Gilt die DSGVO auch für Vereine?

Ja, die DSGVO gilt uneingeschränkt für alle Vereine, die personenbezogene Daten verarbeiten — also praktisch jeden Verein. Mitgliederdaten, Kontaktlisten, Fotos von Veranstaltungen und Newsletter-Verteiler unterliegen den gleichen Regeln wie bei Unternehmen.

Welche Datenschutz-Dokumente braucht ein Verein?

Jeder Verein braucht mindestens: Datenschutzerklärung auf der Website, Verarbeitungsverzeichnis, Einwilligungserklärungen für Fotos, Auftragsverarbeitungsverträge mit Dienstleistern und ein Löschkonzept für Mitgliederdaten nach Austritt.

DSGVO für Vereine und Ehrenamt: Der komplette Ratgeber

Q: Braucht ein Verein einen Datenschutzbeauftragten?

Ein Verein braucht einen Datenschutzbeauftragten, wenn mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, oder wenn besondere Datenkategorien (z.B. Gesundheitsdaten bei Sportvereinen) verarbeitet werden.

Zuletzt aktualisiert am 9. Mai 2026

Von Marcel Kiesslich, TUeV-zertifizierter Datenschutzbeauftragter | Aktualisiert: März 2026

Vereine und ehrenamtliche Organisationen stehen vor einer besonderen Herausforderung: Sie müssen die gleichen DSGVO-Anforderungen erfüllen wie Unternehmen — oft aber mit begrenzten Ressourcen und ehrenamtlichen Kraeften. Mitgliederverwaltung, Veranstaltungsfotos, Newsletter und die Vereins-Website: Überall werden personenbezogene Daten verarbeitet.

Dieser Ratgeber erklärt die wichtigsten Datenschutz-Pflichten für Vereine — verstaendlich, praxisnah und mit konkreten Handlungsempfehlungen für den Vereinsalltag. Als externer Datenschutzbeauftragter berate ich Vereine und gemeinnützige Organisationen in Dresden und Sachsen bei der DSGVO-Umsetzung.

Warum die DSGVO auch für Vereine gilt

Die DSGVO unterscheidet nicht zwischen gewinnorientierten Unternehmen und gemeinnützigen Vereinen. Jede Organisation, die personenbezogene Daten verarbeitet, muss die Datenschutzregeln einhalten — und das tut jeder Verein bereits mit der einfachen Mitgliederliste.

Die gute Nachricht: Viele Vereine verarbeiten vergleichsweise wenige und wenig sensible Daten. Die DSGVO-Anforderungen sind deshalb in der Praxis überschaubar — wenn man die richtigen Prioritäten setzt.

Welche Daten verarbeiten Vereine typischerweise?

Mitgliederdaten: Name, Adresse, Geburtsdatum, E-Mail, Telefon, Bankverbindung (Lastschrift), Ein- und Austrittsdatum
Beitragsverwaltung: Kontoverbindung, Zahlungshistorie, Mahnungen
Veranstaltungen: Teilnehmerlisten, Anmeldedaten, Ergebnislisten (Sport)
Fotos und Videos: Vereinsveranstaltungen, Training, Feste
Newsletter/Rundschreiben: E-Mail-Adressen, Versandhistorie
Website: Kontaktformulare, IP-Adressen, Cookies
Ehrenamtliche Helfer: Kontaktdaten, Einsatzplaene, ggf. erweitertes Führungszeugnis (Jugendarbeit)

Besonders schützenswerte Daten können bei Sportvereinen (Gesundheitsdaten, Leistungsdaten), konfessionellen Vereinen (religioese Zugehörigkeit) oder Sozialvereinen (Daten über Hilfebedürftige) anfallen — hier gelten strengere Regeln nach Art. 9 DSGVO.

Die 8 wichtigsten Datenschutz-Aufgaben für Vereine

1. Datenschutz-Verantwortlichen benennen

Verantwortlich für den Datenschutz ist der Vereinsvorstand — das laesst sich nicht delegieren. Der Vorstand kann aber einen Datenschutzbeauftragten bestellen oder ein Vorstandsmitglied mit der Koordination beauftragen.

Ein DSB ist Pflicht, wenn:

Mindestens 20 Personen (inkl. Ehrenamtliche) ständig mit der automatisierten Datenverarbeitung beschäftigt sind
Der Verein besonders schützenswerte Daten umfangreich verarbeitet (z.B. Gesundheitsdaten in Sportvereinen)

Auch ohne Pflicht: Ein externer Datenschutzbeauftragter für Vereine entlastet den ehrenamtlichen Vorstand erheblich.

2. Mitgliederverwaltung DSGVO-konform gestalten

Die Rechtsgrundlage für die Verarbeitung von Mitgliederdaten ist in der Regel die Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) — der Mitgliedsvertrag ergibt sich aus dem Beitritt und der Satzung.

Was Sie beachten müssen:

Erheben Sie nur die Daten, die für die Mitgliedschaft tatsaechlich erforderlich sind (Datensparsamkeit)
Informieren Sie neue Mitglieder bei Aufnahme über die Datenverarbeitung (Beitrittsformular mit Datenschutzhinweis)
Geben Sie Mitgliederlisten nicht ohne Weiteres an andere Mitglieder heraus — das erfordert eine Rechtsgrundlage
Veröffentlichen Sie keine Geburtstagslisten oder Jubilare ohne Einwilligung

3. Fotos und Videos rechtssicher nutzen

Fotos von Vereinsveranstaltungen sind ein häufiger Streitpunkt. Alle relevanten Aspekte der DSGVO-konformen Bildspeicherung und des Datenschutzes für Fotografen gelten auch für Vereinsfotografie:

Gruppfotos bei Veranstaltungen: Grundsätzlich auf Basis des berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO) möglich — Teilnehmer müssen aber vorher informiert werden
Einzelportraets: Erfordern in der Regel eine Einwilligung
Fotos von Kindern und Jugendlichen: Einwilligung beider Erziehungsberechtigter erforderlich
Veröffentlichung auf Website/Social Media: Erfordert separate Einwilligung (Zweckbindung)
Widerspruchsrecht: Jedes Mitglied kann jederzeit verlangen, dass seine Fotos entfernt werden

Praxistipp: Haengen Sie bei Veranstaltungen einen Hinweis aus: „Es werden Fotos für die Vereinskommunikation gemacht. Wenn Sie nicht fotografiert werden moechten, wenden Sie sich bitte an [Ansprechpartner].“

4. Newsletter und Vereinskommunikation

Für den Versand von Vereinsnachrichten gelten unterschiedliche Regeln:

Vereinsinterne Mitteilungen (Einladung zur Mitgliederversammlung, Beitragsinfo): Zulässig auf Basis des Mitgliedsvertrags — keine separate Einwilligung nötig
Newsletter mit redaktionellem Inhalt: Einwilligung empfohlen (Double-Opt-in), Abmeldelink in jeder E-Mail
Werbung für Vereinsveranstaltungen: Für Mitglieder auf Basis des berechtigten Interesses möglich, für Externe nur mit Einwilligung
Weiterleitung an Dachverbaende: Nur mit Rechtsgrundlage (z.B. Satzung, Einwilligung)

5. Vereins-Website datenschutzkonform betreiben

Die Vereins-Website muss die gleichen Anforderungen erfüllen wie jede andere Website:

Impressum: Pflicht für alle Vereins-Websites (§ 5 DDG)
Datenschutzerklärung: Vollständig, von jeder Seite erreichbar
SSL-Verschlüsselung: Pflicht, sobald personenbezogene Daten erhoben werden
Cookie-Banner: Falls Tracking-Tools oder externe Dienste eingesetzt werden
Mitgliederbereich: Nur mit sicherer Authentifizierung (Passwortschutz)
Ergebnislisten/Ranglisten: Nur mit Einwilligung oder satzungsmaessiger Grundlage veröffentlichen

6. Auftragsverarbeitungsverträge abschließen

Auch Vereine nutzen externe Dienstleister und brauchen AV-Verträge:

Vereinssoftware: SEWOBE, Verein Online, easyVerein (SaaS-Lösungen)
Website-Hosting: IONOS, Strato, All-Inkl.
Newsletter-Tool: Mailchimp, CleverReach, Rapidmail
Cloud-Speicher: Google Drive, Dropbox (für Vereinsdokumente)
Steuerberater: Für die Buchhaltung des Vereins

7. Verzeichnis der Verarbeitungstätigkeiten führen

Ja, auch Vereine müssen ein VVT führen. Typische Einträge:

Mitgliederverwaltung (Zweck, Rechtsgrundlage, Loeschfrist)
Beitragsverwaltung und Lastschrifteinzug
Newsletter-Versand
Website-Betrieb
Foto- und Videodokumentation
Veranstaltungsmanagement

Hilfreiche Details zur VVT-Erstellung finden Sie in unserem DSGVO-Leitfaden für Organisationen.

8. Loeschkonzept für austretende Mitglieder

Wenn ein Mitglied austritt, müssen Sie seine Daten nicht sofort löschen — es gelten Aufbewahrungspflichten:

Sofort löschen: E-Mail-Verteiler, Zugang zum Mitgliederbereich, aktive Kontaktdaten
6 Jahre aufbewahren: Geschäftsbriefe, Spendenquittungen
10 Jahre aufbewahren: Buchungsbelege, Beitragsbescheinigungen
Dauerhaft (anonymisiert): Vereinschronik, Statistiken

Checkliste: DSGVO im Verein

Aufgabe	Erledigt?	Zuständig
Datenschutz-Verantwortlichen im Vorstand benannt	☐	Vorstand
Datenschutzhinweis im Beitrittsformular eingefuegt	☐	Geschäftsstelle
Verzeichnis der Verarbeitungstätigkeiten angelegt	☐	DSB / Vorstand
Datenschutzerklärung auf der Website aktualisiert	☐	Webmaster
AV-Verträge mit Dienstleistern abgeschlossen	☐	Vorstand
Foto-Einwilligungsformular erstellt	☐	Öffentlichkeitsarbeit
Newsletter auf Double-Opt-in umgestellt	☐	Webmaster
Loeschkonzept für austretende Mitglieder definiert	☐	Geschäftsstelle
Vorstand und Ehrenamtliche zum Datenschutz geschult	☐	DSB / Vorstand
Datenpannen-Prozess definiert und kommuniziert	☐	Vorstand

Häufig gestellte Fragen

Braucht unser Verein einen Datenschutzbeauftragten?

Ein Datenschutzbeauftragter ist Pflicht, wenn mindestens 20 Personen (einschließlich Ehrenamtliche) ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind oder wenn der Verein umfangreich besonders schützenswerte Daten verarbeitet. Für die meisten kleinen Vereine besteht keine Pflicht. Dennoch empfiehlt sich eine fachkundige Beratung, um die häufigsten Fehler zu vermeiden. Ein externer DSB für Vereine ist oft die kostenguenstigste Lösung.

Dürfen wir Mitgliederlisten an andere Mitglieder weitergeben?

Die Weitergabe vollständiger Mitgliederlisten ist ohne Einwilligung grundsätzlich nicht zulässig. Ausnahmen: Wenn die Satzung dies ausdrücklich vorsieht oder wenn ein berechtigtes Interesse besteht (z.B. Einladung zur Mitgliederversammlung). Kontaktdaten einzelner Funktionsträger (Vorstand, Trainer, Abteilungsleiter) dürfen im Rahmen der Vereinstätigkeit weitergegeben werden.

Wie gehen wir mit Fotos von Vereinsveranstaltungen um?

Für Fotos bei öffentlichen Vereinsveranstaltungen (Feste, Wettkampfe, Ausfluege) können Sie sich in der Regel auf das berechtigte Interesse stützen — informieren Sie die Teilnehmer aber vorab. Für Einzelportraets und Fotos von Kindern benötigen Sie eine ausdrückliche Einwilligung. Bei Veröffentlichung auf Social Media oder der Website ist eine separate Einwilligung erforderlich, da sich der Zweck ändert.

Müssen wir alte Mitgliederdaten löschen?

Nach dem Austritt eines Mitglieds müssen aktive Nutzungsdaten (E-Mail-Verteiler, Mitgliederbereich) sofort gelöscht werden. Buchungsbelege und Spendenquittungen müssen je nach Art 6 bis 10 Jahre aufbewahrt werden. Nach Ablauf aller Fristen sind die Daten zu löschen. Für die Vereinschronik können Daten anonymisiert aufbewahrt werden (z.B. „Mitgliederzahl 2020: 350“ statt individueller Einträge).

Ist die Nutzung von WhatsApp-Gruppen im Verein erlaubt?

WhatsApp-Gruppen für die Vereinskommunikation sind datenschutzrechtlich problematisch, da WhatsApp alle Kontaktdaten des Smartphones an Meta übertraegt. Besser geeignet sind Signal-Gruppen, Threema oder vereinseigene Kommunikationsplattformen. Falls WhatsApp genutzt wird, sollte dies nur mit Einwilligung der Mitglieder geschehen und idealerweise über ein separates Vereins-Smartphone erfolgen.

Datenschutz-Verstöße in Vereinen: Typische Fehler und Bußgeldrisiken

Obwohl Datenschutzaufsichtsbehörden bei Vereinen in der Regel mit Augenmaß vorgehen, gibt es immer wieder Fälle, in denen Bußgelder verhängt oder Verwarnungen ausgesprochen werden. Die häufigsten Fehler in der Praxis:

Offener E-Mail-Verteiler: Rundmails an alle Mitglieder im CC statt BCC — dadurch werden alle E-Mail-Adressen für jeden sichtbar. Dies ist ein Verstoß gegen die Vertraulichkeit personenbezogener Daten
Mitgliederlisten in WhatsApp-Gruppen: Vollständige Mitgliederlisten mit Adressen und Telefonnummern werden in Messenger-Gruppen geteilt — ohne jede Rechtsgrundlage
Fotos von Kindern auf Social Media: Vereinsfotos mit erkennbaren Minderjährigen werden auf Facebook oder Instagram veröffentlicht, ohne dass eine Einwilligung der Erziehungsberechtigten vorliegt
Veraltete Datenschutzerklärung: Die Website des Vereins enthält eine Datenschutzerklärung aus 2017, die weder die DSGVO noch aktuelle Tracking-Tools berücksichtigt
Keine Löschung nach Austritt: Daten ausgetretener Mitglieder bleiben jahrelang in der Vereinssoftware gespeichert — ohne Rechtsgrundlage und ohne definierte Löschfristen
Fehlender AV-Vertrag: Der Verein nutzt Cloud-basierte Vereinssoftware oder Newsletter-Tools, ohne einen Auftragsverarbeitungsvertrag mit dem Anbieter geschlossen zu haben

Tipp: Führen Sie einmal jährlich einen kurzen Datenschutz-Check im Vereinsvorstand durch. Gehen Sie die obige Liste durch und prüfen Sie, ob alle Punkte adressiert sind. Bei Unsicherheiten hilft eine professionelle Datenschutz-Beratung — oft reicht schon eine einmalige Sitzung, um die wichtigsten Lücken zu schließen.

Fazit: Datenschutz stärkt das Vereinsleben

Datenschutz im Verein muss nicht überfordern. Mit den richtigen Prioritäten — Beitrittsformular anpassen, VVT anlegen, Website prüfen, Foto-Regelung klaeren — erfüllen Sie die wesentlichen DSGVO-Anforderungen. Und: Mitglieder, die wissen, dass ihre Daten respektvoll behandelt werden, vertrauen ihrem Verein umso mehr.

Als externer Datenschutzbeauftragter für Vereine in Dresden und Sachsen helfe ich ehrenamtlichen Vorstaenden, den Datenschutz pragmatisch und effizient umzusetzen — ohne den Vereinsalltag zu belasten. Sprechen Sie mich an für ein kostenloses Erstgespraech.

Quellen: DSGVO Art. 6, 9, 13, 28, 30, 37; BDSG § 38; § 5 DDG; KUG §§ 22, 23; DSK-Kurzpapier Nr. 17 (Besondere Kategorien); Datenschutzhinweise des DOSB für Sportvereine

DSGVO-Beratung für Vereine

Professionelle Unterstützung:

DSGVO-Beratung – Speziell für Vereine
Verarbeitungsverzeichnis – Pflichtdokumentation

Jetzt kostenlose Erstberatung anfragen

Professioneller Datenschutz für Ihr Unternehmen

Die DATUREX GmbH ist Ihr zertifizierter externer Datenschutzbeauftragter — bundesweit, persönlich und DSGVO-konform. Ab 250 €/Monat.

Kostenlose Erstberatung anfragen