DSGVO für Vereinswebsites — was wirklich Pflicht ist, verständlich erklärt
Die DSGVO gilt auch für euren Verein — und die Vereinswebsite ist der Ort, an dem Verstöße am schnellsten auffallen. Dieser Ratgeber erklärt ohne Juristendeutsch, was auf eure Seite gehört: Datenschutzerklärung, SSL, saubere Formulare, Fotos, lokal eingebundene Schriften und cookielose Statistik. Mit Checkliste am Ende — und dem ehrlichen Hinweis: Das ist Praxisorientierung, keine Rechtsberatung.
Von der sozialfolio-Redaktion · Aktualisiert am 05.07.2026
- Die DSGVO gilt auch für kleine Vereine — die Website verarbeitet mit IP-Adressen, Formularen und Fotos fast immer personenbezogene Daten.
- Grundausstattung: eine Datenschutzerklärung, die zur echten Seite passt, plus SSL-Verschlüsselung — beides ist heute ohne großen Aufwand machbar.
- Formulare datensparsam bauen, Löschroutinen klären und AV-Verträge mit Hoster, Newsletter- und Statistik-Anbieter abschließen.
- Fotos erkennbarer Personen brauchen eine dokumentierte Einwilligung — bei Kindern die der Sorgeberechtigten, Widerrufe werden kommentarlos umgesetzt.
- Google Fonts lokal einbinden statt vom Google-Server laden — die bekannteste Abmahnfalle für Vereinswebsites ist einfach zu entschärfen.
- Wer auf Tracking verzichtet und cookielose Statistik nutzt, braucht meist gar keinen Cookie-Banner — Datensparsamkeit ist der eleganteste Datenschutz.
Warum die DSGVO auch euren Verein betrifft
Ein verbreiteter Irrtum: „Wir sind doch nur ein kleiner Verein, für uns gilt das nicht.“ Doch. Die Datenschutz-Grundverordnung unterscheidet nicht zwischen Konzern und Kaninchenzuchtverein — sobald ihr personenbezogene Daten verarbeitet, seid ihr Verantwortliche im Sinne der DSGVO. Und eine Website verarbeitet fast immer personenbezogene Daten: IP-Adressen der Besucher, Eingaben in Formularen, Fotos von Mitgliedern.
Die gute Nachricht: Für eine typische Vereinswebsite ist der Pflichtenkatalog überschaubar und einmal sauber aufgesetzt gut zu halten. Die Risiken liegen weniger bei Bußgeldern der Aufsichtsbehörden — die gehen selten zuerst auf kleine Vereine los — als bei Abmahnungen, etwa wegen extern geladener Google Fonts, und bei Konflikten im Verein selbst, wenn sich ein Mitglied gegen ein veröffentlichtes Foto wehrt.
Deshalb vorab die wichtigste Haltung: Datenschutz auf der Vereinswebsite ist kein Papierkrieg, sondern vor allem Datensparsamkeit. Was ihr nicht erhebt, müsst ihr nicht absichern, nicht erklären und nicht verteidigen. Viele Punkte in diesem Ratgeber laufen genau darauf hinaus — weniger Dienste, weniger Cookies, weniger Drittanbieter.
Die Grundausstattung: Datenschutzerklärung und SSL
Jede Vereinswebsite braucht eine Datenschutzerklärung — von jeder Unterseite aus mit einem Klick erreichbar, üblicherweise im Footer neben dem Impressum. Entscheidend ist, dass sie zu eurer echten Seite passt: Sie muss genau die Verarbeitungen beschreiben, die tatsächlich stattfinden — Hosting, Kontaktformular, eingebettete Karten oder Videos, Statistik. Eine aus dem Netz kopierte Muster-Erklärung, die Dienste nennt, die ihr gar nicht nutzt (oder eure Dienste verschweigt), ist keine Absicherung, sondern ein Risiko.
Kostenlose Generatoren von seriösen Anbietern sind für Vereine ein brauchbarer Start — besser jedenfalls als gar nichts oder ein fünf Jahre alter Textbaustein. Wichtig: Die Erklärung muss gepflegt werden. Baut ihr ein neues Formular oder ein Statistik-Tool ein, muss die Datenschutzerklärung mitziehen.
Die zweite Grundlage ist SSL-Verschlüsselung — eure Seite muss über https erreichbar sein, erkennbar am Schloss-Symbol im Browser. Ohne SSL werden Formulardaten unverschlüsselt übertragen; das ist ein handfester DSGVO-Verstoß und schreckt nebenbei Besucher ab, weil Browser unverschlüsselte Seiten als „nicht sicher“ markieren. Bei jedem seriösen Hoster ist SSL heute kostenlos dabei — es gibt keinen Grund, darauf zu verzichten.
- Datenschutzerklärung: von jeder Seite erreichbar, passend zur echten Website
- Keine blind kopierten Muster — die Erklärung muss eure Dienste beschreiben
- Bei jeder neuen Funktion die Erklärung aktualisieren
- SSL/https ist Pflicht — bei seriösen Hostern kostenlos
Formulare, E-Mail und Auftragsverarbeitung
Kontaktformulare, Anmeldungen zum Probetraining, Newsletter-Eintragungen — überall dort gebt ihr Besuchern die Möglichkeit, euch Daten zu schicken. Die Regel ist einfach: nur abfragen, was ihr wirklich braucht. Für eine Kontaktanfrage genügen Name, E-Mail-Adresse und Nachricht. Geburtsdatum, Adresse oder Telefonnummer als Pflichtfelder brauchen einen guten Grund. Jedes Formular gehört außerdem in der Datenschutzerklärung erwähnt, mit Zweck und Rechtsgrundlage.
Dahinter steht ein Punkt, den viele Vereine nicht kennen: die Auftragsverarbeitung. Euer Hoster speichert die Daten eurer Website-Besucher in eurem Auftrag — dafür verlangt die DSGVO einen Auftragsverarbeitungsvertrag (AV-Vertrag) nach Art. 28 DSGVO. Das klingt bürokratischer, als es ist: Seriöse Hoster stellen diesen Vertrag fertig bereit, oft mit wenigen Klicks im Kundenmenü abschließbar. Dasselbe gilt für Newsletter-Dienste und Statistik-Tools. Prüft einmal, ob diese Verträge vorliegen, und legt sie in den Vereinsunterlagen ab.
Ein praktischer Tipp zur Datensparsamkeit: Überlegt bei jedem Formular, wo die Daten landen und wer sie liest. Eine Anmeldung, die in einem verwaisten Postfach versandet, ist nicht nur ärgerlich für Interessierte — sie ist auch ein Datenschutzproblem, weil niemand die Daten je löscht. Klärt Zuständigkeit und Löschroutine gleich mit.
Fotos von Mitgliedern und Veranstaltungen
Fotos sind für Vereinswebsites Gold wert — und gleichzeitig das heikelste Datenschutzthema. Es gelten zwei Regelwerke nebeneinander: das Recht am eigenen Bild aus dem Kunsturhebergesetz (§§ 22, 23 KUG) und die DSGVO, denn ein Foto, auf dem jemand erkennbar ist, ist ein personenbezogenes Datum. Die Grundregel: Erkennbare Personen brauchen eine Rechtsgrundlage für die Veröffentlichung — im Vereinsalltag meist die Einwilligung.
Praktisch heißt das: Holt Einwilligungen schriftlich ein, am besten schon beim Vereinseintritt über ein Formular, das die Website ausdrücklich nennt — und dokumentiert sie. Bei Kindern und Jugendlichen unterschreiben die Sorgeberechtigten. Und ganz wichtig: Eine Einwilligung ist freiwillig und widerruflich. Wenn ein Mitglied ein Foto entfernt haben will, nehmt es runter, ohne zu diskutieren. § 23 KUG kennt Ausnahmen, etwa für Bilder von Versammlungen, bei denen die Veranstaltung im Vordergrund steht — verlasst euch darauf aber nicht als Freifahrtschein, die Abgrenzung ist im Einzelfall juristisch heikel.
Für die Praxis hat sich ein einfacher Dreiklang bewährt: Übersichtsbilder statt Nahaufnahmen, wenn keine Einwilligung vorliegt. Besondere Vorsicht bei Kindern — im Zweifel gar nicht oder unkenntlich. Und vor jeder Galerie eine kurze Freigaberunde. Zu diesem Thema habe ich einen eigenen Ratgeber zu Fotos und Datenschutz im Verein geschrieben.
- Erkennbare Personen: Einwilligung einholen und dokumentieren
- Bei Minderjährigen unterschreiben die Sorgeberechtigten
- Widerruf respektieren — Foto kommentarlos entfernen
- Ausnahmen des § 23 KUG nicht als Freifahrtschein verstehen
Google Fonts, Cookies und cookielose Statistik
Der Klassiker unter den Abmahnfallen: Google Fonts, die beim Seitenaufruf vom Google-Server geladen werden. Dabei wird die IP-Adresse des Besuchers in die USA übertragen — dazu gab es bereits Gerichtsentscheidungen und massenhafte Abmahnschreiben, die auch Vereine getroffen haben. Die Lösung ist simpel und kostet nichts an Qualität: Schriften lokal auf dem eigenen Server einbinden. Dasselbe Prinzip gilt für extern geladene Skripte, Karten und Videos — jede Einbettung von Drittanbietern ist ein Datenabfluss, den ihr erklären und meist per Einwilligung absichern müsst.
Beim Thema Cookies hilft das TDDDG (früher TTDSG) weiter: Technisch notwendige Cookies sind ohne Einwilligung erlaubt, alles andere — Tracking, Marketing, viele Einbettungen — braucht eine echte, freiwillige Einwilligung vorab. Daraus folgt die unbequeme Wahrheit über Cookie-Banner: Wer keine einwilligungspflichtigen Dienste einsetzt, braucht auch keinen Banner. Der eleganteste Datenschutz ist eine Website, die ohne auskommt.
Und das geht auch bei der Statistik: Cookielose Tools werten Besucherzahlen anonymisiert aus, ohne Profile zu bilden — für einen Verein, der wissen will, ob die Mitmachen-Seite gelesen wird, reicht das vollkommen. Genau so baue ich Websites bei sozialfolio standardmäßig: lokal eingebundene Schriften, cookielose Statistik, EU-Hosting, keine unnötigen Drittdienste — und in den meisten Fällen kein Cookie-Banner, weil schlicht keiner nötig ist.
Die DSGVO-Checkliste für eure Vereinswebsite
Zum Abschluss die wichtigsten Punkte als Checkliste — geht sie einmal im Jahr durch, etwa vor der Mitgliederversammlung. Die meisten Punkte sind einmal erledigt und dann nur noch Pflegeaufwand. Und noch einmal ehrlich gesagt: Diese Liste ersetzt keine Rechtsberatung im Einzelfall, deckt aber die Praxisthemen ab, an denen Vereinswebsites erfahrungsgemäß scheitern.
Wenn ihr beim Durchgehen feststellt, dass mehrere Punkte offen sind: kein Grund zur Panik, aber ein Grund zum Handeln — am besten mit einem festen Verantwortlichen und einem Termin. Und wenn ihr die Website ohnehin neu bauen wollt, ist das der beste Zeitpunkt, alle Punkte in einem Rutsch sauber aufzusetzen. Bei sozialfolio gehören DSGVO-Grundausstattung, Impressum nach § 5 DDG, SSL, EU-Hosting, lokale Schriften und cookielose Statistik zum Vereins-Paket — nicht als Extra, sondern als Standard.
- Datenschutzerklärung vorhanden, aktuell und von jeder Seite erreichbar
- Impressum nach § 5 DDG vollständig
- SSL aktiv — Seite nur über https erreichbar
- Schriften lokal eingebunden, keine Google Fonts vom Google-Server
- Formulare: Datensparsamkeit, Zweck in der Datenschutzerklärung, Löschroutine geklärt
- AV-Verträge mit Hoster, Newsletter- und Statistik-Anbieter abgeschlossen
- Foto-Einwilligungen dokumentiert, Prozess für Widerrufe festgelegt
- Statistik cookielos — Cookie-Banner nur, wenn wirklich nötig
Häufige Fragen
Gilt die DSGVO auch für kleine Vereine?+
Ja. Die DSGVO macht keine Ausnahme für kleine oder gemeinnützige Organisationen — sobald euer Verein personenbezogene Daten verarbeitet, gelten die Pflichten. Auf der Website betrifft das schon IP-Adressen der Besucher, Formulareingaben und Fotos von Mitgliedern. Der Pflichtenkatalog für eine typische Vereinswebsite ist aber überschaubar und einmal sauber aufgesetzt gut zu halten.
Braucht unsere Vereinswebsite einen Cookie-Banner?+
Nur, wenn ihr einwilligungspflichtige Dienste einsetzt — etwa Tracking, Marketing-Cookies oder bestimmte Einbettungen. Technisch notwendige Cookies sind nach dem TDDDG ohne Einwilligung erlaubt. Eine Vereinswebsite mit lokalen Schriften, cookieloser Statistik und ohne Drittanbieter-Tracking kommt in der Regel komplett ohne Banner aus — das ist die eleganteste Lösung.
Dürfen wir Fotos von Vereinsfesten auf die Website stellen?+
Grundsätzlich nur mit Rechtsgrundlage — bei erkennbaren Personen meist die dokumentierte Einwilligung, bei Kindern die der Sorgeberechtigten. § 23 KUG erlaubt Ausnahmen, etwa wenn die Veranstaltung als solche im Vordergrund steht, aber die Abgrenzung ist im Einzelfall heikel. Praxisregel: Übersichtsbilder statt Nahaufnahmen, Einwilligungen beim Vereinseintritt einholen, Widerrufe kommentarlos umsetzen. Das ist keine Rechtsberatung, sondern gelebte Vorsicht.
Was ist das Problem mit Google Fonts auf Vereinswebsites?+
Werden Google Fonts beim Seitenaufruf vom Google-Server geladen, wird die IP-Adresse des Besuchers ohne Einwilligung in die USA übertragen. Dazu gab es Gerichtsentscheidungen und Abmahnwellen, die auch Vereine getroffen haben. Die Lösung: dieselben Schriften lokal auf dem eigenen Server einbinden — optisch identisch, rechtlich sauber und bei sozialfolio Standard im Vereins-Paket.
Was ist ein AV-Vertrag und brauchen wir den wirklich?+
Ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO regelt, dass Dienstleister — etwa euer Hoster oder Newsletter-Anbieter — Daten nur in eurem Auftrag verarbeiten. Ja, den braucht ihr, aber der Aufwand ist klein: Seriöse Anbieter stellen den Vertrag fertig bereit, oft per Klick im Kundenmenü. Einmal abschließen, in den Vereinsunterlagen ablegen, fertig.
Das könnte euch auch interessieren
Lieber gleich DSGVO-sauber bauen lassen?
Wenn ihr die Checkliste seht und denkt „das will ich nicht alles selbst nachhalten“: Ich baue Vereinswebsites, bei denen Datenschutzerklärung, SSL, EU-Hosting, lokale Schriften und cookielose Statistik von Anfang an Standard sind — derzeit zum Referenzpreis von 750 Euro. Erstgespräch kostenlos und unverbindlich.