DSGVO im Sportverein: Was wirklich auf die Website darf – und was nicht

Wichtiger Hinweis vorab: Dieser Artikel ersetzt keine Rechtsberatung. Wir geben praxisorientierte Hinweise auf Basis dessen, was wir bei Hunderten Vereinen sehen – die rechtsverbindliche Bewertung im Einzelfall gehört in die Hände eines auf Datenschutz spezialisierten Anwalts oder eures Vereins-Datenschutzbeauftragten.

Warum DSGVO im Sportverein keine Schikane ist

Die Größenordnung: Eine einzelne Abmahnung wegen falsch eingebundener Google Fonts hat in den letzten Jahren je nach Kanzlei zwischen 100 und 300 Euro gekostet. Eine Abmahnung wegen fehlerhafter Datenschutzerklärung schnell vierstellig. Ein veröffentlichtes Mannschaftsfoto einer Jugendmannschaft, gegen das ein Elternpaar vorgeht, kann zusätzlich Schadensersatz auslösen. Und das alles ohne, dass jemals eine Behörde ein Bußgeld verhängt hätte.

Die DSGVO ist also weniger ein Risiko von oben (Behörde, Bußgeld) als ein Risiko von unten und außen (Abmahnung, Mitglieder-Beschwerde). Genau deshalb lohnt es sich, ein paar Grundregeln zu kennen.

Die Grundregel: Datenminimierung und Einwilligung

Hinter allem, was folgt, stehen zwei Prinzipien. Erstens: Datenminimierung. Veröffentlicht nur das, was für den Vereinszweck notwendig ist – und nicht alles, was technisch möglich wäre. Zweitens: Für die Verarbeitung personenbezogener Daten braucht ihr eine Rechtsgrundlage. Die wichtigsten zwei für Vereine sind Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) und berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO).

Vereinfacht gesagt: Was zur Spielberichterstattung dazugehört (Torschütze, Vorlagengeber, Aufstellung), könnt ihr in vielen Fällen über das berechtigte Interesse stützen. Alles, was darüber hinausgeht oder besonders sensibel ist (Privatadresse, Geburtsdatum, Telefonnummer, Bilder von Minderjährigen), braucht in der Regel eine ausdrückliche Einwilligung.

Was darf auf die Website?

Mannschaftsfotos und Einzelbilder

• Erwachsene Spielerinnen und Spieler: Mannschaftsfotos sind in der Regel zulässig, wenn die Abgebildeten zugestimmt haben. Bei Mannschaftsbildern reicht oft eine konkludente Einwilligung (sie sehen den Fotografen, posieren freiwillig). Sicherer ist eine schriftliche Einwilligung beim Saisonstart – einmal im Jahr abgefragt, in einer Spielerakte hinterlegt.
• Minderjährige unter 16 Jahren: Hier ist die Rechtslage eindeutig strenger. Es braucht die Einwilligung der Erziehungsberechtigten – schriftlich, dokumentiert, und mit klarem Hinweis darauf, wo das Bild erscheinen wird (Website, App, Social Media, Print). Eine pauschale Zustimmung „für alle Vereinszwecke" ist rechtlich fragwürdig. Sauberer: Eine Einwilligungserklärung mit getrennten Häkchen für Website, App, Social Media und Print.
• Spielszenen-Fotos: Aktionsbilder vom Spiel sind in der Regel unkritischer als gestellte Porträts, weil sie als Teil der Berichterstattung über ein öffentliches Ereignis gelten. Trotzdem gilt: Wer auf dem Bild zu erkennen ist und das nicht möchte, kann eine Entfernung verlangen.

Unser ehrliches Fazit: Bei Erwachsenen ist die Praxis meist pragmatisch lösbar. Bei Minderjährigen ist die saubere Einwilligung der Eltern Pflicht – und kein Punkt, an dem man sparen sollte. Ein einziges Elternteil, das sich beschwert, kostet euch mehr Nerven als die fünf Minuten für ein Einwilligungsformular zum Saisonstart.

Spielernamen, Aufstellungen und Statistiken

Spielernamen, Aufstellungen, Torschützen und Statistiken sind die Kernberichterstattung eines Sportvereins. Hier greift in vielen Fällen das berechtigte Interesse: Wer aktiv am Spielbetrieb teilnimmt, muss in einem gewissen Rahmen mit Namensnennung rechnen – das ist auf jeder Liga-Website der Fall, von fussball.de bis zur Tageszeitung.

Was nicht ohne Weiteres veröffentlicht werden darf: Vollständiges Geburtsdatum, Wohnort, Telefonnummer, E-Mail-Adresse, Beruf. Diese Daten sind für den Spielbetrieb nicht erforderlich und gehen über das berechtigte Interesse hinaus.

Unser ehrliches Fazit: Vorname, Nachname, Trikotnummer, Position und Spielstatistiken sind in der Regel unkritisch. Alles, was über die sportliche Rolle hinausgeht, gehört nicht auf die Website.

Trainer-, Vorstands- und Funktionärsdaten

Bei Personen in offiziellen Funktionen (Vorstand, Trainerstab, Geschäftsstelle) gilt: Funktionsbezogene Daten dürfen veröffentlicht werden – Name, Funktion, dienstliche Kontaktdaten. Private Telefonnummern oder Privatadressen gehören nicht auf die Website, auch wenn sie „eh jeder im Verein kennt".

Eine pragmatische Lösung: Funktions-E-Mail-Adressen einrichten (vorstand@verein.de, trainer-h1@verein.de). Damit ist die Erreichbarkeit gegeben, ohne private Daten offenzulegen.

Geburtstage und Jubilare

Hier wird es schnell heikel. Eine Geburtstagsliste mit Vor- und Nachname plus Geburtsdatum aller Mitglieder ist datenschutzrechtlich kaum zu rechtfertigen – es gibt kein zwingendes Vereinsinteresse, runde Geburtstage öffentlich auf der Website zu nennen. Wenn ihr trotzdem gratulieren wollt: Ausdrückliche Einwilligung der Jubilare einholen, am besten pro Jahr neu.

Unser ehrliches Fazit: Wenn ihr nicht jedes Jahr eine schriftliche Einwilligung jeder einzelnen Person einholen wollt, gehört die klassische Geburtstagsliste nicht auf die Website. Verschiebt sie in den nicht-öffentlichen Mitgliederbereich oder ins Vereinsheft.

Liveticker-Daten

Im Liveticker werden in Echtzeit personenbezogene Daten verarbeitet – Tore, Karten, Wechsel inklusive Spielername. Auch hier greift in der Regel das berechtigte Interesse: Wer am offiziellen Spielbetrieb teilnimmt, ist Teil der Berichterstattung. Vorsicht ist bei Jugendspielen geboten, hier sollte der Verein auf Initialen oder Trikotnummern statt voller Namen ausweichen – oder vorab schriftliche Einwilligungen einholen.

Eingebettete Inhalte: YouTube, Google Maps, Social Media

Das ist die größte Abmahnfalle der letzten Jahre. Wenn ihr ein YouTube-Video direkt einbettet, baut der Browser eine Verbindung zu YouTube auf, sobald die Seite geladen wird und überträgt dabei IP-Adressen und andere Daten an Google. Ohne vorherige Einwilligung der Nutzer ist das unzulässig.

Die saubere Lösung: Eine sogenannte Zwei-Klick-Lösung oder ein Cookie-/Consent-Banner, das externe Inhalte erst nach Zustimmung lädt. Das gilt für YouTube, Vimeo, Google Maps, Instagram-Embeds, Facebook-Plug-ins und auch für ältere Google-Fonts-Einbindungen, die noch direkt von Google geladen werden.

Unser ehrliches Fazit: Wer auf seiner Vereinswebsite eingebettete Inhalte ohne Consent-Banner zeigt, hat in den letzten drei Jahren mit hoher Wahrscheinlichkeit eine Abmahnung kassiert, oder wird sie noch bekommen. Das ist die häufigste Fehlerquelle, die uns bei neuen ClubShare-Kunden begegnet.

Was MUSS auf eine Vereinswebsite

Drei Dinge sind nicht verhandelbar. Wer sie nicht hat, hat fast garantiert ein Abmahnrisiko.

• Impressum: Pflicht für jede geschäftsmäßige Website, also auch für Vereine. Es muss enthalten: Vereinsname, Vereinsregister-Nummer, Vorstand (Vertretungsberechtigte), ladungsfähige Anschrift (kein Postfach), Kontaktdaten. Wenn der Verein eine Steuernummer für gewerbliche Tätigkeit hat, gehört die auch dazu.
• Datenschutzerklärung: Ebenfalls Pflicht. Sie muss konkret beschreiben, welche Daten beim Besuch der Website verarbeitet werden – inklusive eingesetzter Tools (Hosting, Analyse, Schriftarten, Karten, Videos, Social Media). Generische Vorlagen aus dem Internet, die nicht auf eure tatsächlich genutzten Dienste angepasst sind, sind ein häufiger Abmahngrund.
• Cookie- bzw. Consent-Banner: Sobald ihr Cookies oder Dienste einsetzt, die über das technisch Notwendige hinausgehen, braucht ihr eine wirksame Einwilligung der Besucher. Das bedeutet konkret: Aktive Zustimmung (nicht vorausgewählte Häkchen), gleichberechtigte Ablehnungsmöglichkeit, klare Beschreibung der einzelnen Kategorien. Ein simpler „OK"-Button ohne Wahlmöglichkeit reicht nicht.

Überblick: Was darf, was nicht – auf einen Blick

Die häufigsten Fallen in der Praxis

• Falle 1: Vorlage-Datenschutzerklärung von einem anderen Verein kopiert. Wenn die Erklärung Tools beschreibt, die ihr gar nicht einsetzt – oder umgekehrt eure tatsächlich eingesetzten Tools fehlen – ist das ein direkter Abmahngrund. Generatoren wie der von eRecht24 oder Anwaltskanzleien sind hier deutlich sicherer.
• Falle 2: Bilder von der letzten Vereinsfeier ohne Einwilligung. Vor allem auf Sommerfesten oder Weihnachtsfeiern werden viele Fotos gemacht – und am nächsten Tag stehen sie online. Wer auf dem Bild erkennbar ist und nicht gefragt wurde, kann Löschung verlangen.
• Falle 3: Newsletter-Anmeldung ohne Double-Opt-in. Wer einfach „Newsletter abonnieren" anbietet und sofort losschickt, ohne dass der Empfänger seine Adresse per Bestätigungs-Mail freigegeben hat, riskiert Abmahnungen wegen unzulässiger Werbung.
• Falle 4: Vergleich der Website-Lösungen für Vereine. Wer seine Website auf einem US-Server hostet (oder über US-Dienste wie Cloudflare unverschlüsselt laufen lässt), öffnet eine zusätzliche Baustelle. Hosting in Deutschland oder der EU vereinfacht die Datenschutzlage erheblich.
• Falle 5: Veraltete Datenschutzerklärung. Wer letztes Jahr ein neues Tool eingebunden hat (z. B. ein Liveticker-Widget oder einen neuen Cookie-Banner) und seine Datenschutzerklärung nicht angepasst hat, hat eine Lücke. Die Erklärung muss aktuell sein.

Was bringt eine technisch saubere Lösung?

Ein großer Teil der DSGVO-Themen auf einer Vereinswebsite ist nicht juristisch, sondern technisch lösbar. Wenn das System von Haus aus DSGVO-konform aufgesetzt ist – mit deutschem Hosting, eingebautem Consent-Banner, lokal eingebundenen Schriften, korrekter Einbindung externer Inhalte über Zwei-Klick-Lösungen – dann fallen die typischen Abmahn-Fallen einfach weg. Übrig bleibt das, was sich rein technisch nicht lösen lässt: die Einwilligungen für Bilder und Mitgliederdaten.

Genau hier liegt der Unterschied zwischen einer selbstgebauten WordPress-Lösung und einer Vereinslösung wie ClubShare. Bei WordPress müsst ihr selbst dafür sorgen, dass alle Plugins, alle Schriften, alle eingebetteten Inhalte sauber konfiguriert sind. Bei einer Speziallösung kommt das im Idealfall fertig konfiguriert mit.

Fazit und Empfehlung

DSGVO im Sportverein ist kein Hexenwerk. Wer drei Dinge im Griff hat, ist gegen 80 Prozent der typischen Abmahn-Risiken abgesichert: vollständiges Impressum, angepasste Datenschutzerklärung, sauberer Consent-Banner. Wer zusätzlich bei Bildern von Minderjährigen mit schriftlichen Einwilligungen arbeitet und auf veröffentlichungsfreie Daten wie Privatadressen verzichtet, ist auf der sicheren Seite.

DSGVO-konforme Vereinswebsite mit ClubShare ist von Grund auf DSGVO-konform gebaut. Hosting in Deutschland, eingebautes Consent-Management, lokal eingebundene Schriften, korrekte Einbindung externer Inhalte – das nimmt euch den Großteil der technischen Arbeit ab. Die Einwilligungen eurer Mitglieder müsst ihr trotzdem selbst einholen, aber dafür liefern wir Vorlagen mit. Testet es 14 Tage kostenlos.