Für die vielen privatrechtlich verfaßten diakonischen und sonstigen selbstständigen kirchlichen Träger gelten im Grundsatz die Bestimmungen des Bundesdatenschutzgesetzes für die nicht-öffentlichen Stellen, in den Rechtsfolgen aber moderiert durch das Selbstbestimmungsrecht der Kirchen (Art. 140 GG i.V.m. Art. 137 III WRV):

Das Bundesdatenschutzgesetz und das kirchliche Datenschutzgesetz (DSG-EKD) wirken dabei so zusammen ^{Fußnote 1}:

• bei gleichen Rechtsfolgen gelten eben diese Rechtsfolgen.
• soweit das kirchliche Datenschutzgesetz zusätzliche Rechtsfolgen auferlegt, kommen diese zu denen des Bundesdatenschutzgesetzes hinzu.
• erlaubt das kirchliche Datenschutzgesetz eine weitergehendere Datenverwendung, ist dies als Ausdruck der kirchlichen Selbstbestimmung abzuwägen gegenüber die im Bundesdatenschutzgesetz geschützten Belange. Überwiegt das staatlich geschützte Belang, sind die weitergehenderen kirchlichen Bestimmungen unwirksam. Überwiegt das kirchliche Selbstbestimmungsrecht, müssen die staatlichen Bestimmungen im Einklang mit der Verfassung entsprechend ausgelegt werden.

Für organisatorische Vorgaben (z.B. zur Unabhängigkeit kirchlicher Datenschutzbeauftragter, zur Datenschutzkontrolle, zur Datenschutzaufsicht) gilt dies genauso.

Stellen der verfaßten Kirche (Behörden, Kirchengemeinden und weitere Organisationsebenen) unterliegen nicht dem Bundesdatenschutzgesetz. Die Kirchen üben keine staatliche Gewalt aus und sind deshalb nicht an die Grundrechte gebunden (Art. 1 III, 20 III GG). Allerdings muss der Staat auch bei einem kirchlichen Umgang mit personenbezogenen Daten dafür sorgen, dass Würde und Persönlichkeitsentfaltung der Betroffenen nicht beeinträchtigt werden. Im Ergebnis muss ein Ausgleich geschaffen werden zwischen dem informationellen Selbstbestimmungsrecht der Betroffenen und dem kirchlichen Selbstbestimmungsrecht.
Ein solcher Ausgleich setzt ein kirchliches Datenschutzrecht (DSG-EKD) voraus, dem eine "bürgerliche Wirkung" zugestanden wird und das der staatliche Gesetzgeber und staatliche Gerichte bei Konflikten zwischen den kirchlichen Datenverwendungsinteressen und einer davon eventuell beeinträchtigten informationellen Selbstbestimmung als rechtlichen Maßstab verwenden können. (Z.B. macht § 17 Landesdatenschutzgesetz als staatliche Vorschrift die Zulässigkeit der Übermittlung von Daten an Religionsgemeinschaften davon abhängig, dass kirchlicherseits ein "gleichwertiger" Datenschutz gegeben ist, ferner wird das kirchliche Datenschutzgesetz nachgeführt, wenn sich Bestimmungen des Bundesdatenschutzgesetzes ändern, dazu u.a.^{Fußnote 2}).

Der Anwendungsbereich der EG-Datenschutzrichtlinie (Richtlinie 95/46/EG) erstreckt sich auf Tätigkeiten, die von irgendeiner Bedeutung für den freien Verkehr von Waren und Dienstleistungen im Binnenmarkt sind. Dies betrifft zunächst die privatrechtlich verfaßten diakonischen und sonstigen selbstständigen kirchlichen Träger (in Teilen allerdings auch Stellen der verfaßten Kirche). Hier gilt die das kirchliche Selbstbestimmungsrecht beachtende verfassungskonforme Anwendung des Bundesdatenschutzgesetzes (s.o.), was EU-rechtlich durch  Art. 6 III EUV ("Die Europäische Union achtet die nationale Identität ihrer Mitgliedstaaten.") und Nr. 11 der Erklärung zum Amsterdamer Vertrag ("Die Europäische Union achtet den Status, den Kirchen und religiöse Vereinigungen oder Gemeinschaften in den Mitgliedstaaten nach deren Rechtsvorschriften genießen, und beeinträchtigt ihn nicht.") gedeckt ist. In der Konsequenz müssen z.B. auch die kirchlichen Datenschutzbeauftragten den Anforderungen des Art. 28 der EG-Datenschutzrichtlinie genügen^{Fußnote 5}, sollen keine von der EG-Datenschutzrichtlinie verlangten Aktivitäten der Bundesregierung ausgelöst werden. Generell darf der selbstbestimmte kirchliche Datenschutz nicht zu einem Wettbewerbsvorteil führen.

Soweit die Stellen der verfaßten Kirche (Landeskirche, Kirchengemeinden) nichts mit dem Dienstleistungsverkehr im Binnenmarkt zu tun haben, würden sie an sich nicht in den Anwendungsbereich des Gemeinschaftsrechts fallen. Allerdings unterscheidet das DSG-EKD nicht zwischen Landeskirche und Diakonie, so dass auch für die Stellen der Landeskirchen der Maßstab gilt, der an die privatrechtlich verfaßten diakonischen Stellen angelegt wird.

Beleihungen erfordern eine vertiefte Betrachtungsweise.

Soweit das kirchliche Datenschutzrecht Bezug auf das Persönlichkeitsrecht nimmt, findet keine rechtlich-theologische Umdeutung statt, sondern es wird ein im staatlichen Recht definierter Schutzgegenstand übernommen. Die Kirche will niemanden verletzen^{Fußnote 4}, hat aber eigene Datenverwendungsinteressen und trägt bei deren Verwirklichung unvermeidlich Verletzungsgefahren in den bürgerlichen Rechtsverkehr hinein.
Insoweit formuliert das kirchliche Datenschutzgesetz gegenüber dem Recht auf informationelle Selbstbestimmung das kirchliche Datenverwendungsinteresse. Aufgrund der kirchlichen Selbstbestimmung lässt das staatliche Recht das kirchliche mit "bürgerlicher Wirkung" gelten, teils innerhalb des Bundesdatenschutzgesetzes (Diakonie, DSG-EKD + BDSG), teils neben dem Bundesdatenschutzgesetz (Landeskirche, DSG-EKD)^{Fußnote 3}.

Dies kommt z.B. dadurch zum Ausdruck, dass das novellierte Datenschutzgesetz der evangelischen Kirche in Deutschland nunmehr fordert, dass IT-Sicherheit gewährleistet wird).