DSGVO für Vereine — Was du wissen musst

Die Datenschutz-Grundverordnung (DSGVO) gilt seit Mai 2018 und betrifft ausnahmslos jeden Verein — unabhängig von Größe oder Rechtsform. Sobald ihr personenbezogene Daten verarbeitet (und das tut jeder Verein, der Mitglieder hat), unterliegt ihr den Regeln der DSGVO.

Viele Vereinsvorstände unterschätzen die Relevanz: „Wir sind doch nur ein kleiner Sportverein.“ Doch auch ein Verein mit 20 Mitgliedern speichert Namen, Adressen, E-Mail-Adressen, Bankdaten und möglicherweise Gesundheitsdaten (Sportatteste). Das sind personenbezogene Daten, die geschützt werden müssen.

Bei Verstößen drohen nicht nur Bußgelder (bis zu 20 Millionen Euro oder 4 % des Jahresumsatzes — theoretisch auch für Vereine), sondern vor allem Abmahnungen und Vertrauensverlust bei den Mitgliedern. Die gute Nachricht: Mit überschaubarem Aufwand kann jeder Verein DSGVO-konform arbeiten.

Die wichtigste Rechtsgrundlage für die Datenverarbeitung im Verein ist Art. 6 Abs. 1 lit. b DSGVO: die Vertragserfüllung. Die Mitgliedschaft ist ein vertragsähnliches Verhältnis, und die Verarbeitung von Mitgliederdaten ist für die Erfüllung dieses „Vertrags“ notwendig — Name, Adresse und Bankdaten braucht ihr, um die Mitgliedschaft zu verwalten und Beiträge einzuziehen.

Für Daten, die über das Notwendige hinausgehen (z. B. Fotos auf der Website, Newsletter-Versand an Nicht-Mitglieder), braucht ihr eine Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO. Diese Einwilligung muss freiwillig, informiert und widerrufbar sein. Am besten holt ihr sie schriftlich ein — zum Beispiel über ein Anmeldeformular mit Checkboxen.

Eine weitere relevante Rechtsgrundlage ist das berechtigte Interesse (Art. 6 Abs. 1 lit. f DSGVO). Darunter fällt zum Beispiel die interne Kommunikation über Vereinsaktivitäten. Hier müsst ihr aber immer eine Interessenabwägung durchführen: Wiegt das Vereinsinteresse schwerer als das Interesse des Mitglieds am Schutz seiner Daten?

Jeder Verein ist verpflichtet, ein Verzeichnis von Verarbeitungstätigkeiten (VVT) zu führen (Art. 30 DSGVO). Darin dokumentiert ihr alle Prozesse, bei denen personenbezogene Daten verarbeitet werden: Mitgliederverwaltung, Beitragseinzug, Newsletter-Versand, Website-Betrieb, Foto-Veröffentlichungen.

Ihr braucht außerdem eine Datenschutzerklärung für eure Website. Diese muss erklären, welche Daten ihr erhebt, warum, auf welcher Rechtsgrundlage und wie lange ihr sie speichert. Wenn ihr Dienste wie Google Analytics, Social-Media-Plugins oder Newsletter-Tools nutzt, muss das ebenfalls aufgeführt werden.

Wenn ihr externe Dienstleister einsetzt, die Zugriff auf Mitgliederdaten haben (z. B. Cloud-Software, E-Mail-Dienste, Buchhalter), müsst ihr einen Auftragsverarbeitungsvertrag (AVV) abschließen. Dieser regelt, wie der Dienstleister mit den Daten umgehen darf. Seriöse Software-Anbieter stellen diesen Vertrag standardmäßig zur Verfügung.

Mitgliederdaten dürfen nur so lange gespeichert werden, wie sie für den Zweck notwendig sind. Solange eine Person Mitglied ist, habt ihr eine klare Rechtsgrundlage für die Speicherung. Nach dem Austritt müsst ihr differenzieren: Steuerrelevante Daten (Beitragszahlungen, Spendenbescheinigungen) müssen zehn Jahre aufbewahrt werden. Kontaktdaten für die interne Kommunikation sind nach dem Austritt zu löschen.

Speichert nur die Daten, die ihr wirklich braucht — das Prinzip der Datenminimierung. Fragt euch bei jedem Feld im Mitgliedsantrag: Brauchen wir das wirklich? Geburtsdatum ja (für Alterklassen und Jugendarbeit), Religionszugehörigkeit nein.

Besonders sensibel sind Gesundheitsdaten (Art. 9 DSGVO). Sportatteste, Allergien oder Behinderungen dürfen nur mit ausdrücklicher Einwilligung verarbeitet werden und müssen besonders geschützt werden — etwa durch eingeschränkten Zugriff und Verschlüsselung.

Der häufigste Fehler: Mitgliederlisten per E-Mail im CC-Feld (statt BCC) versenden. Damit werden alle E-Mail-Adressen an alle Empfänger offengelegt — ein klarer DSGVO-Verstoß. Nutzt immer BCC oder besser eine Vereinssoftware mit integriertem Newsletter-Tool.

Zweiter häufiger Fehler: Fotos von Vereinsveranstaltungen ohne Einwilligung veröffentlichen. Insbesondere bei Kindern und Jugendlichen ist hier besondere Vorsicht geboten. Holt vorab eine schriftliche Einwilligung ein — idealerweise bei der Anmeldung zum Event.

Dritter Fehler: Keine Auskunft erteilen. Jedes Mitglied hat das Recht, Auskunft über seine gespeicherten Daten zu erhalten (Art. 15 DSGVO). Ihr müsst innerhalb eines Monats antworten. Bereitet euch darauf vor, indem ihr wisst, wo welche Daten gespeichert sind — eine zentrale Vereinssoftware macht das erheblich einfacher als verteilte Excel-Dateien auf verschiedenen Rechnern.