DSGVO für Vereine: Mitgliederdaten, Website und Newsletter richtig schützen
Auch kleine Vereine müssen die DSGVO einhalten. Erfahre, welche Pflichten bei Mitgliederverwaltung, Fotos, Newsletter, Vereinswebsite und Cloud-Tools gelten.
Die DSGVO gilt für jeden, der personenbezogene Daten verarbeitet — unabhängig von Größe, Rechtsform oder wirtschaftlichem Zweck. Vereine sind keine Ausnahme. Ob Sportverein mit 50 Mitgliedern, Förderverein oder Kulturverein: Sobald Mitgliederdaten verwaltet, Fotos veröffentlicht oder Newsletter versendet werden, gelten die vollen DSGVO-Anforderungen.
Dieser Artikel erklärt systematisch, welche Datenschutzpflichten Vereine treffen, welche Rechtsgrundlagen für typische Vereinstätigkeiten gelten und wie Vereine ihre Website, ihren Newsletter und ihre Mitgliederverwaltung rechtskonform aufstellen.
Vereine als Verantwortliche nach Art. 4 Nr. 7 DSGVO
Der Verein (als juristische Person) ist der Verantwortliche im Sinne der DSGVO. Nicht der Vorsitzende persönlich, nicht der Kassenwart — der Verein als Ganzes. Die Verantwortung liegt beim Vorstand als gesetzlichem Vertreter (ss 26 BGB).
Das bedeutet konkret:
- Der Verein muss ein Verarbeitungsverzeichnis führen (Art. 30 DSGVO)
- Der Verein braucht eine Datenschutzerklärung auf der Website (Art. 13 DSGVO)
- Der Verein muss Betroffenenrechte gewährleisten (Art. 15-22 DSGVO)
- Der Verein haftet für Datenschutzverstöße (Art. 82 DSGVO)
Häufiges Missverständnis: “Wir sind nur ein kleiner Verein, die DSGVO gilt für uns nicht.” Das ist falsch. Die DSGVO kennt keine Ausnahme für ehrenamtliche Organisationen. Allerdings sind die Anforderungen risikobasiert — ein Sportverein mit 80 Mitgliedern muss nicht denselben Aufwand betreiben wie ein Konzern.
Rechtsgrundlagen für typische Vereinstätigkeiten
| Verarbeitung | Rechtsgrundlage | Vorschrift |
|---|---|---|
| Mitgliederverwaltung (Name, Adresse, Beitrag) | Vertragserfüllung (Satzung = Vertrag) | Art. 6 Abs. 1 lit. b |
| Bankeinzug des Mitgliedsbeitrags | Vertragserfüllung | Art. 6 Abs. 1 lit. b |
| Meldung an Dachverband/Sportverband | Satzungsmäßige Verpflichtung | Art. 6 Abs. 1 lit. b oder f |
| Newsletter an Mitglieder | Berechtigtes Interesse | Art. 6 Abs. 1 lit. f |
| Newsletter an Nicht-Mitglieder | Einwilligung | Art. 6 Abs. 1 lit. a |
| Fotos auf der Website | Einwilligung oder berechtigtes Interesse | Art. 6 Abs. 1 lit. a oder f |
| Mannschaftslisten / Ergebnisse | Berechtigtes Interesse | Art. 6 Abs. 1 lit. f |
| Spendenquittungen | Rechtliche Verpflichtung | Art. 6 Abs. 1 lit. c (AO) |
Die Satzung als Rechtsgrundlage
Die Vereinssatzung ist ein Vertrag zwischen dem Verein und seinen Mitgliedern (ss 25 BGB). Deshalb kann die Vertragserfüllung (Art. 6 Abs. 1 lit. b) als Rechtsgrundlage für alle Datenverarbeitungen dienen, die zur Erfüllung des Satzungszwecks notwendig sind:
- Verwaltung der Mitgliedsdaten
- Beitragseinzug
- Kommunikation zu Vereinsangelegenheiten
- Meldung an übergeordnete Verbände (wenn die Satzung dies vorsieht)
Empfehlung: Nimm in die Satzung einen Datenschutzpassus auf, der die wesentlichen Datenverarbeitungen benennt. Das stärkt die Rechtsgrundlage und schafft Transparenz.
Mitgliederverwaltung und Datensparsamkeit
Welche Daten darf der Verein erheben?
Nur Daten, die für den Vereinszweck erforderlich sind (Art. 5 Abs. 1 lit. c DSGVO — Datenminimierung):
| Erforderlich | Nicht erforderlich (nur mit Einwilligung) |
|---|---|
| Name, Vorname | Geburtsdatum (Ausnahme: Jugendarbeit) |
| Anschrift | Beruf |
| E-Mail-Adresse | Staatsangehörigkeit |
| Telefonnummer | Foto |
| IBAN für Beitragseinzug | Social-Media-Profile |
| Eintrittsdatum | Gesundheitsdaten (Ausnahme: Sportverein mit ärztlichem Attest) |
Mitgliederlisten und Weitergabe
Die interne Mitgliederliste — wer darf sie sehen?
- Vorstand und Kassenwart: Zugriff im Rahmen ihrer Aufgaben erlaubt
- Andere Mitglieder: Nur wenn die Satzung dies vorsieht oder ein berechtigtes Interesse besteht (z.B. Kontaktliste der Abteilungsleiter)
- Vollständige Liste an alle Mitglieder: Nur mit Einwilligung jedes einzelnen Mitglieds
- Telefonliste im Vereinsheim: Nur mit Einwilligung
Weitergabe an Dachverbände
Viele Vereine sind verpflichtet, Mitgliederdaten an Dachverbände zu melden (z.B. Landessportbund, DOSB, Fachverbände). Die Rechtsgrundlage ergibt sich aus der Satzung oder dem berechtigten Interesse. Dennoch:
- Nur die notwendigen Daten übermitteln (Name, Geburtsdatum, Vereinszugehörigkeit)
- In der Datenschutzerklärung auf die Weitergabe hinweisen
- AVV mit dem Dachverband abschließen, wenn dieser als Auftragsverarbeiter tätig ist
Fotos von Vereinsveranstaltungen
Fotos sind ein Dauerthema im Vereinsdatenschutz. Es gibt zwei relevante Rechtsregime:
Kunsturhebergesetz (KUG) vs. DSGVO
Das KUG (ss 22, 23) regelt das Recht am eigenen Bild und erlaubt in bestimmten Fällen die Veröffentlichung ohne Einwilligung:
- Bilder aus dem Bereich der Zeitgeschichte (ss 23 Abs. 1 Nr. 1 KUG) — z.B. große Sportveranstaltungen
- Bilder, auf denen Personen nur als Beiwerk neben einer Landschaft oder Örtlichkeit erscheinen (ss 23 Abs. 1 Nr. 2 KUG)
- Bilder von Versammlungen, Aufzügen und ähnlichen Vorgängen (ss 23 Abs. 1 Nr. 3 KUG) — z.B. Vereinsfeste, Sportveranstaltungen
Die DSGVO verdrängt das KUG nicht vollständig. Nach herrschender Meinung und Rechtsprechung des BGH können Vereine für die Berichterstattung über Vereinsveranstaltungen das berechtigte Interesse (Art. 6 Abs. 1 lit. f DSGVO) in Verbindung mit ss 23 KUG heranziehen.
Praxisempfehlung für Vereine
| Situation | Rechtsgrundlage | Einwilligung nötig? |
|---|---|---|
| Gruppenfoto vom Vereinsfest (Website) | Berechtigtes Interesse + ss 23 KUG | Nein, aber Widerspruchsrecht beachten |
| Porträtfoto eines Mitglieds (Website) | Einwilligung | Ja |
| Kinderfotos (U18) | Einwilligung der Erziehungsberechtigten | Ja, immer |
| Mannschaftsfoto (Vereinszeitung) | Berechtigtes Interesse + ss 23 KUG | Nein |
| Fotos in sozialen Medien (Facebook, Instagram) | Einwilligung | Ja (wegen Drittlandtransfer) |
Wichtig: Bei Kindern unter 16 Jahren müssen immer die Erziehungsberechtigten einwilligen. Ein mündliches “Ist okay” reicht nicht — die Einwilligung muss nachweisbar sein.
Vereins-Newsletter: Double-Opt-In und Abmeldung
Newsletter an Mitglieder
Vereinsinterne Mitteilungen an Mitglieder (Einladungen zur Mitgliederversammlung, Termine, organisatorische Informationen) können auf das berechtigte Interesse (Art. 6 Abs. 1 lit. f DSGVO) gestützt werden. Voraussetzung: Die Mitglieder können widersprechen.
Newsletter an Nicht-Mitglieder
Für Newsletter an Interessenten, ehemalige Mitglieder oder die allgemeine Öffentlichkeit gilt:
- Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO erforderlich
- Double-Opt-In-Verfahren (Standard nach UWG ss 7 Abs. 2 Nr. 3)
- Abmeldelink in jeder E-Mail
- Dokumentation der Einwilligung (Zeitpunkt, IP-Adresse, Text der Einwilligung)
Newsletter-Tools und AVV
Auch Vereine, die Newsletter-Dienste nutzen, brauchen einen AVV:
| Dienst | Serverstandort | AVV verfügbar | Kostenlos für Vereine? |
|---|---|---|---|
| Brevo (Sendinblue) | EU (Deutschland) | Ja | Bis 300 Mails/Tag |
| CleverReach | EU (Deutschland) | Ja | Bis 250 Empfänger |
| Mailchimp | USA | Ja (DPF-zertifiziert) | Bis 500 Empfänger |
| Rapidmail | EU (Deutschland) | Ja | Nein |
Empfehlung: EU-gehostete Anbieter bevorzugen. Damit entfällt die Drittlandtransfer-Problematik.
Vereinswebsite DSGVO-konform gestalten
Die meisten Vereinswebsites werden mit WordPress, Jimdo oder Wix erstellt. Die DSGVO-Anforderungen sind dieselben wie für Unternehmenswebsites:
Pflichtbestandteile
- Impressum (DDG ss 5 — gilt auch für Vereine mit wirtschaftlichem Geschäftsbetrieb)
- Datenschutzerklärung (Art. 13 DSGVO) — alle Verarbeitungen auflisten
- Cookie-Banner — wenn nicht-essentielle Cookies eingesetzt werden
- SSL/TLS-Verschlüsselung — Pflicht für jede Website mit Kontaktformular
Typische Probleme auf Vereinswebsites
| Problem | Risiko | Lösung |
|---|---|---|
| Google Fonts extern eingebunden | Abmahnung (100-170 EUR + Unterlassungserklärung) | Lokal einbinden |
| Google Maps ohne Consent | DSGVO-Verstoß (Drittlandtransfer) | Consent oder Bild-Karte verwenden |
| Facebook Like-Button | Überträgt Daten ohne Einwilligung | 2-Klick-Lösung oder entfernen |
| Kein SSL-Zertifikat | DSGVO-Verstoß (Art. 32) | Let’s Encrypt (kostenlos) |
| Fehlende Datenschutzerklärung | Abmahnung und Bußgeld | Erstellen mit Content-Generator |
| WordPress-Plugins mit Trackern | Unbemerkte Datenübermittlung | Regelmäßig mit Scanner prüfen |
Cloud-Tools für Vereine
Viele Vereine nutzen Cloud-Dienste für Kommunikation und Zusammenarbeit. DSGVO-Pflichten:
Microsoft 365 und Google Workspace
- AVV mit Microsoft bzw. Google abschließen (im Admin-Panel)
- Drittlandtransfer: Google Workspace und Microsoft 365 übertragen Daten in die USA — DPF-Zertifizierung prüfen
- Datenschutzerklärung anpassen (wenn Cloud-Dienste für die Vereinskommunikation mit Mitgliedern genutzt werden)
Messenger-Dienste
- WhatsApp-Gruppen: Problematisch, da WhatsApp das komplette Telefonbuch hochlädt. Alternative: Signal oder Threema
- Telegram: Server außerhalb der EU, kein AVV möglich — nicht empfohlen
- Signal: Open-Source, Ende-zu-Ende-Verschlüsselung, keine Telefonbuch-Synchronisation — datenschutzfreundlichste Option
Vereinsverwaltungssoftware
Spezialisierte Tools wie SEWOBE, Vereinsmanager oder Club Office bieten integrierte Mitgliederverwaltung, Beitragseinzug und Kommunikation. Sie sind in der Regel DSGVO-konform vorkonfiguriert — ein AVV muss dennoch abgeschlossen werden.
Aufbewahrungsfristen für Vereine
| Dokumentenart | Aufbewahrungsfrist | Rechtsgrundlage |
|---|---|---|
| Mitgliedsdaten aktiver Mitglieder | Dauer der Mitgliedschaft | Art. 6 Abs. 1 lit. b DSGVO |
| Mitgliedsdaten nach Austritt | 3 Jahre (Verjährung) | ss 195 BGB |
| Buchhaltungsunterlagen / Beiträge | 10 Jahre | ss 147 AO |
| Spendenquittungen | 10 Jahre | ss 147 AO |
| Protokolle der Mitgliederversammlung | Dauerhaft (Vereinsrecht) | ss 58 Nr. 4 BGB |
| Fotos auf der Website | Bis zum Widerspruch des Abgebildeten | Art. 21 DSGVO |
Datenschutzbeauftragter für Vereine
Die meisten Vereine sind nicht verpflichtet, einen Datenschutzbeauftragten (DSB) zu bestellen. Die Pflicht nach ss 38 BDSG greift erst ab 20 Personen, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.
Bei den meisten Vereinen trifft das nicht zu. Dennoch kann es sinnvoll sein, einen ehrenamtlichen Datenschutzkoordinator zu benennen:
- Ansprechpartner für Datenschutzfragen im Verein
- Koordiniert die Umsetzung von Betroffenenrechten (Auskunft, Löschung)
- Sensibilisiert Vorstand und aktive Mitglieder
- Muss kein zertifizierter DSB sein — grundlegendes Datenschutzwissen reicht
Tipp: Die Landesbeauftragten für Datenschutz bieten kostenlose Leitfäden speziell für Vereine an (z.B. LfDI Baden-Württemberg, BayLDA).
Praxis-Checkliste: DSGVO im Verein
- Verarbeitungsverzeichnis (VVT) erstellen — alle Datenverarbeitungen im Verein erfassen
- Datenschutzpassus in die Satzung aufnehmen
- Datenschutzerklärung für die Vereinswebsite erstellen
- Cookie-Banner auf der Website einrichten (wenn nicht-essentielle Dienste im Einsatz)
- Google Fonts lokal einbinden — Abmahngefahr vermeiden
- SSL/TLS-Zertifikat aktivieren (kostenlos über Let’s Encrypt)
- Newsletter: Double-Opt-In einrichten, Abmeldelink in jeder Mail
- AVV mit allen genutzten Diensten abschließen (Newsletter-Tool, Cloud, Hosting)
- Fotokonzept erstellen: Wann Einwilligung, wann berechtigtes Interesse?
- Einwilligungsformular für Kinderfotos bereithalten (Unterschrift der Erziehungsberechtigten)
- Mitgliederlisten-Zugriff auf berechtigte Personen beschränken
- Löschkonzept: Daten austretender Mitglieder nach 3 Jahren löschen
- Ehrenamtlichen Datenschutzkoordinator benennen
- Website regelmäßig auf neue Cookies und Tracker prüfen
Vereinswebsite automatisch prüfen
Die häufigsten DSGVO-Probleme bei Vereinswebsites — extern geladene Schriftarten, fehlende Cookie-Banner, unsichere Kontaktformulare — lassen sich automatisiert erkennen. Der Compliso Scanner prüft deine Vereinswebsite in unter 30 Sekunden auf 30 DSGVO-relevante Kriterien.
Teste deine Vereinswebsite jetzt kostenlos und finde heraus, welche konkreten Risiken auf deiner Seite bestehen. Mit dem Cookie-Banner und dem Content-Generator erstellst du anschließend alle fehlenden Elemente — ohne juristisches Fachwissen und ohne externe Beratungskosten.
Deine Website DSGVO-konform machen?
Compliso prüft deine Website automatisch auf Cookies, Tracker, Dark Patterns und Accessibility-Probleme.