Datenschutz in Cannabis Social Clubs: Ungenügend

Ab dem 1. Juli wird es so weit sein. Cannabis Social Clubs (CSCs) / Anbaugemeinschaften haben die Möglichkeit, eine Genehmigung zum legalen Anbau von Cannabis zu beantragen. So wie wir bei Berlin Blatt und Blüte auch haben viele CSCs bereits ihren Verein ins Vereinsregister eintragen lassen und werben um Mitglieder.

Doch was passiert mit den eigenen Daten, wenn man sich bei einem CSC bewirbt / Mitglied wird? Was sind die Risiken und wie kann man mitigieren?

Als ich bei der Gründungsversammlung vom Berlin Blatt und Blüte e.V. mein ‘Sicherheitskonzept’ vorgestellt habe, wurde ich etwas schräg angeschaut.

ProtonMail, ein auf verschlüsselte E-Mail Kommunikation spezialisierter E-Mail Server? Ein extra Laptop ohne Zugang zum Internet (AirGapped) für die Mitgliederverwaltung und ein Handy nur für die Vereinskommunikation? Ist das denn alles nötig?

Ich meine Ja! Natürlich wäre es noch etwas einfacher, auf eine fertige Softwarelösung, die in der Cloud liegt, zurückzugreifen. Aber wir sind kein Großverein mit tausenden Mitgliedern und hunderten Anfragen pro Tag. Für unsere maximal 500 Mitglieder, die wir von Gesetzes wegen nur haben dürfen, sollte der Aufwand überschaubar bleiben – und der Datenschutzgewinn ist immens!

Und wie machen andere CSCs das?

Um ganz ehrlich zu sein: wir wissen es nicht.

Wir haben bis heute noch keinen Anbauverein gefunden, der auf seiner Webseite komplett transparent offen legt, wie er mit seinen Mitgliedsdaten umgeht. Eine Datenschutzerklärung haben alle, da es sich inzwischen bis in die letzte Ecke des Internets herumgesprochen hat, dass man sowas braucht um nicht abgemahnt zu werden. Aber wie viel davon wirklich stimmt, und nicht nur aus einem Generator gezogen wurde, können wir nicht überprüfen.

Was wir aber gefunden haben, sind vielfältige Probleme mit dem Datenschutz.

Zuallererst möchten wir euch den Artikel [Archiv] von Zerforschung.org empfehlen, über den auch schon die Tagesschau [Archiv] berichtet hat.

Der Artikel beschäftigt sich mit einem Datenleck bei CanGuard, einem Anbieter von Software für Cannabis Social Clubs (CSCs), durch das persönliche Informationen von über 1.000 Nutzern offengelegt wurden. Es wird dargestellt, wie die Entdecker des Lecks auf Schwachstellen in der API von CanGuard stießen, die es ihnen ermöglichten, Zugriff auf umfangreiche Nutzerdaten zu erlangen und sogar Konten und Clubinformationen zu manipulieren. Der Versuch, CanGuard über das Datenleck zu informieren, führte zu weiteren Kommunikationsproblemen, bis schließlich die Plattform offline genommen wurde. Der Vorfall unterstreicht die Bedeutung von Datensicherheit und die Risiken, die mit der Sammlung und Speicherung persönlicher Informationen verbunden sind, insbesondere im Kontext des neuen Cannabis-Gesetzes in Deutschland.

Zwei weitere, sehr interessante Artikel zu der Problematik liefert Netzpolitik.org:

Kiffer-Listen: Datenschutzalbtraum Legalisierung [Archiv]

Legalisierung: Beim Dealer ist mehr Datenschutz [Archiv]

Wie viel Sorgen sollte man sich nun machen?

Auch diese Frage können wir nicht so richtig beantworten.

Wir haben Anwälte, Steuerberater, einen Richter, mehrere Lehrer, drei Polizisten und sogar einen Verkehrspiloten in unseren Reihen. Einige gehen mit dem Thema sehr locker um, andere sind extra zu uns gekommen, weil wir die Ersten mit “einem klaren Plan“, so sagen sie, wären.

Ich persönlich hoffe darauf, dass das Cannabis-Gesetz (CanG) noch diese Legislaturperiode ein paar Anpassungen erhält. Ein Finetuning sozusagen.

Für unsere Mitglieder

Aus Gründen des Jugendschutzes schränken wir unser Internetangebot freiwillig ein. Es richtet sich nur an Erwachsene – bitte komm erst zurück, wenn du das 21. Lebensjahr abgeschlossen hast. 

Unser Internetangebot richtet sich ausschließlich an volljährige Personen mit Wohnsitz oder gewöhnlichem Aufentaltsort in Deutschland.