Was bedeutet Datenschutz im Verein – und warum ist er wichtig?

Ein Verein lebt vom Engagement seiner Mitglieder. Durch sie kann er seine Ziele erreichen und seine Rolle in der Gesellschaft erfüllen. Damit das so ist, erhebt und verarbeitet jeder Verband personenbezogene Daten. Beispiele hierfür sind:

• Name


• Geschlecht


• Geburtsdatum


• Anschrift


• E-Mail-Adresse


• Kontodaten


• Fotos

Ein Verein nutzt diese Informationen seiner Angehörigen auf vielfältige Weise – beispielsweise für Newsletter, Einladungsschreiben für Mitgliederversammlungen, Website-Inhalte oder Abrechnungen. Doch bedeutet der Umgang mit persönlichen Daten gleichzeitig auch, diese zu schützen. Dabei geht es um mehr als den rein technischen Datenschutz, beispielsweise vor Diebstahl. Stattdessen betrifft die vereinsinterne Datenverarbeitung die Grundrechte der Mitglieder.

Aus diesem Grund gelten Datenschutzregelungen für jeden Verein gleich – unabhängig von seiner Größe oder Organisationsform. Ob eingetragener Verein, nicht rechtsfähig oder gemeinnützig, ob ehrenamtlich geleitet mit geringen oder größeren finanziellen Mitteln: Beim Thema Datenschutz in Vereinen zählen allein die jeweiligen Risiken der Personen, deren Daten die Organisation erhebt und verarbeitet.

Muss der Datenschutz in die Vereinssatzung?

Ob EU- oder BDSG-Grundverordnung: Die Datenverarbeitung ist grundsätzlich verboten. Sie ist nur erlaubt, wenn es dafür entweder eine Rechtsgrundlage gibt oder aber Mitglieder und Interessenten ausdrücklich eingewilligt haben. Erhebt eine Organisation beispielsweise aufgrund ihrer festgelegten Vereinsziele persönliche Informationen seiner Mitglieder, müssen diese Vorhaben in der Vereinssatzung definiert sein, um als Grund dienen zu können. Auch einzelne Datenverarbeitungen müssen mit ihrem jeweiligen konkreten Vereinszweck transparent aufgeführt sein – etwa Maßnahmen der Öffentlichkeitsarbeit oder die Zahlung von Vereinsgebühren.

Tipp:  Fügen Sie der Satzung zusätzlich eine Datenschutzerklärung für Ihren Verein bei.

Datenschutz in Vereinen: Das sind die rechtlichen Grundlagen

Bislang regelte jedes Land in Europa das Thema Datenschutz auf seine Weise. Doch seit 2018 ist damit Schluss: Am 25. Mai 2018 trat die DSGVO in Kraft – eine einheitliche Datenschutzgrundverordnung der Europäischen Union. Zusätzlich dazu verfügen die EU-Mitgliedsstaaten noch über eigene Datenschutzregelungen. In Deutschland beispielsweise ergänzt das Bundesdatenschutzgesetz (BDSG) die Vorschriften aus Brüssel. In der Praxis jedoch hat die DSGVO Vorrang.

Die Kernidee der DSGVO ist es, Verbrauchern mehr Kontrolle über ihre Daten zu ermöglichen. Die Erfassung, Aufbewahrung und Verarbeitung personenbezogener Informationen folgt mit der DSGVO deshalb nun einheitlichen Vorgaben. Ob Verband oder Wirtschaftsunternehmen: Für alle gelten die gleichen Regelungen. Bei Vereinen hat das Auswirkungen insbesondere auf EDV-Prozesse, Mitgliederwerbung, Sicherheitsmaßnahmen wie Videoüberwachungen oder die Meldung an Dachverbände. Bei Missachtung drohen kostenpflichtige Abmahnungen und hohe Bußgelder.

Datenschutz in Vereinen ganz konkret – die wichtigsten Regelungen im Überblick

Die DSGVO ist nicht in Paragrafen, sondern in 99 Artikel gegliedert. Ihnen sind 173 Erwägungsgründe vorangestellt, in denen das EU-Parlament seine Zwecke und Ziele bei der Grundverordnung darstellt und die Regelungen aus den einzelnen Artikeln konkretisiert. Es ist also gar nicht so leicht für Vereine, beim Thema Datenschutz den Überblick zu behalten. Um Datenverstöße und Sanktionen zu vermeiden, sollten Verbände die zentralen Regeln beim Umgang mit personenbezogenen Daten jedoch immer berücksichtigen. Diese sind:

Das Recht auf Zugang zu Informationen

Alle Verbandsangehörigen haben nach Art. 15 DSGVO ein Zugriffsrecht – also das Recht, auf ihre eigenen personenbezogenen Daten zuzugreifen – und darüber hinaus zu erfahren, wie der Verein ihre Daten verwendet. Auf Wunsch der Mitglieder muss Ihr Verein eine Kopie der personenbezogenen Daten kostenlos elektronisch zur Verfügung stellen.

Das Recht auf Vergessenwerden

Mitglieder haben einen Anspruch darauf, vergessen zu werden. Das gilt insbesondere beim Ende der Mitgliedschaft oder wenn Ihrem Verein die weitere Verarbeitung der Daten untersagt ist. Das bedeutet auch: Informieren Sie Dritte, an die Sie die Daten übermittelt haben, wenn Sie

• unrichtige Mitgliederdaten berichtigt,


• bestrittene Daten gesperrt oder


• unzulässig erhobene Daten gesperrt haben.

Das betrifft beispielsweise Daten, die ein Verein an Dachverbände weitergereicht hat.

Tipp:  Laut Art. 17 DSGVO kann ein Vereinsmitglied auch einen Antrag auf Löschung seiner Daten stellen. Mitgliederdaten zu löschen kollidiert aber oftmals mit den steuerrechtlichen Aufbewahrungs- und Dokumentationspflichten des Vereins. Informieren Sie sich daher rechtzeitig über die gesetzlichen Löschfristen sowie Aufbewahrungsfristen.

Das Recht auf Portabilität der Daten

Die Übertragbarkeit von Daten ist wichtig – etwa, wenn ein Verein den Anbieter seiner Datenbank zur Mitgliederverwaltung wechselt. Art. 20 DSGVO besagt, dass Vereinsmitglieder einen entsprechenden Anspruch auf Übertragung der Daten in einem üblichen maschinenlesbaren Format besitzen. Als Verein müssen Sie zudem sicherstellen, dass der Übertragungswunsch auch tatsächlich von einer berechtigten Person, also Ihrem Mitglied, stammt und die Erhebung der zu übertragenden personenbezogenen Daten legal erfolgte.

Das Recht auf Information und Freigabe 

Bevor Ihr Verein Daten sammelt, müssen Sie die Betroffenen darüber informieren. Diese müssen der Erfassung der Daten in der Regel ausdrücklich zustimmen. Ein stillschweigendes Einverständnis reicht nicht. Das heißt: Ein Verein hat alle Prozesse, mit denen er Mitgliederdaten sammelt, zu überprüfen und anzupassen. Stellen Sie die Dokumentation und Speicherung des eingeholten Einverständnisses jederzeit sicher.

Das Recht auf Berichtigung falscher Daten

Mitglieder haben einen Berichtigungsanspruch, wenn Daten veraltet, unvollständig oder falsch sind.

Das Recht auf Einschränkung der Datennutzung

Einzelpersonen dürfen verlangen, dass ihre persönlichen Daten nicht weiterverarbeitet werden. Ein Verein darf diese dann zwar weiter speichern, im Ergebnis aber nicht verwenden.

Das Einspruchsrecht 

Hintergrund hier sind die Methoden im sogenannten Direktmarketing – beispielsweise E-Mails mit persönlicher Ansprache. Direktmarketing wird von vielen als besonders störend empfunden. Deshalb dürfen Personen Einspruch gegen die Nutzung ihrer Daten für direktes Marketing einlegen. Ein Verein muss seine Mitglieder bei der Erhebung der personenbezogenen Informationen darüber in Kenntnis setzen. Hat ein Mitglied der Nutzung seiner Daten für Marketingmaßnahmen widersprochen, dürfen Sie dessen Daten nicht mehr nutzen.

Der Anspruch auf Benachrichtigung 

Kommt es zu einem Problem mit der Datensicherheit, das personenbezogene Mitgliederdaten betrifft (etwa Diebstahl von Kreditkartendaten), muss Ihr Verein laut Art. 34 DSGVO die Betroffenen in der Regel innerhalb von 72 Stunden über die Datenschutzverletzung informieren. Das bedeutet, dass Ihr Verein:

• im eigenen Interesse die Datensicherheit optimieren muss,


• Maßnahmen einrichten muss, damit Probleme bei der Datensicherheit erkannt werden,


• einen Prozess definieren muss, um im Falle eines Falles die gesetzliche Frist der Bekanntgabe einhalten zu können.

Wichtig:  Neben den Betroffenen müssen Sie den Datenschutz-Landesbeauftragten Ihres Bundeslandes informieren, wenn es zu Datenpannen kommt. Dokumentieren Sie unbedingt die Datenpanne, ihre Auswirkungen sowie die von Ihnen ergriffenen Maßnahmen umfassend.

Tipp:  Legen Sie einen Kommunikationsplan und die entsprechenden Verantwortlichkeiten fest. Damit sparen Sie sich in der sowieso stressbelasteten Situation einer Datenschutzpanne unnötigen Ärger und tragen zur Entspannung bei.

Tipps zur Umsetzung des Datenschutzes in Vereinen

Ob ein Verein rechtsicher neue Mitglieder aufnehmen möchte oder personenbezogene Daten in Protokollen verwendet: Überall greift der Datenschutz – und eine Einwilligung der betroffenen Personen ist erforderlich. Dies gilt vor allem dann, wenn die Nutzung der Daten nicht aufgrund der Umsetzung des Mitgliedsvertrags oder zur Einhaltung der gesetzlichen Aufbewahrungspflicht erfolgt. Sollen etwa neue Fotos für die Website des Vereins entstehen, müssen die Mitglieder hier explizit zustimmen. Diese kann DSGVO-konform schriftlich, mündlich oder elektronisch erfolgen.

Brauchen Vereine einen Datenschutzbeauftragten?

Die EU-Grundverordnung sieht vor, dass in jedem Verein eine Person die Einhaltung der datenschutzrechtlichen Regelungen sicherstellen muss. Verantwortlich ist hierfür der Vorstand. Bei der Verarbeitung besonders sensibler Mitgliederdaten, wie etwa Gesundheitsdaten in Selbsthilfegruppen, oder wenn in einem Verein mehr als 20 Personen mit der Verwendung persönlicher Informationen betraut sind, braucht es einen Datenschutzbeauftragten. Dieser darf nicht dem Vorstand angehören und muss nicht zwingend Mitglied des Vereins sein.

Laut DSGVO Pflicht, aber gleichzeitig auch ein hilfreiches Werkzeug für den Datenschutz in Vereinen, ist ein Verzeichnis der Verarbeitungstätigkeiten. Hiermit erhalten Sie einen guten Überblick über alle Vorgänge im Verein, die den Datenschutz betreffen, beispielsweise bei der Aufnahme neuer Mitglieder. Das Verzeichnis sollte Angaben enthalten zu den Datenschutz-Verantwortlichen, sowie den Details der zu verarbeitenden Daten sowie zum Vereinszweck.

Weitere Tipps zur Umsetzung des Datenschutzes bei der Vereinsarbeit sind:

• Die DSGVO stellt darauf ab, nur erforderliche Daten zu verarbeiten, die an einen bestimmten Zweck gebunden sind. Überprüfen Sie Daten dahingehend und löschen Sie gegebenenfalls nicht erforderliche Informationen.


• Entwickeln Sie Sicherheitsmaßnahmen, um jeden unberechtigten Zugriff und jeden Datenverlust zu verhindern.


• Wenn Sie Leistungen an externe Partner ausgegliedert haben, bestehen Sie darauf, dass diese Ihnen entsprechende Sicherheitskonzepte vorlegen – die regelmäßige Überprüfung hier nicht vergessen.


• Checken Sie, ob Einwilligungen zur Datenverarbeitung frei von vorausgefüllten Kästchen und stillschweigenden Zustimmungen sind. Andernfalls sind diese anzupassen.


• Stellen Sie sicher, dass Einwilligungen zur Datenverarbeitung mit Datum versehen und dokumentiert sind.

Tipp:  Vorstand und Angehörigen eines Vereins ist es ohne Einwilligung eines Mitglieds nicht möglich, diesem zu seiner Eheschließung oder der Geburt eines Kindes in der Vereinszeitung zu gratulieren. Auch die Nutzung von Messenger-Diensten wie WhatsApp ist aus Gründen des Datenschutzes für Vereine untersagt – nutzen Sie hier besser Alternativen.

Datenschutz in Vereinen: Die Rechte Ihrer Mitglieder im Blick

Seit 2018 ist Datenschutz eine Sache der EU: Mit der Datenschutzgrundverordnung folgt die Erhebung und Nutzung personenbezogener Daten europaweit einheitlichen Regeln. Das gilt auch für Vereine: Ob gemeinnützig, ehrenamtlich oder eingetragen – die Persönlichkeitsrechte der Vereinsmitglieder haben oberste Priorität.

Um die Einhaltung der verschiedenen Regelungen – von Zugriffsrecht bis hin zur Löschung der Mitgliederdaten – kümmert sich ein Verantwortlicher oder unter bestimmten Voraussetzungen ein Datenschutzbeauftragter. Laut DSGVO ist ein Verzeichnis der Verarbeitungstätigkeiten Pflicht – aber auch ein hilfreiches Instrument. Vorsorgen sollten Vereine zudem bei möglichen Datenschutzpannen. Um Bußgelder zu vermeiden, legen Sie einen Kommunikationsplan und die entsprechenden Verantwortlichkeiten frühestmöglich fest – am besten schon im Zuge der Vereinsgründung.

FAQ: Häufig gestellte Fragen zum Thema Datenschutz im Verein

Was muss ich als Verein beim Thema Datenschutz beachten?

Ein Verein benötigt für seine Arbeit personenbezogene Daten seiner Mitglieder. Doch gilt: Es dürfen nur jene Daten erhoben werden, die zum Zweck der Erfüllung der in der Satzung definierten Vereinsziele und Vorhaben zwingend erforderlich sind. Andernfalls müssen Vereinsmitglieder gesondert einwilligen.

Wer kümmert sich im Verein um das Thema Datenschutz?

Verantwortlicher für Datenschutz im Verein ist in der Regel der Vorstand. Ausnahmen gibt es für den Umgang mit hochsensiblen Daten sowie bei Vereinen, in denen mehr als 20 Personen mit der Datenverarbeitung betraut sind: Hier braucht es einen Datenschutzbeauftragten.