Ehrenamtliche Vorstände: Neues Haftungsprivileg schützt nicht vor DSGVO

Das neue „Zukunftspaket Ehrenamt“ lockert die Haftung für Vorstände – doch beim Datenschutz bleibt es brandgefährlich. Ein Gerichtsurteil von 2024 zeigt, wie persönliche Schadensersatzforderungen Realität werden.

Die Gefahr ist real, wie ein wegweisendes Urteil des Arbeitsgerichts Duisburg zeigt. Im September 2024 verurteilte es die Präsidentin eines Luftsportverbands zur persönlichen Zahlung von 10.000 Euro Schadensersatz. Ihr Fehler: Sie hatte in einer Rund-E-Mail an etwa 10.000 Mitglieder sensible Gesundheitsdaten eines Mitarbeiters preisgegeben. Das Gericht sah darin einen schweren Verstoß gegen die Datenschutz-Grundverordnung (DSGVO). Der Fall beweist: Die Vertretung des Vereins schützt nicht vor den Konsequenzen eigenen Fehlverhaltens.

Das neue Gesetz: Mehr Schutz, aber mit Lücken

Seit dem 1. Januar 2026 gilt das reformierte Vereinsrecht. Kernstück ist die Ausweitung des Haftungsprivilegs für ehrenamtliche Vorstände. Die Einkommensgrenze, bis zu der bei leichter Fahrlässigkeit kein Schadensersatz an den Verein gezahlt werden muss, wurde von 840 auf 3.300 Euro pro Jahr angehoben. Das soll die Angst vor finanziellen Risiken mindern. Doch der Schutz hat klare Grenzen: Bei Vorsatz oder grob fahrlässigem Handeln greift er nicht. Genau hier liegt die Gefahr im Datenschutz.

Warum der Datenschutz zur Haftungsfalle wird

Die DSGVO kennt kein Pardon. Verstöße können auf zwei Ebenen teuer werden: Die Aufsichtsbehörden können Bußgelder von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes verhängen. Gleichzeitig können betroffene Personen, wie im Duisburger Fall, zivilrechtliche Schadensersatzansprüche direkt gegen das handelnde Vorstandsmitglied richten. Die Sorgfaltspflichten werden von Gerichten streng ausgelegt. Die unbedachte Weitergabe sensibler Daten per E-Mail kann schnell als grobe Fahrlässigkeit gewertet werden – und macht das neue Haftungsprivileg wirkungslos.

Datenschutzverstöße treffen Vorstände schnell persönlich – wie der Duisburger Fall zeigt. Eine systematische Datenschutz-Folgenabschätzung (DSFA) hilft, kritische Risiken bei der Verarbeitung sensibler Mitgliederdaten zu erkennen und nachweisbar zu minimieren. Der kostenlose Leitfaden erklärt praxisnah, wann eine DSFA nötig ist, welche Maßnahmen besonders ehrenamtliche Vorstände umsetzen sollten und wie Sie Haftungsfallen vermeiden. Ideal für Vereinsverantwortliche, die Prozesse prüfen und Schulungen planen. Jetzt kostenlosen DSFA-Leitfaden herunterladen

Compliance 2026: Datenschutz als Daueraufgabe

Die gesetzliche Lockerung schafft eine trügerische Sicherheit. Vereine verarbeiten zwangsläufig sensible Daten, von Mitgliederlisten bis zu Kontoinformationen. Ein funktionierendes Datenschutzmanagement ist daher keine Option, sondern Pflicht. Dazu gehören klare interne Regeln, Schulungen für alle Beteiligten und technische Schutzmaßnahmen. Die Datenschutzkonferenz (DSK) der Aufsichtsbehörden bleibt aktiv und wird ihre Prüfpraxis fortsetzen. Vorstände sollten ihre Prozesse jetzt überprüfen, die Vereinssatzung aktualisieren und den Abschluss einer D&O-Versicherung prüfen, die auch bei Datenschutzverstößen greift. Nur so ist das Ehrenamt wirklich geschützt.