Datenpanne im Verein: Was die DSGVO fordert – und was passiert, wenn Sie nicht vorbereitet sind

Ein Vereinsmitglied meldet sich bei Ihnen: Jemand hat ihm in einer Phishing-Mail angeboten, seine Vereins-Mitgliedsbeiträge zurückzuerstatten – mit genau den richtigen Kontodaten, die nur in Ihrer Mitgliederverwaltung stehen. Entweder ist Ihr System gehackt worden, oder jemand hat unbefugt auf Ihre Daten zugegriffen.

Was jetzt? Sie haben laut DSGVO 72 Stunden Zeit, den Vorfall der Datenschutzbehörde zu melden. Gleichzeitig müssen betroffene Mitglieder informiert werden. Und wenn bei der Untersuchung herauskommt, dass die Datensicherheit unzureichend war, drohen Bußgelder.

In unserer Beratungspraxis stellen wir fest: Kaum ein Verein ist auf dieses Szenario vorbereitet.

Wie gut ist Ihr Verein gegen Cyber-Risiken abgesichert? → Jetzt kostenlose Einschätzung anfordern.

DSGVO gilt für jeden Verein – ohne Ausnahme

Die Datenschutz-Grundverordnung kennt keine Vereinsgröße-Ausnahme. Wer personenbezogene Daten verarbeitet – und das tut jeder Verein mit einer Mitgliederliste – ist datenschutzrechtlich Verantwortlicher. Das bedeutet:

Meldepflicht: Datenpannen müssen innerhalb von 72 Stunden der zuständigen Behörde gemeldet werden. In Hamburg: Hamburgischer Beauftragter für Datenschutz. In Schleswig-Holstein: ULD. In Niedersachsen: LfD.

Informationspflicht: Bei schwerwiegenden Datenpannen müssen alle betroffenen Mitglieder individuell informiert werden.

Bußgeldrisiko: Bei unzureichenden Sicherheitsmaßnahmen oder verspäteter Meldung können Bußgelder verhängt werden.

Schadensersatzrisiko: Betroffene Mitglieder können Schadensersatz für immaterielle Schäden fordern.

Was Hacker vom Verein wollen – und wie Angriffe typischerweise aussehen

Vereinsdaten sind wertvoller als viele denken. Mitgliederlisten mit Namen, Adressen, Bankverbindungen und E-Mail-Adressen sind im Darknet handelbar. Und Vereine sind oft weiche Ziele: wenig IT-Sicherheit, keine professionelle IT-Abteilung, veraltete Software.

Phishing: Eine täuschend echte E-Mail, angeblich vom Vorstand, fordert zur Überweisung auf oder bittet um Login-Daten.

Ransomware: Schadsoftware verschlüsselt alle Vereinsdaten. Für die Entschlüsselung wird Lösegeld gefordert. Mitgliederlisten, Buchhaltung, Vereinsdokumente – alles weg.

Datenleck durch Fehlkonfiguration: Ein schlecht konfiguriertes Cloud-System oder eine ungesicherte Mitgliederdatenbank – kein aktiver Angriff nötig, die Daten sind einfach zugänglich.

Was eine Cyber-Versicherung für Vereine konkret leistet

IT-Wiederherstellung: Kosten für die Wiederherstellung gehackter oder verschlüsselter Systeme.

DSGVO-Krisenmanagement: Unterstützung bei der 72-Stunden-Meldung, Kommunikation mit Behörden, Mitgliederbenachrichtigung.

Rechtskosten: Anwalts- und Verfahrenskosten bei Bußgeldverfahren oder Schadensersatzklagen.

Schadensersatzzahlungen: Berechtigte Ansprüche betroffener Mitglieder werden reguliert.

24/7-Notfallhotline: Im Ernstfall erreichbares Expertenteam für sofortige Erstmaßnahmen.

Welche Vereine besonders gefährdet sind

Besonders im Blick haben sollten alle Vereine, die Bankdaten für Beitragseinzüge speichern, Gesundheitsdaten oder besondere Datenkategorien verarbeiten, viele minderjährige Mitglieder haben sowie Cloud-basierte Mitgliederverwaltungssoftware nutzen.

D&O und Cyber: Zwei Versicherungen, die zusammengehören

Ein DSGVO-Bußgeld trifft den Verein als Ganzes. Aber wenn der Vorstand für die unzureichende Datensicherheit verantwortlich war, kann es auch persönliche Haftungsansprüche geben. Die Kombination aus Cyber-Versicherung (schützt den Verein) und D&O (schützt den Vorstand persönlich) ist für Vereine mit größerem Mitgliederbestand besonders empfehlenswert.

Mehr zur persönlichen Vorstandshaftung: → D&O-Versicherung für Vereinsvorstände

Wir beraten Vereine zu einem Cyber-Schutz, der zur Vereinsgröße passt: → Jetzt Termin vereinbaren

Gesamtübersicht: → Vereinsversicherung Norddeutschland

Oeconomia GmbH Versicherungsmakler Tel.: 040 – 603 1081 E-Mail: service@oeconomia.de → Jetzt kostenlosen Beratungstermin vereinbaren