Die sogenannten Cannabis Clubs sind eine von zwei möglichen Wegen, um ab dem 1. Juli 2024 an legales Cannabis zu kommen. Zur Verwaltung und Dokumentation der Mitglieder greifen einige davon auf eine niedersächsische Software-Lösung zurück, die nach neuen Erkenntnissen allerdings ein Datenschutzproblem hat: Nutzerdaten waren frei einsehbar.

Mit einer „Rundum-Sorglos-Software-Lösung“ bewarb die Hamelner ThingBring GmbH ihre Verwaltungssoftware „CanGuard“. Damit soll den Cannabis-Anbauvereinigungen (umgs. Cannabis-Clubs) der Papierkram erleichtert werden, den sie nach dem neuen Konsumcannabisgesetz (KCanG) zu bewältigen haben.  Das betrifft zum Beispiel die Registrierung, Dokumentation und vor allem die Mitgliederverwaltung. Vor allem letztere geriet jetzt allerdings ins Visier von Datenschützern.

Die Hackergruppe Zerforschung hat in CanGuard mehrere Lücken entdeckt durch die Daten von sämtlichen Nutzerinnen und Nutzern direkt vom Server abrufbar und im Browser einsehbar waren. Darunter die interne User-ID, Vor- und Nachnamen, Mailadressen, Geburtsdaten, Postleitzahlen sowie ihre jeweilige „Rolle“ im Verwaltungssystem (z.B. „clubowner“ = Clubbesitzer, oder „user“ = Benutzer)

So gelangten ethische Hacker an die Daten

Das Kollektiv nutzte dabei offenbar keine spezialisierte Hacking-Software, sondern lediglich die in jedem Browser eingebauten Entwicklertools, um die Serverschnittstelle auszulesen. Nachdem sie sich selbst als Cannabisclub eingeloggt hatten, stellten sie dort fest, dass sie über einfache Serveranfragen auf das hinterlegte Stammverzeichnis zugreifen konnten. Sie ließen dabei schlicht die Filter der Serveranfrage weg. In der Folge wurden ihnen nicht mehr nur die dokumentierten Nutzerdaten des „eigenen“, sondern die von sämtlichen hinterlegten Cannabisclubs angezeigt.

Dabei konnten sie die Daten nicht nur auslesen, sondern theoretisch auch nach Belieben verändern, indem sie die Club-ID bei der Suchanfrage veränderten. Auch Passwörter hätten verändert werden können.

Soforthilfe vom Anwalt

Sie brauchen rechtliche Beratung? Rufen Sie uns an für eine kostenlose Ersteinschätzung oder nutzen Sie unser Kontaktformular.

Diskussion um Dokumentierungspflichten

Dass es Verwaltungssoftwares wie CanGuard braucht, liegt an der umfassenden Dokumentierungspflicht im neuen KCanG. Datenschützer kritisieren, dass Cannabis-Clubs damit zu einer Art privaten Vorratsdatenspeicherung gezwungen werden, die riesige Datenmengen mit sich bringe. Entsprechende Datenlecks seien so beinahe unvermeidbar, insbesondere da der Gesetzgeber selbst keine ausreichenden Vorgaben zur Datensicherheit gemacht habe.

Kritisiert werden außerdem die staatlichen Befugnisse, die das KCanG vorsieht. Landesbehörden sollen die Datenbestände regelmäßig kontrollieren können und bei Ordnungswidrigkeiten oder Straftaten sogar Kopien an Sicherheitsbehörden weitergeben dürfen. Teilweise wird befürchtet, dass sich Cannabisinteressenten davon abschrecken lassen könnten, wodurch das Ziel der Schwarzmarktbekämpfung wiederum verhindert würde. Zerforschung nennt das gefundene Datenleck daher auch „das Resultat von schlechter Gesetzgebung“.

Schadensersatz bei Datenlecks

Datenverarbeiter sind verpflichtet, Datenlecks innerhalb von 72 Stunden bei den zuständigen Landesbeauftragten für Datenschutz (LfD) zu melden. Bei der eigentlich zuständigen niedersächsischen LfD ist seitens ThingBring allerdings auch sieben Tage nach dem Bekanntwerden noch keine Meldung eingegangen. Dabei ist noch unklar, ob der Entwickler nun selbst in der Meldepflicht ist, oder die jeweiligen betroffenen Cannabisclubs. Die Nutzerinnen und Nutzer wurden inzwischen – nach Angaben von Zerforschung über eine Woche nach Bekanntwerden – allerdings informiert.

Betroffenen stehen bei Datenlecks inzwischen grundsätzliche Rechte zu, die nicht selten in Schadensersatzansprüchen enden können. Grundsätzlich können Nutzer bei Datenlecks auf der Grundlage von Art. 15 DSGVO Auskunft über die eigene Betroffenheit verlangen. Wird einem sodann keine oder eine unvollständige Auskunft, kann sich daraus zu Ihren Gunsten bereits ein Schadensersatzanspruch aus Art. 82 DSGVO ergeben. Daneben kommen weitere Pflichtverletzungen im Zusammenhang mit dem jeweiligen Datenleck in Betracht, die möglicherweise Schadensersatzansprüche zur Folge haben.

Zuletzt haben deutsche Gerichte Klägern hohe Schadensersatzansprüche aus Art. 82 DSGVO bei DSGVO-Verstößen zugebilligt. Die Norm wird von der Rechtsprechung zunehmend sehr weit ausgelegt. Zum Teil wird von den Gerichten auch vertreten, dass der den Klägern zustehende Schadensersatz abschreckende Wirkung haben und damit eine abschreckende Höhe erreichen müsse. Das bekräftigte der EuGH zuletzt mit Urteil vom Dezember 2023: Wurden die eigenen Daten infolge eines Hackerangriffs missbraucht, so stehen die Chancen, dafür immateriellen DSGVO-Schadensersatz zu erhalten, besser denn je. Denn zum einen reicht bereits die Befürchtung eines Datenmissbrauchs aus, um Schadensersatz zu erhalten. Und zum anderen können Unternehmen, deren Systeme gehackt wurden, praktisch kaum noch vortragen, dass sie daran keine Schuld tragen.

the