verein.xhub Logoverein.xhub
Zurück zur Übersicht
Recht & DSGVO22. April 20269 Min. Lesezeit

DSGVO im Verein: Praktischer Leitfaden 2026

Welche Daten dürfen wir speichern? Wann müssen wir löschen? Wie sieht ein AVV aus? Der vollständige Leitfaden für Vereinsvorstände — ohne Juristendeutsch.

Der Datenschutz im Verein wirkt komplex — bis man weiß, welche fünf Punkte wirklich zählen. Dieser Leitfaden geht durch die Pflichten des Vorstands, ohne juristisches Fachchinesisch.

1. Was die DSGVO für deinen Verein bedeutet

Sobald ihr Mitgliederlisten, Beitritts­erklärungen oder E-Mail-Verteiler führt, verarbeitet ihr personen­bezogene Daten. Damit seid ihr nach der Datenschutz-Grund­verordnung (DSGVO) der Verantwortliche. Das gilt für jeden eingetragenen Verein in Deutschland — egal ob Sport-, Musik- oder Schützenverein.

Die fünf wichtigsten Pflichten:

  • Verzeichnis von Verarbeitungstätigkeiten (VVT) nach Art. 30 DSGVO
  • Auftragsverarbeitungsvertrag (AVV) mit jedem Dienstleister, der Daten verarbeitet (Art. 28)
  • Auskunfts- und Löschrechte der Mitglieder umsetzen (Art. 15, 17)
  • Technische und organisatorische Maßnahmen (TOM) zur Datensicherheit (Art. 32)
  • Datenschutzerklärung auf der Vereins-Website (Art. 13)

2. Welche Daten dürft ihr speichern?

Grundsätzlich nur, was zur Erfüllung des Vereinszwecks erforderlich ist. Für ein Mitgliederverzeichnis nach §24 BGB sind das:

  • Name, Anschrift, Geburtsdatum
  • Eintrittsdatum, Status (aktiv / passiv)
  • Beitragspflicht und Bankverbindung (sofern SEPA-Mandat)
  • Funktion im Verein (Vorstand, Trainer, etc.)

Heikel sind besondere Kategorien nach Art. 9 DSGVO — etwa Gesundheitsdaten (Allergien, Atteste) oder religiöse Mitgliedschaft. Hier braucht ihr eine ausdrückliche Einwilligung.

3. Auftragsverarbeitungsvertrag (AVV) — wann und wie?

Ein AVV ist Pflicht, sobald ein Dienstleister im euren Auftrag personen­bezogene Daten verarbeitet. Klassische Beispiele:

  • Vereinssoftware (z. B. verein.xhub, WISO MeinVerein)
  • E-Mail-Versand­dienste (z. B. Brevo, Mailchimp)
  • Cloud-Speicher (z. B. Google Drive, Dropbox)
  • Hosting-Provider der Vereins-Website

Der AVV muss vor Beginn der Verarbeitung abgeschlossen sein. Bei verein.xhub geht das beim Sign-up in 30 Sekunden online — einmal akzeptiert und das PDF liegt dauerhaft im Vereinsbüro zum Download.

Tipp: Sub-Verarbeiter prüfen

Jeder gute SaaS-Anbieter veröffentlicht eine Liste seiner Sub-Verarbeiter (Hetzner, Stripe, etc.) und gibt euch ein Widerspruchs­recht bei neuen. Fehlt diese Transparenz, ist das ein rotes Tuch.

4. Auskunfts- und Löschrechte umsetzen

Mitglieder können jederzeit erfragen, welche Daten ihr über sie speichert (Art. 15) und Löschung verlangen (Art. 17). Ihr habt einen Monat Zeit, kostenlos zu antworten.

Praxis-Tipp:

  • Vereins­software nutzen, die per Klick einen Daten­export erzeugt
  • Lösch­konzept dokumentieren: 10 Jahre für Buchungen (HGB), nach Austritt auto-anonymisieren
  • Standard-E-Mail-Vorlage für Auskunfts­anfragen vorbereiten

5. Was passiert bei einer Datenpanne?

Geht einem Vorstandsmitglied der USB-Stick mit Mitgliederdaten verloren, oder wird das Vereinspostfach gehackt: 72 Stunden Frist zur Meldung an die Aufsichts­behörde nach Art. 33 DSGVO.

Vorbereitung ist alles:

  • Notfall-Kontakt der zuständigen Landes­datenschutz­behörde im Vereinsbüro hinterlegen
  • Bei kritischen Pannen: betroffene Mitglieder direkt informieren (Art. 34)
  • Lieber eine Meldung zu viel als zu wenig — Aufsichts­behörden sind aktuell verständnis­voll bei Ehrenamt

Checkliste für deinen Vorstand

Konkrete erste Schritte — in dieser Reihenfolge:

  1. VVT erstellen (Excel-Vorlage reicht)
  2. AVV mit allen Software-Anbietern abschließen
  3. Datenschutz­erklärung auf Vereins-Website prüfen lassen
  4. Mitglieder über ihre Rechte informieren (in der nächsten JHV)
  5. Lösch­konzept dokumentieren
  6. 2FA für Vorstands-Accounts aktivieren

Wie verein.xhub hilft

verein.xhub erfüllt die DSGVO-Anforderungen out-of-the-box:

  • Hosting in Frankfurt (Hetzner DE), kein US-Cloud-Risiko
  • AVV in 30 Sekunden online unterzeichenbar
  • Audit-Log für alle Daten­änderungen
  • 2FA für Vorstand inklusive
  • Daten­export in CSV/JSON jederzeit ohne Wartezeit
  • Auskunfts­recht-Workflow im Mitglieder-Portal

Damit verbringt ihr keine Wochenenden mehr mit DSGVO-Recherche, sondern mit eurem eigentlichen Vereinszweck.

Dieser Artikel ist eine Orientierung, kein Rechtsrat. Für einzel­fallbezogene Fragen wendet euch an einen Fachanwalt für IT-Recht oder eure Landes­datenschutz­behörde.

Bereit, deinen Verein zu modernisieren?

Lege deinen Verein in 5 Minuten an. Bis 50 Mitglieder kostenlos. Kein Kreditkarten-Eintrag nötig. Spar bis 1.750 € pro Jahr an Spendengebühren.