verein.xhub Logoverein.xhub
Back to all resources
Checklist

GDPR checklist for clubs

The 12 obligations every club must tick off. As of April 2026.

This checklist summarises the most important GDPR obligations for registered clubs. Print it, walk through it in your next board meeting and tick each item. Background reading is in the GDPR guide on the blog.

  1. 01

    Verzeichnis Verarbeitungstätigkeiten (VVT) anlegen

    60 Min einmalig, 30 Min/Jahr

    Tabelle mit allen Datenkategorien, Zwecken, Empfängern und Aufbewahrungsfristen. Excel-Vorlage reicht. Pflicht nach Art. 30 DSGVO.

    Erledigt am __________ durch __________
  2. 02

    AVV mit jedem Software-Anbieter abschließen

    10 Min pro Anbieter

    Vereinssoftware, E-Mail-Versand-Tools, Cloud-Speicher, Hosting. Alle, die Daten in eurem Auftrag verarbeiten. Online-Akzeptanz reicht.

    Erledigt am __________ durch __________
  3. 03

    Datenschutzerklärung auf Vereins-Website prüfen

    1 Std

    Pflicht nach Art. 13. Inhalt: Verantwortlicher, Zwecke, Speicherdauer, Rechte. Generator von eRecht24 oder Anwalt.

    Erledigt am __________ durch __________
  4. 04

    Cookie-Banner DSGVO + TDDDG-konform

    30 Min

    Einwilligung VOR Nicht-Essential-Cookies. Klar reject-baren Button. Speicherung der Einwilligung dokumentiert.

    Erledigt am __________ durch __________
  5. 05

    TOM dokumentieren

    60 Min

    Technisch-organisatorische Maßnahmen: TLS, Backups, 2FA, Zugangskontrolle. Als interne Notiz reicht.

    Erledigt am __________ durch __________
  6. 06

    Auftragsverarbeitungs-Antwort-Workflow definieren

    30 Min

    Wer reagiert auf Auskunfts-/Löschanfragen? Mit 1-Monats-Frist. E-Mail-Vorlage vorbereitet.

    Erledigt am __________ durch __________
  7. 07

    Lösch-Konzept dokumentieren

    45 Min

    Buchungen 10 Jahre (HGB), nach Austritt Anonymisierung. Konkrete Zeit-Trigger im System hinterlegt.

    Erledigt am __________ durch __________
  8. 08

    2FA für alle Vorstandskonten aktivieren

    15 Min pro Account

    Im Vereinssoftware-Tool, im Mail-Konto, im Cloud-Speicher. Authenticator-App empfohlen.

    Erledigt am __________ durch __________
  9. 09

    Datenpannen-Notfallplan

    20 Min

    Wer wird informiert? Welche Behörde? 72-Stunden-Meldepflicht nach Art. 33. Kontakte griffbereit.

    Erledigt am __________ durch __________
  10. 10

    Mitglieder über ihre Rechte informieren

    10 Min Vorbereitung

    In der nächsten JHV: kurze Info zu Auskunft, Löschung, Berichtigung. Auch im Mitglieder-Newsletter.

    Erledigt am __________ durch __________
  11. 11

    Datenschutzbeauftragten benennen (sofern Pflicht)

    Recherche 1 Std

    Pflicht ab 20 Personen, die regelmäßig Daten verarbeiten. Externe DSB ab ca. 1.500 €/Jahr.

    Erledigt am __________ durch __________
  12. 12

    Jährliche DSGVO-Review im Vorstand

    30 Min/Jahr

    Tagesordnungspunkt einmal im Jahr: VVT aktualisieren, AVV-Liste prüfen, neue Datenpannen?

    Erledigt am __________ durch __________