Jeder eingetragene Verein verarbeitet personenbezogene Daten, sobald er Mitglieder aufnimmt: Name, Anschrift, Geburtsdatum, Kontoverbindung für den Beitragseinzug, oft auch Fotos von Vereinsfeiern. Damit fällt jeder Verein, egal wie klein, unter die Datenschutz-Grundverordnung der EU und das Bundesdatenschutzgesetz. Die DSGVO macht dabei keinen Unterschied zwischen einem Konzern und einem Kegelclub mit zwölf Mitgliedern.
Die gute Nachricht für ehrenamtliche Vorstände: Die Pflichten sind überschaubar, wenn man sie einmal sauber aufsetzt. Es geht nicht darum, eine eigene Datenschutzabteilung zu unterhalten, sondern darum, ein paar grundlegende Dokumente anzulegen und transparent zu machen, was mit den Daten passiert.
Warum die DSGVO auch für kleine Vereine gilt
Die DSGVO unterscheidet nicht nach Größe oder Rechtsform. Sobald personenbezogene Daten ganz oder teilweise automatisiert verarbeitet werden, etwa in einer Excel-Liste, einer Vereinssoftware oder einem E-Mail-Verteiler, greift die Verordnung. Auch eine reine Papier-Karteikarte fällt darunter, wenn sie strukturiert geführt wird.
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierbare natürliche Person beziehen. Im Verein betrifft das vor allem Mitgliederstammdaten, Beitragsdaten, Übungsleiter-Verträge und Kommunikationsdaten. Besonders schützenswert sind nach Art. 9 DSGVO sogenannte besondere Kategorien, etwa Gesundheitsdaten, die bei einem Behindertensportverein oder einer Selbsthilfegruppe relevant werden können.
Verantwortlicher im Sinne der DSGVO ist der Verein als juristische Person, vertreten durch den Vorstand. Das bedeutet: Die Verantwortung liegt nicht beim einzelnen Mitglied, das eine Liste pflegt, sondern beim Verein selbst. Der Vorstand sollte deshalb dafür sorgen, dass die Abläufe sauber dokumentiert sind und dass alle, die mit Mitgliederdaten arbeiten, die wichtigsten Grundregeln kennen.
Die sechs Grundprinzipien der Datenverarbeitung
Art. 5 DSGVO formuliert Grundsätze, an denen sich jede Verarbeitung messen lassen muss. Sie klingen abstrakt, lassen sich aber gut auf den Vereinsalltag übertragen. Wer sie verinnerlicht, trifft bei unklaren Fällen meist die richtige Entscheidung.
Zentral ist die Datenminimierung: Erhebe nur die Daten, die du für den jeweiligen Zweck wirklich brauchst. Für die Beitragsverwaltung ist die Kontoverbindung nötig, der Arbeitgeber eines Mitglieds dagegen nicht. Hinzu kommt die Zweckbindung: Daten, die du für die Mitgliederverwaltung erhoben hast, darfst du nicht ungefragt für Werbung eines Sponsors nutzen.
| Grundsatz | Im Verein bedeutet das |
|---|---|
| Rechtmäßigkeit | Für jede Verarbeitung eine Rechtsgrundlage haben |
| Zweckbindung | Mitgliederdaten nicht für vereinsfremde Zwecke nutzen |
| Datenminimierung | Nur erheben, was wirklich gebraucht wird |
| Richtigkeit | Adressänderungen zeitnah pflegen |
| Speicherbegrenzung | Daten nach Austritt löschen, soweit keine Aufbewahrungspflicht greift |
| Integrität | Daten vor unbefugtem Zugriff schützen |
Der letzte Grundsatz, die Rechenschaftspflicht, verlangt, dass der Verein die Einhaltung der übrigen Prinzipien nachweisen kann. Es genügt also nicht, datenschutzkonform zu handeln, der Verein muss das im Zweifel auch belegen können. Genau dafür dient die Dokumentation, die im nächsten Abschnitt behandelt wird.
Das Verzeichnis von Verarbeitungstätigkeiten
Das Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO ist das zentrale Pflichtdokument für die meisten Vereine. Es listet auf, welche Daten der Verein zu welchem Zweck verarbeitet, wer Zugriff hat, an wen Daten weitergegeben werden und wie lange sie gespeichert bleiben. Für kleine Vereine ohne umfangreiche Datenverarbeitung gibt es zwar Erleichterungen, in der Praxis lohnt sich das Verzeichnis aber fast immer, weil es Klarheit schafft.
Typische Einträge sind die Mitgliederverwaltung, der Beitragseinzug, die Öffentlichkeitsarbeit auf der Website und der E-Mail-Versand. Für jeden dieser Bereiche beschreibst du knapp, welche Datenarten betroffen sind und auf welcher Rechtsgrundlage du sie verarbeitest. Ein durchdachtes Verzeichnis bildet die Grundlage für saubere Auskünfte und Löschkonzepte.
Wer das Verzeichnis strukturiert aufsetzen möchte, kann den DSGVO-Generator für Vereine nutzen, der die typischen Verarbeitungstätigkeiten als Vorlage bereitstellt. Eine ausführliche Anleitung findest du im Beitrag zum Verzeichnis von Verarbeitungstätigkeiten.
Wann ein Datenschutzbeauftragter Pflicht wird
Viele Vorstände fürchten, sie müssten zwingend einen Datenschutzbeauftragten benennen. Für die meisten kleinen Vereine ist das nicht der Fall. Nach Art. 37 DSGVO in Verbindung mit § 38 BDSG wird ein Datenschutzbeauftragter unter anderem dann Pflicht, wenn in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Ehrenamtliche Vereine erreichen diese Schwelle praktisch nie.
Unabhängig von der Personenzahl kann eine Pflicht entstehen, wenn die Kerntätigkeit in einer umfangreichen Verarbeitung besonderer Datenkategorien besteht oder wenn eine umfangreiche regelmäßige Überwachung stattfindet. Das betrifft Spezialfälle, etwa große Sozialverbände. Im Zweifel solltest du diese Einordnung mit der Aufsichtsbehörde deines Bundeslandes klären.
Rechte der Betroffenen und ihre Umsetzung
Mitglieder haben gegenüber dem Verein eine Reihe von Rechten, die der Vorstand kennen sollte. Das wichtigste ist das Auskunftsrecht nach Art. 15 DSGVO: Auf Anfrage muss der Verein mitteilen, welche Daten er über eine Person gespeichert hat. Diese Auskunft ist grundsätzlich kostenfrei zu erteilen, und es gilt eine Frist von einem Monat, die in komplexen Fällen verlängert werden kann.
Hinzu kommen das Recht auf Berichtigung unrichtiger Daten (Art. 16), das Recht auf Löschung (Art. 17) und das Widerspruchsrecht. Praktisch heißt das: Der Verein braucht einen klaren Ablauf, wer solche Anfragen entgegennimmt und beantwortet. Bei kleinen Vereinen ist das meist der Vorsitzende oder der Schriftführer.
Wichtig ist die Identitätsprüfung. Bevor du Auskunft erteilst oder Daten löschst, solltest du dich vergewissern, dass die Anfrage wirklich von der betroffenen Person stammt. Andernfalls könntest du sensible Daten an Unbefugte herausgeben, was selbst eine Datenschutzverletzung darstellen würde. Bei Mitgliedern, die persönlich bekannt sind, ist das einfach, bei schriftlichen Anfragen lohnt sich eine kurze Rückfrage über einen bekannten Kontaktweg.
Das Recht auf Löschung ist nicht grenzenlos. Bestehen gesetzliche Aufbewahrungspflichten, etwa für Buchungsbelege, geht die Aufbewahrung der sofortigen Löschung vor. In diesem Fall werden die Daten gesperrt und erst nach Ablauf der Frist gelöscht. Erkläre der anfragenden Person in solchen Fällen kurz, warum eine sofortige Löschung nicht möglich ist.
- Anfrage schriftlich oder per E-Mail dokumentieren und das Eingangsdatum festhalten.
- Identität der anfragenden Person prüfen, um keine Daten an Unbefugte herauszugeben.
- Innerhalb eines Monats antworten und die gespeicherten Daten zusammenstellen.
- Den Vorgang ablegen, um die Beantwortung nachweisen zu können.
Fotos, Website und Einwilligung
Ein Dauerbrenner im Vereinsleben sind Fotos von Veranstaltungen. Hier greifen zwei Regelwerke ineinander: die DSGVO und das Kunsturhebergesetz, dessen § 22 KUG die Einwilligung in die Veröffentlichung von Bildnissen regelt. Wer Fotos von Mitgliedern auf der Website oder in sozialen Medien zeigen möchte, sollte sich dafür in der Regel eine Einwilligung einholen, idealerweise schriftlich.
Für die Vereinswebsite selbst brauchst du außerdem eine Datenschutzerklärung, die transparent macht, welche Daten beim Besuch erhoben werden. Wie du diese erstellst, liest du im Beitrag zur Datenschutzerklärung für die Vereinswebsite. Den richtigen Umgang mit Bildern behandelt der Ratgeber zur Fotoeinwilligung im Verein.
Neben dem DSGVO-Generator helfen weitere Werkzeuge bei der Vereinsverwaltung, etwa der Protokoll-Generator für Mitgliederversammlungen oder die Spendenbescheinigung. Wer ein neues Vereinskonto sucht, findet im Vereinskonto-Vergleich eine Übersicht.
Technische und organisatorische Maßnahmen
Art. 32 DSGVO verlangt, dass personenbezogene Daten angemessen geschützt werden. Für einen Verein bedeutet das keine teure IT-Infrastruktur, sondern vor allem vernünftige Grundregeln. Die Mitgliederliste gehört nicht offen auf einen geteilten Laufwerksordner, zu dem jeder Zugang hat, sondern in ein zugriffsbeschränktes System oder eine passwortgeschützte Datei. Wer das Dokument bearbeiten darf, sollte klar geregelt sein.
Auch die Kommunikation verdient Aufmerksamkeit. Werden Rundmails an alle Mitglieder verschickt, gehören die Adressen ins Blindkopie-Feld, damit nicht jeder Empfänger die Adressen aller anderen sieht. Solche scheinbar kleinen Punkte sind in der Praxis die häufigste Quelle von Datenschutzpannen im Verein. Endet die ehrenamtliche Tätigkeit eines Vorstandsmitglieds, sollten dessen Zugänge zu Daten und Konten zeitnah entzogen werden.
Eine kurze schriftliche Übersicht der getroffenen Maßnahmen hilft, im Bedarfsfall die Einhaltung von Art. 32 nachzuweisen. Diese Übersicht muss nicht umfangreich sein. Es genügt, die wichtigsten Punkte wie Zugriffsbeschränkung, Passwortschutz und sichere Aufbewahrung festzuhalten. Wer Daten in einer Cloud-Software speichert, sollte zusätzlich darauf achten, dass der Anbieter angemessene Sicherheitsstandards bietet und einen Vertrag zur Auftragsverarbeitung bereitstellt.
Datenpannen und Meldepflichten
Geht etwas schief, etwa weil ein Laptop mit der Mitgliederliste gestohlen wird oder eine Mail mit sensiblen Daten an den falschen Verteiler geht, spricht die DSGVO von einer Verletzung des Schutzes personenbezogener Daten. Solche Vorfälle sind nach Art. 33 DSGVO unter Umständen innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde zu melden, sofern ein Risiko für die betroffenen Personen besteht.
Für den Vorstand ist es deshalb sinnvoll, vorab zu wissen, wer im Ernstfall informiert wird und wie die Aufsichtsbehörde des eigenen Bundeslandes erreichbar ist. In besonders schweren Fällen, in denen ein hohes Risiko für die Betroffenen besteht, müssen zusätzlich die betroffenen Personen selbst benachrichtigt werden. Ob eine Meldung erforderlich ist, hängt vom Einzelfall ab und sollte im Zweifel mit fachlichem Rat geklärt werden.
Dokumentiere jede Panne intern, auch wenn am Ende keine Meldepflicht besteht. Diese Dokumentation gehört zur Rechenschaftspflicht und zeigt, dass der Verein Vorfälle ernst nimmt und bewertet.
Aufbewahrung und Löschung von Mitgliederdaten
Der Grundsatz der Speicherbegrenzung verlangt, dass Daten nicht länger aufbewahrt werden, als es für den Zweck nötig ist. Tritt ein Mitglied aus, entfällt der Zweck der laufenden Mitgliederverwaltung. Daten, die nur dafür erhoben wurden, sind dann grundsätzlich zu löschen. In der Praxis ist das aber nicht immer sofort möglich, weil andere Pflichten entgegenstehen.
Insbesondere die steuer- und handelsrechtlichen Aufbewahrungsfristen können dazu führen, dass bestimmte Unterlagen, etwa Belege zum Beitragseinzug, noch mehrere Jahre aufbewahrt werden müssen. Solange eine gesetzliche Aufbewahrungspflicht greift, dürfen die betroffenen Daten nicht gelöscht, sollten aber von der aktiven Verwaltung getrennt und gesperrt werden. Die genauen Fristen solltest du mit deinem Steuerberater oder Kassenprüfer klären.
| Situation | Umgang mit den Daten |
|---|---|
| Mitglied tritt aus | Stammdaten löschen, soweit keine Aufbewahrungspflicht besteht |
| Buchungsbelege | Nach steuerlicher Frist aufbewahren, dann löschen |
| Foto-Einwilligung widerrufen | Betroffene Bilder von Vereinskanälen entfernen |
Ein einfaches Löschkonzept, das festhält, welche Datenart wann gelöscht wird, erleichtert diesen Ablauf. Es muss nicht kompliziert sein, sollte aber zu den Einträgen im Verarbeitungsverzeichnis passen.
Datenweitergabe an Verbände und Behörden
Vereine geben Daten ihrer Mitglieder häufig an Dritte weiter, ohne dass es ihnen bewusst ist. Ein Sportverein meldet seine Mitglieder dem Landes- oder Fachverband, ein gemeinnütziger Verein übermittelt Daten an das Finanzamt, und beim Beitragseinzug ist die Bank beteiligt. Jede dieser Weitergaben ist eine Verarbeitung, die eine Rechtsgrundlage braucht und transparent gemacht werden sollte.
Oft ergibt sich die Zulässigkeit aus der Mitgliedschaft selbst oder aus einer gesetzlichen Pflicht. Die Meldung an einen Dachverband kann etwa durch die Satzung und die Verbandsstruktur gedeckt sein, die Übermittlung steuerlicher Daten durch gesetzliche Vorgaben. Trotzdem solltest du die Mitglieder darüber informieren, an wen ihre Daten weitergegeben werden, und diese Empfänger im Verarbeitungsverzeichnis festhalten.
Heikler wird es, wenn Daten an Sponsoren oder externe Dienstleister fließen, die nicht durch die Mitgliedschaft gedeckt sind. Hier brauchst du in der Regel eine gesonderte Rechtsgrundlage, häufig eine Einwilligung. Im Zweifel solltest du vor einer solchen Weitergabe fachlichen Rat einholen, statt Daten ungeprüft herauszugeben.
Die wichtigsten Schritte für deinen Verein
Setze zuerst das Verzeichnis von Verarbeitungstätigkeiten auf, denn es ist die Grundlage für alles Weitere. Lege anschließend fest, wer im Vorstand für Datenschutzanfragen zuständig ist, und richte einen einfachen Ablauf für Auskünfte und Löschungen ein. Hol für Fotos und vereinsfremde Nutzungen Einwilligungen ein und prüfe, ob deine Website eine aktuelle Datenschutzerklärung hat.
Achte auf grundlegende Schutzmaßnahmen wie Zugriffsbeschränkung, Passwortschutz und den Versand von Rundmails über das Blindkopie-Feld. Halte fest, wer im Fall einer Datenpanne zu informieren ist, und richte ein einfaches Löschkonzept ein, das die Aufbewahrungsfristen berücksichtigt.
Prüfe einmal, ob in deinem Verein die Schwelle für einen Datenschutzbeauftragten erreicht wird, was bei ehrenamtlichen Vereinen selten der Fall ist. Bei Unsicherheiten zu konkreten Konstellationen, etwa Gesundheitsdaten, Datenweitergabe an Verbände oder der Bewertung einer Datenpanne, hol dir Rat bei der Aufsichtsbehörde deines Bundeslandes oder einem Fachanwalt. So bleibt der Aufwand kalkulierbar und der Verein auf der sicheren Seite.
