VernityVernity
Anleitung

DSGVO im Kleingartenverein: Checkliste für den Vorstand

9 Min. LesezeitVernity-Redaktion

Ein Kleingartenverein verarbeitet mehr personenbezogene Daten, als viele Vorstände vermuten: Mitgliederliste, Parzellenzuordnung, Beitragskonten, Bankverbindungen für den Lastschrifteinzug, E-Mail-Verteiler, Fotos vom Sommerfest. Sobald solche Daten erhoben, gespeichert oder weitergegeben werden, greift die Datenschutz-Grundverordnung (DSGVO) — und zwar unabhängig davon, ob der Verein sieben oder siebenhundert Mitglieder hat. Dieser Beitrag fasst die wichtigsten Pflichten in einer praktischen Checkliste zusammen, mit der Sie als Vorstand auf der sicheren Seite bleiben.

Hinweis: Dieser Artikel gibt praktische Orientierung und ersetzt keine Rechtsberatung. Die konkrete Beurteilung hängt vom Einzelfall, vom Bundesland und von der Auslegung der zuständigen Aufsichtsbehörde ab. Bei rechtlichen Detailfragen wenden Sie sich an einen Fachanwalt oder Ihren Landesverband.

Worum es bei der DSGVO im Verein geht

Im Kern verlangt die DSGVO, dass Sie mit den Daten Ihrer Mitglieder sorgfältig, transparent und zweckgebunden umgehen. Jede Verarbeitung braucht eine Rechtsgrundlage, jede Person darf wissen, was mit ihren Daten geschieht, und Daten dürfen nicht länger gespeichert werden, als es der Zweck erfordert.

Für Vereine sind vor allem zwei Rechtsgrundlagen wichtig:

  • Vertragserfüllung: Die Verwaltung von Mitgliedsdaten, die für die Mitgliedschaft selbst nötig sind — Name, Anschrift, Parzelle, Beitragskonto —, stützt sich auf das Mitgliedschaftsverhältnis. Hierfür brauchen Sie keine gesonderte Einwilligung.
  • Einwilligung: Alles, was über die reine Mitgliederverwaltung hinausgeht — Fotos auf der Website, ein Newsletter, die Veröffentlichung von Geburtstagen —, braucht in der Regel die ausdrückliche Zustimmung der betroffenen Person.

Diese Unterscheidung zieht sich durch die gesamte Checkliste.

Schritt 1: Das Verzeichnis von Verarbeitungstätigkeiten

Die erste konkrete Pflicht ist ein Dokument, das viele Vereine übersehen: das Verzeichnis von Verarbeitungstätigkeiten (oft kurz „VVT" genannt). Es ist eine strukturierte Übersicht darüber, welche Daten der Verein zu welchem Zweck verarbeitet. Anders als oft angenommen gilt die Pflicht praktisch auch für kleine Vereine, sobald die Verarbeitung nicht nur gelegentlich erfolgt — und eine laufende Mitgliederverwaltung ist alles andere als gelegentlich.

Ein solches Verzeichnis sollte für jede Verarbeitung festhalten:

  • Zweck der Verarbeitung (z. B. Mitgliederverwaltung, Beitragseinzug, Öffentlichkeitsarbeit)
  • Kategorien betroffener Personen (Mitglieder, Bewerber, Vorstand)
  • Kategorien der Daten (Stammdaten, Bankdaten, Fotos)
  • Empfänger der Daten (Dachverband, Bank, Steuerberater, Software-Dienstleister)
  • Löschfristen für die jeweiligen Daten
  • technische und organisatorische Maßnahmen zum Schutz der Daten

Checkliste für das Verzeichnis:

  • Alle Verarbeitungen sind erfasst (Mitglieder, Beiträge, Newsletter, Website, Bewerbungen)
  • Für jede Verarbeitung ist eine Rechtsgrundlage benannt
  • Löschfristen sind festgelegt
  • Das Verzeichnis wird bei Änderungen aktualisiert
  • Es ist auf Anfrage der Aufsichtsbehörde vorzeigbar

Schritt 2: Einwilligungen richtig einholen

Überall dort, wo die Verarbeitung nicht schon durch die Mitgliedschaft gedeckt ist, brauchen Sie eine Einwilligung. Sie muss freiwillig, informiert und nachweisbar sein — ein stillschweigendes „Wer nichts sagt, ist einverstanden" genügt nicht.

Fotos von Festen und Aktionen

Gruppenfotos vom Sommerfest auf der Vereinswebsite oder in sozialen Medien sind ein Klassiker der Datenschutzfragen. Für die Veröffentlichung erkennbarer Personen brauchen Sie deren Einwilligung. Praktisch bewährt hat sich:

  • ein kurzes Einwilligungsformular bei Eintritt, das die Fotonutzung abdeckt,
  • ein deutlicher Hinweis bei Veranstaltungen, dass fotografiert wird,
  • die Möglichkeit, der Veröffentlichung jederzeit zu widersprechen.

Denken Sie besonders an Kinderfotos: Hier ist die Einwilligung der Erziehungsberechtigten einzuholen.

Newsletter und E-Mail-Verteiler

Für einen Newsletter, der über die reine Vereinsorganisation hinausgeht, gilt das Prinzip der ausdrücklichen Zustimmung. Wichtig außerdem: Versenden Sie Rundmails nie mit offenem Verteiler. Wer alle Empfängeradressen im „An"- oder „Cc"-Feld sieht, kennt die E-Mail-Adressen sämtlicher Mitglieder — das ist bereits eine vermeidbare Datenpanne. Nutzen Sie das BCC-Feld oder ein Verwaltungssystem mit personalisiertem Versand.

Checkliste Einwilligungen:

  • Einwilligungen sind schriftlich oder elektronisch dokumentiert
  • Der Zweck ist in der Einwilligung klar benannt
  • Ein Widerruf ist jederzeit möglich und einfach
  • Kinderfotos nur mit Zustimmung der Eltern
  • Rundmails laufen über BCC oder personalisierten Versand

Schritt 3: Mitgliederdaten, Aushänge und Listen

Mitgliederlisten gehören zu den sensibelsten Unterlagen des Vereins. Der Grundsatz lautet Datenminimierung: Es werden nur die Daten verarbeitet, die für den jeweiligen Zweck wirklich nötig sind.

Heikel wird es bei Veröffentlichungen. Ein Aushang am schwarzen Brett mit Namen, Adressen oder gar offenen Beitragsständen ist datenschutzrechtlich problematisch, weil ihn auch Außenstehende lesen können. Faustregeln:

  • Aushänge auf das absolut Notwendige beschränken.
  • Keine sensiblen Informationen (Zahlungsrückstände, Gesundheitsdaten) öffentlich aushängen.
  • Interne Listen nur in einem geschützten, mitgliederbeschränkten Bereich bereitstellen.
  • Für jede darüber hinausgehende Veröffentlichung eine Einwilligung einholen.

Genau hier zahlt sich eine zentrale, zugriffsgeschützte Verwaltung aus. Statt Excel-Tabellen, die per E-Mail kursieren, hält eine digitale Mitgliederverwaltung die Daten an einem Ort mit klaren Zugriffsrechten vor — wer Vorstand ist, sieht mehr als ein einfaches Mitglied. Wie sich solche Lösungen von der klassischen Tabellenkalkulation unterscheiden, vertieft der Beitrag Vereinsverwaltung-Software im Vergleich.

Schritt 4: Auftragsverarbeitung und der AVV

Sobald ein externer Dienstleister in Ihrem Auftrag Mitgliederdaten verarbeitet, liegt eine sogenannte Auftragsverarbeitung vor. Das betrifft mehr Fälle, als man denkt:

  • die Vereinssoftware, in der die Mitgliederdaten gespeichert sind,
  • ein Newsletter-Versanddienst,
  • ein Cloud-Speicher für Vereinsunterlagen,
  • ein externer Buchhaltungs- oder IT-Dienstleister.

Für jeden dieser Fälle verlangt die DSGVO einen Auftragsverarbeitungsvertrag (AVV). Darin verpflichtet sich der Dienstleister unter anderem, die Daten nur nach Ihren Weisungen zu verarbeiten, sie angemessen zu schützen und nach Vertragsende zu löschen. Seriöse Anbieter stellen einen solchen AVV von sich aus bereit — fehlt er, ist das ein Warnzeichen.

Der Steuerberater ist übrigens meist kein Auftragsverarbeiter, weil er fachlich eigenverantwortlich tätig wird; mit ihm besteht in der Regel ein eigenes Mandatsverhältnis. Die Bank für den Lastschrifteinzug verarbeitet ebenfalls in eigener Verantwortung. Im Zweifel lohnt eine kurze Rückfrage.

Checkliste Auftragsverarbeitung:

  • Alle externen Dienstleister sind erfasst
  • Mit jedem Auftragsverarbeiter besteht ein AVV
  • Der Serverstandort liegt vorzugsweise in der EU
  • Bei Anbietern außerhalb der EU sind die Übermittlungsregeln geprüft

Schritt 5: Die Betroffenenrechte kennen und bedienen

Jede Person, deren Daten Sie verarbeiten, hat Rechte — und der Vorstand muss in der Lage sein, sie zu erfüllen. Die wichtigsten:

  • Auskunft: Welche Daten speichert der Verein über mich?
  • Berichtigung: Falsche Daten müssen korrigiert werden.
  • Löschung: Daten sind zu löschen, wenn der Zweck entfällt und keine Aufbewahrungspflicht entgegensteht.
  • Einschränkung der Verarbeitung in bestimmten Fällen.
  • Datenübertragbarkeit: Herausgabe der Daten in einem gängigen Format.
  • Widerspruch gegen bestimmte Verarbeitungen.

Auf einen Antrag müssen Sie grundsätzlich innerhalb eines Monats reagieren. Legen Sie deshalb vorab fest, wer im Vorstand für solche Anfragen zuständig ist und wie Sie die Identität der anfragenden Person prüfen, damit Sie nicht versehentlich Daten an Unbefugte herausgeben.

Schritt 6: Datenpannen erkennen und melden

Trotz aller Sorgfalt kann etwas schiefgehen: ein verlorener USB-Stick, ein offener E-Mail-Verteiler, ein gehackter Account. Solche Vorfälle nennt die DSGVO Verletzung des Schutzes personenbezogener Daten.

Die Regel: Besteht durch die Panne ein Risiko für die betroffenen Personen, müssen Sie sie innerhalb von 72 Stunden nach Bekanntwerden der zuständigen Datenschutz-Aufsichtsbehörde melden. Bei einem hohen Risiko — etwa wenn Bankdaten in falsche Hände geraten — sind zusätzlich die Betroffenen selbst zu benachrichtigen.

Praktisch heißt das:

  • Jeder Vorfall wird intern dokumentiert (was, wann, wie viele Betroffene)
  • Der Vorstand weiß, welche Aufsichtsbehörde zuständig ist
  • Es ist klar, wer im Ernstfall die Meldung übernimmt
  • Sofortmaßnahmen zur Schadensbegrenzung sind bedacht

Auch wenn keine Meldepflicht besteht, sollten Sie den Vorfall dokumentieren — das gehört zur Rechenschaftspflicht.

Schritt 7: Löschfristen festlegen

Daten dürfen nicht „für alle Fälle" ewig aufbewahrt werden. Sobald der Zweck entfällt, sind sie zu löschen — es sei denn, eine gesetzliche Aufbewahrungspflicht greift. Für Vereine ist das Spannungsfeld typisch:

  • Stammdaten ausgetretener Mitglieder ohne weiteren Zweck: zeitnah löschen.
  • Buchungsbelege, Beitragsnachweise, Steuerunterlagen: unterliegen gesetzlichen Fristen von in der Regel sechs bis zehn Jahren und dürfen so lange nicht gelöscht werden.
  • Einwilligungsnachweise: so lange aufbewahren, wie die jeweilige Verarbeitung läuft, plus angemessene Nachweisfrist.

Ein durchdachtes Löschkonzept ist nicht nur Pflicht, sondern auch eine Entlastung: Was nicht mehr da ist, kann auch nicht verloren gehen.

Brauchen wir einen Datenschutzbeauftragten?

Diese Frage stellt sich fast jeder Vorstand — und die Antwort lautet für die meisten Kleingartenvereine: eher nein. Nach deutschem Recht muss ein Verein erst dann einen Datenschutzbeauftragten benennen, wenn in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, oder wenn die Kerntätigkeit in einer umfangreichen Verarbeitung besonders sensibler Daten besteht.

Ein typischer Verein mit ehrenamtlichem Vorstand, in dem nur wenige Personen die Mitgliederverwaltung betreuen, bleibt unter dieser Schwelle. Wichtig ist aber: Die Benennungspflicht entfällt — nicht aber die übrigen DSGVO-Pflichten. Verzeichnis, Einwilligungen, AVV, Betroffenenrechte und Löschfristen gelten weiterhin. Auch ohne formellen Beauftragten sollte daher eine Person im Vorstand das Thema Datenschutz verantwortlich im Blick behalten.

Wer die Schwelle überschreitet oder sich freiwillig absichern möchte, kann eine geeignete Person benennen — intern oder extern — und muss diese der Aufsichtsbehörde melden.

DSGVO-Pflichten praktisch umsetzen

Viele dieser Anforderungen lassen sich erheblich entspannen, wenn die Vereinsverwaltung von vornherein datenschutzfreundlich aufgesetzt ist: zentrale Datenhaltung statt verstreuter Tabellen, abgestufte Zugriffsrechte, dokumentierte Einwilligungen und nachvollziehbare Löschfristen. Eine Lösung, die Datenschutz von Grund auf mitdenkt, nimmt dem Vorstand einen Großteil der manuellen Arbeit ab und sorgt dafür, dass Auskunfts- und Löschanfragen ohne Suchaktion beantwortet werden können.

Auch organisatorisch hilft Struktur: Wer den Datenschutz einmal pro Jahr auf die Tagesordnung der Mitgliederversammlung setzt und dort über Verfahren und etwaige Vorfälle berichtet, schafft Transparenz und erfüllt nebenbei einen Teil der Rechenschaftspflicht. Wie Sie eine solche Versammlung formal sauber gestalten, lesen Sie im Beitrag Mitgliederversammlung im Kleingartenverein.

Fazit

Datenschutz im Kleingartenverein ist kein Hexenwerk, sondern eine Frage von Routine und Struktur. Die wichtigsten Bausteine: ein gepflegtes Verzeichnis von Verarbeitungstätigkeiten, sauber dokumentierte Einwilligungen für Fotos und Newsletter, ein AVV mit jedem externen Dienstleister, ein klarer Ablauf für Betroffenenrechte und Datenpannen sowie ein durchdachtes Löschkonzept. Einen Datenschutzbeauftragten braucht der typische Verein nicht — die übrigen Pflichten aber sehr wohl. Wer diese Punkte einmal sauber aufsetzt und in die laufende Verwaltung integriert, erfüllt die DSGVO fast nebenbei und schützt das wertvollste Gut des Vereins: das Vertrauen seiner Mitglieder.

Häufige Fragen

Vereinsverwaltung leicht gemacht

Teste Vernity 30 Tage kostenlos – ohne Kreditkarte, jederzeit kündbar.

Kostenlos testenDatenschutz DSGVO-konform abbilden

Weitere Artikel