Die EU-DSGVO und das KDG sind zu einem großen Teil wortgleich. Um den erforderlichen Einklang mit der Verordnung herzustellen, sind die meisten Regelungen der EU-DSGVO wörtlich übernommen worden. Abweichungen ergeben sich in der Regel dort, wo kirchliche Interessen und Aufgaben eine Rolle spielen, kirchliche Strukturen Änderungen erforderlich machen oder kirchliche Besonderheiten zu berücksichtigen sind.

So wurde beispielsweise die Zugehörigkeit zu einer Kirche oder Religionsgemeinschaft, die nach der EU-DSGVO unter die besonderen Kategorien personenbezogener Daten zu fassen ist, im KDG ausdrücklich aus den besonderen Kategorien personenbezogener Daten herausgenommen. Würde es sich bei der Zugehörigkeit zur Katholischen Kirche, bei der es sich um eines der grundlegenden personenbezogenen Daten handelt, die im Bereich der katholischen Kirche verarbeitet werden, um eine besondere Kategorie personenbezogener Daten handeln, wäre eine Verarbeitung grundsätzlich unzulässig bzw. nur unter bestimmten sehr engen Voraussetzungen zulässig.

An zahlreichen Stellen, z. B. bei der Frage der Rechtmäßigkeit der Verarbeitung personenbezogener Daten, finden „kirchliche Interessen“ oder der „Auftrag der Kirche“ ausdrückliche Erwähnung. 

Die Höhe der Geldbußen bei Verstößen gegen das KDG weicht deutlich von den in der EU-DSGVO vorgesehenen Höhen der Geldbußen ab. Während die EU-DSGVO je nach Art des Verstoßes Geldbußen in Höhe von bis zu 10.000.000 Euro/ 20.000.000 Euro bzw. von bis zu 2 Prozent/4 Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres vorsieht, betragen Geldbußen nach dem KDG höchstens 500.000 Euro. Hintergrund dieser Abweichung ist, dass der Umsatz der meisten kirchlichen Einrichtungen deutlich geringer ist als bei staatlichen oder privatwirtschaftlichen Unternehmen. 

Darüber hinaus dürfen gegen kirchliche Stellen, soweit sie im weltlichen Rechtskreis öffentlich-rechtlich verfasst sind, keine Geldbußen verhängt werden. Dies gilt allerdings nicht, soweit sie als Unternehmen am Wettbewerb teilnehmen. Das BDSG enthält eine insoweit vergleichbare Vorschrift in § 43 Abs. 3 BDSG, als dort festgelegt ist, dass gegen Behörden und sonstige öffentliche Stellen im Sinne des § 2 Abs. 1 BDSG keine Geldbußen verhängt werden.

Abweichungen ergeben sich beispielsweise auch hinsichtlich der Datenschutzaufsicht: Die §§ 42 ff. KDG schreiben unter Berücksichtigung der kircheneigenen Strukturen eine kircheneigene Datenschutzaufsicht vor, die allerdings den Vorgaben der EU-DSGVO entspricht und für die das KDG insbesondere eine größtmögliche Unabhängigkeit der Datenschutzaufsicht festschreibt.""

Quelle: "Häufig gestellte Fragen – neues Kirchliches Datenschutzgesetz (KDG)" - Verband der Diözesen Deutschlands, Körperschaft des öffentlichen Rechts, als Rechtsträger der Deutschen Bischofskonferenz