Mitgliederverwaltung mit Excel
Wann die Tabelle genügt, wo es riskant wird — und wie der Umstieg auf eine Vereinssoftware ohne Datenverlust gelingt.
Lesezeit ca. 6 Minuten
Rechtsgrundlagen, Löschfristen, AV-Vertrag: Was der Datenschutz von Vereinen wirklich verlangt — ohne Panik, mit Praxisbeispielen.
Die DSGVO gilt auch für den kleinsten Verein — aber sie verlangt weniger Papierkram, als viele befürchten. Wer Mitgliederdaten mit gesundem Menschenverstand behandelt, ist schon nah dran; der Rest ist eine überschaubare Liste konkreter Pflichten. Dieser Ratgeber geht sie der Reihe nach durch — praxisnah und ohne Panik.
Hinweis: Dieser Artikel erklärt die Rechtslage allgemein und ersetzt keine Rechtsberatung im Einzelfall.
Der wichtigste Punkt zuerst: Für die normale Mitgliederverwaltung brauchen Sie keine Einwilligung. Die Verarbeitung ist zur Durchführung des Mitgliedschaftsverhältnisses erforderlich (Art. 6 Abs. 1 lit. b DSGVO) — das deckt Stammdaten, Beitragskonto und Bankverbindung für den Lastschrifteinzug ab. Eine Einwilligung brauchen Sie nur dort, wo die Verarbeitung über die Mitgliedschaft hinausgeht:
Einwilligungen müssen freiwillig, dokumentiert und jederzeit widerruflich sein — am einfachsten als separate Ankreuzfelder im Aufnahmeformular, nie als Sammelklausel.
Erheben Sie nur, was für die Mitgliedschaft erforderlich ist: Name, Anschrift, Kontaktdaten, Geburtsdatum (für Ermäßigungen und Jugendschutz), Eintrittsdatum, Beitragsklasse — und bei Lastschrifteinzug IBAN und Mandat. Berufsangabe, Arbeitgeber oder ein Foto sind nur mit gutem Grund oder Einwilligung zulässig. Faustregel: Jedes Feld im Aufnahmeformular muss eine Frage beantworten können — „Wofür brauchen wir das?“
Neue Mitglieder müssen bei der Datenerhebung informiert werden: wer verantwortlich ist, zu welchen Zwecken die Daten verarbeitet werden, auf welcher Rechtsgrundlage, wie lange sie gespeichert bleiben, an wen sie weitergegeben werden und welche Rechte die Mitglieder haben. In der Praxis genügt ein Datenschutzhinweis-Blatt als Anlage zum Aufnahmeformular oder ein Link auf die Datenschutzerklärung der Vereins-Website.
Das oft übersehene Pflichtdokument: eine Tabelle, die je Verarbeitung (Mitgliederverwaltung, Beitragseinzug, Newsletter, Website …) Zweck, Datenkategorien, Empfänger, Löschfristen und Schutzmaßnahmen festhält. Die formale Ausnahme für kleine Organisationen greift bei Vereinen praktisch nie, weil die Mitgliederverwaltung regelmäßig und nicht nur gelegentlich erfolgt. Die gute Nachricht: Für einen typischen Verein passt das Verzeichnis auf zwei Seiten, und die Aufsichtsbehörden der Länder stellen kostenlose Muster bereit.
Innerhalb des Vereins gilt das Rollenprinzip: Die Schatzmeisterin braucht Bankdaten, der Übungsleiter nur seine Teilnehmerliste, das einzelne Vorstandsmitglied nicht zwingend alles. Genau hier scheitern Tabellen-Lösungen strukturell — eine Datei kennt keine Rollen (mehr dazu im Excel-Ratgeber). Vereinssoftware mit Rechteverwaltung setzt das Prinzip technisch durch: Jede Rolle sieht nur ihren Ausschnitt (so löst es VereinPilot). Und: Mitgliederlisten haben in offenen E-Mail-Verteilern und WhatsApp-Gruppen nichts verloren.
Nach dem Austritt gilt: löschen, was nicht mehr gebraucht wird — aber nicht alles darf sofort weg. Buchführungsunterlagen wie Beitragsabrechnungen und Belege unterliegen steuerlichen Aufbewahrungsfristen (Buchungsbelege acht Jahre, Bücher und Jahresabschlüsse zehn Jahre, Geschäftsbriefe sechs Jahre). Praktikables Vorgehen:
Sobald ein Dienstleister Mitgliederdaten für Sie verarbeitet — Vereinssoftware, Cloud-Speicher, Newsletter-Dienst —, braucht es einen Auftragsverarbeitungsvertrag. Er regelt, dass der Anbieter die Daten nur nach Ihrer Weisung verarbeitet und angemessen schützt. Seriöse Anbieter legen den AV-Vertrag ungefragt vor; bei VereinPilot gehört er für jeden Kunden zum Vertrag. Fragen Sie außerdem nach dem Hosting-Standort und danach, ob Ihre Daten in einer eigenen Datenbank oder in einer Sammelplattform mit tausenden anderen Vereinen liegen.
Ein verlorener Laptop mit der Mitgliederliste, ein Newsletter mit offenem Verteiler, ein gehacktes Postfach: Solche Pannen müssen Sie innerhalb von 72 Stunden der Datenschutz-Aufsichtsbehörde melden, wenn ein Risiko für die Betroffenen besteht. Legen Sie vorab fest, wer im Vorstand solche Fälle bewertet und meldet — im Ernstfall ist keine Zeit, Zuständigkeiten zu klären.
In den meisten Fällen nicht: Pflicht wird ein Datenschutzbeauftragter erst, wenn in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind (§ 38 BDSG). Verantwortlich für den Datenschutz bleibt aber unabhängig davon immer der Vorstand.
Am sichersten fahren Sie mit einer Einwilligung, z. B. im Aufnahmeformular oder per Hinweis bei der Anmeldung zur Veranstaltung. Für Übersichtsaufnahmen öffentlicher Veranstaltungen lässt sich oft ein berechtigtes Interesse begründen — bei Porträtaufnahmen und generell bei Kindern sollten Sie immer eine ausdrückliche Einwilligung einholen.
Nicht routinemäßig. Eine Herausgabe kommt in Betracht, wenn ein Mitglied ein berechtigtes Interesse nachweist — etwa um zusammen mit anderen eine Mitgliederversammlung einzuberufen. Auch dann gilt: nur die dafür nötigen Daten weitergeben, nicht die komplette Datei mit Bankverbindungen.
Daten, die nur für die Mitgliederverwaltung nötig waren, werden nach dem Austritt gelöscht. Buchhaltungsrelevante Daten wie Beitragszahlungen unterliegen steuerlichen Aufbewahrungsfristen von mehreren Jahren — solche Datensätze sperren Sie für die weitere Nutzung und löschen sie nach Fristablauf.
Verboten ist Excel nicht — aber der Verein bleibt für die Sicherheit verantwortlich. Eine unverschlüsselte Datei auf einem privaten Rechner, die per E-Mail weitergereicht wird, erfüllt die Anforderungen an technische und organisatorische Maßnahmen kaum. Mindeststandard wären Verschlüsselung, Zugriffsbeschränkung und ein klarer Löschprozess.
Wann die Tabelle genügt, wo es riskant wird — und wie der Umstieg auf eine Vereinssoftware ohne Datenverlust gelingt.
Lesezeit ca. 6 Minuten
Von der Gläubiger-ID über das Mandat bis zur pain.008-Datei fürs Online-Banking: der komplette Weg zum Lastschrifteinzug, verständlich erklärt.
Lesezeit ca. 9 Minuten
12 Kriterien, ein Vergleich der Betriebsmodelle und ein Fragenkatalog für Anbietergespräche — für eine Entscheidung, die Jahre trägt.
Lesezeit ca. 8 Minuten
VereinPilot bildet Mitglieder, Beiträge mit SEPA-Lastschrift, Buchhaltung und Events in einem System ab — als eigene Instanz, gehostet in Deutschland, Betrieb ab 19 €/Monat.