Ist das Konsumverhalten von Cannabis ein besonderes personenbezogenes Datum nach Artikel 9 DSGVO? Welche Konsequenzen zieht diese Einordnung nach sich?

Die Datenschutz-Grundverordnung (DSGVO) unterscheidet zwischen „normalen“ personenbezogenen Daten und besonderen Kategorien personenbezogener Daten („Artikel 9 DSGVO Daten“). Letztere verdienen aufgrund ihrer Sensibilität einen erhöhten Schutz. In diesem Artikel wird untersucht, ob Informationen über das Konsumverhalten von Cannabis unter die besonderen Kategorien personenbezogener Daten fallen.

Was sind besondere Kategorien personenbezogener Daten?

  • Definition: Artikel 9 Abs. 1 DSGVO umfasst besondere Kategorien personenbezogener Daten, die Rückschlüsse auf sensible Aspekte der betroffenen Person ermöglichen.
  • Beispiele dieser Kategorien:
  • Daten über Rasse oder ethnische Herkunft
  • Politische Meinungen
  • Religiöse oder weltanschauliche Überzeugungen
  • Gewerkschaftszugehörigkeit
  • Genetische und biometrische Daten zur Identifikation
  • Gesundheitsbezogene Daten
  • Daten zur sexuellen Orientierung oder zum Sexualleben
  • Schutzbedarf: Aufgrund des möglichen Missbrauchs bringen diese Daten erhebliche Risiken für die Rechte und Freiheiten der betroffenen Personen mit sich.
Weitere Informationen

Was umfasst der Begriff „gesundheitsbezogene Daten“?

  • Definition: Gesundheitsdaten sind in Erwägungsgrund 35 und Artikel 4 Nr. 15 DSGVO definiert.
  • Inhalt dieser Daten:
  • Informationen über den körperlichen oder geistigen Gesundheitszustand
  • Informationen über die Erbringung von Gesundheitsdienstleistungen
  • Daten, die Rückschlüsse auf den Gesundheitszustand zulassen (z. B. Krankheiten, Diagnosen)
  • Verhaltensweisen: Auch Drogenkonsum kann als gesundheitsbezogene Information betrachtet werden.

Cannabis-Konsumverhalten: Gesundheitsdaten oder nicht?

Ob das Konsumverhalten von Cannabis als besondere Kategorie personenbezogener Daten gilt, hängt von den Umständen ab:

  • a) Kontext des Konsums:
  • Medizinische Verwendung: Konsum im Rahmen einer ärztlichen Verschreibung -> klar als Gesundheitsdaten erkennbar.
  • Rekreativer Konsum: Könnte Rückschlüsse auf gesundheitliche Zustände zulassen, aber weniger eindeutig.
  • b) Rückschluss auf gesundheitliche Aspekte:
  • Auch ohne ärztliche Verschreibung könnte Cannabiskonsum Hinweise auf gesundheitliche Risiken geben.
  • c) Abgrenzung zu nicht-sensiblen Daten:
  • Konsumverhalten ohne Bezug zu Gesundheitsaspekten könnte als normale personenbezogene Daten eingestuft werden.

Argumente: Pro und Contra

  • Pro: Cannabiskonsum als Gesundheitsdatum
  1. Erwägungsgrund 35 DSGVO ergibt, dass Verhaltensdaten Rückschlüsse auf den Gesundheitszustand geben können.
  2. Weite Auslegung des Gesundheitsbegriffs in Artikel 4 Nr. 15 DSGVO.
  • Contra: Cannabiskonsum als normales Datum
  1. Neutralität des Konsums: Informationen ohne Gesundheitskontext könnten als nicht sensibel betrachtet werden.
  2. Fehlender Gesundheitsbezug: Freizeitkonsum ohne gesundheitliche Implikationen lässt keinen unmittelbaren Bezug zu Artikel 9 DSGVO erkennen.

Praktische Relevanz im Datenschutzkontext eines Cannabis Social Clubs

Für einen Cannabis Social Club sind folgende Szenarien relevant:

  • 1. Erhebung aus gesetzlicher Verpflichtung:
  • Daten könnten Rückschlüsse auf die Gesundheit der Mitglieder ermöglichen -> Einordnung als Gesundheitsdaten.
  • 2. Reine Mitgliedschaftsverwaltung:
  • Daten über die Mitgliedschaft ohne detaillierte Konsuminformationen gelten als normale personenbezogene Daten.
  • 3. Freiwillige Angabe von Konsumgewohnheiten:
  • Angaben zur Konsummenge oder -häufigkeit könnten potenziell Gesundheitsdaten betreffen.

Zwischenergebnis

Das Konsumverhalten von Cannabis könnte unter bestimmten Umständen als besonderes personenbezogenes Datum gemäß Artikel 9 DSGVO angesehen werden. Entscheidend ist, ob die erhobenen Daten Rückschlüsse auf den Gesundheitszustand zulassen:

  • Ja: Bei regelmäßiger oder medizinischer Nutzung.
  • Nein: Bei allgemeinen Angaben ohne Gesundheitsbezug.

Empfehlung: Cannabis Social Clubs sollten ihre Datenverarbeitung sorgfältig prüfen und eine konservative Interpretation wählen, um mehr Rechtssicherheit und Schutz für die betroffenen Personen zu gewährleisten.

Folgen der Einstufung des Konsumverhaltens von Cannabis als besonderes personenbezogenes Datum

Wenn das Konsumverhalten von Cannabis als besonderes personenbezogenes Datum gemäß Artikel 9 DSGVO eingestuft wird, hat dies erhebliche Auswirkungen auf die datenschutzrechtliche Verarbeitung und die organisatorischen Anforderungen. Die Einstufung als sensibles Datum erfordert besondere Sorgfalt und zusätzliche Maßnahmen, um den Schutz der betroffenen Daten zu gewährleisten. Im Folgenden werden die wichtigsten Konsequenzen dargelegt:

Rechtmäßigkeit der Verarbeitung und zusätzliche Anforderungen

  • Strenge Voraussetzungen: Die Verarbeitung besonderer personenbezogener Daten unterliegt den Bestimmungen des Art. 9 Abs. 1 und 2 DSGVO.
  • Verbot der Verarbeitung (Art. 9 Abs. 1 DSGVO): Grundsätzlich ist die Verarbeitung solcher Daten verboten, es sei denn, eine der Ausnahmen in Art. 9 Abs. 2 DSGVO liegt vor.
  • Mögliche Ausnahmen:
  • Ausdrückliche Einwilligung (Art. 9 Abs. 2 lit. a DSGVO): Der Cannabis Social Club (CSC) muss eine ausdrückliche, freiwillige und informierte Einwilligung einholen, bevor Daten über das Konsumverhalten verarbeitet werden dürfen.
  • Erfüllung gesetzlicher Verpflichtungen (Art. 9 Abs. 2 lit. g DSGVO): Wenn gesetzliche Vorgaben eine Verarbeitung erfordern, ist dies zulässig.
  • Folge: Ohne eine der genannten Rechtsgrundlagen darf der CSC keine Informationen über das Konsumverhalten erheben, speichern oder verarbeiten.

Pflicht zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten

  • Verzeichnispflicht: Gemäß Art. 30 DSGVO besteht für den CSC eine Pflicht zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten.
  • Inhalte des Verzeichnisses:
  • Zwecke der Verarbeitung: z. B. Verwaltung von Mitgliedschaften oder gesetzliche Dokumentation.
  • Kategorien betroffener Personen: Mitglieder des CSC.
  • Kategorien personenbezogener Daten: besondere Kategorien, sofern das Konsumverhalten Rückschlüsse auf den Gesundheitszustand zulässt.
  • Rechtsgrundlage der Verarbeitung: z. B. Einwilligung oder gesetzliche Verpflichtungen.
  • Empfänger: Behörden, Dienstleister etc.
  • Geplante Löschfristen: z. B. Löschung nach Austritt oder nach Ablauf gesetzlicher Aufbewahrungsfristen.
  • Technische und organisatorische Maßnahmen: z. B. Verschlüsselung, Zugriffsbeschränkungen.
  • Folge: Der CSC muss das Verzeichnis führen und regelmäßig aktualisieren. Versäumnisse können zu Bußgeldern gemäß Art. 83 Abs. 4 DSGVO führen.
Weitere Informationen

Pflicht zur Benennung eines Datenschutzbeauftragten

  • Erforderlichkeit: Gemäß Art. 37 Abs. 1 DSGVO ist die Benennung eines Datenschutzbeauftragten (DSB) erforderlich, wenn:
  1. Eine regelmäßige und systematische Überwachung betroffener Personen erforderlich ist.
  2. besondere Kategorien personenbezogener Daten in großem Umfang verarbeitet werden.
  • Relevanz für den CSC:
  • Wenn der CSC systematisch große Datenmengen über das Konsumverhalten verarbeitet, ist ein DSB zu benennen.
  • Bei vereinzelt verarbeiteten Daten ist ein DSB möglicherweise nicht erforderlich.
  • Folge: Der CSC sollte prüfen, ob der Umfang der Verarbeitung eine DSB-Benennung erfordert. Eine freiwillige Benennung kann ebenfalls erfolgt, um die Einhaltung der DSGVO zu fördern.

Verpflichtung zu Datenschutz-Folgenabschätzungen (DSFA) (Art. 35 DSGVO)

  • Erforderlichkeit: Eine DSFA ist nötig, wenn die Verarbeitung besonderer personenbezogener Daten ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen birgt.
  • Relevanz für den CSC:
  • Bei umfangreicher Verarbeitung sensibler Daten über Konsumgewohnheiten.
  • Bei automatisierter Verarbeitung (z. B. digitale Systeme).
  • Bei erhöhtem Risiko für Diskriminierung oder Missbrauch.
  • Inhalte der DSFA:
  • Bewertung der Risiken für die Betroffenen.
  • Geplante Maßnahmen zur Risikominderung (z. B. Verschlüsselung, Pseudonymisierung).
  • Folge: Der CSC muss prüfen, ob eine DSFA erforderlich ist. Diese muss vor der Datenverarbeitung durchgeführt und dokumentiert werden.
Weitere Informationen

Technische und organisatorische Maßnahmen (TOMs) (Art. 32 DSGVO)

  • Anforderungen: Die Verarbeitung besonderer personenbezogener Daten erfordert angemessene technische und organisatorische Maßnahmen zur Datensicherheit.
  • Relevante Maßnahmen für den CSC:
  • Zugriffsmanagement: Nur autorisierte Personen dürfen auf sensible Daten zugreifen.
  • Verschlüsselung: Alle Daten müssen verschlüsselt gespeichert und übertragen werden.
  • Pseudonymisierung: Anonymisierung oder Pseudonymisierung der Daten zur Vermeidung von Rückschlüssen auf Personen.
  • Regelmäßige Schulungen: Mitarbeitende sollten im Umgang mit sensiblen Daten geschult werden.
  • Folge: Der CSC muss die TOMs regelmäßig prüfen und anpassen, um ein hohes Sicherheitsniveau zu gewährleisten.
Weitere Informationen

Informations- und Dokumentationspflichten

  • Umfangreiche Anforderungen: Bei Verarbeitung besonderer Kategorien personenbezogener Daten bestehen umfangreiche Informations- und Dokumentationspflichten.
  • Transparenzpflichten (Art. 13 und 14 DSGVO):
  • Umfassende Information der Mitglieder in einer Datenschutzerklärung, insbesondere über:
    • Art der Daten (z. B. Gesundheitsdaten).
    • Rechtsgrundlage der Verarbeitung (z. B. Einwilligung).
    • Speicherdauer und Rechte der Betroffenen.
  • Protokollierung der Verarbeitung: Jede Verarbeitungstätigkeit muss dokumentiert werden, insbesondere Zugriffe auf sensible Daten.
  • Folge: Versäumnisse bei der Transparenz können als Verstöße gegen die DSGVO gewertet werden und erhebliche Bußgelder nach sich ziehen.

Sanktionen bei Verstößen

  • Bußgelder: Die Missachtung der Anforderungen bei der Verarbeitung besonderer Kategorien personenbezogener Daten kann zu hohen Bußgeldern führen:
  • Verstöße gegen die Grundsätze der Verarbeitung können mit Bußgeldern bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes geahndet werden.
  • Unzureichende technische oder organisatorische Maßnahmen können Bußgelder bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes nach sich ziehen.
Weitere Informationen

Konsequenzen der Einstufung als Art. 9 DSGVO Datum

Die Einstufung des Konsumverhaltens von Cannabis als besonderes personenbezogenes Datum gemäß Art. 9 DSGVO hat weitreichende Folgen für den Cannabis Social Club:

  • Strenge Voraussetzungen für die Verarbeitung, insbesondere eine ausdrückliche Einwilligung oder gesetzliche Verpflichtung.
  • Verpflichtung zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten.
  • Bei großer Datenmenge oder systematischer Verarbeitung ist die Benennung eines Datenschutzbeauftragten erforderlich.
  • Eine Datenschutz-Folgenabschätzung kann notwendig sein.
  • Der CSC muss umfangreiche Sicherheitsmaßnahmen und Transparenzpflichten umsetzen.

Ein sorgfältiges Datenschutzmanagement ist daher unverzichtbar, um rechtliche Risiken und Bußgelder zu vermeiden.

Umfassende Datenschutzberatung für Ihren CSC

Wir unterstützen Sie bei der Umsetzung der DSGVO und anderer Datenschutzbestimmungen.

Vertrauen Sie auf unsere Erfahrung und unser Know-how.

Beratung anfragen