Kirchen-Datenschutz lockert Vorgaben für Datenschutzbeauftragte

Die katholische Kirche in Deutschland hat die Pflicht zur Bestellung eines Datenschutzbeauftragten deutlich gelockert. Diese Änderung fällt in eine Zeit intensiver Debatten über Bürokratieabbau und könnte Vorbote einer grundlegenden Reform des nationalen Datenschutzrechts sein.

Seit 1. März 2026 gilt das novellierte Kirchen-Datenschutzgesetz (KDG). Es schreibt die Bestellung eines betrieblichen Datenschutzbeauftragten nun erst vor, wenn mindestens 20 Mitarbeiter regelmäßig mit der Datenverarbeitung beschäftigt sind. Bislang lag diese Schwelle bei nur zehn Beschäftigten. Die Neuregelung betrifft kirchliche Krankenhäuser, Pflegeheime, Schulen und Verwaltungen und harmonisiert das Kirchenrecht mit dem allgemeinen Standard des Bundesdatenschutzgesetzes (BDSG).

Unabhängig von der Mitarbeiterzahl müssen Unternehmen die EU-Vorgaben vollständig umsetzen, um teure Sanktionen zu vermeiden. Dieser kostenlose Leitfaden bietet Ihnen eine praxisnahe 5-Schritte-Anleitung zur rechtssicheren Umsetzung der DSGVO inklusive hilfreicher Checklisten. Kostenlosen DSGVO-Leitfaden jetzt herunterladen

Doppelter Prüfstein: EU-Verordnung und nationales Recht

Für die meisten Unternehmen in Deutschland ergibt sich die Pflicht zur Bestellung eines Datenschutzbeauftragten aus einem zweistufigen System. Die EU-Datenschutz-Grundverordnung (DSGVO) setzt auf einen risikobasierten Ansatz: Ein Beauftragter ist nötig, wenn die Kerntätigkeiten eine umfangreiche, regelmäßige und systematische Überwachung von Personen oder die Verarbeitung besonderer Kategorien personenbezogener Daten umfassen.

Deutschland hat von einer Öffnungsklausel Gebrauch gemacht und eine konkrete, niedrigere Schwelle im BDSG verankert. Nach § 38 BDSG ist ein Beauftragter verpflichtend, wenn in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Diese klare Regelung bietet vor allem kleinen und mittleren Unternehmen seit Jahren Rechtssicherheit.

Aufsichtsbehörden schärfen Fokus auf Transparenz

Während über Schwellenwerte diskutiert wird, verlagern die Datenschutz-Aufsichtsbehörden ihre Prüfschwerpunkte. Für 2026 haben sie eine koordinierte Aktion angekündigt, die die Einhaltung der Transparenz- und Informationspflichten nach den Artikeln 12 bis 14 der DSGVO in den Blick nimmt. Geprüft wird, ob Unternehmen in ihren Datenschutzhinweisen klar, vollständig und verständlich informieren.

Diese Initiative unterstreicht, dass die inhaltliche Umsetzung der Datenschutzgrundsätze für alle Organisationen verbindlich ist – unabhängig davon, ob sie gesetzlich zur Bestellung eines Datenschutzbeauftragten verpflichtet sind. Die Rolle des Beauftragten, der diese Compliance überwacht, gewinnt dadurch weiter an Bedeutung.

Die Dokumentationspflicht nach Art. 30 DSGVO bleibt eine zentrale Anforderung der Aufsichtsbehörden, deren Versäumnis Bußgelder von bis zu 2 % des Jahresumsatzes nach sich ziehen kann. Mit dieser kostenlosen Excel-Vorlage erstellen Sie Ihr Verarbeitungsverzeichnis rechtssicher und zeitsparend in unter einer Stunde. Gratis Excel-Vorlage für das Verarbeitungsverzeichnis sichern

Grundsatzdebatte: Wird die deutsche Sonderregel abgeschafft?

Die Angleichung im Kirchenrecht erfolgt vor dem Hintergrund einer größeren politischen Initiative. Die Bundesregierung hat Ende 2025 Pläne zur Modernisierung des Staates vorgelegt, die auch die Abschaffung der 20-Personen-Schwelle im BDSG vorsehen. Ziel ist es, kleine und mittlere Unternehmen von bürokratischen Lasten zu entbinden.

Datenschutzverbände wie die Gesellschaft für Datenschutz und Datensicherheit (GDD) kritisieren diesen Vorstoß scharf. Sie warnen vor Umsetzungsdefiziten und einem erhöhten Risiko für Bußgelder und Schadensersatzforderungen. Experten betonen, dass der klare Schwellenwert Rechtssicherheit schafft und der Bedarf an datenschutzrechtlicher Expertise angesichts neuer Regelungen wie der KI-Verordnung und des Data Acts der EU eher wächst.

Ausblick: Unternehmen müssen Lage neu bewerten

Die Bundesregierung wird noch 2026 einen Gesetzentwurf zur Änderung des BDSG vorlegen. Sollte die 20-Personen-Regel tatsächlich fallen, müssten Tausende Unternehmen ihren Status neu bewerten – ausschließlich anhand der abstrakteren Risikokriterien der DSGVO. Eine komplexe und unsichere Aufgabe.

Die Botschaft der Aufsichtsbehörden ist jedoch eindeutig: Die inhaltliche Compliance, insbesondere bei der Transparenz, steht im Fokus. Unternehmen sollten ihre Datenverarbeitung proaktiv überprüfen, ihre Datenschutzerklärungen stärken und klare Kommunikationsprozesse etablieren. In diesem dynamischen Umfeld bleibt der wird datenschutzrechtlicher Expertise – ob durch einen betrieblichen Beauftragten oder externen Berater – unverändert hoch.