Ein Gastbeitrag von Henrik Willen, CEO und Gründer von cannaflow, und Marcel Wetzel, Rechtsanwaltskanzlei spezialisiert auf Datenschutz
Die Verwaltung eines Cannabis Social Clubs kann schnell kompliziert werden, insbesondere wenn es um Datenschutz und rechtliche Vorgaben geht. Ein Überblick darüber, wie die Auslagerung des Vereinsmanagements dabei helfen kann, diese Herausforderungen zu meistern und welche wichtigen Punkte es dabei zu beachten gibt.
Datenschutzvorfälle bei Dr. Ansay und Canguard
Alarmierende Datenschutzvorfälle bei Dr. Ansay, einem Telemedizin-Anbieter für Cannabis-Rezepte, und Canguard der Thingbring GmbH, einem Softwareanbieter für CSC-Vereinsmanagement, haben die Branche kürzlich aufgerüttelt. Diese Vorfälle verdeutlichen die Bedeutung eines umfassenden Datenschutzmanagements. In beiden Fällen wurden sensible personenbezogene Daten von Cannabisbeziehern bzw. Vereinsmitgliedern unzureichend geschützt, was zu massiven Datenlecks führte. Persönliche Informationen wie Namen, Adressen und Mitgliedsnummern gelangten in die Hände Unbefugter.
Die rechtlichen Konsequenzen waren erheblich, und ein gravierender Vertrauensverlust war die direkte Folge, was den Ambitionen der aufstrebenden Anbieter einen schweren Dämpfer versetzte. Diese Vorfälle zeigen, dass der sichere Schutz von Daten keine Nebensache ist, sondern zentral für die Integrität und den Erfolg eines jeden Cannabis Social Clubs.
Die wichtige Wahl des Serverstandorts
Ein entscheidender Aspekt des Datenschutzes ist der Standort der Server, auf denen die Daten gespeichert werden. Für Cannabis Social Clubs, die sensible Mitgliederdaten verarbeiten, ist es unerlässlich, dass diese Daten auf Servern innerhalb Europas, vorzugsweise in Deutschland, gespeichert werden.
Europäische Server unterliegen den strengen Datenschutzbestimmungen der DSGVO, die einen hohen Schutzstandard gewährleisten. Der Serverstandort beeinflusst zudem die rechtliche Handhabe bei Datenschutzverstößen und bietet zusätzlichen Schutz vor unbefugtem Zugriff durch ausländische Behörden.
Was bedeutet Privacy by Design bei Software?
Privacy by Design ist ein Prinzip, das sicherstellt, dass Datenschutz von Anfang an in die Entwicklung von Software integriert wird. Dies bedeutet, dass datenschutzfreundliche Voreinstellungen standardmäßig aktiviert sind und alle Funktionen darauf ausgerichtet sind, den Schutz personenbezogener Daten zu maximieren.
Für Softwarelösungen im Vereinsmanagement von Cannabis Social Clubs heißt das konkret, dass Zugriffsrechte streng geregelt, Daten verschlüsselt und umfassende Sicherheitsmaßnahmen implementiert werden. Diese Voreinstellungen minimieren das Risiko von Datenschutzverletzungen und gewährleisten, dass alle gesetzlichen Vorgaben eingehalten werden.
Der gesamte Prozess unterliegt einer kontinuierlichen Verbesserung. Regelmäßig wird der aktuelle Zustand sowohl mit den gesetzlichen Anforderungen als auch mit den rasanten technischen Entwicklungen abgeglichen, und die Vereinssoftware wird durch den Anbieter optimiert. Anregungen und Änderungswünsche der Vereine werden hierbei ebenso berücksichtigt wie die teilweise sehr unterschiedlichen Anforderungen der Aufsichtsbehörden in den verschiedenen Bundesländern.
Datenminimierung
Datenminimierung ist ein zentrales Prinzip der DSGVO, das besagt, dass nur die unbedingt erforderlichen Daten erhoben und verarbeitet werden dürfen. Für Cannabis Social Clubs bedeutet das, dass nur relevante Informationen wie Mitgliedsnummern, Kontaktdaten und Abgabehistorien gespeichert werden sollten. Überflüssige Daten, die keinen unmittelbaren Nutzen für die Vereinsverwaltung haben, sollten nicht erhoben werden.
Dies reduziert nicht nur das Risiko von Datenschutzverletzungen, sondern trägt auch dazu bei, die Integrität und Sicherheit der Daten zu wahren.
DSGVO
Die Datenschutzgrundverordnung (DSGVO) bildet den rechtlichen Rahmen für den Umgang mit personenbezogenen Daten in der Europäischen Union. Für Cannabis Social Clubs, die die Daten ihrer Mitglieder verarbeiten, ist die Einhaltung der DSGVO nicht nur eine gesetzliche Verpflichtung, sondern auch ein wesentlicher Bestandteil des Vertrauensverhältnisses zwischen Verein und Mitgliedern.
Im Folgenden erläutern wir, warum Datenschutz und die mögliche Benennung eines Datenschutzbeauftragten für Anbauvereinigungen sowie für die von ihnen genutzten Dienstleister, insbesondere SaaS-Anbieter für das Vereinsmanagement, notwendig und wichtig sind.
Schutz sensibler Daten
Cannabis Social Clubs verarbeiten sensible personenbezogene Daten, einschließlich medizinischer Informationen wie Cannabisabgabemengen, Mitgliedsbeiträge und Kontaktdaten. Diese Daten müssen vor unbefugtem Zugriff und Missbrauch geschützt werden. Die DSGVO schreibt vor, dass geeignete technische und organisatorische Maßnahmen ergriffen werden, um die Sicherheit der Daten zu gewährleisten. Dazu gehören die Verschlüsselung von Daten, der Einsatz von Firewalls und regelmäßige Sicherheitsüberprüfungen.
Vertrauensbasis
Datenschutz ist ein wesentlicher Faktor für das Vertrauen der Mitglieder. Sie müssen sicher sein können, dass ihre persönlichen Daten sicher und vertraulich behandelt werden. Ein robustes Datenschutzmanagement und eine sichere Vereinsorganisation stärken dieses Vertrauen und können die Bereitschaft zur Mitgliedschaft erhöhen. Die Missachtung der Datenschutzvorgaben kann hingegen zu einem erheblichen Vertrauensverlust und einem Rückgang der Mitgliederzahlen führen.
Rechtliche Anforderungen
Die DSGVO verpflichtet Organisationen, die personenbezogene Daten verarbeiten, verschiedene Anforderungen zu erfüllen. Dazu gehören gegebenenfalls die Einholung der Einwilligung der betroffenen Personen zur Datenverarbeitung, die transparente Information über die Datenverarbeitung und die Sicherstellung der Betroffenenrechte wie Auskunftsrecht, Recht auf Löschung und Datenübertragbarkeit. Diese Anforderungen können auch mithilfe einer Vereinsmanagementsoftware erfüllt werden.
Datenschutzbeauftragter
Für viele Organisationen, einschließlich Cannabis Social Clubs, kann die Benennung eines Datenschutzbeauftragten (DSB) erforderlich sein. Hierbei ist man nicht auf Mitglieder der Organisation angewiesen, die eventuell das erforderliche Fachwissen mitbringen, sondern kann auch externe Dienstleister in Anspruch nehmen. Dadurch wird ein Höchstmaß an Unabhängigkeit und Fachkunde sichergestellt und gleichzeitig die diesbezügliche Haftung ausgelagert.
Ein DSB überwacht die Einhaltung der Datenschutzvorschriften, schult die Mitarbeiter im Umgang mit personenbezogenen Daten und fungiert als Ansprechpartner für Datenschutzbehörden und betroffene Personen. Der DSB spielt eine zentrale Rolle dabei, Datenschutzrisiken zu identifizieren und zu minimieren und sicherzustellen, dass die Organisation alle gesetzlichen Vorgaben einhält. Für die Dienstleister von Anbauvereinigungen sollte ein Datenschutzbeauftragter obligatorisch sein, da nur so der Vertrauensvorschuss, den der Verein dem Anbieter gibt, durch unabhängige und gegebenenfalls externe Expertise sichergestellt werden kann.
SaaS-Anbieter und Auftragsverarbeitung
Wenn Cannabis Social Clubs externe Dienstleister, insbesondere Software-as-a-Service (SaaS)-Anbieter, zur Verwaltung ihrer Vereinsdaten nutzen, müssen sie sicherstellen, dass diese Anbieter ebenfalls die Datenschutzanforderungen der DSGVO erfüllen. Dies beinhaltet den Abschluss eines Auftragsverarbeitungsvertrags (AVV), der die Rechte und Pflichten des Dienstleisters regelt und sicherstellt, dass die Daten sicher und im Einklang mit den gesetzlichen Vorgaben verarbeitet werden. SaaS-Anbieter müssen technische und organisatorische Maßnahmen implementieren, die dem aktuellen Stand der Technik entsprechen, um die Sicherheit der Daten zu gewährleisten. Zudem dürfen sie die Daten nur gemäß den Anweisungen des Vereins verarbeiten.
Minimierung des Haftungsrisikos
Ein umfassendes Datenschutzmanagement und die Benennung eines Datenschutzbeauftragten können dazu beitragen, das Haftungsrisiko für den Cannabis Social Club (CSC) bzw. die Anbauvereinigung zu minimieren. Im Falle eines Datenschutzvorfalls kann der Nachweis, dass alle erforderlichen Maßnahmen zur Einhaltung der DSGVO ergriffen wurden, die Haftung reduzieren und potenzielle Bußgelder verringern. Dies zeigt den Behörden und Mitgliedern, dass der Verein Datenschutz ernst nimmt und proaktiv Maßnahmen ergriffen hat, um die Sicherheit der Daten zu gewährleisten.
Welche Vertragsarten zwischen den Vereinen und dem Softwareanbieter gibt es?
Wenn Cannabis Social Clubs (CSCs) beabsichtigen, Softwareanbieter zu beauftragen, sollten hierfür die passenden rechtlichen Rahmenbedingungen geschaffen werden. Zu den gängigsten vertraglichen Regelungen gehören insbesondere:
– Nutzungsbedingungen: Diese regeln die allgemeinen Bedingungen der Softwarelizenz, einschließlich der Nutzungsrechte und -pflichten beider Parteien.
– Auftragsverarbeitungsvertrag (AVV): In den meisten Fällen wird ein AVV mit dem Softwareanbieter geschlossen werden müssen. Dieser Vertrag ist unerlässlich, wenn der Anbieter personenbezogene Daten im Auftrag des Vereins verarbeitet. Der AVV legt fest, wie die Daten verarbeitet werden dürfen und welche Sicherheitsmaßnahmen getroffen werden müssen. Hier muss jedoch im Einzelfall geprüft werden, ob tatsächlich ein AVV erforderlich ist oder ob eine andere Konstellation mit anderen datenschutzrechtlichen Verpflichtungen vorliegt.
– Service-Level-Agreement (SLA): Dieses definiert die Leistungsstandards und Verfügbarkeitsgarantien der Software. Es stellt sicher, dass die Software zuverlässig funktioniert und der Anbieter im Falle von Ausfällen oder Problemen schnell reagiert.
Diese Verträge bilden die rechtliche Grundlage für eine vertrauensvolle Zusammenarbeit und schützen beide Parteien vor rechtlichen Risiken.
Wem gehören die Daten und was dürfen Softwareanbieter damit machen?
Die Frage der Datenhoheit ist ein zentrales Thema bei der Nutzung von Softwarelösungen. Grundsätzlich bleiben die Daten im Besitz des Vereins, der die vollständige Kontrolle über alle personenbezogenen Informationen behält.
Softwareanbieter dürfen diese Daten nur im Rahmen der vertraglich festgelegten Zwecke verwenden. Jegliche darüber hinausgehende Nutzung, insbesondere zu eigenen Zwecken, ist unzulässig und kann rechtliche Konsequenzen nach sich ziehen. Es ist daher wichtig, dass die Verträge klare Regelungen zur Datennutzung enthalten und sicherstellen, dass die Daten ausschließlich im Interesse des Vereins verarbeitet werden.
Nachhaltungspflicht: Steuerliche Nachweise und Aufbewahrungsfristen
Cannabis Social Clubs unterliegen gesetzlichen Nachhaltungspflichten, die die Aufbewahrung bestimmter Daten für steuerliche Zwecke vorschreiben. Dazu gehören Mitgliedsbeiträge, finanzielle Transaktionen und Buchhaltungsunterlagen. Die Aufbewahrungsfristen variieren je nach nationalem Recht, in Deutschland beträgt die Frist in der Regel zehn Jahre.
Zusätzlich bestehen aus der Cannabisgesetzgebung weitere Dokumentations- und Aufbewahrungspflichten für Anbauvereinigungen, wie der Nachweis über Anbau- und Abgabemengen. Die verwendete Software muss daher Funktionen zur sicheren Aufbewahrung und Nachverfolgung dieser Daten bieten. Eine lückenlose und rechtskonforme Dokumentation ist entscheidend, um im Falle einer Prüfung durch die Aufsichtsbehörden oder einer Steuerprüfung alle notwendigen Nachweise vorlegen zu können.
Wer haftet und wie weit reicht die Haftung?
Die Haftungsfrage ist bei der Auslagerung des Vereinsmanagements von zentraler Bedeutung. Grundsätzlich haftet der Verein für Verstöße gegen die Datenschutzgrundverordnung (DSGVO), wenn er seine Pflichten zur Datensicherheit vernachlässigt. Das Haftungsrisiko kann durch die Auslagerung an einen datenschutzkonformen externen Dienstleister minimiert werden, da der Softwareanbieter direkt haftbar gemacht werden kann, wenn eine Datenschutzverletzung auf Mängel oder Sicherheitslücken in der Software zurückzuführen ist.
Es ist daher wichtig, klare vertragliche Regelungen zur Haftung zu treffen und sicherzustellen, dass der Anbieter ausreichende und dem Stand der Technik entsprechende Sicherheitsmaßnahmen implementiert hat. Eine sorgfältige Prüfung der Software und des Anbieters im Vorfeld kann helfen, Haftungsrisiken zu minimieren.
Image und Wettbewerbsvorteil
Ein gut umgesetztes Datenschutzmanagement kann auch als Wettbewerbsvorteil dienen. Cannabis Social Clubs und ihre Dienstleister, die strenge Datenschutzpraktiken implementieren, können sich von anderen Vereinen abheben und potenzielle Mitglieder durch ihr Engagement für den Datenschutz überzeugen. Ein positiver Ruf in Bezug auf Datenschutz und Datensicherheit kann die Attraktivität steigern und langfristig zum Wachstum beitragen.
Der Datenschutz sowie die konsequente Umsetzung sowohl technischer als auch organisatorischer Maßnahmen zur Datensicherheit und die mögliche Bestellung eines Datenschutzbeauftragten für Cannabis Social Clubs und die von ihnen genutzten SaaS-Anbieter sind nicht nur gesetzliche Anforderungen, sondern auch wesentliche Faktoren für den Schutz sensibler Daten, die Vertrauensbildung, die Minimierung des Haftungsrisikos und die Schaffung eines positiven Images.
Die Einhaltung der DSGVO und die Implementierung robuster Sicherheits- und Datenschutzmaßnahmen sind unerlässlich für den langfristigen Erfolg und die Integrität jeder Anbauvereinigung.
Über die Autoren
Henrik Willen ist Gründer und CEO von Cannaflow. Marcel Wetzel hat sich mit der Rechtsanwaltskanzlei Wetzel auf Datenschutz und IT-Recht spezialisiert.