Und täglich grüßt das Murmeltier, so der deutsche Titel einer putzigen Komödie mit Bill Murray. Und täglich grüßt das Datenleck, zumindest wenn man sich für Datenschutz- oder IT-News interessiert. Kaum eine Woche vergeht, ohne dass bei jemanden Daten abfließen. Dieses Mal traf es Cannabis-Clubs. Vor einigen Tagen waren nämlich die Mitgliederdaten mehrerer Cannabis-Clubs frei und offen zugänglich. Das wird unangenehm werden. Oder nicht?
Der Inhalt im Überblick
Datenschutz und (De-) Kriminalisierung
Murmeltiere und Haschrauchende haben, so das Klischee, etwas gemeinsam. Murmeltiere galten ursprünglich als extrem scheu. Doch mittlerweile hat sich ein Großteil insbesondere an die zahlreichen Schaulustigen gewöhnt. Eine ähnliche Entwicklung machen vielleicht diejenigen durch, die seit dem 1. April 2024 aus der Höhle der Strafbarkeit das Licht der Legalität erblicken dürfen. Freilich muss dieses Licht aber erst einmal durchdringen, durch die dicken Schwaden des Cannabisrauchs, der nun in ungewohnt legaler Umgebung inhaliert werden darf. Bis dahin wird man mit dem Konsum vielleicht ebenfalls scheu umgehen. Denn mit Kriminalisierung und Dekriminalisierung ist das eine komplizierte Sache. So plötzlich ein Gesetz manchmal da ist, so lange dauert es doch, bis es von den Rechtsanwendern verinnerlicht, und kulturell angenommen wird.
Seit April sind Konsum, Besitz und Eigenanbau teillegalisiert. Ab Juli darf Cannabis in sogenannten Anbauvereinigungen angepflanzt werden.
Bis vor rund zehn Tagen, das war der 1. April, hätte man seinen Schwiegereltern in spe wahrscheinlich nicht mal als Aprilscherz einen Joint angeboten. Aber fängt mit der Legalisierung eine neue Zeitrechnung an? Hat sich in der letzten Woche alles geändert? Sagt man jetzt zum Schwiegerpapa: „Hey Brudi, lass ma einen kiffen?!“ Eher nicht. Und aus dieser Erkenntnis kann man etwas lernen.
Datenschutz als Menschenschutz
Vereinfacht gesagt wird das Recht auf Schutz seiner Daten aus dem Recht auf Menschenwürde hergeleitet. Wie sinnvoll überlegt das ist, zeigt sich sehr gut an diesem Datenleck in Cannabis Clubs.
Was ist die Story?
Folgendes ist passiert: Mitgliederdaten mehrerer Cannabis Clubs waren frei abrufbar. Deshalb konnten nicht nur persönliche Daten von Clubmitgliedern abgegriffen, sondern auch manipuliert werden. Neben den „einfachen“ Stammdaten betraf das Datenleck und die Manipulation auch Passwörter und anderer Clubdaten. Shout-Out an „Zerforschung“ – dieses Kollektiv hat den Vorfall aufgedeckt.
Wie kam es zum Datenschutzleck?
Der Herr Schwiegerpapa und die Frau Schwiegermama werden nicht besonders amüsiert sein, wenn sie nun die ganze – und nichts als die ganze Wahrheit erfahren.
Die Clubs nämlich, sind laut dem neuen Cannabis-Gesetz verpflichtet, viele Daten ihrer Mitglieder zu dokumentieren. Darunter neben Stammdaten wie Namen, Geburtsdaten und Adressen, insbesondere auch, wenn Cannabis bezogen wird. Wann, hat wer, wie viel geraucht? Unter Bezugnahme auf Datum, Menge und THC-Gehalt muss das dokumentiert und für fünf Jahre verwahrt werden. Ob das so eine gute Idee war? Ein Datenbankmanagementsystem namens „Canguard“, versprach für diese Bürokratie eine einfache Lösung und ist nun für den Schlamassel verantwortlich.
Weitere Fehler nach dem Datenschutzleck im Cannabis-Club
Laut Berichterstattung informierte „Zerforschung“ das Software-Unternehmen bereits am Mittwoch vor Ostern über das Datenleck und beschrieb die Sicherheitslücke detailliert. Die betroffenen Clubbetreiber und die Datenschutzaufsichtsbehörde erfuhren aber offenbar erst nach Ostern von einem Sicherheitsvorfall, nachdem die Presse noch einmal nachhakte.
Datenschutz als zeitloses Recht
Bleiben wir beim Beispiel mit den Schwiegereltern in Spe. Wer sein Leben lang Haschisch verachtet hat, hat wohl auch seit dem 1. April keine große Lust auf Harzer im Haus. Aber wen geht das überhaupt etwas an? Nun, vor dem ersten April könnte man argumentieren, Gesetzestreue sei erst einmal positiv zu werten. Schwiegerkinder, die wegen Drogenkonsums verurteilt werden, könnten berechtigterweise kritisch beäugt werden. Und heute, keine zwei Wochen später? Nun, es ändert sich nur das Gesetz, die Mentalität der Menschen aber bleibt erst einmal.
Das bedeutet, diejenigen, die in den Augen des Gesetzes nichts falsch gemacht haben, müssen doch mit Konsequenzen rechnen, wenn es nicht einen Schutzmechanismus gäbe. Und dies kann der Datenschutz sein.
Heise.de sieht den Vorfall offensichtlich ebenfalls heikel, da
„mehr als 1000 Mitglieder enttarnt (sic!) wurden“.
Wenn man enttarnt wird, hatte man sich vorher ja versteckt gehalten. Getarnt, eben. Da wird deutlich, wie heikel solche Daten sind.
Umso interessanter, dass derlei Dokumentationspflichten eingeführt wurden – streiten sich Vereinsmitglieder doch ohnehin gerne um den Datenschutz, wie beispielsweise darüber, ob Mitgliederlisten eingesehen werden dürfen.
Die Zeiten ändern sich schnell, die Privatsphäre nicht
Datenschutz hat die Aufgabe, den Menschen hinter seinen personenbezogenen Daten zu schützen. An diesem Beispiel sieht man, dass der Datenschutz durchaus sinnvoll sein kann – wenn natürlich nicht unfehlbar. Zwar ist es trotz Datenschutz zu diesem Vorfall gekommen, das mag richtig sein, gleichzeitig merkt man aber auch ein stetig steigendes Bewusstsein für diesen. Denn Warnungen vor der Datenspeicherungspflichten des CanG, gab es vorab.
Was heute erlaubt ist, kann morgen verboten sein und umgekehrt. Hier trägt der Datenschutz dem Umstand Rechnung, dass es deshalb Schutzmechanismen braucht. Und zwar langfristige Schutzmechanismen.
Datenlecks mit langfristigen Folgen
Nicht nur Datenlecks in Cannabis Clubs sind problematisch. Nur zum Beispiel das kürzlich vorgekommene Datenleck, bei dem in Frankreich Datensätze von 33 Millionen (!) Krankenversicherten geklaut wurden, lässt die Aussicht derzeit trübe erscheinen. Wir können froh sein, noch in einer Zeit und in einer geografischen Bereich zu leben, in dem einem eine Diagnose nicht den Kopf kosten kann. Anders sieht das z.B. in Afghanistan aus. Dort hatte die Taliban nach dem hastigen Abzug westlicher Militärkräfte u.a. auch deren Biometrie-Datenbank der Ortskräfte erbeutet. Diese Vorfälle zeigen, wie wichtig es ist, Datenschutz und Datensicherheit bei digitalen Projekten immer von Anfang an mitzudenken, und nicht erst dann, wenn das Kind schon in den Brunnen gefallen ist. Denn dann können die Folgen für die Betroffenen schon fatal gewesen sein.