Viele Vereine organisieren ihre Mitglieder heute in einer Facebook-Gruppe: Beiträge, Termine, Fotos, Diskussionen – alles an einem Ort. Auf den ersten Blick macht Klubraum das Gleiche. Doch sobald man fragt „Wem gehört eigentlich die Kontrolle über die Daten der Mitglieder?”, liegen zwischen beiden Welten.
Dieser Unterschied ist kein Detail. Er entscheidet darüber, ob euer Verein die Daten kontrolliert – oder ein Tech-Konzern.
Die entscheidende Frage: Wer ist „Verantwortlicher”?
Die DSGVO unterscheidet zwei Rollen:
- Verantwortlicher (engl. Controller): wer über Zweck und Mittel der Datenverarbeitung entscheidet – und die Daten für eigene Zwecke nutzt.
- Auftragsverarbeiter (engl. Processor): wer Daten nur im Auftrag und nach Weisung des Verantwortlichen verarbeitet.
Welche Rolle ein Anbieter hat, hängt nicht vom Aussehen der App ab, sondern davon, wer die Macht über die Daten hat und wer sie wirtschaftlich verwertet.
Der Praxistest
| Frage | Klubraum | Facebook-Gruppe |
|---|---|---|
| Nutzt der Anbieter die Daten für eigene Zwecke (Werbung, Profilbildung, Datenverkauf)? | Nein | Ja – Werbung und Profilbildung sind das Geschäftsmodell |
| Kann der Verein bindend anweisen, was mit den Daten passiert? | Ja | Nein |
| Werden alle Mitgliederdaten auf Verlangen vollständig gelöscht? | Ja – innerhalb von 30 Tagen, Backups eingeschlossen | Nein |
| Gibt es einen Auftragsverarbeitungsvertrag (Art. 28 DSGVO)? | Ja | Nein |
| Wer ist Verantwortlicher für die Mitgliederdaten? | Der Verein | Meta (ggf. gemeinsam mit euch) |
Warum Meta bei Facebook der Verantwortliche bleibt
Meta verarbeitet die Daten eurer Gruppe vor allem für sich selbst: Werbung, Profilbildung, Reichweiten-Optimierung, Verknüpfung über Dienste hinweg. Meta lässt sich von euch nicht anweisen und entscheidet selbst über Speicherdauer, Algorithmen und Auswertung.
Wer Daten für eigene Zwecke verarbeitet, ist nach der DSGVO Verantwortlicher – nicht euer Dienstleister. Deshalb gilt: Ihr könnt von Facebook nicht „alle Daten der Gruppe” herausverlangen. Jedes Mitglied kann nur seine eigenen Daten anfragen.
Schlimmer noch: Nach der EuGH-Rechtsprechung zu Facebook-Fanpages (Rs. Wirtschaftsakademie und Fashion ID) spricht vieles dafür, dass auch Betreiber von Facebook-Gruppen für bestimmte Verarbeitungen gemeinsam mit Meta verantwortlich sind. Das bedeutet: mehr Pflichten für euch – bei kaum vorhandener Kontrolle.
Warum euer Verein mit Klubraum die Kontrolle behält
Bei Klubraum ist die Rollenverteilung klar:
- Euer Verein ist der Verantwortliche. Ihr entscheidet, wer dabei ist, was passiert und wann Daten gelöscht werden.
- Klubraum ist euer Auftragsverarbeiter. Wir verarbeiten die Daten auf eure Weisung – nicht für Werbe- oder Fremdzwecke; wir verkaufen keine Daten und schalten keine datenbasierte Werbung. Einzige Ausnahme: pseudonymisierte Nutzungsstatistiken zur Verbesserung der App – self-hosted auf unseren eigenen Servern, ohne Cookies, und jederzeit per Opt-out abwählbar. Was wir dabei erheben, steht transparent in unserer Datenschutzerklärung der App.
- Auf euer Verlangen löschen wir alle Mitgliederdaten vollständig – innerhalb von 30 Tagen, Daten in verschlüsselten Backups spätestens 7 Tage später überschrieben. Abgesichert ist das über einen AV-Vertrag nach Art. 28 DSGVO, der automatisch mit der Erstellung eurer Gruppe wirksam wird – jederzeit als PDF einsehbar.
Alle technischen und organisatorischen Schutzmaßnahmen findet ihr im Überblick auf unserer Sicherheitsseite.
Kurz: Bei Facebook gebt ihr die Daten eurer Mitglieder in Metas Sphäre. Bei Klubraum bleiben sie in eurer Hand.
Was das für euch konkret bedeutet
- Eine klare Verantwortlichkeit statt geteilter Verantwortung mit einem Konzern.
- Vollständige Löschung auf Verlangen, vertraglich zugesichert – innerhalb von 30 Tagen, Backups eingeschlossen.
- Ein AV-Vertrag nach Art. 28 DSGVO, der automatisch mit eurer Gruppe wirksam wird und mit dem ihr eure Pflicht als Verein gegenüber euren Mitgliedern sauber erfüllt.
- Keine Zweckentfremdung der Mitgliederdaten für Werbung oder Profilbildung.
Häufige Fragen
Ist eine Facebook-Gruppe für Vereine DSGVO-konform? Nicht automatisch illegal – aber heikel. Als Betreiber tragt ihr Mitverantwortung für die Verarbeitung, habt aber kaum Kontrolle über das, was Meta mit den Daten tut. Einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO gibt es für Gruppen nicht. Die datenschutzrechtliche Verantwortung bleibt damit weitgehend bei euch, ohne dass ihr sie sauber erfüllen könnt.
Braucht unser Verein einen Auftragsverarbeitungsvertrag? Ja. Sobald ein Anbieter Mitgliederdaten in eurem Auftrag verarbeitet, verlangt Art. 28 DSGVO einen Auftragsverarbeitungsvertrag (AVV). Bei Klubraum wird dieser Vertrag automatisch mit der Erstellung eurer Gruppe wirksam – ihr müsst nichts unterschreiben und könnt ihn jederzeit als PDF herunterladen.
Was passiert mit unseren Daten, wenn wir Klubraum verlassen? Auf schriftliches Verlangen löschen wir alle personenbezogenen Mitgliederdaten – spätestens innerhalb von 30 Tagen. Daten in verschlüsselten Backups werden im regulären Sicherungszyklus überschrieben, spätestens 7 weitere Tage nach der Löschung im Produktivsystem. Gesetzliche Aufbewahrungspflichten bleiben davon unberührt.
Wo werden die Klubraum-Daten gehostet? Im Rechenzentrum in Frankfurt am Main. Ergänzende Dienste betreiben wir self-hosted in deutschen Rechenzentren. Eure Daten bleiben in der EU.
Lesetipp: WhatsApp-Alternativen für euren Verein und, wenn ihr die andere Seite kennenlernen wollt, unser Guide zur Facebook-Vereinsseite.
Klubraum ist die datenschutzfreundliche Organisations- und Kommunikations-App für Vereine, Teams und Gruppen – entwickelt in Karlsruhe, gehostet in Frankfurt am Main.