Ein Gastbeitrag von Seyhun Savas, Cannaprivacy
In jüngster Vergangenheit sorgte eine Datenpanne bei einer Softwarefirma, die eine Plattform zur Mitgliederverwaltung von Anbauvereinigungen (umgangssprachlich: Cannabis Social Clubs; i.d.F. „CSC“ genannt) bereitstellt, für Aufsehen. Ein Hackerkollektiv entdeckte innerhalb des Software mehrere Schwachstellen. Diese führten dazu, dass unzählige Mitgliederdaten veröffentlicht wurden, was die dringende notwendige Umsetzung robuster Datenschutz- und IT-Sicherheitsmaßnahmen für Anbauvereinigungen verdeutlicht.
Ein weiterer kürzlich bekannt gewordener Fall ist eine Datenschutzverletzung beim Telemedizinanbieter Dr. Ansay. Durch eine schwerwiegende Sicherheitslücke wurden hochsensible Daten offengelegt, einschließlich Cannabis-Rezepten, die über Suchmaschinen zugänglich waren. Teilweise waren die Daten tagelang abrufbar.
Der Hamburgische Datenschutzbeauftragte Thomas Fuchs erhielt zahlreiche Beschwerden, und das verantwortliche Unternehmen hat mittlerweile eine Meldung gemäß Art. 33 Datenschutz-Grundverordnung (DSGVO) eingereicht. Zu den veröffentlichten Informationen gehörten Namen, Adressen, Geburtsdaten, Versichertennummern, Krankenkassen, das verschriebene Cannabispräparat und Angaben zum ausstellenden Arzt. Die Lücke wurde inzwischen geschlossen und die betroffenen Seiten gesperrt.
Für Anbauvereinigungen, die sensible Mitgliederdaten verwalten, sind solche Vorfälle alarmierend und verdeutlichen die Dringlichkeit, den Schutz personenbezogener Daten ernst zu nehmen. CSCs müssen nicht nur die Anforderungen der DSGVO einhalten, sondern auch sicherstellen, dass ihre IT-Systeme und -Prozesse ausreichend gesichert sind, um Datenschutzverletzungen zu verhindern.
Hier einige detaillierte Beispiele für IT-Sicherheitsmaßnahmen, die Anbauvereinigungen (CSCs) implementieren können:
1. Verschlüsselung von Datenübertragungen:
Alle Datenübertragungen zwischen den Mitgliedern der Anbauvereinigung (CSC) und den IT-Systemen des Clubs müssen verschlüsselt sein, um sicherzustellen, dass vertrauliche Informationen während der Übertragung nicht abgefangen oder manipuliert werden können. Die Verwendung von HTTPS-Protokollen für Webanwendungen, die Transportverschlüsselung von E-Mails oder die
Ende-zu-Ende-Verschlüsselung vom Endgerät zum Server sind wichtige Maßnahmen in diesem Bereich.
2. Zwei-Faktor-Authentifizierung (2FA):
Die Implementierung von 2FA für den Zugriff auf Mitgliederdaten und interne Systeme kann die Sicherheit erheblich verbessern, indem sie einen zusätzlichen Schutz gegen unbefugten Zugriff bietet. Selbst wenn ein Angreifer das Passwort eines Mitglieds erlangt, ist der Zugriff ohne den zweiten Authentifizierungsfaktor erheblich erschwert.
3. Regelmäßige Sicherheitsupdates:
IT-Systeme sollten regelmäßig auf Sicherheitslücken überprüft werden, und alle verfügbaren Sicherheitsupdates müssen umgehend installiert werden. Veraltete Software, welche unter Umständen bereits aus der Wartung heraus ist und nicht gepatchte Systeme sind anfälliger für Angriffe und können zu schwerwiegenden Datenschutzverletzungen führen.
4. Datensicherung und Notfallwiederherstellung:
Die Verantwortlichen einer Anbauvereinigung müssen regelmäßige Datensicherungen durchführen und Notfallwiederherstellungspläne entwickeln, um im Falle eines Datenverlusts oder einer
IT-Störung das System und die Datensätze schnell wiederherstellen zu können. Die Sicherung von Daten an mehreren Standorten und die regelmäßige Überprüfung der Wiederherstellungsprozesse sind wichtige Aspekte dieser Maßnahme.
5. Regelmäßige Datenschutzschulungen:
Schulungen für Mitglieder sowie Mitarbeitende der Anbauvereinigungen (CSCs) zu den Themen Datenschutz und IT-Sicherheit sind unerlässlich, um das Bewusstsein für potenzielle Bedrohungen zu schärfen und sicherzustellen, dass alle Mitarbeitenden die notwendigen Sicherheitspraktiken verstehen und umsetzen können.
Schulungen zum Umgang mit personenbezogenen Daten und welche Schritte bei einer möglichen Datenschutzverletzung umzusetzen sind, sind dabei besonders wichtig.
Beispielsweise müssen Anbauvereinigungen nach Bekanntwerden einer Verletzung des Schutzes personenbezogener Daten, die voraussichtlich zu einem Risiko für die Rechte und Freiheiten der betroffenen Personen führt, diese unverzüglich und möglichst binnen 72 Stunden der zuständigen Datenschutz-Aufsichtsbehörde melden. Eine ausgebliebene Meldung kann zu erheblichen Bußgeldern führen.
Zusätzlich zu den IT-Sicherheitsmaßnahmen gibt es spezifische Punkte zum Datenschutz nach DSGVO, die Anbauvereinigungen (CSCs) beachten müssen, die im Folgenden aufgeführt werden:
6. Verzeichnis der Verarbeitungstätigkeiten:
Anbauvereinigungen unterliegen unter anderem Dokumentationspflichten gemäß KcanG und DSGVO, die zwingend zu beachten sind.
Alle Prozesse, in denen personenbezogene Daten verarbeitet werden, sind zu dokumentieren. Das sogenannte Verzeichnis der Verarbeitungstätigkeiten ist ein unverzichtbares Instrument im Datenschutzmanagement nach DSGVO. Es ermöglicht den Clubs nicht nur die Einhaltung gesetzlicher Anforderungen, sondern bietet auch einen klaren Überblick über die Datenverarbeitungsprozesse und hilft dabei, Datenschutzrisiken zu minimieren. Die regelmäßige Pflege und Aktualisierung des Verzeichnisses stellt sicher, dass die Anbauvereinigung (CSC) stets auf dem neuesten Stand ist und schnell auf Änderungen und neue Anforderungen reagieren kann.
7. Recht auf Information, Auskunft, Korrektur, Löschung und Datenübertragbarkeit:
Gemäß der DSGVO haben betroffene Personen Rechte, die zwingend beachtet werden müssen. Unter anderem besteht das Recht, alle Informationen darüber zu erhalten, wie personenbezogene Daten verarbeitet werden. Daher sollten Anbauvereinigungen (CSCs) bei der Mitgliederaufnahme ein Datenschutz-Informationsblatt aushändigen, um den Informationspflichten nachzukommen. Mitglieder haben zudem das Recht, Auskunft über ihre verarbeiteten Daten zu erhalten. Anbauvereinigungen müssen Mechanismen bereitstellen, die es den Mitgliedern ermöglichen, ihre Daten einzusehen, zu korrigieren und gegebenenfalls zu löschen. Darüber hinaus muss die Möglichkeit bestehen, den jeweiligen Datensatz des Mitglieds an einen anderen Anbieter zu übertragen, wenn der Wunsch dazu geäußert wird.
8. Datensparsamkeit, Speicherdauer und Zweckbindung:
Die Anbauvereinigungen (CSCs) müssen sicherstellen, dass nur die notwendigen Daten Ihrer Mitglieder erfasst werden, die für den jeweiligen Zweck erforderlich sind. Es ist wichtig, dass Daten nicht übermäßig gesammelt und nur für die vorgesehenen Zwecke verwendet werden, für die sie erhoben wurden.
Zusätzlich muss darauf geachtet werden, dass personenbezogene Daten nur so lange aufbewahrt werden, wie es für die jeweiligen Zwecke erforderlich ist. Einige Aufbewahrungsfristen für Vereinigungen sind im Konsumcannabisgesetz (KCanG) definiert und müssen zwingend beachtet werden.
9. Auftragsverarbeitungsverträge mit Dienstleistern:
Falls Anbauvereinigungen Prozesse auslagern und Dienstleister beauftragen, die personenbezogene Daten in Ihrem Auftrag verarbeiten, muss sichergestellt sein, dass die datenschutzrechtlichen Anforderungen durch den Dienstleister eingehalten werden.
Die Einhaltung der datenschutzrechtlichen Vorgaben wird in der Regel mit Abschluss eines Auftragsverarbeitungsvertrags nach Art. 28 DSGVO sichergestellt.
10. Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen:
Bei der Entwicklung von Vereins- oder Genossenschaftsstrukturen, der Auswahl von Dienstleistungen oder der Verwendung von IT-Systemen sollten Anbauvereinigungen (CSCs) von Anfang an Datenschutzprinzipien berücksichtigen. Artikel 25 DSGVO fordert, dass Datenschutz durch Technikgestaltung (Privacy by Design) und durch datenschutzfreundliche Voreinstellungen (Privacy by Default) gewährleistet wird.
Dies bedeutet, dass Datenverarbeitungssysteme und -verfahren so gestaltet sein müssen, dass sie die Datenschutzanforderungen von vornherein erfüllen und betroffene Personen optimal schützen.
11. Datenschutz-Folgenabschätzung (DSFA):
Die DSFA ist ein wesentliches Instrument der DSGVO, das dazu dient, die Auswirkungen von Datenverarbeitungen auf die Privatsphäre und den Schutz personenbezogener Daten zu bewerten. Sie ist insbesondere dann erforderlich, wenn eine Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten betroffener Personen mit sich bringt.
Besonders bei der Verarbeitung von besonderen Kategorien personenbezogener Daten nach
Art. 9 DSGVO, wie Gesundheitsdaten oder bei Überwachungen mittels Videokameras, ist die Durchführung einer DSFA notwendig. Diese Maßnahme hilft, potenzielle Risiken frühzeitig zu identifizieren und geeignete Schutzmaßnahmen zu implementieren.
Falls die Voraussetzungen für eine DSFA gegeben sind, ist in der Regel auch die Benennung eines Datenschutzbeauftragten für die Anbauvereinigungen (CSCs) erforderlich.
12. Datenschutzbeauftragter:
Unter bestimmten Umständen müssen Anbauvereinigungen (CSCs) einen Datenschutzbeauftragten benennen und diesen der jeweiligen zuständigen Datenschutz-Aufsichtsbehörde melden.
Diese ist insbesondere dann der Fall, wenn mehr als 20 Mitglieder mit der Verarbeitung personenbezogener Daten beauftragt sind, eine große Menge an personenbezogenen Daten oder besondere Datenkategorien nach Art. 9 DSGVO verarbeitet werden.
Der Datenschutzbeauftragte ist für die Überwachung der Einhaltung der DSGVO und die Beratung der Verantwortlichen in Datenschutzfragen zuständig.
Fazit:
Die aufgeführten Punkte verdeutlichen, dass Datenschutz und IT-Sicherheit eng miteinander verbunden sind und gemeinsam die Grundlage für den Schutz sensibler Mitgliederdaten in Anbauvereinigungen (CSCs) bilden.
Durch die Implementierung geeigneter Maßnahmen können die Clubs nicht nur den gesetzlichen Anforderungen entsprechen, sondern auch das Vertrauen Ihrer Mitglieder stärken und das Risiko von Datenschutzverletzungen minimieren.
Bei der Auswahl von Software zur Vereinsverwaltung ist es wichtig, dass Anbauvereinigungen (CSCs) Dienstleister einbeziehen, die bei der Umsetzung der datenschutzrechtlichen Vorgaben helfend zur Seite stehen.
Kriterien wie die Durchführung von IT-Sicherheitsaudits oder anderen IT-Sicherheitsprüfungen durch den Hersteller der Software sollten durch diesen bereits berücksichtigt sein, um sicherzustellen, dass die verwendete Software den hohen Anforderungen an Datenschutz und IT-Sicherheit entspricht.
Anbauvereinigungen (CSCs) wird empfohlen, datenschutzrechtliche Vorgaben von Anfang an einzuhalten und die notwendigen Prozesse gemäß der DSGVO zu gestalten. Die Einhaltung der DSGVO ist entscheidend, um sicherzustellen, dass die Clubs die Rechte und Freiheiten ihrer Mitglieder berücksichtigen und den Schutz personenbezogener Daten gewährleisten. Durch die Umsetzung dieser Vorgaben können Anbauvereinigungen nicht nur rechtliche Anforderungen erfüllen, sondern auch das Vertrauen ihrer Mitglieder stärken und somit Ihre Reputation schützen.
Über Seyhun Savas:
Datenschutzexperte und Auditor aus dem Ruhrgebiet und über 10 Jahren Erfahrung bei der Unterstüzung von privaten und gemeinnützigen Organisationen. Als erfahrener Datenschutzbeauftragter setzt er sein Wissen mit dem Fokus auf die Cannabisbranche ein. Er bietet umfassende Datenschutzlösungen für Industrie, Apotheken und Anbauvereinigungen (CSCs) an. (Cannaprivacy)
2022 gründete er mit sechs weiteren Aktivisten die angehende Anbauvereinigung Cannabis e.V. in Duisburg, gleichzeitig engagiert er sich als Vorstand des Dachverbands Cannabis Anbauvereinigungen Deutschlands (CAD).