campai Akademie
Recht & Datenschutz

Zweckbindung personenbezogener Daten im Verein

Erfahre alles über die Zweckbindung und warum personenbezogene Daten laut DSGVO nur für klar festgelegte und legitime Zwecke verarbeitet werden dürfen.
Ein Mann am Laptop, Schloss, Cloud, Datenschutz

Personenbezogene Daten dürfen nach der Datenschutz-Grundverordnung (DSGVO) nur unter bestimmten Voraussetzungen verarbeitet werden. Einer der zentralen Grundsätze ist dabei die sogenannte Zweckbindung. Sie stellt sicher, dass Daten nicht beliebig genutzt oder weiterverwendet werden, sondern nur für klar definierte und legitime Zwecke.

Gerade Vereine verarbeiten regelmäßig personenbezogene Daten, etwa von Mitgliedern, Eltern, Ehrenamtlichen oder Kursteilnehmenden. Umso wichtiger ist es, dass du den Zweck der Datenverarbeitung sauber festlegst und konsequent einhältst.

Das Wichtigste in Kürze

  • Vereine dürfen personenbezogene Daten nur für klar festgelegte und legitime Zwecke verarbeiten (Art. 5 Abs. 1 lit. b DSGVO).
  • Der Zweck muss bereits vor Beginn der Verarbeitung festgelegt und transparent kommuniziert werden.
  • Es dürfen nur Daten erhoben werden, die für den jeweiligen Zweck erforderlich sind.
  • Eine spätere Nutzung für andere Zwecke ist nur zulässig, wenn sie mit dem ursprünglichen Zweck vereinbar ist oder eine neue Rechtsgrundlage besteht.
  • Sobald der Zweck erfüllt ist und keine Aufbewahrungspflichten mehr bestehen, müssen die Daten gelöscht werden.

Was bedeutet „Zweckbindung“ und wo ist sie geregelt?

Die Zweckbindung ist ein grundlegender Datenschutzgrundsatz nach Art. 5 Abs. 1 lit. b DSGVO. Danach gilt: Personenbezogene Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken unvereinbaren Weise weiterverarbeitet werden.

Das bedeutet: Der Zweck der Datenverarbeitung muss bereits vor Beginn der Verarbeitung klar festgelegt sein. Außerdem musst du betroffene Personen darüber informieren. Diese Information ist Teil der Informationspflichten nach Art. 13 und 14 DSGVO.

Darüber hinaus muss der Zweck auch im Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO dokumentiert werden.

Die Zweckbindung ist damit nicht nur ein theoretisches Prinzip, sondern eine konkrete organisatorische Pflicht.

Zweckbindung in der Vereinspraxis: ein typisches Beispiel

Möchtest du in deinem Verein neue Mitglieder aufnehmen, ist der Zweck der Datenverarbeitung klar definierbar, zum Beispiel:

„Bearbeitung eines Mitgliedschaftsantrags und Verwaltung der Mitgliedschaft“.

Um diesen Zweck zu erfüllen, benötigst du bestimmte personenbezogene Daten, etwa:

  • Name
  • Anschrift
  • Geburtsdatum
  • E-Mail-Adresse

Der Zweck der Verarbeitung ist hier eindeutig: die ordnungsgemäße Aufnahme und Verwaltung der Mitgliedschaft. Die passende Rechtsgrundlage ergibt sich in diesem Fall regelmäßig aus Art. 6 Abs. 1 lit. b DSGVO (Verarbeitung zur Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen).

Wichtig ist dabei: Du darfst nur die Daten erheben, die für diesen Zweck tatsächlich erforderlich sind. Dieses Prinzip ergibt sich aus dem Grundsatz der Datenminimierung nach Art. 5 Abs. 1 lit. c DSGVO.

Zweckänderung und Weiterverarbeitung: Was ist erlaubt?

Wenn du personenbezogene Daten später für einen anderen Zweck verwenden möchtest, musst du besonders sorgfältig prüfen, ob das zulässig ist. Eine Weiterverarbeitung ist nur dann erlaubt, wenn der neue Zweck mit dem ursprünglichen Zweck vereinbar ist. Diese Prüfung richtet sich nach Art. 6 Abs. 4 DSGVO.

Dabei spielen unter anderem folgende Faktoren eine Rolle:

  • der Zusammenhang zwischen ursprünglichem und neuem Zweck
  • die Art der personenbezogenen Daten
  • mögliche Folgen für die betroffenen Personen
  • vorhandene Schutzmaßnahmen, etwa Zugriffsbeschränkungen oder Pseudonymisierung

Ist der neue Zweck nicht mit dem ursprünglichen Zweck vereinbar, benötigst du eine neue Rechtsgrundlage, etwa eine Einwilligung der betroffenen Person.

Wann wird die Zweckbindung missachtet?

Ein anschauliches Beispiel aus der Praxis sind die früher verpflichtenden Kontaktnachverfolgungslisten während der COVID-19-Pandemie in Gastronomie oder Veranstaltungsbetrieben. Dabei wurden personenbezogene Daten wie Name, Adresse oder Telefonnummer ausschließlich zum Zweck der Kontaktnachverfolgung erhoben.

Eine Nutzung dieser Daten für andere Zwecke, zum Beispiel:

  • Werbung des Betriebs
  • Weitergabe an Dritte
  • Verkauf an Adresshändler

wäre klar unzulässig gewesen, da sie mit dem ursprünglichen Zweck nicht vereinbar ist.

Dieses Beispiel zeigt deutlich: Die Zweckbindung schützt betroffene Personen davor, dass ihre Daten zweckentfremdet werden.

Laptop, Mann am Laptop löscht Daten

Löschung nach Zweckerreichung

Ein weiterer wichtiger Datenschutzgrundsatz ist die Speicherbegrenzung nach Art. 5 Abs. 1 lit. e DSGVO.

Das bedeutet: Sobald der Zweck der Verarbeitung erreicht ist und keine gesetzlichen Aufbewahrungspflichten bestehen, musst du personenbezogene Daten löschen.

Daten dürfen also nicht „auf Vorrat“ gespeichert werden, nur weil sie möglicherweise später noch einmal nützlich sein könnten.

Organisation und Zweckbindung im Vereinsalltag

Gerade im Vereinsumfeld entstehen Datenschutzprobleme häufig nicht aus böser Absicht, sondern aus fehlender Struktur. Typische Beispiele sind:

  • Personenbezogene Daten liegen verteilt in Excel-Listen, E-Mails oder Messenger-Chats.
  • Zwecke der Datenverarbeitung sind nicht klar dokumentiert.
  • Zugriffsrechte sind unklar geregelt.

Umso wichtiger ist eine klare organisatorische Struktur. Du solltest Datenverarbeitungen eindeutig dokumentieren, Zuständigkeiten festlegen und Zugriffe kontrollieren.

Mit campai lassen sich Mitgliedsdaten, Kursanmeldungen oder interne Verwaltungsprozesse nachvollziehbar organisieren, was die Einhaltung datenschutzrechtlicher Grundsätze erleichtert.

Fazit

Der Grundsatz der Zweckbindung verpflichtet dich als Verein dazu,

  • den Zweck jeder Datenverarbeitung vorab klar festzulegen
  • die Verarbeitung auf diesen Zweck zu beschränken
  • betroffene Personen transparent zu informieren
  • personenbezogene Daten nach Zweckerreichung zu löschen

Die Einhaltung dieses Grundsatzes ist zwingend erforderlich. Verstöße können nicht nur zu Vertrauensverlust führen, sondern auch aufsichtsbehördliche Maßnahmen und Bußgelder nach der DSGVO nach sich ziehen.

Häufig gestellte Fragen zur Zweckbindung nach DSGVO

Muss der Zweck der Datenverarbeitung immer dokumentiert werden?

Ja. Der Zweck muss sowohl in den Datenschutzinformationen für betroffene Personen als auch im Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO dokumentiert werden.

Darf ein Verein Daten für mehrere Zwecke gleichzeitig erheben?

Ja. Allerdings muss jeder Zweck klar benannt werden und es muss für jeden Zweck eine passende Rechtsgrundlage bestehen.

Was passiert, wenn sich der Zweck später ändert?

Eine Zweckänderung ist nur zulässig, wenn sie mit dem ursprünglichen Zweck vereinbar ist. Andernfalls brauchst du eine neue Rechtsgrundlage, etwa eine Einwilligung.

Wie lange dürfen personenbezogene Daten gespeichert werden?

Nur so lange, wie sie für den festgelegten Zweck erforderlich sind oder gesetzliche Aufbewahrungsfristen bestehen.

Wie kannst du Zweckbindung organisatorisch besser umsetzen?

Durch klare Prozesse, dokumentierte Zuständigkeiten und Systeme, die Daten nach Zweck, Zugriff und Nutzung strukturieren. Digitale Vereinslösungen wie campai können dir dabei helfen, Struktur und Transparenz in deine Datenverarbeitung zu bringen.

Die campai Akademie

Du hältst den Laden am Laufen – wir liefern dir das Wissen dazu. Alles rund um Vereine, NGOs & Co, damit dein Alltag als Funktionär ein Stück leichter wird.

DigitalisierungFinanzen & SteuernMarketing & KommunikationOrganisationRecht & Datenschutz
Gute Arbeit braucht gutes Werkzeug.

Schluss mit Excel-Chaos, Zetteln und Verwaltungsfrust.

Mach dir das Vereinsleben leichter –
mit campai!

Jetzt entdecken