Zum Inhalt springen
VereinPilot

DSGVO im Verein: Mitgliederdaten rechtssicher verwalten

Rechtsgrundlagen, Löschfristen, AV-Vertrag: Was der Datenschutz von Vereinen wirklich verlangt — ohne Panik, mit Praxisbeispielen.

Lesezeit ca. 8 Minuten  ·  Stand: 5. Juli 2026

Die DSGVO gilt auch für den kleinsten Verein — aber sie verlangt weniger Papierkram, als viele befürchten. Wer Mitgliederdaten mit gesundem Menschenverstand behandelt, ist schon nah dran; der Rest ist eine überschaubare Liste konkreter Pflichten. Dieser Ratgeber geht sie der Reihe nach durch — praxisnah und ohne Panik.

Hinweis: Dieser Artikel erklärt die Rechtslage allgemein und ersetzt keine Rechtsberatung im Einzelfall.

Welche Rechtsgrundlage erlaubt was?

Der wichtigste Punkt zuerst: Für die normale Mitgliederverwaltung brauchen Sie keine Einwilligung. Die Verarbeitung ist zur Durchführung des Mitgliedschaftsverhältnisses erforderlich (Art. 6 Abs. 1 lit. b DSGVO) — das deckt Stammdaten, Beitragskonto und Bankverbindung für den Lastschrifteinzug ab. Eine Einwilligung brauchen Sie nur dort, wo die Verarbeitung über die Mitgliedschaft hinausgeht:

Einwilligungen müssen freiwillig, dokumentiert und jederzeit widerruflich sein — am einfachsten als separate Ankreuzfelder im Aufnahmeformular, nie als Sammelklausel.

Datenminimierung: Nur erheben, was Sie brauchen

Erheben Sie nur, was für die Mitgliedschaft erforderlich ist: Name, Anschrift, Kontaktdaten, Geburtsdatum (für Ermäßigungen und Jugendschutz), Eintrittsdatum, Beitragsklasse — und bei Lastschrifteinzug IBAN und Mandat. Berufsangabe, Arbeitgeber oder ein Foto sind nur mit gutem Grund oder Einwilligung zulässig. Faustregel: Jedes Feld im Aufnahmeformular muss eine Frage beantworten können — „Wofür brauchen wir das?“

Informationspflichten beim Beitritt (Art. 13)

Neue Mitglieder müssen bei der Datenerhebung informiert werden: wer verantwortlich ist, zu welchen Zwecken die Daten verarbeitet werden, auf welcher Rechtsgrundlage, wie lange sie gespeichert bleiben, an wen sie weitergegeben werden und welche Rechte die Mitglieder haben. In der Praxis genügt ein Datenschutzhinweis-Blatt als Anlage zum Aufnahmeformular oder ein Link auf die Datenschutzerklärung der Vereins-Website.

Verzeichnis von Verarbeitungstätigkeiten (Art. 30)

Das oft übersehene Pflichtdokument: eine Tabelle, die je Verarbeitung (Mitgliederverwaltung, Beitragseinzug, Newsletter, Website …) Zweck, Datenkategorien, Empfänger, Löschfristen und Schutzmaßnahmen festhält. Die formale Ausnahme für kleine Organisationen greift bei Vereinen praktisch nie, weil die Mitgliederverwaltung regelmäßig und nicht nur gelegentlich erfolgt. Die gute Nachricht: Für einen typischen Verein passt das Verzeichnis auf zwei Seiten, und die Aufsichtsbehörden der Länder stellen kostenlose Muster bereit.

Zugriff und Weitergabe: Wer darf was sehen?

Innerhalb des Vereins gilt das Rollenprinzip: Die Schatzmeisterin braucht Bankdaten, der Übungsleiter nur seine Teilnehmerliste, das einzelne Vorstandsmitglied nicht zwingend alles. Genau hier scheitern Tabellen-Lösungen strukturell — eine Datei kennt keine Rollen (mehr dazu im Excel-Ratgeber). Vereinssoftware mit Rechteverwaltung setzt das Prinzip technisch durch: Jede Rolle sieht nur ihren Ausschnitt (so löst es VereinPilot). Und: Mitgliederlisten haben in offenen E-Mail-Verteilern und WhatsApp-Gruppen nichts verloren.

Löschkonzept und Aufbewahrungsfristen

Nach dem Austritt gilt: löschen, was nicht mehr gebraucht wird — aber nicht alles darf sofort weg. Buchführungsunterlagen wie Beitragsabrechnungen und Belege unterliegen steuerlichen Aufbewahrungsfristen (Buchungsbelege acht Jahre, Bücher und Jahresabschlüsse zehn Jahre, Geschäftsbriefe sechs Jahre). Praktikables Vorgehen:

  1. Beim Austritt die aktive Nutzung beenden (keine Einladungen, keine Newsletter)
  2. Buchhaltungsrelevante Daten sperren und mit Löschdatum versehen
  3. Alles Übrige zeitnah löschen — auch in Backups-Prozessen und auf lokalen Kopien
  4. Ehemalige nur mit ausdrücklicher Einwilligung weiter kontaktieren (Alumni-Liste)

Software und Cloud: der AV-Vertrag (Art. 28)

Sobald ein Dienstleister Mitgliederdaten für Sie verarbeitet — Vereinssoftware, Cloud-Speicher, Newsletter-Dienst —, braucht es einen Auftragsverarbeitungsvertrag. Er regelt, dass der Anbieter die Daten nur nach Ihrer Weisung verarbeitet und angemessen schützt. Seriöse Anbieter legen den AV-Vertrag ungefragt vor; bei VereinPilot gehört er für jeden Kunden zum Vertrag. Fragen Sie außerdem nach dem Hosting-Standort und danach, ob Ihre Daten in einer eigenen Datenbank oder in einer Sammelplattform mit tausenden anderen Vereinen liegen.

Wenn etwas schiefgeht: Datenpannen

Ein verlorener Laptop mit der Mitgliederliste, ein Newsletter mit offenem Verteiler, ein gehacktes Postfach: Solche Pannen müssen Sie innerhalb von 72 Stunden der Datenschutz-Aufsichtsbehörde melden, wenn ein Risiko für die Betroffenen besteht. Legen Sie vorab fest, wer im Vorstand solche Fälle bewertet und meldet — im Ernstfall ist keine Zeit, Zuständigkeiten zu klären.

Häufige Fragen zur DSGVO im Verein

Braucht unser Verein einen Datenschutzbeauftragten?

In den meisten Fällen nicht: Pflicht wird ein Datenschutzbeauftragter erst, wenn in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind (§ 38 BDSG). Verantwortlich für den Datenschutz bleibt aber unabhängig davon immer der Vorstand.

Dürfen wir Fotos vom Vereinsfest veröffentlichen?

Am sichersten fahren Sie mit einer Einwilligung, z. B. im Aufnahmeformular oder per Hinweis bei der Anmeldung zur Veranstaltung. Für Übersichtsaufnahmen öffentlicher Veranstaltungen lässt sich oft ein berechtigtes Interesse begründen — bei Porträtaufnahmen und generell bei Kindern sollten Sie immer eine ausdrückliche Einwilligung einholen.

Dürfen wir die Mitgliederliste an alle Mitglieder herausgeben?

Nicht routinemäßig. Eine Herausgabe kommt in Betracht, wenn ein Mitglied ein berechtigtes Interesse nachweist — etwa um zusammen mit anderen eine Mitgliederversammlung einzuberufen. Auch dann gilt: nur die dafür nötigen Daten weitergeben, nicht die komplette Datei mit Bankverbindungen.

Wie lange dürfen wir Daten ausgetretener Mitglieder aufbewahren?

Daten, die nur für die Mitgliederverwaltung nötig waren, werden nach dem Austritt gelöscht. Buchhaltungsrelevante Daten wie Beitragszahlungen unterliegen steuerlichen Aufbewahrungsfristen von mehreren Jahren — solche Datensätze sperren Sie für die weitere Nutzung und löschen sie nach Fristablauf.

Ist eine Excel-Liste auf dem Privat-PC des Schatzmeisters erlaubt?

Verboten ist Excel nicht — aber der Verein bleibt für die Sicherheit verantwortlich. Eine unverschlüsselte Datei auf einem privaten Rechner, die per E-Mail weitergereicht wird, erfüllt die Anforderungen an technische und organisatorische Maßnahmen kaum. Mindeststandard wären Verschlüsselung, Zugriffsbeschränkung und ein klarer Löschprozess.

Weiterlesen

Diese Ratgeber passen dazu

🧮

Mitgliederverwaltung mit Excel

Wann die Tabelle genügt, wo es riskant wird — und wie der Umstieg auf eine Vereinssoftware ohne Datenverlust gelingt.

Lesezeit ca. 6 Minuten

🏦

SEPA-Lastschrift einrichten

Von der Gläubiger-ID über das Mandat bis zur pain.008-Datei fürs Online-Banking: der komplette Weg zum Lastschrifteinzug, verständlich erklärt.

Lesezeit ca. 9 Minuten

Vereinssoftware auswählen

12 Kriterien, ein Vergleich der Betriebsmodelle und ein Fragenkatalog für Anbietergespräche — für eine Entscheidung, die Jahre trägt.

Lesezeit ca. 8 Minuten

Diese Aufgaben kann Ihnen Software abnehmen

VereinPilot bildet Mitglieder, Beiträge mit SEPA-Lastschrift, Buchhaltung und Events in einem System ab — als eigene Instanz, gehostet in Deutschland, Betrieb ab 19 €/Monat.