Zum Hauptinhalt springen
frag.hugo Datenschutz Hamburg — frag.hugo Informationssicherheit
Angebot
Alle Artikel
DSGVOVereinHamburg

Datenschutz im Verein: DSGVO für Hamburger Vereine & Ehrenamt

Datenschutz im Verein: Wann braucht der Verein einen DSB, wie gehen Sie mit Mitgliederdaten, Fotos und Website um? DSGVO-Fahrplan für Hamburger Vereine.

Nils Oehmichen
Nils Oehmichen
Externer DSB · TÜV-zertifiziert
25. Mai 2026

Inhalt in Kürze

  • Die DSGVO gilt auch für jeden eingetragenen Verein – vom Sportverein bis zur Kulturinitiative. Größe schützt nicht vor Pflichten.
  • Ein Datenschutzbeauftragter wird erst ab 20 Personen mit ständiger automatisierter Datenverarbeitung Pflicht (§ 38 BDSG) – Vorstand und Ehrenamtliche zählen mit, die Schwelle ist schneller erreicht als gedacht.
  • Mitgliederdaten verarbeiten Sie über den Mitgliedschaftsvertrag (Art. 6 Abs. 1 lit. b DSGVO); Fotos und Website brauchen eine eigene Rechtsgrundlage.
  • Mit einem schlanken Fahrplan – Verarbeitungsverzeichnis light, Datenschutzhinweise im Aufnahmeantrag, Foto-Einwilligungen, AVV mit der Vereinssoftware – wird das Ehrenamt nicht erdrückt.

Stand: Mai 2026 · Autor: Nils Oehmichen · Lesezeit: 8 Minuten

In Hamburg gibt es über 830 Sportvereine mit mehr als einer halben Million Mitgliedschaften – dazu kommen unzählige Sozial-, Kultur- und Fördervereine. Jeder einzelne davon verarbeitet personenbezogene Daten: Namen, Geburtstage, Kontodaten, oft auch Gesundheitsangaben. Und jeder einzelne muss sich an die DSGVO halten. Das Problem: Im Ehrenamt gibt es keine Rechtsabteilung, sondern einen Vorstand, der seine Zeit lieber dem Vereinszweck widmet. Dieser Artikel zeigt Ihnen, was wirklich Pflicht ist – und was Sie getrost weglassen können.

Hamburg-Praxis:

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI, Ludwig-Erhard-Straße 22) hat dem Thema eine eigene Rubrik „Stiftungen / Vereine" gewidmet und bietet regelmäßig eine kostenlose Datenschutzsprechstunde für Vereine an. Die Behörde versteht sich gerade gegenüber dem Ehrenamt als beratend – nutzen Sie das.

Gilt die DSGVO wirklich für meinen kleinen Verein?

Ja. Daran führt kein Weg vorbei. Die DSGVO unterscheidet nicht zwischen einem Konzern und dem Kleingartenverein um die Ecke. Sobald Sie personenbezogene Daten ganz oder teilweise automatisiert verarbeiten – und eine Excel-Liste oder eine Mitgliederverwaltungs-Software ist genau das –, sind Sie „Verantwortlicher” im Sinne von Art. 4 DSGVO.

Das bedeutet konkret: Der Verein muss wissen, welche Daten er von wem zu welchem Zweck speichert, er muss die Mitglieder darüber informieren, und er muss die Daten angemessen schützen. Klingt nach viel. Ist es aber nicht, wenn man es einmal sauber aufsetzt.

Was viele Vorstände unterschätzen: Es geht nicht nur um die Mitglieder. Auch Daten von Spendern, Sponsoren, Übungsleitern, Bewerbern auf eine Übungsleiterstelle und Teilnehmern eines offenen Vereinsfestes fallen darunter.

Das Wichtigste: Die DSGVO gilt für jeden Verein, der Daten in einer Liste oder Software führt. Es geht nicht um die Größe, sondern um die Verarbeitung.

Braucht mein Verein einen Datenschutzbeauftragten?

Das ist die Frage, die uns Vereinsvorstände am häufigsten stellen. Die gute Nachricht: Die wenigsten kleinen Vereine sind verpflichtet, einen Datenschutzbeauftragten (DSB) zu benennen.

Die Schwelle steht in § 38 Abs. 1 BDSG: Ein DSB ist Pflicht, sobald mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Entscheidend ist das Wort „Personen” – nicht „hauptamtlich Beschäftigte”. Es zählt jeder mit, der regelmäßig Zugriff auf Daten hat:

  • der Vorstand
  • der Kassenwart, der den Beitragseinzug macht
  • die Abteilungsleiter, die ihre Mannschaftslisten pflegen
  • Ehrenamtliche, die die Mitgliederverwaltung oder den Newsletter betreuen
Achtung – schneller erreicht als gedacht:

Ein größerer Sportverein mit mehreren Abteilungen, in dem jeweils ein Abteilungsleiter die Mannschaftsdaten in einer Software pflegt, kommt schnell über 20 Personen. Dann ist der DSB Pflicht – nicht, weil der Verein 500 Mitglieder hat, sondern weil 20 Leute mit den Daten arbeiten.

Unabhängig von der 20er-Schwelle kann eine DSB-Pflicht entstehen, wenn der Verein umfangreich besondere Daten nach Art. 9 DSGVO verarbeitet – etwa ein Reha-Sportverein mit Gesundheitsdaten oder ein Verein, der eine Datenschutz-Folgenabschätzung durchführen muss.

Und selbst wenn Sie keinen DSB benennen müssen: Die übrigen DSGVO-Pflichten – Informationspflichten, Verarbeitungsverzeichnis, Datensicherheit – gelten trotzdem. Mehr zur DSB-Schwelle und zur Rechnung intern vs. extern lesen Sie in unserem Beitrag DSB-Pflicht für Hamburger KMU.

20
Personen → DSB-Pflicht (§ 38 BDSG)
830+
Sportvereine im Hamburger Sportbund
Art. 6 b
Rechtsgrundlage Mitgliedschaft
0 €
Bußgelder in unserer Mandantschaft

Mitgliederdaten: Was darf der Verein – und worauf stützt er sich?

Der Verein darf nur die Daten erheben, die er für seinen Zweck wirklich braucht (Grundsatz der Datenminimierung, Art. 5 DSGVO). Die Rechtsgrundlage richtet sich nach dem Zweck:

VerarbeitungRechtsgrundlagePraxis-Hinweis
Mitgliederverwaltung (Name, Anschrift, Geburtsdatum)Art. 6 Abs. 1 lit. b (Vertrag)Ergibt sich aus der Satzung / dem Aufnahmeantrag
Beitragseinzug per SEPA-LastschriftArt. 6 Abs. 1 lit. bIBAN nur für den Einzug, nicht „auf Vorrat”
Weitergabe an Dachverband (z. B. Landesfachverband)Art. 6 Abs. 1 lit. b/fNur Pflichtdaten der Verbandsmeldung, transparent machen
Newsletter / Vereinsinfos per E-MailArt. 6 Abs. 1 lit. a (Einwilligung)Bei Werbung Einwilligung sauber dokumentieren
Fotos vom Vereinsleben auf WebsiteArt. 6 Abs. 1 lit. f bzw. lit. aÜbersichtsfotos f, Porträts/Kinder Einwilligung
Gesundheitsdaten (Reha, Attest)Art. 9 Abs. 2 DSGVOBesonders schützen, Zugriff streng begrenzen

Beim Beitragseinzug gilt: Die Bankdaten gehören zur Vertragserfüllung – das ist sauber über lit. b abgedeckt. Heikel wird es erst bei der Weitergabe an den Dachverband. Hier dürfen nur die Daten fließen, die die Verbandsmeldung tatsächlich verlangt – und die Mitglieder müssen darüber informiert sein. Das Bayerische Landesamt für Datenschutzaufsicht hält für die Mitgliederverwaltung Art. 6 Abs. 1 lit. b DSGVO ausdrücklich für die einschlägige Grundlage.

Tipp:

Schreiben Sie in den Aufnahmeantrag direkt einen kurzen Datenschutzhinweis: welche Daten, welcher Zweck, welche Weitergabe, wie lange gespeichert, welche Rechte. Damit erfüllen Sie die Informationspflicht aus Art. 13 DSGVO an genau der Stelle, an der das Mitglied seine Daten ohnehin angibt.

Der heikelste Punkt: Fotos und die Website

Hier passieren die meisten Fehler – und hier entstehen die meisten Konflikte. Die Berliner Datenschutzaufsicht hat in einer Pressemitteilung klargestellt, dass die Herausgabe von Mitgliederlisten an Dritte nach der DSGVO grundsätzlich untersagt ist. Für die Website gilt sinngemäß: Was im offenen Internet steht, ist für jeden lesbar – das ist eine Veröffentlichung mit hoher Reichweite.

Bei Fotos lohnt eine saubere Unterscheidung. Das Landesamt Baden-Württemberg formuliert es so: Mannschaftsfotos und Aufnahmen vom Vereinsgeschehen darf der Verein meist auf Grundlage seines berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO) veröffentlichen. Bei Porträts, Feiern und besonders bei Kindern sieht es anders aus.

  • Mannschafts- und Übersichtsfotos. In der Regel über berechtigtes Interesse (lit. f) zulässig – das Vereinsgeschehen darf nach außen gezeigt werden.
  • Porträts und Nahaufnahmen einzelner Personen. Hier ist eine Einwilligung der sichere Weg.
  • Fotos von Feiern, Jubiläen, geselligen Anlässen. Ohne Einwilligung der Teilnehmenden besser nicht ins Netz.
  • Aufnahmen von Kindern und Jugendlichen. Immer Einwilligung der Erziehungsberechtigten einholen und dokumentieren.
  • Veröffentlichung von Geburtstagen, Ergebnis- oder Mitgliederlisten. Nur mit Einwilligung der Betroffenen – nicht automatisch.

Dasselbe gilt für WhatsApp-Gruppen und Social Media. Eine Mannschaftsgruppe auf WhatsApp ist bequem – aber Telefonnummern werden dabei an einen US-Dienstleister übertragen, und nicht jedes Mitglied möchte das. Eine datenschutzfreundliche Alternative oder zumindest die Freiwilligkeit der Teilnahme sind hier Gold wert.

Für uns ist wichtig, eine pragmatische Lösung zu finden, wie Vereine ihren Datenschutz umsetzen – ohne dabei den Vereinsbetrieb einzustellen. Beim Foto auf der Website fragen wir nicht „ist das verboten?", sondern „wie holen wir die Einwilligung so ein, dass es niemanden nervt?".

Nils Oehmichen Nils OehmichenExterner Datenschutzbeauftragter bei frag.hugo

Aus der Praxis

Wir sehen bei Hamburger Vereinen regelmäßig dasselbe Muster: Der Vorstand hat ein gutes Bauchgefühl, aber nichts ist dokumentiert. Sobald ein Mitglied wegen eines Fotos oder einer Listenweitergabe nachfragt, fehlt der Nachweis. Genau dann wird aus einer Kleinigkeit ein Vorstandsproblem.

Der häufigste Auslöser ist ein Vereinskonflikt: Ein ausgetretenes oder zerstrittenes Mitglied verlangt plötzlich Auskunft nach Art. 15 DSGVO oder beschwert sich beim HmbBfDI. Wer dann ein Verarbeitungsverzeichnis, Einwilligungen und Löschroutinen vorzeigen kann, ist fein raus. Wer nichts hat, gerät unter Druck – obwohl inhaltlich oft gar nichts Schlimmes passiert ist.

Ehrenamtliche verpflichten und den Vorstand schützen

Jeder, der im Verein Zugriff auf personenbezogene Daten hat, sollte schriftlich auf die Vertraulichkeit verpflichtet werden – das folgt aus Art. 29 und Art. 32 DSGVO. Das ist eine halbe Seite Papier, einmal unterschrieben, fertig. Im Konfliktfall ist es genau dieses Blatt, das den Vorstand entlastet.

Denn die Verantwortung trägt zunächst der Verein als juristische Person. Bei grober Pflichtverletzung kann aber der Vorstand persönlich in Anspruch genommen werden. Ein dokumentierter Mindeststandard ist daher kein Bürokratie-Selbstzweck, sondern Eigenschutz.

Vorstandshaftung ernst nehmen:

Ein „Datenschutz machen wir später"-Beschluss schützt niemanden. Wer als Vorstand nachweisen kann, dass der Verein seine Pflichten organisiert angegangen ist, reduziert sein persönliches Haftungsrisiko erheblich – auch wenn doch einmal etwas schiefgeht.

Der pragmatische Fahrplan für Ihren Verein

Sie müssen nicht alles auf einmal machen. In dieser Reihenfolge kommen Sie mit überschaubarem Aufwand auf einen sauberen Stand:

  1. Schritt 1 – Verarbeitungsverzeichnis light. Listen Sie auf, welche Daten Sie wofür speichern: Mitgliederverwaltung, Beitragseinzug, Newsletter, Website, Verbandsmeldung. Eine schlanke Tabelle genügt fürs Ehrenamt. Eine Anleitung gibt unser Beitrag zum Verarbeitungsverzeichnis.
  2. Schritt 2 – Datenschutzhinweise in den Aufnahmeantrag. Kurzer Text nach Art. 13 DSGVO direkt im Antrag. Damit ist jedes neue Mitglied von Anfang an informiert.
  3. Schritt 3 – Foto-Einwilligungen einführen. Ein einfaches Formular für Veranstaltungen und Website, bei Kindern an die Eltern. Einmal aufgesetzt, immer wieder verwendbar.
  4. Schritt 4 – AVV mit der Vereinssoftware. Nutzen Sie eine Cloud-Mitgliederverwaltung oder einen Newsletter-Dienst, brauchen Sie einen Auftragsverarbeitungsvertrag (Art. 28 DSGVO) mit dem Anbieter.
  5. Schritt 5 – Datenschutzerklärung auf die Website. Pflicht für jede Vereinsseite mit Kontaktformular, Analyse oder eingebetteten Diensten. Wie das geht, zeigt unser Leitfaden zur Datenschutzerklärung 2026.
  6. Schritt 6 – Löschung bei Austritt. Legen Sie fest, wann welche Daten gelöscht werden. Steuerlich relevante Beitragsdaten bleiben aufbewahrungspflichtig, alles andere wird entfernt.
  7. Schritt 7 – Ehrenamtliche verpflichten. Jeder mit Datenzugriff unterschreibt einmal die Vertraulichkeitserklärung.

Beim Punkt Löschung stolpern viele: Nicht alles darf sofort weg. Beitrags- und Spendenbelege unterliegen steuerlichen Aufbewahrungsfristen. Die Mitgliedsdaten selbst, die für den laufenden Vereinsbetrieb nicht mehr nötig sind, gehören aber zeitnah gelöscht. Ein kurzes Löschkonzept trennt beides sauber.

Gute Nachricht fürs Ehrenamt:

Diese sieben Schritte sind kein Studium. Die meisten Hamburger Vereine, die wir begleiten, haben den Grundstein an einem Vorstandsabend gelegt – mit Vorlagen, die man nur noch ausfüllt. Den Rest erledigen Routinen, die einmal stehen.

Fazit / Ihr nächster Schritt

Datenschutz im Verein ist kein Bürokratiemonster – wenn man die richtigen Prioritäten setzt. Die DSGVO gilt auch fürs Ehrenamt, aber die Pflichten sind beherrschbar: Wissen, welche Daten Sie verarbeiten, die Mitglieder informieren, Fotos und Listen mit Augenmaß behandeln, Ehrenamtliche verpflichten. Ob Sie einen DSB benennen müssen, hängt an der 20-Personen-Schwelle – die übrigen Pflichten gelten ohnehin. Wer das einmal sauber aufsetzt, schützt vor allem eines: den Vorstand.

Einen kompakten Überblick über alle DSGVO-Bausteine finden Sie auf unserer Datenschutz-Übersichtsseite. Wer als Hamburger Verein direkt einen externen Datenschutzbeauftragten zum Festpreis sucht, ist bei frag.hugo richtig.

Datenschutz im Verein einmal richtig aufsetzen – ohne das Ehrenamt zu erdrücken.

Wir begleiten Hamburger Vereine pragmatisch: Verarbeitungsverzeichnis, Einwilligungen, Website und – falls nötig – als externer Datenschutzbeauftragter zum Festpreis. In einem kostenlosen 15-Minuten-Erstgespräch klären wir, was Ihr Verein wirklich braucht.

Kostenloses Erstgespräch buchen →

Häufige Fragen (FAQ)

Braucht jeder Verein einen Datenschutzbeauftragten?

Nein. Ein Verein muss erst dann einen Datenschutzbeauftragten benennen, wenn mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind (§ 38 BDSG). Dazu zählen auch Vorstand, Kassenwart und Ehrenamtliche, die regelmäßig mit Mitgliederdaten arbeiten. Bei umfangreicher Verarbeitung besonderer Daten (z. B. Gesundheitsdaten) kann die Pflicht unabhängig von der Personenzahl entstehen.

Auf welcher Rechtsgrundlage darf ein Verein Mitgliederdaten verarbeiten?

Für die Verwaltung der Mitgliedschaft stützt sich der Verein auf Art. 6 Abs. 1 lit. b DSGVO – die Daten sind zur Erfüllung des Mitgliedschaftsvertrags erforderlich (Name, Anschrift, Beitrag, SEPA-Daten). Darüber hinausgehende Verarbeitungen wie Fotos auf der Website laufen über berechtigtes Interesse (lit. f) oder eine Einwilligung (lit. a).

Dürfen Vereine Fotos von Veranstaltungen veröffentlichen?

Mannschafts- und Übersichtsfotos vom Vereinsgeschehen darf ein Verein in der Regel auf Grundlage seines berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO) veröffentlichen. Für Porträtaufnahmen einzelner Personen, Fotos von Feiern oder Aufnahmen von Kindern sollten Sie eine Einwilligung einholen. Bei Minderjährigen ist die Einwilligung der Erziehungsberechtigten nötig.

Darf eine Mitgliederliste auf die Vereinswebsite?

Grundsätzlich nein. Die Mitgliederliste ist das Kernstück der personenbezogenen Daten im Verein und gehört nicht ungeschützt ins offene Internet. Eine Veröffentlichung von Namen, Geburtstagen oder Ergebnislisten braucht eine Rechtsgrundlage – in der Regel die Einwilligung der Betroffenen.

Müssen ehrenamtliche Helfer auf den Datenschutz verpflichtet werden?

Ja. Jede Person, die im Verein Zugriff auf personenbezogene Daten hat – auch Ehrenamtliche – sollte auf die Vertraulichkeit verpflichtet werden (Art. 29 und 32 DSGVO). Das geschieht über eine kurze schriftliche Verpflichtungserklärung. Sie ist schnell ausgefüllt und entlastet im Ernstfall den Vorstand.

Haftet der Vorstand persönlich für Datenschutzverstöße?

Der Verein als juristische Person ist verantwortlich. Der Vorstand kann jedoch bei grober Pflichtverletzung persönlich in Anspruch genommen werden. Ein dokumentierter Mindeststandard – Verarbeitungsverzeichnis, Datenschutzhinweise, Verpflichtungen – schützt den Vorstand und zeigt, dass der Verein seine Pflichten ernst nimmt.

Recherche-Stand: verifiziert am 25.05.2026 über datenschutz-hamburg.de (HmbBfDI, Rubrik Stiftungen/Vereine), lda.bayern.de, baden-wuerttemberg.datenschutz.de, datenschutz-berlin.de, dsgvo-gesetz.de (§ 38 BDSG, Art. 6 DSGVO) und Mitgliederzahlen des Hamburger Sportbunds.

Auch interessant
Datenschutz-Audit

Datenschutz-Audit: Checkliste & Ablauf für KMU (Selbstcheck)

Datenschutz-Audit Checkliste für KMU: alle Prüfbereiche von VVT über TOMs bis Datenpanne, der Ablauf eines Audits und eine Ampel-Bewertung zur Standortbestimmung in Hamburg.
Cookie-Banner

Cookie-Banner rechtssicher gestalten 2026 (§ 25 TDDDG)

Cookie-Banner rechtssicher nach § 25 TDDDG: Wann Consent Pflicht ist, warum der Ablehnen-Button gleichwertig sein muss und welche Fehler abgemahnt werden.
Anrufen Angebot