Vorweg, weil es wichtig ist: Ich bin kein Anwalt, und dieser Artikel ist keine Rechtsberatung. Er ist die Praxis-Checkliste, mit der ich Vereinswebseiten baue und prüfe — bei konkreten rechtlichen Fragen gehört ein Fachanwalt oder die Datenschutzaufsicht ins Boot. Aber: Die allermeisten DSGVO-Probleme auf Vereinsseiten sind keine juristischen Spitzfindigkeiten, sondern dieselben zehn handwerklichen Fehler. Die gehen wir jetzt durch.
Warum das auch kleine Vereine betrifft
Abmahnungen und Beschwerden treffen nicht die Konzerne mit Rechtsabteilung — sie treffen die, die sich nicht wehren. Nach einem Urteil des LG München (2022) zu Google Fonts ging eine regelrechte Abmahnwelle durchs Land, und getroffen hat sie reihenweise kleine Seitenbetreiber. Die gute Nachricht: Mit einem Nachmittag Aufwand ist eine Vereinsseite sauber.
Die Checkliste
1. Impressum — vollständig und auffindbar
Pflicht für praktisch jeden eingetragenen Verein mit Website: Vereinsname mit Rechtsform, Anschrift (kein Postfach), vertretungsberechtigter Vorstand, E-Mail, Registergericht und Vereinsregisternummer. Von jeder Seite mit maximal zwei Klicks erreichbar. Generatoren (z. B. eRecht24) liefern eine solide Vorlage.
2. Datenschutzerklärung — passend zur echten Seite
Der häufigste Fehler: eine kopierte Datenschutzerklärung, die Dienste nennt, die gar nicht laufen — und die verschweigt, die tatsächlich laufen. Die Erklärung muss zu eurer Seite passen: Welches Hosting, welche Formulare, welche Einbettungen, welche Statistik.
3. Schriftarten — lokal hosten, nicht von Google laden
Der Klassiker seit dem Münchner Urteil: Google Fonts direkt von Google-Servern eingebunden überträgt die IP-Adresse jedes Besuchers in die USA — ohne Einwilligung unzulässig. Die Lösung ist simpel: Schriftarten auf dem eigenen Server hosten. Schneller ist es obendrein. So prüfst du es: Seite öffnen → F12 → Reiter “Netzwerk” → neu laden → nach fonts.googleapis.com oder fonts.gstatic.com suchen. Taucht da was auf, besteht Handlungsbedarf.
4. Eingebettete Inhalte — YouTube, Karten & Co.
Jedes eingebettete YouTube-Video und jede Google-Maps-Karte lädt beim Seitenaufruf Daten von US-Servern — noch bevor jemand auf Play drückt. Saubere Lösungen: Vorschaubild mit Zwei-Klick-Lösung (Inhalt lädt erst nach Klick + Hinweis), YouTube im erweiterten Datenschutzmodus (youtube-nocookie.com), oder für Anfahrtskarten eine OpenStreetMap-Einbindung.
5. Kontaktformulare — verschlüsselt und sparsam
HTTPS ist Pflicht (das Schloss-Symbol im Browser). Im Formular gilt Datensparsamkeit: abfragen, was ihr braucht — nicht Geburtsdatum und Telefonnummer “für alle Fälle”. Pflichtfelder kennzeichnen und in der Datenschutzerklärung erklären, was mit den Daten passiert.
6. Fotos von Mitgliedern und Veranstaltungen
Das Sommerfest-Album ist der häufigste Konfliktpunkt im Vereinsalltag. Faustregeln: Für erkennbare Einzelpersonen braucht ihr eine Rechtsgrundlage — am sichersten eine Einwilligung, idealerweise schon im Aufnahmeantrag oder per Aushang/Hinweis bei der Veranstaltung geregelt. Bei Kindern und Jugendlichen: immer schriftliche Einwilligung der Erziehungsberechtigten, keine Ausnahmen. Und: Einwilligungen sind widerruflich — es braucht jemanden, der ein Foto auch wirklich löscht, wenn der Widerruf kommt.
7. Newsletter — nur mit Double-Opt-in
Wer sich anmeldet, bekommt erst eine Bestätigungsmail und ist erst nach dem Klick auf den Link angemeldet. Alles andere (Adressen aus der Mitgliederliste “einfach mit aufnehmen”) ist unzulässig. Jede Mail braucht einen Abmeldelink.
8. Statistik — cookielos statt Google Analytics
Google Analytics braucht ein Einwilligungs-Banner und bleibt datenschutzrechtlich umstritten. Für einen Verein reicht eine cookielose, EU-konforme Statistik (z. B. Plausible oder selbst gehostetes Umami) — die braucht kein Banner, nur einen Absatz in der Datenschutzerklärung. Ehrliche Frage vorab: Braucht ihr überhaupt Statistik?
9. Hosting — am besten in der EU
Mit EU-Hosting erspart ihr euch die komplette Diskussion um Drittlandtransfers beim Kernbetrieb der Seite. Mit dem Hoster gehört ein Auftragsverarbeitungsvertrag (AVV) geschlossen — bei seriösen Anbietern ist das ein Klick im Kundenbereich.
10. Zuständigkeit — wer kümmert sich?
DSGVO ist kein Einmal-Projekt. Es braucht eine benannte Person im Verein, die Anfragen beantwortet (“Welche Daten habt ihr über mich?”, “Löscht bitte das Foto”), und einen Platz, wo Einwilligungen abgelegt sind. Ein formeller Datenschutzbeauftragter ist erst ab bestimmten Schwellen Pflicht (in der Regel ab 20 Personen, die ständig personenbezogene Daten verarbeiten) — eine zuständige Person braucht ihr trotzdem immer.
Die Kurzfassung zum Abhaken
- Impressum vollständig (inkl. Registernummer), 2 Klicks erreichbar
- Datenschutzerklärung passt zur tatsächlichen Seite
- Keine Google Fonts von Google-Servern (F12-Test)
- Videos & Karten nur mit Zwei-Klick-Lösung oder Datenschutzmodus
- HTTPS aktiv, Formulare datensparsam
- Foto-Einwilligungen geregelt, bei Minderjährigen schriftlich
- Newsletter mit Double-Opt-in und Abmeldelink
- Statistik cookielos oder gar nicht
- EU-Hosting mit AVV
- Eine zuständige Person benannt
Fazit
Nichts auf dieser Liste ist Hexenwerk — aber die Punkte 3, 4 und 6 stecken in fast jeder Vereinsseite, die ich zum ersten Mal prüfe. Wenn ihr unsicher seid, wo eure Seite steht: Ich schaue im kostenlosen Erstgespräch drüber und sage euch ehrlich, ob es bei euch um zwei Handgriffe geht oder um eine Generalüberholung.