– Sollte ein Datenschutzbeauftragter bestellt werden? –

Bei der Gründung eines Cannabis Social Clubs sollte die Frage nach der Umsetzung des Datenschutzes nicht nur eine untere Rolle spielen. Der Grundstein für ein sicheres und gut durchdachtes Datenschutzkonzept sollte vielmehr schon in der Vereinssatzung gelegt werden. Nimrod Rechtsanwälte beraten Sie.

Warum ist ein sicheres und gut durchdachtes Datenschutzkonzept so wichtig?

Schon vor Inkrafttreten des Gesetzes am 01.07.2024 kursieren in der Presse diverse Artikel, die negativ über den Datenschutz in CSCs berichten. Beispielhaft sind Titel wie:

„Kiffer-Listen: Mit der Cannabis-Legalisierung droht ein Datenschutz-Fiasko“

„Legalisierung: Beim Dealer ist mehr Datenschutz“.

„Wird die Cannabis-Legalisierung ein Datenschutzalbtraum?“

Solche Meldungen haben Einfluss auf potentielle Mitglieder eines CSCs. Es ist nicht ausgeschlossen, dass sich Konsumenten aufgrund des „mangelhaften“ Datenschutzes gegen eine Mitgliedschaft in einem CSCs entscheiden und ihr Cannabis weiterhin von anderen „datenschutzsicheren“ Quellen beziehen.

In einer Umfrage der Nimrod Rechtsanwälte, war dies ein erhebliche Punkt für die Befragten.

Der einzige Weg um solche Zweifel bei potentiellen Mitgliedern auszuräumen führt über ein sicheres und gut durchdachtes Datenschutzkonzept. Das Datenschutzkonzept sollte den Mitgliedern transparent und gut verständlich vermittelt werden muss. Im Grunde sind solche Zweifel zwar berechtigt, jedoch unbegründet, sofern der Datenschutz ernst genommen wird und professionell -arte legis- umgesetzt wird.

Nutzung von Vorlagen aus dem Internet

Es wird davon abgeraten auf „eigene Faust“ irgendwelche Mustervorlagen zu verwenden. Gerade in Verbindung mit den KCanG sind besondere Fallstricke zu beachten. Dadurch verbietet sich jede schematische Lösung und stehts eine Betrachtung des Einzelfalls vorgenommen werden sollte.

Ferner sollte man sich darüber bewusstwerden, dass Datenschutz nicht mit der Erstellung einer Datenschutzerklärung -wie viele glauben- getan ist. Vielmehr sollte gerade in solch einem sensiblen Bereich -in dem auch Daten zum Konsumverhalten der Mitglieder vorliegen- sehr ernst genommen werden und stetig überwacht und optimiert werden.

Abgesehen von Vorschriften der DSGVO, die Datenschutzverstöße mit hohen Bußgeldern sanktionieren, tritt der viel größere Schaden auch mit dem Vertrauensverlust der Mitglieder ein, was im schlimmsten Fall im Austritt einer Vielzahl von -mühevoll gewonnen (Werbeverbot § 6 KCanG)- Mitgliedern enden kann.

Regelungen im KCanG – Rechte der Behörden:

Das KCanG enthält im 6. Abschnitt „Behördliche Überwachung von Anbauvereinigung“ eine Reihe von Vorschriften, die Dokumentationspflichten konstituieren und den zuständigen Behörden „Einsichtsrechte“ in die Dokumente der Anbauvereinigungen gewähren.

Besondere Beachtung verdient hierbei § 26 Abs. 1 Nr. 5 KCanG:

Abs.1 Anbauvereinigungen haben zum Nachweis der Einhaltung der Vorgaben der §§ 18 bis 20 und 22 für die Rückverfolgbarkeit des weitergegebenen Cannabis und Vermehrungsmaterials fortlaufend folgende Angaben zu dokumentieren:

Nr. 5 Name, Vorname und Geburtsjahr jedes Mitglieds, an das Cannabis weitergebenen wurde, sowie folgenden Angaben zu dem weitergegebenen Cannabis:

1. Menge in Gramm,
2. durchschnittlicher THC-Gehalt,
3. Datum der Weitergabe

Diese Norm eröffnet den Behörden den vollen Zugriff auf die Daten zum Konsumverhalten der Mitglieder, was wohl den Interessen der Mitglieder -den Staat aus ihrem Privatleben rauszuhalten- zuwiderlaufen dürfte.

Welche Möglichkeiten bestehen, um die personenbezogenen Daten der Mitglieder vor dem Zugriff der Behörden zu schützen?

Anwendungsbereich

Zunächst einmal muss festgestellt werden, unter welchen Anwendungsbereich die Verarbeitung der personenbezogenen Daten durch die Behörden fällt. Grundsätzlich unterliegt die Verarbeitung von personenbezogenen Daten den Regelungen der DSGVO, welche als EU-Richtlinie für alle Mitgliedstaaten der Europäischen Union unmittelbar gilt. In Art. 2 DSGVO wird der sachliche Anwendungsbereich der Richtlinie geregelt. Nach Art. 2 Abs. 2 lit. d DSGVO findet die Verordnung keine Anwendung auf die Verarbeitung von personenbezogenen Daten, die durch die zuständigen Behörden zum Zweck der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit verarbeitet werden.

Sofern die Datenverarbeitung durch die Behörden unter den Ausschluss aus Art. 2 Abs. 2 lit. d DSGVO fallen sollte, würde die Datenverarbeitung unter die JIRL 2016/680 fallen, die im 3. Teil des BDSG in das nationale Bundesrecht übertragen wurde. 

Da sich der Anwendungsbereich im Laufe des Geschehens auch ändern kann, beschäftigt sich der nachfolgende Teil sowohl mit der Zulässigkeit der Verarbeitung nach der DSGVO, als auch dem BDSG. Sofern die Datenverarbeitung nach der DSGVO, als auch dem BDSG unzulässig ist, kann schlussendlich dahinstehen, in welchen konterten Anwendungsbereich die Datenverarbeitung durch die Behörden fällt.

DSGVO

Bei der DSGVO handelt es sich um ein Verbotsgesetz mit Erlaubnisvorbehalt.  Konkret bedeutet das, dass personenbezogene Daten nur verarbeitet werden dürfen, wenn ein Erlaubnistatbestand aus der DSGVO greift. Ferner müssen auch die Grundsätze für die Verarbeitung personenbezogener Daten gem. Art. 5 DSGVO beachtet werden. Insbesondere der Grundsatz der Datenminimierung aus Art. 5 Abs. 1 lit.c DSGVO dürfte hier eine herausragende Rolle einnehmen.

Die Rechtmäßigkeit der Verarbeitung bestimmt sich nach den Erlaubnistatbeständen der DSGVO. Welcher Erlaubnistatbestand einschlägig sein könnte, richtet sich hauptsächlich nach der Kategorie von personenbezogenen Daten, unter die die konkreten personenbezogenen Daten fallen. Maßgeblich relevant ist hier, ob es sich bei Daten zum Konsumverhalten um besondere Kategorien von personenbezogenen Daten gem. Art. 9 DSGVO handelt, die nur unter ganz bestimmten -im Vergleich zu Art. 6 DSGVO eingeschränkten- Voraussetzungen verarbeitet werden dürfen.

Kategorische Einordnung der personenbezogenen Daten aus § 26 Abs. 1 Nr. 5 KCanG:

Bei Daten zum Konsumverhalten könnte es sich um eine besondere Kategorie von personenbezogenen Daten -Gesundheitsdaten- gem. Art 9 Abs. 1 DSGVO handeln, bei denen eine Verarbeitung grundsätzlich untersagt ist. Dies gilt nicht, wenn ein Erlaubnistatbestand aus Art. 9 Abs. 2 DSGVO greift. 

Erwägungsgrund der DSGVO

In ErwG. 35 werden Gesundheitsdaten wie folgt definiert: „Zu den personenbezogenen Gesundheitsdaten sollten alle Daten zählen, die sich auf den Gesundheitszustand einer betroffenen Person beziehen und aus denen Informationen über den früheren, gegenwärtigen und künftigen körperlichen oder geistigen Gesundheitszustand der betroffenen Person hervorgehen.“

Definition des EuGH

Der EuGH gelangt hier zu einer weiten Auslegung der Begriffe »besondere Kategorien personenbezogener Daten« und »sensible Daten«, da nur so ein hohes Niveau des Schutzes der Grundrechte und Grundfreiheiten natürlicher Personen – insbesondere ihres Privatlebens – bei der Verarbeitung sie betreffender personenbezogener Daten zu gewährleisten sei (EuGH, Urt. v. 01.08.2022 – Rs. C-184/20, EU:C:2022:601 Rn. 125 – Vyriausioji tarnybinės etikos komisija).

Definition der WHO

Auch die Weltgesundheitsorganisation (WHO) definierte 1948 den Begriff Gesundheit sehr umfassend: „Gesundheit ist ein Zustand völligen psychischen, physischen und sozialen Wohlbefindens und nicht nur das Freisein von Krankheit und Gebrechen. Sich des bestmöglichen Gesundheitszustandes zu erfreuen ist ein Grundrecht jedes Menschen, ohne Unterschied der Rasse, der Religion, der politischen Überzeugung, der wirtschaftlichen oder sozialen Stellung.“

Einzelne Daten, wie beispielsweise Gewicht, Geschlecht und Alter sagen noch nichts über den Gesundheitszustand einer Person aus. Werden diese Daten aber miteinander verknüpft oder werden weitere Daten, wie zum Beispiel Angaben zur Größe oder zum Konsum bestimmter Genussmittel hinzugefügt, können daraus Gesundheitsdaten entstehen. Es ist also immer auf den Zweck der Verwendung einzelner Daten abzustellen, um zu entscheiden, ob sie zu einer bestimmten Kategorie von Daten gehören.

Definition nach dem KCanG

So dürften es sich bei den personenbezogenen Daten aus § 26 Abs. 1 Nr. 5 KCanG spätestens durch die Verknüpfung von Namen, Alter, Geschlecht und der Abgabemenge /Konsumverhalten à was sich darauf stützen lässt, dass eine Weitergabe von Cannabis durch die Mitglieder verboten ist (§ 19 Abs. 4 S. 1 KCanG), weswegen die Abgabemengen direkten Rückschluss auf das Konsumverhalten des Mitglieds zulässt, um Gesundheitsdaten handeln.

Erlaubnistatbestand

Es kommt folgender Erlaubnistatbestand für die Verarbeitung der personenbezogenen Daten durch die Behörden in Frage:

Art 9 Abs. 2 lit. g DSGVO

„Art. 9 Abs. 2 Buchst. g) DSGVO eröffnet dem nationalen Gesetzgeber wie auch dem Unionsgesetzgeber die Möglichkeit, aus Gründen eines »erheblichen öffentlichen Interesses« weitere Ausnahmebestände zur Verarbeitung besonderer Kategorien personenbezogener Daten zu schaffen. Die Regelung des Art. 9 Abs. 2 Buchst. g) DSGVO schafft im Gefüge des Art. 9 Abs. 2 DSGVO die weiteste Ausnahmeregelung, da sie auch keine thematische Einschränkung des Regelungsbereiches vorsieht und daher querschnittsmäßig zur Anwendung gelangt. Der Hauptanwendungsbereich dürfte gleichwohl im Recht der öffentlichen Sicherheit bzw. im Gefahrenabwehrrecht liegen.“

Solch ein Fall dürfte hier mit den Normierungen des 6. Abschnitts des KCanG vorliegen. 

Verhältnismäßigkeit

„Die vorgenommene Datenverarbeitung muss erforderlich sein. Es muss also ein überwiegendes Interesse gegenüber den schutzwürdigen Interessen des Betroffenen vorliegen. Auch darf der Zweck nicht auf andere Weise oder nur mit erheblichem Aufwand erreicht werden. Bei der Nutzung dieser Öffnungsklausel sind vor dem Hintergrund des weiten Anwendungsbereichs im besonderen Maße der Wesensgehalt des Grundrechts auf Datenschutz sowie die Rechte des Betroffenen zu wahren. Insoweit gilt hier ein strikter Verhältnismäßigkeitsgrundsatz, der für eine etwaige Rechtsgrundlage neben präzisen und klaren Vorgaben auch die Gewährleistung angemessene Sicherungen verlangt, sodass die Datenverarbeitung auf das erforderliche Maß beschränkt wird.“[1]                    

Gebot der Datenminimierung aus Art. 5 Abs. 1 lit. c DSGVO

„Der Begriff Datenminimierung wird durch die DSGVO näher bestimmt, indem er in die Unterbegriffe »Angemessenheit im Verhältnis zum Zweck« (Angemessenheit), »Erheblichkeit« und »Beschränkung auf das notwendige Maß« (Erforderlichkeit) aufgegliedert wird. Die im Staat-Bürger-Verhältnis zu beachtende Verhältnismäßigkeit (Art. 52 Abs. 1 Satz 2 GRCh) konkretisiert in diesem Verhältnis die Anwendung dieser Grundsätze. Soweit es um behördliches Handeln geht, ist daher auf den für das Staat-Bürger-Verhältnis geprägten Verhältnismäßigkeitsgrundsatz zurückzugreifen, bei dem in erster Linie nach gleichermaßen geeigneten, doch milderen Mitteln der Zweckerreichung zu fragen ist. Mildere Mittel muss der Staat anwenden.“.

Es ist aus unserer Sicht fraglich, wie die Interessenabwägung hier zu Gunsten der Behörden ausfallen konnte, denn es erschließt sich nicht, weshalb die Abgabemengen mit Klarnamen an die Behörden weitergegeben werden müssen.

Zum Zweck der Datenerhebung findet sich in der Gesetzesbegründung zu § 26 Abs. 1 Nr. 5 KCanG folgendes:

„Die Anbauvereinigung hat Namen und Vornamen sowie das Geburtsjahr der Mitglieder zu dokumentieren, die Cannabis oder Vermehrungsmaterial erhalten sowie den Tag der Weitergabe. Anhand der Mitgliederliste kann die zuständige Behörde somit Weitergabemengen einzelnen Mitgliedern zuordnen und überprüfen, ob die Vorgaben zu Mengenbegrenzungen sowie zum THC-Gehalt bei Weitergabe an Heranwachsende eingehalten werden.“

Die Erhebung personenbezogener Daten ist gerechtfertigt, um die Einhaltung der gesetzlichen Vorgaben zu Jugend- und Gesundheitsschutz wirksam überwachen zu können. Anbauvereinigungen haben sicherzustellen, dass personenbezogene Daten gegen den Zugriff unbefugter Dritter geschützt sind und dürfen Daten ihrer Mitglieder außer an die Überwachungsbehörden nicht an Dritte weitergeben (vgl. Absatz 2).

Demnach liegt der Zweck der Datenerhebung in der Überprüfung, ob die Mengenbegrenzungen und die Reglementierungen in Bezug von Alter und THC-Gehalt bei der Weitergabe von Cannabis an die einzelnen Mitglieder des CSC eingehalten werden.   

Das gewählte Mittel müsste erforderlich sein um den angestrebten Zweck zu erreichen. Das gewählte Mittel ist dann erforderlich, wenn es keine mildere Maßnahme gibt, die denselben Erfolg mit gleicher Sicherheit erzielt. 

Anmerkung: Im Grunde ist das verwendete Mittel nicht einmal geeignet den anstrebten Zweck zu erreichen, denn es soll lediglich das Geburtsjahr durch die Behörde erhoben werden. Es stellt sich die Frage, wie damit die Reglementierung des THC-Gehalts für bestimmte Altersgruppen überprüft werden soll.

Beispiel:

Mitglied 1 wird am 01.01.2025 21 Jahre alt und unterliegt dann nicht mehr der Reglementierung des THC-Gehalts.

Die Behörde erhält folgende Daten:

Name: Mitglied 1

Abgabemenge: 50g

THC-Gehalt: 20%

Geburtsjahr: 2003

Mitglied 2 wird am 31.12.2025 21 Jahre alt und unterliegt damit noch bis zum 31.12.2025 der Reglementierung des THC-Gehalts auf max. 10%.

Die Behörde erhält folgende Daten:

Name: Mitglied 2

Abgabemenge: 20g

THC-Gehalt: 20%

Geburtsjahr: 2023

Für die Behörde wären nun Mitglied 1, als auch Mitglied 2 den Geburtsjahr nach 21 Jahre alt, was jedoch nur für Mitglied 1 zutrifft, wenn z.B. die Abgabe am 01.06.2025 stattfinden würde.

Somit ist das verwendete Mittel schon nicht einmal geeignet um zu überprüfen ob der THC-Gehalt bei Weitergabe an Heranwachsende eingehalten wird.

Es erscheint äußert fraglich, ob das gewählte Mittel -die Erhebung von personenbezogenen Daten mit Klarnamen in Verbindung mit der Abgabemenge- zur Erreichung des Zwecks erforderlich ist.

Der angestrebte Zweck lässt sich genauso gut mit Dokumentationen erreichen, die statt des Klarnamens der Mitglieder eine Mitgliedsnummer, Geburtsdatum, Abgabemenge und THC-Gehalt beinhalten. Sofern die Behörde eine Zuordnung des Klarnamens aufgrund der Strafverfolgung begehrt, hätte die Herausgabe der zu der Mitgliedernummer zugehörigen Klarnamen auch unter einen Richtervorbehalt gestellt werden können.  Jedenfalls handelt es sich bei der Regelung aus unserer Sicht nicht um das mildeste Mittel der Zweckerreichung. Somit stellt der § 26 Abs. 1 Nr. 5 KCanG einen unverhältnismäßigen Eingriff in das Grundrecht auf Informationelle Selbstbestimmung aus Art. 2 Abs. 1 iVm Art. 1 Abs. 1 GG dar und dürfte somit verfassungswidrig sein.

BDSG

Die Verarbeitung der personenbezogenen Daten könnte auch unter den Anwendungsbereich des 3. Teils des BDSG (§§ 45 ff.) BDSG fallen. Der Anwendungsbereich der §§ 45 ff. BDSG ist gem. § 45 S. 1 BDSG eröffnet, wenn die personenbezogenen Daten durch die für die Verhütung, Ermittlung, Aufdeckung, Verfolgung oder Ahndung von Straftaten oder Ordnungswidrigkeiten zuständigen öffentlichen Stellen, soweit sie Daten zum Zweck der Erfüllung dieser Aufgaben verarbeiten verarbeitet werden.

Wie vorangegangen dargestellt liegt der Zweck der Datenerhebung in der Überprüfung, ob die Mengenbegrenzungen und die Reglementierungen in Bezug von Alter und THC-Gehalt bei der Weitergabe von Cannabis an die einzelnen Mitglieder des CSC eingehalten werden.  

Die Abgabe von Cannabis ist nur unter den Erlaubnistatbeständen des KCanG zulässig, die unter anderem eine Begrenzung der Abgabemenge, als auch eine Reglementierung in Bezug auf den THC-Gehalt für bestimmte Altersgruppen beinhaltet (§§ 3, 19 Abs. 3 KCanG).  In den §§ 34, 36 KCanG finden sich Straf- und Bußgeldvorschriften.

Dem Zweck nach ist die Datenverarbeitung durch die Behörde erforderlich um die Einhaltung der Abgabemengen an die einzelnen Mitglieder kontrollieren zu können und ggf. Verstöße zu ahnden. Somit dürfte eine Verarbeitung für die Verhütung, Ermittlung, Aufdeckung, Verfolgung oder Ahndung von Straftaten oder Ordnungswidrigkeiten durch die zuständige Behörde vorliegen. Somit dürfte der Anwendungsbereich des 3. Teils des BDSG eröffnet sein.

Erlaubnistatbestand

Die Verarbeitung von personenbezogenen ist nach dem 3. Teil BDSG nur erlaubt, sofern eine Rechtsgrundlage der § 48 ff. BDSG für die konkrete Verarbeitung einschlägig ist.

Wie bei der DSGVO ist auch hier relevant, um welche Kategorie von personenbezogenen Daten es sich im konkreten fall handelt.  In § 48 BDSG ist die Verarbeitung von besonderen Kategorien personenbezogener Daten geregelt.

§ 46 Nr. 14 nimmt für den Bereich der JIRL in Umsetzung von Art. 10 JIRL eine Legaldefinition der besonderen Kategorien personenbezogener Daten vor, die inhaltlich mit Art. 9 Abs. 1 DSGVO übereinstimmt.

Dahingehend wird auf die Einordnung der personenbezogenen Daten aus § 26 Abs. Nr. 5 KCanG auf die Ausführungen im Abschnitt zur DSGVO verwiesen. Es handelt sich um Gesundheitsdaten die in den Anwendungsbereich des § 48 BDSG fallen.

Verhältnismäßigkeit

Gem. § 48 Abs. 1 BDSG ist die Verarbeitung besonderer Kategorien personenbezogener Daten nur zulässig, wenn sie zur Aufgabenerfüllung unbedingt erforderlich ist.

Das Tatbestandsmerkmal »zur Aufgabenerfüllung unbedingt erforderlich« stellt einen unbestimmten Rechtsbegriff dar. Der Gesetzgeber hat sich hinsichtlich der verwendeten Begrifflichkeit an Art. 10 JIRL orientiert. Ob eine Datenverarbeitung erforderlich für die Aufgabenerfüllung ist, bestimmt sich nach allgemeinen Rechtsgrundsätzen und den konkreten Einsatzzweck der jeweiligen Datenverarbeitung.

Erforderlichkeit im Anwendungsbereich des europäischen Datenschutzrechts bedeutet, dass der Verantwortliche sich auf das von ihm durch die rechtliche Verpflichtung geforderte notwendige Maß beschränken muss und die Daten nicht über den geforderten Zweck und Umfang hinaus verarbeiten darf.

Hierbei ist im besonderen Maße die jeweilige Schutzbedürftigkeit der Daten im Rahmen der Abwägung zu berücksichtigen. Unter Berücksichtigung der Sensibilität der erfassten Daten und der Schwere des Eingriffs in die Grundrechte auf Achtung des Privatlebens und auf Schutz personenbezogener Daten der betroffenen Personen muss nachgewiesen werden, dass das verfolgte Ziel in zumutbarer Weise nicht mit anderen, weniger einschneidenden Mitteln ebenso wirksam erreicht werden kann. An der Stelle kann auf die Ausführungen zur Verhältnismäßigkeit im Rahmen der DSGVO Vorschriften verwiesen werden.  Das verfolgte Ziel kann problemlos mit weniger einschneidenden Mitteln ebenso wirksam erreicht werden.

Ferner müsste die Datenverarbeitung durch die Behörde im konkreten Fall unbedingt erforderlich sein. Es reicht somit nicht nur die Einhaltung des datenschutzrechtlichen Erforderlichkeitsgrundsatzes aus, die Verarbeitung muss auch zwingend erforderlich sein. Hieraus folgt, dass für die Beurteilung der Erforderlichkeit ein besonders strikter Maßstab anzuwenden ist der regelmäßig eine Verhältnismäßigkeitsprüfung beinhaltet.

Ferner müssen gem. 48 Abs. 2 BDSG geeignete Garantien für die Verarbeitung von besonderen Kategorien personenbezogener Daten vorhanden sein. In § 48 Abs. 2 S. 2 findet sich ein nicht abschließender Katalog an geeigneten Maßnahmen, die als Garantie eingesetzt werden können.  

Die geeigneten Maßnahmen bestimmen sich maßgeblich kontextabhängig und nach einer hieran anknüpfenden Risikoanalyse. Sie sind danach auszurichten, welche Maßnahmen im konkreten Einzelfall einen effektiven Schutz der Rechte und Freiheiten der betroffenen Person gewährleisten.[8]

Gem. § 48 Abs 2 S. 2 Nr. 6 kann eine geeignete Garantie in der Pseudonymisierung der personenbezogenen Daten liegen. Dies entspricht genau dem, was auch schon bei der Prüfung nach der DSGVO im Rahmen der Erforderlichkeit als Alternativvorschlag zur Datenschutzkonformen Verarbeitung der personenbezogenen Daten unterbreitet wurde.

Schlussendlich ist die Verarbeitung der personenbezogenen Daten auch nicht im Rahmen des § 48 BDSG zulässig, da sie nicht unbedingt zur Erreichung des angestrebten Zwecks erforderlich ist, und mildere Mittel zur Zweckerreichung vorhanden sind.

Fazit

Im Ergebnis kann dahinstehen in welchen Anwendungsbereich die Verarbeitung der personenbezogenen Daten aus § 26 Abs. 1 Nr. 5 fällt, da sowohl in der DSGVO, als auch im BDSG keine einschlägige Rechtsgrundlage für die Verarbeitung vorzufinden ist.  

Sollte oder muss ein Datenschutzbeauftragter bestellt werden?

Wie man sieht handelt es sich beim Datenschutz in einem CSC um eine sehr komplexe Thematik. Um den Mitgliedern den bestmöglichen Schutz ihrer personenbezogenen Daten bieten zu können -und auch vor Zugriffen von Behörden schützen zu können-, und dabei auch alle rechtlichen Bestimmungen einzuhalten, empfiehlt es sich einen spezialisierten Datenschutzbeauftragten -der sich im Idealfall auch mit dem KCanG auskennt- zu beauftragen.

Ferner besteht unter bestimmten Voraussetzungen auch eine Pflicht zur Bestellung eines Datenschutzbeauftragten, z.B. kann im Falle einer Videoüberwachung der Anbauanlage eine DSFA erforderlich sein, wodurch zwangläufig ein Datenschutzbeauftragter bestellt werden muss.

---

Weitere Informationen zu CSC, finden Sie hier, hier und hier.

Bei Fragen, wenden Sie sich an uns.