Superheld im ClubDesk-Outfit fliegt durchs Wolken-Titelbild

Vereinswissen 17 Min. Lesezeit Andreas Kling

VereinswissenDatenschutz im Verein nach DSGVO – Das müsst ihr beachten

Ihr seid ein Verein in Deutschland oder Österreich und fragt euch, was ihr datenschutzrechtlich zu beachten habt? Datenschutz mag auf den ersten Blick wie eine bürokratische Anforderung erscheinen, die nur Unternehmen betrifft. Doch jeder Verein, von der Freiwilligen Feuerwehr bis zum Sportclub, muss sich mit der Verarbeitung personenbezogener Daten auseinandersetzen und sich an die Datenschutz-Grundverordnung halten. 

Die EU-Datenschutz-Grundverordnung (DSGVO) hat das Bewusstsein für den Datenschutz bei Firmen und Organisationen, aber auch in weiten Teilen der Bevölkerung geschärft und klare Richtlinien gesetzt, die auch im Vereinswesen unerlässlich sind. Für Vereine geht es darum, ein Verständnis zu entwickeln, welche Daten und zu welchem sie Zweck erhoben werden, wie sie verarbeitet und geschützt werden müssen und dass die Privatsphäre der Mitglieder stets gewahrt bleibt. In diesem Ratgeber-Artikel erfahrt ihr, wie wichtig Datenschutz im Verein in Deutschland und Österreich ist, wie ihr die Daten eurer Vereinsmitglieder am besten schützen könnt und worauf ihr für die Einhaltung der DSGVO achten solltet.

Das Wichtigste in Kürze

  • Jeder Verein in Deutschland, der personenbezogene Daten verarbeitet, muss sich an die gesetzlichen Vorgaben der europäischen Datenschutz-Grundverordnung (DSGVO) halten.
  • Es dürfen nur Mitgliederdaten erhoben und verarbeitet werden, die für die Organisation, Verwaltung und Erreichung des Vereinszwecks erforderlich sind und für die die betroffenen Personen ihre eindeutige Zustimmung gegeben haben.
  • Als Verein müsst ihr interne Prozesse etablieren, die den Datenschutz gewährleisten und den Umgang mit Mitgliederdaten klar regeln. Dazu gehören auch technische und organisatorische Maßnahmen (TOMs), die den Schutz der Daten vor Diebstahl sicherstellen.
  • Regelmäßige Überprüfungen der Datenaktualität und Notwendigkeit sind essenziell. Daten sollten nur so lange wie nötig gespeichert und sicher gelöscht werden. Zudem dürfen Betroffene laut DSGVO Einsicht in die gespeicherten Daten verlangen und Widerspruch einlegen.
  • Mitglieder müssen über die Datensammlung samt deren Nutzung und ihre Rechte klar informiert werden. Transparenz ist dabei ein zentrales Element des Datenschutzes.
  • Für die Verarbeitung sensibler Daten wie Gesundheitsinformationen, aber auch Daten, aus denen ethnische Herkunft, politische Meinungen oder religiöse Überzeugungen einer Person hervorgehen, ist eine ausdrückliche Einwilligung der Betroffenen erforderlich, die klar und unmissverständlich eingeholt werden muss.
  • Regelmäßige Schulungen der Leute, die in der Vereinsverwaltung mitarbeiten oder Zugriff auf Daten des Vereins haben sind wichtig, um das Bewusstsein für den Datenschutz zu schärfen. Größere Vereine, bei denen 20 oder mehr Personen ständig mit der Verarbeitung personenbezogener Daten zu tun haben oder Vereine, die sensible Daten verarbeiten, müssen eine*n qualifizierte*n Datenschutzbeauftragte*n ernennen.
  • Wenn ihr gerade dabei seid, einen Verein in Deutschland zu gründen, empfiehlt es sich, sich von Anfang an angemessen um den Datenschutz zu kümmern, das Thema z.B. korrekt in der Vereinssatzung zu behandeln. Dabei helfen euch die beiden Ratgeber „Verein gründen“ und „Vereinssatzung“ enorm, nichts Wichtiges zu vergessen.
Ein Rentner erledigt Vereinsarbeit am Laptop

DSGVO konforme Mitgliederverwaltung im Verein

Mit eurem Verein steht ihr vor der Herausforderung, effizient den Überblick über die Mitgliederdaten zu behalten und gleichzeitig den Datenschutz zu gewährleisten. Hierbei ist es entscheidend, dass eure internen Prozesse so gestaltet werden, dass alle, die auf Mitgliederdaten zugreifen müssen, dies schnell und einfach können, alle anderen aber keinen Zugriff auf eure personenbezogenen Daten haben. 

Schutz vor Datendiebstahl

Um die Mitgliederdaten eures Vereins vor dem Zugriff von Außenstehenden zu schützen, müsst ihr geeignete Prozesse einführen, technische Maßnahmen ergreifen und diese in den sogenannten TOMs dokumentieren (mehr dazu weiter unten im Abschnitt: "Technische und organisatorische Maßnahmen zum Datenschutz").

Wenn Mitgliederdaten zum Beispiel auf einem privaten Computer gespeichert werden, müsst ihr Regeln festlegen, wie diese Daten geschützt werden (z.B., dass die private Festplatte verschlüsselt werden muss, dass der verwendete Laptop nach X Minuten Inaktivität den Sperrbildschirm zeigt, damit niemand auf personenbezogene Daten zugreifen kann, falls dieser im Zug vergessen wird, dass auch Backups verschlüsselt und sicher verwahrt werden müssen usw.). Auch wenn Mitgliederdaten per Mail verschickt werden – zum Beispiel an den/die Kassierer*in oder bei einer Amtsübergabe - müsst ihr gewährleisten, dass dies sicher geschieht und entsprechende Prozesse definieren, dokumentieren und schulen. Denn wenn mal etwas passiert, müsst ihr nachweisen können, welche Maßnahmen ihr zum Schutz eurer personenbezogenen Daten festgelegt und wie ihr für deren Umsetzung gesorgt habt.

Natürlich müsst ihr trotzdem noch dafür sorgen, dass die Leute, denen ihr Zugriff auf personenbezogene Daten gebt, sichere Passwörter verwenden, diese nicht rumliegen lassen und z.B. keine Mitgliederdaten runterladen und unverschlüsselt aufbewahren.

Einschränkung des Zugriffs

Jede*r Mitarbeiter*in des Vereins darf nur auf diejenigen Mitgliederdaten zugreifen können, die für deren Aufgabe im Verein wirklich benötigt werden. Eine Person, die in eurem Verein zum Beispiel „nur“ für die Aktualisierung von Kontaktdaten der Mitglieder zuständig ist, sollte nicht sehen können, wer noch offene Rechnungen hat und die Trainerin der A-Junioren sollte vermutlich nur Zugriff auf die Daten der von ihr betreuten Teammitglieder haben. Und natürlich sollte nicht die Partnerin des Kassierers durch Öffnen einer Excel-Liste sehen können, wer mit den Mitgliedsbeiträgen in Verzug ist. Oder gibt jemand ein Amt ab, dann solltet ihr entsprechende Prozesse festlegen und zum Beispiel festhalten, wie die Daten sicher vom PC der alten Amtsinhaberin gelöscht werden, und ihr müsst dokumentieren, auf welche Online-Dienste diese Person Zugriff hat (DropBox, Google Docs, Webpages, usw.) und wer sicherstellt, dass all diese Zugriffe gelöscht werden.

Auskunft über Löschung von Daten

Ihr müsst euren Mitgliedern jederzeit Auskunft geben können, welche personenbezogenen Daten ihr speichert, wo diese gespeichert sind und wozu ihr sie verwendet. Auch hier gilt es, Prozesse festzulegen und zu dokumentieren, wer welche Daten speichern darf (ist es der Chorleiterin z.B. gestattet, Anwesenheiten an Proben zu speichern), wo überall Daten gespeichert sind und wie im Falle einer Löschungsanfrage vorgegangen werden muss, damit die Daten wirklich an allen Stellen gelöscht werden.

SOFTWARE-TIPP
Mit einer modernen All-in-One Vereinssoftware wie ClubDesk lässt sich Datenschutz im Verein sehr viel einfacher umsetzen, als mit einer Vielzahl an einzelnen Programmen und Daten, die an vielen verschiedenen Stellen gespeichert sind.

  • Mit ClubDesk liegen alle Mitgliederdaten garantiert sicher im professionellen Rechenzentrum, geschützt durch modernste Technik (Einbruchschutz, Firewalls, Backups, TOMs).
  • Gleichzeitig habt ihr die volle Kontrolle darüber, wer in eurem Verein welche Daten sehen darf – egal ob Kassierer*in, Trainer*in oder Präsident*in. Wechselt jemand ein Amt oder scheidet aus dem Verein aus, genügt ein Klick und die Person hat keinen Zugriff mehr auf irgendwelche vertraulichen Daten. 
  • Auch, wenn personenbezogene Daten komplett gelöscht werden müssen, erledigt ihr das in wenigen Sekunden, weil ClubDesk alle Informationen in nur einer zentralen Datenbank verwaltet.

Umsetzung der Datenschutzbestimmungen für Vereine

Datenschutz in Deutschland und Österreich ist also mehr als das Sammeln von Einwilligungserklärungen. Es geht auch darum, aktiv zu managen, welche Informationen erhoben werden, wie lange sie aufbewahrt und wie sie sicher gelöscht werden. Unabhängig davon, mit welchen Hilfsmitteln ihr personenbezogene Daten verwaltet, solltet ihr in eurem Verein regelmäßig prüfen, ob die gespeicherten Daten noch aktuell sind und ob sie noch benötigt werden. Ein datenschutzkonformes Vorgehen erfordert eine konstante Auseinandersetzung mit den gespeicherten Informationen und ein bewusstes Datenmanagement.

Datenschutz und Vertragsbeziehungen

Wenn Mitglieder eures Vereins Dienstleistungen in Anspruch nehmen, wie etwa die Teilnahme an Trainings oder einem Kurs, müsst ihr die entsprechenden Daten verarbeiten und speichern, damit ihr die Leistung überhaupt erbringen könnt (z.B. über eine Verschiebung informieren oder eine Rechnung schicken könnt). Daher dürft ihr solche Daten speichern. Hierbei ist es von größter Bedeutung, dass ihr nur die notwendigen Daten erfasst und diese nicht länger als nötig aufbewahrt werden. So werden die Mitglieder geschützt und ihr stellt sicher, dass euer Verein die DSGVO-Anforderungen einhält.

Die Bedeutung von Information und Transparenz

Jedes Mitglied hat das Recht darauf zu wissen, welche Daten vom Verein gesammelt werden und zu welchem Zweck. Transparenz ist ein Schlüsselelement des Datenschutzes. Euer Verein ist verpflichtet, klar und verständlich zu kommunizieren, wie mit den Daten umgegangen wird und warum die Daten benötigt werden. Auch über ihre Rechte in Bezug auf die Daten müssen die Mitglieder informiert werden.

Datenschutzhinweise für Mitglieder

Üblicherweise wird über den Schutz der Mitgliederdaten in den Datenschutzhinweisen des Vereins oder direkt in der Vereinssatzung informiert. Wenn ihr wollt, dass sich auch potenzielle Neumitglieder vor dem Beitritt zu eurem Verein über euren Umgang mit Mitgliederdaten informieren können, dann empfiehlt es sich, die Datenschutzhinweise und/oder Satzung auf eurer Vereinswebseite zu veröffentlichen. Detaillierte Informationen zum Thema Vereinssatzung könnt ihr übrigens im ClubDesk Vereinswissens-Ratgeber “Vereinssatzung” nachlesen. 

Software-Tipp
Wer seine Vereinswebseite mit ClubDesk erstellt, erhält einen Vorschlag für einen Datenschutzhinweis, der bei Bedarf ganz einfach an spezifische Anforderungen eures Vereins angepasst und auch auf der Vereinswebseite veröffentlicht werden kann. Außerdem enthält der Datenschutzhinweis einen Link auf einen Datenschutzgenerator speziell für Vereine. Wer nicht mit ClubDesk arbeitet, kann sich einen Musterdatenschutzhinweis hier herunterladen.

Datenschutzhinweis für Besucher der Vereinswebseite

Denkt daran, dass ihr auch die Besucher*innen eurer Vereinswebseite darüber informieren müsst, welche Cookies ihr verwendet, welche Analysetools ihr einsetzt und welche Daten ihr wozu speichert.

Auch hierbei unterstützt euch ClubDesk optimal mit einem entsprechenden Cookiebanner und einem Vorschlag für einen Datenschutzhinweis.

Datenschutz bei berechtigtem Interesse des Vereins

Es gibt Situationen, in denen euer Verein personenbezogene Daten verarbeiten muss, um legitime Interessen zu verfolgen, etwa bei der Veranstaltungsorganisation oder der Mitgliederverwaltung. In solchen Fällen müsst ihr eine Interessenabwägung vornehmen und sicherstellen, dass die Interessen eurer Mitglieder in Bezug auf Datenschutz nicht überwiegen.

Einverständnis für Veröffentlichung von Daten

Wenn ihr Daten von Mitgliedern z.B. auf eurer Webseite veröffentlicht, auch wenn diese nur für andere Mitglieder oder sogar nur für Mitglieder desselben Teams oder derselben Gruppe sichtbar sind, müsst ihr von den Mitgliedern darüber ein Einverständnis einholen. Ein Muster findet ihr in folgendem PDF auf Seite 22.

Bei Bildern, die keine besonderen Kategorien personenbezogener Daten preisgeben, könnte der Verein ein berechtigtes Interesse an der Öffentlichkeitsarbeit haben, wenn nicht überwiegende Interessen der betroffenen Person entgegenstehen. Grundsätzlich regt z.B. der Datenschutzbeauftragte von Mecklenburg-Vorpommern an, sparsam mit Fotos umzugehen, die Mitglieder eindeutig erkennbar zeigen. Im entsprechenden PDF wird auf Seite 17 ausgeführt: "Ein Siegerportrait ist natürlich ok, aber bei Fotos von Kindern im Training empfehlen wir solche Aufnahmen für die Homepage auszuwählen, bei denen Gesichter nicht unbedingt erkennbar sind, oder im Zweifel eine Einwilligung einzuholen."

Besondere Sorgfalt bei sensiblen Daten

Besonders sensible Daten, erfordern eine gesonderte Behandlung und dürfen nur mit ausdrücklicher Einwilligung der betroffenen Personen verarbeitet werden. Euer Verein muss in diesen Fällen besondere Sorgfalt walten lassen und die Einwilligung eurer Mitglieder klar und unmissverständlich einholen. Dazu gehören folgende Daten:

  • Gesundheitsdaten (z.B. Allergien, Unverträglichkeiten, Verletzungen)
  • personenbezogene Daten, aus denen rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen einer Person hervorgehen
  • Gewerkschaftszugehörigkeit
  • genetische Daten, biometrische Daten, die ausschließlich zur eindeutigen Identifizierung einer natürlichen Person verarbeitet werden
  • Daten zum Sexualleben oder zur sexuellen Orientierung einer Person

Umgang mit Mitgliederlisten im Sinne des Datenschutzes

Mitgliederlisten sind ein klassisches Beispiel für den sorgfältigen Umgang mit personenbezogenen Daten. Es muss klar definiert sein, welche Personen in eurem Verein Zugriff auf solche Listen haben und zu welchem Zweck die Mitgliederlisten genutzt werden dürfen. Die Verteilung solcher Listen muss kontrolliert erfolgen, um den Datenschutz nicht zu gefährden.

Das heißt, wenn ihr Daten auf Laptops von Vorstandsmitgliedern abspeichert, müsst ihr gewährleisten, dass diese Daten dort sicher sind (verschlüsselte Festplatten, Sperrbildschirm nach z.B. 3 Minuten, etc.). Und auch beim Versand von personenbezogenen Daten, z.B. per E-Mail, muss der Datenschutz gewährleistet sein (Verschlüsselung des E-Mail-Versands oder der versandten Daten). All dies fällt weg, wenn ihr mit einer modernen, Cloud-basierten Software-Lösung arbeitet. 

Datenschutz im Verein in Deutschland und Österreich bedeutet also weit mehr als nur die Erfüllung gesetzlicher Vorgaben. Es geht um den verantwortungsbewussten Umgang mit Informationen und das Vertrauen eurer Mitglieder. Jeder Verein sollte eine Datenschutz-Policy haben, die nicht nur auf dem Papier existiert, sondern auch gelebt wird. Dazu gehören die Sensibilisierung und die regelmäßige Schulung der Verantwortlichen zum Umgang mit personenbezogenen Daten.

Vier junge Erwachsene sprechen an Stehtisch über Datenschutz im Verein

Regelmäßige Schulungen

Eine zentrale Rolle für den bewussten Umgang mit personenbezogenen Daten spielt die Schulung der Verantwortlichen in eurem Verein. Datenschutz ist ein komplexes Thema und bedarf einer gewissen Weiterbildung über die Rechte und Pflichten, die sich daraus ergeben. Ihr könnt innerhalb eures Vereins beispielsweise Workshops anbieten oder Informationsmaterial bereitstellen, um das Bewusstsein für den Datenschutz zu schärfen und so Fehlern vorzubeugen.

Hier findet ihr zwei ausführliche, aber klare Leitfäden, die sich als Grundlage für eine Schulung eignen und viele weitere konkrete Fragen beantworten:

Die Rolle der Datenschutzbeauftragten

Größere Vereine oder solche, die besonders sensible Daten (siehe oben) verarbeiten, sollten eine*n Datenschutzbeauftragte*n ernennen. Diese Person ist in eurem Verein nicht nur für die Überwachung der Einhaltung der Datenschutzbestimmungen zuständig, sondern auch Ansprechpartner*in für Mitglieder und Behörden. Datenschutzbeauftragte sollten entsprechend qualifiziert sein und unabhängig agieren können.

Ein*e Datenschutzbeauftragte*r ist für einen Verein erforderlich, wenn mindestens 20 Personen regelmäßig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Es spielt keine Rolle, ob diese Personen ehrenamtlich, fest angestellt, freiberuflich oder in Teilzeit tätig sind. Entscheidend ist, dass ihre Aufgaben mehrheitlich in der Datenverarbeitung liegen (z.B. Trainer*innen deren Hauptaufgabe das Trainieren und nicht das ständige Bearbeiten von Daten ist, zählen daher nicht mit).

Technische und organisatorische Maßnahmen zum Datenschutz

Euer Verein sollte nicht nur organisatorische, sondern auch technische Maßnahmen für den Datenschutz ergreifen (auch TOMs genannt). Dazu zählen beispielsweise die Verschlüsselung von Daten, sichere Passwörter und der Schutz vor unberechtigtem Zugriff. Euer Verein muss sicherstellen, dass die technische Infrastruktur den Anforderungen des Datenschutzes gerecht wird und dass sie regelmäßig aktualisiert wird.

Zu den wichtigsten technischen Maßnahmen der DSGVO gehören:

Firewalls & WLAN

Eure Daten sollten durch aktuelle, kompetent gemanagte Firewalls vor Zugriffen aus dem Internet geschützt werden. Und auch die WLANs (WiFi), mit deren Hilfe auf eure Vereinsdaten zugegriffen wird, sollten angemessen konfiguriert sein. Also verwendet z.B. den WPA2-Standard und sichere Passwörter.

Zutrittskontrolle

Nicht nur der Zugriff über Netzwerke (Internet, WiFi usw.), sondern auch der direkte physische Zugriff auf Computer, Festplatten oder Backup-Medien sollte gut gesichert sein, am besten in einem Rechenzentrum oder gut gesicherten Räumlichkeiten.

Zugriffsrechte

Mit Hilfe von Passwörtern, Zugriffsrollen, Nutzergruppen usw. solltet ihr genau festlegen können, wer mit welchen Rechten (Lesen und Schreiben, Nur Lesen, Gar nicht) auf welche Daten zugreifen kann. Bitte bedenkt, dass ihr nur den Leuten Zugriff zu den Daten geben solltet, die diese Daten für ihre Vereinsarbeit wirklich brauchen.

Verschlüsselung

Um eure Daten vor unbefugtem Zugriff zu schützen, sollten diese nur verschlüsselt gespeichert und auch verschickt werden. Dazu gehört auch die Verwendung von sicheren Passwörtern.

Sicherheitskopien

Damit ihr auf eure Daten auch noch nach einem Hardwaredefekt, Verlust eines Computers, versehentlichem Löschen oder der Verschlüsselung durch Hacker zugreifen könnt, müsst ihr regelmäßig Backups erstellen. Denkt daran, auch eure Backups sicher aufzubewahren, zu verschlüsseln und auch Daten-Löschaufträge zeitnah auf Backups nachzuführen.

Als Verein seid ihr dafür verantwortlich, dass diese technischen Maßnahmen auch auf den privaten Computern von allen ehrenamtlichen Vereinsmitarbeitern umgesetzt werden, sobald auf diesen Geräten personenbezogene Daten gespeichert sind. Es ist also schon problematisch, eine Excel-Liste mit den Teilnehmer*innen eines Trainings auf einem heimischen Laptop zu speichern, wenn dieser nicht mit einem sicheren Passwort geschützt ist, die Festplatte nicht verschlüsselt wurde oder das Gerät gar von der/dem Ehepartner*in oder den Kindern mit genutzt wird-

Zu den wichtigsten organisatorischen Maßnahmen der DSGVO gehören:

Prozesse und Richtlinien

Euer Verein sollte klare Verfahren und Richtlinien für den Umgang mit Daten aufstellen, diese dokumentieren und sicherstellen, dass alle, die mit Vereinsdaten arbeiten, diese Richtlinien kennen und einhalten. Neben dem Bewusstsein über die Verantwortung für den sicheren Umgang mit Daten, gehören klare Regeln zu Passwörtern (Mindestlänge, Sonderzeichen usw.) und Veröffentlichung von Daten und Fotos. Auch Maßnahmen gegen Phishing und Spoofing zählen zu den wichtigen Themen, die ihr in eurem Verein ansprechen solltet.

Infos und Schulungen

Stellt sicher, dass ihr die Leute, die Zugriff auf eure Vereinsdaten haben, gut über das Thema Datenschutz informiert und immer mal daran erinnert, wie wichtig es ist, eure Sicherheitsmaßnahmen einzuhalten (Gute Passwörter zu verwenden, Daten zu verschlüsseln usw.)

Datenverarbeitungsvereinbarung

Nutzt ihr die Dienste Dritter, um personenbezogene Daten zu speichern oder zu übermitteln, dann müsst ihr mit diesen Dienstleistern einen Vertrag abschließen, in dem diese euch den sicheren und DSGVO-konformen Umgang mit euren Daten zusichern. Bei der Nutzung von ClubDesk geschieht dies automatisch mit einer Auftragsverarbeitungsvereinbarung, die Bestandteil der AGBs (Abschnitt 11.7) ist. Nutzt ihr weitere Dienste (Cloudspeicher, Onlineformulare, Webseiten Provider), sollten auch von diesen AVVs vorliegen.

Risikoanalyse

Überprüft und hinterfragt eure Prozesse und Sicherheitsmaßnahmen regelmäßig und stellt sicher, dass diese den aktuellen Bedrohungen oder technischen Möglichkeiten entsprechen.

Mehr Infos zu Technisch-organisatorischen Maßnahmen (TOMs) hier >>

SOFTWARE-TIPP

Mit ClubDesk könnt ihr viele technische Maßnahmen auslagern und euch damit jede Menge Aufwand sparen: Vereinsdaten bleiben im Rechenzentrum gespeichert, ohne Passwort mit einem vorgegebenen Sicherheitslevel ist kein Zugriff auf z. B. Mitgliederdaten möglich[1] , und Daten müssen nicht verschickt oder an andere Personen weitergegeben werden. Lediglich um Regeln zur Veröffentlichung von Daten müsst ihr euch selbst kümmern. 

Gleichzeitig vereinfacht ClubDesk die organisatorischen Maßnahmen: Bei Austritt eines Vorstandsmitglieds passt ihr z.B. die Zugriffsrechte nur an einer Stelle an und legt fest, wer das macht. Ohne solch eine Software müsstet ihr dafür über mehrere Tools hinweg dokumentieren, wer auf was Zugriff hat und wie Rechte abgeschaltet werden. Außerdem werden vertrauliche Daten in ClubDesk sicher an den/die Nachfolger*in übergeben. Dadurch entfallen Verschlüsselungsregeln beim Versand per E-Mail und ihr braucht auch keine Regeln, wie Daten vom privaten Computer dem/der alten Amtsinhaber*in gelöscht werden.

Vorgehen bei Datenschutzverletzungen

Trotz aller Vorsichtsmaßnahmen, die euer Verein ergreift, kann es zu Datenschutzverletzungen kommen. Für solche Fälle sollte euer Verein einen sogenannten Incident-Response-Plan haben. Dieser legt fest, wie im Falle einer Datenpanne zu reagieren ist, wer informiert werden muss und wie die betroffenen Mitglieder zu benachrichtigen sind. Eine schnelle und transparente Reaktion kann das Vertrauen der Vereinsmitglieder erhalten und den Schaden minimieren.

Dokumentation und Nachweisführung

Die DSGVO fordert in Ländern der EU - also nicht nur in Deutschland und Österreich -, dass euer Verein Maßnahmen zum Datenschutz und die Einhaltung der Datenschutzbestimmungen nachweisen kann. Das bedeutet, dass euer Verein dokumentieren muss, welche Datenverarbeitungsaktivitäten stattfinden, auf welcher rechtlichen Grundlage sie basieren und welche Schutzmaßnahmen getroffen wurden. Diese Dokumentation ist nicht nur für die Aufsichtsbehörden wichtig, sondern dient auch als Selbstkontrolle für euren Verein.

Verzeichnis von Verarbeitungstätigkeiten

In dem Verzeichnis von Verarbeitungstätigkeiten werden alle Vorgänge aufgelistet, bei dem der Verein personenbezogene Daten verarbeitet (Art. 30 EU-DSGVO). Vereine, die mehr als 250 Mitarbeiter beschäftigen, sind laut DSGVO zur Führung eines solchen Verzeichnisses verpflichtet. Aber auch für kleinere Vereine kann ein Verzeichnis von Verarbeitungstätigkeiten sinnvoll sein, um schnell auf Anfragen von Datenschutzbetroffenen reagieren zu können und die tägliche Arbeit zu erleichtern.

Banner \"Zeit für den Datenschutz\"

DSGVO-Checkliste für euren Verein

Checkliste zum Download
Einwilligung Datenverarbeitung von Mitgliedern

Überprüft, ob für die Erhebung, Speicherung und Bearbeitung von Mitgliederdaten eine gesetzliche Erlaubnis besteht oder die Einwilligung des Betroffenen vorliegt.

Satzung DSGVO-konform

Prüft, ob satzungs-interne Datenschutzbestimmungen DSGVO-konform sind.

Richtlinien zur Datenspeicherung

Sorgt dafür, dass nur notwendige Daten gesammelt werden und die Speicherung zeitlich an den Bedarf sowie gesetzliche Fristen angepasst ist.

Gewährleistung von Datensicherheit

Führt Sicherheitsvorkehrungen zum Schutz von Vertraulichkeit, Integrität und Verfügbarkeit der Daten durch (TOMs) und überprüft diese regelmäßig.

Datenschutzbeauftragte*n ernennen

Sobald mehr als 20 Personen in eurem Verein mit der automatisierten Datenschutzverarbeitung betraut sind, sollte ein*e Datenschutzbeauftragte*r ernannt werden.

Führung eines Verarbeitungsverzeichnisses

Legt ein Verzeichnis an, das Zuständigkeiten, Zugriffsrechte und Verarbeitungszwecke der Daten klar definiert (entsprechend Art. 30 DSGVO).

Mitgliederinformation zur Datenverarbeitung

Klärt Mitglieder bereits beim Beitritt schriftlich über die Datenverarbeitung auf und informiert bestehende Mitglieder über Änderungen.

Einhaltung der DSGVO durch Mitarbeiter

Jede mit Mitgliederdaten arbeitende Person im Verein muss über die DSGVO aufgeklärt und zur Einhaltung verpflichtet werden.

Daten Dienstleistern anvertrauen (Auftragsverarbeitungsvereinbarung)

Lasst ihr personenbezogene Daten durch Dienstleister speichern oder verarbeiten, müsst ihr mit diesen eine Auftragsverarbeitungsvereinbarung (AVV) abschließen. In Verträge mit externen Dienstleistern, mit denen ihr keine Auftragsverarbeitungsvereinbarung habt, solltet ihr Datenschutzklauseln mit aufnehmen und die Datenschutzmaßnahmen der Dienstleister solltet ihr regelmäßig prüfen.

Benachrichtigungspflicht bei Sicherheitsverletzungen

Für den Fall einer Datenschutzverletzung solltet ihr ein Verfahren zur schnellen Reaktion und Benachrichtigung von Mitgliedern und Aufsichtsbehörden festlegen.

Bewertung des Verarbeitungsrisikos

Nehmt eine Risikoeinschätzung vor und versucht so, das Risiko, das mit der Datenverarbeitung einhergeht, einzuschätzen.

Zusammenfassung: Datenschutz im Verein

Datenschutz im Verein ist ein fortlaufender Prozess, der sorgfältige Planung und kontinuierliche Anpassung erfordert. Es geht darum, ein Gleichgewicht zu finden zwischen dem effizienten Vereinsmanagement und dem Recht der Mitglieder auf Privatsphäre und Schutz ihrer personenbezogenen Daten. Ein proaktiver Ansatz und die Einbindung aller Mitglieder sind dabei der Schlüssel zum Erfolg. Eine Vereinssoftware wie ClubDesk erleichtert die DSGVO konforme Verarbeitung von Mitgliederdaten enorm. 

Häufige Fragen zum Datenschutz im Verein

Was ist die DSGVO und wie betrifft sie Vereine in Deutschland und Österreich?

Die DSGVO ist eine Verordnung der EU, die den Umgang mit personenbezogenen Daten reguliert. Sie gilt grundsätzlich für alle Organisationen, einschließlich Vereine, die personenbezogene Daten verarbeiten.

Welche Arten von Daten sind als "personenbezogene Daten" zu betrachten?

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dazu gehören insbesondere Name, Adresse, E-Mail-Adressen, Telefonnummern und Fotos.

Wer ist für die Einhaltung des Datenschutzes im Verein verantwortlich?

Laut DSGVO ist der gesetzliche Vertreter des Vereins, in der Regel der Vorstand als Ganzes, für die Einhaltung des Datenschutzes im Verein verantwortlich, insofern er dafür zu sorgen hat, dass eine kompetente Person sich um das Thema Datenschutz kümmert. Ausführliche Informationen findet ihr im Vereinswissens-Ratgeber „Verein gründen“ im Kapitel „Aufgaben und Haftung des Vereins/Vorstand“ im Abschnitt „Haftung nach Innen“.

Was versteht man unter Datenverarbeitung?

Unter Datenverarbeitung wird die Verwendung und Nutzung von (personenbezogenen) Daten auf analoger oder digitaler Ebene verstanden. Dazu gehören unter anderem das Erfassen, Erheben, Verwenden, Löschen und Verarbeiten von Daten (siehe Art. 4 Nr. 2 DSGVO). Im Vereins-Kontext ist beispielsweise das Erfassen und Abspeichern von Mitgliedsdaten eine Art der Datenverarbeitung.

Müssen Vereine einen Datenschutzbeauftragten ernennen?

Dies hängt von der Größe des Vereins und der Art der Datenverarbeitung ab. In der Regel müssen Vereine, die regelmäßig und systematisch große Mengen personenbezogener Daten verarbeiten, eine*n Datenschutzbeauftragte*n ernennen.

Wie sollten Vereine die Einwilligung zur Datenverarbeitung einholen?

Vereine müssen sicherstellen, dass die Einwilligung zur Verarbeitung personenbezogener Daten freiwillig, spezifisch, informiert und unmissverständlich erteilt wird. Dies kann zum Beispiel durch ein Anmeldeformular mit Datenschutzerklärung erfolgen.

Was müssen Vereine tun, um die Sicherheit der Daten zu gewährleisten?

Vereine müssen geeignete technische und organisatorische Maßnahmen ergreifen, um die Sicherheit der verarbeiteten Daten zu gewährleisten, wie z.B. sichere Speicherung, regelmäßige Updates von Software und Schulungen für Mitarbeitende.

Welche Rechte haben Mitglieder in Bezug auf ihre Daten?

Mitglieder haben das Recht, Auskunft über ihre gespeicherten Daten zu verlangen, Berichtigungen zu veranlassen, die Löschung ihrer Daten zu fordern und der Datenverarbeitung in bestimmten Fällen zu widersprechen.

 

Über den Autor:

 

Vereinswissen Ratgeber Autor Andreas Kling

Andreas Kling

Ob Sekretär oder Präsident – Andreas hatte in diversen Vereinen schon so ziemlich jede Rolle inne und hat sich in den letzten 35 Jahren vornehmlich mit der Führung und Digitalisierung von Unternehmen und Vereinen beschäftigt.

Zur Übersicht

Das könnte dich auch interessieren

Ein Mann und eine Frau unterhalten sich vor einem Laptop

Vereinssatzung: Inhalt, Anleitung und Muster

Vereinswissen 15 Min. Lesezeit Lena Krischek

Weiterlesen …
Drei junge Männer schauen lachend auf einen Laptop

Verein gründen in 2025 – So geht die Gründung eines Vereins richtig!

Vereinswissen 14 Min. Lesezeit Matthias Probst

Weiterlesen …
Drei Frauen schauen lächelnd auf einen Laptop

E-Rechnung im Verein – Was euer Verein beachten muss

Vereinswissen 13 Min. Lesezeit Matthias Probst

Weiterlesen …

ClubDesk bietet viel mehr als nur Mitgliederverwaltung

Icon Mitglieder erfassen und verwalten

Mitgliederverwaltung
Mitgliederdaten DSGVO-Konform erfassen, filtern und verwalten. Mehr erfahren >

Icon Website erstellen

Vereinshomepage
Moderne und mobilfähige Vereinswebsite erstellen. Mehr erfahren >

Icon Kalender mit Haken

Terminkalender
Vereinstermine für Trainings und Sitzungen planen und organisieren. Mehr erfahren >

Icon Rechnungen und Buchhaltung

Finanzen
Rechnungen und Buchhaltung einfach erstellen und verwalten. Mehr erfahren >

Icon Vereinsdokumente ablegen

Vereinsdokumente
Vereinsdokumente wie Verträge & Satzungen zentral ablegen. Mehr erfahren >

Icon E-Mails und Briefe

E-Mails & Briefe
Automatische Adressverwaltung für den Versand von Mails & Briefen. Mehr erfahren >