Für kirchliche Stellen sind grundsätzlich die kirchlichen Gesetze und sonstigen Bestimmungen der jeweiligen (Erz-)Diözese bindend. Für den Datenschutz sind das seit dem 24. Mai 2018 in Kraft befindliche Gesetz über den kirchlichen Datenschutz (KDG) und die dazugehörige Durchführungsverordnung (KDG-DVO) maßgebend.
Zu den Ausführungsbestimmungen gehören auch die spezialgesetzlichen Regelungen, wie etwa das Gesetz zum Schutz von Patientendaten bei der Seelsorge in katholischen Einrichtungen des Gesundheitswesen (Seelsorge-PatDSG) oder die Anordnung über den kirchlichen Datenschutz für die Verarbeitung personenbezogener Daten in den katholischen Schulen in freier Trägerschaft (KDO-Schulen). Letztere ist bis zu einer Neufassung so anzuwenden, dass sie den Vorgaben des KDG nicht entgegenstehen.
Diese Bestimmungen können die Übermittlung von Daten unter dort näher genannten Voraussetzungen erlauben. Gesetzliche Grundlagen können einen Erlaubnistatbestand für eine Datenweitergabe schaffen. Dabei sind nicht nur kirchliche Rechtsgrundlagen, sondern auch Gesetze aus dem staatlichen Bereich zu beachten, insbesondere wenn es sich um für alle geltende Gesetze im Sinne des Grundgesetzes oder um Bereiche handelt, in denen kirchliche Einrichtungen der staatlichen Refinanzierung unterliegen. So finden sich im Gesetz zur frühen Bildung und Förderung von Kindern (Kinderbildungsgesetz – KiBiz) Bestimmungen, welche der Daten für welche Zwecke weitergeleitet werden dürfen. Andererseits ist zu beachten, dass nicht das nordrhein-westfälische Gesetz zum Schutz personenbezogener Daten im Gesundheitswesen (Gesundheitsdatenschutzgesetz – GDSG NW) einschlägig ist, sondern das bereits erwähnte PatDSG. Gleiches gilt für die Anwendung der KDO-Schulen im Verhältnis zu den entsprechenden landesrechtlichen Bestimmungen.