Datenschutz in Verbänden: Was müssen Vereine beachten?

Verbände bündeln Interessen und sind zentrale Plattformen für Austausch. Dabei verarbeiten sie täglich viele personenbezogene Daten – von Mitgliedsanträgen über Anmeldungen zu Veranstaltungen oder Newslettern bis hin zu sensiblen Informationen einzelner Fachgruppen. Im gemeinnützigen Bereich werden zudem häufig auch Daten von Spendern verarbeitet. Genau deshalb gilt wie für viele Unternehmen auch für sie die Datenschutzgrundverordnung (DSGVO).

Welche Rolle spielt der Datenschutz in der Verbandsarbeit?

Datenschutz ist das Fundament für das Vertrauen zwischen Verband und Mitgliedern, reduziert Haftungsrisiken und schafft die die Voraussetzungen für professionelle Zusammenarbeit mit Partnern, Unternehmen und öffentlichen Stellen. Allerdings sind Datenschutzanforderungen für viele Vereine organisatorisch anspruchsvoll.

Was sind typische Datenschutzfehler von Vereinigungen?

Die folgenden Beispiele zeigen, wann Datenschutz in der Vereinsarbeit relevant sein ist und welche Fehler dabei passieren können:

• Veranstaltungseinladungen: Bei E-Mail-Einladungen zu Veranstaltungen wie Hauptversammlungen ist darauf zu achten, die BCC-Adresszeile zu nutzen, statt die Einladung an alle in CC zu schicken.

• Mannschaftsfotos: Werden nach einem Fußballspiel Mannschaftsfotos gemacht, um in sozialen Netzwerken geteilt zu werden, ist dafür die Einwilligung der abgebildeten Personen erforderlich. Bei Fotos von Minderjährigen ist das elterliche Einverständnis notwendig.

• WhatsApp-Gruppen: Manche Vereine nutzen Messenger-Gruppen für die interne Kommunikation. Dabei ist zu beachten, dass Daten gegebenenfalls außerhalb der EU gespeichert werden und Telefonnummern mit den Anbietern geteilt werden sind.  

• Spendenwerbung: Werden potenzielle Spender kontaktiert, um sie um Unterstützung zu bitten, müssen Datenschutz und Wettbewerbsrecht eingehalten werden. Werden Privatpersonen per Telefon und E-Mail angesprochen ist dafür eine Einwilligung nötig. Gegenüber Firmen gilt dies nur für die E-Mail-Adresse.

• Schredder: Auch kleine Vereine müssen sicher mit Daten umgehen und hierfür die technischen und organisatorischen Voraussetzungen schaffen. Dies betrifft sowohl das sichere Speichern von Daten als auch deren Löschung und Vernichtung. Sensible Daten auf Papier dürfen nicht im Altpapier landen. Ein Aktenvernichter ist nötig. Auch Festplatten und Speichermedien müssen sicher gelöscht oder vernichtet werden.

Bei Verstößen sieht die DSGVO unter anderem Bußgelder vor. Vorstände können sogar persönlich haftbar gemacht werden. So wurde 2024 die Präsidentin eines Luftsportverbands zu 10.000 Euro Schadensersatz verurteilt, weil sie sensible Gesundheitsdaten eines Mitarbeiters ohne Einwilligung an alle Vereinsmitglieder weitergegeben hatte.  

Welche Verbände sind von der DSGVO betroffen?

Die DSGVO ist rechtsformneutral und erfasst alle Verbände gleichermaßen: Jeder Verband oder Verein, der personenbezogene Daten erhebt, speichert und verarbeitet, muss sich mit dem Datenschutz befassen.  

Müssen sich auch kleine Verbände mit der DSGVO beschäftigen?

Datenschutzregeln gelten unabhängig von der Verbandsgröße und -struktur – auch öffentlich-rechtliche Verbände unterliegen damit der DSGVO. Unerheblich für die Anwendbarkeit der DSGVO ist außerdem, ob Vereine rechtsfähig oder nicht rechtsfähig organisiert sind.

Jeder selbständig organisierte Verein stellt eine datenschutzrechtlich verantwortliche Einheit dar. Landesverbände von Verbandsorganisationen sind dabei ebenso selbständig für die Einhaltung des Datenschutzes zuständig wie eine Service-GmbH.

Ebenso spielt es keine Rolle, ob ein Verein gemeinnützige Zwecke verfolgt oder nicht. Die DSGVO kenn keine Sonderregelungen. Alle Vereinigungen werden gleichbehandelt.

Was gilt bei der Datenverarbeitung für Verbandszwecke?

Die DSGVO legt fest, unter welchen Umständen Verbände und Vereine personenbezogene Daten verarbeiten dürfen. Die Verarbeitung muss  

• zweckgebunden sein. Der Zweck ist vor Erhebung der Daten festzulegen. Ist der Zweck erreicht, müssen die erhobenen und verarbeiteten Daten schnellstmöglich gelöscht oder vernichtet werden.  

• gesetzlich erlaubt sein. Dafür ist eine sogenannte Rechtsgrundlage (Erlaubnisnorm) nötig. Nur wenn deren Voraussetzungen erfüllt sind, dürfen die Daten zum festgelegten Zweck verarbeitet werden. 

Welche Rechtsgrundlagen gibt es für die Datenverarbeitung im Verein?

Laut Art. 6 Abs. 1 DSGVO kommen sechs Rechtsgrundlagen infrage. Für Vereine gilt zum Beispiel, dass die Datenverarbeitung zulässig ist, wenn sie zur Begründung und Durchführung eines Vertragsverhältnisses erforderlich ist. Das ist im Verein etwa beim Beitritt von Mitgliedern der Fall.  

Auch die Verwaltung und Betreuung der Mitglieder und das Verfolgen der Vereinsziele sind grundsätzlich legitime Zwecke, um Daten zu erheben, zu speichern und zu nutzen.  

Wichtig: Es kommt immer darauf an, welche Daten zu welchem erhoben werden sollen.

Welche und wie viele Daten dürfen Vereine erheben?

Die Erhebung und weitere Verarbeitung der Daten muss für die Erfüllung des Zwecks notwendig sein und auf das unbedingt erhebliche Maß beschränkt sein (Datenminimierung).

Wann dürfen personenbezogene Daten von Verbänden weitergegeben werden?

Bei der Weitergabe von Daten kommt es darauf an, ob sie der Verfolgung der Vereinszwecke dient und die Voraussetzungen einer Rechtsgrundlage erfüllt sind.  

Beispiel: Der Verein möchte eine Stellenbörse für Mitglieder organisieren oder eine Vermittlung starten. In diesem Fall wäre es grundsätzlich zulässig, Daten der Mitglieder nach außen preiszugeben, ebenso wie die Information zur Zugehörigkeit zum Verein.

Erlaubt ist auch die Weitergabe von Daten an andere Mitglieder, wenn es dem Vereinszweck dient. So ist eine Aushändigung der Mitgliederliste an die anderen Mitglieder möglich, wenn es sich um einen Ehemaligenverein handelt. Ebenso dürfen Daten über Spender an den Steuerberater weitergegeben werden.

Schließlich ist eine Weitergabe oder Offenlegung an externe Dienstleister im Rahmen einer Auftragsverarbeitung regelmäßig zulässig, solange ein wirksamer und den gesetzlichen Vorgaben entsprechender Auftragsverarbeitungsvertrag abgeschlossen wird.

Wann ist die Weitergabe von personenbezogenen Vereinsdaten nicht gestattet?

Eine Datenweitergabe ist nicht gestattet, wenn sie nicht mehr zur Durchführung des Mitgliedschaftsverhältnisses oder zur Erreichung der Vereinsziele erforderlich ist. Kann die Weitergabe dann nicht auf eine andere Rechtsgrundlage gestellt werden, etwa in Fällen, in denen die Übermittlung im berechtigten Interesse des Vereins, eines Mitglieds oder eines Dritten liegt, wäre sie unzulässig.  

Lässt sich die Datenverarbeitung auf keine andere Rechtsgrundlage stützen, weil deren Voraussetzungen nicht erfüllt sind, bleibt nur noch eine Einwilligung der betroffenen Person nach Art. 6 Abs. 1 S. 1 lit. a DSGVO, um eine Datenweitergabe zu ermöglichen. Dabei muss die betroffene Person umfassend informiert werden, welche ihrer Daten zu welchem Zweck verarbeitet und an wen die Daten gegebenenfalls weitergegeben werden.

Gut zu wissen: Die betroffenen Personen müssen nicht in jede durchgeführte Datenverarbeitung einwilligen. Vereine nur dann auf eine Einwilligung zurückzugreifen, wenn andere Rechtsgrundlagen nicht existieren oder die Voraussetzungen der Norm nicht erfüllt werden. Denn: Eine Einwilligung kann jederzeit widerrufen werden. Dann dürfen personenbezogene Daten nicht weiterverarbeitet werden und sind wären zu löschen.  

DSGVO-Checkliste für Vereine und Verbände: So schützen Sie Ihre Mitgliederdaten

• Überblick verschaffen: Bei welchen internen Vorgängen werden welche Daten erhoben und verwendet? Wie lange werden sie gespeichert und zu welchem Zweck? – Durch die Beantwortung dieser Fragen ermitteln Sie Datenschutzrisiken und können nebenbei unnötig komplexe Prozesse und Datensammlungen verschlanken.

• Verarbeitung dokumentieren: Dokumentieren Sie, bei welchen Prozessen personenbezogene Daten verarbeitet werden, um welche Datenarten es sich handelt, welche Risiken für Betroffenen bestehen, wann die Daten gelöscht werden und wer dafür zuständig ist. Gerade in ehrenamtlichen Vereinen sind klar geregelte Zuständigkeiten entscheidend.

• Rechtsgrundlagen überprüfen: Stellen Sie sicher, dass für jeden Prozess eine geeignete Rechtsgrundlage vorhanden ist, die die Datenverarbeitung erlaubt.

• Einwilligung einholen: Kann die Verarbeitung und Weitergabe von Daten auf keine andere Rechtsgrundlage gestützt werden, brauchen Sie eine wirksame Einwilligung der betroffenen Personen. Holen Sie dies im Zweifelsfall vor der nächsten Datenverarbeitung nach.

• Informationspflichten erfüllen: Informieren Sie Betroffene darüber, wie und zu welchem Zweck ihre Daten verarbeitet werden, auf welcher Rechtsgrundlage dies geschieht, wie lange die Daten gespeichert bleiben und wer Empfänger der Daten ist. Weisen Sie Ihre Mitglieder außerdem auf die Rechte hin, die die DSGVO ihnen einräumt. Diese stets aktuell zu haltenden Datenschutzinformationen können Sie der Satzung beifügen oder sie auf andere Weise zur Kenntnisnahme bereithalten.  

• Technische und organisatorische Maßnahmen (TOM) treffen: Ergreifen Sie Maßnahmen zum Schutz der gespeicherten Daten, zum Beispiel Zutrittsbeschränkungen zu Servern oder Dokumenten sowie Zugriffsrechte nur für befugte und verantwortliche Personen. Je sensibler die Daten oder je höher das Risiko ist, desto höher muss der Schutz ausfallen.  

• Daten löschen: Daten sollten vernichtet oder gelöscht werden, wenn der Zweck, zu dem sie erhoben wurden, erreicht oder entfallen ist – etwa, wenn ein Mitglied austritt oder eine Veranstaltung vorüber ist. Automatisierte Prozesse sparen in diesem Zusammenhang Zeit und reduzieren Fehler. Bei manueller Löschung helfen klare Zuständigkeiten und Anweisungen bei der Einhaltung der DSGVO-Vorgaben.

• Datenschutzbeauftragte bestellen: Sind mehr als 20 Personen im Verein regelmäßig mit der automatisierten Datenverarbeitung beschäftigt oder verarbeitet ein Verein Daten geschäftsmäßig, muss ein Datenschutzbeauftragter bestellt und der zuständigen Aufsichtsbehörde gemeldet werden. In unserem Magazin informieren wir Sie über die wichtigsten Aufgaben von Datenschutzbeauftragten. Vereine und Verbände mit knappen Ressourcen erhalten Unterstützung von externen Datenschutzbeauftragten.

• Rechte betroffener Personen wahren: Die DSGVO gewährt betroffenen Personen verschiedene Rechte, etwa das Recht auf Auskunft, auf Löschung oder auf den Widerruf von Einwilligungen. Stellen Sie durch saubere Prozesse und klare Zuständigkeiten sicher, dass die Betroffenenrechte fristgerecht umgesetzt werden.

Wie halten Vereine und Verbände den Datenschutz effizient ein?

Verbände und Vereine haben weitreichende Pflichten in Bezug auf den Schutz der Mitgliederdaten. Sie sichern sich damit nicht nur rechtlich ab, sondern stärken die Gemeinschaft innerhalb des Verbandes und dessen Reputation.  

Die DSGVO-Anforderungen sauber umzusetzen, erfordert allerdings viel Zeit und Ressourcen. Vereinsverantwortliche können deshalb auf Unterstützung durch externe Datenschutzbeauftragte und Datenschutzsoftware setzen.  

Anstatt Daten in Excel-Tabellen zu organisieren können sie Daten mit einer Software bei Bedarf schnell wiederfinden und automatisiert löschen. Darüber hinaus hilft die Zusammenarbeit mit Datenschutzexperten, Klarheit über interne Prozesse zu erlangen und diese nicht nur mit Blick auf den Datenschutz optimieren.