Mit Freude präsentieren wir Ihnen heute ein Update zu unserem früheren Blogartikel “Datenschutz in Cannabis-Clubs – Ein dringender Aufruf zur Sicherung sensibler Mitgliederdaten”. Dieses Update vertieft und erweitert das Thema, indem wir Ihnen die neueste Entwicklung vorstellen.
Kürzlich hatten wir die Ehre als“ ausgewiesene Experten auf dem Gebiet des Datenschutzes für Anbauvereinigungen“ (mit gesunder Selbstironie erlauben wir uns hierbei den Journalisten von Deutschlandfunk aus den Vorgesprächen zu zitieren), in der Radiosendung Breitband von Deutschlandfunk Kultur unsere Einschätzungen zum aktuellen Stand geben zu dürfen.
In dieser Sendung zum Thema „Auch der Datenschutz muss mitgedacht werden“ wurden wichtige Aspekte des Datenschutzes in Cannabis-Clubs aus verschiedenen Blickwinkeln beleuchtet. Herr RA Marcel Wetzel lieferte Einblicke und praxisnahe Ratschläge zur angemessenen Sicherung sensibler Mitgliederdaten in diesen Einrichtungen.
Aus Ihrer Sicht: Was ist im Fall Canguard passiert – und ist das typisch für die Probleme, die sich jetzt zeigen?
Die Anbauvereinigungen sind nach dem Cannabis-Gesetz verpflichtet, verschiedenste Daten zu ihren Mitgliedern zu dokumentieren. Darunter fallen nicht nur Namen, Geburtsdaten und Adressen, sondern auch Informationen zum Cannabisbezug.
So müssen Datum, Menge und THC-Gehalt dokumentiert und für fünf Jahre aufbewahrt werden.
Um diese Daten zu verwalten, sprießen jetzt natürlich die Dienstleisterangebote wie Pilze aus dem Boden und einer der Anbieter, der Software hierfür entwickelt ist eben Canguard.
Dabei ist aufgefallen, dass Canguarg bei seiner Software ungesicherte Schnittstellen eingesetzt hat, über die Dritte die Daten der Vereine und deren Mitglieder einsehen und verändern konnten.
Typisch ist das nicht unbedingt, allerdings sollten Entwickler von Software stets darauf achten dem Stand der Technik entsprechende Sicherheitsmaßnahmen einzusetzen, um solche Vorfälle möglichst zu vermeiden. Auch sollten sich Anbauvereinigungen, die mit dem Gedanken spielen eine solche Software einzusetzen, vorher die Software so weit wie möglich in diesen Punkten prüfen.
Zudem muss man sagen, dass das Datenleck an sich schon gravierend genug ist, der eigentliche Missstand ist aber, dass der Vorfall scheinbar nach Kenntnisnahme nicht durch das Unternehmen an die zuständige Aufsichtsbehörde gemeldet wurde, sondern diese erst durch das Tätigwerden der Presse davon erfuhr.
Welche Verpflichtungen müssen die Vereine bei Datenschutz und Sicherheit einhalten?
Pflichten von Anbauvereinigungen ergeben sich zunächst aus dem Cannabis-Gesetz selbst, davon umfasst sind Pflichten, die auf den Kinder- und Jugendschutz sowie Suchtprävention abstellen.
Datenschutzrechtlich treffen diese Vereine, dieselben Pflichten wie alle anderen Unternehmen auch, da die rechtlichen Vorgaben hier keine Unterschiede machen.
Entsprechend müssen alle bei den Vereinigungen beschäftigten Personen für das Thema Datenschutz, z. B. durch Schulungen sensibilisiert und formell auf die Vertraulichkeit der Daten verpflichtet werden.
Weitere Punkte sind zum Beispiel die Pflicht, die Mitglieder detailliert darüber aufzuklären, welche Daten von Ihnen wie verarbeitet werden, wer diese möglicherweise in die Hände bekommt und wie lange diese gespeichert werden, oder auch deren rechtlich einwandfreie Einwilligungen einzuholen.
Ansonsten müssen datenschutzrechtlich konkrete Festlegungen getroffen und festgehalten werden, was die Verarbeitung, Dokumentation und später dann auch Löschung der anfallenden Daten angeht, weil das Cannabis-Gesetz selbst zum Beispiel die Vereinigungen schon dazu verpflichtet, nicht nur Namen, und Adressen ihrer Mitglieder für fünf Jahre zu speichern, sondern auch Details zum Cannabisbezug, was zumindest gesellschaftlich in weiten Teilen wohl hochsensibel sein dürfte.
Demnach sollten Vereinigungen unbedingt sicherstellen, dass die Speicherfristen in Bezug auf diese Daten eingehalten, die Daten nach deren Ablauf dann aber auch tatsächlich gelöscht werden.
Insgesamt steht hier außerdem die Frage im Raum, ob die Erhebung solcher Daten nicht an sich bereits ein hohes Risiko für die Mitglieder des Vereins darstellt, so dass bereits aufgrund rechtlicher Vorgaben ein Datenschutzbeauftragter gegenüber der Aufsichtsbehörde benannt werden muss.
Daneben müssen angemessene Sicherheitsstandards für die Verarbeitung dieser Daten eingehalten und regelmäßig kontrolliert werden. Erfüllen Anbauvereinigungen die Datenschutzvorgaben nicht oder kommt es deswegen sogar ähnlich wie bei Canguard zu einem Datenschutzvorfall, haften dafür, ähnlich wie bei Unternehmen, die Vereinsvorstände unter Umständen mit ihrem Privatvermögen, was bedeutet, dass der Vorstand schlimmstenfalls sein Einfamilienhaus mit in die Waagschale werfen muss.
Um ein solches Risiko möglichst klein zu halten kann man dafür auf externe Dienstleister zurückgreifen, die für die Vereinigung dann den Datenschutzbeauftragten stellen.
Etwas zugespitzt formuliert: Sind Kifferclubs aus Ihrer Sicht geeignete Datenhüter?
Kifferclubs, wie Sie sie nennen, können durchaus geeignete Datenhüter sein, wenn den Betreibern solcher Vereinigungen bewusst ist, wie sensibel die Daten mit denen sie da umgehen eigentlich sind und welche Folgen drohen können.
Denn wenn man die Regelungen des Cannabis-Gesetzes mal auf den regelmäßigen Kneipengang überträgt, dürfte vielen eigentlich erst klar werden, welche Detailinformationen dokumentiert werden müssen.
So würde beispielsweise genau erfasst werden, wann und welche Art von Getränken mit welchem Alkoholgehalt jemand in seiner Stammkneipe zu sich genommen hat.
Man muss sich einmal vorstellen, was es für einen Aufschrei gäbe, wenn eine solche Pflicht plötzlich für jede Bar eingeführt werden würde.
Interessant wird es jedenfalls, wenn sich die Aufsichtsbehörden dazu entschließen, jetzt nach der Teillegalisierung vorrangig solche Vereinigungen zu prüfen. Insbesondere, weil jedes Bundesland die vorhandenen Regelungen wahrscheinlich etwas unterschiedlich auslegen dürften, Stichwort Bayern.
Des Weiteren wurde in der gleichen Sendung Frau Dr. h.c. Marit Hansen, die Landesdatenschutzbeauftragte von Schleswig-Holstein, interviewt und Sie konnte interessante Einblicke zum aktuellen Stand und grundsätzlich zur Sicht der Datenschutzaufsichtsbehörden geben. Frau Dr. Hansen ist als Landesbeauftragte Leiterin des unabhängigen Landeszentrum für Datenschutz welche die Dienststelle der Landesbeauftragten für Datenschutz, der schleswig-holsteinischen Datenschutzaufsichtsbehörde ist.
Für den Datenschutz bei Behörden anderer Bundesländer sowie bei Unternehmen und anderen nichtöffentlichen Stellen (inklusive von Cannabis Social Clubs und Anbauvereinigungen), die ihren Sitz in einem anderen Bundesland haben, ist die Datenschutzbehörde des jeweiligen Bundeslands zuständig.
Weitere Informationen sowie eine Übersicht über alle Datenschutzbehörden in Deutschland und deren Erreichbarkeit finden Sie unter:
https://www.datenschutz.de/organisation-datenschutz/
Für den Datenschutz bei den Bundesbehörden (z.B. Arbeitsamt, Kraftfahrt-Bundesamt) ist der Bundesbeauftragte für den Datenschutz zuständig.
Durch die Kombination aus der pragmatischen Einschätzung von Rechtsanwalt Marcel Wetzel und Frau Dr. Hansen’s behördlicher Perspektive erhielten die Zuhörer ein umfassendes Verständnis für die Bedeutung des Datenschutzes in Cannabis-Clubs.
Wir möchten Sie dazu ermutigen, den Mitschnitt dieser Sendung anzuhören, um von den fachkundigen Einsichten und der spannenden Debatte über die aktuellen Herausforderungen und Lösungsansätze im Bereich des Datenschutzes zu profitieren.
Hier finden Sie den Link zum Beitrag:
Deutschlandfunk Kultur, Breitband: Auch der Datenschutz muss mitgedacht werden
Hier finden Sie den Link zur ganzen Sendung:
Auch interessant zum Thema:
Schritt-für-Schritt Anleitung zur Gründung eines Cannabis Social Clubs (CSC) / Anbauvereinigung
Löschen von Einträgen im Führungszeugnis – Vorstrafen im Bundeszentralregister
Datenschutz in Cannabis Clubs: Ein dringender Aufruf zur Sicherung sensibler Mitgliederdaten
Vereinsgründung: Cannabis Social Clubs und Anbauvereinigungen – juristische Risiken vermeiden
Datenschutz im Fokus: Was bei der Gründung und dem Betrieb eines Cannabis Social Clubs CSC (Anbauvereinigung) zu beachten ist
Rechtliche Stolperfallen bei der Gründung eines Vereins