„Ein kleines Gedankenspiel: was wäre, wenn in jeder Bar eine Liste mit Ihren persönlichen Daten und der konsumierten Alkoholmenge geführt werden würde?!“
Treiben wir diesen absurden Gedanken auf die Spitze… und nun stellen Sie sich vor diese Daten müssten dann auch noch über Jahre aufbewahrt und auf Verlangen an verschiedene Behörden herausgegeben werden. Und für all das, sowie für die Garantie, dass diese Listen, Daten und Informationen sicher aufbewahrt werden und garantiert niemals in die falschen Hände geraten ist dann das Tresen-Personal zuständig und der Wirt gibt Ihnen sein Ehrenwort… Na dann Prost!
Was vorsichtig ausgedrückt komplett absurd anmutet und wohl auch den Letzten von uns jegliche Lust auf ein alkoholisches Kaltgetränk nehmen würde entspricht in Bezug auf Cannabis Social Clubs der aktuellen Rechtslage!
Sie planen einen Cannabis Social Club (CSC) zu gründen oder haben bereits einen gegründet? Dann werden Sie das Thema Datenschutz mit nach oben auf Ihre Agenda setzen müssen.
In CSCs werden hochsensible personenbezogene Daten verarbeitet – von Mitgliederdaten bis hin zu Angaben über den Cannabisbezug und somit über das Konsumverhalten aller Mitglieder.
Dieser Artikel beleuchtet die besonderen datenschutzrechtlichen Anforderungen für CSCs ausführlich. Wir richten uns dabei direkt an Sie als Gründer, Vorstandsmitglied oder Vereinsvorsitzende und erklären, warum ein Datenschutzbeauftragter (DSB) für Ihren Cannabis Social Club unverzichtbar sein kann. Am Ende beantworten wir häufige Fragen (FAQ) rund um den Datenschutz im CSC.
Lesen Sie weiter, um rechtlich auf der sicheren Seite zu sein – und erfahren Sie, wie unsere Kanzlei Sie als externer Datenschutzbeauftragter unterstützen kann.
Warum sind personenbezogene Daten in Cannabis Social Clubs besonders schützenswert?
In einem Cannabis Social Club fallen zahlreiche personenbezogene Daten an, die als besonders sensibel einzustufen sind.
Schon die Mitgliedschaft in einem CSC impliziert den regelmäßigen Konsum von Cannabis – eine Information, die viele lieber privat halten möchten.
Name, Anschrift, Geburtsdatum jedes Mitglieds müssen erfasst werden, und bei jeder Abgabe von Cannabis innerhalb des Clubs sind zusätzlich die Abgabemenge, der THC-Gehalt und das Datum der Ausgabe zu dokumentieren. Diese umfangreiche Datensammlung – in Medien oft polemisch als „Kiffer-Listen“ bezeichnet – enthält detaillierte Informationen über das Konsumverhalten Ihrer Mitglieder. Gelangen solche Daten in falsche Hände, könnten Mitglieder Nachteile im sozialen oder beruflichen Leben erleiden.
Bedenken Sie: Eine solche Datenbank von Cannabisnutzern und ihren Konsumgewohnheiten birgt erhebliche Risiken. Datenschutz-Experten warnen bereits, dass diese sensiblen Daten Menschen den Job und die Reputation kosten können, falls sie öffentlich werden oder staatlichen Stellen unkontrolliert zugänglich sind.
Tatsächlich dürfen laut Cannabisgesetz die zuständigen Behörden diese Mitgliederdaten unter bestimmten Bedingungen einsehen, kopieren und bis zu zwei Jahre speichern – und sogar an andere Behörden weitergeben.
Das öffnet Missbrauch Tür und Tor, was Datenschützer als „albtraumhafte Zustände“ kritisieren.
Kurz gesagt:
„Die personenbezogenen Daten in Ihrem CSC sind hochsensibel und verdienen den bestmöglichen Schutz.“
Hinzu kommt, dass das Vertrauen Ihrer Mitglieder auf dem Spiel steht.
Viele Cannabis-Konsumenten zögern, einem Club beizutreten, wenn sie sich nicht sicher sein können, dass ihre Daten vertraulich behandelt werden.
Datenschutz ist hier also nicht nur Pflichtaufgabe, sondern auch Vertrauenssache. Ein Verstoß kann neben möglichen Bußgeldern vor allem einen enormen Vertrauensverlust bewirken – im schlimmsten Fall treten Mitglieder aus und potentielle neue Mitglieder bleiben fern.
Als CSC-Verantwortliche sollten Sie alles daransetzen, dieses Vertrauen durch konsequenten Datenschutz zu gewinnen und zu erhalten.
Abgabemengen als Gesundheitsdaten – Besondere Kategorie nach DSGVO
Ein zentraler Punkt ist die Frage, welcher Kategorie von personenbezogenen Daten die in CSCs verarbeiteten Informationen zuzuordnen sind.
Die DSGVO unterscheidet hierbei normale personenbezogene Daten und besondere Kategorien personenbezogener Daten (Art. 9 DSGVO). Zu diesen besonderen Kategorien zählen u.a. Gesundheitsdaten.
Doch fallen die Angaben über den Cannabisbezug eines Mitglieds – insbesondere die Abgabemenge und Häufigkeit – unter Gesundheitsdaten?
Datenschützer und erste rechtliche Analysen legen genau das nahe.
Anfragen bei den zuständigen Aufsichtsbehörden und Landesdatenschutzbeauftragten haben ergeben, dass „die „Erforderlichkeit einer Datenschutz-Folgenabschätzung (DSFA)“ und somit „Notwendigkeit der Benennung eines Datenschutzbeauftragten“ grundsätzlich bejaht wird.“
Die Datenschutzaufsichtsbehörden des Bundes und der Länder befassen sich zurzeit „aus Abstimmungsgründen in einem Subgremium der Datenschutzkonferenz“ mit den Fragen.
Daten zum Konsumverhalten können als Gesundheitsdaten im Sinne des Art. 9 Abs. 1 DSGVO gewertet werden.
Nach Erwägungsgrund 35 DSGVO gehören zu Gesundheitsdaten alle Informationen, die sich auf den körperlichen oder geistigen Gesundheitszustand einer Person beziehen. Auch der Europäische Gerichtshof vertritt eine weite Auslegung des Begriffs, um ein hohes Schutzniveau sicherzustellen.
Was bedeutet das konkret?
Einzelne Angaben wie Alter oder Geschlecht sind für sich genommen keine Gesundheitsdaten. Kombiniert man jedoch Personenstammdaten mit Informationen zum Konsum bestimmter Substanzen, können daraus hoch sensible Gesundheitsdaten werden!
Im Fall eines CSC heißt das: Wird festgehalten, dass Person X regelmäßig Cannabis in bestimmter Menge erhält (und somit mutmaßlich wohl auch konsumiert…), lässt dies Rückschlüsse auf ihren Gesundheitszustand bzw. ihr Konsumverhalten zu.
„Spätestens durch die Verknüpfung von Name, Geburtsjahr und Cannabis-Menge entstehen Gesundheitsdaten.“
Für solche besonderen Datenkategorien gelten strengste Anforderungen: Ihre Verarbeitung ist grundsätzlich verboten, sofern nicht eine ausdrückliche Ausnahme greift (Art. 9 Abs. 2 DSGVO).
Im Kontext der Cannabis Social Clubs ist die Grundlage für die Datenerhebung zwar im Cannabisgesetz selbst verankert (Stichwort Jugend- und Gesundheitsschutz). Dennoch entbindet das den Verein nicht davon, diese Daten nach DSGVO besonders zu schützen.
Praktisch bedeutet das: Höhere technische und organisatorische Schutzmaßnahmen, strikte Zugriffsbeschränkungen, Verschlüsselung und vor allem Datenschutz von Anfang an (Privacy by Design).
Zudem müssen Sie klare Löschfristen einhalten. Das Cannabisgesetz verpflichtet CSCs, die Abgabe-Daten fünf Jahre aufzubewahren. Danach müssen diese sensiblen Informationen aber gelöscht werden, sofern keine anderweitigen Aufbewahrungspflichten bestehen. Schon aus Eigeninteresse sollte ein Club nicht länger als nötig solche Daten vorhalten.
Kurz gesagt: Behandeln Sie Abgabemengen und Konsumdaten wie Gesundheitsdaten – mit maximaler Vertraulichkeit und Sorgfalt.
Braucht unser CSC einen Datenschutzbeauftragten?
Viele Vereinsgründer fragen sich, ob sie einen Datenschutzbeauftragten (DSB) bestellen müssen. Anders als bei „normalen“ Vereinen, wo oft die Mitgliederzahl oder Mitarbeiteranzahl gering ist, gibt es bei Cannabis Social Clubs gute Gründe, unabhängig von der Größe einen DSB zu bestellen.
Nach Art. 37 DSGVO bzw. § 38 BDSG ist ein Datenschutzbeauftragter u.a. dann verpflichtend zu benennen, wenn die Kerntätigkeit der Organisation in der umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten besteht.
Genau das dürfte bei CSCs zutreffen: Die Führung von Mitgliederlisten und Ausgabedokumentation ist eine Kerntätigkeit des Vereinsbetriebs und umfasst besondere Daten (mögliche Gesundheitsdaten) in größerem Umfang.
Schon die besondere Sensibilität und Menge der verarbeiteten Daten kann einen DSB erforderlich machen.
Laut ersten Einschätzungen von Experten ist die Benennung eines Datenschutzbeauftragten für Anbauvereinigungen in der Regel geboten, wenn entweder viele Personen an der Datenverarbeitung beteiligt sind, eine große Menge an personenbezogenen Daten oder spezielle Datenkategorien (Art. 9 DSGVO) verarbeitet werden.
Beides ist bei einem Cannabis Social Club schnell erreicht.
Ein weiterer Punkt: Wenn ein CSC bestimmte risikobehaftete Verarbeitungen vornimmt, ist eine sogenannte Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO Pflicht. Das dürfte z.B. der Fall sein, wenn Sie eine Videoüberwachung in den Anbauräumen betreiben oder generell die Verarbeitung der Konsumdaten als hohes Risiko eingestuft wird (Stichwort: Dokumentation der Abgabemengen).
Sobald eine DSFA vorgeschrieben ist, muss in der Regel auch ein Datenschutzbeauftragter benannt werden. Die Aufsichtsbehörden achten genau darauf, dass bei hohem Risiko für die Betroffenen entsprechende Fachleute eingebunden werden.
Unabhängig von der gesetzlichen Pflicht empfehlen wir aus praktischer Sicht dringend, einen DSB zu bestellen – idealerweise schon vor Aufnahme des vollen Betriebs.
Warum? Ein geschulter Datenschutzbeauftragter stellt sicher, dass alle Prozesse von Anfang an DSGVO-konform gestaltet werden. Das schützt Sie vor teuren Fehlern und schafft Vertrauen bei Mitgliedern und Behörden. Wie komplex das Thema Datenschutz im CSC ist, zeigen schon die vielen offenen Fragen und Unsicherheiten. Die Bestellung eines spezialisierten Datenschutzbeauftragten – am besten jemand, der sich auch mit dem Cannabisgesetz (KCanG/CanG) auskennt – ist daher eine sinnvolle Investition. So gewährleisten Sie den bestmöglichen Schutz der Mitgliederdaten und die Einhaltung aller rechtlichen Vorgaben.
Wichtig: Wenn Sie einen Datenschutzbeauftragten (intern oder extern) benennen, müssen Sie dies der zuständigen Datenschutz-Aufsichtsbehörde melden.
Dieser Vorgang ist unkompliziert, aber unerlässlich, um der gesetzlichen Meldepflicht nachzukommen. Unsere Kanzlei übernimmt diese Meldung gerne für Sie, damit alles korrekt verläuft.
Der Datenschutzbeauftragte muss nachweislich über die erforderliche Sachkunde verfügen, eine Benennung von Vorstandsmitgliedern ist aufgrund des Interessenkonflikts nicht erlaubt.
Was sagen die Datenschutzbehörden zu den CSC-Daten?
Schon bevor die ersten Cannabis Social Clubs richtig an den Start gingen, gab es lebhafte Diskussionen unter Datenschützern und bei den Datenschutzbehörden über die geplanten Datenerhebungen. Erste Überlegungen und Stellungnahmen deuten darauf hin, dass man die umfangreiche Dokumentation in CSCs äußerst kritisch sieht.
Datenschutz-Grundsätze wie Datensparsamkeit und Zweckbindung stehen im Raum:
“Braucht der Staat wirklich Klarnamen-Listen mit Konsummengen?“
Datenschützer verschiedener Stellen warnen vor den Folgen der jetzigen Regelungen und sehen großen Nachbesserungsbedarf seitens des Gesetzgebers. So wurde angemerkt, dass die erhobenen Listen Begehrlichkeiten bei Behörden wecken könnten, die mit der Cannabis-Regulierung eigentlich gar nichts zu tun haben.
Auch die Datenschutz-Aufsichtsbehörden der Länder bereiten sich auf dieses neue Themenfeld vor. Zwar liegen noch keine detaillierten Leitlinien ausschließlich für CSCs vor (Stand jetzt), aber es ist absehbar, dass die Behörden genau hinsehen werden. In internen Gesprächen und ersten Äußerungen zeichnet sich ab, dass Mitglieder- und Ausgabedaten als hochsensibel eingestuft werden und Clubs hier strenge Maßstäbe anlegen müssen.
Einige Juristen und Bürgerrechtler haben sogar angedeutet, die derzeitige Praxis der Datenerfassung rechtlich überprüfen zu lassen – Stichwort Unvereinbarkeit mit der DSGVO.
Für Sie als Verantwortliche heißt das:
Rechnen Sie damit, dass Ihre lokale Datenschutzbehörde Fragen stellen oder Kontrollen durchführen könnte, sobald Ihr CSC aktiv ist.
Sorgen Sie also frühzeitig für ein wasserdichtes Datenschutzkonzept. Wenn Sie einen DSB benannt haben, ist dieser Ihr Ansprechpartner gegenüber der Behörde und kann etwaige Auskünfte professionell für Sie erledigen. Gleiches gilt für die wichtige Haftungsfrage. Ohne Datenschutzbeauftragten haftet automatisch „die Geschäftsführung“ bzw. im e.V. der Vorstand.
Weitere Infos: Persönliche Haftung der Geschäftsführer bei Datenschutzverstößen
Unsere Erfahrung zeigt: Wer offen auf die Behörde zugeht und nachweislich die Datenschutzpflichten ernst nimmt, erspart sich viel Ärger.
Kurzum: Die Aufsichtsbehörden sind wachsam und betrachten Cannabis Social Clubs datenschutzrechtlich als besonders sensibel. Nutzen Sie dieses Wissen, um proaktiv alle Anforderungen zu erfüllen – wir unterstützen Sie dabei gerne.
Externer Datenschutzbeauftragter für Ihren CSC – Wie wir Sie unterstützen können
Die Umsetzung aller datenschutzrechtlichen Vorgaben in einem CSC kann schnell zur Herausforderung werden.
Hier kommen wir ins Spiel: Unsere Kanzlei bietet Ihnen die Unterstützung eines externen Datenschutzbeauftragten, der Sie und Ihren Club umfassend berät und begleitet. Was bedeutet das konkret für Sie?
- DSGVO-Compliance von Anfang an: Wir entwickeln gemeinsam mit Ihnen ein maßgeschneidertes Datenschutzkonzept für Ihren Club. Von der Satzung über die Aufnahmeformulare bis zur digitalen Mitgliederdatenbank – wir stellen sicher, dass alles DSGVO-konform gestaltet ist. Dazu gehören u.a. die Erstellung einer rechtskonformen Datenschutzerklärung, von Verarbeitungsverzeichnissen und ggf. die Durchführung einer Datenschutz-Folgenabschätzung.
- Laufende Beratung und Überwachung: Als externer DSB lagern Sie die Haftung an uns aus und wir überwachen kontinuierlich die Einhaltung der Datenschutzvorschriften in Ihrem CSC. Wir schulen Ihr Vorstandsteam und ggf. Mitarbeiter/ehrenamtliche Helfer im richtigen Umgang mit den sensiblen Daten. Zudem stehen wir für alle Fragen im Tagesgeschäft bereit – ob es um die zulässige Aufbewahrung von Ausweiskopien, den Versand von E-Mails an Mitglieder oder den sicheren IT-Betrieb der Mitgliederliste geht. Sie können uns jederzeit konsultieren, bevor eine Entscheidung getroffen wird, die datenschutzrechtliche Auswirkungen hat.
- Ansprechpartner für Mitglieder und Behörden: Ihre Mitglieder haben das Recht zu erfahren, welche Daten von ihnen gespeichert werden, oder Auskunftsanfragen zu stellen. Wir helfen Ihnen, solche Betroffenenanfragen korrekt und fristgerecht zu beantworten. Ebenso vertreten wir Ihren Verein gegenüber der Datenschutzaufsichtsbehörde – sei es bei der Meldung des DSB oder im Falle einer Überprüfung. Sollte es (trotz aller Vorsichtsmaßnahmen) zu einem Datenschutzvorfall kommen, übernehmen wir die Kommunikation mit der Behörde und unterstützen bei der fristgerechten Meldung innerhalb von 72 Stunden, wie es Art. 33 DSGVO vorschreibt.
- Technische und organisatorische Maßnahmen (TOMs): Wir bringen unser Know-how ein, um geeignete Schutzmaßnahmen für Ihre Daten umzusetzen. Von Verschlüsselung der Mitgliederlisten über Zugriffsbeschränkungen (Role-Based Access) bis hin zur Beratung zur sicheren Club-Software – wir sorgen dafür, dass Ihre IT den Anforderungen entspricht. Der Vorfall, bei dem durch eine unsichere Software (CanGuard) tausende Mitgliederdaten von Cannabis-Clubs ungeschützt im Netz landeten, zeigt, wie wichtig solide IT-Sicherheit ist. Solche Pannen können wir zwar nicht im gesetzlichen Sinne „verbieten“, aber wir können Ihnen helfen, die richtigen Dienste und Vorkehrungen zu wählen, um das Risiko drastisch zu minimieren.
- Rechtsberatung rund um den Datenschutz: Als spezialisierte Kanzlei können wir Sie über den reinen Datenschutz hinaus auch zu allen Schnittstellen-Themen beraten. Etwa, welche Informationen Sie von Mitgliedern erheben dürfen/müssen, wie lange Sie welche Unterlagen aufbewahren müssen, oder wie Sie datenschutzkonform mit Dienstleistern (z.B. Cloud-Diensten für Vereinsverwaltung) verfahren. Falls Ihr CSC zusätzlich Webangebote nutzt (Website, Social Media), kümmern wir uns um die nötigen Disclaimer, Cookie-Banner etc., damit auch hier alles im grünen Bereich ist.
Unsere Leistung als externer Datenschutzbeauftragter lässt sich flexibel an Ihren Bedarf anpassen.
Ob komplette Rundumbetreuung oder punktuelle Beratung für bestimmte Fragen – wir stehen Ihnen mit unserer Expertise zur Seite. Sie können sich dadurch voll auf den Vereinsaufbau und -betrieb konzentrieren, während wir im Hintergrund für Datenschutz und Datensicherheit sorgen.
Unsere Erfahrung – Leidenschaft für Cannabis Social Clubs
Warum sind wir der richtige Partner für Ihr Anliegen?
Weil wir Erfahrung und Leidenschaft mitbringen. Unsere Kanzlei hat bereits zahlreiche Cannabis Social Clubs von der Gründung an begleitet – wir kennen die Branche, die rechtlichen Feinheiten und die häufigen Stolpersteine.
Von den ersten Überlegungen zum Vereinsstatut bis zur Begleitung der Erlaubnisverfahren nach dem Cannabisgesetz waren wir bei vielen CSC-Gründungen involviert. Dabei haben wir immer ein besonderes Augenmerk auf den Datenschutz gelegt und gemeinsam mit den Clubs Lösungen entwickelt, die praktikabel und rechtskonform sind.
Diese Erfahrungshintergrund bedeutet für Sie: Wir wissen, wovon wir reden.
Wir sind mit Herzblut bei der Sache, weil wir überzeugt sind, dass eine legale Cannabis-Kultur nur funktionieren kann, wenn Datenschutz und Vertrauen gewährleistet sind.
Gerade in dieser jungen Branche gibt es noch wenige Präzedenzfälle – umso wichtiger ist es, einen Partner zu haben, der sich laufend mit den neuesten Entwicklungen auseinandersetzt. Sei es neue Guidance der Aufsichtsbehörden, Änderungen im Gesetz oder technische Innovationen zur Datensicherheit – wir bleiben für Sie am Ball.
Unser Team verbindet datenschutzrechtliches Fachwissen mit Kenntnis der besonderen Anforderungen von Cannabis Social Clubs. Diese Kombination ist selten, denn CSCs sind keine gewöhnlichen Vereine.
Profitieren Sie von unserem Vorsprung: Wir wissen, wie man die Dokumentationspflichten aus dem Cannabisgesetz erfüllt, ohne die DSGVO aus den Augen zu verlieren. Wir verstehen die Sorgen der Mitglieder und können daher Lösungen vorschlagen, die transparent und mitgliederfreundlich sind.
Kurz: Wir setzen uns mit Leidenschaft für den Datenschutz in Cannabis Social Clubs ein.
„Ihr Anliegen ist bei uns nicht nur ein Job, sondern eine Herzensangelegenheit.“
Überlassen Sie nichts dem Zufall – verlassen Sie sich auf erfahrene Partner.
Möchten Sie mehr erfahren oder ein unverbindliches Angebot für die Übernahme des Datenschutzes in Ihrem CSC erhalten? Kontaktieren Sie uns jetzt!
Wir beraten Sie gerne in einem ersten (natürlich kostenlosen!) Gespräch darüber, welche nächsten Schritte für Ihren Club sinnvoll sind.
Nutzen Sie unser Fachwissen für Ihren Erfolg – damit Ihr Cannabis Social Club sicher und erfolgreich durchstarten kann.
Bitte haben Sie keine Bedenken sich mit Ihren Fragen an uns zu wenden. Wir arbeiten in unserer Kanzlei nach dem alten Grundprinzip „der Kunde ist König“ und keine Angst(!) wir gehören nicht zur alten Garde der Anwälte, bei denen ab der ersten Sekunde bereits die Abrechnungsuhr läuft, zumal gerade die Cannabisthematik kanzleiintern ein Stück weit auch Herzenssache ist…
Bei Fragen einfach fragen.
Neben der rechtlichen Betreuung von CSCs, sowie der Datenschutzberatung bieten wir verschiedene anwaltliche Servicepakete und Dokumente auch für Gründer oder bereits gegründete CSCs an und begleiten Sie von der ersten Idee, über die Anbaugenehmigung bis hin zur langfristigen Beratung.
Unser diesbezügliches Portfolio ist, aufgrund der unsererseits durchgeführten Betreuung von Gründern und Vorständen, im stetigen Wandel, da wir aufgrund der täglichen Anfragen, die uns erreichen bemüht sind jeweils Lösungen für aktuelle Entwicklungen zu bieten.
Direkte Links zu unseren CSC-Produkten:
Gründungspaket für Anbauvereinigungen als e.V. (CSCs) – anwaltliche Dokumentensammlung
Gesundheits- und Jugendschutzkonzept für Anbauvereinigungen und Cannabis Social Clubs
Mein Anwalt – externe Rechtsabteilung zur Außendarstellung für Vereine
Dokumentation und Nachweis der Sicherungs- und Schutzmaßnahmen für Anbauvereinigungen / CSCs
Mitwirkungskonzept für Cannabis Social Clubs
FAQ – Häufige Fragen zum Datenschutz im Cannabis Social Club
Zum Abschluss beantworten wir einige häufig gestellte Fragen, die Gründer und Vorstände von Cannabis Social Clubs zum Thema Datenschutz beschäftigen.
Benötigt unser kleiner CSC wirklich einen Datenschutzbeauftragten?
Ja, auch kleine Cannabis Social Clubs sollten prüfen, ob die Pflicht zur Benennung eines Datenschutzbeauftragten besteht. Entscheidend ist weniger die Mitgliederzahl als vielmehr die Art und das Ausmaß der Datenverarbeitung. Wenn Sie regelmäßig sensible Daten (z.B. Konsum- bzw. Gesundheitsdaten) Ihrer Mitglieder verarbeiten, fällt dies unter die besonderen Kategorien nach Art. 9 DSGVO. Die DSGVO schreibt einen DSB vor, wenn solche Daten umfangreich verarbeitet werden oder wenn eine Datenschutz-Folgenabschätzung notwendig ist. Da ein CSC die sensiblen Ausgabemengen dokumentieren muss, ist diese Voraussetzung schnell erfüllt. Zudem gilt in Deutschland nach § 38 BDSG: Ab 20 Personen, die ständig mit der automatisierten Datenverarbeitung beschäftigt sind, müssen Sie einen DSB benennen. Zwar werden so viele Mitarbeitende in einem CSC selten erreicht, aber aufgrund der sensiblen Daten raten wir dringend, einen DSB zu bestellen – schon um Fehler zu vermeiden und das Vertrauen der Mitglieder zu gewinnen.
Welche personenbezogenen Daten verarbeitet ein Cannabis Social Club?
Ein CSC verarbeitet vor allem Mitgliederdaten und Ausgabedaten. Zu den Mitgliederdaten zählen Name, Anschrift, Geburtsdatum, Kontaktdaten und Ausweiskopie der Mitglieder (letztere z.B. zur Altersverifikation). Bei den Ausgabedaten geht es um jede Cannabis-Abgabe an Mitglieder: Hier müssen Menge (Gramm), THC-Gehalt und Datum der Ausgabe festgehalten und der jeweiligen Person zugeordnet werden. Dadurch entsteht ein detailliertes Bild, wer wann wie viel Cannabis erhalten hat. Zusätzlich fallen ggf. Daten von Mitarbeitern oder Vorstandsmitgliedern an (etwa Beschäftigtendaten, falls Angestellte im Verein sind) sowie Protokolldaten der internen IT-Systeme. All diese Informationen gelten als personenbezogen und unterliegen der DSGVO. Besonders kritisch sind die Konsumdaten, weil sie sensible Verhaltensinformationen und eventuell Gesundheitsbezug enthalten.
Warum gelten die Abgabemengen als Gesundheitsdaten?
Die Abgabemengen (die Menge an Cannabis, die ein Mitglied erhält bzw. konsumiert) werden als Gesundheitsdaten eingeordnet, weil sie Rückschlüsse auf die Gesundheit oder das Konsumverhalten der Person zulassen können. Gesundheitsdaten gehören zu den sog. „besonderen Kategorien personenbezogener Daten“ nach Art. 9 DSGVO und genießen einen erhöhten Schutz. Zwar ist Cannabis-Konsum nicht per se eine medizinische Behandlung, jedoch zählt der regelmäßige Konsum einer potenziell gesundheitsschädigenden Substanz zu den Informationen, die den Gesundheitszustand einer Person betreffen können. Zumindest ist diese weite Auslegung im Sinne des Datenschutzes geboten, wie auch der Europäische Gerichtshof bestätigt hat. Praktisch bedeutet das: Die Dokumentation „Mitglied X hat im Monat Y insgesamt Z Gramm Cannabis bezogen“ sollte so behandelt werden, als handele es sich um eine medizinische Information. Entsprechend müssen strengere Schutzmaßnahmen ergriffen werden (z.B. Zugriff nur für Berechtigte, hohe IT-Sicherheit, Verschwiegenheitspflichten). Außerdem ist die Verarbeitung solcher Daten nur unter bestimmten Bedingungen legal – im Fall der CSCs aufgrund der gesetzlichen Verpflichtung im Cannabisgesetz i.V.m. Art. 9 Abs.2 Buchst. g DSGVO (Verarbeitung aus Gründen des erheblichen öffentlichen Interesses, hier: Gesundheits- und Jugendschutz).
Was müssen wir als CSC beim Thema Datenschutz konkret beachten?
Als CSC sollten Sie ein umfassendes Datenschutz-Konzept haben. Wichtige Punkte sind:
Rechtsgrundlage klären: Ihre Datenverarbeitungen (Mitgliederverwaltung, Abgabedokumentation etc.) benötigen jeweils eine gültige Rechtsgrundlage nach DSGVO. In vielen Fällen wird das rechtliche Verpflichtungen aus dem Cannabisgesetz (Art. 6 Abs.1 lit. c DSGVO) in Verbindung mit Gründen des öffentlichen Interesses/Gesundheitsschutz (Art. 9 Abs.2 lit. g DSGVO) sein. Wo nötig, holen Sie Einwilligungen ein (z.B. für Fotos von Veranstaltungen, falls veröffentlicht).
Datensicherheit gewährleisten: Implementieren Sie technische und organisatorische Maßnahmen, um die Daten zu schützen. Beispielsweise Zugangsbeschränkung zu sensiblen Listen (nur Vorstand oder befugte Personen), Verschlüsselung der digitalen Mitgliederdatenbank, regelmäßige Backups und sichere Aufbewahrung von Papierakten. Nutzen Sie nach Möglichkeit erprobte Vereinssoftware, die Datenschutz großschreibt – und lassen Sie diese von Ihrem DSB prüfen.
Datenschutz-Folgenabschätzung (DSFA): Prüfen Sie, ob eine DSFA erforderlich ist. Angesichts der besonderen Daten (Konsumgewohnheiten) und möglicher Risiken sollte in vielen Fällen eine DSFA durchgeführt werden, um alle Risiken systematisch zu identifizieren und zu mitigieren. Ihr Datenschutzbeauftragter muss diese Analyse durchführen und dokumentieren.
Transparenz & Betroffenenrechte: Informieren Sie Ihre Mitglieder klar und verständlich über die Datenverarbeitung (z.B. mittels einer Datenschutzerklärung bei Eintritt in den Club). Mitglieder haben Rechte wie Auskunft, Berichtigung, Löschung, Datenübertragbarkeit etc. (Art. 15-20 DSGVO). Stellen Sie einen Prozess bereit, um solche Anfragen zügig zu bearbeiten.
Verträge und Meldepflichten: Schließen Sie Auftragsverarbeitungsverträge ab, wenn Sie externe Dienstleister einsetzen (z.B. Cloud-Dienst für Mitgliederdaten, Newsletter-Service). Melden Sie – wie erwähnt – ggf. Ihren Datenschutzbeauftragten der Behörde.
Datenschutzverletzungen managen: Legen Sie fest, wie Sie mit möglichen Datenpannen umgehen. Im Ernstfall muss innerhalb von 72 Stunden eine Meldung an die Aufsichtsbehörde erfolgen (Art. 33 DSGVO), sofern ein Risiko für die Betroffenen besteht. Jeder im Club, der mit Daten umgeht, sollte wissen, was im Fall eines Vorfalls zu tun ist (sofort den DSB informieren, Maßnahmen ergreifen, Dokumentation beginnen).
Dies sind nur die wichtigsten Punkte – ein DSB oder eine entsprechende Beratung kann Ihnen helfen, all diese Anforderungen strukturiert umzusetzen.
Was passiert, wenn wir die Datenschutzpflichten ignorieren oder verletzen?
Die Missachtung der DSGVO und der Datenschutzpflichten kann ernste Konsequenzen haben. Zunächst drohen Bußgelder seitens der Aufsichtsbehörde. Bei schweren Verstößen sind laut DSGVO Strafen von bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes möglich – für einen Verein würde die Behörde sich aber an der Schwere des Einzelfalls orientieren. Auch einige zehntausend Euro Strafe können einen jungen Verein jedoch empfindlich treffen. Wenn kein Datenschutzbeauftragter bestellt ist, haften bei Datenschutzverstößen die Vorstände mit Ihrem Privatvermögen. Noch gravierender ist der bereits erwähnte Vertrauensverlust: Wenn bekannt wird, dass in Ihrem CSC Datenschutzpannen passieren oder Mitgliederdaten in falsche Hände geraten, werden viele Mitglieder austreten und neue Interessenten abgeschreckt. Ein Beispiel hat es leider schon gegeben: Durch ein Datenleck in einer Verwaltungssoftware konnten Unbefugte auf tausende Mitgliederdaten mehrerer Cannabis-Clubs zugreifen. Für die betroffenen Clubs war dies nicht nur ein Imageschaden – die Mitglieder fühlten sich zu Recht unsicher. Sie müssen also mit Mitgliederverlust und rechtlichen Schritten von Betroffenen (Schadensersatzforderungen nach Art. 82 DSGVO) rechnen, wenn Sie grob fahrlässig mit Daten umgehen. Zudem kann die Aufsichtsbehörde Anordnungen erlassen, die Ihren Betrieb einschränken, z.B. die Verarbeitung bestimmter Daten bis zur Behebung von Mängeln untersagen. Fazit: Datenschutzverletzungen können teuer und rufschädigend sein – Investieren Sie lieber präventiv in gute Datenschutzmaßnahmen.
Kann unsere Kanzlei als externer Datenschutzbeauftragter tätig werden, auch wenn der Verein in einem anderen Bundesland sitzt?
Ja. Unsere Kanzlei kann bundesweit (und auch im Ausland) als externer Datenschutzbeauftragter für Ihren Cannabis Social Club bestellt werden. Der Datenschutz nach DSGVO ist europaweit einheitlich geregelt, und wir kennen die spezifischen Landesgesetze sowie Besonderheiten der einzelnen Bundesländer in Deutschland. Kommunikation läuft heute überwiegend digital oder telefonisch, sodass die Distanz kaum eine Rolle spielt. Bei Bedarf führen wir selbstverständlich auch Vor-Ort-Termine durch – etwa Schulungen oder Audits in Ihrem Club. Entscheidend ist, dass wir als externer DSB der Aufsichtsbehörde gemeldet werden und Ihnen vertraglich zugesichert unsere Leistung erbringen. Die geografische Entfernung ist kein Hindernis: Wichtiger sind Erfahrung und Expertise, und die bringen wir mit. Viele CSC-Gründer aus verschiedenen Bundesländern zählen bereits zu unseren Mandanten – wir sind also vertraut mit den verschiedenen regionalen Zuständigkeiten (z.B. welche Landesbehörde Ihr Ansprechpartner ist).
Kann unsere Kanzlei als externer Datenschutzbeauftragter tätig werden, auch wenn der Verein in einem anderen Bundesland sitzt?
Ja. Unsere Kanzlei kann bundesweit (und auch im Ausland) als externer Datenschutzbeauftragter für Ihren Cannabis Social Club bestellt werden. Der Datenschutz nach DSGVO ist europaweit einheitlich geregelt, und wir kennen die spezifischen Landesgesetze sowie Besonderheiten der einzelnen Bundesländer in Deutschland. Kommunikation läuft heute überwiegend digital oder telefonisch, sodass die Distanz kaum eine Rolle spielt. Bei Bedarf führen wir selbstverständlich auch Vor-Ort-Termine durch – etwa Schulungen oder Audits in Ihrem Club. Entscheidend ist, dass wir als externer DSB der Aufsichtsbehörde gemeldet werden und Ihnen vertraglich zugesichert unsere Leistung erbringen. Die geografische Entfernung ist kein Hindernis: Wichtiger sind Erfahrung und Expertise, und die bringen wir mit. Viele CSC-Gründer aus verschiedenen Bundesländern zählen bereits zu unseren Mandanten – wir sind also vertraut mit den verschiedenen regionalen Zuständigkeiten (z.B. welche Landesbehörde Ihr Ansprechpartner ist).
Wieviel kostet ein externer Datenschutzbeauftragter für einen CSC?
Die Kosten für einen externen Datenschutzbeauftragten variieren je nach Umfang der Betreuung und Größe Ihres Vereins. Typischerweise arbeiten wir mit pauschalen Monatsbeträgen oder individuell vereinbarten Paketpreisen, die an den Bedarf Ihres CSC angepasst sind. Für einen kleineren Verein mit z.B. 100 Mitgliedern und eher überschaubaren Prozessen liegen die Kosten selbstverständlich deutlich niedriger als für einen großen Club mit komplexer IT-Infrastruktur. Unser Ziel ist es, Ihnen ein maßgeschneidertes Angebot zu machen, das Ihr Budget schont und dennoch vollen Datenschutz-Service bietet. Bedenken Sie: Die Investition in Datenschutz ist auch ein Schutz vor viel höheren Kosten (Bußgelder, Rechtsstreitigkeiten) und sichert die Vertrauensgrundlage Ihres Clubs. In einem ersten kostenlosen Beratungsgespräch können wir Ihren Bedarf einschätzen und Ihnen dann ein konkretes Angebot unterbreiten. Sprechen Sie uns einfach an – Transparenz gilt bei uns nicht nur für Daten, sondern auch für Preise.
Wie geht es weiter, wenn wir uns für eure Kanzlei entscheiden?
Falls Sie uns als externen Datenschutzbeauftragten bestellen oder für ein Datenschutzprojekt engagieren möchten, läuft der Prozess typischerweise so ab: Zunächst führen wir ein ausführliches Gespräch (telefonisch oder persönlich), um Ihren Club kennenzulernen – welche Strukturen, Abläufe und eventuellen Vorerfahrungen im Datenschutz vorhanden sind. Dann vereinbaren wir schriftlich die Tätigkeit als externer DSB und melden diese Bestellung umgehend der zuständigen Landesbehörde. Anschließend erstellen wir einen Maßnahmenplan: Was wird zuerst angegangen (z.B. Erstellung der Pflichtdokumentation, Prüfung der IT-Sicherheit, Schulung des Teams). Schritt für Schritt arbeiten wir diesen Plan gemeinsam mit Ihnen ab. Sie erhalten regelmäßige Updates und Berichte von uns. Bei akuten Fragen oder Vorfällen sind wir kurzfristig erreichbar. Kurz gesagt: Nach Ihrer Entscheidung übernehmen wir zügig und strukturiert die Aufgabe, so dass Sie sich entlastet fühlen können. Ihr Datenschutz wird damit in professionelle Hände gelegt, und wir halten Ihnen den Rücken frei.
Können Mitglieder Einblick in die Vereins-Daten verlangen?
Ja, jedes Mitglied hat gemäß DSGVO ein Recht auf Auskunft (Art. 15 DSGVO). Auf Verlangen muss der Verein innerhalb eines Monats mitteilen, welche personenbezogenen Daten vom anfragenden Mitglied verarbeitet werden, zu welchen Zwecken, woher sie stammen, und an wen sie ggf. weitergegeben wurden. In einem CSC bedeutet das: Ein Mitglied könnte z.B. wissen wollen, welche Einträge über seine Cannabis-Abnahmen vorliegen. Diese Auskunft müssen Sie dann umfassend erteilen (etwa: “Du bist seit Datum X Mitglied, wir haben folgende Kontaktdaten von dir gespeichert…, zudem folgende Ausgabevermerke: am [Datum] [Menge]g mit [THC]%…”). Auch Berichtigungen falscher Daten (Art. 16) oder im gewissen Rahmen Löschung (Art. 17) können Mitglieder verlangen. Allerdings gibt es bei der Löschung Einschränkungen, da das Cannabisgesetz ja die Speicherung für fünf Jahre vorschreibt – hier würde ein Löschbegehren bezüglich der Ausgabedaten bis zum Ablauf dieser Frist zurückgestellt werden können mit Verweis auf die gesetzliche Pflicht. Wichtig ist, solche Anfragen ernst zu nehmen und fristgerecht zu beantworten. Ihr DSB wird entsprechende Musterantworten vorbereiten und Ihnen helfen, die Anfragen korrekt zu bearbeiten.
Dürfen wir die CSC-Mitgliederdaten an Behörden oder Dritte weitergeben?
Grundsätzlich nein, eine Weitergabe von Mitgliederdaten an Dritte ist strikt auf das erforderliche Minimum zu begrenzen. Laut Cannabisgesetz dürfen CSCs die Daten ausschließlich an die zuständigen Überwachungsbehörden (also jene Behörden, die die Einhaltung des Cannabisgesetzes kontrollieren) weitergeben. Eine darüberhinausgehende Weitergabe – etwa an Polizei oder andere Stellen – ist dem Club selbst nicht gestattet, es sei denn, Sie werden per Gesetz oder Gerichtsbeschluss dazu verpflichtet. Wichtig: Die Überwachungsbehörde kann die Daten einsehen und ihrerseits an Polizei/Staatsanwaltschaft weitergeben, aber das ist nicht Ihre Entscheidung, sondern durch das Gesetz geregelt. Sie als Verein sollten keine eigenen Datenlieferungen an irgendwelche Stellen vornehmen, außer es liegt eine klare gesetzliche Verpflichtung oder Einwilligung der Betroffenen vor. Anfragen von Dritten (z.B. Versicherung, Presse, Außenstehende) sind grundsätzlich abzulehnen bzw. an den Datenschutzbeauftragten zur Prüfung zu geben. Intern sollten nur diejenigen Personen Zugriff auf Mitgliederdaten haben, die ihn für ihre Aufgabenerfüllung benötigen (Minimalprinzip).
Auch interessant zum Thema:
CSC-Anbauvereinigung: Erfolgsgeschichte von der Gründung bis zur Anbaugenehmigung
Countdown für CSCs: So beantragen Sie die Anbaugenehmigung erfolgreich mit Unterstützung vom Anwalt
Anbaugenehmigung für Cannabisanbau in Anbauvereinigungen und Cannabis Social Clubs / Checkliste
Verschärfte Regeln für Anbauvereinigungen im Zuge der Cannabis-Legalisierung geplant
Schritt-für-Schritt Anleitung zur Gründung eines Cannabis Social Clubs (CSC) / Anbauvereinigung
Neue Grenzwerte für Cannabis im Straßenverkehr: Was Fahrer wissen müssen
Löschen von Einträgen im Führungszeugnis – Vorstrafen im Bundeszentralregister
Datenschutz in Cannabis Clubs: Ein dringender Aufruf zur Sicherung sensibler Mitgliederdaten
Vereinsgründung: Cannabis Social Clubs und Anbauvereinigungen – juristische Risiken vermeiden
Rechtliche Stolperfallen bei der Gründung eines Vereins
Anbaugenehmigung für Cannabisanbau in Anbauvereinigungen und Cannabis Social Clubs / Checkliste
Verschärfte Regeln für Anbauvereinigungen im Zuge der Cannabis-Legalisierung geplant
Schritt-für-Schritt Anleitung zur Gründung eines Cannabis Social Clubs (CSC) / Anbauvereinigung
Löschen von Einträgen im Führungszeugnis – Vorstrafen im Bundeszentralregister
Vereinsgründung: Cannabis Social Clubs und Anbauvereinigungen – juristische Risiken vermeiden