Wer ist Verantwortlicher für unsere Mitgliederdaten — die Gemeinde, der Kommandant oder der Verein?

Das hängt davon ab, welche Daten gemeint sind. Für die Mitgliederakte der gemeindlichen Einrichtung Feuerwehr (aktive Wehr nach BayFwG) ist die GEMEINDE Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO — nicht der Kommandant persönlich. Für die Mitgliederliste des eingetragenen Fördervereins ist der VEREIN als juristische Person Verantwortlicher, vertreten durch den Vorstand nach § 26 BGB. Diese Trennung verlangt VollzBekBayFwG Nr. 5.2.2 ausdrücklich.

Brauchen wir für jedes Mitglied eine schriftliche Einwilligung?

Für die Mitgliederakte als solche nicht. Die Verarbeitung im aktiven Dienst ergibt sich aus Art. 6 Abs. 1 lit. e DSGVO (öffentliche Aufgabe) i.V.m. BayDSG Art. 4 und BayFwG/AVBayFwG. Eine zusätzliche Einwilligung ist nur dort erforderlich, wo keine andere Rechtsgrundlage greift — typisch bei Foto-Veröffentlichung auf der Vereins-Website, Social-Media-Beiträgen oder Pressearbeit ohne unmittelbaren öffentlichen Auftrag.

Wie lange dürfen wir Daten ausgetretener Mitglieder aufbewahren?

Eine FFW-spezifische gesetzliche Aufbewahrungsfrist gibt es im BayFwG nicht. In der Praxis ergeben sich Aufbewahrungspflichten aus mehreren Quellen: Abgabenordnung und HGB für Lohn- und Aufwandsbelege (typischerweise 6 bis 10 Jahre); KUVB-Vorgaben für unfall- und versorgungsrelevante Daten (im Einzelfall lebenslang); Anbietungspflicht an das Archiv nach Art. 13 BayArchG. Konkret die Mitgliederakte sollte nach Austritt entsprechend der eigenen Verzeichnis-der-Verarbeitungstätigkeiten-Logik geprüft werden — mit Unterstützung des Datenschutzbeauftragten der Gemeinde.

Darf der Kommandant die G26.3-Bescheinigungen in der Mitgliederakte ablegen?

Ja, das ist sogar erforderlich. Die Eignungsuntersuchung für Atemschutzgeräteträger (G26.3 bzw. heute 'Eignungsbeurteilung Atemschutzgeräte' nach DGUV Empfehlungen) ist eine Pflicht des Trägers der Feuerwehr nach § 6 Abs. 3 DGUV V49. Bewahrt wird in der Regel nur das Ergebnis (tauglich/nicht tauglich/mit Auflagen) mit Datum und nächster Fristberechnung. Detaillierte medizinische Befunde bleiben beim untersuchenden Arzt. Rechtsgrundlage: Art. 9 Abs. 2 lit. b oder h DSGVO i.V.m. § 22 BDSG bzw. Art. 8 BayDSG.

Wer darf die Mitgliederliste sehen — Vorstand, Kommandant, alle Mitglieder?

Es gilt das Erforderlichkeitsprinzip. Der Kommandant und Funktionsträger sehen die Daten, die sie für ihre Aufgabe brauchen (z.B. Atemschutzbeauftragter die Atemschutz-Tauglichkeit). Eine Veröffentlichung der gesamten Mitgliederliste an alle Mitglieder ist datenschutzrechtlich problematisch, weil dafür typischerweise keine Rechtsgrundlage besteht — auch innerhalb des Vereins. Wer welche Daten sehen darf, sollte in einer Rollen- oder Berechtigungsmatrix dokumentiert sein.

Brauchen wir für Fotos von Einsatz oder Tag der offenen Tür immer eine Einwilligung?

Das hängt vom Verwendungszweck ab. Für journalistische Berichterstattung gilt nach BGH VI ZR 246/19 (07.07.2020) weiterhin das Kunsturhebergesetz (§§ 22, 23 KUG) — Veröffentlichung von Personen der Zeitgeschichte / Beiwerk / Versammlungen ist auch ohne Einwilligung möglich. Für Vereins-PR (Website, Social Media) wird in der Praxis überwiegend die DSGVO angewendet, oft mit Einwilligung nach Art. 7 DSGVO oder berechtigtem Interesse nach Art. 6 Abs. 1 lit. f DSGVO. Im Zweifel: für identifizierbare Aufnahmen eine Einwilligung einholen und das Widerspruchsrecht klar machen.

Wir wollen Drohnenaufnahmen vom Einsatz veröffentlichen — was gilt?

Für die Datenverarbeitung mittels technischer Einsatzmittel (Bild- und Übersichtsaufzeichnungen im Einsatz, auch im Übungsbetrieb) gilt Art. 30 BayFwG. Aufzeichnungen sind grundsätzlich unverzüglich, spätestens aber nach zwei Monaten zu löschen oder zu vernichten — soweit und solange sie nicht zur Vorbereitung oder Durchführung von gerichtlichen Verfahren oder Verwaltungsverfahren erforderlich sind. Die Löschung ist zu dokumentieren. Eine Veröffentlichung im Internet ist eine separate Frage — hier greifen wieder die allgemeinen Regeln (Einwilligung / berechtigtes Interesse / KUG).

Wer ist Datenschutzbeauftragter und Aufsichtsbehörde?

Für die gemeindliche Einrichtung Feuerwehr ist der Datenschutzbeauftragte der Gemeinde nach Art. 37 DSGVO i.V.m. Art. 12 BayDSG zuständig; Aufsichtsbehörde ist der Bayerische Landesbeauftragte für den Datenschutz (BayLfD, Sitz München). Für den eingetragenen Förderverein gilt die Aufsicht des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA, Sitz Ansbach). Ein eigener Datenschutzbeauftragter ist beim Förderverein meist nicht erforderlich — die Schwellenwerte werden typischerweise nicht erreicht.

DSGVO und Mitgliederdaten in der Freiwilligen Feuerwehr — Verantwortlicher, Rechtsgrundlagen, Aufbewahrung

In Kurzform: Bei der Mitgliederverwaltung einer Freiwilligen Feuerwehr in Bayern sind zwei Verantwortliche zu unterscheiden: die Gemeinde für die gemeindliche Einrichtung Feuerwehr (öffentlich-rechtlich, BayDSG-Aufsicht: BayLfD) und der eingetragene Förderverein für seine Vereinsdaten (privatrechtlich, Aufsicht: BayLDA).

Das Datenschutzrecht macht die Mitgliederverwaltung in der Freiwilligen Feuerwehr komplizierter als sie auf den ersten Blick aussieht. Wer als Kommandant, Vorstand oder Schriftführer die Mitgliederakte führt, sollte drei Dinge wissen: wer der Verantwortliche ist, welche Rechtsgrundlage greift, und welche Daten in welcher Akte landen dürfen.

Dieser Artikel ordnet die zentralen Fragen — mit Fokus auf die bayerische Doppelstruktur aus gemeindlicher Einrichtung Feuerwehr und eingetragenem Förderverein.

Die zwei Verantwortlichen — der wichtigste Punkt

In Bayern ist die Feuerwehr rechtlich zweigeteilt:

Die gemeindliche Einrichtung Feuerwehr (= die aktive Wehr nach BayFwG) ist eine öffentliche Stelle. Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO ist die Gemeinde.
Der eingetragene Förderverein (typischerweise “Feuerwehrverein X e.V.”) ist eine privatrechtliche juristische Person. Verantwortlicher ist der Verein als solcher, vertreten durch den Vorstand nach § 26 BGB.

Die VollzBekBayFwG Nr. 5.2.2 verlangt diese Trennung ausdrücklich. In der Praxis wird sie häufig durchbrochen — eine gemeinsame Mitgliederliste, ein gemeinsamer E-Mail-Verteiler, ein gemeinsamer Festkartenverkauf. Aus Datenschutz-Sicht sind das zwei verschiedene Verarbeitungen mit zwei verschiedenen Rechtsgrundlagen.

Was das praktisch bedeutet:

Der Kommandant ist nicht persönlich Verantwortlicher. Er handelt im Auftrag der Gemeinde.
Eine Auskunftsanfrage nach Art. 15 DSGVO eines ehemaligen Mitglieds geht an die Gemeinde (für die Wehrdaten) und/oder den Verein (für die Vereinsdaten).
Bei Datenschutzpannen wird die Meldung an den Bayerischen Landesbeauftragten für den Datenschutz (BayLfD) gerichtet, wenn es um die gemeindliche Seite geht; an das Bayerische Landesamt für Datenschutzaufsicht (BayLDA), wenn es um den Verein geht.

Rechtsgrundlage für die Verarbeitung

Die Verarbeitung von Mitgliederdaten in der aktiven Wehr stützt sich primär auf:

Art. 6 Abs. 1 lit. e DSGVO (Wahrnehmung einer Aufgabe im öffentlichen Interesse)
in Verbindung mit Art. 4 BayDSG (öffentliche Stellen) und
in Verbindung mit BayFwG / AVBayFwG / VollzBekBayFwG als sektoralem Spezialgesetz.

Eine Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO ist für die Mitgliederakte als solche nicht erforderlich und auch nicht der richtige Weg — sie wäre jederzeit widerrufbar, was die Pflichtaufgabe der Wehr nicht zulassen darf.

Einwilligungen brauchen wir aber typischerweise für:

Fotos auf der Vereins-Website oder Social Media (siehe unten KUG-Frage)
Pressemitteilungen mit namentlicher Nennung außerhalb des öffentlichen Auftrags
Newsletter und Werbe-Kommunikation des Fördervereins

Besondere Kategorien — Art. 9 DSGVO

Gesundheitsdaten (Atemschutz-Tauglichkeit nach G26.3 / Eignungsbeurteilung Atemschutzgeräte, Verbandsbuch-Einträge nach DGUV V1, Feuerwehrdiensttauglichkeit nach VollzBek Nr. 6.2) sind besondere Kategorien nach Art. 9 DSGVO. Sie dürfen nur unter den engen Voraussetzungen von Art. 9 Abs. 2 verarbeitet werden:

lit. b — Verarbeitung erforderlich für arbeitsrechtliche Verpflichtungen i.V.m. § 22 BDSG oder Art. 8 BayDSG
lit. h — präventivmedizinische oder arbeitsmedizinische Beurteilung der Arbeitsfähigkeit

In der Praxis bewahrt der Kommandant in der Mitgliederakte nur die Eignungsbescheinigung des Arztes auf (mit Datum, nächster Frist und ggf. Auflagen), nicht den medizinischen Befund. Der Befund bleibt beim Arzt.

Aufbewahrungsfristen — der unbequeme Teil

Eine FFW-spezifische Aufbewahrungsfrist für Mitgliederakten gibt es im BayFwG nicht. In der Praxis ergeben sich Aufbewahrungspflichten aus verschiedenen Quellen:

Bereich	Aufbewahrungsfrist (typisch)	Quelle
Lohn-/Aufwandsbelege	6 bis 10 Jahre	Abgabenordnung / HGB
Unfall- und versorgungsrelevante Daten	im Einzelfall lebenslang	KUVB-Vorgaben / SGB VII
Einsatzberichte	nach Landes-/Kreisvorgabe	je nach BayFwG-Anpassung
Verbandsbuch (Erste-Hilfe)	mindestens 5 Jahre	DGUV V1
Personenbezogene Akten allgemein	bis Zweckfortfall, dann Löschung	DSGVO Art. 5 Abs. 1 lit. e
Anbietungspflicht an Archiv	nach Art. 13 BayArchG	bei Akten von dauerhaftem Wert

In der Praxis bedeutet das: Eine pauschale “10-Jahre-Frist” für Mitgliederakten gibt es nicht. Jede Datenkategorie braucht eine eigene Bewertung. Der Datenschutzbeauftragte der Gemeinde hilft beim Aufstellen einer kategoriebasierten Löschmatrix.

Auskunfts- und Löschanspruch

Nach Art. 15 DSGVO hat jedes Mitglied ein Auskunftsrecht — innerhalb eines Monats (in Ausnahmefällen verlängerbar). Die Auskunft umfasst:

welche personenbezogenen Daten verarbeitet werden
zu welchen Zwecken
an welche Empfänger sie weitergegeben wurden
für wie lange sie gespeichert werden
Information über Betroffenen-Rechte und Beschwerde beim BayLfD/BayLDA

Der Löschanspruch nach Art. 17 DSGVO ist eingeschränkt, soweit die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung oder einer Aufgabe im öffentlichen Interesse erforderlich ist (Art. 17 Abs. 3 lit. b DSGVO). Das heißt: Aktive Dienstdaten, Unfall-Dokumentation und Einsatzberichte können nicht ohne weiteres gelöscht werden. Beim Austritt aus der Wehr wird typischerweise nach gesetzlicher Aufbewahrungspflicht differenziert — Teile werden pseudonymisiert, Teile bleiben unter strenger Zweckbindung, manche werden gelöscht.

Foto-Veröffentlichungen — DSGVO vs. KUG

Die Rechtslage bei Fotos ist seit der DSGVO komplizierter geworden. Maßgeblich:

BGH VI ZR 246/19 vom 07.07.2020: Für journalistische Zwecke (Presse) gilt das Kunsturhebergesetz (KUG) weiterhin. §§ 22, 23 KUG erlauben Veröffentlichungen ohne Einwilligung bei Personen der Zeitgeschichte, Bildern von Versammlungen und Aufzügen, sowie bei Personen als bloßes Beiwerk.
Für Vereins-PR (Website, Social Media, Pressemitteilung des Vereins) wird in der Praxis überwiegend die DSGVO angewendet. Einwilligung nach Art. 7 DSGVO oder berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO sind die typischen Rechtsgrundlagen.

In der Praxis: Eine schriftliche Einwilligung für identifizierbare Fotos einholen ist der sichere Weg. Bei Veranstaltungen sollte mit Hinweisschildern und in der Einladung auf die Foto-Verwendung hingewiesen werden.

Datenverarbeitung mittels technischer Einsatzmittel — Art. 30 BayFwG

Mit der BayFwG-Novelle wurde Art. 30 BayFwG eingeführt für Drohnen-, Wärmebild- und ähnliche Bild-/Tonaufzeichnungen im Einsatz (auch im Übungsbetrieb). Wichtig:

Aufzeichnungen sind grundsätzlich unverzüglich, spätestens aber nach 2 Monaten zu löschen oder zu vernichten — soweit und solange sie nicht zur Vorbereitung oder Durchführung von gerichtlichen Verfahren oder Verwaltungsverfahren erforderlich sind. Die Löschung ist zu dokumentieren.
Eine Veröffentlichung ist eine separate Frage — Art. 30 BayFwG regelt die interne Verarbeitung, nicht die öffentliche Verwendung.

Stolperfallen aus der Praxis

1. Verantwortlichkeit verwechselt. Viele Kommandanten glauben, sie seien persönlich verantwortlich. Falsch — sie handeln im Auftrag der Gemeinde. Das schützt sie persönlich, gibt aber der Gemeinde die Pflicht zur datenschutzkonformen Organisation.

2. Mitgliederliste an alle Mitglieder verteilt. Klassischer Fall. Ohne Rechtsgrundlage problematisch. Sauberer Weg: Mitgliederverzeichnis nur für Vorstand/Funktionsträger; Kontaktlisten für bestimmte Aktionen nur an die Beteiligten.

3. “Wir sind doch ehrenamtlich, da gilt das nicht”. Falsch. DSGVO und BayDSG gelten unabhängig von der Vergütungsstruktur. Die Aufsichtsbehörden prüfen Vereine genauso wie Unternehmen — wenn auch in der Praxis mit Augenmaß bei kleineren Strukturen.

4. Wehr- und Vereinsdaten vermischt. VollzBek 5.2.2 ist klar: zwei Datensätze, zwei Verantwortliche. In Verwaltungssoftware sollte das technisch durch getrennte Datenbereiche abgebildet sein.

Wie kann digitale Verwaltungssoftware helfen?

Verwaltungssoftware kann die DSGVO-Anforderungen technisch unterstützen: rollenbasierter Zugriff (wer sieht welche Daten), Audit-Log für sicherheitsrelevante Aktionen, dokumentierte Subprozessoren, AVV nach Art. 28 DSGVO im Vertragsprozess, Pseudonymisierung beim Austritt, automatisierte Erinnerungen an Aufbewahrungsfristen-Ablauf. Florivio bildet diese Bausteine ab — die rechtliche Verantwortung der Gemeinde bzw. des Vereins als Verantwortlicher bleibt unberührt; die Software ist Auftragsverarbeiter im Sinne von Art. 28 DSGVO.

Stand dieser Information: 2026-05-22 — basierend auf DSGVO (gültig seit 25.05.2018), BayDSG, BayFwG (Fassung 23.12.1981 mit Geltung ab 16.07.2025) und VollzBekBayFwG (vom 28.09.2020, geändert 29.08.2023). Bei rechtlichen Zweifelsfragen den Datenschutzbeauftragten der Gemeinde, den BayLfD (für öffentliche Stellen) oder das BayLDA (für Vereine) einbeziehen.

Quellen und Referenzen

Stand: 22. Mai 2026.