Vereine unterschätzen den Datenschutz gern, weil sie ehrenamtlich, gemeinnützig und gut gemeint arbeiten. Aber Gemeinnützigkeit schützt nicht vor der DSGVO. Und anders als viele denken, haftet im Zweifel nicht „der Verein" als anonyme Hülle, sondern es können Vorstandsmitglieder und sogar einzelne Aktive persönlich in die Verantwortung geraten. Dieser Beitrag zeigt, worauf es ankommt — pragmatisch, ohne Bürokratie-Overkill.
Die DSGVO gilt auch für das Ehrenamt
Sobald ein Verein personenbezogene Daten verarbeitet — und das tut jeder über seine Mitgliederverwaltung —, gilt die DSGVO. Mitgliederdaten, Beitragsdaten, Kontaktinformationen: All das sind personenbezogene Daten, die nur für die Vereinszwecke verarbeitet werden dürfen. Die Weitergabe an Dritte, etwa an Sponsoren, ist ohne Rechtsgrundlage tabu.
Die gute Nachricht: Für einen typischen Verein ist der Aufwand überschaubar. Niemand erwartet eine 100-seitige Dokumentation. Erwartet wird, dass die Grundlagen sitzen — und dass das Wissen den nächsten Vorstandswechsel übersteht. Genau das ist die kommunale Realität des Ehrenamts: Verantwortliche wechseln, und mit ihnen geht oft das Wissen verloren.
Das Foto-Thema: KUG und DSGVO gelten nebeneinander
Hier wird es konkret, denn Fotos sind der Klassiker. Wichtig zu verstehen: Sobald eine Person auf einem Bild erkennbar ist, ist das Aufnehmen, Speichern und Veröffentlichen eine Verarbeitung personenbezogener Daten. Neben der DSGVO gilt zusätzlich das Kunsturhebergesetz (KUG): Nach § 22 KUG dürfen Bildnisse grundsätzlich nur mit Einwilligung der abgebildeten Person verbreitet oder öffentlich gezeigt werden.
Für die Vereinspraxis heißt das:
- Für die Veröffentlichung von Fotos auf Website oder Social Media braucht es in der Regel eine Einwilligung der abgebildeten Personen.
- Bei Kindern liegt die Einwilligung bei den Erziehungsberechtigten — und hier ist ein Detail entscheidend, das viele nicht kennen: Ab dem 14. Lebensjahr ist zusätzlich die Einwilligung des Kindes selbst erforderlich. Das KUG stellt insoweit strengere Anforderungen als die DSGVO daneben.
- Pauschale Einwilligungen taugen wenig. Eine differenzierte Einwilligung — getrennt nach Mannschaftsfoto, Aushang, Website, Social Media — ist belastbarer und im Zweifel das, was hält.
Und der Punkt, der in Schulungen für Aufmerksamkeit sorgt: Die Risiken treffen nicht nur den Verein als Institution. Auch einzelne Verantwortliche können persönlich haftbar werden, wenn sie ohne Einwilligung Bilder veröffentlichen — besonders bei Verbreitung im Internet. Das gut gemeinte Hochladen des Mannschaftsfotos ist also kein Kavaliersdelikt.
Mitgliederdaten: nur erheben, was man braucht
Der zweite große Bereich. Bei der Mitgliederverwaltung gilt das Prinzip der Datensparsamkeit: Erhoben werden darf, was für die Vereinszwecke erforderlich ist — nicht mehr. Drei wiederkehrende Fragen aus der Praxis:
- Mitgliederlisten und Aushänge: Eine Liste mit allen Namen am schwarzen Brett oder im Newsletter ist nicht automatisch zulässig. Was öffentlich gemacht wird, sollte auf das Notwendige beschränkt sein.
- Weitergabe an Verbände und Dachorganisationen: Sie ist oft notwendig (etwa für Spielerpässe oder Wettbewerbe), braucht aber eine klare Grundlage und sollte den Mitgliedern transparent sein.
- Besondere Daten: Im Sportverein können Gesundheitsangaben anfallen (Tauglichkeit, Allergien), bei Sozialvereinen sensible Informationen. Diese genießen erhöhten Schutz nach Art. 9 DSGVO und gehören nicht in offene Verteiler.
Vereinswebsite und Newsletter
Auch die Vereinswebsite braucht ein Impressum und eine Datenschutzerklärung — das wird gern vergessen, ist aber Pflicht. Newsletter an Mitglieder sollten mit Einwilligung und einer Abmeldemöglichkeit versendet werden. Wer Werbung für Sponsoren über den Vereinsverteiler verschickt, bewegt sich schnell auf dünnem Eis.
Braucht der Verein eine/n Datenschutzbeauftragte/n?
Meist nicht — aber nicht nie. Die Benennungspflicht greift nur unter bestimmten Voraussetzungen: derzeit etwa, wenn in der Regel mindestens 20 Personen ständig mit der Datenverarbeitung beschäftigt sind (§ 38 BDSG), oder bei umfangreicher Verarbeitung besonderer Daten (Art. 37 DSGVO). Die meisten kleinen Vereine erreichen das nicht und brauchen keinen DSB. Einhalten müssen sie die DSGVO trotzdem. (Hinweis: Die nationale 20-Personen-Schwelle könnte künftig wegfallen; an der grundsätzlichen Pflicht zur DSGVO-Konformität ändert das nichts.)
Das eigentliche Vereinsproblem: der Vorstandswechsel
Ein Aspekt, den kein Gesetz regelt, der aber in der Praxis der wunde Punkt ist: Vereinsvorstände wechseln. Was der alte Vorstand über den Datenschutz wusste, muss der neue übernehmen können — sonst beginnt alle paar Jahre die Unsicherheit von vorn. Eine schlanke, verständliche und übergabefähige Dokumentation ist deshalb für Vereine wichtiger als für manches Unternehmen. Sie muss kein Aktenordner sein; sie muss nur klar, auffindbar und übergebbar sein.
Was Sie konkret mitnehmen sollten
Drei Dinge: Erstens, regeln Sie das Foto-Thema sauber — mit differenzierten Einwilligungen, und denken Sie bei Jugendlichen ab 14 an deren eigene Zustimmung. Zweitens, wenden Sie bei Mitgliederdaten das Prinzip der Datensparsamkeit an — und prüfen Sie, was wirklich öffentlich sein muss. Drittens, schaffen Sie eine übergabefähige Dokumentation, die den nächsten Vorstandswechsel übersteht.
Datenschutz im Verein muss nicht kompliziert sein — er muss pragmatisch und gelebt sein.
Über den Autor
Dr. Sait Yalazay ist TÜV-zertifizierter Datenschutzbeauftragter, international anerkannter Datenschutzbeauftragter (CIPP).
Dieser Beitrag dient der allgemeinen Information und ersetzt keine Rechtsberatung im Einzelfall. Anbieter: CyberWerkSuite.
Stand: Mai 2026.
