DSGVO 8 min

DSGVO im Kampfsport-Verein: Die ehrliche Checkliste 2026

Was muss ein BJJ-, Karate- oder Judo-Verein wirklich für die DSGVO erledigen? Pflicht-Dokumente, Auftragsverarbeitung, Mitglieder-Rechte — ohne Anwaltsgebühren-Geschwurbel.

Die DSGVO ist seit 2018 in Kraft. Trotzdem führen 90 % der deutschen Kampfsport-Vereine ihre Mitgliederlisten in einer Excel-Tabelle, ohne Verarbeitungsverzeichnis, ohne AVV mit dem Cloud-Anbieter, ohne dokumentierten Lösch-Prozess. Die meisten kommen damit durch — bis ein gekündigtes Mitglied sich beschwert oder ein Wettbewerber abmahnt.

Dieser Artikel ist keine Rechtsberatung. Aber eine ehrliche Praxis-Checkliste, was du als Vereinsvorstand oder Gym-Inhaber wirklich erledigen solltest — in der richtigen Reihenfolge, mit konkreten Vorlagen.

1. Was die DSGVO von dir verlangt — kurz

Du verarbeitest personenbezogene Daten: Name, E-Mail, Telefonnummer, Geburtsdatum, Mitgliedschaftsdaten, Anwesenheiten, Gürtelgrade. Das macht dich zumVerantwortlichen nach Art. 4 Nr. 7 DSGVO. Damit bist du verpflichtet:

  • Mitglieder zu informieren, was du mit ihren Daten machst (Art. 13)
  • Einwilligungen rechtssicher einzuholen und zu dokumentieren (Art. 7)
  • Ein Verarbeitungsverzeichnis zu führen (Art. 30)
  • Mit deinen Software-Anbietern AVVs zu schließen (Art. 28)
  • Auf Anfragen zu Auskunft, Berichtigung, Löschung binnen 30 Tagen zu reagieren (Art. 15-21)
  • Datenpannen binnen 72 Stunden zu melden (Art. 33)

Nicht-Einhaltung kann theoretisch bis zu 20 Mio. € Bußgeld kosten. Realistisch bei einem Vereinsverstoß: Abmahnung 600-3.000 €, in Wiederholungsfällen 5.000-20.000 €.

2. Die ehrliche Pflicht-Checkliste

✅ Datenschutzerklärung auf der Vereins-Website

Pflicht. Muss enthalten: Verantwortlicher, Datenkategorien, Zwecke, Rechtsgrundlagen, Auftragsverarbeiter, Speicherdauer, Betroffenenrechte. Eine generische Vorlage von einem Generator reicht — solange du sie an deinen Verein anpasst.

✅ Einwilligung beim Mitglieder-Beitritt

Muss aktiv erfolgen (kein vorausgefülltes Häkchen!). Bei Online-Anmeldung: Checkbox + Hinweis auf Datenschutzerklärung. Du musst IP, Zeitstempel und den Einwilligungstext protokollieren — nicht nur "Ja, akzeptiert".

✅ Auftragsverarbeitungsverträge (AVV) mit allen Software-Anbietern

Wenn du Mitgliederdaten in einer Software speicherst (egal ob Excel-Cloud, Buchhaltungs-Tool, Mail-Client), musst du mit dem Anbieter einen AVV haben. Bei großen Anbietern wie Microsoft, Google, oder spezialisierter Gym-Software wie Osss ist das ein Standard-Dokument, das du unterschreiben musst.

Praxis-Tipp: Bei Osss ist der AVV elektronisch im Dashboard signierbar — eIDAS-konform, Audit-Trail wird automatisch gespeichert. Spart das übliche E-Mail-Hin-und-Her.

✅ Verarbeitungsverzeichnis (Art. 30)

Internes Dokument — muss nicht öffentlich sein, aber auf Verlangen der Aufsichtsbehörde vorgelegt werden. In Bayern: BayLDA. Inhalt: Welche Verarbeitungen finden statt? Welche Daten? Welche Empfänger? Speicherdauer? Schutzmaßnahmen?

Eine simple Tabelle reicht. Vorlagen findest du beim Bundesdatenschutzbeauftragten oder bei den Landes-Datenschutzbehörden kostenlos.

✅ Lösch-Prozess für Ex-Mitglieder

Nach Vertragsende dürfen Mitgliederdaten nur noch so lange gespeichert werden, wie gesetzliche Aufbewahrungspflichten es verlangen — typischerweise 10 Jahre für rechnungsrelevante Daten (§ 257 HGB / § 147 AO), alle anderen Daten früher löschen.

✅ Datenpannen-Plan

Du brauchst eine kurze Anweisung: Wer macht was, wenn ein Laptop mit Mitgliederdaten gestohlen wird oder ein Hack-Vorfall passiert? 72-Stunden-Frist für die Meldung an die Aufsichtsbehörde ist eng.

3. Was du nicht brauchst (entgegen verbreiteter Mythen)

  • Cookie-Banner — wenn deine Vereinswebsite nur technisch notwendige Cookies setzt (Session-Login, kein Tracking), brauchst du keinen Banner. Erst Google Analytics oder Meta Pixel machen ihn nötig.
  • Datenschutzbeauftragten — erst ab 20 Personen, die regelmäßig personenbezogene Daten verarbeiten. Solo-Vereinsvorstand braucht keinen.
  • Server in Deutschland — innerhalb der EU oder in Ländern mit Adequacy-Decision (UK, Schweiz) ist alles legal. Marketing-Mythos, dass nur Frankfurt geht.

4. Praxis-Vorlagen

Statt Anwaltsgebühren — diese kostenlosen Quellen reichen für 95 % der Vereine:

  • Datenschutzerklärung-Generator: e-recht24.de oder datenschutz-generator.de
  • Verarbeitungsverzeichnis-Vorlage: bfdi.bund.de oder lda.bayern.de
  • AVV-Muster: bei den meisten Software-Anbietern direkt im Dashboard
  • Datenpannen-Playbook: die Aufsichtsbehörden bieten 1-Seiten-PDFs

5. Wenn dir das alles zu viel ist

Dann lass es eine Software für dich machen. Osss erfasst Einwilligungen automatisch (IP + Zeitstempel + Text), führt das Verarbeitungsverzeichnis dokumentiert mit, hat den AVV elektronisch unterzeichenbar eingebaut und löscht Mitgliederdaten auf Anfrage per Knopfdruck. Deine Aufsichtsbehörde wird davon nichts mehr lesen müssen — du auch nicht.

Osss kostenlos testen

Bis 30 Mitglieder gratis. Keine Kreditkarte. AVV inklusive.

Jetzt starten →

Lieber Software statt Theorie?

Osss erledigt DSGVO, Rechnungen und Mitgliederverwaltung — direkt eingebaut.

Kostenlos testen