Ja, die DSGVO gilt für Vereine. Nein, sie ist nicht so kompliziert wie befürchtet.
Das klingt nach einer beruhigenden Aussage aus einer Broschüre. Ist es keine – ich sage das nach über 20 Jahren in der Praxis.
Was Vereine verarbeiten
Mitgliedernamen, Adressen, Kontodaten für die Beiträge, E-Mail-Adressen für den Newsletter, Fotos vom Vereinsfest. Das ist kein Sonderfall. Das ist der Alltag.
Der Ausgangspunkt ist immer dieselbe Frage: Was hat der Verein eigentlich? Von wem, wofür, wie lange – und wer hat Zugriff?
Wer das beantworten kann, ist schon weiter als die meisten.
Was die DSGVO wirklich fordert
Im Kern drei Dinge.
Erstens: Sie wissen, welche Daten Sie von wem haben und warum. Das nennt sich Verzeichnis der Verarbeitungstätigkeiten und klingt schlimmer als es ist.
Zweitens: Sie haben die Betroffenen informiert – durch eine Datenschutzerklärung auf der Website, auf Aufnahmeformularen, bei Veranstaltungen.
Drittens: Es gibt klare interne Regeln. Wer darf was? Wie lange werden Daten gespeichert? Was passiert, wenn etwas schiefgeht?
Ein überschaubares Verzeichnis, eine saubere Datenschutzerklärung, ein paar dokumentierte Regeln. Das ist alles. Das ist leistbar.
Was viele übersehen
In meiner Beratung sehe ich immer wieder dieselben Punkte – nicht weil die Vereine fahrlässig wären, sondern weil niemand sie je darauf hingewiesen hat.
Fotos. Wer Bilder von Mitgliedern auf der Website oder in sozialen Medien veröffentlicht, braucht dafür in der Regel eine Einwilligung. Oder eine sauber dokumentierte andere Grundlage. Beides ist machbar – aber es muss bewusst geschehen.
WhatsApp. Die gemeinsame Vereinsgruppe ist praktisch. Datenschutzrechtlich ist sie ein Problem: WhatsApp überträgt die Telefonbuchdaten aller Mitglieder auf US-Server. Signal oder Threema sind die einfache Alternative. Der Wechsel dauert einen Nachmittag.
Externe Dienstleister. Vereinsverwaltungssoftware, Newsletter-Tools, Cloud-Speicher – wer personenbezogene Daten durch einen externen Anbieter verarbeiten lässt, braucht einen Auftragsverarbeitungsvertrag (AVV). Den bekommt man meist auf Anfrage. Aber man muss ihn anfragen.
Die Datenschutzerklärung auf der Website. Oft fehlt sie ganz. Oder sie ist so alt, dass sie noch Bestimmungen erwähnt, die längst überholt sind. Sie ist gesetzlich vorgeschrieben – und der erste Punkt, den eine Aufsichtsbehörde prüft.
DSB – Pflicht oder nicht?
Für die meisten Vereine: keine Pflicht.
Ein Datenschutzbeauftragter wird erst ab 20 Personen gesetzlich vorgeschrieben – und auch nur dann, wenn sie regelmäßig und systematisch Daten verarbeiten. Nicht gelegentlich. Als Teil ihrer eigentlichen Aufgabe. Das betrifft größere Verbände, nicht den durchschnittlichen Sport- oder Kulturverein.
Was es stattdessen gibt: einen Datenschutzkoordinator. Ein externer Ansprechpartner, der bei Fragen hilft, Dokumente aktuell hält und den Vorstand entlastet – ohne förmliche Bestellung, ohne Vertragsbindung, die in keinem Verhältnis zum tatsächlichen Bedarf steht.
Für viele Vereine ist das die passendere Lösung. Weil sie verhältnismäßig ist.
Fazit
Datenschutz für Vereine ist kein Projekt, das man einmal groß aufzieht. Es ist eine Haltung – und ein Handwerk.
Wer die Grundlagen hat, kann gelassen auf Anfragen reagieren. Wer sie nicht hat, weiß es meistens selbst.
Wenn Sie nicht sicher sind, wo Ihr Verein steht: Melden Sie sich. Das erste Gespräch ist kostenlos – und meistens kürzer als befürchtet.