Kontakt

Home  >  Aktuelles

Liste der Änderungen KDG / KDG-DVO und Audit-Fragen zur Umsetzung

 

Die folgenden Änderungen habe ich identifiziert und liste sie hier zunächst mal auf. Am Ende findet sich dann die Audit-Liste.

  • Ehrenamtliche jetzt ausdrücklich erfasst (KDG § 5 Abs. 2): Ehrenamtlich Tätige sind – soweit sie personenbezogene Daten verarbeiten – nun ausdrücklich in die Pflicht zum Datengeheimnis einbezogen.
    Das stellt gesetzlich klar, dass die Vertraulichkeitsbindung nicht nur Beschäftigte trifft.
  • Einwilligungen: Text-/elektronische Form als Regelfall möglich (KDG § 8 Abs. 1–4): Das KDG verlangt für Einwilligungen keine „Schriftform als Normalfall“, sondern v. a. Nachweisbarkeit und informierte, eindeutige Abgabe.
    Schriftlichkeit wird nur als Fallgestaltung erwähnt (wenn die Einwilligung „durch eine schriftliche Erklärung“ erfolgt) und ist damit nicht zwingender Standard.
  • Wegfall der Sondernormen zur „Offenlegung“ (KDG § 9, § 10: nicht belegt): Die bisherigen §§ 9 und 10 sind in der neuen Fassung als „nicht belegt“ ausgewiesen und damit weggefallen.
    Soweit Prozesse bisher ausdrücklich darauf Bezug nahmen, müssen sie auf allgemeine Rechtsgrundlagen/Zweckänderung umgestellt werden.
  • Neue ausdrückliche Rechtsgrundlage für Gottesdienste/kirchliche Veranstaltungen (KDG § 52a): § 52a ist als neue Spezialnorm aufgenommen („Gottesdienste und kirchliche Veranstaltungen“).
    Damit existiert nun eine klar benannte gesetzliche Grundlage für die dort geregelten Verarbeitungssituationen (z. B. auch Streaming, soweit vom Anwendungsbereich umfasst).
  • Betriebliche Datenschutzbeauftragte: Schwelle „20 Personen“ (KDG § 36 Abs. 2 lit. a; zusätzlich Klarstellung juristische Person, KDG § 36 Abs. 5): Für kirchliche Stellen nach § 3 Abs. 1 lit. b und c besteht eine Benennungspflicht u. a. erst, wenn sich „in der Regel mindestens zwanzig Personen ständig“ mit Verarbeitung personenbezogener Daten beschäftigen.
    Zudem stellt § 36 Abs. 5 ausdrücklich klar, dass der/die bDSB eine natürliche oder juristische Person sein kann.
  • IT-System-Begriff technologieoffen inkl. Cloud (KDG-DVO § 4 Abs. 1–2): „IT-Systeme“ sind nun sämtliche technischen Einrichtungen, mittels derer personenbezogene Daten automatisiert verarbeitet werden; ausdrücklich inkl. cloudbasierter Systeme und Dienste.
    Das erweitert den Anwendungsbereich der TOM-Pflichten in der Praxis auf Cloud-/SaaS-Konstellationen.
  • VVT: Dokumentation von Überprüfung und Aktualisierung/Änderungen (KDG-DVO § 1 Abs. 3): Das Verzeichnis ist bei jeder Verfahrensänderung zu aktualisieren und spätestens alle zwei Jahre zu überprüfen; beides ist zu dokumentieren.
    Zusätzlich: Bereitstellung an bDSB „vor Beginn“ der Verarbeitung und auf Anfrage an die Aufsicht.
  • Regelmäßige Schulungspflicht (KDG-DVO § 2 Abs. 7): Mitarbeitende sind „regelmäßig zu schulen“.
    Das geht über reine Belehrung/Vertrautmachen mit Texten hinaus und verlangt ein wiederkehrendes Schulungskonzept.
  • Verpflichtungserklärung: inhaltliche Mindestanforderungen (KDG-DVO § 3 Abs. 1–2): Die Verpflichtungserklärung muss definierte Inhalte enthalten (u. a. Identifizierungsdaten, Bestätigung von Hinweis/Belehrung, Verpflichtung zur Einhaltung).
    Sie ist zu unterzeichnen oder „auf eine andere dem Verfahren angemessene Weise zu signieren“.
  • TOM: Verschlüsselung nach Stand der Technik + Schutz vor Identitätsdiebstahl (KDG-DVO § 6 Abs. 1 lit. b; § 6 Abs. 2 lit. b S. 2–3): Verschlüsselungsverfahren müssen dem aktuellen Stand der Technik und dem Sicherheitsbedarf entsprechend ausgewählt werden.
    Neu/konkretisiert ist die ausdrückliche Pflicht zu TOM „zur Vermeidung von Identitätsdiebstahl“, insbesondere außerhalb geschlossener Netze.
  • Datenminimierung schon bei Systemauswahl (KDG-DVO § 6 Abs. 2 lit. k): Bei der Auswahl von IT-Systemen, insbesondere Softwarelösungen, ist dem Grundsatz der Datenminimierung angemessen Rechnung zu tragen.
    Das verankert „Privacy by design“ praktisch als Beschaffungskriterium.
  • TOM-Überprüfung & Zertifikatsnachweis: BSI/ISO-Orientierung (KDG-DVO § 7 Abs. 1–3): TOM sind mindestens alle zwei Jahre auf Wirksamkeit zu prüfen; die Prüfung ist zu dokumentieren.
    Als Nachweis kann ein Zertifikat dienen, das sich an BSI-Veröffentlichungen orientiert; alternativ ist auch Orientierung an Regelwerken mit vergleichbarem Schutzstandard zulässig, ausdrücklich genannt: ISO/IEC 27001.
  • Schutzniveau I: MFA in kritischen Bereichen/bei externen Zugriffen (KDG-DVO § 11 Abs. 2 lit. b S. 2): Schon für Schutz-/Schutzniveau I ist in sicherheitskritischen Bereichen oder bei Zugriffen außerhalb gesicherter Netze „insbesondere“ Mehr-Faktor-Authentifizierung vorzusehen.
    Das führt praktisch häufig zu einer MFA-Pflicht für mobile/Remote-Zugriffe.
  • Schutzniveau I/II: Backup-Schutz & Passwortregeln modernisiert (KDG-DVO § 11 Abs. 2 lit. c; § 12 Abs. 2 lit. a): Sicherungskopien sind nach Stand der Technik vor unbefugtem Zugriff zu schützen.
    In Schutzniveau II müssen Passwörter ausreichend komplex sein; eine Erneuerung erfolgt „nach dem jeweiligen Sicherheitsbedarf“ statt starrer Wechselintervalle.
  • Neue Cloud-Regelungen inkl. Exit-Strategie (KDG-DVO § 18 Abs. 1–3): Primär sind geprüfte und freigegebene Cloud-Dienste zu nutzen; ansonsten ist vorab anhand benannter Risiken zu prüfen.
    Zusätzlich ist – abhängig von der Risikoanalyse – vor Nutzung eine Exit-Strategie zu definieren (z. B. Datenlöschung/-übertragung).
  • Private IT dienstlich: strengere Vorgaben, inkl. Verbot Weiterleitung an private Mailkonten (KDG-DVO § 21 Abs. 4–5): Die Weiterleitung dienstlicher personenbezogener Daten auf private E-Mail-Konten ist unzulässig (Ausnahmen nur bei gleichbleibendem Schutzniveau).
    Außerdem müssen Mitarbeitende sicherstellen, dass unberechtigte Dritte (insb. Familienmitglieder) keinen Zugriff auf dienstliche personenbezogene Daten haben.
  • Fax: Grundsatzverbot (KDG-DVO § 25 Abs. 1–2): Die Übermittlung personenbezogener Daten per Fax ist grundsätzlich unzulässig.
    Ausnahmen sind nur über spezifische Bestimmungen (insb. Übergangsbestimmungen) möglich und müssen die allgemeinen Sicherheitsanforderungen beachten.

Ich habe mal eine Audit Prüfliste hinsichtlich der Änderungsbedarfe KDG / KDG-DVO (2026) erstellt:

Audit-Liste KDG Umsetzung

A. Ehrenamtliche / Datengeheimnis (Priorität)

  • Auditfrage: Sind ehrenamtlich Tätige, die personenbezogene Daten verarbeiten, identifiziert (Rollen/Listen/Teams)?
    Nachweis(e): Rollen-/Einsatzliste Ehrenamt, Aufgabenbeschreibungen, Prozessbeschreibung „Onboarding Ehrenamt“.
  • Auditfrage: Werden ehrenamtlich Tätige schriftlich auf das Datengeheimnis verpflichtet (bei Aufnahme der Tätigkeit) und ist das dokumentiert?
    Nachweis(e): Verpflichtungserklärungen (unterzeichnet), Ablagekonzept, Stichprobenakte/Scan, Nachweis Ausgabe an Person.
  • Auditfrage: Ist geregelt, dass das Datengeheimnis nach Beendigung fortbesteht (auch bei Ehrenamt)?
    Nachweis(e): Offboarding‑Checkliste, Hinweistext/Belehrung, Rückgabe-/Löschbestätigung.

B. Einwilligung (querschnittlich)

  • Auditfrage: Wo Verarbeitung auf Einwilligung gestützt wird: Kann die Einrichtung den Einwilligungsnachweis führen?
    Nachweis(e): Einwilligungsformulare/Protokolle, digitale Logs, Widerrufsprozess und Nachweis der Umsetzung.

C. Streaming (falls genutzt)

  • Auditfrage: Gibt es Streaming von Gottesdiensten/kirchlichen Veranstaltungen und wird die hierfür vorgesehene Rechtsgrundlage samt Schutzmaßnahmen umgesetzt (Information, Interessen, übertragungsfreie Bereiche)?
    Nachweis(e): Informationshinweise vor Ort/online, Konzept „übertragungsfreie Bereiche“, Abwägungs-/Schutzkonzept.

Audit-Liste KDG-DVO (Durchführungsverordnung)

1) Mitarbeitende (inkl. Ehrenamt) – Belehrung/Verpflichtung/Schulung (Priorität)

  • Auditfrage: Umfasst der Begriff „Mitarbeitende“ in euren Prozessen Beschäftigte und Ehrenamtliche?
    Nachweis(e): Datenschutzhandbuch/Policy, Prozessbeschreibung, Geltungsbereich der internen Richtlinien.
  • Auditfrage: Werden Mitarbeitende mit KDG/KDG‑DVO und weiteren relevanten Datenschutzvorschriften vertraut gemacht (Bereitstellung der Texte)?
    Nachweis(e): Intranet‑Nachweis/Linkliste, Aushang/Verfahrensanweisung, Onboarding‑Unterlagen.
  • Auditfrage: Existiert eine dokumentierte Verpflichtungserklärung (Inhalt nach § 3 KDG‑DVO) für Mitarbeitende?
    Nachweis(e): Muster-Verpflichtung, unterzeichnete Erklärungen, Ablage- und Versionierungsnachweis.
  • Auditfrage (Korrektur zu deiner Beobachtung): Gibt es eine regelmäßige Schulung für alle Mitarbeitenden (nicht nur Ehrenamtliche), und ist „regelmäßig“ risikoorientiert umgesetzt?
    Nachweis(e): Schulungskonzept, jährlicher/risikobasierter Schulungsplan, Teilnehmerlisten, Tests/Quiz‑Ergebnisse, Nachweise für Neu-/Wechselrollen, Erinnerungsläufe.

2) E‑Mail‑Weiterleitungen / private E‑Mail (Priorität)

  • Auditfrage: Gibt es Weiterleitungen (automatisch oder manuell) dienstlicher personenbezogener Daten an private E‑Mail‑Konten? (Sollte grundsätzlich „nein“ sein.)
    Nachweis(e): E‑Mail‑Policy, technische Mail‑Routing‑Regeln/Exchange‑Policies, Stichprobenprüfung, dokumentierte Ausnahmeentscheidungen (falls überhaupt).
  • Auditfrage: Falls Ausnahmen zugelassen werden: Sind sie dokumentiert und wird das Schutzniveau nach KDG/KDG‑DVO nicht unterschritten?
    Nachweis(e): Freigabeformular, Risiko-/Schutzniveau‑Begründung, zusätzliche TOM (z. B. Container/MDM), Review‑Protokoll.
  • Auditfrage: Werden Mails mit Daten der Datenschutzklasse II/III nur im geschlossenen Netz oder verschlüsselt versendet?
    Nachweis(e): Verschlüsselungsrichtlinie, technische Konfiguration, Testmails/Proof, Schulungsunterlage „E‑Mail‑Klassen“.
  • Auditfrage: Funktionspostfächer: Bei Klasse II/III ist abgesichert, dass nur autorisierte Personen Zugriff haben (Abstimmung mit Empfänger)?
    Nachweis(e): Berechtigungskonzepte, Freigabelisten, Abstimmungs-/Ticketnachweise.

3) Fax (Priorität)

  • Auditfrage: Wird irgendwo noch personenbezogen per Fax übermittelt? (Sollte grundsätzlich „nein“ sein.)
    Nachweis(e): Kommunikationsrichtlinie, Prozessersatz (z. B. verschlüsselte E‑Mail/Portal), Abschaltprotokolle/Provider‑Nachweise.[
  • Auditfrage: Gibt es (nur falls erforderlich) spezifische Ausnahmen/Übergangsbestimmungen und werden Sicherheitsstandards/§§ 5 ff. beachtet?
    Nachweis(e): Übergangsregel/Dienstanweisung, Risikobegründung, befristeter Maßnahmenplan zur Ablösung.

4) Cloud-Anwendungen (Priorität)

  • Auditfrage: Gibt es ein vollständiges Cloud‑Register (SaaS/PaaS/IaaS) als Teil des IT‑System‑Inventars?
    Nachweis(e): IT‑Inventar, Architektur-/Systemliste, Zuordnung zu Verarbeitungstätigkeiten.
  • Auditfrage: Werden primär geprüfte und freigegebene Cloud‑Dienste genutzt?
    Nachweis(e): Freigabeliste/Whitelist, Beschaffungsprozess, Protokoll der Freigabeentscheidung.
  • Auditfrage: Vor Nutzung anderer Cloud‑Dienste: Wurden die in § 18(2) genannten Risikofaktoren geprüft?
    Nachweis(e): Cloud‑Risikobewertung/Checkliste, Sicherheitsbewertung, Admin‑Access‑Konzept.
  • Auditfrage: Existiert eine Exit‑Strategie je Cloud‑Dienst (abhängig von Risikoanalyse)?
    Nachweis(e): Exit‑Plan (Datenübertragung/-löschung), Portabilitätsnachweis, Notfall-/Providerwechsel‑Plan.

5) Private IT / BYOD / mobiles Arbeiten (eng gekoppelt an Ehrenamt + Mail)

  • Auditfrage: Wird private IT für dienstliche Verarbeitung eingesetzt (inkl. Ehrenamt)? Wenn ja: gibt es schriftliche Zulassungen mit Mindestinhalten?
    Nachweis(e): BYOD‑Freigaben (mit Gründen, Dauer, MDM, Fernlöschung, Prüf-/Programmbefugnisse, Lösch‑Nachweis).
  • Auditfrage: Ist organisatorisch/technisch verhindert, dass Dritte (Familie) Zugriff haben?
    Nachweis(e): Handlungsanweisung, technische Settings/Container/MDM‑Policies, Stichprobenkontrolle.

6) TOM / IT‑Sicherheit (für Cloud, Remote, E‑Mail zentral)

  • Auditfrage: TOM sind umgesetzt (Stand der Technik, Sicherheitsbedarf), inkl. Verschlüsselung.
    Nachweis(e): TOM‑Dokument, Verschlüsselungskonzept, Konfigurationsnachweise.
  • Auditfrage: MFA bei Zugriffen außerhalb gesicherter Netze/sicherheitskritischen Bereichen ist vorgesehen (Schutzniveau I).
    Nachweis(e): IAM‑/MFA‑Policy, Systemkonfiguration, Rollout‑Protokoll.
  • Auditfrage: TOM‑Wirksamkeit wird mindestens alle zwei Jahre geprüft und dokumentiert; Zertifikate orientieren sich an BSI/vergleichbar (z. B. ISO/IEC 27001).
    Nachweis(e): Prüfprotokolle, Auditberichte, Maßnahmenlisten, Zertifikate/Atteste.

7) Verzeichnis von Verarbeitungstätigkeiten (VVT)

  • Auditfrage: Wird das VVT bei Änderungen aktualisiert und werden Überprüfung und Aktualisierung dokumentiert?
    Nachweis(e): VVT mit Historie/Änderungslog, Review‑Protokolle, Freigabe-Workflow


Für die Zusammenfassung hilfreich fand ich die folgenden Artikel:

https://artikel91.eu/2026/02/18/neues-kdg-tritt-in-kraft-das-ist-zu-tun

https://actago.de/kdg-dvo-novelle-was-aendert-sich-wirklich/

Bild von Michael Bock

Michael Bock

Michael Bock, Geschäftsführender Gesellschafter der Daseco GmbH und Inhaber der Rechtsanwaltskanzlei Bock

Neueste Beiträge

 

VG Wiesbaden 2025: Schufa Auskünfte, Verfahren und Grundsätze bei der Erstellung des Score-Werts sollten klar sein.

Zum Beitrag
 

OLG Frankfurt sieht unmittelbare Haftung von Cookie-Drittanbietern bei fehlender Einwilligung

Zum Beitrag
 

Neuregelung im KDG (Kirchliches Datenschutzgesetz)

Zum Beitrag

Individuelles Angebot anfragen

Jetzt Kontakt aufnehmen

Wenn Sie an unseren Dienstleistungen interessiert sind, so nehmen Sie mit uns Kontakt auf. Gerne erstellen wir Ihnen ein individuelles Angebot.
+49 2154 481575
WhatsApp
ue.o1772605100cesad1772605100@ofni1772605100 1772605100