Es ist derzeit rechtlich nicht erforderlich, dass in der Satzung geregelt wird, wer Zugriff auf welche Daten des Vereins hat. Aber es kann gemacht werden. Flexibler wäre der Verein, wenn er entsprechende Regelungen nicht direkt in der Satzung sondern der Datenschutz im Verein in einer Vereinsordnung geregelt wird. Sofern die Satzung nicht ausdrücklich etwas anderes bestimmt, wäre dann für den Erlass der Vereinsordnung und deren Änderungen die Mitgliederversammlung zuständig. Es für die Verabschiedung oder nachfolgende Änderung die einfache Mehrheit genügen und es wäre auch -im Gegensatz zu Satzungsänderungen (§ 71 Abs. 1 Satz 1 BGB)- keine Eintragung in das Vereinsregister erforderlich, damit die Vereinsordnung bzw. deren Änderungen wirksam werden.
Gibt es keine ausdrücklichen Regelungen zum Datenschutz in der Satzung oder einer wirksamen Vereinsordnung, dann ist nach § 28 Abs. 1 Nr. 1 Bundesdatenschutzgesetz (BDSG) trotzdem das Erheben, Speichern, Verändern oder Übermitteln personenbezogener Daten oder ihre Nutzung als Mittel für die Erfüllung der Geschäftszwecke des Vereins zulässig, wenn es für die Begründung, Durchführung oder Beendigung des Mitgliedschaftsverhältnisses mit dem Betroffenen erforderlich ist. Es müsste also in jedem Einzelfall geprüft werden, wer im Vorstand welche Daten für die vorgenannten Zwecke tatsächlich braucht.
Sofern ein Verein sich für eine Datenschutzregelung entscheidet (egal ob in der Satzung oder einer Vereinsordnung), darf diese in der Regel nur dann inhaltlich über die Regelungen des § 28 Abs. 1 BDSG hinausgehen, wenn zusätzlich jedes Mitglied in die entsprechende Erhebung, Verarbeitung, Nutzung oder Verwendung ausdrücklich und schriftlich eingewilligt hat.