Datenschutzerklärung Verein Muster | DSGVO-konform & rechtssicher

Eine Datenschutzerklärung im Verein ist die schriftliche Erfüllung der Transparenzpflicht, die jedem Verantwortlichen nach Art. 12 und 13 DSGVO auferlegt wird. Sobald ein Verein personenbezogene Daten einer Person erhebt, also spätestens mit dem Beitritt eines neuen Mitglieds, muss er zum Zeitpunkt der Datenerhebung über Zwecke, Rechtsgrundlagen, Empfänger und Speicherdauer informieren. Das gilt unabhängig davon, ob der Verein groß oder klein, ehrenamtlich oder hauptamtlich organisiert ist. Schon ein Sportverein mit zwanzig Mitgliedern fällt vollständig unter die Verordnung.

Wichtig ist die Abgrenzung zwischen zwei Dokumenten, die häufig verwechselt werden. Die Datenschutzerklärung informiert die betroffenen Personen über deren Rechte und die Datenverarbeitung, sie ist nach außen gerichtet und braucht keine Unterschrift. Das Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO dagegen ist ein internes Nachweisdokument, das der Vorstand auf Anfrage der Aufsichtsbehörde vorlegen muss. Beide Dokumente sind getrennt zu führen, auch wenn sie inhaltlich auf denselben Verarbeitungen aufbauen. Die hier angebotene Vorlage deckt die Informationspflicht ab, also den nach außen sichtbaren Teil, den Ihre Mitglieder und Webseitenbesucher tatsächlich lesen. Eine rechtssichere Vereinssatzung als Word- und PDF-Vorlage kann ergänzend Datenschutzregelungen enthalten, ersetzt die gesonderte Erklärung aber nicht.

Maßgeblich ist die Datenschutz-Grundverordnung (DSGVO), ergänzt durch das Bundesdatenschutzgesetz (BDSG). Die zentrale Norm für dieses Dokument ist Art. 13 DSGVO, der den Katalog der Pflichtangaben festlegt: Name und Kontaktdaten des Verantwortlichen, gegebenenfalls des Datenschutzbeauftragten, die Zwecke und Rechtsgrundlagen der Verarbeitung, etwaige Empfänger, die Speicherdauer sowie sämtliche Betroffenenrechte. Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO ist beim eingetragenen Verein der Vorstand nach § 26 BGB, der den Verein gesetzlich vertritt und für die Einhaltung der datenschutzrechtlichen Vorgaben einsteht.

Die Rechtsgrundlagen ergeben sich aus Art. 6 Abs. 1 DSGVO. Für die laufende Mitgliederverwaltung greift regelmäßig lit. b (Erfüllung des Mitgliedschaftsvertrags beziehungsweise der Satzung), sodass eine gesonderte Einwilligung hier weder nötig noch sinnvoll ist. Eine Einwilligung nach lit. a wird nur für Verarbeitungen gebraucht, die über die Mitgliedschaft hinausgehen, etwa die Veröffentlichung von Fotos oder der Austausch von Kontaktlisten zwischen Mitgliedern. Eine Einwilligung kann jederzeit widerrufen werden, weshalb die Mitgliederverwaltung niemals darauf gestützt werden sollte. Berechtigte Interessen des Vereins fallen unter lit. f. Die zuständigen Aufsichtsbehörden sind die Landesdatenschutzbeauftragten. Eine praxisnahe Hilfestellung bietet die Orientierungshilfe Datenschutz im Verein des Landesbeauftragten für Datenschutz Baden-Württemberg, die Vorstände bei der korrekten Umsetzung der Informationspflichten unterstützt. Wer ein Mitglied über eine rechtssichere Beitrittserklärung nach deutschem Vereinsrecht aufnimmt, sollte den Datenschutzhinweis bereits dort verankern.

Der häufigste Anlass ist die Aufnahme neuer Mitglieder. Spätestens wenn ein Beitrittsformular ausgefüllt wird, entsteht die Pflicht, über die Datenverarbeitung zu informieren, und genau dann muss die Erklärung verfügbar sein. Der zweite große Anwendungsfall ist die Vereinswebseite: Sobald dort ein Kontaktformular, ein Anmeldebereich, ein Newsletter oder schlicht Server-Logfiles existieren, verlangt Art. 13 DSGVO eine veröffentlichte Datenschutzerklärung. Viele Vereine unterschätzen, dass bereits der reine Webseitenbetrieb mit IP-Verarbeitung diese Pflicht auslöst.

Hinzu kommen Vereine, die einen Newsletter oder E-Mail-Werbung versenden, denn hier treffen Datenschutz- und Wettbewerbsrecht zusammen und die Transparenzpflicht wiegt besonders schwer. Auch Vereine, die personenbezogene Daten an Landesverbände oder Dachorganisationen weitergeben, müssen diese Empfänger ausdrücklich benennen. Ein erster Edge Case verdient besondere Aufmerksamkeit: Veröffentlicht der Verein Namen, Funktion und Telefonnummer von Vorstandsmitgliedern oder Übungsleitern auf seiner Homepage, ist diese Verarbeitung gesondert in der Erklärung aufzuführen. Ein zweiter betrifft die Auftragsverarbeitung: Wer eine Vereinssoftware, einen Cloud-Dienst oder einen externen Mailversender nutzt, gibt Daten weiter und muss dies offenlegen. Fehlt die Erklärung in einem dieser Fälle, droht eine Beanstandung der Aufsichtsbehörde. Die Geschäftsordnung für den Vorstand des Vereins kann die interne Zuständigkeit für den Datenschutz klar einer Person zuweisen.

Die Vorlage ist als modulares Muster aufgebaut, das alle Pflichtangaben des Art. 13 DSGVO abdeckt und sich an die tatsächlichen Verarbeitungen Ihres Vereins anpassen lässt.

• Die Angaben zum Verantwortlichen nennen den vollständigen Vereinsnamen, die Anschrift und den vertretungsberechtigten Vorstand nach § 26 BGB. Damit weiß jede betroffene Person sofort, an wen sie sich mit Auskunfts- oder Löschanfragen wenden kann.
• Die Zwecke und Rechtsgrundlagen der Verarbeitung werden für jede Datenkategorie einzeln zugeordnet, etwa Mitgliederverwaltung auf Art. 6 Abs. 1 lit. b, Öffentlichkeitsarbeit auf lit. f und freiwillige Veröffentlichungen auf lit. a. Diese saubere Trennung ist der Kern einer rechtssicheren Erklärung.
• Die Speicher- und Löschfristen legen fest, wie lange Mitgliederdaten nach Beendigung der Mitgliedschaft aufbewahrt werden, unter Berücksichtigung steuer- und handelsrechtlicher Aufbewahrungspflichten. Daten, die nicht mehr benötigt werden, sind zu löschen.
• Die Empfänger und Auftragsverarbeiter wie Banken, Landesverbände oder Softwaredienstleister werden transparent benannt, damit die Weitergabe für die Mitglieder nachvollziehbar bleibt.
• Die Betroffenenrechte aus Kapitel III der DSGVO, also Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch, werden vollständig aufgeführt, ebenso das Beschwerderecht bei der Aufsichtsbehörde.

Das Datenschutzrecht ist in Deutschland durch die DSGVO und das BDSG bundesweit einheitlich geregelt, doch die Aufsicht liegt bei den Bundesländern, und die Landesdatenschutzbeauftragten setzen teils unterschiedliche Schwerpunkte. Diese föderale Aufsichtsstruktur hat unmittelbare praktische Folgen für Vereine.

Baden-Württemberg nimmt eine Vorreiterrolle ein. Der dortige Landesbeauftragte stellt seit Februar 2021 einen Online-Generator für Datenschutzinformationen speziell für Vereine bereit und hat eine ausführliche Orientierungshilfe veröffentlicht. Vereine mit Sitz in diesem Bundesland sollten den dort erzeugten Mustertext als Ausgangspunkt nutzen und ihn an ihre konkreten Verarbeitungen anpassen.

Bayern verfügt mit dem Bayerischen Landesamt für Datenschutzaufsicht (BayLDA) über eine eigene, sehr aktive Behörde, die regelmäßig zu Vereinsthemen Stellung nimmt. Sie betont, dass die Information nach Art. 13 DSGVO keine Unterschrift der Mitglieder erfordert, da es sich um eine reine Informationspflicht und nicht um eine Einwilligung handelt. Vereine sollten daher die Datenschutzhinweise auf dem Beitrittsformular abdrucken oder per Link auf die Webseite verweisen.

Niedersachsen stellt über den Landessportbund praxisnahe Muster zur Erfüllung der Informationspflichten nach Art. 13 und 14 DSGVO bereit, die besonders für Sportvereine relevant sind. In den Stadtstaaten Berlin, Hamburg und Bremen sind die Behörden oft schneller mit Beschwerden konfrontiert, weil die Vereinsdichte hoch ist. Unabhängig vom Bundesland gilt: Der Inhaltskatalog des Art. 13 DSGVO ist überall identisch, lediglich die zuständige Aufsichtsbehörde und deren Musterhilfen unterscheiden sich. Prüfen Sie vor der Veröffentlichung stets, welche Landesbehörde für den Sitz Ihres Vereins zuständig ist.

Sie beginnen mit den Stammdaten Ihres Vereins, also Name, Sitz und der vertretungsberechtigte Vorstand, die als Verantwortlicher im Sinne der DSGVO eingetragen werden. Anschließend wählen Sie aus, welche Datenverarbeitungen in Ihrem Verein tatsächlich stattfinden, etwa Mitgliederverwaltung, Beitragseinzug per Lastschrift, Newsletter oder Veröffentlichung von Fotos. Das Formular blendet daraufhin nur die passenden Textbausteine ein, sodass Sie keine Verarbeitung beschreiben, die es bei Ihnen gar nicht gibt. Für jede ausgewählte Kategorie ergänzen Sie die Speicherdauer und benennen etwaige Empfänger wie Banken oder Auftragsverarbeiter. Zum Schluss tragen Sie ein, ob ein Datenschutzbeauftragter bestellt ist, was bei kleineren Vereinen selten der Fall sein muss. Das fertige Dokument laden Sie als Word- und PDF-Datei herunter, binden es auf der Vereinswebseite ein und legen es dem Beitrittsformular bei. Alle Vorlagen rund um Gründung und Verwaltung finden Sie gebündelt in der Kategorie Verein auf Captain.Legal, sodass Sie die Datenschutzerklärung direkt mit den übrigen Vereinsdokumenten kombinieren können.

Der mit Abstand häufigste Fehler ist, die Mitgliederverwaltung auf eine Einwilligung zu stützen. Das klingt zunächst vorsichtig, ist aber praxisuntauglich: Widerruft ein Mitglied die Einwilligung, darf der Verein seine Daten nicht mehr verarbeiten, was faktisch nur den Austritt übrig lässt. Richtig ist die Stützung auf Art. 6 Abs. 1 lit. b DSGVO, also den Mitgliedschaftsvertrag. Ein zweiter klassischer Fehler ist die Verwechslung von Datenschutzerklärung und Verarbeitungsverzeichnis, mit der Folge, dass der Verein zwar eine Webseiten-Erklärung hat, aber das interne Verzeichnis nach Art. 30 DSGVO fehlt, das die Behörde anfordern kann.

Ebenso verbreitet ist das Vergessen der Auftragsverarbeiter. Wer eine Vereinssoftware oder einen Cloud-Dienst nutzt, gibt Daten weiter und muss dies offenlegen sowie einen Auftragsverarbeitungsvertrag schließen. Viele Vorstände unterschätzen außerdem, dass schon der bloße Webseitenbetrieb mit Server-Logfiles eine veröffentlichte Erklärung verlangt, und vergessen, die auf der Homepage genannten Vorstandsmitglieder gesondert aufzuführen. Schließlich wird oft die Speicherdauer pauschal mit unbegrenzt angegeben, obwohl Daten zu löschen sind, sobald der Zweck entfällt. Eine Erklärung mit falschen oder fehlenden Pflichtangaben ist schlimmer als keine, weil sie ein trügerisches Gefühl der Rechtssicherheit erzeugt.