Datenschutzerklärung Verein erstellen | Mitgliederdaten

Die Datenschutzerklärung ist eine einseitige Information des Vereins an seine Mitglieder und weitere betroffene Personen, mit der er seiner gesetzlichen Informationspflicht nach Art. 19 revDSG nachkommt. Sie ist kein Vertrag. Eine verbreitete Verwechslung im Vereinsalltag besteht darin, die Erklärung von den Mitgliedern unterschreiben oder "akzeptieren" zu lassen, so wie man es von Cookie-Bannern kennt. Das ist falsch und sogar kontraproduktiv: Eine Datenschutzerklärung wird zur Kenntnis genommen, nicht angenommen. Wer sie als zustimmungspflichtiges Dokument ausgestaltet, suggeriert eine Einwilligung, die das Gesetz für die normale Mitgliederverwaltung gar nicht verlangt.

Zu unterscheiden ist die Datenschutzerklärung vom Bearbeitungsverzeichnis und von der Einwilligungserklärung. Das Verzeichnis ist ein internes Inventar aller Datenbearbeitungen und muss nach aussen nicht publiziert werden; kleinere Vereine sind davon ohnehin weitgehend befreit. Die Einwilligung wiederum braucht es nur in besonderen Fällen, etwa wenn der Verein besonders schützenswerte Personendaten bearbeitet oder Fotos zu Werbezwecken auf Social Media veröffentlicht. Die Datenschutzerklärung deckt den Normalfall ab: Sie erklärt transparent, wer im Verein für die Daten verantwortlich ist, welche Kategorien von Daten erhoben werden, auf welcher Grundlage und an wen sie allenfalls weitergegeben werden. Genau diese Transparenz ist der Kern, den das revidierte Recht stärker gewichtet als früher.

Massgebend ist das revidierte Datenschutzgesetz (revDSG), das am 1. September 2023 zusammen mit der Datenschutzverordnung in Kraft getreten ist. Anders als das alte Recht schützt es ausschliesslich die Daten natürlicher Personen; Daten über den Verein als juristische Person fallen nicht mehr darunter. Für Vereine enthält das Gesetz keine Sonderbestimmungen, sie unterstehen ihm wie jede private Verantwortliche. Der zentrale Pfeiler ist die Informationspflicht nach Art. 19 revDSG: Bei der Beschaffung von Personendaten muss der Verein die betroffene Person vorgängig und angemessen informieren, in der Praxis eben über eine Datenschutzerklärung. Dazu gehören die Identität und die Kontaktdaten des Verantwortlichen, der Bearbeitungszweck und gegebenenfalls die Empfänger der Daten.

Ergänzt wird die Information durch das Auskunftsrecht nach Art. 25 revDSG. Jedes Mitglied kann jederzeit und grundsätzlich kostenlos verlangen zu erfahren, ob und welche Daten der Verein über es bearbeitet, zu welchem Zweck und wie lange. Der Vorstand muss innert dreissig Tagen antworten. Hinzu kommt der Grundsatz der Zweckbindung und Verhältnismässigkeit: Daten dürfen nur so lange aufbewahrt werden, wie sie für den Vereinszweck nötig sind, und sind danach zu löschen oder zu anonymisieren. Diese Löschpflicht ist der Punkt, den Vereine beim Austritt eines Mitglieds am häufigsten übersehen.

Die neuen Strafbestimmungen treffen nicht den Verein, sondern die verantwortliche natürliche Person. Wer vorsätzlich die Informationspflicht verletzt oder eine falsche Auskunft erteilt, kann nach Art. 60 ff. revDSG mit einer Busse bis zu CHF 250 000 belegt werden. Verbindliche Orientierung bietet die offizielle Wegleitung des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten zur Datenbearbeitung durch Vereine. Wer rechtssichere Vereinsdokumente kombinieren will, findet die passenden Statuten und Protokolle in unserer Sammlung an Vorlagen rund um die Vereinsführung.

Der klassische Anlass ist die Gründung oder Modernisierung eines Vereins, bei der die Mitgliederverwaltung auf eine saubere rechtliche Grundlage gestellt wird. Sobald der Verein Beitrittsformulare verteilt, eine Mitgliederliste führt oder einen Newsletter verschickt, greift die Informationspflicht und die Erklärung gehört auf die Website oder ins Beitrittsformular. Ebenso häufig ist der Auslöser eine eigene Vereinswebsite mit Kontaktformular oder Anmeldemaske: Wer online Daten erhebt, muss spätestens dort transparent über die Bearbeitung informieren.

Ein zweiter typischer Fall ist die Digitalisierung der Administration. Sobald ein Verein eine Vereinssoftware, einen Cloud-Speicher oder einen externen Newsletter-Dienst einsetzt, gibt er Daten an einen Auftragsbearbeiter weiter und muss dies in der Erklärung offenlegen. Auch der Wechsel im Vorstand ist ein guter Moment, die Erklärung zu erneuern, weil sich die Kontaktangaben des Verantwortlichen ändern.

Zwei Konstellationen verdienen besondere Aufmerksamkeit. Bearbeitet der Verein besonders schützenswerte Personendaten, etwa Gesundheitsangaben bei einem Behindertensportverein oder die religiöse Ausrichtung bei einem konfessionellen Verein, gelten verschärfte Anforderungen und oft braucht es eine ausdrückliche Einwilligung. Und wer regelmässig Fotos oder Videos von Anlässen publiziert, sollte die Bildrechte und den Veröffentlichungszweck ausdrücklich in der Erklärung regeln, weil Aufnahmen identifizierbarer Personen rechtlich heikel sind. Vereine, die nebenbei Personal anstellen, finden die ergänzenden Dokumente in unseren Vorlagen zum Arbeitsrecht und zur Unternehmensführung.

• Die Angaben zum Verantwortlichen nennen den vollständigen Vereinsnamen, den Sitz und eine erreichbare Kontaktadresse des Vorstands. Nach Art. 19 Abs. 2 revDSG muss die betroffene Person wissen, an wen sie sich mit Fragen oder einem Auskunftsbegehren wenden kann. Eine reine Postfachadresse ohne Ansprechperson genügt in der Praxis selten.
• Die Kategorien der bearbeiteten Daten listen konkret auf, was der Verein erhebt: Name, Adresse, Geburtsdatum, E-Mail, Telefonnummer, Bankverbindung für die Beiträge und je nach Verein Funktionen oder Lizenznummern. Diese Aufzählung schafft die vom Gesetz verlangte Transparenz und zeigt, dass nicht mehr Daten gesammelt werden als nötig.
• Der Bearbeitungszweck verknüpft jede Datenkategorie mit ihrem Grund, also Mitgliederverwaltung, Beitragsinkasso, Versand von Einladungen zur Vereinsversammlung und Erfüllung statutarischer Pflichten. Ohne klar benannten Zweck ist die Bearbeitung angreifbar.
• Die Aufbewahrungs- und Löschfristen legen fest, wie lange Daten nach dem Austritt aufbewahrt werden. Üblich sind zehn Jahre für buchhaltungsrelevante Belege nach Art. 958f OR, während reine Kontaktdaten beim Austritt zu löschen sind.
• Die Empfänger und Auftragsbearbeiter offenbaren, an wen Daten gelangen, etwa an einen Verband, eine Vereinssoftware oder einen Newsletter-Dienst, und ob eine Bekanntgabe ins Ausland erfolgt.
• Die Rechte der betroffenen Person fassen Auskunft, Berichtigung, Löschung und Widerspruch zusammen und nennen die Frist von dreissig Tagen für die Auskunft nach Art. 25 revDSG.

Zürich. Im grössten Vereinskanton der Schweiz sind viele Sport- und Kulturvereine über kantonale Dachverbände organisiert, die ihrerseits Daten weitergeben. Hier lohnt sich eine präzise Auflistung der Empfänger in der Erklärung, weil der Datenfluss vom lokalen Verein über den Kantonalverband bis zum nationalen Verband reicht. Die kantonale Steuerverwaltung Zürich verlangt für die Steuerbefreiung zudem eine saubere Dokumentation, zu der eine konforme Datenschutzpraxis gut passt.

Zug und Genf. In Kantonen mit hoher Dichte internationaler Vereine und Stiftungen ist die Frage der Datenbekanntgabe ins Ausland nach Art. 16 f. revDSG besonders relevant. Wer Mitglieder im Ausland führt oder einen Cloud-Dienst mit Servern ausserhalb der Schweiz nutzt, muss dies ausdrücklich regeln. In Genf empfiehlt sich wegen der zweisprachigen Mitgliedschaft oft eine französische Fassung parallel zur deutschen.

Tessin und Waadt. Auch hier gilt das eidgenössische revDSG unverändert, da der Datenschutz Bundessache ist. Praktisch stellt sich vor allem die Sprachfrage: Ein Verein mit überwiegend italienisch- oder französischsprachigen Mitgliedern sollte die Erklärung in der Mitgliedersprache bereitstellen, damit die Information nach Art. 19 revDSG tatsächlich "angemessen" erfolgt. Eine deutsche Erklärung für eine welsche Mitgliedschaft erfüllt die Informationspflicht nur formal, nicht inhaltlich.

Sie beginnen mit den Grunddaten des Vereins, also Name, Sitz und der Kontaktadresse des Vorstands, die als Verantwortlicher auftritt. Danach wählen Sie aus, welche Datenkategorien Ihr Verein tatsächlich bearbeitet, und die Vorlage passt die Aufzählung entsprechend an, damit Sie keine Felder führen, die Sie gar nicht erheben. Im nächsten Schritt ordnen Sie jedem Datentyp einen Zweck zu, von der Mitgliederverwaltung über das Beitragsinkasso bis zum Versand von Einladungen. Anschliessend halten Sie fest, welche Dienstleister oder Verbände als Empfänger auftreten und ob Daten ins Ausland gelangen. Zum Schluss bestimmen Sie die Aufbewahrungsfristen und die Löschregel beim Austritt, womit der heikelste Punkt sauber abgedeckt ist. Das fertige Dokument laden Sie als PDF und Word herunter, veröffentlichen es auf der Vereinswebsite und legen es dem Beitrittsformular bei. Wenn Sie parallel Ihre Statuten oder Protokolle aktualisieren, finden Sie die passenden Muster in den Dokumenten für Gründung und Führung Ihres Vereins.

Der mit Abstand häufigste Fehler ist das vollständige Fehlen einer Erklärung. Viele Vorstände gehen davon aus, ein kleiner Quartierverein sei zu unbedeutend für das Datenschutzrecht, doch die Informationspflicht nach Art. 19 revDSG kennt keine Mindestgrösse. Ebenso verbreitet ist die bereits erwähnte Verwechslung mit einem Vertrag: Wer die Erklärung unterschreiben lässt, schafft Unklarheit über die Rechtsgrundlage und verlangt eine Einwilligung, die für die ordentliche Mitgliederverwaltung gar nicht nötig ist. Ein dritter Klassiker ist die Textbaustein-Erklärung aus dem Internet, die nie an den eigenen Verein angepasst wird und deshalb Datenkategorien oder Empfänger nennt, die es im Verein nicht gibt.

Heikel wird es bei der Löschung. Vereine bewahren Mitgliederdaten oft auf unbestimmte Zeit auf, obwohl die Daten beim Austritt grundsätzlich zu löschen sind, soweit keine gesetzliche Aufbewahrungspflicht entgegensteht. Wer die Löschung beim Austritt nicht regelt, verstösst gegen den Grundsatz der Zweckbindung. Schliesslich unterschätzen viele Vorstände die Weitergabe an Auftragsbearbeiter: Eine Vereinssoftware, ein Newsletter-Dienst oder ein externer Buchhalter bearbeitet Mitgliederdaten, was in der Erklärung offengelegt und mit dem Dienstleister vertraglich geregelt werden muss. Für die mandatsbezogenen Dokumente des Vorstands stehen ergänzend unsere Muster für Annahmeerklärungen von Vorstandsmitgliedern bereit.