Datenschutz

DSGVO Verein 2026: Pflichten + Fristen + Bußgelder (Ehrenamt)

DSGVO im Verein 2026: Mitgliederdaten, Ehrenamt, Website und Fotos, Newsletter, DSB-Pflicht und Aufbewahrungsfristen - der Leitfaden für kleine Vereine.

In einem Satz. Ein Verein wird DSGVO-konform, indem er Mitgliederdaten nur für den Vereinszweck verarbeitet (Art. 6 Abs. 1 lit. b i.V.m. der Satzung), ein Verzeichnis der Verarbeitungstätigkeiten führt, ehrenamtliche Funktionsträger auf Vertraulichkeit verpflichtet, Fotos von Veranstaltungen nur mit Einwilligung oder auf Basis einer Interessenabwägung veröffentlicht und Mitgliederdaten nach Austritt fristgerecht löscht.

Was muss ein Verein für DSGVO-Konformität tun? Auch der kleine Sportverein unterliegt der DSGVO. Konformität heißt: die Mitgliederverwaltung auf die Satzung und den Mitgliedschaftsvertrag stützen, ein Art.-30-Verzeichnis anlegen, Weitergaben an Verbände klar regeln, Fotos rechtssicher handhaben und ein Löschkonzept betreiben. Der Aufwand ist gering, wenn er einmal sauber aufgesetzt wird. Dieser Leitfaden ergänzt unseren Beitrag DSGVO Vereine und Stiftungen. Grundlagen: DSGVO-Checkliste.

Wichtige Punkte

  • Auch der kleinste Verein unterliegt vollständig der DSGVO.
  • Kein DSB nötig bei unter 20 Personen mit automatisierter Verarbeitung - Verzeichnis trotzdem Pflicht.
  • Mitgliederdaten stützen sich auf Satzung und Mitgliedschaftsvertrag (Art. 6 Abs. 1 lit. b).
  • Fotos von Veranstaltungen: Einwilligung oder Interessenabwägung plus KunstUrhG.
  • Weitergabe an Dach-/Landesverbände braucht klare Rechtsgrundlage.

1. Welche Daten ein Verein verarbeitet

Ein Verein verarbeitet Mitgliederdaten (Name, Adresse, Geburtsdatum, Bankverbindung für den Beitragseinzug), Daten von Funktionsträgern und Ehrenamtlichen, Teilnehmerdaten von Veranstaltungen, Fotos und teils besondere Kategorien (z. B. Gesundheitsdaten im Sportverein, Konfession im kirchlichen Verein). Letztere heben das Schutzniveau nach Art. 9 DSGVO.

2. Rechtsgrundlagen pro Verarbeitung

Verarbeitung Rechtsgrundlage
Mitgliederverwaltung Art. 6 Abs. 1 lit. b (Mitgliedschaft/Satzung)
Beitragseinzug (SEPA) Art. 6 Abs. 1 lit. b
Meldung an Dach-/Landesverband Art. 6 lit. b/c (Verbandssatzung) oder lit. a
Steuerliche Pflichten (Gemeinnützigkeit) Art. 6 Abs. 1 lit. c
Veranstaltungsfotos Art. 6 Abs. 1 lit. f oder lit. a
Newsletter / Werbung Art. 6 Abs. 1 lit. a
Gesundheitsdaten (Sport) Art. 9 Abs. 2 lit. a oder lit. h

3. Mitgliederdaten und die Satzung

Die Verarbeitung der Mitgliederdaten braucht keine separate Einwilligung, wenn sie zur Durchführung der Mitgliedschaft erforderlich ist - Grundlage ist der Mitgliedschaftsvertrag (Art. 6 Abs. 1 lit. b) in Verbindung mit der Satzung. Wichtig ist, dass die Satzung oder eine Datenschutzordnung festlegt, welche Daten zu welchem Zweck erhoben werden und an wen sie weitergegeben werden. Eine Mitgliederliste darf nicht ohne Weiteres an alle Mitglieder verteilt werden; Aushänge von Geburtstagslisten oder Ergebnislisten brauchen eine Rechtsgrundlage (meist Einwilligung).

4. Weitergabe an Verbände

Sportvereine müssen Mitglieder oft an Landes- oder Bundesfachverbände melden (Spielberechtigungen, Versicherung). Diese Weitergabe ist zulässig, wenn sie in der Vereins- oder Verbandssatzung angelegt und für die Mitgliedschaft erforderlich ist. Der Umfang ist auf das Nötige zu begrenzen (Datenminimierung). Werden Daten an Sponsoren oder Dritte weitergegeben, ist regelmäßig eine Einwilligung nötig.

5. Fotos von Veranstaltungen

Der Klassiker im Vereinsleben:

  • Übersichtsaufnahmen großer Veranstaltungen (Publikum, Menschenmenge): berechtigtes Interesse, ergänzt durch § 23 KunstUrhG (Bilder der Zeitgeschichte/Menschenansammlungen).
  • Gezielte Einzel- und Mannschaftsfotos: Einwilligung; bei Minderjährigen der Erziehungsberechtigten.
  • Veröffentlichung auf Website/Social Media: zusätzlich § 22 KunstUrhG beachten.

Ein Foto-Einwilligungsformular beim Vereinseintritt (mit Widerrufsmöglichkeit) löst das Problem für die meisten Fälle. Muster: Einwilligung DSGVO Beispiele.

6. Ehrenamt und Verschwiegenheit

Ehrenamtliche Funktionsträger (Kassierer, Schriftführer, Trainer) verarbeiten Mitgliederdaten. Sie sind auf Vertraulichkeit und Datenschutz zu verpflichten (Verpflichtung auf das Datengeheimnis nach § 53 BDSG). Der Zugriff ist auf die jeweilige Funktion zu begrenzen: Der Trainer braucht keine Bankverbindungen, der Kassierer keine Gesundheitsdaten.

7. Website, Newsletter, Cloud

  • Datenschutzerklärung und Impressum sind Pflicht.
  • Newsletter nur mit Double-Opt-In (Art. 6 Abs. 1 lit. a, § 7 UWG).
  • Tracking-Cookies brauchen echte Einwilligung - siehe TTDSG Cookie-Banner.
  • Für Vereinssoftware, Cloud-Speicher und Newsletter-Dienste ist ein Auftragsverarbeitungsvertrag nach Art. 28 nötig.
  • Kommunikation über WhatsApp-Gruppen kritisch prüfen (US-Datenübermittlung, Adressbuch); Alternativkanal anbieten.

8. Aufbewahrungsfristen

Datenart Frist Grundlage
Beitrags- und Buchungsbelege 10 Jahre § 147 AO
Gemeinnützigkeits-/Spendenunterlagen 10 Jahre § 147 AO
Mitgliederstammdaten bis Austritt + angemessene Nachfrist Speicherbegrenzung
Bewerber-/Ehrenamtsdaten (nicht angetreten) zeitnah nach Absage Speicherbegrenzung
Veranstaltungsfotos bis Widerruf / Zweckende Einwilligung

Nach Austritt sind Mitgliederdaten zu löschen, soweit keine steuerliche Aufbewahrung greift (Recht auf Löschung). Eine kurze Nachfrist zur Abwicklung offener Beiträge ist zulässig.

9. Echte Bußgelder - was den Sektor betrifft

Direkte Bußgelder gegen kleine Vereine sind selten und bewegen sich im unteren Bereich; Aufsichtsbehörden setzen zunächst auf Beratung. Die zugrundeliegenden Fehlermuster sind aber dieselben wie bei größeren Verantwortlichen:

Jahr Behörde Fall (Sektor) Sanktion Lehre für Vereine
2019 BlnBDI Deutsche Wohnen (Immobilien) 14.500.000 € Löschfristen einhalten
2020 LfDI BW AOK Baden-Württemberg 1.240.000 € keine Zweckentfremdung von Daten
2021 LfDI BW Notebooksbilliger (Handel) 10.400.000 € keine unzulässige Überwachung

Für Vereine übertragbar: keine Zweckentfremdung von Mitgliederdaten (etwa für vereinsfremde Werbung), konsequentes Löschen nach Austritt und keine heimliche Videoüberwachung des Vereinsheims.

10. Häufige Fehler

  • Kein Verarbeitungsverzeichnis, weil “wir sind ein kleiner Verein”.
  • Mitgliederliste per offenem E-Mail-Verteiler an alle.
  • Mannschaftsfotos ohne Einwilligung (besonders bei Kindern) auf Social Media.
  • Ehrenamtliche nicht auf Vertraulichkeit verpflichtet.
  • Mitgliederdaten bleiben nach Austritt unbegrenzt gespeichert.
  • Kein AVV mit Vereinssoftware und Newsletter-Tool.

11. Tool-Unterstützung

Legiscope bietet vereinsgerechte Vorlagen für das Verarbeitungsverzeichnis, die Foto-Einwilligung, die Verpflichtung Ehrenamtlicher und ein Löschkonzept - auf den ehrenamtlichen Aufwand kleiner Vereine zugeschnitten.

12. Datenpanne im Verein

Typische Szenarien: eine Mitgliederliste, die versehentlich per offenem Verteiler an alle geht, ein verlorenes Vereins-Notebook mit Bankverbindungen (SEPA), ein gehacktes Vereinspostfach oder eine offen im Internet auffindbare Mitgliederdatenbank der Vereinssoftware. Ab Kenntnis läuft die 72-Stunden-Frist nach Art. 33 DSGVO, sofern ein Risiko für die Mitglieder besteht; bei hohem Risiko ist zusätzlich nach Art. 34 zu benachrichtigen. Vorsorge: Zugriff nach Funktion begrenzen, Verschlüsselung, BCC statt CC im Verteiler, sichere Passwörter für die Vereinssoftware. Meldewege: Datenpanne melden.

13. Umsetzung in fünf Schritten

  1. Datenlandkarte: Mitglieder-, Funktionsträger-, Veranstaltungs- und Fotodaten sowie alle Tools (Vereinssoftware, Newsletter) erfassen.
  2. Datenschutzordnung/Satzung: Zwecke und Weitergaben (Verband) festlegen; Verzeichnis nach Art. 30 anlegen.
  3. Ehrenamt verpflichten: Funktionsträger auf Vertraulichkeit (§ 53 BDSG) verpflichten, Zugriff je Funktion begrenzen.
  4. Fotos und Werbung: Foto-Einwilligung beim Eintritt einführen; Newsletter mit Double-Opt-In.
  5. Löschkonzept: Daten ausgetretener Mitglieder nach Abwicklung löschen, Beleg-/Spendenunterlagen 10 Jahre aufbewahren.

14. Betroffenenrechte in der Praxis

Auch Mitglieder haben Betroffenenrechte gegenüber dem Verein, die innerhalb eines Monats (Art. 12 Abs. 3) zu bearbeiten sind:

  • Auskunft (Art. 15): Welche Mitglieds-, Beitrags- und Fotodaten liegen vor, an wen (Verband, Sponsoren) wurden sie weitergegeben?
  • Berichtigung (Art. 16): unrichtige Stammdaten korrigieren.
  • Löschung (Art. 17): nach Austritt umzusetzen, soweit keine steuerliche Aufbewahrung (10 Jahre, § 147 AO) entgegensteht; für Veranstaltungsfotos gilt der Widerruf der Einwilligung.
  • Widerspruch (Art. 21) gegen Werbung und gegen auf berechtigtem Interesse gestützte Verarbeitung.
  • Beschwerde: Mitglieder können sich an die Aufsichtsbehörde wenden (Art. 77).

Ein häufiger Streitpunkt ist der Widerruf einer Foto-Einwilligung: Bereits gedruckte Materialien müssen nicht zurückgerufen werden, aber die weitere Nutzung und die Online-Veröffentlichung sind zu beenden. Der Verein sollte einen einfachen Kontaktweg (Datenschutz-Ansprechpartner im Vorstand) benennen und Anfragen dokumentieren - das erfüllt zugleich die Rechenschaftspflicht nach Art. 5.

Fazit

Datenschutz im Verein ist mit überschaubarem Aufwand machbar: Mitgliederverwaltung auf Satzung stützen, Verzeichnis anlegen, Ehrenamtliche verpflichten, Fotos rechtssicher regeln und nach Austritt löschen. Die größten Praxisrisiken sind Fotos ohne Einwilligung und offene Verteiler. Größere Vereine und Stiftungen mit hauptamtlicher Struktur finden vertiefende Themen im Beitrag DSGVO Vereine und Stiftungen.

FAQ

Braucht ein kleiner Verein einen Datenschutzbeauftragten?

Nur, wenn mindestens 20 Personen ständig mit automatisierter Verarbeitung befasst sind (§ 38 BDSG). Die meisten kleinen Vereine liegen darunter - alle übrigen Pflichten (Verzeichnis, Rechtsgrundlagen, Löschung) gelten trotzdem.

Brauche ich für die Mitgliederverwaltung eine Einwilligung?

Nein. Die Verarbeitung zur Durchführung der Mitgliedschaft stützt sich auf den Mitgliedschaftsvertrag (Art. 6 Abs. 1 lit. b) und die Satzung. Eine Einwilligung ist nur für darüber hinausgehende Zwecke (Fotos, Werbung) nötig.

Dürfen wir Mannschaftsfotos auf die Website stellen?

Übersichtsaufnahmen von Veranstaltungen oft ja (§ 23 KunstUrhG), gezielte Einzel- und Mannschaftsfotos nur mit Einwilligung - bei Minderjährigen der Erziehungsberechtigten. Für die Veröffentlichung gilt zusätzlich § 22 KunstUrhG.

Dürfen wir Mitgliederdaten an den Verband melden?

Ja, soweit die Meldung in der Vereins-/Verbandssatzung angelegt und für die Mitgliedschaft erforderlich ist. Der Umfang ist auf das Nötige zu begrenzen.

Wie lange dürfen wir Daten ausgetretener Mitglieder speichern?

Stammdaten bis zum Austritt plus kurze Abwicklungsfrist, beitrags- und spendenrelevante Belege 10 Jahre (§ 147 AO). Danach besteht Löschpflicht.

Dürfen wir eine WhatsApp-Gruppe für den Verein nutzen?

Nur eingeschränkt und nie verpflichtend. Die App überträgt Adressbuchdaten an einen US-Anbieter; die Teilnahme muss freiwillig sein und ein alternativer Informationskanal (E-Mail, Aushang) bereitstehen. Für Jugendmannschaften ist besondere Zurückhaltung geboten - hier sollten die Erziehungsberechtigten informiert werden. Europäische Messenger oder ein einfacher Newsletter sind die datenschutzfreundlichere Wahl.

Nur, wenn nicht-essenzielle Cookies oder externe Dienste (Karten, Videos, Analytics, Social-Media-Plugins) eingebunden sind. Für eine schlichte Informationsseite ohne Tracking genügt eine Datenschutzerklärung. Werden Tracking-Technologien genutzt, ist eine echte Einwilligung mit gleichwertiger Ablehnoption nötig.

Behördeninformationen: DSK und BfDI; Gesetzestexte unter gesetze-im-internet.de/bdsg_2018.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →