Eine Ära des legalen Cannabiskonsums beginnt - und stößt auf Probleme
Seit dem 1. April gilt - Konsum, Besitz & Eigenanbau von Cannabis sind nun teillegalisiert. Ab Juli kommt hinzu: Die Möglichkeit, Cannabis in Anbauvereinigungen gemeinschaftlich zu ziehen. Vor allem in Cannabis Social Clubs, kurz CSCs, organisieren sich Begeisterte. Die Suche nach Anbauflächen und passender Verwaltungssoftware geht intensiv voran. Hier kommt eine zentrale Pflicht ins Spiel - Clubs müssen detaillierte Daten über ihre Mitglieder führen, heißt es im neuen Cannabis-Gesetz. Namen, Geburtsdaten, Adressen und der Cannabisbezug jedes Mitglieds inklusive THC-Gehalt müssen dokumentiert werden und das für fünf Jahre.
Software "Canguard" im Zentrum eines Datenlecks
Die Firma ThingBring aus Hameln schien eine Lösung parat zu haben - "Canguard". Doch laut einem Bericht des ARD-Magazins "Kontraste" wurde ein großes Datenleck entdeckt. Aufgezeigt vom Hackerkollektiv "Zerforschung". Namen, E-Mail-Adressen und weitere sensible Daten der Nutzer von "Canguard" waren vorübergehend für Dritte zugänglich. Noch gravierender - die Zuordnung zu Clubs und die Möglichkeit Nutzerkonten & Anbauvereinigungen zu übernehmen stand offen.
Sicherheitsbedenken und fehlende Kommunikation
"Zerforschung" informierte ThingBring vor Ostern über die Sicherheitslücke. Eine Woche verging - die betroffenen Clubbetreiber wussten von nichts. Kritisiert wird besonders die mangelnde Reife der Software Kundendaten zu schützen. Das Gesetz schreibt vor: Bei einem Datenleck muss der Fall binnen 72 Stunden an den Landesdatenschutzbeauftragten (LfD) gemeldet werden. Ob ThingBring oder die Clubs - unklar bleibt, wer die Meldepflicht erfüllen musste. Eine Woche nach dem Hinweis von "Zerforschung" lag dem niedersächsischen LfD keine Meldung vor.
Weitreichende Zugriffe und Kontrollen durch den Staat
Das Cannabis-Gesetz gibt staatlichen Behörden breiten Zugriff auf die erfassten Daten. Regelmäßige Kontrollen der Clubs durch Landesbehörden sind geplant, obwohl dabei persönliche Daten bis zu zwei Jahre gespeichert werden dürfen. Bei Verstößen können diese Informationen sogar an Sicherheitsbehörden weitergereicht werden.
Das Datenleck bei "Canguard" wirft nun Fragen auf - bezüglich der Sicherheit der Mitgliederinformationen und der verantwortungsvollen Umsetzung der gesetzlichen Vorgaben.
Kommentare