Wir sind doch nur ein kleiner Verein

Datenschutz im Verein – Was kleine Vereine wissen müssen

Datenschutz im Verein – „Was soll passieren, wir sind doch nur ein kleiner Verein“. Der Satz ist leicht ausgesprochen, könnte aber schlussendlich den gesamten Verein Kopf und Kragen kosten. Nicht dass eine Verwarnung von der Behörde ausgesprochen wird oder diese einmalig darüber hinwegsieht, nein, neben Bußgeldern wird sogar der Vorstand persönlich zur Kasse gebeten.

Warum Datenschutz im Verein?

Selbst in dem kleinsten Verein werden personenbezogene Daten wie zum Beispiel Name, Geburtsdatum, Mitgliedsnummer und Kontoverbindung verarbeitet und lassen Rückschlüsse auf die jeweilige Person zu. Im Verein werden die Angaben der Mitglieder, Hauptamtlichen und Ehrenamtlichen, sowie Funktionsträger, Fans und Dienstleister verarbeitet.

Schutz vor Datendiebstahl im Vereinsumfeld

Die Verantwortung im Umgang mit personenbezogenen Daten ist hoch und die Verarbeitung muss gut geschützt sein. Daher sollten beispielsweise Ihre Computer durch Passwörter und Virenschutz gesichert sein, regelmäßige Datensicherung und Sicherheitsupdates erfolgen.

Datenschutzbeauftragter im Verein

Nach Art. 37 Abs. 1 DSGVO i.V.m. § 38 BDSG muss ein Verein einen Datenschutzbeauftragten benennen, wenn mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Das können Sie per Online-Formular bei der zuständigen Aufsichtsbehörde melden. Benannt wird der Datenschutzbeauftragte durch den Vorstand. Er muss die erforderliche Fachkunde und Zuverlässigkeit besitzen.

Wichtig: Auch Vereine, die keinen Datenschutzbeauftragten benennen müssen, sind dennoch verpflichtet, die DSGVO vollständig einzuhalten.

Kinder und Jugendliche im Verein

Mitglieder unter 16 Jahren sind besonders geschützt. Hier müssen die gesetzlichen Vertreter die Einwilligungserklärung ausfüllen und unterschreiben, nur dann ist diese rechtswirksam. Gerade in Sport- und Jugendvereinen ist dies ein zentrales Thema.

Die wichtigsten DSGVO-Pflichten für Vereine

Seit Mai 2018 gelten für Vereine dieselben datenschutzrechtlichen Anforderungen wie für Unternehmen:

1. Verarbeitungsverzeichnis führen

Jeder Verein muss nach Art. 30 DSGVO ein Verarbeitungsverzeichnis führen. Darin werden alle Verarbeitungstätigkeiten dokumentiert – von der Mitgliederverwaltung über die Beitragsbuchhaltung bis zur Öffentlichkeitsarbeit.

2. Informationspflichten erfüllen

Bei der Aufnahme neuer Mitglieder muss der Verein nach Art. 13 DSGVO umfassend informieren: Welche Daten werden erhoben? Zu welchem Zweck? Wie lange werden sie gespeichert? An wen werden sie weitergegeben?

3. Auftragsverarbeitung regeln

Nutzt der Verein externe Dienstleister – etwa für die Buchhaltung, den Newsletter-Versand oder die Vereinsverwaltungssoftware – muss ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO geschlossen werden.

4. Technisch-organisatorische Maßnahmen

Auch Vereine müssen angemessene technisch-organisatorische Maßnahmen treffen: Passwortschutz, Verschlüsselung, Zugangsbeschränkungen und sichere E-Mail-Kommunikation.

Vereinswebsite und Social Media

Die meisten Vereine betreiben eine Website und sind in sozialen Netzwerken aktiv. Hier gelten besondere Anforderungen:

• Datenschutzerklärung: Jede Vereinswebsite benötigt eine vollständige Datenschutzerklärung nach Art. 13 DSGVO
• Cookie-Consent: Tracking-Cookies und eingebettete Inhalte erfordern eine vorherige Einwilligung
• Fotos von Veranstaltungen: Die Veröffentlichung von Fotos, auf denen Personen erkennbar sind, erfordert grundsätzlich eine Einwilligung
• Social-Media-Auftritte: Der EuGH hat entschieden, dass Seitenbetreiber gemeinsam mit der Plattform für den Datenschutz verantwortlich sind

Mitgliederlisten und Datenweitergabe

Ein häufiges Problem in Vereinen ist die unkontrollierte Weitergabe von Mitgliederlisten. Grundsätzlich gilt: Mitgliederlisten dürfen nur an berechtigte Personen innerhalb des Vereins weitergegeben werden und nur die für den jeweiligen Zweck erforderlichen Daten enthalten.

Bußgelder für Vereine

Die Aufsichtsbehörden haben auch gegen Vereine Bußgelder verhängt. Häufige Verstöße sind:

• Fehlende oder unvollständige Datenschutzerklärung auf der Website
• Versand von Rundmails mit offenen E-Mail-Adressen (CC statt BCC)
• Veröffentlichung von Fotos ohne Einwilligung
• Fehlende Auftragsverarbeitungsverträge mit Dienstleistern

Fazit: Datenschutz im Verein ist Chefsache

Auch Vereine sollten sich mit dem Thema Datenschutz gründlich auseinandersetzen. Das heißt: Einwilligungserklärungen einholen, bei Veranstaltungen auf Datenschutzrechte hinweisen, einen Datenschutzbeauftragten bestimmen und Daten sicher aufbewahren.

Ein externer Datenschutzbeauftragter entlastet den Vorstand und sorgt für eine professionelle, rechtskonforme Umsetzung der DSGVO-Anforderungen.

Datenschutz bei Vereinsveranstaltungen

Vereinsveranstaltungen wie Sportfeste, Konzerte oder Mitgliederversammlungen stellen besondere Anforderungen an den Datenschutz. Bereits bei der Anmeldung zu einer Veranstaltung werden personenbezogene Daten erhoben. Hinzu kommen Fotos und Videos, die während der Veranstaltung aufgenommen werden.

Für die Veröffentlichung von Fotos auf der Vereinswebsite oder in sozialen Netzwerken gelten seit der DSGVO strenge Regeln. Grundsätzlich ist die Einwilligung der abgebildeten Person erforderlich. Bei Veranstaltungen mit einer großen Teilnehmerzahl kann auf die Ausnahme des Kunsturhebergesetzes (KUG) zurückgegriffen werden, wonach Fotos von Versammlungen ohne individuelle Einwilligung veröffentlicht werden dürfen. Allerdings gilt dies nur für Übersichtsaufnahmen – Nahaufnahmen einzelner Personen erfordern immer eine Einwilligung.

Praxistipp: Informieren Sie die Teilnehmer bereits in der Einladung darüber, dass Fotos gemacht werden. Stellen Sie einen Bereich bereit, in dem nicht fotografiert wird, und bieten Sie die Möglichkeit, der Veröffentlichung zu widersprechen.

Newsletter und E-Mail-Kommunikation im Verein

Viele Vereine nutzen E-Mail-Newsletter, um ihre Mitglieder über aktuelle Ereignisse zu informieren. Dabei müssen folgende Datenschutzaspekte beachtet werden:

• Double-Opt-in-Verfahren: Die Anmeldung zum Newsletter sollte über ein Double-Opt-in-Verfahren erfolgen, bei dem der Interessent seine Anmeldung per E-Mail bestätigt
• Abmeldemöglichkeit: Jeder Newsletter muss einen gut sichtbaren Abmeldelink enthalten
• BCC verwenden: Beim Versand von Rundmails an mehrere Empfänger muss zwingend das BCC-Feld (Blindkopie) verwendet werden, um die E-Mail-Adressen der anderen Empfänger zu verbergen
• Tracking: Das Tracking von Öffnungs- und Klickraten im Newsletter ist nur mit Einwilligung zulässig

Cloud-Dienste und Vereinssoftware

Immer mehr Vereine nutzen Cloud-basierte Vereinsverwaltungssoftware für die Mitgliederverwaltung, Beitragsbuchhaltung und Kommunikation. Bei der Auswahl solcher Dienste sollten Vereine besonders auf den Datenschutz achten:

• Serverstandort innerhalb der EU bevorzugen
• Auftragsverarbeitungsvertrag mit dem Anbieter abschließen
• Verschlüsselung der gespeicherten Daten sicherstellen
• Regelmäßige Backups der Vereinsdaten erstellen
• Zugriffsrechte auf die notwendigen Personen beschränken

Löschpflichten bei Vereinsaustritt

Tritt ein Mitglied aus dem Verein aus, stellt sich die Frage, welche Daten gelöscht werden müssen und welche aufbewahrt werden dürfen. Grundsätzlich sind alle personenbezogenen Daten nach Beendigung der Mitgliedschaft zu löschen, sofern keine gesetzlichen Aufbewahrungspflichten bestehen. Steuerrelevante Unterlagen wie Beitragsquittungen oder Spendenbelege müssen jedoch mindestens zehn Jahre aufbewahrt werden.

Praxistipp: Erstellen Sie ein Löschkonzept, das klar regelt, welche Daten bei Vereinsaustritt gelöscht werden und welche aus gesetzlichen Gründen aufbewahrt bleiben müssen.

Datenschutz bei Spendensammlungen

Viele Vereine sind auf Spenden angewiesen, um ihre Aktivitäten zu finanzieren. Bei Spendensammlungen werden personenbezogene Daten der Spender erhoben – mindestens Name und Adresse für die Zuwendungsbescheinigung. Diese Daten dürfen nur für den Zweck der Spendenabwicklung und die gesetzlich vorgeschriebene Ausstellung von Zuwendungsbescheinigungen verwendet werden.

Möchte der Verein die Spenderdaten für weitere Zwecke nutzen – etwa für regelmäßige Spendenaufrufe per Post oder E-Mail – ist hierfür eine gesonderte Einwilligung erforderlich. Die Datensparsamkeit gebietet, dass nur die tatsächlich benötigten Daten erhoben werden.

Ehrenamtliche und Datenschutz

Ehrenamtliche Mitarbeiter haben oft Zugang zu personenbezogenen Daten der Vereinsmitglieder. Anders als bei hauptamtlichen Mitarbeitern besteht bei Ehrenamtlichen kein Arbeitsvertrag, der datenschutzrechtliche Pflichten regelt. Daher sollte der Verein:

• Eine schriftliche Verpflichtung auf das Datengeheimnis von allen Ehrenamtlichen einholen
• Nur die für die ehrenamtliche Tätigkeit notwendigen Daten zur Verfügung stellen
• Regelmäßige Datenschutz-Kurzschulungen für Ehrenamtliche anbieten
• Klare Regeln für die Nutzung privater Geräte (BYOD) aufstellen

Datenschutz beim Vereinswechsel

Besonders in Sportvereinen kommt es häufig zum Vereinswechsel von Mitgliedern. Dabei stellt sich die Frage, welche Daten an den neuen Verein oder den Dachverband weitergegeben werden dürfen. Grundsätzlich gilt: Eine Datenweitergabe an den neuen Verein ist nur mit Einwilligung des Mitglieds zulässig. An den Dachverband oder Sportverband dürfen nur die Daten weitergegeben werden, die für die Abwicklung des Vereinswechsels (z.B. Spielerpass) erforderlich sind.

Datenschutz-Audit für Vereine – Eine Checkliste

Überprüfen Sie mit dieser Checkliste, ob Ihr Verein die wichtigsten Datenschutzanforderungen erfüllt:

1. Ist eine vollständige Datenschutzerklärung auf der Vereinswebsite vorhanden?
2. Werden bei der Mitgliederaufnahme die Informationspflichten nach Art. 13 DSGVO erfüllt?
3. Liegt ein aktuelles Verarbeitungsverzeichnis vor?
4. Sind Auftragsverarbeitungsverträge mit allen externen Dienstleistern geschlossen?
5. Werden Einwilligungen für Fotos und Newsletter eingeholt?
6. Ist ein Löschkonzept für ausgetretene Mitglieder vorhanden?
7. Werden Rundmails nur über BCC versendet?
8. Sind die Computer und IT-Systeme des Vereins ausreichend gesichert?
9. Wurden alle Personen mit Datenzugang auf das Datengeheimnis verpflichtet?
10. Gibt es einen benannten Datenschutzbeauftragten oder -verantwortlichen?

Datenschutz bei Kooperationen zwischen Vereinen

Viele Vereine arbeiten mit anderen Vereinen, Verbänden oder Institutionen zusammen. Bei solchen Kooperationen werden häufig personenbezogene Daten ausgetauscht – beispielsweise Teilnehmerlisten für gemeinsame Veranstaltungen oder Kontaktdaten von Funktionsträgern. Für jeden Datenaustausch zwischen Vereinen muss eine Rechtsgrundlage vorliegen. In der Regel ist hierfür die Einwilligung der betroffenen Mitglieder erforderlich.

Bei regelmäßigen Kooperationen empfiehlt es sich, eine Vereinbarung zur gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO abzuschließen. Diese regelt, welcher Verein für welche Verarbeitungstätigkeiten verantwortlich ist und wie die Rechte der Betroffenen gewahrt werden.

Versicherungsschutz für datenschutzrechtliche Risiken im Verein

Datenschutzverstöße können für Vereine und ihre Vorstände erhebliche finanzielle Konsequenzen haben. Eine Vereinshaftpflichtversicherung deckt datenschutzrechtliche Risiken häufig nicht ab. Spezielle D&O-Versicherungen (Directors and Officers) für Vereinsvorstände oder Cyber-Versicherungen können hier zusätzlichen Schutz bieten. Prüfen Sie Ihren bestehenden Versicherungsschutz und ergänzen Sie ihn bei Bedarf.

Zusammenfassung: Datenschutz im Verein richtig umsetzen

Datenschutz im Verein ist kein Hexenwerk, erfordert aber systematisches Vorgehen. Beginnen Sie mit den Grundlagen: Erstellen Sie ein Verarbeitungsverzeichnis, überarbeiten Sie Ihre Aufnahmeanträge mit den erforderlichen Datenschutzhinweisen und schließen Sie Auftragsverarbeitungsverträge mit Ihren Dienstleistern. Schulen Sie alle Personen, die mit Mitgliederdaten arbeiten, und etablieren Sie klare Prozesse für den Umgang mit Datenschutzanfragen. Prüfen Sie Ihren Internetauftritt auf Vollständigkeit der Datenschutzerklärung und die korrekte Einbindung von Cookies und Tracking-Tools. Diese Maßnahmen schützen nicht nur vor Bußgeldern, sondern stärken auch das Vertrauen Ihrer Mitglieder in die professionelle Vereinsführung.