Praxistipps

DSGVO-konformes Spendermanagement: Was NGOs beachten müssen

Datenschutz ist gerade im Fundraising essentiell. Erfahren Sie, welche DSGVO-Anforderungen für NGOs gelten und wie Sie diese praktisch umsetzen.

raisenext TeamRedaktion

28. September 2025

12 Min. Lesezeit

DSGVO-konformes Spendermanagement: Was NGOs beachten müssen

Datenschutz ist nicht nur eine rechtliche Pflicht, sondern auch eine Vertrauensfrage. Spender:innen vertrauen Ihnen ihre persönlichen Daten an - ein Vertrauen, das Sie durch DSGVO-konformes Arbeiten rechtfertigen müssen.

Die wichtigsten DSGVO-Anforderungen für NGOs

1. Rechtsgrundlage für Datenverarbeitung

Sie benötigen eine klare Rechtsgrundlage für die Verarbeitung von Spenderdaten:

**Einwilligung**: Für Marketing und Newsletter

**Vertragserfüllung**: Für die Spendenabwicklung

**Berechtigtes Interesse**: Für bestimmte Fundraising-Aktivitäten

2. Informationspflichten

Ihre Spender:innen müssen wissen:

Welche Daten Sie erheben

Warum Sie diese erheben

Wie lange Sie diese speichern

Wer Zugriff auf die Daten hat

3. Betroffenenrechte

Spender:innen haben das Recht auf:

**Auskunft**: Welche Daten haben Sie von mir?

**Berichtigung**: Korrektur falscher Daten

**Löschung**: "Recht auf Vergessenwerden"

**Datenübertragbarkeit**: Daten in maschinenlesbarem Format

Häufige Datenschutz-Fehler im Fundraising

Fehler 1: Unverschlüsselte Datenübertragung

Online-Spendenformulare müssen SSL-verschlüsselt sein. Sonst können Daten abgefangen werden.

Fehler 2: Fehlende oder unklare Einwilligungen

Vorausgefüllte Checkboxen sind nicht DSGVO-konform. Einwilligungen müssen aktiv erfolgen.

Fehler 3: Keine Dokumentation

Sie müssen nachweisen können, wann und wo Spender:innen eingewilligt haben.

Fehler 4: Unzureichende Datensicherheit

Spenderdaten müssen vor unbefugtem Zugriff geschützt sein - technisch und organisatorisch.

So setzen Sie DSGVO-konformes Spendermanagement um

1. Datenschutzerklärung erstellen

Ihre Datenschutzerklärung sollte:

Verständlich formuliert sein

Alle Verarbeitungszwecke nennen

Betroffenenrechte erläutern

Kontaktdaten des Datenschutzbeauftragten nennen

2. Einwilligungsverwaltung einrichten

Mit raisenext können Sie:

Einwilligungen dokumentieren

Opt-in/Opt-out verwalten

Einwilligungen jederzeit nachweisen

3. Datensicherheit gewährleisten

Wichtige Maßnahmen:

**Verschlüsselung**: Daten verschlüsselt speichern und übertragen

**Zugriffskontrolle**: Nur berechtigte Personen haben Zugriff

**Backups**: Regelmäßige Sicherungen

**Protokollierung**: Nachvollziehbarkeit aller Zugriffe

4. Auftragsverarbeitungsverträge abschließen

Wenn Sie Dienstleister nutzen (z.B. für Newsletter-Versand), benötigen Sie Auftragsverarbeitungsverträge (AVV).

Betroffenenrechte praktisch umsetzen

Auskunftsrecht

Spender:innen können anfragen, welche Daten Sie von ihnen haben. Sie müssen innerhalb eines Monats antworten.

Mit raisenext: Alle Daten auf Knopfdruck exportieren und bereitstellen.

Recht auf Löschung

Wenn ein:e Spender:in die Löschung verlangt, müssen Sie dem grundsätzlich nachkommen.

Ausnahmen:

Gesetzliche Aufbewahrungsfristen (z.B. steuerrechtlich)

Berechtigte Interessen der Organisation

Mit raisenext: Datenlöschung mit einem Klick - unter Berücksichtigung aller Aufbewahrungsfristen.

Datenschutz als Vertrauensfaktor

Guter Datenschutz ist nicht nur Pflicht, sondern auch ein Wettbewerbsvorteil:

Vertrauen aufbauen

Spender:innen, die sehen, dass Sie Datenschutz ernst nehmen, spenden eher und häufiger.

Transparenz zeigen

Seien Sie offen, wie Sie mit Daten umgehen. Das schafft Vertrauen.

Proaktiv kommunizieren

Informieren Sie über Ihre Datenschutzmaßnahmen - nicht nur in der Datenschutzerklärung, sondern auch im direkten Kontakt.

raisenext und DSGVO

raisenext ist von Grund auf DSGVO-konform konzipiert:

Datenstandort Deutschland

Alle Daten werden ausschließlich in deutschen Rechenzentren gespeichert.

Integrierte Einwilligungsverwaltung

Dokumentation aller Einwilligungen

Double-Opt-In für Newsletter

Einfache Opt-out-Möglichkeiten

Automatische Einhaltung von Fristen

Löschfristen

Auskunftsfristen

Aufbewahrungsfristen

Umfassende Sicherheitsmaßnahmen

End-to-End-Verschlüsselung

Regelmäßige Sicherheitsaudits

Penetrationstests

Backup-Strategie

Verzeichnis von Verarbeitungstätigkeiten

raisenext unterstützt Sie bei der Erstellung und Pflege Ihres Verarbeitungsverzeichnisses.

Checkliste: DSGVO-konformes Fundraising

Vor der Spende:

✓ Datenschutzerklärung sichtbar verlinkt

✓ Informationen über Datenverarbeitung

✓ SSL-Verschlüsselung aktiv

Bei der Spende:

✓ Nur notwendige Daten erheben

✓ Klare Einwilligungsmöglichkeiten

✓ Keine vorausgewählten Checkboxen

Nach der Spende:

✓ Einwilligung dokumentieren

✓ Daten sicher speichern

✓ Aufbewahrungsfristen beachten

Laufend:

✓ Betroffenenrechte gewährleisten

✓ Datenschutz-Folgenabschätzungen

✓ Regelmäßige Schulungen

Häufige Fragen

Dürfen wir Spenderdaten für weitere Spenden-Aufrufe nutzen?

Ja, unter bestimmten Voraussetzungen:

Bei bestehenden Spender:innen auf Basis des berechtigten Interesses

Mit klarer Opt-out-Möglichkeit

Für ähnliche Zwecke wie die ursprüngliche Spende

Wie lange dürfen wir Spenderdaten speichern?

**Steuerrechtlich**: 10 Jahre für Spendenbescheinigungen

**Darüber hinaus**: Nur mit Einwilligung oder berechtigtem Interesse

**Nach Widerruf**: Sofortige Löschung (außer gesetzliche Aufbewahrungsfristen)

Was tun bei einem Datenschutzvorfall?

1. Vorfall dokumentieren

2. Bei Bedarf Datenschutzbehörde informieren (72 Stunden)

3. Betroffene informieren

4. Maßnahmen ergreifen

5. Prozesse anpassen

Fazit

DSGVO-konformes Spendermanagement ist komplex, aber mit der richtigen Software machbar. raisenext nimmt Ihnen viel Arbeit ab und stellt sicher, dass Sie datenschutzrechtlich auf der sicheren Seite sind.

Konzentrieren Sie sich auf Ihr Fundraising - wir kümmern uns um den Datenschutz.

Jetzt DSGVO-konform durchstarten →