Abgabemenge, THC-Gehalt, persönliche Infos. Cannabis Clubs müssen viele Daten über ihre Mitglieder sammeln. Ein Datenleck zeigt: Das ist keine gute Idee.
Dicke Tüte, viele Daten: Cannabis Clubs müssen die Abgabemengen ihrer Mitglieder aufzeichnen Foto: Fabian Sommer/dpa
Die Nachricht kommt nicht überraschend, aber sie kommt überraschend schnell: Das Hacker:innenkollektiv Zerforschung hat eine gravierende Sicherheitslücke bei einem der Anbieter von Software für Cannabis-Clubs aufgedeckt. Daten wie Vor- und Nachnamen, E-Mail-Adressen, Geburtsdaten, Postleitzahlen und Registrierungszeitpunkte waren für Unbefugte einsehbar.
Ein paar Monate später, und es wären mutmaßlich noch eine ganze Reihe mehr an Daten gewesen: Denn wenn ab Juli die sogenannten Anbauvereinigungen ihre Mitglieder mit Stoff versorgen dürfen, dann haben sie die Abgabe umfassend zu dokumentieren. Personenbezogen müssen jeweils Abgabedatum, -menge und THC-Gehalt verzeichnet und für fünf Jahre aufbewahrt werden.
Ein gut laufender Club wird so innerhalb kurzer Zeit ordentliche Datenberge anhäufen. Datenberge, auf die übrigens auch Behörden Zugriffsrechte haben.
Ein Argument für den Eigenanbau – oder für den Schwarzmarkt
Angesichts dessen, dass Cannabiskonsum gesellschaftlich, rechtlich und politisch noch längst nicht in die Kategorie Ich-hab-doch-nichts-zu-verbergen gehört, sind die umfangreichen behördlichen Befugnisse ein Argument für den Eigenanbau – oder für den Schwarzmarkt, den die neue Gesetzeslage doch eigentlich austrocknen sollte.
Dazu kommt: Man darf davon ausgehen, dass dieses nur das erste bekannt gewordene und ganz sicher nicht das letzte Leck war. Denn das Gesetz legt den Fokus ganz klar auf umfassende Datenspeicherung und nicht auf die Sicherheit der verwahrten Daten und schon gar nicht auf Sparsamkeit. Ganz offensichtlich nicht mitgedacht wurde, dass die Speicherung persönlicher Daten immer Begehrlichkeiten weckt – und dass es keine absolute technische Sicherheit gibt.
Dabei muss es gar nicht mal um Konsumgewohnheiten gehen: Schon wenn Name und Geburtsdatum in falsche Hände geraten, kann das zu einem echten Problem werden. Denn selbst, wenn der Anbieter eine gefundene Sicherheitslücke schnell schließt – die Folgen zum Beispiel eines Identitätsdiebstahls sind für die Betroffenen über Jahre spürbar.
