DATENSCHUTZ FÜR VEREINE UND KMU: DIE 5 WICHTIGSTEN PFLICHTEN
07.04.2026
Viele Vereine, Verbände und kleine Unternehmen gehen davon aus, Datenschutz sei „nur etwas für Konzerne“. Das ist ein teurer Irrtum. Die DSGVO und auch das KDG gilt für jede Organisation, die personenbezogene Daten verarbeitet – unabhängig von Größe oder Rechtsform. Dieser Artikel zeigt Ihnen, welche fünf Pflichten für Sie konkret relevant sind und wie Sie diese pragmatisch umsetzen.
1 DAS PROBLEM IN DER PRAXIS
Ob Sportverein, Handwerksbetrieb oder gemeinnütziger Verband: Wer Mitgliederdaten, Kundenadressen oder Beschäftigtendaten speichert, ist Verantwortlicher im Sinne der DSGVO bzw. des KDG. Das bedeutet: Sie entscheiden über Zweck und Mittel der Datenverarbeitung und tragen die volle rechtliche Verantwortung.
Ein typisches Beispiel aus der Praxis: Ein Sportverein mit 300 Mitgliedern speichert Namen, Adressen, Bankverbindungen und Gesundheitsdaten (z. B. Behindertenausweis für ermäßigte Beiträge) in einer Excel-Tabelle. Die Tabelle liegt auf dem privaten Laptop des Kassiers, ohne Passwortschutz. Gleichzeitig werden Fotos vom Vereinsfest ohne Einwilligung auf der Vereinswebsite veröffentlicht. Jeder dieser Punkte stellt einen (potenziellen) Datenschutzverstoß dar, mit Bußgeldrisiko.
Die DSGVO und auch das KDG hält ausdrücklich fest, dass auch die besonderen Bedürfnisse von Kleinstunternehmen sowie kleinen und mittleren Unternehmen zu berücksichtigen sind. Das bedeutet aber nicht, dass diese Organisationen von den Grundpflichten befreit sind.
2 DER RECHTLICHE RAHMEN (DSGVO, BDSG UND KDG)
2.1 WER IST BETROFFEN?
Die DSGVO (Art. 4 Nr. 7) bzw. das KDG (§ 4 Nr. 9) definiert den Verantwortlichen als jede natürliche oder juristische Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet . Das trifft auf jeden Verein und jedes KMU zu.
2.2 DIE 5 ZENTRALEN RECHTSPFLICHTEN IM ÜBERBLICK
Pflicht 1 – Verarbeitungsverzeichnis (Art. 30 DSGVO / § 31 KDG)
Jeder Verantwortliche muss ein Verzeichnis aller Verarbeitungstätigkeiten führen. Es enthält: Zwecke der Verarbeitung, Kategorien betroffener Personen, Empfänger, Löschfristen und eine Beschreibung der technischen und organisatorischen Maßnahmen.
Ausnahme: Organisationen mit weniger als 250 Mitarbeitenden sind nur dann verpflichtet ein VdV zu führen, wenn die Verarbeitung personenbezogener Daten nicht nur gelegentlich erfolgt, besondere Datenkategorien betroffen sind oder ein Risiko für Betroffene besteht: Das ist bei Vereinen in der Regel der Fall, wenn sie z.B. Daten von Kindern verarbeiten, Bilder von Kindern veröffentlichen oder Gesundheitsdaten über die Mitglieder für Veranstaltungen erhoben werden.
Pflicht 2 – Datenschutzbeauftragter (Art. 37 DSGVO / § 38 BDSG / § 36 KDG)
Für nichtöffentliche Stellen gilt: Wer in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt, muss eine:n Datenschutzbeauftragte:n benennen.
Neu ist auch, dass Interessenkonflikte strenger gefasst werden: Die Leitung der Einrichtung oder der IT darf nun auch qua Gesetz nicht zum:zur Datenschutzbeauftragte:n bestellt werden.
Wichtig: Hier entsteht schnell ein „false-friend“. Nur weil man keinen Datenschutzbeauftragten qua Gesetz benennen muss, muss man dennoch die Datenschutzpflichten, die sich aus dem Gesetz ergeben, umsetzen.
Pflicht 3 – Informationspflichten und Einwilligung (Art. 13/14 DSGVO / §§ 15/16 KDG)
Bei jeder Erhebung personenbezogener Daten müssen Betroffene informiert werden: über den Verantwortlichen, den Zweck, die Rechtsgrundlage und ihre Rechte . Einwilligungen müssen freiwillig, informiert und nachweisbar sein und der Widerruf muss genauso einfach sein wie die Erteilung.
Pflicht 4 – Betroffenenrechte (Art. 15–22 DSGVO / §§ 17–24 KDG)
Mitglieder, Kund:innen und Mitarbeitende haben das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung und Datenübertragbarkeit. Anträge müssen innerhalb von einem Monat beantwortet werden.
Pflicht 5 – Technische und organisatorische Maßnahmen / Datenpannen (Art. 25, 32, 33 DSGVO)
Datenpannen (z. B. Datenverlust, Hackerangriff) müssen innerhalb von 72 Stunden der zuständigen Aufsichtsbehörde gemeldet werden. Angemessene technische Schutzmaßnahmen (Verschlüsselung, Zugangskontrolle, Backups) sind Pflicht. Seit der KDG-Novelle im März 2026 gelten weitreichende Vorgaben auch für kleine Vereine z. B. im Bereich der Cloud-Nutzung oder der Nutzung privater Endgeräte für die Vereinsarbeit. Weitere Informationen hierzu finden Sie in unserem Blogbeitrag unter https://www.datafreshup.de/blog/kdg-novelle-2025.
3 DIE UMSETZUNG SCHRITT FÜR SCHRITT
3.1 CHECKLISTE FÜR VEREINE UND KLEINE KMU
Schritt 1: Bestandsaufnahme – Was verarbeiten Sie?
Welche personenbezogenen Daten erheben Sie (Mitglieder, Kund:innen, Mitarbeitende)?
Wo werden diese gespeichert (Excel, Cloud, Vereinssoftware)?
Wer hat Zugriff?
Schritt 2: Verarbeitungsverzeichnis anlegen
Erstellen Sie für jede Verarbeitungstätigkeit einen Eintrag mit: Zweck, Rechtsgrundlage, Datenkategorien, Empfänger, Löschfrist, TOMs
Das Verzeichnis ist schriftlich oder elektronisch zu führen und der Aufsichtsbehörde auf Anfrage vorzulegen
Schritt 3: Datenschutzbeauftragte:n prüfen
Sind in ihrer Organisation 20 oder mehr Personen mit automatisierter Datenverarbeitung personenbezogener Daten beschäftigt (egal ob ehrenamtlich oder Beschäftigte:r? → DSB-Pflicht prüfen
Intern oder extern? Externe DSBs bieten Unabhängigkeit und Fachkompetenz ohne Interessenkonflikt
Schritt 4: Datenschutzinformationen und Einwilligungen aktualisieren
Datenschutzerklärung auf Website und in Formularen prüfen
Datenschutzinformationen für Veranstaltungen, Online-Meetings und Co. erstellen.
Einwilligungen für Newsletter, Fotos, Mitgliederdaten prüfen, erstellen, dokumentieren
Widerrufsmöglichkeit sicherstellen
Schritt 5: Mitarbeitende und Ehrenamtliche schulen
Alle Personen, die personenbezogene Daten verarbeiten, sind auf das Datengeheimnis zu verpflichten – auch Ehrenamtliche
Regelmäßige Schulungen für Ehrenamtliche und Hauptamtliche/Hauptberufliche sind Pflicht! Die Größe der Organisation (i.S.V. Anzahl der Mitglieder bzw. Beschäftigten der Organisation) ist hierbei egal
Schritt 6: Technische Maßnahmen umsetzen
Passwortschutz und Zugangskontrolle für alle Systeme nach dem aktuellen Stand der Technik
Verschlüsselung bei der Übertragung sensibler Daten, z.B. via E-Mail oder Cloud
Regelmäßige Datensicherungen (Backup-Konzept)
Virenscanner und Firewall aktuell halten
KDG: Hier die Besonderheiten für die Cloud-Nutzung, Mehr-Faktorauthentifizierung sowie Dokumentationen beachten. (https://www.datafreshup.de/blog/kdg-novelle-2025)
Schritt 7: Prozess für Datenpannen einrichten
Klären: Wer ist intern für den Datenschutz zuständig, z.B. wenn ein Datenschutzvorfall eintritt (auch wenn kein Datenschutzbeauftragter bennannt ist, bzw. werden muss)?
72-Stunden-Frist für die Meldung an die Aufsichtsbehörde einhalten
3.2 TYPISCHE FEHLER – UND WIE SIE SIE VERMEIDEN
Fehler 1: „Wir sind zu klein für Datenschutz."
Die DSGVO und das KDG kennen keine Bagatellgrenze für die Grundpflichten. Selbst ein Verein mit 50 Mitgliedern verarbeitet personenbezogene Daten und ist damit verpflichtet.
Fehler 2: Einwilligung als Allheilmittel.
Nicht jede Datenverarbeitung braucht eine Einwilligung und nicht jede Einwilligung ist wirksam. Wer Mitgliedsbeiträge einzieht, braucht keine Einwilligung, sondern eine Vertragsgrundlage. Die Einwilligung ist nur wirksam, wenn sie auf der freien Entscheidung der betroffenen Person beruht und informiert getroffen werden konnte zusätzlich sollte sie dokumentiert werden um dies nachweisbar zu machen.
Sie suchen eine:n externe:n Datenschutzbeauftragte:n oder möchten eine grundlegende Dokumentation erstellen lassen? Wir unterstützen Sie pragmatisch, verständlich und auf Ihre Größe zugeschnitten. Jetzt Termin vereinbaren
4 FAZIT UND NÄCHSTE SCHRITTE
Datenschutz ist kein bürokratisches Hindernis, er ist ein Qualitätsmerkmal. Vereine und KMU, die ihre Datenschutzpflichten ernst nehmen, stärken das Vertrauen ihrer Mitglieder, Kund:innen und Mitarbeitenden. Und sie schützen sich vor Bußgeldern, Reputationsschäden und aufwendigen Nachbesserungen.
Die gute Nachricht: Die fünf zentralen Pflichten – Verarbeitungsverzeichnis, Datenschutzbeauftragte:r, Informationspflichten, Betroffenenrechte und technische Schutzmaßnahmen – lassen sich auch mit begrenzten Ressourcen strukturiert angehen. Entscheidend ist, dass Sie anfangen.
Ihr nächster Schritt: Führen Sie eine ehrliche Bestandsaufnahme durch. Welche Daten verarbeiten Sie? Wo liegen die größten Lücken? Wenn Sie dabei Unterstützung benötigen, stehen wir Ihnen gern zur Seite.
Jetzt Audit anfragen und Ihren Datenschutz-Status quo prüfen lassen. Termin buchen
5 QUELLEN
DSGVO – Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016, Amtsblatt der Europäischen Union, L 119/1
BDSG – Bundesdatenschutzgesetz (Artikel 1 des DSAnpUG-EU), Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 44, ausgegeben zu Bonn am 5. Juli 2017
KDG – Gesetz über den Kirchlichen Datenschutz, Beschluss der Vollversammlung des Verbandes der Diözesen Deutschlands vom 20. November 2017, geändert am 24. November 2025
KDG-DVO – Durchführungsverordnung zum KDG, Beschluss der Vollversammlung des Verbandes der Diözesen Deutschlands vom 19. November 2018, geändert am 24. November 2025, in Kraft seit 01.03.2019
