Zum Hauptinhalt springen

Datenschutz-Checkliste für Cannabis Social Clubs

Datenschutz Checkliste

Im Alltag eines Cannabis Social Clubs werden täglich sensible Daten verarbeitet - von Mitgliederdaten über Bankinformationen bis hin zu internen Abläufen. Jeder unbefugte Zugriff oder jede unbedachte Weitergabe von Daten kann das Vertrauen eurer Mitglieder dauerhaft schädigen.

Worum es in dieser Liste geht

Diese Checkliste soll euch als Cannabis Social Club helfen, Datenschutz effektiv umzusetzen.

Datenschutzanforderungen sind zwar öffentlich bekannt, aber können schnell erschlagend wirken. Schaut man genauer hin, erkennt man jedoch schnell, dass die einzelnen Anforderungen Sinn machen und in der Summe helfen, bewusst mit Daten und ihrer Verarbeitung umzugehen.

Wir haben euch daher hier eine einfach zu greifende Checkliste zusammengestellt, um euch einen roten Faden zu bieten und den Datenschutz in eurem CSCs hoch zu halten.

Wichtig: Diese Liste ersetzt keine Auseinandersetzung mit dem Thema oder der Beratung von Profis. Informiere dich selbst und hole dir Unterstützung, wenn du nicht weiter weißt.

✅ Datenschutz-Checkliste

1. Rechtsgrundlage prüfen

Datenschutz beginnt immer mit dem Gesetz. Prüft sorgfältig, welche Vorschriften für euch gelten, und versteht, wofür sie gedacht sind. Alle Gesetze sind öffentlich einsehbar und gerade wenn es um die DSGVO geht, mangelt es nicht an weiteren Informationen.

Dokumentiert, welche Gesetze für euch relevant sind, welche Daten ihr sammeln müsst und welche Rechtsgrundlage ihr für die Datenverarbeitung benötigt.

Anbauvereinigungen verarbeiten gemäß KCanG personenbezogene Daten ihrer Mitglieder und unterliegen strengen regulatorischen Anforderungen. Die DSGVO-Konformität ist dabei selbstverständlich erforderlich.

Konkret sind u.A. folgende rechtliche Grundlagen relevant:

  • EU-Datenschutz-Grundverordnung (DSGVO)
  • Bundesdatenschutzgesetz (BDSG)
  • Landesdatenschutzgesetze (LDSG)
    • Manche Bundesländer haben eigene Datenschutzgesetze oder Konkretisierungen, die zusätzlich gelten können.
  • Konsumcannabisgesetz (KCanG) und zugehörige Verordnungen
  • Digitale-Dienste-Gesetz (DDG)
  • Bürgerliches Gesetzbuch (BGB)

  • Prüfen, auf welcher Rechtsgrundlage Daten verarbeitet werden müssen
  • Prüfen, welche Daten ihr verarbeiten müsst und welche nicht
  • Gesetzliche Pflichten beachten und intern dokumentieren
  • Einwilligungen ausdrücklich einholen (z. B. Fotos)
  • Einwilligungen dokumentieren und sicher aufbewahren

2. Nötige Dokumente erstellen

Für den korrekten Aufbau des Datenschutzes in eurem Club sind meist mehrere Dokumente erforderlich. Diese unterstützen eine strukturierte Vorgehensweise und ermöglichen es, jederzeit auf benötigte Informationen zugreifen zu können.

  • Impressum auf allen Kanälen (nach DDG, mit Vereinsangaben & Ansprechpartner)
  • Datenschutzerklärung (inkl. Hinweise zu Cookies, Tracking, Mitgliedsdaten etc.)
  • Mitgliedsantrag (mit Datenschutzhinweisen und ggf. Einwilligungen kombiniert)
  • Einwilligungserklärungen (z. B. Fotos, Newsletter, WhatsApp/Signal-Gruppen etc.)
  • SEPA-Mandat (enthält personenbezogene Daten, muss sicher aufbewahrt werden)
  • Lösch- & Aufbewahrungskonzept (z. B. wie lange Mitgliedsdaten gespeichert werden)

3. Interne Dokumentation erstellen

Zusätzlich zu den ohnehin erforderlichen Standarddokumenten kann es notwendig (und generell empfehlenswert) sein, weitere interne Dokumente zu erstellen, um sich intensiver mit dem Thema Datenschutz auseinanderzusetzen.

  • Verzeichnis der Verarbeitungstätigkeiten (VVT) - Dieses Dokument ist sinnvoll, weil es euch einen Überblick gibt, welche personenbezogenen Daten ihr im Club verarbeitet, zu welchem Zweck und mit welchen Schutzmaßnahmen. Es hilft, Datenschutzpflichten strukturiert zu erfassen, Risiken zu erkennen und bei Nachfragen von Behörden oder Mitgliedern schnell Auskunft geben zu können.

  • Datenschutz-Folgenabschätzung (DSFA) - Dieses Dokument hilft euch, potenzielle Risiken in Bezug auf den Datenschutz zu analysieren und einen Handlungsplan zu entwerfen. Die Rückschlüsse aus der Erstellung eines solchen Dokuments helfen euch den Datenschutz gezielt zu verbessern.

Wichtig

Beide Dokumente sind interne Nachweise zur DSGVO-Compliance. Sie müssen nicht veröffentlicht werden, sondern nur bereitgehalten und auf Anfrage der Datenschutzbehörde vorgelegt werden.

Hinweis

Bei Cannanas liegen diese Dokumente selbstverständlich auch vor und werden fortlaufend aktualisiert.

4. Digitale Prozesse und Software prüfen

Egal wie die Verarbeitung der Daten bei euch aussieht, sie wird früher oder später in irgendeiner Form digital stattfinden. Das beginnt schon mit der ersten Nachricht bei WhatsApp oder der Excel-Tabelle in der Cloud. Digitales Arbeiten ist schlichtweg einfacher und mehr als zeitgemäß. Plant das also von vornherein ein und bereitet den Datenschutzkonformen Betrieb vor.

Prüft eure eingesetzte Software und setzt euch mit den notwendigen Dokumenten wie Datenschutzerklärung und AVV + TOM auseinander.

  • Nötige Software identifizieren (Wo werden Daten gespeichert, wie wird mit den Mitgliedern kommuniziert)
  • Datenschutz Dokumente der Software prüfen
  • Datenschutz Dokumente des Clubs ggf. aktualisieren
tipp

Cannanas stellt euch alle nötigen Dokumente (Datenschutzerklärung, AVV, TOM) zur Verfügung und kümmert sich um regelmäßige Updates. Du findest sie in deinem Account unter "Einstellungen" > "Datenschutz".

5. Finanzdaten sicher behandeln

Meistens weniger im Zusammenhang mit Datenschutz erwähnt, aber nicht weniger relevant. Stellt ihr Rechnungen oder Belege aus, enthalten diese ggf. Namen oder Informationen zum Konsum von Mitgliedern. Auch diese sollten also vor Dritten geschützt werden.

  • Zugriff auf Finanzdaten minimieren - Nur Personen, die diese Daten wirklich benötigen, sollten Zugriff darauf haben.
  • Kommunikation mit Steuerberater:innen sicherstellen - Klärt, wie ihr Daten sicher austauschen könnt (z. B. verschlüsselte E-Mails, sichere Cloud-Dienste).
  • Konto Informationsdienste - Achtet bei der Verwendung von Kontoanbindungen darauf, dass eure Software (bzw. ihre Dienstleister) die nötigen Lizenzen besitzen, um euch diesen Service anzubieten.
Hinweis

Cannanas setzt für die Verarbeitung von Kontoinformationen auf einen Dienstleister mit eigener PSD2 Lizenz, die sicherstellt, dass eure Kontodaten sicher und rechtskonform verarbeitet werden.

6. Zugriff nur mit Berechtigung

Software bietet den klaren Vorteil strenger Zugriffsrechte und Audit-Trails. Nur wer Daten wirklich benötigt, erhält Zugriff, und jede Änderung wird protokolliert. Professionelle Software ermöglicht es euch, Zugriffsrechte individuell zu steuern und Daten gezielt freizugeben.

  • Unterschiedliche Rollen im Club identifizieren (Vorstand, Mitglied, Schatzmeister:innen, Grower:innen, etc.)
  • Zugriffsrechte für jede Rolle definieren (Wer darf welche Daten sehen und bearbeiten?)
tipp

Teste Rollen mit dem Cannanas "Rollen-Simulator". So kannst du genau sehen, welche Daten und Funktionen für jede Rolle sichtbar sind.

7. Physische Unterlagen und Datenträger schützen

Obwohl Stift und Papier auf den ersten Blick sicher erscheinen mögen, können sie leicht in die falschen Hände geraten. Daher müssen solche Unterlagen immer in abschließbaren Schränken aufbewahrt werden. Mitgliedsanträge, Ausweise und Bankunterlagen sollten niemals offen zugänglich sein, sondern stets sicher verwahrt werden. Ebenso gilt das für physische Datenträger: USB-Sticks, externe Festplatten oder DVDs mit Backups oder anderen sensiblen Daten dürfen nicht ungesichert herumliegen. Diese sollten außerdem immer verschlüsselt und ebenfalls in einem abschließbaren Schrank oder Tresor aufbewahrt werden.

  • Sicherheitsschrank für “offline” Unterlagen und Daten
  • Datenträger zusätzlich verschlüsseln (z. B. USB-Sticks, externe Festplatten)
  • Vor der Entsorgung von physischen Datenträgern diese immer löschen bzw. schreddern.

8. Arbeitsplatz sichern und nie unbeaufsichtigt offen lassen

Euer Arbeitsplatz sollte grundsätzlich vor unbefugtem Zugriff geschützt sein. Da in der Abgabestelle oft mehrere Personen verschiedene Geräte nutzen, ist es besonders wichtig sicherzustellen, wer Zugang zu diesen Geräten hat.

  • Bildschirm sperren - Ob Büro-PC, Laptop oder Tablet - sperrt den Bildschirm, sobald ihr den Platz verlasst. So verhindert ihr, dass Unbefugte Einblick in Mitgliederdaten bekommen. Noch besser: richtet zusätzlich eine automatische Sperre ein, sodass sich euer Gerät nach kurzer Inaktivität von selbst mit Passwortschutz sperrt.
  • Nach der Arbeit ausloggen - Gerade bei gemeinsam genutzten Geräten solltet ihr euch nach der Arbeit immer ausloggen, um Missbrauch zu vermeiden – und damit im Audit Trail nachvollziehbar bleibt, wer was gemacht hat.
  • Starke Passwörter verwenden - Verwende lange Passwörter, Kombination aus Buchstaben, Zahlen und Sonderzeichen. Verwendet niemals dasselbe Passwort für verschiedene Zugänge.
tipp

Falls ein Gerät verloren geht oder gestohlen wird, gibt es in Cannanas die Möglichkeit, Nutzer:innen zentral abzumelden oder ihre Rollen direkt zu entfernen. So werden alle Zugriffsrechte sofort entzogen und Missbrauch verhindert.

9. Vorsichtiger Umgang mit personenbezogenen Daten

Schon kleine Unachtsamkeiten – eine falsch adressierte E-Mail oder ein ungesicherter Chat – können dazu führen, dass sensible Informationen in die falschen Hände geraten. Deshalb ist es wichtig, Daten nur dann weiterzugeben, wenn klar ist, wer sie erhalten darf, und diese Übermittlung so sicher wie möglich zu gestalten.

  • Auskunft zu Daten: Gib keine Auskunft zu Daten, wenn du dir nicht sicher bist, ob die Person dazu berechtigt ist. Frage eine dritte Person, wenn du dir unsicher bist.
  • Gruppen E-Mails und Gruppenchats vorsichtig nutzen: Sei besonders vorsichtig beim Versenden personenbezogener Daten per E-Mail an mehrere Mitglieder, in Gruppenchats oder ähnlichen Kanälen.
  • E-Mails überprüfen: Vor dem Versenden immer sorgfältig prüfen, ob der richtige Empfänger eingetragen ist und ob die Inhalte wirklich notwendig und passend sind.
  • Daten immer geschützt versenden: Personenbezogene Daten sollten immer verschlüsselt oder mit Passwortschutz verschickt werden – und wenn möglich anonymisiert. Das gilt sowohl innerhalb des Teams oder in Gruppenchats als auch bei der Weitergabe an Externe (z. B. Behörden).
tipp

Cananas hilft dir dabei: Mit nur einem Schalter kannst du Daten anonymisieren und dabei gesetzliche Vorgaben erfüllen. Das ist besonders praktisch für die vorgeschriebenen jährlichen Berichte, die an Behörden abgegeben werden müssen.

10. Sensibilisierung im Team und im Club

Datenschutz funktioniert nur, wenn alle an einem Strang ziehen. Schult daher alle Vorstände, Mitarbeitenden und Mitglieder regelmäßig im sicheren Umgang mit Daten. Achtet darauf, dass jedes Mitglied die Grundprinzipien versteht – vom richtigen Umgang mit Mitgliederdaten bis hin zur Vorsicht im digitalen Alltag.

Datenschutz ist eine Gemeinschaftsaufgabe.

tipp

Auch du als Mitglied solltest dich über deine Rechte und Pflichten informieren. So entsteht eine gemeinsame Kultur des Vertrauens und der Verantwortung.

Datenschutz-Checkliste – Kurzversion

  • Ich habe die relevanten Gesetze für meinen Club zur Hand.
  • Ich habe alle notwendigen Dokumente erstellt.
  • Ich habe interne Prozesse dokumentiert und geteilt.
  • Ich habe digitale Zugänge und Rollen abgesichert.
  • Ich habe physische Unterlagen und Datenträger geschützt.
  • Ich habe meinen Arbeitsplatz und meine Geräte gesichert.
  • Ich gehe verantwortungsvoll mit personenbezogenen Daten um.
  • Ich habe mein Team sensibilisiert.