnologien auf dienstlichen IT-Systemen lediglich geregelt, dass “primär bereits geprüfte und freigegebene Cloud-Dienste zu nutzen” sind. Für Verantwortliche scheint es empfehlenswert, ihren Mitarbeitenden strengere Vorschriften aufzuerlegen, als es durch die KDG-DVO geschieht, und nur die Nutzung geprüfter und freigegebener Cloud-Dienste zu genehmigen. Weiterhin wird in Absatz 2 dargestellt, welche Kriterien für die Überprüfung von Cloud-Diensten relevant sind. Bedauernswerterweise werden durch das Einführen dieses neuen Paragraphen die nachfolgenden bereits vorher bestehenden jeweils nach hinten verschoben. Das sorgt dafür, dass Verantwortliche bestehende Dokumente, die sich auf wenigstens einen dieser Paragraphen beziehen, sinnvollerweise zum Inkrafttreten der neuen Fassung der KDG-DVO auch dann überarbeiten müssen, wenn sich inhaltlich bei diesen nichts geändert hat. Die Einführung von Regelungen zu Cloud-Diensten ist im Zuge der Modernisierung der KDG-DVO sicherlich sinnvoll, aus dem genannten Grund aber leider strukturell ungünstig umgesetzt. Nutzung privater IT-Systeme zu dienstlichen Zwecken Das Weiterleiten an private E-Mail-Konten wird strenger geregelt: Bisher ist lediglich das automatische Weiterleiten dienstlicher Mails auf private E-Mail-Konten unzulässig. § 21 Abs. 4 KDG-DVO n. F. untersagt hingegen pauschal die Weiterleitung dienstlicher personenbezogener Daten auf private E-Mail-Konten, wobei Ausnahmeregelungen durch den Verantwortlichen getroffen werden können, wenn das “Schutzniveau nach dem KDG oder dieser Durchführungsverordnung [der KDG-DVO] nicht unterschritten wird”. Da dies aber dem Nachvollziehen von Löschungen oder dem Erfüllen von Betroffenenanfragen hinderlich ist, sollten derartige Ausnahmegenehmigungen nur in solchen Fällen erteilt werden, in denen keine andere Lösung zur Aufrechterhaltung der Arbeitsfähigkeit geeignet wäre. Neu ist § 21 Abs. 5 KDG-DVO n. F., der Mitarbeitenden vorschreibt, dass im Falle der Nutzung privater IT-Systeme zu dienstlichen Zwecken verhindert werden muss, dass unberechtigte Dritte Zugriff auf dienstliche personenbezogene Daten haben. Damit dürften IT-Systeme, die auch von anderen Familienmitgliedern genutzt werden, häufig ungeeignet für die dienstliche Nutzung sein. Übermittlung personenbezogener Daten per Fax Die bedeutendste Änderung für einige Einrichtungen dürfte der neue § 25 KDG-DVO n. F. darstellen. Bisher wird in § 24 KDG-DVO a. F. lediglich geregelt, wie Faxgeräte im Falle einer Übermittlung personenbezogener Daten zu verwenden sind. In der neuen Fassung der KDG-DVO hingegen findet man schlicht den Satz “Die Übermittlung personenbezogener Daten per Fax ist grundsätzlich unzulässig”. Zwar können in spezifischen Bestimmungen Ausnahmen, insbesondere Übergangsbestimmungen, vorgesehen werden. Aber dieses pauschale und auch zeitgemäße Verbot wird in diversen Fällen bei Einrichtungen von Caritasverbänden zu Problemen bzw. zur Notwendigkeit von Ausnahmebestimmungen führen, da einige Behörden noch immer darauf bestehen, per Fax beispielsweise mit Einrichtungen der Eingliederungshilfe oder der Kinder- und Jugendhilfe zu kommunizieren. Fazit Trotz des übersichtlicheren Aufbaus der §§ 9 und 10 ist die Novelle der KDG-DVO strukturell nicht völlig gelungen, schließlich wäre das Verschieben bestehender Normen vermeidbar gewesen. Die inhaltlichen Änderungen sind allerdings nachvollziehbar und der Modernisierung der KDG-DVO zuträglich. Es ist begrüßenswert, dass der Begriff IT-Systeme etwas technologieoffener definiert wird und nun Vorschriften zur Verwendung von Cloud-Diensten verfasst wurden. Zwar ist das Faxen personenbezogener Daten ohnehin weder zeitgemäß noch ratsam, die Übermittlung per Fax grundsätzlich zu untersagen, ist allerdings dennoch eine mutige Entscheidung des Verbands der Diözesen Deutschlands. Insgesamt kann man aber sagen, dass sich für gewissenhafte Verantwortliche in der Zukunft nicht allzu viel ändern dürfte. Wie die actago Unternehmensgruppe Sie unterstützen kann Die actago Unternehmensgruppe begleitet kirchliche und karitative Organisationen praxisnah bei der Umsetzung der KDG-DVO Novelle und sorgt dafür, dass neue Anforderungen sicher und effizient erfüllt werden. Wir unterstützen sie bei der Bewertung des aktuellen Datenschutzniveaus, der Anpassung interner Prozesse sowie der Weiterentwicklung technischer und organisat

Zusammenfassung

Die KDG-DVO Novelle bringt ab dem 1. März 2026 zahlreiche Anpassungen im kirchlichen Datenschutz. Zentrale Änderungen betreffen das Verzeichnis von Verarbeitungstätigkeiten (VVT). Neu sind u. a. präzisierte Anforderungen an Verschlüsselung, Zugangskontrollen, Datenminimierung und die regelmäßige Überprüfung der TOM. Bei der Vorlage von Zertifikaten müssen sich diese an Veröffentlichungen des BSI oder Regelungen mit vergleichbaren Schutzstandards (z. B. ISO/IEC 27001) orientieren.

Besonders relevant sind die Einführung einer faktischen MFA-Pflicht bereits ab Schutzniveau I, neue Regelungen zur Nutzung von Cloud-Diensten, strengere Vorgaben für private IT-Systeme im dienstlichen Einsatz sowie das grundsätzliche Verbot der Übermittlung personenbezogener Daten per Fax. Insgesamt modernisiert die Novelle die KDG-DVO deutlich, ohne für datenschutzkonforme Verantwortliche grundlegende Umstellungen zu erzwingen.

In diesem Artikel:

Verzeichnis von Verarbeitungstätigkeiten
Schulung
Verpflichtungserklärung
IT-Systeme
Technische und organisatorische Maßnahmen (ToM)
Überprüfung der technischen und organisatorischen Maßnahmen
Datenschutzklassen und Datenschutzniveau
Nutzung von Cloud-Diensten
Nutzung privater IT-Systeme zu dienstlichen Zwecken
Übermittlung der personenbezogenen Daten per FAX
Fazit

Am 24. November 2025 beschloss die Vollversammlung des Verbandes der Diözesen Deutschlands die Novellierung der Durchführungsverordnung zum Gesetz über den Kirchlichen Datenschutz (KDG-DVO). Die neue Fassung soll planmäßig am 1. März 2026 die bestehende ablösen, muss dazu aber noch in den einzelnen Diözesen in Kraft gesetzt werden. Aber was sind die relevanten Unterschiede zwischen der alten Fassung (a. F.) und der neuen Fassung (n. F.) der KDG-DVO und was bedeuten sie für datenschutzrechtlich Verantwortliche?

Verzeichnis von Verarbeitungstätigkeiten (VVT)

Die erste inhaltliche Änderung ist wenig überraschend: Die Übergangsfrist für das Erstellen des VVTs in § 1 KDG-DVO wird nicht mehr genannt, schließlich wäre sie bereits 2019 abgelaufen. Auch für das Anpassen bereits erstellter Verzeichnisse wird keine Übergangsfrist mehr aufgeführt. Im Gegensatz zur bisherigen Regelung ist nicht nur die regelmäßige Überprüfung des VVTs zu dokumentieren, sondern auch dessen Änderungen, was allerdings in der Praxis kaum einen Unterschied für Verantwortliche machen dürfte, da die bereits vorher notwendige Dokumentenhistorie sinnvollerweise auch Änderungen enthalten haben dürfte.

Schulung

Gemäß § 2 Abs. 7 KDG-DVO n.F. sind Mitarbeitende regelmäßig zu schulen, auch das wird für gewissenhafte Verantwortliche keine Änderung mit sich bringen.

Verpflichtungserklärung

Während nach § 3 Abs. 3 Satz 2 KDG-DVO a. F. bestehende Verpflichtungserklärungen nach § 4 KDO noch wirksam bleiben, entfällt dies in der Lesefassung. Insbesondere bei Verantwortlichen mit einer geringen Fluktuation wurden wahrscheinlich bereits länger bei ihnen Beschäftigte noch nicht nach § 5 Satz 2 KDG verpflichtet, wobei sich § 4 KDO und § 5 KDG kaum unterscheiden.

IT-Systeme

Die Definition von “IT-Systemen” (§ 4 KDG-DVO) wird in der Lesefassung offener gestaltet als bisher. Als IT-Systeme gelten nicht nur “alle elektronischen Geräte und Softwarelösungen, mit denen personenbezogene Daten verarbeitet werden”, sondern “sämtliche technische Einrichtungen”, mit denen personenbezogene Daten automatisiert verarbeitet werden. Neu ist dabei auch, dass die automatisierte Verarbeitung von personenbezogenen Daten mit ausschlaggebend ist. Im zweiten Absatz ist die Aufzählung der beispielhaften IT-Systeme nun allgemeiner gehalten. Es werden die drei Kategorien hardwarebasierte IT-Komponenten, Softwarelösungen sowie cloudbasierte Systeme und Dienste genannt.

Technische und organisatorische Maßnahmen (ToM)

Während in § 6 Abs. 1 lit. b) KDG-DVO a. F. nur von “geeigneten Verschlüsselungsverfahren” die Rede ist, wird in der novellierten Fassung klargestellt, dass die Verfahren dem aktuellen Stand der Technik sowie dem Sicherheitsbedarf entsprechend zu wählen sind.

Der Umfang der Zugangskontrolle wird auf Benutzerzugänge ausgeweitet (§ 6 Abs. 2 lit. b) KDG-DVO n. F.), bisher waren lediglich IT-Systeme umfasst. Es sind ausdrücklich ToM zu ergreifen, die geeignet sind, Identitätsdiebstahl zu vermeiden, insbesondere gilt das für Verarbeitungen außerhalb eines geschlossenen und gesicherten Netzwerks.

Während das Trennungsgebot bisher allgemein für Daten gilt, wird in § 6 Abs. 2 lit. i) KDG-DVO n. F. nur noch von personenbezogenen Daten gesprochen.

Neu ist die Klarstellung in Buchstabe k), dass dem Grundsatz der Datenminimierung schon bei der Auswahl von IT-Systemen, insbesondere von Softwarelösungen, angemessen Rechnung zu tragen ist.

Überprüfung der technischen und organisatorischen Maßnahmen

Die ToM sind weiterhin regelmäßig, mindestens aber alle zwei Jahre, auf ihre Wirksamkeit zu überprüfen. Die Vorlage eines anerkannten Zertifikats gemäß § 26 Abs. 4 KDG bleibt zulässig, allerdings müssen sich derartige Zertifikate künftig an Veröffentlichungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) oder anderen Regelungen, die einen vergleichbaren Schutzstandard gewährleisten (die KDG-DVO n. F. nennt hier explizit den Standard ISO/IEC 27001), orientieren.

Datenschutzklassen und Datenschutzniveau

Der Inhalt der §§ 9 (Einordnung in Datenschutzklassen) und 10 (Schutzniveau) KDG-DVO a. F. wird in den neuen Fassungen der §§ 9 (Einordnung in Datenschutzklassen und Datenschutzniveau) und 10 (Risikoanalyse) KDG-DVO n. F. beibehalten, die geänderte Struktur sorgt aber für mehr Übersichtlichkeit bei den Regelungen zur Einordnung in die Datenschutzklassen und Schutzniveaus.

Während die Kriterien für die Einordnung in die Datenschutzklassen unverändert bleiben, gibt es Neuerungen hinsichtlich der Umsetzung der einzelnen Schutzniveaus. So ist bereits für Schutzniveau I (§ 11 Abs. 2 KDG-DVO n. F.) in sicherheitskritischen Bereichen oder bei Zugriffen außerhalb gesicherter Netze der Einsatz von Mehr-Faktor-Authentifizierungsverfahren (MFA) erforderlich. Diese Vorschrift wird vermutlich regelmäßig zu einer faktischen MFA-Pflicht führen. Hinsichtlich Sicherungskopien der Datenbestände wird nun explizit geregelt, dass sie nach aktuellem Stand der Technik mit geeigneten Maßnahmen vor unbefugten Zugriffen geschützt werden müssen, im Vergleich zur bisherigen Vorschrift, sie verschlossen aufzubewahren, ist das relativ streng. Ab Schutzniveau II (§ 12 Abs. 2 KDG-DVO n. F.) sind veränderte Regeln zu Passwörtern vorgesehen, diese müssen ausreichend komplex gewählt sein. Allerdings muss die Erneuerung von Passwörtern nicht mehr in regelmäßigen Abständen systemseitig vorgesehen werden, ausschlaggebend für die Erneuerung ist der jeweilige Sicherheitsbedarf. Damit nährt sich die KDG-DVO den Empfehlungen des BSI an, das von anlassunabhängigen Passwortänderungen abrät, da diese zu zunehmend unsichereren Passwörtern führen sollen. Um das Starten eines IT-Systems mit einem anderen Betriebssystem als dem dafür bereitgestellten zu unterbinden, sind geeignete technische Maßnahmen wie etwa ein Boot-Schutz umzusetzen.

Nutzung von Cloud-Diensten

Mit § 18 KDG-DVO n. F. finden Vorschriften zur Regelung der Nutzung von Cloud-Diensten Eingang in die Verordnung. Absatz 1 ähnelt dabei auf den ersten Blick der Norm zu autorisierten Programmen (§ 18 KDG-DVO a. F., § 19 KDG-DVO n. F.), allerdings wird im Gegensatz zur ausschließlichen Verwendung von autorisierten Programmen und Kommunikationstechnologien auf dienstlichen IT-Systemen lediglich geregelt, dass “primär bereits geprüfte und freigegebene Cloud-Dienste zu nutzen” sind. Für Verantwortliche scheint es empfehlenswert, ihren Mitarbeitenden strengere Vorschriften aufzuerlegen, als es durch die KDG-DVO geschieht, und nur die Nutzung geprüfter und freigegebener Cloud-Dienste zu genehmigen.

Weiterhin wird in Absatz 2 dargestellt, welche Kriterien für die Überprüfung von Cloud-Diensten relevant sind.

Bedauernswerterweise werden durch das Einführen dieses neuen Paragraphen die nachfolgenden bereits vorher bestehenden jeweils nach hinten verschoben. Das sorgt dafür, dass Verantwortliche bestehende Dokumente, die sich auf wenigstens einen dieser Paragraphen beziehen, sinnvollerweise zum Inkrafttreten der neuen Fassung der KDG-DVO auch dann überarbeiten müssen, wenn sich inhaltlich bei diesen nichts geändert hat. Die Einführung von Regelungen zu Cloud-Diensten ist im Zuge der Modernisierung der KDG-DVO sicherlich sinnvoll, aus dem genannten Grund aber leider strukturell ungünstig umgesetzt.

Nutzung privater IT-Systeme zu dienstlichen Zwecken

Das Weiterleiten an private E-Mail-Konten wird strenger geregelt: Bisher ist lediglich das automatische Weiterleiten dienstlicher Mails auf private E-Mail-Konten unzulässig. § 21 Abs. 4 KDG-DVO n. F. untersagt hingegen pauschal die Weiterleitung dienstlicher personenbezogener Daten auf private E-Mail-Konten, wobei Ausnahmeregelungen durch den Verantwortlichen getroffen werden können, wenn das “Schutzniveau nach dem KDG oder dieser Durchführungsverordnung [der KDG-DVO] nicht unterschritten wird”.

Da dies aber dem Nachvollziehen von Löschungen oder dem Erfüllen von Betroffenenanfragen hinderlich ist, sollten derartige Ausnahmegenehmigungen nur in solchen Fällen erteilt werden, in denen keine andere Lösung zur Aufrechterhaltung der Arbeitsfähigkeit geeignet wäre.

Neu ist § 21 Abs. 5 KDG-DVO n. F., der Mitarbeitenden vorschreibt, dass im Falle der Nutzung privater IT-Systeme zu dienstlichen Zwecken verhindert werden muss, dass unberechtigte Dritte Zugriff auf dienstliche personenbezogene Daten haben. Damit dürften IT-Systeme, die auch von anderen Familienmitgliedern genutzt werden, häufig ungeeignet für die dienstliche Nutzung sein.

Übermittlung personenbezogener Daten per Fax

Die bedeutendste Änderung für einige Einrichtungen dürfte der neue § 25 KDG-DVO n. F. darstellen. Bisher wird in § 24 KDG-DVO a. F. lediglich geregelt, wie Faxgeräte im Falle einer Übermittlung personenbezogener Daten zu verwenden sind. In der neuen Fassung der KDG-DVO hingegen findet man schlicht den Satz “Die Übermittlung personenbezogener Daten per Fax ist grundsätzlich unzulässig”. Zwar können in spezifischen Bestimmungen Ausnahmen, insbesondere Übergangsbestimmungen, vorgesehen werden. Aber dieses pauschale und auch zeitgemäße Verbot wird in diversen Fällen bei Einrichtungen von Caritasverbänden zu Problemen bzw. zur Notwendigkeit von Ausnahmebestimmungen führen, da einige Behörden noch immer darauf bestehen, per Fax beispielsweise mit Einrichtungen der Eingliederungshilfe oder der Kinder- und Jugendhilfe zu kommunizieren.

Fazit

Trotz des übersichtlicheren Aufbaus der §§ 9 und 10 ist die Novelle der KDG-DVO strukturell nicht völlig gelungen, schließlich wäre das Verschieben bestehender Normen vermeidbar gewesen. Die inhaltlichen Änderungen sind allerdings nachvollziehbar und der Modernisierung der KDG-DVO zuträglich. Es ist begrüßenswert, dass der Begriff IT-Systeme etwas technologieoffener definiert wird und nun Vorschriften zur Verwendung von Cloud-Diensten verfasst wurden. Zwar ist das Faxen personenbezogener Daten ohnehin weder zeitgemäß noch ratsam, die Übermittlung per Fax grundsätzlich zu untersagen, ist allerdings dennoch eine mutige Entscheidung des Verbands der Diözesen Deutschlands.

Insgesamt kann man aber sagen, dass sich für gewissenhafte Verantwortliche in der Zukunft nicht allzu viel ändern dürfte.

Wie die actago Unternehmensgruppe Sie unterstützen kann

Die actago Unternehmensgruppe begleitet kirchliche und karitative Organisationen praxisnah bei der Umsetzung der KDG-DVO Novelle und sorgt dafür, dass neue Anforderungen sicher und effizient erfüllt werden. Wir unterstützen sie bei der Bewertung des aktuellen Datenschutzniveaus, der Anpassung interner Prozesse sowie der Weiterentwicklung technischer und organisatorischer Maßnahmen nach aktuellem Stand der Technik. Dazu zählen unter anderem die Einführung geeigneter Zugriffskonzepte, die datenschutzkonforme Nutzung von Cloud-Diensten sowie die Unterstützung bei der Umsetzung neuer Vorgaben wie Mehr-Faktor-Authentifizierung oder dem Faxverbot. Ergänzend bietet die actago GmbH maßgeschneiderte Schulungen und kontinuierliche Beratung, um Verantwortliche langfristig zu entlasten und ein hohes Datenschutzniveau nachhaltig zu verankern.

Sie haben Fragen zur KDG-DVO Novelle? Kontaktieren Sie uns, wir unterstützen Sie gerne!

Über den Autor

Verlinktes Autorenprofil Kurz

Lorenz Treimer

Geprüfter Datenschutzberater – Schwerpunkt kirchliches Datenschutzrecht

Gepostet in Beiträge zum Thema Datenschutz abgelegt unter Compliance, Cybersicherheit, Datenschutz, DSGVO, KDG, kirchliche Organisation, Wohlfahrt