Dieser Artikel stammt von Netzpolitik.org.
Wer demnächst legal von Anbauvereinen Gras beziehen will, wird mit Namen, Alter und besorgter Menge in Datenbanken landen. Das Problem daran: Der Weitergabe der sensiblen Daten an Behörden und Strafverfolger sind kaum Grenzen gesetzt.
Mit etwas Glück glühen schon im April die ersten legalen Joints in Deutschland. Lange umkämpft und letztlich auf eine Minimalvariante zurechtgestutzt, hat die Ampelkoalition jüngst eines ihrer großen gesellschaftspolitischen Versprechen aus dem Koalitionsvertrag beschlossen.
Doch die längst überfällige Liberalisierung der Drogenpolitik droht zu einem Datenschutzalbtraum zu geraten. Millionen Konsument:innen könnten namentlich erfasst werden – und einer Weitergabe dieser Daten zwischen Behörden sind kaum Grenzen gesetzt.
Das hat auch mit dem deutschen Sonderweg zu tun, denn für eine echte Legalisierung hat es wegen des Widerstands aus Brüssel und mehreren EU-Ländern nicht gereicht. Der Traum vieler Kiffer:innen, Cannabisprodukte einfach im Laden um die Ecke kaufen zu können, ist daher geplatzt. Stattdessen sollen neben dem Eigenanbau von drei Pflanzen sogenannte Anbauvereinigungen erlaubt sein, die den Anbau und Vertrieb der Droge übernehmen.
Bürokratische Hürden
Diese Vereine oder Genossenschaften sind stark reglementiert: Unter anderem dürfen sie jeweils nur 500 Mitglieder aufnehmen, die in Deutschland wohnen und volljährig sein müssen. Sie dürfen monatlich nur beschränkte Mengen von Cannabis an Mitglieder abgeben, maximal 25 Gramm pro Tag oder 50 Gramm pro Monat. Für Mitglieder zwischen 18 und 21 Jahren gelten nochmal andere Regeln. Monatlich dürfen sie nur 30 Gramm weniger starkes Gras von der Anbauvereinigung beziehen. Sie dürfen auch nicht gewerblich arbeiten, sondern in erster Linie von Ehrenamtlichen betrieben werden.
All diese Regeln sollen sicherstellen, dass das legale Gras nur legal weitergegeben wird, der Schwarzmarkt austrocknet und der Jugendschutz gewährleistet bleibt. Ob dies gelingen wird, bleibt offen – schon allein, weil das Gesetz viele Hürden vorsieht und Konsument:innen abschrecken könnte, legal Gras zu besorgen.
Denn fest steht jetzt schon, dass die Anbauvereinigungen eine Vielzahl bürokratischer Auflagen erfüllen müssen. Mindestens einmal im Jahr soll es behördliche Kontrollen vor Ort geben, bei Verstößen drohen empfindliche Strafen.
Name, Menge, Geburtsjahr
Damit kontrolliert werden kann, müssen die Anbauvereinigungen penibel über ihre Mitglieder Buch führen. Sie müssen etwa die Namen und Geburtsjahre aufzeichnen sowie die Menge an Cannabis, den durchschnittlichen THC-Gehalt und das Datum, zu dem sie legal Gras abgegeben haben. Die Daten müssen sie fünf Jahre lang aufbewahren.
Diese Datenhalden könnten zu einem Selbstbedienungsladen für Behörden werden. Bei Kontrollen dürfen die zuständigen Behörden – das dürften in aller Regel Landesämter sein – „alle geschäftlichen Schrift- und Datenträger von Anbauvereinigungen“ einsehen, prüfen und kopieren. Sie können auch Namen, Vornamen, Geburtsdatum, Anschrift und elektronische Kontaktdaten aller Mitglieder – also der Kiffer:innen – erheben.
Und sie dürfen all diese sensiblen Daten zwei Jahre speichern und an andere Behörden weitergeben, wenn sie bei der Verfolgung von Straftaten oder Ordnungswidrigkeiten nach beliebigen Gesetzen nützlich sein könnten – ohne Anfangsverdacht, Richtervorbehalt oder sonstige rechtsstaatliche Sicherungsmechanismen. Das Gesetz ist dabei nicht einmal auf die Übermittlung von Daten von Verdächtigten beschränkt. Es könnten beispielsweise auch sensible Daten von potenziellen Zeug:innen übermittelt werden.
Übermittlung schon bei Ordnungswidrigkeiten
Jurist:innen zeigen sich darüber entsetzt. „Sowohl bei den Anbauvereinigungen als auch bei den Behörden entstehen so riesige Datenmengen über Konsument:innen, die von hohem Interesse für Arbeitgeber:innen und Versicherungen sein können“, sagt David Werdermann von der Gesellschaft für Freiheitsrechte (GFF). Für die Konsument:innen könne es schwerwiegende Konsequenzen haben, wenn die Daten in die falschen Hände geraten, sagt Werdermann.
Das Gesetz ermögliche zudem die Übermittlung von sehr vielen, teils sensiblen Daten an die Strafverfolgungsgsbehörden. „Aber auch ein Missbrauch der Daten durch die Behörden ist nicht ausgeschlossen, wenn man etwa die jüngsten Äußerungen von Markus Söder betrachtet“, so Werdermann weiter.
Der bayerische Ministerpräsident Söder (CSU) hatte jüngst eine sehr restriktive Anwendung des Gesetzes angekündigt und mit dem Zusatz garniert, dass alle, die mit dem Thema Cannabis glücklicher werden wollten, woanders besser aufgehoben seien als in Bayern.
Genau für einen solchen repressiven Umgang könnten die laxen Regeln für die Kiffer-Daten Haus und Hof öffnen. Statt den Freuden der Legalisierung steht dann irgendwann die Polizei vor der Tür.
Daten auf dem Silbertablett
Das bereitet auch jenen Sorgen, die das legale Gras produzieren sollen. Denn neben dem Eigenanbau von drei Pflanzen gibt es in Zukunft nur diese eine Variante, legal an Gras oder Haschisch heranzukommen: Die Anbauvereine.
„Die Datensammelei ist die wichtigste ‚Red-Flag‘ für viele Konsument:innen, die ihre Beteiligung an Anbauvereinigungen verhindern wird“, sagt Steffen Geyer vom CSCD, dem Dachverband deutscher Cannabis Social Clubs (CSC), wie die Anbauvereinigungen auch genannt werden. „Konkret befürchten wir Probleme mit Führerscheinstellen und einen möglichen Durchgriff von Strafverfolgern auf beliebige CSC-Mitgliederdaten – zum Beispiel um zu prüfen, ob irgendwer Mitglied in mehreren Clubs ist“, sagt Geyer.
Georg Wurth vom Deutschen Hanfverband sagt, dass der unzureichende Schutz der Daten dem Ziel des Gesetzes, den Schwarzmarkt auszutrocknen entgegenstehe. „Die Vereine sollen sehr umfangreiche Aufzeichnungen darüber für die Behörden bereithalten, wer wann was und wie viel erhalten hat. Das ist ein erhebliches Datenschutzproblem und wird die Akzeptanz von Anbauvereinen schwächen.“
Millionen Cannabiskonsumenten hätten staatliche Verfolgung erlebt und die CDU habe schon angekündigt, das Gesetz bei der nächstbesten Gelegenheit zurückzudrehen, sagt Wurth. „Unter diesen Umständen wollen viele dem Staat nicht ihren genauen persönlichen Cannabisverbrauch auf dem Silbertablett servieren, indem sie einem Anbauclub beitreten.“
„Voraussetzungslose Befugnis“
Dabei ist ohnehin fragwürdig, ob die geplanten Regelungen mit geltendem Recht vereinbar sind. So verweist der Jurist Niko Härting auf das sogenannte Doppeltür-Modell, mit dem das Bundesverfassungsgericht verbindliche Regeln für die Verarbeitung personenbezogener Daten geschaffen hat.
Dem Urteil zufolge ist zwischen der Datenübermittlung seitens der auskunftsberechtigten Stelle und dem Datenabruf seitens der auskunftsuchenden Stelle zu unterscheiden: „Der Gesetzgeber muss, bildlich gesprochen, nicht nur die Tür zur Übermittlung von Daten öffnen, sondern auch die Tür zu deren Abfrage“, bekräftigte das Höchstgericht kürzlich die rechtsstaatlichen Mindeststandards. „Erst beide Rechtsgrundlagen gemeinsam, die wie eine Doppeltür zusammenwirken müssen, berechtigen zu einem Austausch personenbezogener Daten“, heißt es in dem Urteil.
Niederschlag findet die Rechtsprechung im Cannabisgesetz jedoch nicht. „Diese völlig voraussetzungslose Befugnis, sogar bei Ordnungswidrigkeiten, geht mit dem Doppeltür-Modell nicht überein“, sagt Härting. Es brauche eine Norm, um die Daten überhaupt entgegennehmen zu können, sagt der Anwalt – und eben diese ist im Gesetz nicht enthalten.
Ähnlich kritisch wertet Härting, dass die Ampelkoalition offenkundig die Datenschutz-Grundverordnung (DSGVO) ignoriert. Tatsächlich lasse das EU-Gesetz zu, dass Daten unter bestimmten Bedingungen auch ohne Einwilligung verarbeitet werden dürfen. Aber das hebe nicht andere Auflagen auf, etwa an die Erforderlichkeit der Verarbeitung oder deren Zweckbestimmung, so Härting.
Dass Datenschutz nur eine untergeordnete Rolle gespielt hat, zeigt sich an der Gewichtung im Gesetz: Die Anforderungen für Anbauvereinigungen, darunter Umzäunungen sowie einbruchssichere Türen und Fenster, sind dermaßen hoch, dass manche vor „Hochsicherheitstrakten“ warnen. Ein Verweis auf IT-Sicherheit findet sich hingegen nur in der Gesetzesbegründung wieder. Lapidar weist sie darauf hin, „die Integrität und Vertraulichkeit von personenbezogenen Daten zusichern und gegen den Zugriff unbefugter Dritter zu schützen.“
Fünf Jahre Speicherdauer zu lang
Härting hält auch die fünfjährige Speicherdauer für überzogen. „Es ist nicht so, dass der deutsche Gesetzgeber völlig frei ist, solche langen Aufbewahrungsfristen zu setzen“, sagt er. Im Gesetz selbst ist zwar die Rede von einer Evaluation, mit der „die Aufbewahrung der Angaben mindestens über den Zeitraum der laufenden Evaluation“ begründet wird. Wie das Gesetz aber klarstellt, soll die Überprüfung des Gesetzes in anonymisierter Form erfolgen. Warum dennoch eine derart lange Speicherdauer vorgeschrieben wird, bleibt offen. „Mir fällt kein vernünftiger Grund ein, warum das fünf Jahre sein sollen“, sagt Härting.
Dass die Missstände noch verbessert werden, ist eher unwahrscheinlich. Der Bundestag hat das Gesetz gerade beschlossen und von den Bundesländern ist kein Entgegenkommen für die Konsument:innen zu erwarten. Der Bundesrat könnte das Vorhaben am 22. März sogar noch einmal ausbremsen, wenn er den Vermittlungsausschuss anruft. Dann wird es nichts mit den legalen Joints zum 1. April und den Anbauvereinen schon diesen Sommer.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Zur Quelle wechseln
Zur CC-Lizenz für diesen Artikel
Author: Tomas Rudl
