Kiffen erlaubt, Sicherheit gefordert: Cannabis, Arbeitssicherheit und Datenschutz

| Die kürzliche Änderung des Cannabis-Gesetzes in Deutschland, die den Konsum von Cannabis unter bestimmten Bedingungen für Personen über 18 Jahre erlaubt, stellt eine Zäsur dar, deren Wellen weit über die gesellschaftlichen Ufer hinaus auch das Berufsleben erreichen. Während diese Neuregelung für viele eine Befreiung bedeutet, wirft sie zugleich bedeutende Fragen in Bezug auf die Arbeitsplatzsicherheit und Datenschutz auf. Gleichzeitig ergeben sich datenschutzrechtliche Bedenken, die weit über den unmittelbaren Arbeitskontext hinausreichen, insbesondere im Rahmen der umfangreichen Dokumentationspflichten, die das Gesetz vorsieht. |

1. Auswirkungen auf das Arbeitsleben

Die neue Gesetzeslage erlaubt Personen über 18 Jahren unter bestimmten Bedingungen den Konsum von Cannabis. Dies betrifft unmittelbar auch das Arbeitsleben ‒ inklusive betrieblichen Veranstaltungen und Betriebsfeiern. Das Cannabis-Gesetz selbst verbietet den Konsum während der Arbeit allerdings nicht.

Daher sind Organisationen nun gefordert, klare Regelungen für den Umgang mit Cannabis am Arbeitsplatz zu treffen. Bisherige betriebliche Regelungen, die sich oft nur auf Alkohol und illegale Drogen bezogen, müssen aktualisiert werden. Dabei gilt es auch, die Sicherheit am Arbeitsplatz und den Versicherungsschutz zu berücksichtigen. Ohne betriebliche Regelungen riskieren Organisationen ihren Versicherungsschutz, sollte es zu Unfällen kommen. Besondere Berücksichtigung erfordert auch das Jugendschutzgesetz ‒ gerade bei der Beschäftigung von minderjährigen Auszubildenden oder Praktikanten. Verantwortliche müssen hier entsprechende Maßnahmen zum Jugendschutz ergreifen. Insgesamt sollten Organisationen sowohl Regelungen zum Konsum als auch zum Mitführen und Weitergeben festlegen. Hierbei hat der Betriebsrat ein wichtiges Mitbestimmungsrecht.

Aus datenschutzrechtlicher Sicht müssen Organisationen besonders vorsichtig sein. Sie dürfen ohne Einwilligung der Beschäftigten keine Drogentests durchführen. Nur unter strikten Bedingungen, wie bei gefahrgeneigten Tätigkeiten, dürfen sie mit Zustimmung der Mitarbeitenden durchgeführt werden, wenn ein berechtigtes Interesse besteht. Solange Mitarbeitende keine Ausfallerscheinungen zeigen, wird es in der Praxis jedoch kaum möglich sein, festzustellen, wer vor oder während der Arbeitszeit Cannabis konsumiert hat. Hier sind zudem gesetzliche Regelungen bei der Dokumentation von Verdachtsfällen zu beachten.

2. Datenschutzrechtliche Bedenken am Gesetz

Im Rahmen des Cannabis-Gesetzes müssen die Anbauvereinigungen oder auch Cannabis Social Clubs umfassende Dokumentationspflichten erfüllen. Zu den zu speichernden Daten gehören Namen, Geburtsdaten, Adressen sowie jedes Mal, wenn Cannabis bezogen wird, das Datum, die Menge und der THC-Gehalt. Diese Daten müssen fünf Jahre verwahrt werden.

Kritiker wie David Werdermann von der Gesellschaft für Freiheitsrechte bemängeln, dass die umfassende Dokumentationspflicht einer privaten Vorratsdatenspeicherung gleichkomme und eine Einladung zum Missbrauch sei. Vor allem für Versicherungen, Arbeitgeber und Datenhandel sind diese Informationen von großem Interesse. Dabei sind die Daten so sensibel, dass sie Menschen Job und Reputation kosten können. Daher hätte sich Werdermann strengere Vorgaben für die Datensicherheit gewünscht, wenn so umfassende Dokumentationspflichten vorgeschrieben werden. Dass der Datenschutz bei der Gesetzgebung eine untergeordnete Rolle gespielt hat, zeigt sich unter anderem in den strengen Anforderungen für die Anbauvereinigungen ‒ darunter Umzäunungen und einbruchssichere Fenster und Türen. Konkrete Vorgaben für die IT-Sicherheit gibt es dagegen nicht.

Doch nicht nur bei den Vereinen selbst können Daten durch Unachtsamkeit, Hacking oder andere Lecks abfließen. Hinzu kommt, dass das Gesetz staatlichen Behörden weitreichenden Zugriff auf die dokumentierten Daten einräumt. Landesbehörden sind für die regelmäßige Kontrolle der Clubs zuständig, dürfen die Dokumente kopieren und persönliche Daten bis zu zwei Jahre speichern. Auch an Sicherheitsbehörden können diese Daten weitergeleitet werden, sollte es zu Ordnungswidrigkeiten oder Straftaten kommen. Das heißt, selbst bei Falschparken könnte die Polizei die Daten anfordern. Sogar Daten von potenziellen Zeugen dürfen herausgegeben werden. Und das ohne Anfangsverdacht, Richtervorbehalt oder sonstige rechtsstaatliche Sicherungsmechanismen.

Gerade in Bayern dürften viele Menschen vor der Registrierung in einem Cannabis Social Club zurückschrecken. Ministerpräsident Söder hatte zuletzt eine sehr restriktive Anwendung des Gesetzes angekündigt. Viele rechnen deshalb mit Repressionen. Steffen Geyer vom Dachverband deutscher Cannabis Social Clubs (CSCD) fürchtet beispielsweise bundesweit Probleme mit Führerscheinstellen. Auch Abfragen im Rahmen von Verbeamtungen, durch die Bundeswehr bzw. andere Dienststellen oder im Zuge von Disziplinarangelegenheiten wären denkbar.

Oliver Waack-Jürgensen vom CSCD: „Der legale Weg scheint vielen so zu riskant. Dadurch wird es schwieriger, den Schwarzmarkt auszutrocknen, so wie das Gesetz es eigentlich will.“ Denn: Beim Dealer ist im Zweifel mehr Datenschutz.

3. Datenschutzpanne in Cannabis-Software

Was viele Datenschützende fürchten, ist dann auch tatsächlich eingetreten: eine Datenschutzpanne, bei der sensible Informationen öffentlich wurden.

Um den gesetzlichen Dokumentationspflichten gerecht zu werden, gibt es auf dem Markt bereits eine Vielzahl an Software-Lösungen speziell für Cannabis Social Clubs. So auch die Software „Canguard“ der Firma ThingBring. „Euer Club, eure Daten“ ‒ so das Versprechen. Nach einem Datenleck heißt es wohl eher: eure Daten für alle einsehbar. Denn Namen, Geburtsdaten und weitere sensible Daten von hunderten Clubmitgliedern waren öffentlich einsehbar. Außerdem konnten Dritte die Konten bearbeiten und technisch sogar übernehmen.

Nun will ThingBring die Sicherheitsstandards überprüfen und mögliche Konsequenzen einleiten. Eine fristgerechte Meldung bei der Aufsichtsbehörde sei laut Geschäftsführer Lennart Schneider versäumt worden. Diese wurde allerdings nachgereicht und die Software offline genommen.

Aufgedeckt wurde das Leck durch das Kollektiv „Zerforschung“, dass daraufhin das Unternehmen informierte. Das Kollektiv ist der Ansicht: „Wenn ein Produkt marktreif genug ist, um Kunden-Daten zu speichern, muss es auch reif genug sein, diese für sich zu behalten“. Auch Zerforschung kritisiert das Cannabis-Gesetz und betont die Bedeutung von Datensparsamkeit ‒ wie sie auch von der DSGVO gefordert wird. Daten, die gar nicht erst gesammelt und verarbeitet werden, können auch nicht öffentlich werden.

4. Fazit

Die Teillegalisierung von Cannabis in Deutschland bringt nicht nur Veränderungen im sozialen und rechtlichen Umgang mit der Substanz mit sich, sondern auch komplexe Herausforderungen im Bereich Datenschutz und Arbeitssicherheit. Hier sind zudem weitergehende Gesetze und Dokumentationspflichten zu berücksichtigen ‒ wie z. B. Jugendschutz, Gefahrgut oder Vorschriften aus dem Bereich des öffentlichen Dienstes. Sollten sich hier schwerwiegende Probleme ergeben, ist es möglich, dass das Cannabis-Gesetz im Rahmen der Evaluation nach 18 Monaten entsprechend angepasst wird.

Die jüngsten Datenschutzpannen zeigen, wie wichtig es ist, dass alle Beteiligten ‒ von Softwareanbietern über Cannabis-Clubs bis hin zu den Aufsichtsbehörden ‒ höchste Standards an Datenschutz und Sicherheit anlegen.

Quellen

• Felisiak, Michaela Dr. und Dr. Dominik Sorber (2024): „(K)ein Joint im Job. Cannabis im Arbeitsleben“, Legal Tribune Online, 17. April 2024, https://www.lto.de/recht/hintergruende/h/arbeitsrecht-cannabis-joint-bier-rausch-verboten-betriebsvereinbarungen/, letzter Zugriff am 22. April 2024.

• Laufer, Daniel und Carla Spangenberg (2024): „Datenleck bei Plattform für Cannabis-Clubs“, tagesschau, 5. April 2024, https://www.tagesschau.de/investigativ/kontraste/cannabis-clubs-daten-100.html, letzter Zugriff am 22. April 2024.

• Reuter, Markus (2024): „Beim Dealer ist mehr Datenschutz“, Netzpolitik.org, 28. Februar 2024, https://netzpolitik.org/2024/legalisierung-beim-dealer-ist-mehr-datenschutz/, letzter Zugriff am 22. April 2024.

• Rudl, Thomas und Markus Reuter (2024): „Datenschutzalbtraum Legalisierung“, Netzpolitik.org, 28. Februar 2024, https://netzpolitik.org/2024/kiffer-listen-datenschutzalbtraum-legalisierung/, letzter Zugriff am 22. April 2024.

• Zerforschung (2024): „Seit dem 1. April ist Bubatz legal, Datenlecks aber weiterhin nicht“, 5. April 2024, https://zerforschung.org/posts/canguard/, letzter Zugriff am 22. April 2024.