Für kirchliche Stellen sind grundsätzlich die kirchlichen Gesetze und sonstigen Bestimmungen der jeweiligen (Erz-)Diözese bindend. Für den Datenschutz ist das seit dem 24. Mai 2018 in Kraft befindliche Gesetz über den kirchlichen Datenschutz maßgebend. Die zur alten und von den (Erz-)Bischöfen außer Kraft gesetzte Anordnung über den kirchlichen Datenschutz (KDO) gehörenden Ausführungsbestimmungen (KDO-DVO) bleiben längstens bis zum 30. Juni 2019 in Kraft. Sie sind bis zu einer Neufassung den Vorgaben des KDG entsprechend anzuwenden. Zu den Ausführungsbestimmungen gehören auch die spezialgesetzlichen Regelungen, wie etwa die Ordnung zum Schutz von Patientendaten in katholischen Krankenhäusern und Einrichtungen (PatDSO) oder die Anordnung über den kirchlichen Datenschutz für die Verarbeitung personenbezogener Daten in den katholischen Schulen in freier Trägerschaft (KDO-Schulen). Auch diese sind bis zu einer Neufassung so anzuwenden, das sie den Vorgaben des KDG nicht entgegenstehen.
Diese Bestimmungen können die Übermittlung von Daten unter dort näher genannten Voraussetzungen erlauben. Gesetzliche Grundlagen können einen Erlaubnistatbestand für eine Datenweitergabe schaffen. Dabei sind nicht nur kirchliche Rechtsgrundlagen, sondern auch Gesetze aus dem staatlichen Bereich zu beachten, insbesondere wenn es sich um für alle geltende Gesetze im Sinne des Grundgesetzes oder um Bereiche handelt, in denen kirchliche Einrichtungen der staatlichen Refinanzierung unterliegen. So finden sich im Gesetz zur frühen Bildung und Förderung von Kindern (Kinderbildungsgesetz – KiBiz) Bestimmungen, welche der Daten für welche Zwecke weitergeleitet werden dürfen. Andererseits ist zu beachten, dass nicht das nordrhein-westfälische Gesetz zum Schutz personenbezogener Daten im Gesundheitswesen (Gesundheitsdatenschutzgesetz – GDSG NW) einschlägig ist, sondern die bereits erwähnte PatDSO. Gleiches gilt für die Anwendung der KDO-Schulen im Verhältnis zu den entsprechenden landesrechtlichen Bestimmungen.