Umfangreiche Datenspeicherung beim Cannabisgesetz

Prof. Dr. Rolf Schwartmann_2 (Bild: Bild:Thilo Schmülgen/TH Köln)

Am 22. März 2024 hat der Bundesrat das Gesetz zur teilweisen Legalisierung von Cannabis passieren lassen. Schon seit dem 1. April ist Besitz und Anbau der Droge mit zahlreichen Vorgaben für Volljährige zum Eigenkonsum erlaubt. Ab 1. Juli gehen auch die neuen Anbauvereinigungen ans Werk. Auf sie kommen wichtige Aufgaben und erhebliche Pflichten zu, auch mit Blick auf den Datenschutz.

18.04.2024

Prof. Dr. Rolf Schwartmann, Leiter der Forschungsstelle für Medienrecht an der TH Köln; Vorsitzender der Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V.

Bedenken gegen das Gesetz gibt es reichlich. Sie stammen etwa von ärztlicher und richterlicher Seite sowie von Bundesländern. Bayern prüft eine Klage. Die Gründe sind vielfältig und reichen vom Gesundheitsschutz für Kinder und Jugendliche bis hin zu Problemen beim kurzfristigen Straferlass. Das Gesetz dürfte nicht zuletzt auch massive Probleme mit dem Datenschutz bekommen.

Ziel des Gesetzes: Schutz vor Illegalität

Das neue Recht soll den illegalen Handel mit Cannabis unterbinden, um die Jugend zu schützen. Dazu müsste es – unterstellt man die generelle Eignung des Gesetzes, dieses Ziel zu erreichen – unter anderem einen praktisch gangbaren Weg aufzeigen, um die Droge legal zu erhalten. Die künftigen Anbauvereine sind nach der Idee des Gesetzes keine "Spaßveranstaltungen", sondern Kernelement des verantwortungsvollen Umgangs mit einer legalen, aber insbesondere für Kinder und Jugendliche unter Umständen sehr gefährlichen Droge.

Eine Anbauvereinigung, ein sogenannter Cannabis Social Club als tragende Säule, eröffnet den Zugang zu Produkten mit beträchtlicher Bedeutung für die Gesundheit, etwa vergleichbar mit einer Spezialapotheke für Partybetäubungsmittel mit hoher Attraktivität für junge Menschen. Wer in diesem Kontext agiert, muss nicht nur zuverlässig arbeiten. Die Gewissenhaftigkeit und Rechtstreue müssen auch dokumentiert und kontrolliert werden.

Speicherpflicht: Name, Geburtsdatum, Abgabemenge

Mindestens einmal jährlich durchgeführte behördliche Vor-Ort-Kontrollen sollen Verstößen vorbeugen, die zu Recht mit nennenswerten Sanktionen belegt sind. Im Rahmen der Mitgliederverwaltung müssen Namen, Geburtsdaten, abgegebene Cannabismenge, durchschnittlicher THC-Gehalt und das Abgabedatum, dokumentiert und für fünf Jahre gespeichert werden. Die Kontrollbehörden können dann die "geschäftlichen Schrift- und Datenträger von Anbauvereinigungen" mit genannten Gesundheitsinformationen über die Konsumentinnen und Konsumenten kontrollieren und kopieren.

Das erscheint der Bedeutung des gefährdeten Rechtsgutes angemessen und kann schwerlich als unnötiger bürokratischer Ballast abgetan werden. Immerhin geht es insbesondere um die Gesundheit von Kindern und Jugendlichen und den Nachweis, dass die neuen Verantwortungsträger das in sie gesetzte Vertrauen rechtfertigen.

Rechtsrahmen für behördliche Datenweitergabe

Die Kontrollbehörden sind befugt, die Daten über das Konsumverhalten ihrerseits für zwei Jahre zu speichern, auch um sie an andere Behörden weiterzugeben, wenn das zur Verfolgung von Straftaten oder Ordnungswidrigkeiten erforderlich ist. Sicherungsmechanismen, wie ein Richtervorbehalt sind ebenso wenig vorgesehen, wie eine Eingrenzung der Übermittlungsbefugnis auf einen bestimmten Personenkreis.

Jeder, der nach Aktenlage sachdienliche Hinweise zu einem potenziell rechtswidrigen Vorgang geben kann, ist betroffen. Ob diese sehr weite und unkomplizierte Möglichkeit des Gesetzes, die strengen rechtlichen Anforderungen an zulässige behördliche Datenweitergaben erfüllt, muss man bezweifeln. Bayern will gerichtlich gegen das Gesetz vorgehen und hält viele Fragen für ungeklärt. Die nach der datenschutzrechtlichen Zulässigkeit des Gesetzes gehört sicherlich dazu.

Missbrauchsgefahr von Kifferdatenpools

Das hat Gründe, denn die nun entstehenden sensiblen Datenpools über Drogennutzungsverhalten können missbraucht werden und müssen mit Blick auf die Anforderungen des Datenschutzes und der Datensicherheit äußerst rechtskundig und gewissenhaft behandelt werden. Geraten diese in falsche Hände, müssen sich diejenigen verantworten, denen das fragile Gut der sensiblen Daten anvertraut ist.

Für Behörden ist die Einhaltung des Rechts voraussetzungsvoll; aber es ist immerhin erprobt. Auch in der Pandemie stellten sich bei der Weitergabe von Daten zur Kontaktnachverfolgung von Menschen, deren Daten in der Gastronomie zur Bekämpfung von Covid erhoben wurden, vergleichbare Probleme. Allerdings ging es bei der Weitergabe nur um den Besuch von Gaststätten und nicht um den Konsum von Drogen.

Anbauvereine: Hohe Anforderungen an Gesundheitsdatenschutz

Für die gewerblichen und privaten Betreiber der Anbauvereine ist der Umgang mit Daten über Drogennutzungsverhalten allerdings Neuland und neben dem Kerngeschäft des Anbaus und Handels von Cannabis eine zentrale und risikoreiche, elementare Zusatzpflicht.

Sie sollten die Zeit bis zum Inkrafttreten des Gesetzes nutzen, sich mit den strengen datenschutzrechtlichen Anforderungen zu befassen, wie sie heute schon für Ärzte und Apotheken gelten, die mit Betäubungsmitteln umgehen.

Datenschutzberatung ist dringend erforderlich

Hier kommt auch viel Arbeit auf Datenschutzberater und Datenschutzbehörden zu, die ja schon alle Hände voll damit zu haben, Kegel- und Skatclubs den Datenschutz zu erklären. Der Umgang mit "Cannabiszucht und -abgabe Clubs" ist wegen des sensiblen Gegenstandes auch für sie eine neue und besondere Kategorie.

Bei Missachtung der datenschutzrechtlichen Pflichten, etwa zur Zulässigkeit der Datenverarbeitung, der Erfüllung der Transparenzpflichten, der Betroffenenrechte und dem Umgang mit Datenpannen und der Einhaltung der technischen und organisatorischen Maßnahmen zur Datensicherheit drohen empfindliche Bußgelder. Im Gesundheitsdatenschutz, zu dem man mit Fug und Recht auch die neue Spezialdisziplin des "legalisierungsbedingten Cannabishandelsdatenschutz für Behörden und Anbauvereinigungen" zählen muss, gibt es einiges zu tun.

Schwarzmarkt kennt keinen Datenschutz

Ob Konsumenten die Dokumentation des Drogennutzungsverhaltens und die damit verbundenen Risiken für ihre Privatsphäre künftig bedenkenlos hinnehmen, ist eine Nagelprobe für die Eignung des Gesetzes zum Schutz der Menschen vor illegalem Drogenhandel. Zumindest auf den ersten Blick wirkt die Angst vor Offenlegung des Cannabiskonsums als Killerkriterium für eine Akzeptanz des beschlossenen Rechts.

Schließlich kennt der Schwarzmarkt keinen Datenschutz. Ob Betroffene sich angesichts der Risiken für ihre Privatsphäre nach nicht dokumentierten, aber illegalen Erwerbsmöglichkeiten auf dem Schwarzmarkt umsehen, ist für sie eine verbotene und zugleich naheliegende Frage. Eine bittere Erkenntnis liegt auf der Hand: Dealer können den Datenschutz künftig als Verkaufsargument nutzen, während er legale Verkaufsstellen vor massive Probleme stellt.

Verwendete Quellen:

Bundesrechtsanwaltskammer

netzpolitik.org: Datenschutzalbtraum Legalisierung

April 2024

M
M