In einem Satz. Auch gemeinnützige Vereine und Stiftungen unterliegen vollständig der DSGVO — typische Pflichten betreffen Mitgliederverwaltung, Spendenmanagement, Fotos auf Vereinsfesten, Mitgliederzeitung, Vorstandshaftung — pragmatische Umsetzung ist möglich, wird aber von vielen Vereinen unterschätzt.
In Deutschland gibt es ca. 600.000 eingetragene Vereine. Aufsichtsbehörden prüfen zunehmend gezielt. Siehe DSGVO Anforderungen.
Wichtige Punkte
- Mitgliedsdaten: Rechtsgrundlage Art. 6 lit. b (Mitgliedschaftsvertrag).
- Spendenwerbung an Nicht-Mitglieder nur mit Einwilligung.
- Fotos: KunstUrhG § 22 + DSGVO.
- Vorstandshaftung persönlich bei DSGVO-Verstößen möglich.
- DSB-Pflicht erst ab 20 Personen mit ständiger Datenverarbeitung.
1. Rechtsgrundlagen
| Verarbeitung | Rechtsgrundlage |
|---|---|
| Mitgliedsdaten | Art. 6 Abs. 1 lit. b (Mitgliedschaftsvertrag) |
| Beitragseinzug | Art. 6 lit. b + § 33 BDSG |
| Vereinszeitung | Art. 6 lit. f / Einwilligung |
| Spendenwerbung Nicht-Mitglieder | Art. 6 lit. a |
| Fotos | KunstUrhG + DSGVO |
| Ehrenamtliche | BDSG § 26 analog |
2. Mitgliederverwaltung
- Vereinssatzung sollte Datenverarbeitung erwähnen.
- Aufnahmebogen mit Informationspflichten (Art. 13).
- Beitrittsdatum, Beitragsklasse, Kontaktdaten erfasst.
- Datenweitergabe nur an Dachverband mit Information.
3. Mitgliederliste
- Aushang oder Veröffentlichung nur mit Einwilligung.
- Versammlungsteilnehmerliste: nicht für Marketing nutzen.
- Mitgliederzeitung: Geburtstage nur mit Einwilligung.
- Online-Mitgliederbereich: Zugangskontrolle.
4. Fotos auf Vereinsfesten
- KunstUrhG § 22: Bildveröffentlichung nur mit Einwilligung.
- Ausnahme § 23 (Versammlungen, Aufzüge) eng auszulegen.
- DSGVO Art. 6 zusätzlich erforderlich.
- Hinweisschild am Eingang: “Es werden Fotos erstellt — Widerspruch beim Vorstand möglich”.
5. Spendenwerbung
- An Mitglieder: berechtigtes Interesse meist OK.
- An Nicht-Mitglieder (postalisch): Adressmiete + Information.
- An Nicht-Mitglieder (E-Mail): Einwilligung (UWG).
- Spendenquittung: erforderliche Daten, Aufbewahrung 10 Jahre.
6. Bankdaten und Beitragseinzug
- SEPA-Lastschrift-Mandat datenschutzrechtlich OK (Art. 6 lit. b).
- Pre-Notification an Bankdienstleister.
- Aufbewahrung Mandat: bis Beendigung + 14 Monate (Rückforderungsfrist).
7. Webseite
- Datenschutzerklärung Pflicht.
- Impressum nach TMG/DDG.
- Kontaktformular: nur erforderliche Felder.
- Newsletter: Double-Opt-In.
- Cookie-Banner bei Tracking.
8. Dachverbands-Übermittlung
- Mitgliedsdaten an Landesverband: oft satzungsmäßig.
- DOSB und Sportvereine: Spielerpässe an Verband.
- Information Mitglieder über Datenflüsse Pflicht.
9. Vorstandshaftung
- Vorstand als gesetzlicher Vertreter verantwortlich nach DSGVO Art. 4 Nr. 7.
- Bei groben DSGVO-Verstößen: Persönliche Haftung möglich.
- D&O-Versicherung des Vereins prüfen.
10. Datenpanne
- Verlorenes Laptop mit Mitgliederdaten: meldepflichtig.
- Email an alle Mitglieder im CC statt BCC: meldepflichtig.
- Ransomware-Angriff: meldepflichtig.
- Frist 72h nach Bekanntwerden.
11. Tool-Unterstützung
Legiscope liefert Vereins-Vorlagen für Datenschutzerklärung, Verzeichnis und Mitgliedereinwilligung.
11. Sektor-spezifische Enforcement-Fälle
| Jahr | Behörde | Fall | Sanktion | Lehre |
|---|---|---|---|---|
| 2020 | LfDI BW | H&M Hamburg (Retail-Beispiel) | 35.300.000 € | exzessive Mitarbeiterprofile |
| 2020 | LfD Berlin | Deutsche Wohnen (Immobilien) | 14.500.000 € | Aufbewahrungsverstoß |
| 2021 | LfDI Niedersachsen | Notebooksbilliger (E-Commerce) | 10.400.000 € | dauerhafte Videoüberwachung |
| 2022 | LDA Bayern | VW (Industrie) | 1.100.000 € | unzureichende AVV-Kontrolle |
| 2023 | HmbBfDI | Vattenfall (Energie) | 900.000 € | unzulässige Bonitätsprüfung |
| 2023 | LfD Berlin | Online-Plattform | 525.000 € | unzulässiges Targeted Advertising |
| 2024 | LDA Bayern | Pflegedienst | 280.000 € | Patientenakten ungesichert |
Aus diesen Fällen lassen sich Branchenmuster ableiten: Sanktionen treffen typisch Großbetriebe mit jahrelang aufgebauten unzulässigen Praktiken (Massenüberwachung, Profilbildung) oder mittelständische Akteure mit systematischen TOM-Defiziten.
12. Sektor-Standards und Codes of Conduct
Branchenspezifische Standards reduzieren das Compliance-Risiko:
- B3S (Branchenspezifische Sicherheitsstandards) nach § 8a BSI-Gesetz / NIS2UmsuCG.
- ISO 27001:2022 für ISMS-Zertifizierung.
- ISO 27701:2019 für Privacy Information Management (PIMS).
- BSI IT-Grundschutz Bausteine pro Sektor (siehe BSI-Grundschutz).
- TISAX für Automotive-Lieferketten.
- C5 (Cloud Computing Compliance Criteria Catalogue) für Cloud-Anbieter.
- Branchenkodizes nach Art. 40 DSGVO (Verband akkreditiert).
Zertifizierung allein schützt nicht vor Sanktionen, dokumentiert aber Sorgfalt — wirkt sich bußgeldmindernd aus.
13. AVV-Anforderungen im Sektor
Auftragsverarbeitungsverträge nach Art. 28 DSGVO sind sektorkritisch. Mindestinhalt: Gegenstand, Dauer, Art und Zweck, Datenkategorien, Betroffene, Weisungsrecht, Verschwiegenheit, TOM, Sub-Auftragsverarbeiter-Klausel, Audit-Recht, Löschung bei Vertragsende, Haftung. Mustervorlage: Auftragsverarbeitungsvertrag AVV.
Typische Sub-Auftragsverarbeiter im Sektor: Cloud-Hoster (AWS, Azure, GCP, Deutsche Cloud-Anbieter), CRM-Anbieter (HubSpot, Salesforce, Pipedrive), E-Mail-Versender (Brevo, Mailjet, Inxmail), Hosting (Hetzner, Strato), Analytics (Matomo, Plausible). Jeder benötigt eigenen AVV plus TIA bei Drittlandstransfer.
14. 5-Schritte-Compliance-Plan für den Sektor
- Bestandsaufnahme (Datenkartierung, Datenkategorien, Empfänger, Aufbewahrungsfristen, Sub-Prozessoren).
- Risikoanalyse pro Verarbeitungstätigkeit nach Standard-Datenschutzmodell (SDM), mit Schwellenwertanalyse für DSFA-Pflicht nach Art. 35.
- Rechtsgrundlagen-Mapping: Art. 6 Abs. 1 (a-f) pro Tätigkeit, bei besonderen Kategorien Art. 9 Abs. 2.
- TOM und AVV nach DSGVO Art. 32 Sicherheit und Art. 28.
- Wirksamkeitsprüfung mindestens jährlich, DSB-Bericht an Geschäftsleitung, Re-Audit nach Vorfällen.
15. Häufige Audit-Befunde im Sektor
- Verarbeitungsverzeichnis unvollständig oder veraltet (häufigster Befund, 70 % der Audits).
- AVV-Lücken bei IT-Dienstleistern, Druckerei, Lohnbüro.
- Fehlende oder unvollständige DSFA bei Hochrisiko-Verarbeitungen.
- Cookie-Banner ohne TTDSG-konforme Reject-Option.
- Bewerberdaten länger als 6 Monate gespeichert (Verstoß Art. 5 Abs. 1 lit. e).
- Newsletter ohne dokumentierten Double-Opt-In-Nachweis.
- Kameraüberwachung ohne Beschilderung und Interessensabwägung.
- Mitarbeiterüberwachung (Bossware) ohne Information / Betriebsvereinbarung.
- Backups unverschlüsselt oder offen erreichbar.
- Verspätete Datenpannenmeldung — siehe Datenpanne melden.
16. Branchenvergleich Sanktionsrisiko
| Branche | Typisches Sanktionsvolumen | Häufigste Verstöße |
|---|---|---|
| Handel/E-Commerce | 50.000 - 10 Mio. € | Marketing-Tracking, AVV-Lücken |
| Industrie | 100.000 - 35 Mio. € | Beschäftigtendatenschutz |
| Gesundheit/Pflege | 30.000 - 1 Mio. € | TOM-Defizite, Akten ungesichert |
| Energie/Versorger | 50.000 - 900.000 € | SCHUFA-Abfragen, Smart-Meter |
| Bildung | 5.000 - 100.000 € | MS 365 ohne TIA, Schülerdaten |
| Vereine/NGO | 1.000 - 50.000 € | fehlender DSB, AVV-Lücken |
| Influencer/Creator | 5.000 - 200.000 € | Cookie-Banner, Tracking-Pixel |
Höhere Sanktionen treten meist erst nach systematischen Verstößen oder Wiederholungsfällen auf. Erstverfahren enden in 60-70 % der Fälle mit Verwarnung oder Anordnung.
18. DSFA-Pflicht im Sektor
Eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO ist im Sektor regelmäßig erforderlich bei: systematischer Überwachung von Personen, Verarbeitung besonderer Kategorien in großem Umfang, Profiling mit Rechtsfolgen, Einsatz neuer Technologien (KI, Biometrie, IoT). Die DSK-Liste “Muss-DSFA” gibt verbindliche Beispiele. Ablauf: (1) Schwellenwertanalyse, (2) systematische Beschreibung, (3) Notwendigkeits- und Verhältnismäßigkeitsprüfung, (4) Risikobewertung, (5) Schutzmaßnahmen, (6) DSB-Stellungnahme, ggf. Konsultation Aufsichtsbehörde nach Art. 36.
Praxis-Tipp: DSFA-Templates der DSK oder der CNIL (PIA-Tool) verwenden — beide werden von deutschen Aufsichten anerkannt.
19. Branchenkodex und Zertifizierung
Branchenspezifische Verhaltensregeln nach Art. 40 DSGVO können bei akkreditiertem Verband bindende Wirkung entfalten. Bestehende Kodizes: GDD-Code für KMU, BVDW-Code für Online-Marketing, DGUV-Sektorstandards Gesundheit. Zertifizierung nach Art. 42 DSGVO durch akkreditierte Stellen (z.B. TÜV, DEKRA, EuroPriSe) dokumentiert Sorgfalt, wirkt bußgeldmindernd. Kosten Erstzertifizierung 15.000-80.000 €, Re-Audit alle 3 Jahre.
20. Schnittstelle zu NIS2 und DORA
Sektoren mit KRITIS- oder NIS2-Pflicht müssen ihr Datenschutz-Compliance-System mit dem Cybersecurity-Programm integrieren. Doppelmeldepflichten beachten: Datenpannenmeldung an Datenschutzbehörde nach Art. 33 (Datenpanne melden) UND Cyber-Vorfallmeldung ans BSI nach § 35 NIS2UmsuCG (NIS2 Deutschland) — Fristen 72 h bzw. 24 h. Finanzinstitute zusätzlich DORA-Meldung an BaFin.
21. Häufige strategische Fehler im Sektor
- Datenschutz wird als reine IT-Aufgabe gesehen, nicht als Geschäftsprozess.
- DSB ohne Direktzugang zur Geschäftsleitung — Verstoß Art. 38 Abs. 3.
- Kein Budget für Schulungen — Risiko über Mitarbeiterfehler.
- Cloud-Migration ohne TIA und ohne Vertragsanpassung.
- Marketing-Tracking ohne TTDSG-konforme Einwilligung.
- Keine dokumentierte Schwellenwertanalyse für DSFA-Pflicht.
- Vorhandene AVV werden nicht regelmäßig auf Aktualität geprüft.
Fazit
Vereine sind nicht von DSGVO ausgenommen, aber die Anforderungen sind überschaubar. Mit Standard-Vorlagen der Dachverbände und einem 4-6-stündigen Vorstandsworkshop ist Compliance machbar — die Vorstandshaftung ist Grund genug, das nicht zu ignorieren. Eine praxisnahe Übersicht bietet unser Leitfaden DSGVO für Vereine und Ehrenamt.
FAQ
Brauche ich als Verein einen DSB?
Pflicht ab 20 Personen mit ständiger automatisierter Verarbeitung oder bei systematischer Verarbeitung von Art. 9-Daten.
Darf ich Geburtstagslisten der Mitglieder veröffentlichen?
Nur mit Einwilligung jedes einzelnen Mitglieds. Aushang im Vereinsheim ohne Einwilligung problematisch.
Sind Fotos vom Vereinsfest erlaubt?
KunstUrhG § 22 verlangt grundsätzlich Einwilligung. Hinweisbeschilderung am Eingang ist sinnvoll, ersetzt aber nicht immer Einwilligung.
Haftet der Vorstand persönlich?
Bei groben DSGVO-Verstößen persönliche Haftung möglich. D&O-Versicherung Pflichtüberprüfung.
Wie lange Mitgliedsdaten aufbewahren?
Während Mitgliedschaft + steuerrelevante Daten 10 Jahre. Sonst Löschung 3 Monate nach Austritt.
Welche Behörde ist für meinen Sektor zuständig?
Grundsätzlich die Landesdatenschutzbehörde am Sitz des Verantwortlichen — siehe etwa BayLDA für Bayern. Bei mehreren Niederlassungen greift One-Stop-Shop nach Art. 56 DSGVO mit Federführung der Hauptniederlassungs-Behörde. Telekommunikation, Post und Bundesbehörden unterliegen dem BfDI. Bei grenzüberschreitenden EU-Verfahren koordiniert der EDSA über das Konsistenzverfahren nach Art. 63 ff.
Brauche ich einen Datenschutzbeauftragten?
Nach § 38 BDSG ab 20 mit der automatisierten Verarbeitung beschäftigten Personen, unabhängig vom Sektor. Zusätzlich Pflicht nach Art. 37 DSGVO bei Kernverarbeitung sensibler Daten oder umfangreicher systematischer Überwachung — typisch bei Pflegediensten, Online-Shops mit Profiling, Influencern mit Tracking. Externer DSB kann beauftragt werden; Vorteile: spezialisierte Expertise, Kosten 6.000-30.000 €/Jahr je nach Unternehmensgröße.
Wie hoch sind realistische Bußgelder im Mittelstand?
Erstverfahren ohne Vorsatz typisch 5.000-50.000 €. Wiederholungsfälle oder vorsätzliche Verstöße können in den 6-stelligen Bereich gehen. Systematische Verstöße (Massenverarbeitung, Profilbildung) bis 7-stellig und höher — siehe Notebooksbilliger 10,4 Mio. €. Die Bemessung folgt EDSA-Guidelines 4/2022 mit Multiplikator nach Konzernumsatz. Kooperation und Mitwirkung senken den Betrag deutlich.
Welche TOM sind im Sektor Pflicht?
Mindestens: Zugangs-, Zutritts-, Weitergabe-, Eingabe-, Auftrags-, Verfügbarkeits- und Trennungskontrolle nach Anlage zu § 9 BDSG a.F. (gilt fort als Auslegungshilfe). Konkret nach DSGVO Art. 32 Sicherheit: Pseudonymisierung, Verschlüsselung (BSI TR-02102), Vertraulichkeit, Integrität, Verfügbarkeit, Belastbarkeit, regelmäßige Wirksamkeitsprüfung. Bei besonderen Kategorien (Art. 9) zusätzlich erweiterte Maßnahmen.
Wie läuft ein Audit der Behörde ab?
Ankündigung (in der Regel 2-6 Wochen vor Ort), Unterlagenanforderung (Art. 30-Verzeichnis, AVV-Liste, DSFA, TOM-Dokumentation, Schulungsnachweise, DSB-Berichte), Vor-Ort-Besuch (1-3 Tage), Befundbericht, Anhörung, Maßnahmenkatalog mit Fristen, bei Verstößen Bußgeldverfahren. Vorbereitung: dokumentierte Compliance, klare Verantwortlichkeiten, geübter DSB als Single Point of Contact.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial