DATENSCHUTZ FÜR VEREINE UND KMU: DIE 5 WICHTIGSTEN PFLICHTEN

Viele Vereine, Verbände und kleine Unternehmen gehen davon aus, Datenschutz sei „nur etwas für Konzerne“. Das ist ein teurer Irrtum. Die DSGVO und auch das KDG gilt für jede Organisation, die personenbezogene Daten verarbeitet – unabhängig von Größe oder Rechtsform. Dieser Artikel zeigt Ihnen, welche fünf Pflichten für Sie konkret relevant sind und wie Sie diese pragmatisch umsetzen.

1        DAS PROBLEM IN DER PRAXIS

Ob Sportverein, Handwerksbetrieb oder gemeinnütziger Verband: Wer Mitgliederdaten, Kundenadressen oder Beschäftigtendaten speichert, ist Verantwortlicher im Sinne der DSGVO bzw. des KDG. Das bedeutet: Sie entscheiden über Zweck und Mittel der Datenverarbeitung und tragen die volle rechtliche Verantwortung.

Ein typisches Beispiel aus der Praxis: Ein Sportverein mit 300 Mitgliedern speichert Namen, Adressen, Bankverbindungen und Gesundheitsdaten (z. B. Behindertenausweis für ermäßigte Beiträge) in einer Excel-Tabelle. Die Tabelle liegt auf dem privaten Laptop des Kassiers, ohne Passwortschutz. Gleichzeitig werden Fotos vom Vereinsfest ohne Einwilligung auf der Vereinswebsite veröffentlicht. Jeder dieser Punkte stellt einen (potenziellen) Datenschutzverstoß dar, mit Bußgeldrisiko.

Die DSGVO und auch das KDG hält ausdrücklich fest, dass auch die besonderen Bedürfnisse von Kleinstunternehmen sowie kleinen und mittleren Unternehmen zu berücksichtigen sind. Das bedeutet aber nicht, dass diese Organisationen von den Grundpflichten befreit sind.

2       DER RECHTLICHE RAHMEN (DSGVO, BDSG UND KDG)

2.1       WER IST BETROFFEN?

Die DSGVO (Art. 4 Nr. 7) bzw. das KDG (§ 4 Nr. 9) definiert den Verantwortlichen als jede natürliche oder juristische Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet . Das trifft auf jeden Verein und jedes KMU zu.

2.2      DIE 5 ZENTRALEN RECHTSPFLICHTEN IM ÜBERBLICK

Pflicht 1 – Verarbeitungsverzeichnis (Art. 30 DSGVO / § 31 KDG) und Auftragsverarbeitungen (Art. 28 DSGVO/§ 29 KDG)
Jeder Verantwortliche muss ein Verzeichnis aller Verarbeitungstätigkeiten führen. Es enthält: Zwecke der Verarbeitung, Kategorien betroffener Personen, Empfänger, Löschfristen und eine Beschreibung der technischen und organisatorischen Maßnahmen. Darüber hinaus sollten hier auch Auftragsverarbeitungen gem. Art. 28 DSGVO/§ 29 KDG sowie Gemeinsame Verantwortlichkeiten gem. Art. 26 DSGVO/ § 28 KDG geprüft und beschrieben werden.

Ausnahme: Organisationen mit weniger als 250 Mitarbeitenden sind nur dann verpflichtet ein VdV zu führen, wenn die Verarbeitung personenbezogener Daten nicht nur gelegentlich erfolgt, besondere Datenkategorien betroffen sind oder ein Risiko für Betroffene besteht. Das gilt jedoch für Vereine jedweder Größe nicht, da diese zum führen eines Verzeichnis von Verarbeitungstätigkeiten verpflichtet sind da diese eine Mitgliederverwaltung betreiben sowie z. B. auch Daten von Kindern verarbeiten, Bilder von Kindern veröffentlichen oder Gesundheitsdaten über die Mitglieder für Veranstaltungen erhoben werden.

Pflicht 2 – Datenschutzbeauftragter (Art. 37 DSGVO / § 38 BDSG / § 36 KDG)
Für nichtöffentliche Stellen gilt: Wer in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt, muss eine:n Datenschutzbeauftragte:n benennen.
Neu ist im KDG, dass Interessenkonflikte strenger gefasst werden: Die Leitung der Einrichtung oder der IT darf nun auch qua Gesetz nicht zum:zur Datenschutzbeauftragte:n bestellt werden.

Wichtig: Hier entsteht schnell ein „false-friend“. Nur weil man keinen Datenschutzbeauftragten qua Gesetz benennen muss, muss man dennoch die Datenschutzpflichten, die sich aus dem Gesetz ergeben, umsetzen.

Pflicht 3 – Informationspflichten und Einwilligung (Art. 13/14 DSGVO / §§ 15/16 KDG)
Bei jeder Erhebung personenbezogener Daten müssen Betroffene informiert werden: über den Verantwortlichen, den Zweck, die Rechtsgrundlage und ihre Rechte . Einwilligungen müssen freiwillig, informiert und nachweisbar sein und der Widerruf muss genauso einfach sein wie die Erteilung.

Pflicht 4 – Betroffenenrechte (Art. 15–22 DSGVO / §§ 17–24 KDG)
Mitglieder, Kund:innen und Mitarbeitende haben das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung und Datenübertragbarkeit. Anträge müssen innerhalb von einem Monat beantwortet werden.

Pflicht 5 – Technische und organisatorische Maßnahmen und Datenpannen (Art. 32, 33 DSGVO/ § 26, 33 KDG)
Datenpannen (z. B. Datenverlust, Hackerangriff) müssen innerhalb von 72 Stunden der zuständigen Aufsichtsbehörde gemeldet werden.

Darüber hinaus sind angemessene technische Schutzmaßnahmen (Verschlüsselung, Zugangskontrolle, Backups) Pflicht. Es gelten aufgrund der Novelle im KDG oder dem aktuellen Stand der Technik in der DSGVO weitreichende Vorgaben auch für kleine Vereine z. B. im Bereich der Cloud-Nutzung oder der Nutzung privater Endgeräte für die Vereinsarbeit. Weitere organisatorische Maßnahmen sind die Verpflichtungen auf Vertraulichkeit und das Datengeheinmnis sowie die Schulung der Mitarbeitenden und Ehrenamtlichen in KDG oder DSGVO.

Weitere Informationen für KDG Kund:innen hierzu finden Sie in unserem Blogbeitrag unter https://www.datafreshup.de/blog/kdg-novelle-2025.

Zusatzinformation - Cloud-Nutzung und E-Mail auf Ortsebene: das größte Risiko in der Vereinspraxis

In über 80 Prozent unserer Vereinsaudits sind es zwei Themen, die regelmäßig die größten Lücken aufweisen: die Nutzung von Cloud-Diensten ohne tragfähige Rechtsgrundlage und der Versand vereinsbezogener Daten über private E-Mail-Postfächer der Vorstände. Beides ist auf den ersten Blick bequem, juristisch jedoch riskant.

Cloud-Nutzung

Wer Mitgliederlisten, Beitragsdaten oder Veranstaltungsunterlagen in Dropbox, Google Drive oder OneDrive speichert, übermittelt personenbezogene Daten an einen Auftragsverarbeiter und in der Regel zugleich an einen Anbieter mit Sitz oder Mutterkonzern in den Vereinigten Staaten. Erforderlich sind in jedem Fall ein Vertrag nach Art. 28 DSGVO bzw. § 29 KDG, eine Bewertung des Drittlandtransfers nach EuGH C-311/18 (Schrems II) sowie die Berücksichtigung des EU-US Data Privacy Framework vom 10.07.2023 oder der Standardvertragsklauseln 2021/914 mit ergänzenden Schutzmaßnahmen. Für KDG-Mandanten gelten zusätzlich strengere Anforderungen aus § 18 KDG-DVO (Cloud-Exit-Strategie) und § 11 KDG-DVO (Mehr-Faktor-Authentisierung).

Praxisempfehlung: Wenn möglich, europäische Anbieter (z. B. Nextcloud-Hosting in Deutschland, MagentaCLOUD, IONOS HiDrive Business) wählen. Bei US-Diensten: Vertrag prüfen, MFA aktivieren, Datenkategorien strikt begrenzen und keine besonderen Kategorien (Gesundheitsdaten, Religionszugehörigkeit) ohne ausdrückliche Einwilligung dort ablegen. Cloud-Nutzung im VdV als eigene Verarbeitungstätigkeit aufnehmen.

E-Mail auf Ortsebene

Vereinskommunikation gehört nicht in private Postfächer wie max.mustermann@gmail.com. Bei Wechsel des Funktionsträgers verbleiben Daten beim Vorgänger, der Verein verliert die Kontrolle, Auskunfts- und Löschpflichten lassen sich faktisch nicht mehr erfüllen. Hinzu kommt: Die meisten kostenlosen Mailprovider verarbeiten Daten in den USA und werten sie zu eigenen Zwecken aus.

Praxisempfehlung: Vereinseigene Domain (z. B. info@unser-verein.de) mit personenbezogenen Funktionspostfächern (vorstand@, kassier@, jugend@, datenschutz@) bei einem europäischen Hoster einrichten. Die Adressen bleiben dauerhaft erhalten, der Zugriff wird beim Wechsel formal übergeben, alte Mailclients werden bereinigt. Sensible Anhänge (Mitgliederlisten, Atteste, Bankdaten) ausschließlich verschlüsselt versenden, möglichst über ein gesichertes Vereinsportal statt per Mail. Im VdV als eigene Verarbeitungstätigkeit dokumentieren.

3       DIE UMSETZUNG SCHRITT FÜR SCHRITT

3.1       CHECKLISTE FÜR VEREINE UND KLEINE KMU

Schritt 1: Bestandsaufnahme – Was verarbeiten Sie?

• Welche personenbezogenen Daten erheben Sie (Mitglieder, Kund:innen, Mitarbeitende)?

• Wo werden diese gespeichert (Excel, Cloud, Vereinssoftware)?

• Wer hat Zugriff?

Schritt 2: Verarbeitungsverzeichnis anlegen

• Erstellen Sie für jede Verarbeitungstätigkeit einen Eintrag mit: Zweck, Rechtsgrundlage, Datenkategorien, Empfänger, Löschfrist, TOMs

• Auftragsverarbeitungen, Übermittlungen, Gemeinsame Verantwortlichkeiten prüfen, dokumentieren.

• Das Verzeichnis ist schriftlich oder elektronisch zu führen und der Aufsichtsbehörde auf Anfrage vorzulegen

Schritt 3: Datenschutzbeauftragte:n prüfen

• Sind in ihrer Organisation 20 oder mehr Personen mit automatisierter Datenverarbeitung personenbezogener Daten beschäftigt (egal ob ehrenamtlich oder Beschäftigte:r? → DSB-Pflicht prüfen

• Intern oder extern? Externe DSBs bieten Unabhängigkeit und Fachkompetenz ohne Interessenkonflikt 

Schritt 4: Datenschutzinformationen und Einwilligungen aktualisieren

• Datenschutzerklärung auf Website und in Formularen prüfen

• Datenschutzinformationen für Veranstaltungen, Online-Meetings und Co. erstellen.

• Einwilligungen für Newsletter, Fotos, Mitgliederdaten prüfen, erstellen, dokumentieren

• Widerrufsmöglichkeit sicherstellen 

Schritt 5: Mitarbeitende und Ehrenamtliche schulen

• Alle Personen, die personenbezogene Daten verarbeiten, sind auf Vertraulichkeit und das Datengeheimnis zu verpflichten – auch Ehrenamtliche 

• Regelmäßige Schulungen für Ehrenamtliche und Hauptamtliche/Hauptberufliche sind Pflicht! Die Größe der Organisation (i.S.V. Anzahl der Mitglieder bzw. Beschäftigten der Organisation) ist hierbei egal

Schritt 6: Technische Maßnahmen umsetzen

• Passwortschutz und Zugangskontrolle für alle Systeme nach dem aktuellen Stand der Technik

• Verschlüsselung bei der Übertragung sensibler Daten, z.B. via E-Mail oder Cloud

• Regelmäßige Datensicherungen (Backup-Konzept)

• Virenscanner und Firewall aktuell halten 

• KDG: Hier die Besonderheiten für die Cloud-Nutzung, Mehr-Faktorauthentifizierung sowie Dokumentationen beachten. (https://www.datafreshup.de/blog/kdg-novelle-2025)

Schritt 7: Prozess für Datenpannen einrichten

• Klären: Wer ist intern für den Datenschutz zuständig, z.B. wenn ein Datenschutzvorfall eintritt (auch wenn kein Datenschutzbeauftragter bennannt ist, bzw. werden muss)?

• 72-Stunden-Frist für die Meldung an die Aufsichtsbehörde einhalten.

Schritt 8: Cloudnutzung und E-Mail-Adressen

• Bestandsaufnahme aller Cloud-Dienste und E-Mail-Adressen, die für Vereinszwecke genutzt werden, einschließlich privater Postfächer der Vorstände.

• Migrationsplan auf europäische Lösungen mit Funktionspostfächern und MFA, idealerweise binnen drei Monaten.

• Aktualisierung des VdV, der Auftragsverarbeitungsverträge und der Datenschutzinformationen.

Wer diese Punkte sauber regelt, schließt die in der Vereinspraxis häufigste und teuerste Datenschutzlücken.

3.2     TYPISCHE FEHLER – UND WIE SIE SIE VERMEIDEN

Fehler 1: „Wir sind zu klein für Datenschutz."
Die DSGVO und das KDG kennen keine Bagatellgrenze für die Grundpflichten. Selbst ein Verein mit 50 Mitgliedern verarbeitet personenbezogene Daten und ist damit verpflichtet.

Fehler 2: Einwilligung als Allheilmittel.
Nicht jede Datenverarbeitung braucht eine Einwilligung und nicht jede Einwilligung ist wirksam. Wer Mitgliedsbeiträge einzieht, braucht keine Einwilligung, sondern eine Vertragsgrundlage. Die Einwilligung ist nur wirksam, wenn sie auf der freien Entscheidung der betroffenen Person beruht und informiert getroffen werden konnte zusätzlich sollte sie dokumentiert werden um dies nachweisbar zu machen.

Sie suchen eine:n externe:n Datenschutzbeauftragte:n oder möchten eine grundlegende Dokumentation erstellen lassen? Wir unterstützen Sie pragmatisch, verständlich und auf Ihre Größe zugeschnitten. Jetzt Termin vereinbaren

4      FAZIT UND NÄCHSTE SCHRITTE

Datenschutz ist kein bürokratisches Hindernis, er ist ein Qualitätsmerkmal. Vereine und KMU, die ihre Datenschutzpflichten ernst nehmen, stärken das Vertrauen ihrer Mitglieder, Kund:innen und Mitarbeitenden. Und sie schützen sich vor Bußgeldern, Reputationsschäden und aufwendigen Nachbesserungen.

Die gute Nachricht: Die fünf zentralen Pflichten – Verarbeitungsverzeichnis, Datenschutzbeauftragte:r, Informationspflichten, Betroffenenrechte und technische Schutzmaßnahmen – lassen sich auch mit begrenzten Ressourcen strukturiert angehen. Entscheidend ist, dass Sie anfangen.

Ihr nächster Schritt: Führen Sie eine ehrliche Bestandsaufnahme durch. Welche Daten verarbeiten Sie? Wo liegen die größten Lücken? Wenn Sie dabei Unterstützung benötigen, stehen wir Ihnen gern zur Seite.

Jetzt Audit anfragen und Ihren Datenschutz-Status quo prüfen lassen. Termin buchen

5       QUELLEN

• DSGVO – Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016, Amtsblatt der Europäischen Union, L 119/1

• BDSG – Bundesdatenschutzgesetz (Artikel 1 des DSAnpUG-EU), Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017

• KDG – Gesetz über den Kirchlichen Datenschutz, Beschluss der Vollversammlung des Verbandes der Diözesen Deutschlands vom 20. November 2017, geändert am 24. November 2025

• KDG-DVO – Durchführungsverordnung zum KDG, Beschluss der Vollversammlung des Verbandes der Diözesen Deutschlands vom 19. November 2018, geändert am 24. November 2025, in Kraft seit 01.03.2019