Mit der Einführung des Konsumcannabisgesetzes (KCanG) und der Zulassung von Cannabis Social Clubs (CSCs) in Deutschland stehen viele Vereinsgründer und Verantwortliche vor neuen rechtlichen Herausforderungen – insbesondere im Bereich Datenschutz. Denn CSCs verarbeiten hochsensible personenbezogene Daten und unterliegen damit in vollem Umfang der Datenschutz-Grundverordnung (DSGVO). Fehler können schnell zu Abmahnungen, Bußgeldern oder behördlichen Prüfungen führen.

Unsere Kanzlei ist auf Datenschutzrecht und Cannabisrecht konzentriert. Wir nennen uns nicht Experten, beraten aber in diesen Rechtsbereichen seit über neun Jahren. Unsere Mandanten nennen uns aber Experten.

---

📌 Was müssen CSCs beim Datenschutz beachten?

CSC-Betreiber verarbeiten personenbezogene Daten wie Name, Adresse, Alter, Mitgliedsstatus, Ausgabemengen und Besuchszeiten. Dabei handelt es sich zum Teil um besonders schützenswerte Daten im Sinne von Art. 9 DSGVO, etwa wenn Rückschlüsse auf Gesundheitszustand oder Konsumverhalten möglich sind. Eine rechtssichere Datenverarbeitung erfordert klare Strukturen, sichere Softwarelösungen und transparente Informationspflichten gegenüber Mitgliedern.

---

⚖️ Rechtsgrundlagen der Datenverarbeitung

Die Verarbeitung personenbezogener Daten in Cannabis Social Clubs muss auf einer gültigen Rechtsgrundlage beruhen:

• Art. 6 Abs. 1 lit. b DSGVO: Vertragsdurchführung (z. B. Mitgliedschaft)
• Art. 6 Abs. 1 lit. c DSGVO: Erfüllung gesetzlicher Pflichten nach dem KCanG
• Art. 6 Abs. 1 lit. a DSGVO / Art. 9 Abs. 2 lit. a DSGVO: Einwilligung bei sensiblen Daten oder optionalen Angaben (z. B. freiwillige Konsumdokumentation)

Wir prüfen gemeinsam mit Ihnen, welche Rechtsgrundlagen Sie benötigen – und erstellen auf Wunsch alle erforderlichen Vorlagen (Einwilligungen, Datenschutzhinweise, Verzeichnisse).

---

🔐 Software & Sicherheit: Welche Lösungen sind DSGVO-konform?

Viele CSCs nutzen digitale Verwaltungssoftware wie:

• Cannanas
• 420
• Localeaf
• HelloHanf

Diese Tools unterstützen bei Mitgliederverwaltung, Ausgabedokumentation und behördlichen Exporten. Doch Vorsicht: Nicht jede Software ist automatisch DSGVO-konform. Wir prüfen für Sie:

• Ob ein Auftragsverarbeitungsvertrag (AVV) mit dem Anbieter besteht
• Ob sensible Daten verschlüsselt und zugriffsgeschützt verarbeitet werden
• Ob Löschroutinen und Benutzerrechte korrekt eingerichtet sind
• Ob Datenschutz durch Technikgestaltung (Privacy by Design) umgesetzt wurde

---

🧾 Pflicht: Datenschutzerklärung und Verarbeitungsverzeichnis

Jeder CSC ist verpflichtet, eine transparente Datenschutzerklärung für Mitglieder zu erstellen – mit Informationen zu Speicherfristen, Zwecken, Rechtsgrundlagen und Betroffenenrechten. Zusätzlich muss ein Verzeichnis der Verarbeitungstätigkeiten (VVT) geführt werden. Wir übernehmen diese Dokumente für Sie und passen sie individuell an Ihre Strukturen an.

---

👥 Brauchen Sie einen Datenschutzbeauftragten?

Ein Datenschutzbeauftragter ist erforderlich, wenn:

• mehr als 20 Personen regelmäßig mit personenbezogenen Daten arbeiten
• oder regelmäßig sensible Daten (z. B. Konsumverhalten) verarbeitet werden

Wir klären für Sie die Verpflichtung und stellen auf Wunsch einen externen Datenschutzbeauftragten mit Branchenerfahrung.

---

🛡️ Aufbewahrung, Löschung & Datensicherheit

Das KCanG sieht Aufbewahrungspflichten vor – z. B. bei Ausgabeprotokollen (typischerweise 3 Jahre). Nach Ablauf sind Daten datenschutzkonform zu löschen oder zu anonymisieren. Wir unterstützen bei der Einrichtung rechtskonformer Löschkonzepte und schulen Ihre Teams zur sicheren Verarbeitung.

---

⚠️ Datenschutzpannen und behördliche Kontrolle

Bei einem Datenschutzverstoß – etwa durch Datenverlust oder Hackerangriff – müssen Sie innerhalb von 72 Stunden eine Meldung an die Datenschutzaufsicht erstatten. Zusätzlich kann eine Informationspflicht gegenüber betroffenen Mitgliedern bestehen. Wir beraten Sie im Krisenfall und begleiten Sie bei behördlichen Verfahren oder Kontrollen durch Landesbehörden oder Datenschutzaufsichten.

---

✅ Unsere Leistungen für CSCs im Datenschutzrecht

Als erfahrene Kanzlei im Bereich Datenschutz und Cannabisrecht bieten wir Ihnen:

• Erstellung individueller Datenschutzdokumente (Erklärung, VVT, Einwilligungen etc.)
• Prüfung und Begleitung bei der Auswahl datenschutzkonformer Software
• Unterstützung bei Meldungen, Behördenkommunikation und Schulungen
• Stellung eines externen Datenschutzbeauftragten
• Langfristige rechtliche Betreuung bei datenschutzrechtlichen Fragen