Stand: Juni 2020
Dokument als pdf

Datenschutz im Verein nach der DS-GVO – Praxisratgeber – 2. Auflage

Vorwort

Ab dem 25. Mai 2018 wird die Datenschutz-Grundverordnung (DS-GVO) in Deutschland und in allen anderen Mitgliedstaaten der Europäischen Union geltendes Recht. Gerade kleine Vereine sind sehr verunsichert, welche Neuerungen anstehen bzw. welche neuen Anforderungen an sie gestellt werden. Noch schwieriger die Frage, wie diese Anforderungen konkret umzusetzen sind. Informationen zur DS-GVO gibt es zwar zwischenzeitlich zu Genüge, jedoch sind diese Informationen oftmals sehr theoretisch gehalten und somit für eine Umsetzung in die Praxis nicht immer hilfreich. Wir hoffen sehr, dass unsere Orientierungshilfe nicht nur von Experten verstanden und geschätzt wird. Eine Vielzahl von Anfragen zeigt uns jedenfalls, dass neben diesen Fachinformationen auch ein dringendes Interesse an einfachen und praktischen Hinweisen für Vereine gefragt ist. Unser Praxisratgeber soll hier Abhilfe schaffen.

1. Informationspflichten

Wie und wo muss der Verein seinen Informationspflichten nachkommen?

Jeder Verein hat aus Gründen der Transparenz umfassend darüber zu informieren, wie die personenbezogenen Daten der Mitglieder (oder Dritter) verarbeitet werden. Hierfür hat der Verein zum Zeitpunkt der Erhebung (z.B. im Mitgliedsantrag) sämtliche Informationen des Art. 13 DS-GVO mitzuteilen

Was muss rein?

  • Name und Kontaktdaten des Verantwortlichen sowie ggf. seines Vertreters
  • Kontaktdaten des Datenschutzbeauftragten
  • Zwecke und Rechtsgrundlage der Verarbeitung
  • Berechtigte Interessen i.S.d. Art. 6 Abs. 1 lit. f) DS-GVO
  • Empfänger oder Kategorien von Empfängern
  • Absicht von Drittlandtransfer sowie Hinweis auf (Fehlen von) Garantien zur Datensicherheit
  • Speicherdauer der personenbezogenen Daten
  • Belehrung über Betroffenenrechte (Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruchsrecht gegen Verarbeitung)
  • Hinweis auf jederzeitiges Widerrufsrecht der Einwilligung
  • Hinweis auf Beschwerderecht bei einer Datenschutz-Aufsichtsbehörde
  • Pflicht zur Bereitstellung der Daten
  • Automatische Entscheidungsfindung einschließlich Profiling

Muster Informationspflichten

Ein Muster für die einfache und pragmatische Erfüllung dieser Informationspflichten nach Art. 13 DS-GVO finden Sie im Anhang.

Wie müssen die Informationen gem. Art. 13 DS-GVO zur Verfügung gestellt werden?

Wichtig ist, dass die Informationen nach Art. 13 DS-GVO gut erreichbar sind. Dies ist immer dann der Fall, wenn die Informationen auf die gleiche Art und Weise bereitgestellt werden, wie die Datenerhebung erfolgt (z.B. Datenerhebung durch Formular: Informationen werden auf dem Formular abgedruckt bzw. mit diesem ausgegeben; Datenerhebung per E-Mail: Informationen werden per E-Mail mitgeteilt). Aber auch ein Hinweis auf der Vereinswebseite kann ausreichend sein, wenn die Möglichkeit besteht, die Informationen leicht und transparent einzusehen. Hat hierbei ein Mitglied keine Möglichkeit, die Informationen auf der Webseite einzusehen, so muss der Verein seine Informationspflicht auf andere Weise, etwa durch Zusenden der Informationen per Post, erfüllen.

Müssen die Informationspflichten des Art. 13 DS-GVO für bereits nach dem Bundesdatenschutzgesetz (BDSG) erfolgte Datenerhebungen nachgeholt werden?

Nein. Bei bereits erfolgten Datenerhebungen (von Altmitgliedern) nach dem BDSG sind die Informationspflichten des Art. 13 DS-GVO nicht zu erfüllen bzw. nachzuholen. Erst für Datenerhebungen ab dem 25. Mai 2018 bzw. wenn bei Bestandsmitgliedern weitergehende Datenerhebungen/Änderungsmitteilungen erfolgen, sind die Informationspflichten zu erfüllen.

2. Einwilligungserklärung

Wann muss der Verein eine Einwilligungserklärung einholen?

Viele Vereine sind der Ansicht, dass sie von jedem Mitglied für die Verarbeitung der personenbezogenen Daten der Mitglieder zukünftig zwingend eine Einwilligungserklärung benötigen und dass ohne eine Einwilligung eine Datenverarbeitung unzulässig wäre. Dies trifft jedoch nicht zu. Ein Verein darf – auch ohne Einwilligung – solche Daten erheben,

  • die für die Begründung und Durchführung des zwischen Mitglied und Verein durch den Beitritt zustande kommenden rechtsgeschäftsähnlichen Schuldverhältnisses erforderlich sind (Art. 6 Abs. 1 lit. b) DS-GVO)
  • wenn er an der Datenverarbeitung ein überwiegendes berechtigtes Interesse hat (Art. 6 Abs. 1 lit. f) DS-GVO).

In welchen Fällen der Verein Daten zur Verfolgung der Vereinsziele bzw. die Betreuung und Verwaltung der Mitglieder auf Grund des Art. 6 Abs. 1 lit. b) DS-GVO erheben darf bzw. berechtigte Interessen hieran haben, ist in unserer Orientierungshilfe „Datenschutz im Verein nach der DS-GVO“ ausführlich dargelegt. In Bezug auf die berechtigten Interessen ist es daher wichtig, dass der Verein diese darlegt und vollumfänglich über diese Interessen informiert (s. o. unter 1.)

Nur für Datenverarbeitungen, die über die gesetzlich erlaubten Verarbeitungen hinausgehen, ist eine Einwilligung erforderlich. Dies sind Fälle, in denen die Verarbeitung der personenbezogenen Daten weder zur Durchführung des Mitgliedsvertrags noch aufgrund berechtigter Interessen des Vereins erforderlich sind. In Betracht kommen insbesondere:

  • Veröffentlichung von Fotos auf der Webseite des Vereins
  • Veröffentlichung von Geburtsdaten/Jubiläen im Vereinsblatt/am schwarzen Brett
  • Werbung von Dritten

Welche Form muss die Einwilligung haben?

Anders als das BDSG, das für Einwilligungen grundsätzlich die Schriftform vorsieht, ermöglicht die DS-GVO die Einwilligung schriftlich, elektronisch, mündlich oder sogar konkludent abzugeben. Jedoch muss der Verein für den Fall, dass die Verarbeitung auf einer Einwilligung beruht, nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat (Art. 7 Abs. 1 DS-GVO). Aus diesem Grund ist zu anzuraten, Einwilligungen zum Zwecke des Nachweises schriftlich (d. h. mit eigenhändiger Unterschrift der betroffenen Person) einzuholen und aufzubewahren.

Muss der Verein ab dem 25. Mai 2018 von allen Mitgliedern, die bereits eine Einwilligung abgegeben haben, eine neue Einwilligung einholen?

Nein. Liegt seitens der Bestandsmitglieder bereits eine Einwilligung vor, so gilt diese weiter und muss nicht erneut eingeholt werden. Lediglich wenn es zu einer weitergehenden einwilligungspflichtigen Verarbeitung personenbezogener Daten kommen soll, ist eine neue Einwilligung notwendig. Hier hilft unsere

Muster-Einwilligung

Für jede Datenverarbeitung ist eine gesonderte Einwilligungserklärung erforderlich. Daher sollte für jede Einwilligungserklärung ein gesondertes Formular verwendet werden. Auf keinen Fall soll die Einwilligungserklärung in die Datenschutzhinweise „gepackt“ werden. Auf jedem Formular ist genau anzugeben, welche Daten zu welchem Zweck verarbeitet werden.Ein Muster für die Einwilligung in der Veröffentlichung von Daten auf der Webseite des Vereins finden Sie im Anhang.

3. Bennenung eines Datenschutzbeauftragten

Wann muss der Verein einen Datenschutzbeauftragten benennen?

Der Verein hat einen Datenschutzbeauftragen zu benennen, wenn mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind oder der Verein Verarbeitungen vornimmt, die einer Datenschutzfolgenabschätzung gemäß Art. 35 DSGVO unterliegen.

Darüber hinaus muss ein Datenschutzbeauftragter benannt werden, wenn die Kerntätigkeit des Vereins in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung der betroffenen Person erforderlich macht (z.B. Videoüberwachung im Stadion) oder die Kerntätigkeit in der Verarbeitung besonderer Kategorien von Daten gemäß Art. 9 DS-GVO (z.B. Gesundheitsdaten in Selbsthilfegruppen) oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 DS-GVO besteht (Art. 37 Abs. 1 lit. b) und lit. c) DS-GVO).

Für die Frage, ob der Verein einen Datenschutzbeauftragten benennen muss, empfiehlt sich folgendes Prüfschema.

a) Sind mindestens 20 Personen ständig mitder automatisierten Verarbeitung personenbezogener Daten beschäftigt?

„Ständig“ beschäftigt ist eine Person, wenn sie für diese Aufgabe auf längere Zeit vorgesehen ist und sie entsprechend wahrnimmt. Irrelevant ist, ob die Person beim Verein beschäftigt oder ehrenamtlich tätig ist. Die Aufgabe braucht auch nicht Hauptaufgabe der Person zu sein. Das Tatbestandsmerkmal „ständig“ ist daher auch erfüllt, wenn die Aufgabe selbst nur gelegentlich anfällt, die betreffende Person sie aber stets wahrzunehmen hat. Nicht ständig beschäftigt ist hingegen, wer die eigentlich anderen obliegende Aufgabe gelegentlich mit übernimmt oder nur vorübergehend in diesem Bereich tätig ist. Ständig bedeutet daher, dass die Person immer dann mit der Verarbeitung personenbezogener Daten beschäftigt ist, wenn diese Tätigkeit anfällt.

✅ Ja: Datenschutzbeauftragter erforderlich

❌ Nein: weiterprüfen:

b) Nimmt der Verein Verarbeitungen vor, dieeiner Datenschutzfolgenabschätzung unterliegen?

Eine Datenschutzfolgeabschätzung ist nur dann erforderlich, wenn die Verarbeitung personenbezogener Daten ein hohes Risiko für die betroffenen Personen hat. Ein solch hohes Risiko ist jedoch die Ausnahme und besteht in aller Regel nicht. Mehr Informationen hierzu unten Nr. 5.

✅Ja: Datenschutzbeauftragter erforderlich

❌Nein: weiterprüfen:

c) Liegt die Kerntätigkeit des Vereins in Verarbeitungsprozessen, welche aufgrund ihrerArt, ihres Umfangs oder ihrer Zwecke eineumfangreiche regelmäßige und systematische Überwachung der betroffenen Personerforderlich macht?

Werden personenbezogene Daten nur als Nebentätigkeit und nicht als Haupttätigkeit verarbeitet, so liegt keine „Kerntätigkeit vor. Bei „klassischen“ Vereinen erfolgt eine Verarbeitung personenbezogener Daten nur als notwendig anfallende Nebentätigkeit (Mitgliederverwaltung, Verarbeitung von Daten von Beschäftigten etc.). Vereine, deren Kerntätigkeit in Verarbeitungsprozessen liegt, welche eine umfangreiche regelmäßige und systematische Überwachung der betroffenen Person erforderlich machen, sind kaum denkbar.

✅ Ja: Datenschutzbeauftragter erforderlich

❌Nein: weiterprüfen:

d) Besteht die Kerntätigkeit in der Verarbeitung besonderer Kategorien von Datenoder von personenbezogenen Daten überstrafrechtliche Verurteilungen und Straftaten?

Besondere Kategorien von Daten sind personenbezogene Daten, aus denen die rassische, ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen hervorgehen sowie genetische Daten, biometrische Daten, Gesundheitsdaten oder Daten zum Sexualleben und der sexuellen Orientierung. Als Beispiele kommen die Religionszugehörigkeit, Parteizugehörigkeit sowie Angaben über Krankheiten in Betracht. Hinzukommen muss jedoch auch hier, dass die Kerntätigkeit des Vereins in der Verarbeitung vorgenannter Daten liegt. Dies ist immer dann der Fall, wenn ohne die Verarbeitung dieser Daten der Zweck des Vereins nicht erreicht werden könnte. Denkbar ist dies etwa bei Selbsthilfegruppen oder Vereinen mit politischer Zielrichtung.

✅ Ja: Datenschutzbeauftragter erforderlich

❌ Nein: Kein Datenschutzbeauftragter erforderlich.

Der Verein hat die Kontaktdaten des Datenschutzbeauftragten zu veröffentlichen. Hierbei ist es ausreichend, wenn die E-Mail-Adresse des Datenschutzbeauftragten auf der Vereinshomepage frei zugänglich genannt wird. Der Datenschutzbeauftragte ist der zuständigen Aufsichtsbehörde zu melden. Eine Meldung ist beim Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg ist über das Online–Formular möglich

Welche fachlichen Qualifikationen ein Datenschutzbeauftragter erfüllen muss und was seine Aufgaben sind, siehe ab S. 31 Punkt 7.1 der Orientierungshilfe „Datenschutz im Verein nach der DS-GVO“ sowie in Kurpapie Nr. 12 der Datenschutzkonferenz.

4. Verzeichnis von Verarbeitungstätigkeiten

Gemäß Art. 30 DS-GVO hat jeder Verantwortliche ein Verzeichnis aller Verarbeitungstätigkeiten zu führen. Zwar besteht bei Verantwortlichen, bei denen weniger als 250 Mitarbeiter beschäftigt sind, zunächst eine Ausnahme von der Verzeichnisführungspflicht. Diese Ausnahme gilt jedoch unter anderem dann nicht, wenn die Verarbeitung nicht nur gelegentlich oder eine Verarbeitung sensibler Daten erfolgt.

Der Begriff „regelmäßig“ ist erfüllt,wenn mindestens eine der folgenden Eigenschaften vorliegt:

  • fortlaufend oder in bestimmten Abständen während eines bestimmten Zeitraums vorkommend
  • immer wieder oder wiederholt zu bestimmten Zeitpunkten auftretend
  • ständig oder regelmäßig stattfindend

Ein Verein beschäftigt nur 3 Mitarbeiter. Muss er trotzdem ein Verzeichnis von Verarbeitungstätigkeiten führen?

Ja, da in jedem Verein die Verarbeitung personenbezogener Daten nicht nur gelegentlich, sondern regelmäßig stattfindet (z.B. Aktualisierung Mitgliederliste, Versand von Nachrichten an Mitglieder, Einzug von Mitgliedsbeiträgen, Anmeldung zu Wettkämpfen etc.), ist auch bei Vereinen mit 3 Mitarbeitern ein Verzeichnis von Verarbeitungstätigkeiten zu führen.

Weitere Informationen zu diesem Thema finden Sie ab S. 33 unter Punkt 7.2 der „Datenschutz im Verein nach der DS-GVO“ sowie in Kurzpapier Nr. 1 der Datenschutzkonferenz

Muster Verzeichnis von Verarbeitungstätigkeiten

Bestimmte Anforderungen an die Form stellt die DS-GVO nicht. Ein Muster für ein Verzeichnis von Verarbeitungstätigkeiten finden Sie im Anhang.

Beim Ausfüllen ist darauf zu achten, dass pro Verarbeitungstätigkeit gesondert aufgeführt wird, welche Kategorien von Personen, welche Kategorien von personenbezogenen Daten bzw. Kategorien von Empfängern jeweils betroffen sind. Auch sind die Übermittlung in ein Drittland sowie die Löschfristen jeweils gesondert anzugeben

5. Datenschutzfolgeabschätzung

Eine Datenschutzfolgenabschätzung ist nur dann erforderlich, wenn die Verarbeitung ein hohes Risiko für die Rechte und Freiheiten für die betroffene Person zur Folge hat. Dies ist insbesondere dann der Fall, wenn eine umfangreiche Verarbeitung besonderer Kategorie von Daten erfolgt (z.B. Verarbeitung von Gesundheitsdaten) oder wenn systematische und umfassende Bewertungen persönlicher Aspekte vorgenommen werden (z.B. Profiling). Hiervon ist bei Vereinen in aller Regel nicht auszugehen, kann jedoch bei Vereinen der Straffälligenhilfe oder bei Selbsthilfegruppen ausnahmsweise der Fall sein.Weitere Informationen zu diesem Thema finden Sie ab S. 34 unter Punkt 7.3 der Orientierungshilfe „Datenschutz im Verein nach der DS-GVO “ sowie in Kurzpapier Nr. 5 der Datenschutzkonferenz .

6. Auftragsverarbeitung

Wann muss der Verein einen Auftragsverarbeitungsvertrag abschließen?

Wenn Dienstleister Aufgaben für den Verantwortlichen erfüllen (z.B. Adressverwaltung, externe Lohnabrechnung, Wartung IT) und in diesem Zusammenhang mit personenbezogenen Daten umgehen bzw. Einblick in diese haben, so spricht man von einer Auftragsverarbeitung. Eine solche ist auch dann gegeben, wenn ein Verein seine Mitgliederdaten nicht auf einer eigenen EDV-Anlage speichert, sondern hierfür einen Datenbankserver nutzt, den ein Dienstleistungsunternehmen zu diesem Zweck zur Verfügung stellt. Der Verein darf nur Auftragsverarbeiter einsetzen, die eine hinreichende Garantie für eine datenschutzkonforme Datenverarbeitung gewährleisten.Weitere Informationen zu diesem Thema finden Sie ab S. 15 unter Punkt 3.2 der Orientierungshilfe „Datenschutz im Verein nach der DS-GVO“
sowie in Nr. 13 der Datenschutzkonferenz .

Muster Auftragsverarbeitungsvertrag

Ein Muster für einen Auftragsverarbeitungsvertrag findet sich im Anhang

7. Sonstiges

Auf unserem Internetauftritt finden Sie in der Rubrik FAQs unter anderem eine Zusammenstellung der häufigsten Fragen zur „Veröffentlichung von Fotos speziell für Vereine“.

 

Seite online gestellt am 20.08.2025. Inhaltlicher Stand: Juni 2020, Korrektur der Zahl 10 auf 20 bei Ziffer 3a) am 20.8.2025.