Rechtliche Grundlagen für die Datenverarbeitung
Damit Vereine personenbezogene Daten rechtmäßig verarbeiten dürfen, braucht es eine klare Rechtsgrundlage. Die DSGVO kennt mehrere, von denen im Vereinskontext vor allem drei besonders relevant sind.
Einwilligung der Mitglieder
Die Einwilligung ist die bekannteste Grundlage. Sie muss jedoch freiwillig, informiert und nachweisbar sein.
Beispiele:
Zustimmung zur Veröffentlichung eines Fotos auf der Vereinswebseite
Erlaubnis zum Versand eines Newsletters
Genehmigung zur Weitergabe von Kontaktdaten an Kooperationspartner
Wichtig: Einmal erteilte Einwilligungen können jederzeit widerrufen werden. Deshalb ist es ratsam, mit schriftlichen Formularen oder digitalen Lösungen zu arbeiten, um Rechtssicherheit zu schaffen.
Vertragserfüllung (z. B. Mitgliedschaft)
Viele Datenverarbeitungen im Verein sind notwendig, um den Mitgliedsvertrag zu erfüllen.
Dazu gehören:
Verwaltung von Mitgliedsbeiträgen
Organisation von Trainingszeiten oder Auftritten
Kommunikation mit Mitgliedern über Termine
Diese Daten dürfen verarbeitet werden, ohne dass eine zusätzliche Einwilligung nötig ist.
Berechtigtes Interesse des Vereins
Der Verein darf Daten auch verarbeiten, wenn ein berechtigtes Interesse vorliegt, das nicht die Rechte der Betroffenen überwiegt.
Beispiele:
Erstellung einer Mannschaftsliste für interne Abläufe
Verwendung von Kontaktlisten für die Organisation von Veranstaltungen
Anfertigung von Fotos für die interne Vereinschronik
Datenschutzorganisation im Verein
Um die DSGVO erfolgreich umzusetzen, braucht es klare Zuständigkeiten.
Bestellung eines Datenschutzbeauftragten
Nicht jeder Verein benötigt einen Datenschutzbeauftragten. Eine Pflicht besteht nur, wenn:
Kleinere Vereine können aber freiwillig einen internen oder externen Datenschutzbeauftragten benennen – ein Pluspunkt für Transparenz.
Datenschutzrichtlinien für Vorstände und Mitglieder
Es empfiehlt sich, interne Richtlinien festzulegen, die beschreiben:
wie Daten gesammelt werden
wer Zugriff darauf hat
wie lange Daten aufbewahrt werden
wann Daten gelöscht werden müssen
Schulung von Ehrenamtlichen
Viele Datenschutzverstöße passieren aus Unwissenheit. Deshalb sollten Ehrenamtliche und Trainer regelmäßig geschult werden – etwa zum Umgang mit Mitgliederdaten oder zur sicheren Kommunikation.
Informationspflichten gegenüber Mitgliedern
Die DSGVO verlangt, dass Betroffene immer wissen, welche Daten über sie verarbeitet werden.
Datenschutzerklärung auf der Vereinswebseite
Jeder Verein mit eigener Webseite braucht eine leicht zugängliche Datenschutzerklärung, die unter anderem folgende Punkte enthält:
Kontaktdaten des Vereins
Zweck und Rechtsgrundlage der Datenverarbeitung
Informationen zu Cookies und Tracking
Hinweise zu Rechten der Betroffenen
Informationspflicht bei Eintritt in den Verein
Neue Mitglieder müssen beim Eintritt in den Verein eine Datenschutzerklärung erhalten. Hier sollten auch Einwilligungsfelder (z. B. für Fotos oder Newsletter) integriert werden.
Technische und organisatorische Maßnahmen (TOMs)
Datenschutz lebt nicht nur von Papier, sondern auch von gelebter Praxis.
Datensicherheit und Zugriffskontrolle
Passwörter sollten sicher und regelmäßig geändert werden
Mitgliedsdaten dürfen nur von berechtigten Personen eingesehen werden
Papierlisten sollten verschlossen aufbewahrt werden
Aufbewahrungs- und Löschfristen
Daten ehemaliger Mitglieder dürfen nicht unbegrenzt gespeichert werden
Finanzdaten müssen i. d. R. 10 Jahre aufbewahrt werden (steuerrechtliche Pflicht)
Bewerbungsunterlagen oder Interessentenlisten sollten nach 6 Monaten gelöscht werden
Verschlüsselung und sichere Kommunikation
Umgang mit Fotos und Videos im Verein
Gerade hier passieren die meisten Fehler.
Einwilligungspflicht bei Veranstaltungen
Grundsatz: Personen dürfen nur dann fotografiert und veröffentlicht werden, wenn sie eingewilligt haben.
Ausnahmen: Bei großen Veranstaltungen oder Sportevents ist eine konkludente Einwilligung möglich, wenn die Betroffenen wissen, dass fotografiert wird.
Kinder- und Jugendschutz im Bildrecht
Bei Kindern unter 16 Jahren braucht es immer die Einwilligung der Erziehungsberechtigten. Besonders sensibel sind Fotos im Internet, da sie dort kaum kontrollierbar sind.
Zusammenarbeit mit externen Dienstleistern
Viele Vereine arbeiten mit externen Partnern zusammen – sei es für die Buchhaltung, IT-Betreuung oder die Vereinswebsite. Hier greift die DSGVO besonders streng.
Auftragsverarbeitungsverträge (AV-Verträge)
Sobald ein externer Dienstleister personenbezogene Daten für den Verein verarbeitet, ist ein schriftlicher AV-Vertrag Pflicht. Dieser regelt unter anderem:
welche Daten verarbeitet werden
wie lange sie gespeichert bleiben
welche Sicherheitsmaßnahmen getroffen werden
Beispiele: Steuerberater, Cloud-Anbieter, IT-Dienstleister
Steuerberater: verarbeitet Finanz- und Mitgliedsdaten → AV-Vertrag notwendig
Cloud-Anbieter: Speicherung von Mitgliedslisten oder Dokumenten → nur DSGVO-konforme Anbieter verwenden
IT-Dienstleister: Zugriff auf E-Mail-System oder Server → AV-Vertrag zwingend
Dokumentations- und Nachweispflichten
Die DSGVO verpflichtet Vereine, ihre Datenverarbeitung nachvollziehbar zu dokumentieren.
Verzeichnis von Verarbeitungstätigkeiten
Jeder Verein sollte ein Verarbeitungsverzeichnis führen, in dem festgehalten wird:
Datenschutz-Folgenabschätzung (DSFA)
Wenn besonders sensible Daten verarbeitet werden (z. B. Gesundheitsdaten), muss eine Datenschutz-Folgenabschätzung durchgeführt werden. Das ist meist bei Vereinen mit medizinischem Bezug relevant (z. B. Reha-Sportgruppen).
Rechte der Vereinsmitglieder
Die Mitglieder haben umfassende Rechte nach DSGVO, die der Verein respektieren muss.
Auskunftsrecht
Jedes Mitglied darf Auskunft verlangen, welche Daten über es gespeichert sind.
Recht auf Berichtigung und Löschung
Falsche Daten müssen korrigiert, nicht mehr benötigte Daten gelöscht werden.
Widerspruchsrecht
Ein Mitglied kann der Datenverarbeitung widersprechen – etwa bei der Nutzung von Fotos auf der Website.
Umgang mit Datenschutzverletzungen
Auch im Verein kann es passieren: eine E-Mail mit falschen Anhängen, ein verlorener USB-Stick oder ein gehacktes Passwort.
Meldepflicht an die Aufsichtsbehörde
Innerhalb von 72 Stunden muss die Aufsichtsbehörde informiert werden, wenn ein Risiko für Betroffene besteht.
Benachrichtigung der Betroffenen
Sind Mitglieder konkret betroffen, müssen sie unverzüglich informiert werden.
Typische Fehler von Vereinen bei der DSGVO-Umsetzung
Viele Vereine stolpern über ähnliche Probleme:
Fehlende Einwilligungen
Fotos werden veröffentlicht, ohne dass eine schriftliche Zustimmung vorliegt.
Unvollständige Datenschutzerklärungen
Webseiten enthalten keine oder nur veraltete Informationen.
Mangelhafte Datensicherheit
Passwörter sind unsicher, Daten werden unverschlüsselt verschickt.
Praxisbeispiele: Erfolgreiche Umsetzung in Vereinen
Sportverein: Führt digitale Mitgliederverwaltung mit sicheren Cloud-Servern ein und integriert Einwilligungsformulare beim Eintritt.
Musikverein: Erstellt eine interne Richtlinie für Fotos, bei der jedes Mitglied selbst entscheiden kann, ob Bilder veröffentlicht werden.
Elterninitiative: Nutzt verschlüsselte Messenger-Dienste statt WhatsApp für sensible Informationen.
Checkliste: DSGVO-Umsetzung im Verein Schritt für Schritt
Bestandsaufnahme aller Datenverarbeitungen
Datenschutzerklärung für Mitglieder und Website erstellen
Einwilligungsformulare für Fotos/Newsletter einholen
Zugriffsbeschränkungen und sichere Passwörter einrichten
AV-Verträge mit externen Dienstleistern abschließen
Verarbeitungsverzeichnis führen
Schulungen für Vorstände und Ehrenamtliche durchführen
Löschfristen festlegen und regelmäßig prüfen
Verfahren für Datenschutzverletzungen vorbereiten
Datenschutz als festen Bestandteil der Vereinsarbeit etablieren
Häufig gestellte Fragen (FAQ)
1. Muss jeder Verein einen Datenschutzbeauftragten haben?
Nein. Nur wenn mehr als 20 Personen regelmäßig mit der Datenverarbeitung beschäftigt sind oder sensible Daten in großem Umfang verarbeitet werden.
2. Dürfen wir Fotos unserer Mitglieder auf Facebook veröffentlichen?
Nur mit schriftlicher Einwilligung der Betroffenen bzw. der Eltern bei Kindern.
3. Müssen wir ein Verarbeitungsverzeichnis führen, auch wenn wir klein sind?
Ja, grundsätzlich jeder Verein sollte ein einfaches Verzeichnis führen – auch kleine Vereine.
4. Welche Daten dürfen wir ohne Einwilligung verarbeiten?
Alles, was zur Erfüllung der Mitgliedschaft notwendig ist, z. B. Beitragseinzug oder Terminorganisation.
5. Was passiert, wenn wir gegen die DSGVO verstoßen?
Es drohen Abmahnungen oder Bußgelder, oft aber auch nur Belehrungen durch die Aufsichtsbehörde – je nach Schwere des Verstoßes.
6. Welche sicheren Alternativen gibt es zu WhatsApp?
Datenschutzfreundliche Messenger wie Signal oder Threema sind empfehlenswert.
Fazit: Datenschutz als Chance für Vertrauen im Verein
Die Umsetzung der Datenschutzgrundverordnung im Verein wirkt auf den ersten Blick kompliziert, ist aber mit klaren Schritten gut machbar. Wichtig ist:
Verantwortlichkeiten festlegen
Transparenz gegenüber Mitgliedern schaffen
Dokumentation und sichere Abläufe pflegen
Vereine, die Datenschutz ernst nehmen, signalisieren nicht nur Rechtskonformität, sondern auch Respekt und Vertrauen gegenüber ihren Mitgliedern. Damit wird Datenschutz nicht zur lästigen Pflicht, sondern zur Visitenkarte des Vereins.
🔗 Externer Link für weitere Informationen:
Datenschutzkonferenz – Orientierungshilfen für Vereine
