DSGVO im Kampfsport-Verein.Die ehrliche Pflicht-Liste. Was du als Vereinsvorstand oder Gym-Inhaber wirklich erledigen musst — ohne Anwaltsfloskeln. Druckbar als PDF (Cmd+P / Strg+P → „Als PDF speichern").
Diese Checkliste ist keine Rechtsberatung . Bei Unsicherheit: einmal Anwalt fragen — kostet ~300 €, lohnt sich.
7 Pflicht-Punkte Häkchen für „erledigt", Notiz neben jedem Punkt für deine Realität.
1. Datenschutzerklärung auf Vereins-Website
Pflicht nach Art. 13 DSGVO. Muss enthalten: Verantwortlicher, Datenkategorien, Zwecke, Rechtsgrundlagen, Auftragsverarbeiter, Speicherdauer, Betroffenenrechte.
💡 Praxis: Generator-Vorlage von e-recht24.de oder datenschutz-generator.de reicht — solange du sie an deinen Verein anpasst.
2. Aktive Einwilligung beim Mitglieder-Beitritt
Kein vorausgefülltes Häkchen! Bei Online-Anmeldung: Checkbox + Hinweis auf Datenschutzerklärung.
💡 Praxis: Du musst IP, Zeitstempel und den Einwilligungstext protokollieren — nicht nur „Ja, akzeptiert".
3. AVV mit jedem Cloud-Anbieter
Auftragsverarbeitungsverträge (Art. 28 DSGVO) mit Microsoft, Google, Mailbox-Anbieter, Software-Tools — überall wo Mitgliederdaten landen.
💡 Praxis: Bei großen Anbietern automatisch via T&Cs. Bei spezialisierter Gym-Software wie Osss elektronisch im Dashboard signierbar.
4. Verarbeitungsverzeichnis (Art. 30 DSGVO)
Internes Dokument — muss nicht öffentlich sein, aber auf Verlangen der Aufsichtsbehörde (z.B. BayLDA) vorgelegt werden.
💡 Praxis: Eine simple Tabelle reicht. Vorlagen kostenlos beim BfDI oder bei den Landes-Datenschutzbehörden.
5. Lösch-Prozess für Ex-Mitglieder
Nach Vertragsende dürfen Daten nur so lange gespeichert werden, wie gesetzliche Aufbewahrungspflichten verlangen.
💡 Praxis: Rechnungsrelevante Daten 10 Jahre (§ 257 HGB / § 147 AO). Alles andere früher löschen.
6. Datenpannen-Plan
Bei Datenleck: 72-Stunden-Frist für Meldung an Aufsichtsbehörde (Art. 33 DSGVO).
💡 Praxis: Schreibe eine 1-Seiten-Anweisung: Wer macht was, wenn ein Laptop mit Mitgliederdaten geklaut wird?
7. Betroffenenrechte umsetzbar machen
Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Datenübertragbarkeit (Art. 20) — alles binnen 30 Tagen.
💡 Praxis: Bei Software-Tool: prüfen ob CSV-Export pro Mitglied möglich. Manuell ist OK, aber bei vielen Anfragen mühsam.
4 verbreitete Mythen — entkräftet Was du nicht brauchst, obwohl viele es behaupten.
Mythos: „Ich brauche zwingend einen Datenschutzbeauftragten"
Erst ab 20 Personen, die regelmäßig PII verarbeiten. Solo-Vereinsvorstand braucht keinen.
Mythos: „Cookie-Banner ist Pflicht"
Nein! Nur wenn du Tracking-Tools (Google Analytics, Meta Pixel) nutzt. Technisch notwendige Cookies (Login) sind ohne Banner OK.
Mythos: „Server müssen in Deutschland stehen"
Innerhalb der EU oder in Ländern mit Adequacy-Decision (UK, Schweiz) ist alles legal.
Mythos: „Foto in WhatsApp-Gruppe ist OK"
Falsch — wenn das Mitglied nicht aktiv eingewilligt hat, ist das ein DSGVO-Verstoß. Gilt auch für Internas.
Aufsichtsbehörden DACH Bayern: BayLDA — Promenade 18, 91522 Ansbach · poststelle@lda.bayern.de NRW: LDI NRW — Kavalleriestr. 2-4, 40213 DüsseldorfBerlin: Berliner Beauftragte für Datenschutz — Friedrichstr. 219, 10969 BerlinBund: BfDI — bfdi.bund.de (Vorlagen + Muster kostenlos)Österreich: Datenschutzbehörde Wien — dsb.gv.atSchweiz: EDÖB — edoeb.admin.chWenn dir das alles zu viel ist: Osss automatisiert das meiste: Einwilligung mit IP+Zeitstempel beim Signup, AVV elektronisch im Dashboard, Verarbeitungsverzeichnis als Vorlage, Lösch-Prozess per Knopfdruck.
Kostenlos testen → Mehr Praxis-Tools wie diese? Wir veröffentlichen alle 1-2 Wochen neue Hilfen für Kampfsport-Vereine. Direkt im Postfach.
Quelle: osss.pro/ressourcen/dsgvo-checkliste · Lom-Ali Imadaev, Adelshofen · Stand 2026
Disclaimer: Diese Checkliste ersetzt keine Rechtsberatung.