ARENDT – Data & Law

Datenschutz bei NGOs, Non-Profit- und Spendenorganisationen (mit Checkliste)

Kostenloses Erstgespräch

Leistungen

Datenschutzberatung

externer Datenschutzbeauftragter (DSB)

Informationssicherheit

IT-Recht

Datenschutz, NGO, Spenden

You agree to receive email communication from us by submitting this form and understand that your contact information will be stored with us.

Was gemeinnützige Organisationen im Fundraising datenschutzrechtlich beachten müssen

Nichtregierungsorganisationen (NGOs), Non-Profit-Organisationen (NPOs) und Spendenorganisationen leisten einen zentralen Beitrag zur Zivilgesellschaft – ob in der Entwicklungszusammenarbeit, der Flüchtlingshilfe, im Umweltschutz oder der politischen Bildung. Sie stehen für Gemeinwohl, Engagement und Vertrauen. Gleichzeitig verarbeiten sie eine Vielzahl personenbezogener Daten von Unterstützer:innen, Spender:innen, Freiwilligen, Mitarbeitenden und oft auch von besonders schutzbedürftigen Gruppen.

Im Fokus stehen dabei insbesondere Fundraising, Öffentlichkeitsarbeit und Projektkommunikation – alles Bereiche, in denen personenbezogene Daten zentral sind. Der Datenschutz nach DSGVO stellt viele gemeinnützige Organisationen jedoch vor große Herausforderungen, da es häufig an Ressourcen, Know-how oder strukturellen Grundlagen fehlt.

Datenschutzanforderungen für gemeinnützige Organisationen

Mit der Datenschutz-Grundverordnung (DSGVO) sind auch NGOs, NPOs und Spendenorganisationen verpflichtet, sämtliche gesetzlichen Vorgaben zum Schutz personenbezogener Daten umzusetzen. Für gemeinnützige Einrichtungen gelten dabei keine Sonderregeln oder Erleichterungen. Insbesondere im Fundraising sind Datenschutz und Rechtssicherheit eng miteinander verknüpft.

Datenschutz im Fundraising: Einwilligung und Double-Opt-In

Beim Fundraising gilt: Wer Adressdaten von Spender:innen erhebt – etwa über Onlineformulare, Veranstaltungen oder persönliche Gespräche – benötigt eine nachvollziehbare, informierte Einwilligung. Diese muss freiwillig und zweckgebunden erfolgen. Für die Ansprache per E-Mail ist zudem das Double-Opt-In-Verfahren erforderlich, bei dem die Einwilligung durch einen aktiven Bestätigungslink verifiziert wird. Dieses Verfahren ist ein zentraler Bestandteil eines rechtssicheren, DSGVO-konformen Fundraisings.

Kopplungsverbot beachten

Auch das Kopplungsverbot spielt im Datenschutz von Spendenorganisationen eine wichtige Rolle. Die Einwilligung zur Datenverarbeitung darf nicht an eine Gegenleistung gebunden sein, es sei denn, sie erfolgt freiwillig und transparent. Beispielsweise darf ein kostenloses E-Book als Anreiz dienen – sofern die Einwilligung zur späteren Kontaktaufnahme klar davon getrennt erteilt wird.

Umgang mit sensiblen Daten

Viele NGOs und Non-Profit-Organisationen verarbeiten besondere Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO – etwa zur Gesundheit, Religion oder politischen Einstellung. Dies erfordert besonders sorgfältige Datenschutzmaßnahmen, da solche Daten nur unter engen rechtlichen Voraussetzungen verarbeitet werden dürfen.

Datensicherheit und technische Schutzmaßnahmen

Ein angemessenes Datensicherheitskonzept ist unverzichtbar. Dazu gehören Zugriffsbeschränkungen, aktuelle Software, Verschlüsselung, sichere Serverstandorte sowie klar geregelte Zuständigkeiten. Werden externe Dienstleister wie Zahlungsanbieter oder E-Mail-Tools genutzt, sind DSGVO-konforme Auftragsverarbeitungsverträge abzuschließen. Bei internationalen Anbietern sind EU-Standardvertragsklauseln oder andere geeignete Garantien für Drittstaatentransfers erforderlich.

Spendenwerbung im Wettbewerbsrecht

Ein häufiger Irrtum: Spendenwerbung ist rechtlich nicht privilegiert. Es gibt keine ausdrückliche Ausnahme vom Gesetz gegen den unlauteren Wettbewerb (UWG). Zwar wurde lange vertreten, dass gemeinnützige Organisationen keine „geschäftliche Handlung“ ausüben – diese Sicht ist jedoch überholt. Große Spendenorganisationen betreiben professionelles Fundraising und stehen im Wettbewerb um Aufmerksamkeit und Spendengelder. Ob und in welchen Fällen das UWG anwendbar ist, bleibt rechtlich unsicher – mit praktischen Folgen für E-Mail-Werbung, Telefonmarketing oder Straßenwerbung.

Auswirkungen auf die Praxis

Die datenschutzrechtlichen und wettbewerbsrechtlichen Anforderungen wirken sich unmittelbar auf den Alltag von NGOs, NPOs und Spendenorganisationen aus.

Fundraising-Aktionen müssen nicht nur emotional wirksam, sondern auch rechtskonform sein. Unterstützer:innen erwarten Transparenz über die Verwendung ihrer Daten. Gleichzeitig bestehen Risiken bei unsicheren Datenbanken, fehlender Einwilligungsdokumentation oder unklarer Zweckbindung.

Auch Unsicherheiten im Wettbewerbsrecht bremsen viele Organisationen bei der Gestaltung ihrer Fundraising-Maßnahmen. Rechtskonforme Werbung setzt voraus, dass Einwilligungen nachweislich vorliegen – insbesondere bei personalisierter Ansprache.

Empfehlungen für datenschutzkonformes Fundraising

Für NGOs, Spendenorganisationen und Non-Profits ist es entscheidend, Datenschutz, Fundraising und rechtliche Rahmenbedingungen gemeinsam zu denken.

Zuständigkeiten und Datenschutzbeauftragte

Organisationen sollten klare interne Zuständigkeiten für Datenschutz definieren. Ab 20 Mitarbeitenden, die regelmäßig personenbezogene Daten automatisiert verarbeiten oder bei Verarbeitung sensibler Daten ist zudem die Benennung eines Datenschutzbeauftragten gesetzlich vorgeschrieben. Diese Rolle kann auch extern übernommen werden.

Rechtssichere Einwilligung und Kommunikation

Spendenformulare müssen transparent gestaltet sein. Die Einwilligung zur Datenverarbeitung muss freiwillig, getrennt und dokumentiert erfolgen – idealerweise per Double-Opt-In. Bei der Datenerhebung sind alle Informationspflichten nach Art. 13 DSGVO zu erfüllen.

Checkliste: Datenschutzkonformes Fundraising

Checkliste: Datenschutz Fundraising NGOs & Spendenorganisationen
Checkliste: Datenschutzkonformes Fundraising (Klick auf Bild zum Download)

Externe Tools und Dienstleister prüfen

Eingesetzte Tools – etwa für Newsletter oder Zahlungsabwicklung – müssen datenschutzkonform sein. Verträge zur Auftragsverarbeitung sowie Garantien bei Drittstaatentransfers (z. B. in die USA) sind Pflicht.

Weitere DSGVO-Pflichten erfüllen

Neben der Einwilligungspflicht bestehen weitere Anforderungen, etwa:

  • ein Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO),
  • ggf. eine Datenschutz-Folgenabschätzung (DSFA),
  • sowie regelmäßige Schulungen für Mitarbeitende und Ehrenamtliche.

Diese Maßnahmen erhöhen nicht nur die Rechtssicherheit, sondern stärken auch das interne Bewusstsein für Datenschutz als Teil der Qualitäts- und Vertrauensarbeit.

UWG- und Steuerrecht im Blick behalten

Auch das Wettbewerbsrecht sollte mitbedacht werden: Wer Spendenaktionen mit wirtschaftlichen Leistungen (z. B. Prämien, Sponsoring) kombiniert, muss werberechtliche und steuerliche Abgrenzungen vornehmen, um Bußgelder oder Risiken für die Gemeinnützigkeit zu vermeiden.

Transparenz schafft Vertrauen

Zusätzliche Standards wie das DZI-Spendensiegel oder die Mitgliedschaft im Deutschen Spendenrat können die Glaubwürdigkeit stärken und helfen, Zugang zu Medien oder Plattformen zu erhalten.

Fazit

Datenschutz ist für Spendenorganisationen keine Formalie, sondern Grundvoraussetzung für rechtssicheres, wirksames und vertrauensvolles Fundraising. Ob kleine NGO oder große Non-Profit: Wer personenbezogene Daten nutzt, trägt Verantwortung – rechtlich und ethisch. Die DSGVO gilt auch für den guten Zweck. Wer das berücksichtigt, stärkt nicht nur seine Rechtssicherheit, sondern auch die Beziehung zu Spender:innen, Freiwilligen und Förderpartnern.

Wir unterstützen NGOs und Spendenorganisationen als Rechtsanwälte und externe Datenschutzbeauftragte dabei, Ihre Organisation sowie das Fundraising datenschutzkonform zu gestalten.

Mehr dazu unter Professioneller Datenschutz für NGOs„.

Rechtsanwalt Arendt, Datenschutzbeauftragter und Experte Datenschutz, Cybersecurity

Boris Arendt
Rechtsanwalt Boris Arendt berät StartUps, mittelständische Unternehmen, Konzerne und NGOs in den Bereichen Datenschutz, Cybersecurity, Compliance und IT-Recht sowie bei der Realisierung von digitalen Geschäftsmodellen.

Kostenloses Erstgespräch
de_DEDeutsch
en_USEnglish de_DEDeutsch