Ein Verein muss zur Betreuung seiner Mitglieder deren personenbezogene Daten verarbeiten.
Das beginnt beim Eintritt in den Verein. Dabei dürfen aber nur solche Daten erhoben werden, die für die Begründung und Durchführung der Mitgliedschaft erforderlich sind.
Innerhalb des Vereins sind die Aufgaben in der Regel abgegrenzt und bestimmten Funktionsträgern zugewiesen. Wer für was zuständig ist, wird durch die Satzung oder die Geschäftsordnung des Vereins bestimmt. Für den Umgang mit den Mitgliederdaten gilt, dass jeder Funktionsträger nur die für die Erfüllung seiner Aufgaben erforderlichen Mitgliederdaten kennen, verarbeiten und nutzen darf. Diese dürfen grundsätzlich nur zu dem Zweck verwendet werden, zu dem sie der Verein erhoben hat und den er entsprechend seiner Satzung verfolgt. Nicht zulässig ist es, dass alle Mitglieder auf die Daten der anderen Mitglieder zugreifen können, es sei denn, dass der Vereinszweck gerade darin besteht, mit Menschen, die sich in derselben Situation befinden, in Kontakt treten und sich austauschen zu können. Dann ist die Verbreitung einer Mitgliederliste unter den Vereinsangehörigen datenschutzrechtlich möglich. Zweckmäßigerweise sollten die Vereinsmitglieder frühzeitig, zum Beispiel im Aufnahmeantrag, auf diese Möglichkeit hingewiesen werden und ggf. einer Weitergabe ihrer Daten widersprechen können. Auch ist die Nutzung der Mitgliederdaten für einen anderen legitimen Zweck ausschließlich dann zulässig, wenn der Verein oder ein Dritter ein berechtigtes Interesse an der Kenntnis der Daten hat und keine schutzwürdigen Interessen der Vereinsmitglieder entgegenstehen. Solche sollten am besten gleich beim Eintritt in den Verein angegeben werden.
In vielen Vereinen ist es üblich, Informationen über ihre Mitglieder an einem „Schwarzen Brett“ oder in Vereinsblättern bekannt zu machen. Das führt dazu, dass auch vereinsfremde Personen von persönlichen Angelegenheiten der Vereinsmitglieder Kenntnis erhalten können. Auch wenn derartige Veröffentlichungen für die Erreichung der Ziele des Vereins üblich und geboten sind – etwa Mannschaftsaufstellungen bei Sportvereinen -, müssen diese Mitteilungen unterbleiben, wenn ihnen schutzwürdige Belange der Betroffenen entgegenstehen. Deswegen sollte jedes Vereinsmitglied rechtzeitig informiert werden, was wann wo auf welchem Wege der Öffentlichkeit bekannt gemacht wird, damit der Veröffentlichung widersprochen werden kann. Das gilt grundsätzlich, allerdings mit viel engeren Grenzen, auch für die Verbreitung von Mitteilungen im Internet.
Die Mitgliederdaten eines Vereins sind nicht automatisch auch Daten eines Dachverbandes, dem der Verein angehört. Vielmehr ist der Dachverband datenschutzrechtlich wie eine „fremde“ Stelle zu behandeln. Personenbezogene Daten der Vereinsmitglieder dürfen dem Dachverband nur zur Verfügung gestellt werden, wenn dieser eine Aufgabe erfüllt, die letztlich auch im berechtigten Interesse des übermittelnden Vereines liegt.
In jedem Verein muss es für die Verwaltung der Mitgliederdaten eine sog. Datenlöschkonzeption geben. In dieser ist festzulegen, wann welche Daten der Mitglieder zu löschen sind. Dabei gilt die Faustregel, dass eine Löschung erst geboten, aber dann auch tatsächlich vorzunehmen ist, wenn nach dem Austritt eines Mitgliedes nicht mehr mit Rückfragen u. dgl. wegen der erloschenen Mitgliedschaft gerechnet werden muss.