Nexvyra

DSGVO im Verein – Mitgliederdaten, Webseite und Fotos

Inhaltlich verantwortet von Andreas Warkentin (warepoint-media GbR) · zuletzt geprüft am 2026-06-03 · Quellenautorität A (amtliche Primärquelle) Fehler melden ✉
Datenschutz DSGVO Verein Mitgliederdaten BDSG § 38 Deutschland / EU
Status: in Kraft
Kurzantwort Auch ein Verein ist „Verantwortlicher" im Sinne von Art. 4 Nr. 7 DSGVO und muss die Datenschutz-Grundverordnung vollständig einhalten, sobald er personenbezogene Daten – etwa Mitgliederdaten – verarbeitet. Die Verwaltung der Mitglieder stützt sich auf Art. 6 Abs. 1 lit. b DSGVO (Erfüllung des Mitgliedschaftsvertrags); für darüber hinausgehende Zwecke ist je nach Fall ein berechtigtes Interesse (Art. 6 Abs. 1 lit. f) oder eine Einwilligung (Art. 6 Abs. 1 lit. a) nötig. Die Veröffentlichung von Mitgliederfotos auf Webseite, in sozialen Medien oder in der Vereinszeitung ist regelmäßig nur mit Einwilligung zulässig. Einen Datenschutzbeauftragten muss der Verein nach § 38 Abs. 1 BDSG erst benennen, wenn in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.

Kernfakten

PunktWert
Verein als VerantwortlicherArt. 4 Nr. 7 DSGVO – der Verein (vertreten durch den Vorstand) ist verantwortliche Stelle
Rechtsgrundlage MitgliederverwaltungArt. 6 Abs. 1 lit. b DSGVO – Erfüllung des Mitgliedschaftsverhältnisses
Rechtsgrundlage darüber hinausArt. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) oder lit. a (Einwilligung)
Erforderliche IdentifikationsdatenName, Vorname, Anschrift, Geburtsdatum – nicht Ausweis-/Passnummer
Mitgliederliste an andere Mitgliedergrundsätzlich unzulässig; zulässig nur, wenn der Vereinszweck den Austausch erfordert
Fotos auf Webseite / Social Mediaregelmäßig nur mit Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO
Informationspflicht bei BeitrittArt. 13 DSGVO – Information bei Erhebung der Daten
Verzeichnis von VerarbeitungstätigkeitenArt. 30 DSGVO – auch für Vereine
Datensicherheit (TOM)Art. 32 DSGVO – technische und organisatorische Maßnahmen
Meldepflicht DatenpanneArt. 33 DSGVO – Meldung binnen 72 Stunden; Art. 34 – Benachrichtigung Betroffener bei hohem Risiko
Datenschutzbeauftragter Pflicht§ 38 Abs. 1 BDSG – ab i. d. R. 20 Personen ständig mit automatisierter Verarbeitung
BetroffenenrechteArt. 15–21 DSGVO – Auskunft, Berichtigung, Löschung, Widerspruch
BußgeldrahmenArt. 83 DSGVO – bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes (oberer Rahmen)

Geltungsbereich

Die DSGVO gilt für jeden Verein unabhängig von Größe, Gemeinnützigkeit oder Rechtsform, sobald personenbezogene Daten verarbeitet werden (Art. 2, Art. 3 DSGVO). Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO ist der Verein als juristische Person, nach außen vertreten durch den Vorstand (§ 26 BGB). Das gilt für eingetragene Vereine (e. V.) ebenso wie für nicht eingetragene Vereine. Eine Ausnahme greift nur für rein persönliche oder familiäre Tätigkeiten (Art. 2 Abs. 2 lit. c DSGVO) – die organisierte Mitgliederverwaltung eines Vereins fällt nicht darunter.

Rechtsgrundlagen der Datenverarbeitung im Verein

Jede Verarbeitung personenbezogener Daten braucht eine Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO. Im Verein sind drei Grundlagen einschlägig:

Nach der Orientierungshilfe des LfDI Baden-Württemberg besteht ein berechtigtes Interesse grundsätzlich nur an den Daten, die für eine eindeutige Identifizierung erforderlich und ausreichend sind, also Name, Vorname, Anschrift und Geburtsdatum – nicht jedoch Personalausweis- oder Passnummer.

Mitgliederliste und Datenweitergabe

Es ist datenschutzrechtlich nicht zulässig, dass alle Mitglieder unbeschränkt auf die Daten der anderen Mitglieder zugreifen können. Eine Verbreitung der Mitgliederliste unter den Vereinsangehörigen ist nach Auffassung des LfDI Baden-Württemberg nur dann möglich, wenn der Vereinszweck gerade darin besteht, dass die Mitglieder untereinander in Kontakt treten und sich austauschen (z. B. Selbsthilfevereine).

Für die Weitergabe von Mitgliederdaten an Dachverbände oder Landesverbände (etwa zur Spielberechtigung im Sport) braucht der Verein eine eigene Rechtsgrundlage – häufig die Vertragserfüllung, wenn die Verbandsmitgliedschaft satzungsgemäß Teil der Mitgliedschaft ist, sonst die Einwilligung. Eine Übermittlung an verbandsfremde Dritte (z. B. Sponsoren zu Werbezwecken) erfordert grundsätzlich die Einwilligung der betroffenen Mitglieder.

Fotos und Veröffentlichungen

Die Veröffentlichung von Fotos einzelner Personen auf der Vereins-Webseite, in sozialen Medien oder in einer Vereinszeitung ist regelmäßig nur mit Einwilligung zulässig, weil die Verarbeitung weder zur Durchführung des Mitgliedsvertrags noch aufgrund berechtigter Interessen des Vereins erforderlich ist. Bei Fotos von Minderjährigen ist die Einwilligung der Sorgeberechtigten einzuholen. Die Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden; der Verein muss das Foto dann von den von ihm kontrollierten Kanälen entfernen.

Auch die Veröffentlichung von Ehrungen, Geburtstagen oder Wahlergebnissen mit Namensnennung in Vereinszeitung, Aushang oder Webseite geht über die reine Mitgliederverwaltung hinaus und stützt sich daher auf eine Einwilligung oder eine sorgfältige Interessenabwägung.

Häufige Fehler und Missverständnisse

Quellen

Stand:
2026-06-03
Gültig ab:
2018-05-25 (Geltungsbeginn der DSGVO)
Status:
aktuell
Quellenautorität:
A (EUR-Lex, gesetze-im-internet.de, Landesdatenschutzbehörden BW/NRW)
Lizenz:
CC BY 4.0