In einem Satz. Ein Verein wird DSGVO-konform, indem er Mitgliederdaten nur für den Vereinszweck verarbeitet (Art. 6 Abs. 1 lit. b i.V.m. der Satzung), ein Verzeichnis der Verarbeitungstätigkeiten führt, ehrenamtliche Funktionsträger auf Vertraulichkeit verpflichtet, Fotos von Veranstaltungen nur mit Einwilligung oder auf Basis einer Interessenabwägung veröffentlicht und Mitgliederdaten nach Austritt fristgerecht löscht.
Was muss ein Verein für DSGVO-Konformität tun? Auch der kleine Sportverein unterliegt der DSGVO. Konformität heißt: die Mitgliederverwaltung auf die Satzung und den Mitgliedschaftsvertrag stützen, ein Art.-30-Verzeichnis anlegen, Weitergaben an Verbände klar regeln, Fotos rechtssicher handhaben und ein Löschkonzept betreiben. Der Aufwand ist gering, wenn er einmal sauber aufgesetzt wird. Dieser Leitfaden ergänzt unseren Beitrag DSGVO Vereine und Stiftungen. Grundlagen: DSGVO-Checkliste.
Wichtige Punkte
- Auch der kleinste Verein unterliegt vollständig der DSGVO.
- Kein DSB nötig bei unter 20 Personen mit automatisierter Verarbeitung - Verzeichnis trotzdem Pflicht.
- Mitgliederdaten stützen sich auf Satzung und Mitgliedschaftsvertrag (Art. 6 Abs. 1 lit. b).
- Fotos von Veranstaltungen: Einwilligung oder Interessenabwägung plus KunstUrhG.
- Weitergabe an Dach-/Landesverbände braucht klare Rechtsgrundlage.
1. Welche Daten ein Verein verarbeitet
Ein Verein verarbeitet Mitgliederdaten (Name, Adresse, Geburtsdatum, Bankverbindung für den Beitragseinzug), Daten von Funktionsträgern und Ehrenamtlichen, Teilnehmerdaten von Veranstaltungen, Fotos und teils besondere Kategorien (z. B. Gesundheitsdaten im Sportverein, Konfession im kirchlichen Verein). Letztere heben das Schutzniveau nach Art. 9 DSGVO.
2. Rechtsgrundlagen pro Verarbeitung
| Verarbeitung | Rechtsgrundlage |
|---|---|
| Mitgliederverwaltung | Art. 6 Abs. 1 lit. b (Mitgliedschaft/Satzung) |
| Beitragseinzug (SEPA) | Art. 6 Abs. 1 lit. b |
| Meldung an Dach-/Landesverband | Art. 6 lit. b/c (Verbandssatzung) oder lit. a |
| Steuerliche Pflichten (Gemeinnützigkeit) | Art. 6 Abs. 1 lit. c |
| Veranstaltungsfotos | Art. 6 Abs. 1 lit. f oder lit. a |
| Newsletter / Werbung | Art. 6 Abs. 1 lit. a |
| Gesundheitsdaten (Sport) | Art. 9 Abs. 2 lit. a oder lit. h |
3. Mitgliederdaten und die Satzung
Die Verarbeitung der Mitgliederdaten braucht keine separate Einwilligung, wenn sie zur Durchführung der Mitgliedschaft erforderlich ist - Grundlage ist der Mitgliedschaftsvertrag (Art. 6 Abs. 1 lit. b) in Verbindung mit der Satzung. Wichtig ist, dass die Satzung oder eine Datenschutzordnung festlegt, welche Daten zu welchem Zweck erhoben werden und an wen sie weitergegeben werden. Eine Mitgliederliste darf nicht ohne Weiteres an alle Mitglieder verteilt werden; Aushänge von Geburtstagslisten oder Ergebnislisten brauchen eine Rechtsgrundlage (meist Einwilligung).
4. Weitergabe an Verbände
Sportvereine müssen Mitglieder oft an Landes- oder Bundesfachverbände melden (Spielberechtigungen, Versicherung). Diese Weitergabe ist zulässig, wenn sie in der Vereins- oder Verbandssatzung angelegt und für die Mitgliedschaft erforderlich ist. Der Umfang ist auf das Nötige zu begrenzen (Datenminimierung). Werden Daten an Sponsoren oder Dritte weitergegeben, ist regelmäßig eine Einwilligung nötig.
5. Fotos von Veranstaltungen
Der Klassiker im Vereinsleben:
- Übersichtsaufnahmen großer Veranstaltungen (Publikum, Menschenmenge): berechtigtes Interesse, ergänzt durch § 23 KunstUrhG (Bilder der Zeitgeschichte/Menschenansammlungen).
- Gezielte Einzel- und Mannschaftsfotos: Einwilligung; bei Minderjährigen der Erziehungsberechtigten.
- Veröffentlichung auf Website/Social Media: zusätzlich § 22 KunstUrhG beachten.
Ein Foto-Einwilligungsformular beim Vereinseintritt (mit Widerrufsmöglichkeit) löst das Problem für die meisten Fälle. Muster: Einwilligung DSGVO Beispiele.
6. Ehrenamt und Verschwiegenheit
Ehrenamtliche Funktionsträger (Kassierer, Schriftführer, Trainer) verarbeiten Mitgliederdaten. Sie sind auf Vertraulichkeit und Datenschutz zu verpflichten (Verpflichtung auf das Datengeheimnis nach § 53 BDSG). Der Zugriff ist auf die jeweilige Funktion zu begrenzen: Der Trainer braucht keine Bankverbindungen, der Kassierer keine Gesundheitsdaten.
7. Website, Newsletter, Cloud
- Datenschutzerklärung und Impressum sind Pflicht.
- Newsletter nur mit Double-Opt-In (Art. 6 Abs. 1 lit. a, § 7 UWG).
- Tracking-Cookies brauchen echte Einwilligung - siehe TTDSG Cookie-Banner.
- Für Vereinssoftware, Cloud-Speicher und Newsletter-Dienste ist ein Auftragsverarbeitungsvertrag nach Art. 28 nötig.
- Kommunikation über WhatsApp-Gruppen kritisch prüfen (US-Datenübermittlung, Adressbuch); Alternativkanal anbieten.
8. Aufbewahrungsfristen
| Datenart | Frist | Grundlage |
|---|---|---|
| Beitrags- und Buchungsbelege | 10 Jahre | § 147 AO |
| Gemeinnützigkeits-/Spendenunterlagen | 10 Jahre | § 147 AO |
| Mitgliederstammdaten | bis Austritt + angemessene Nachfrist | Speicherbegrenzung |
| Bewerber-/Ehrenamtsdaten (nicht angetreten) | zeitnah nach Absage | Speicherbegrenzung |
| Veranstaltungsfotos | bis Widerruf / Zweckende | Einwilligung |
Nach Austritt sind Mitgliederdaten zu löschen, soweit keine steuerliche Aufbewahrung greift (Recht auf Löschung). Eine kurze Nachfrist zur Abwicklung offener Beiträge ist zulässig.
9. Echte Bußgelder - was den Sektor betrifft
Direkte Bußgelder gegen kleine Vereine sind selten und bewegen sich im unteren Bereich; Aufsichtsbehörden setzen zunächst auf Beratung. Die zugrundeliegenden Fehlermuster sind aber dieselben wie bei größeren Verantwortlichen:
| Jahr | Behörde | Fall (Sektor) | Sanktion | Lehre für Vereine |
|---|---|---|---|---|
| 2019 | BlnBDI | Deutsche Wohnen (Immobilien) | 14.500.000 € | Löschfristen einhalten |
| 2020 | LfDI BW | AOK Baden-Württemberg | 1.240.000 € | keine Zweckentfremdung von Daten |
| 2021 | LfDI BW | Notebooksbilliger (Handel) | 10.400.000 € | keine unzulässige Überwachung |
Für Vereine übertragbar: keine Zweckentfremdung von Mitgliederdaten (etwa für vereinsfremde Werbung), konsequentes Löschen nach Austritt und keine heimliche Videoüberwachung des Vereinsheims.
10. Häufige Fehler
- Kein Verarbeitungsverzeichnis, weil “wir sind ein kleiner Verein”.
- Mitgliederliste per offenem E-Mail-Verteiler an alle.
- Mannschaftsfotos ohne Einwilligung (besonders bei Kindern) auf Social Media.
- Ehrenamtliche nicht auf Vertraulichkeit verpflichtet.
- Mitgliederdaten bleiben nach Austritt unbegrenzt gespeichert.
- Kein AVV mit Vereinssoftware und Newsletter-Tool.
11. Tool-Unterstützung
Legiscope bietet vereinsgerechte Vorlagen für das Verarbeitungsverzeichnis, die Foto-Einwilligung, die Verpflichtung Ehrenamtlicher und ein Löschkonzept - auf den ehrenamtlichen Aufwand kleiner Vereine zugeschnitten.
12. Datenpanne im Verein
Typische Szenarien: eine Mitgliederliste, die versehentlich per offenem Verteiler an alle geht, ein verlorenes Vereins-Notebook mit Bankverbindungen (SEPA), ein gehacktes Vereinspostfach oder eine offen im Internet auffindbare Mitgliederdatenbank der Vereinssoftware. Ab Kenntnis läuft die 72-Stunden-Frist nach Art. 33 DSGVO, sofern ein Risiko für die Mitglieder besteht; bei hohem Risiko ist zusätzlich nach Art. 34 zu benachrichtigen. Vorsorge: Zugriff nach Funktion begrenzen, Verschlüsselung, BCC statt CC im Verteiler, sichere Passwörter für die Vereinssoftware. Meldewege: Datenpanne melden.
13. Umsetzung in fünf Schritten
- Datenlandkarte: Mitglieder-, Funktionsträger-, Veranstaltungs- und Fotodaten sowie alle Tools (Vereinssoftware, Newsletter) erfassen.
- Datenschutzordnung/Satzung: Zwecke und Weitergaben (Verband) festlegen; Verzeichnis nach Art. 30 anlegen.
- Ehrenamt verpflichten: Funktionsträger auf Vertraulichkeit (§ 53 BDSG) verpflichten, Zugriff je Funktion begrenzen.
- Fotos und Werbung: Foto-Einwilligung beim Eintritt einführen; Newsletter mit Double-Opt-In.
- Löschkonzept: Daten ausgetretener Mitglieder nach Abwicklung löschen, Beleg-/Spendenunterlagen 10 Jahre aufbewahren.
14. Betroffenenrechte in der Praxis
Auch Mitglieder haben Betroffenenrechte gegenüber dem Verein, die innerhalb eines Monats (Art. 12 Abs. 3) zu bearbeiten sind:
- Auskunft (Art. 15): Welche Mitglieds-, Beitrags- und Fotodaten liegen vor, an wen (Verband, Sponsoren) wurden sie weitergegeben?
- Berichtigung (Art. 16): unrichtige Stammdaten korrigieren.
- Löschung (Art. 17): nach Austritt umzusetzen, soweit keine steuerliche Aufbewahrung (10 Jahre, § 147 AO) entgegensteht; für Veranstaltungsfotos gilt der Widerruf der Einwilligung.
- Widerspruch (Art. 21) gegen Werbung und gegen auf berechtigtem Interesse gestützte Verarbeitung.
- Beschwerde: Mitglieder können sich an die Aufsichtsbehörde wenden (Art. 77).
Ein häufiger Streitpunkt ist der Widerruf einer Foto-Einwilligung: Bereits gedruckte Materialien müssen nicht zurückgerufen werden, aber die weitere Nutzung und die Online-Veröffentlichung sind zu beenden. Der Verein sollte einen einfachen Kontaktweg (Datenschutz-Ansprechpartner im Vorstand) benennen und Anfragen dokumentieren - das erfüllt zugleich die Rechenschaftspflicht nach Art. 5.
Fazit
Datenschutz im Verein ist mit überschaubarem Aufwand machbar: Mitgliederverwaltung auf Satzung stützen, Verzeichnis anlegen, Ehrenamtliche verpflichten, Fotos rechtssicher regeln und nach Austritt löschen. Die größten Praxisrisiken sind Fotos ohne Einwilligung und offene Verteiler. Größere Vereine und Stiftungen mit hauptamtlicher Struktur finden vertiefende Themen im Beitrag DSGVO Vereine und Stiftungen.
FAQ
Braucht ein kleiner Verein einen Datenschutzbeauftragten?
Nur, wenn mindestens 20 Personen ständig mit automatisierter Verarbeitung befasst sind (§ 38 BDSG). Die meisten kleinen Vereine liegen darunter - alle übrigen Pflichten (Verzeichnis, Rechtsgrundlagen, Löschung) gelten trotzdem.
Brauche ich für die Mitgliederverwaltung eine Einwilligung?
Nein. Die Verarbeitung zur Durchführung der Mitgliedschaft stützt sich auf den Mitgliedschaftsvertrag (Art. 6 Abs. 1 lit. b) und die Satzung. Eine Einwilligung ist nur für darüber hinausgehende Zwecke (Fotos, Werbung) nötig.
Dürfen wir Mannschaftsfotos auf die Website stellen?
Übersichtsaufnahmen von Veranstaltungen oft ja (§ 23 KunstUrhG), gezielte Einzel- und Mannschaftsfotos nur mit Einwilligung - bei Minderjährigen der Erziehungsberechtigten. Für die Veröffentlichung gilt zusätzlich § 22 KunstUrhG.
Dürfen wir Mitgliederdaten an den Verband melden?
Ja, soweit die Meldung in der Vereins-/Verbandssatzung angelegt und für die Mitgliedschaft erforderlich ist. Der Umfang ist auf das Nötige zu begrenzen.
Wie lange dürfen wir Daten ausgetretener Mitglieder speichern?
Stammdaten bis zum Austritt plus kurze Abwicklungsfrist, beitrags- und spendenrelevante Belege 10 Jahre (§ 147 AO). Danach besteht Löschpflicht.
Dürfen wir eine WhatsApp-Gruppe für den Verein nutzen?
Nur eingeschränkt und nie verpflichtend. Die App überträgt Adressbuchdaten an einen US-Anbieter; die Teilnahme muss freiwillig sein und ein alternativer Informationskanal (E-Mail, Aushang) bereitstehen. Für Jugendmannschaften ist besondere Zurückhaltung geboten - hier sollten die Erziehungsberechtigten informiert werden. Europäische Messenger oder ein einfacher Newsletter sind die datenschutzfreundlichere Wahl.
Braucht unsere Vereinswebsite ein Cookie-Banner?
Nur, wenn nicht-essenzielle Cookies oder externe Dienste (Karten, Videos, Analytics, Social-Media-Plugins) eingebunden sind. Für eine schlichte Informationsseite ohne Tracking genügt eine Datenschutzerklärung. Werden Tracking-Technologien genutzt, ist eine echte Einwilligung mit gleichwertiger Ablehnoption nötig.
Behördeninformationen: DSK und BfDI; Gesetzestexte unter gesetze-im-internet.de/bdsg_2018.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial