Christin Löhner, Studio für freie Technik Sulz am Neckar, DE · Verfügbar 2026
(08)   Vereine & Parteien

Digitale Unabhängigkeit,
die sich jeder leisten kann.

Vereine und Parteigliederungen werden ehrenamtlich geführt, sind chronisch knapp bei Kasse und verwalten trotzdem einige der sensibelsten Daten überhaupt: Mitgliederlisten, Spendenkonten, teils die politische Überzeugung ganzer Familien. Ich war selbst jahrelang im Bundesvorstand einer Partei, im Landesvorstand einer anderen und Vorsitzende eines gemeinnützigen Vereins. Ich kenne die Probleme aus der Vorstandssitzung, nicht aus der Beratungsbroschüre.

Das Problem

Es ist schon öfter schiefgegangen, als ihr denkt.

Letzte Generation, 2023

Eine Excel-Tabelle, 2.200 Menschen in Gefahr

Bei der Klimaschutzgruppe "Letzte Generation" gelangte eine interne Liste mit über 2.200 Kontaktdaten ins Netz: Namen, Telefonnummern, Adressen, sogar Vermerke zur Haftbereitschaft und persönlichen Umständen. Keine Cloud gehackt, kein Geheimdienst am Werk: eine schlecht gesicherte Tabellenkalkulation hat gereicht. Für eine Aktivistengruppe ist das kein PR-Problem, das ist eine reale Gefahr für jede einzelne Person auf der Liste.

Bundestag 2015, SPD 2024

Parteien sind ein erklärtes Angriffsziel

2015 hackte die russische Militärgeheimdienstgruppe APT28 ("Fancy Bear") den Bundestag. 2024 traf es die SPD-Zentrale über eine bis dahin unbekannte Sicherheitslücke bei Microsoft, die Bundesregierung machte offiziell dieselbe Gruppe verantwortlich. Auch Grüne, FDP und CDU waren in der Vergangenheit betroffen. Das sind keine Einzelfälle auf Bundesebene: die Sicherheitsbehörden warnen ausdrücklich vor "Hack-and-Leak"-Angriffen auch im Vorfeld von Wahlen, bei denen gestohlene und teils manipulierte Daten gezielt veröffentlicht werden.

Kassierer-Betrug

Der gefälschte Vorstand will Geld

Eine E-Mail, angeblich vom Vereinsvorsitzenden, bittet die Kassiererin um eine dringende Überweisung. Die Betrüger recherchieren Namen und Strukturen vorher öffentlich im Netz und Social Media und nutzen dann genau diese Informationen aus. Was früher nur große Unternehmen traf ("CEO-Fraud"), zielt inzwischen gezielt auf Vereinskassierer*innen. Fälle mit tatsächlichem Geldverlust sind bereits polizeilich dokumentiert.

Vorstandswechsel

Der IT-Mensch ist weg, der Zugang auch

Nach der Mitgliederversammlung oder dem Parteitag ist der bisherige Vorstand Geschichte, und mit ihm oft das gesamte Wissen: welches Passwort zu welchem Konto gehört, wo die Domain liegt, wer Admin bei der Cloud ist. Bestenfalls ruft jemand verzweifelt beim Vorgänger an. Schlimmstenfalls ist der Zugang für immer weg, und die Vereinswebsite oder das Spendenkonto hängt in der Luft.

Warum das bei euch anders läuft

Ihr seid kein kleines Unternehmen. Ihr seid etwas ganz anderes.

Die meiste IT-Beratung ist für Unternehmen gebaut: feste Ansprechpartner, planbares Budget, eine Geschäftsführung, die Entscheidungen trifft und dabei bleibt. Bei Vereinen und Parteigliederungen stimmt davon fast nichts. Der Vorstand wechselt alle zwei Jahre, oft komplett. Über Ausgaben entscheidet die Mitgliederversammlung oder gar niemand, weil sich niemand zuständig fühlt. Und das Budget ist nicht knapp, es ist meistens schlicht nicht vorhanden.

Gleichzeitig verwaltet ausgerechnet diese ehrenamtliche, unterbesetzte Struktur Daten, für die Unternehmen einen eigenen Datenschutzbeauftragten und ein Sicherheitskonzept hätten. Eine Mitgliedschaft in einer Partei ist nach Artikel 9 DSGVO eine besonders geschützte Kategorie personenbezogener Daten, in einer Reihe mit Gesundheitsdaten, sexueller Orientierung und religiöser Überzeugung. Der Gesetzgeber erlaubt Parteien, Verbänden und ähnlichen Organisationen zwar, die Daten der eigenen Mitglieder zu verarbeiten, aber ausdrücklich nur intern und ohne Offenlegung nach außen ohne Einwilligung. Genau das ist der Punkt, an dem eine unbedacht freigegebene Exceltabelle oder ein falsch konfigurierter Cloud-Ordner vom Verwaltungsproblem zur echten Gefahr für eure Mitglieder wird.

Bei Parteien kommt eine zweite Pflicht dazu: Transparenz bei den Finanzen. Spenden über 10.000 Euro im Jahr müssen mit Namen im Rechenschaftsbericht auftauchen, Spenden über 35.000 Euro müssen sofort an die Bundestagspräsidentin oder den Bundestagspräsidenten gemeldet und veröffentlicht werden. Das heißt: Eure Buchhaltung muss wasserdicht und nachvollziehbar sein, während gleichzeitig eure Mitgliederdaten so wenig wie möglich nach außen dringen dürfen. Zwei gegensätzliche Anforderungen, beide mit echten rechtlichen Konsequenzen, und in der Praxis stemmt das eine einzelne ehrenamtliche Kassiererin nebenbei.

Genau deshalb braucht ihr keine generische Unternehmensberatung. Ihr braucht Lösungen, die mit eurer Realität funktionieren: kein Budget, wechselnde Verantwortliche, besonders schützenswerte Daten. Das ist keine Ausnahme von meiner sonstigen Arbeit, sondern der Grund, warum es diese Seite gibt.

Art. 9 DSGVO

Parteimitgliedschaft gilt als besonders geschützte Datenkategorie, wie Gesundheitsdaten oder sexuelle Orientierung

35.000 €

Ab dieser Spendensumme muss der Name der spendenden Person sofort veröffentlicht werden (Parteiengesetz)

10.000 €

Ab dieser Jahressumme müssen Spenden mit Namen im Rechenschaftsbericht stehen

2 Jahre

Typischer Rhythmus, in dem sich Vorstände und damit das gesamte IT-Wissen komplett austauschen

Ein Wort in eigener Sache

Eure Mitgliederliste ist kein Adressbuch.

Ich bin trans* Frau, war jahrelang aktiv in der Selbsthilfe- und Community-Arbeit und betreibe mit lsbt.me bis heute einen Safespace für queere Menschen. Ich weiß, was es bedeutet, wenn Zugehörigkeit zu einer Gruppe zur persönlichen Gefahr wird, wenn sie in die falschen Hände gerät. Bei einem linken Ortsverband, einer queeren Selbsthilfegruppe oder einer migrantischen Interessenvertretung ist eine geleakte Mitgliederliste kein abstraktes Datenschutzproblem. Das sind Jobs, Freundschaften, teils die körperliche Sicherheit von Menschen, die sich auf euch verlassen haben, als sie beigetreten sind.

Genau deshalb steht digitale Unabhängigkeit bei mir über allem anderen auf dieser Seite. Nicht weil es gut fürs Marketing klingt, sondern weil eure Mitglieder ein Recht darauf haben, dass ihre Daten dort bleiben, wo sie hingehören: bei euch, unter eurer Kontrolle, nicht auf einem US-Server, dessen Nutzungsbedingungen sich morgen ändern können, und nicht in einer Tabelle, die drei Vorstände weitergereicht wurde, ohne dass jemand weiß, wer noch Zugriff hat.

Was ich anbiete

Acht konkrete Bausteine, einzeln oder zusammen buchbar.

01

Vereins- und Partei-IT-Check

Angelehnt an den CyberRisikoCheck des BSI (DIN SPEC 27076): ein ein- bis zweistündiges Gespräch, 27 Prüfpunkte in sechs Bereichen wie Zugriffsrechte, Datensicherung und Schutz vor Schadsoftware. Am Ende steht ein verständlicher Bericht mit klaren Prioritäten, nicht mit einem 40-seitigen Compliance-Dokument. Und ein Hinweis, welche staatlichen Fördermittel für die empfohlenen Maßnahmen infrage kommen.

02

Mitglieder- und Spendenverwaltung, DSGVO-konform

Statt einer Excel-Liste, die per E-Mail-Anhang von Kassiererin zu Kassiererin wandert: eine gepflegte Nextcloud mit Tabellen-Funktion, DSGVO-konform gehostet, mit gestaffelten Zugriffsrechten. Der Kassierer sieht die Beitragszahlungen, die Schriftführerin die Kontaktdaten, der Vorstand alles. Jeder sieht nur, was seine Aufgabe erfordert, genau wie es die Datenschutz-Aufsichtsbehörden für Vereine empfehlen.

03

Der IT-Übergabepass

Eine Vaultwarden-Organisation (verschlüsselter, geteilter Passwort-Tresor) plus ein gepflegtes Dokument: welche Dienste gibt es, wer ist wofür zuständig, wo liegt die Domain, wer zahlt das Hosting. Bei jedem Vorstandswechsel wird der Zugriff einfach umgehängt, statt dass Wissen in einem Kopf verschwindet. Das ist der Baustein, der die meisten Vereine und Ortsverbände am meisten brauchen und am wenigsten haben.

04

Newsletter ohne Mailchimp

Listmonk ist eine schlanke, quelloffene Newsletter-Software, die ich selbst hosten kann. Kein US-Anbieter, keine Datenübermittlung in Drittländer, keine Diskussion mit Datenschutz-kritischen Mitgliedern über Mailchimp-AGB. Mehrere Vereine teilen sich eine Instanz, jeder mit eigener, sauber getrennter Liste.

05

Website für Verein oder Ortsverband

Für ganz einfache Fälle: Schaut euch zuerst das Landesförderprogramm "Baden-Württemberg vernetzt" an, das Vereinen eine kostenlose Website durch Azubi-Teams erstellen lässt. Ehrlich gesagt, für eine reine Info-Seite reicht das oft völlig aus, und ich sage euch lieber das, als euch unnötig etwas zu verkaufen. Wenn ihr mehr braucht, etwa eine an DSGVO und Barrierefreiheit angepasste Seite mit eigenem Hosting, Formularen ohne Drittanbieter oder Anbindung an eure Mitgliederverwaltung, übernehme ich das.

06

Sichere interne Kommunikation

Die Vorstands-WhatsApp-Gruppe ist bequem und bei Meta durchsuchbar, sobald ein Gerät kompromittiert ist oder eine Behörde anfragt. Signal ist der pragmatische erste Schritt, Matrix mit einem eigenen Server der konsequente. Gerade für Parteigliederungen und Aktivismus-Gruppen, bei denen interne Absprachen im Ernstfall zum Politikum werden können, ist das kein Nice-to-have.

07

Schutz vor Kassierer-Betrug und Phishing

Eine kurze, verständliche Schulung für den Vorstand: woran man eine gefälschte Vorstands-E-Mail erkennt, warum ein Vier-Augen-Prinzip bei Überweisungen ab einer bestimmten Summe Pflicht sein sollte, wie man eine verdächtige Nachricht überprüft, bevor Geld fließt. Zwanzig Minuten, die im Ernstfall die gesamte Vereinskasse retten.

08

Unterstützung bei Fördermittelanträgen

Für Digitalisierung und IT-Sicherheit gibt es Förderprogramme auf Bundes-, Landes- und teils Kreisebene, die viele Vereine schlicht nicht kennen. Ich helfe dabei, die passende Förderung zu finden und die Beschreibung der geplanten Maßnahme so zu formulieren, dass der Antrag durchgeht. Im besten Fall zahlt am Ende nicht eure Vereinskasse, sondern ein Fördertopf, zu meinem ganz normalen Satz.

Warum das günstig sein kann

Ein Server, viele Vereine, geteilte Kosten.

Ein eigener Server pro Verein rechnet sich für niemanden, weder für euch noch für mich. Deshalb läuft die Vereins-Infrastruktur bei mir auf einer geteilten Basis: ein sauber gehärteter Server trägt mehrere Vereine, Ortsverbände und Kreisverbände gleichzeitig, jeder mit eigenem, technisch vollständig getrenntem Bereich (eigene Nextcloud-Gruppe, eigene Vaultwarden-Organisation, eigene Newsletter-Liste). Die Fixkosten für Server, Backup und Wartung teilen sich auf viele Schultern auf, statt dass jeder einzelne Verein sie allein trägt.

Das ist derselbe Grundsatz, den ich auch sonst vertrete: eigene Infrastruktur statt Cloud-Konzern, nur eben so organisiert, dass er sich für eine Organisation mit 200 Euro Jahresbudget genauso trägt wie für eine mit 20.000. Ihr bekommt keine Massenware von der Stange, sondern einen sauber abgegrenzten eigenen Bereich, nur eben nicht auf eurem eigenen Blechkasten im Keller, den dann wieder niemand wartet, wenn der zuständige Vorstand aufhört.

geteilt

Server-, Backup- und Wartungskosten verteilen sich auf viele Vereine gleichzeitig

getrennt

Trotzdem eigener, technisch vollständig abgegrenzter Bereich pro Organisation

planbar

Feste monatliche Pauschale statt offener Stundenrechnung, die der Vorstand nicht absegnen kann

Der Werkzeugkasten

Erprobte, freie Software statt teurer Lizenzen.

Alles quelloffen, alles ohne Vendor-Lock-in, alles bei Bedarf exportierbar, falls ihr euch irgendwann für einen anderen Anbieter oder einen eigenen Server entscheidet. Kein Baustein zwingt euch, für immer bei mir zu bleiben, das ist digitale Unabhängigkeit auch gegenüber mir selbst.

Nextcloud

Mitgliederverwaltung über Tabellen, Dateiablage, gemeinsamer Kalender für Termine und Sitzungen, Formulare für Anmeldungen. Alles an einem Ort, mit feingranularen Rechten pro Person oder Funktion.

Mitgliederdaten Formulare Kalender

Vaultwarden

Verschlüsselter, geteilter Passwort-Tresor mit Organisations-Funktion. Der Kern des IT-Übergabepasses: Zugänge werden Personen zugewiesen und bei Bedarf entzogen, nichts steht mehr in einer privaten Notiz-App.

Zugangsdaten Übergabe Verschlüsselt

Listmonk

Schlanker, quelloffener Newsletter-Versand ohne US-Cloud-Anbindung. Mitgliederinfo, Einladungen, Rundmails, sauber abgemeldet nach DSGVO, ohne Mailchimp-Kontostand im Kopf zu behalten.

Newsletter DSGVO Kein US-Anbieter

Signal & Matrix

Ende-zu-Ende-verschlüsselte Kommunikation für Vorstand und aktive Mitglieder statt WhatsApp-Gruppen. Matrix zusätzlich mit eigenem Server möglich, wenn auch der Messenger unter eurer eigenen Kontrolle laufen soll.

Verschlüsselt Kein Meta Selbst hostbar
Für wen genau

Wenn ihr ehrenamtlich Verantwortung tragt, seid ihr gemeint.

Das reicht vom Sportverein mit dreißig Mitgliedern über den Kulturverein, der einmal im Jahr ein Fest organisiert, bis zum Ortsverband einer Partei, der sich zwischen zwei Jobs und Familie um die IT kümmert. Genauso gemeint sind Bürgerinitiativen, Elternbeiräte, Fördervereine und Selbsthilfegruppen, die zwar keine eingetragene Rechtsform brauchen, aber trotzdem sensible Daten verwalten.

Was nicht passt: eine Organisation, die eigentlich ein Wirtschaftsbetrieb ist und sich nur "Verein" nennt, um Kosten zu sparen. Für die gilt der normale Gewerbe-Satz, ehrlich gesagt genauso, wie es sich gehört.

Vereine

Sport, Kultur, Soziales, Förderung: von der kleinen Interessengemeinschaft bis zum eingetragenen e.V.

Ortsverbände und Kreisverbände

Parteigliederungen aller demokratischen Parteien, unabhängig von Größe oder politischer Ausrichtung.

Gemeinnützige Vereine

Mit Freistellungsbescheid vom Finanzamt, für die es die tiefsten Sonderkonditionen gibt.

Initiativen und Selbsthilfegruppen

Auch ohne feste Rechtsform, wenn ihr gemeinsam Verantwortung für sensible Daten tragt.

Was es kostet

Deutlich günstiger als mein normaler Satz. Für gemeinnützige Vereine nochmal günstiger.

Alle Beträge sind Endpreise als Kleinunternehmerin, ohne ausgewiesene Umsatzsteuer. Diese Konditionen gelten ausschließlich für Vereine, Ortsverbände, Kreisverbände und vergleichbare ehrenamtliche Strukturen, nicht für gewerbliche Auftraggeber.

45 € / h Stundensatz Vereine & Parteigliederungen

Statt 85 € Gewerbe-Satz. Abrechnung in Viertelstunden, ehrliche Aufwandsschätzung vorab.

149 Digitalpaket-Setup

Festpreis. Nextcloud-Bereich, Mitglieder- und Spendentabelle, Vaultwarden-Organisation, Newsletter-Liste eingerichtet.

ab 12 € / mo Laufende Vereinspauschale

Geteiltes Hosting, Backups, Updates, Sicherheitskontrolle. Kein Einzelserver-Preis, weil die Kosten sich aufteilen.

69 IT-Übergabepass

Einmalig, auch ohne die anderen Bausteine buchbar. Der schnellste Weg, den nächsten Vorstandswechsel zu überleben.

Zusätzlich für gemeinnützige Vereine

Mit Freistellungsbescheid vom Finanzamt zahlt ihr 35 € pro Stunde statt 45 €, auf allen Leistungen dieser Seite. Ihr müsst dafür nichts einreichen oder nachweisen, außer wenn ihr wollt: eine kurze Erwähnung im Erstgespräch reicht.

Fördermittel

Wo möglich helfe ich, die Kosten über ein Förderprogramm statt über die Vereinskasse abzudecken. Details in Baustein 08 oben.

Erstgespräch

Wie immer kostenlos und unverbindlich, rund dreißig Minuten. Auch für Vereine, die noch gar nicht wissen, wo sie anfangen sollen.

Häufige Fragen

Was mir Vorstände am häufigsten sagen.

"Wir haben wirklich kein Geld."

Genau dafür gibt es die Sonderkonditionen auf dieser Seite, den IT-Übergabepass allein für 69 Euro, und die Unterstützung bei Fördermittelanträgen. Für eine reine Info-Website schaut euch zuerst das kostenlose Landesprogramm "Baden-Württemberg vernetzt" an. Ich sage euch im Erstgespräch ehrlich, was ihr wirklich braucht und was nicht.

"Bei uns wechselt der Vorstand ständig."

Genau dafür ist der IT-Übergabepass gebaut. Zugänge hängen an der Vaultwarden-Organisation, nicht am Gedächtnis einer einzelnen Person. Der neue Vorstand bekommt Zugriff, der alte verliert ihn, fertig. Keine verzweifelten Anrufe beim Vorgänger drei Monate nach der Wahl.

"Sind wir nicht viel zu klein dafür?"

Nein. Die geteilte Server-Infrastruktur ist genau dafür gebaut, dass sich auch ein Ortsverband mit zwölf Mitgliedern eine saubere Lösung leisten kann. Kleinere Vereine buchen oft nur den IT-Übergabepass oder den IT-Check, das ist völlig ausreichend als Einstieg.

"Wir sind doch zur Transparenz verpflichtet, wozu dann Datenschutz?"

Transparenzpflicht betrifft die Parteifinanzen, also woher das Geld kommt und wofür es ausgegeben wird. Sie betrifft nicht eure Mitgliederliste. Wer bei euch Mitglied ist, ist nach Artikel 9 DSGVO besonders geschützt, unabhängig davon, wie offen ihr mit euren Finanzen umgeht. Das eine hat mit dem anderen nichts zu tun, auch wenn es oft verwechselt wird.

"Wir nutzen doch schon eine WhatsApp-Gruppe für den Vorstand."

Das tun die meisten. Das Problem ist nicht Bequemlichkeit, sondern dass sensible Absprachen auf Servern eines US-Konzerns landen, durchsuchbar, sobald ein einziges Gerät in der Gruppe kompromittiert ist. Der Umstieg auf Signal dauert eine Viertelstunde und kostet nichts, das ist der pragmatischste erste Schritt überhaupt.

"Machen wir uns damit nicht nur von einer neuen Person abhängig, jetzt von dir?"

Berechtigte Frage, und genau deshalb ist der IT-Übergabepass keine Ausnahme, sondern das Grundprinzip meiner Arbeit bei euch: Zugänge, Dokumentation und Zugriffsrechte gehören von Anfang an vollständig dem Verein, nicht mir. Wenn ich morgen verschwinde, kommt ihr trotzdem an alles heran. Alle Software ist quelloffen und exportierbar. Ich will, dass ihr mich versteht und irgendwann selbst zurechtkommt, nicht, dass ihr für immer bei mir bleiben müsst.

Loslegen

Schreib mir, egal wie klein euer Verein oder Verband ist.

Ein paar Sätze reichen: was für eine Organisation ihr seid, wie viele Mitglieder, was euch gerade am meisten Sorgen macht. Ich melde mich in der Regel am selben Werktag mit einer ehrlichen Einschätzung, was sinnvoll ist und was es kostet, inklusive Hinweis auf mögliche Fördermittel.

Kostenloses Erstgespräch anfragen