Das Kassensystem Nefos/PuffPal für Cannabis-Clubs hat rund eine Million Reisepässe und Ausweisfotos ungeschützt im Netz hinterlassen. Für die über 1.000 aktiven Cannabis-Clubs in Deutschland ist der Vorfall kein spanisches Problem, sondern ein direktes Haftungssignal.

drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügen

Hand aufs Herz: Seit der Cannabis-Legalisierung im April 2024 erheben deutsche Clubs täglich Ausweisdaten ihrer Mitglieder, weil das Gesetz das verlangt. Doch kaum ein Clubbetreiber hat geprüft, ob die Kassensoftware, an die diese Pflicht ausgelagert wurde, sicher genug für Passfotografien hunderttausender Menschen ist.

Das Wichtigste in Kürze

  • Das Backend CCS Nube von Nefos Solutions hat Ausweisfotos unter vorhersagbaren, öffentlich abrufbaren URLs abgelegt, ohne jede Zugangskontrolle.
  • Cannabis-Clubs in Deutschland und Spanien tragen als datenschutzrechtlich Verantwortliche die volle DSGVO-Haftung, auch wenn der Fehler beim Dienstleister lag.
  • Der Vorfall reiht sich in eine Serie von Supply-Chain-Datenlecks aus dem ersten Halbjahr 2026 ein, die regulierte Branchen mit Ausweispflicht besonders hart trifft.
  • Drei konkrete To-dos: AVV prüfen, Datensparsamkeit durchsetzen, Breach-Response-Plan aufsetzen.

Warum lagen eine Million Pässe frei im Netz?

Pässeturm mit „Datenleck“-Notiz, offenem Pass, Brecheisen und Schild „Öffentlich Zugänglich“
Nefos speicherte Ausweisfotos unter vorhersagbaren URLs ohne Authentifizierung, sodass Millionen Bilder frei abrufbar waren

Das Sicherheitsversagen von Nefos ist kein gewöhnlicher Hack, sondern ein Architekturdefekt. Das Backend-System CCS Nube hat Ausweisfotos unter vorhersagbaren URLs nach dem Schema ccsnubev2.com/v8/images/{club}/ID/{user_id}-front.jpg gespeichert: sequenzielle Mitglieds-IDs, kein Auth-Token, kein Session-Cookie, kein API-Key. Jedes Bild war für jedermann abrufbar, der die URL-Struktur kannte. Zusätzlich lag ein Stripe-Secret-Key im Klartext in der PuffPal-App, und das Admin-Portal war mit trivialen Passwörtern öffentlich erreichbar. Kein Einzelversagen, sondern ein Systemdesign ohne jede Sicherheitsebene, wie The Verge berichtet hat.

Der strukturell entscheidende Fehler liegt eine Ebene tiefer: Cannabis-Clubs haben ihre gesetzlich vorgeschriebene Identitätsprüfung vollständig an Nefos ausgelagert, ohne zu prüfen, ob der Auftragnehmer nach Art. 28 DSGVO ausreichend gesichert ist. Ein Supply-Chain-Datenschutzversagen in Reinform, und die Clubs als Verantwortliche tragen trotzdem die volle Haftung. Vergleichbare Fälle zeigen dieselbe Schwachstelle: beim Cyberangriff auf die Uniklinik Freiburg waren fehlende Drittanbieter-Audits die Hauptursache, beim Unimed-Hack hat sich dasselbe Muster mit 120.000 betroffenen Patientendaten wiederholt.

Ist das ein Einzelfall oder ein Branchenmuster?

Geöffneter Reisepass, aus dem kleine Dokumente quellen, auf weißem Hintergrund
Cannabis-Branche: Wiederholte Datenpannen bei THSuite (30.000 Datensätze), Stiiizy (420.000 Kundenpässe) und Nefos durch unsichere Cloud-Speicherung und schwache Drittanbieter-Sicherheit

Der Nefos-Vorfall steht nicht allein. In der Cannabis-Branche hat bereits 2020 der THSuite-Breach 30.000 Datensätze in einem unverschlüsselten AWS-Bucket offengelegt, 2025 hat der Stiiizy-Vorfall über 420.000 Kundenpässe betroffen. Das Strukturmuster ist identisch: regulierte Branche mit gesetzlicher Ausweispflicht, Auslagerung an Drittanbieter mit schwacher IT-Sicherheitsreife, maximaler Schaden. Im April 2026 hat dasselbe Muster den französischen Ausweisdienstleister ANTS getroffen (11,7 Millionen Konten), den US-Rechtstech-Anbieter DocketWise (116.666 Immigrationsakte mit Passdaten) und einen Texas-Parks-Drittanbieter (3 Millionen Führerschein- und Passnummern). Supply-Chain-Kompromisse haben das gesamte erste Halbjahr 2026 als führende Angriffskategorie dominiert.

Ein AVV auf Papier schützt niemanden. Clubbetreiber müssen nachweisen, dass ihr Kassensystem-Anbieter tatsächlich sicher ist, nicht nur, dass ein Vertrag existiert.

— Michael Dobler, Herausgeber Dr. Web

Was müssen deutsche Cannabis-Clubs jetzt konkret tun?

Zwei Cannabis-Joints liegen auf einem roten deutschen Reisepass vor weißem Hintergrund
Clubbetreiber haften direkt nach DSGVO. 45-Millionen-Euro-Bußgeld zeigt: Mangelnde AVV-Kontrolle und verfehlte 72-Stunden-Meldepflicht führen zu hohen Strafen

Die DSGVO-Haftung trifft jeden Clubbetreiber direkt. Ein Auftragsverarbeitungsvertrag allein reicht nicht, wie das 45-Millionen-Euro-Bußgeld im BfDI-Tätigkeitsbericht 2025 zeigt: 15 Millionen Euro davon sind auf mangelhafte AVV-Kontrolle entfallen. Der Nefos-Gründer hat die 72-Stunden-Meldepflicht nach Art. 33 DSGVO nach eigener Aussage klar verfehlt, eine Frist, die auch für Clubbetreiber gilt, die erst durch Dritte von einem Leck erfahren. Beim Microsoft-365-Copilot-Vorfall ist dieselbe Meldepflicht prominent diskutiert worden.

Drei To-dos für DACH-Entscheider, die Kassensoftware mit Ausweisdaten betreiben:

  • AVV mit dem Kassensoftware-Anbieter sofort auf Art.-28-Konformität prüfen und Sicherheitsnachweise wie ISO 27001, BSI C5 oder aktuelle Pen-Test-Ergebnisse einfordern.
  • Datensparsamkeit durchsetzen: Ein Passport-Scan-Foto ist für die Alterskontrolle nicht zwingend notwendig, Ausweisnummer und Geburtsdatum reichen aus.
  • Breach-Response-Plan aufsetzen, damit die 72-Stunden-Meldepflicht gegenüber der zuständigen Landesdatenschutzbehörde auch dann eingehalten werden kann, sofern das Leck beim Dienstleister liegt.

Die Cybersecurity-Grundlagen für KMU zeigen, wie Betreiber regulierter Branchen ihre Drittanbieter strukturiert prüfen. Das Cybersecurity-Glossar erklärt die relevanten Begriffe von AVV bis Zero-Trust kompakt. Zur weiterführenden Einordnung der Betreiberhaftung nach DSGVO Art. 33 lohnt sich ein Blick auf den Prompt-Injection-Test, der dieselbe Haftungsfrage aus KI-Perspektive beleuchtet.

Für deutsche Cannabis-Clubs gilt: Die Legalisierung hat eine neue Datenschutzpflicht geschaffen, die bislang kaum jemand ernst genommen hat. Der Nefos-Fall macht aus einem abstrakten Compliance-Thema ein konkretes Bußgeldrisiko.

Mehr Newshunger?

4,6 15 Bewertungen

Wie hat Ihnen dieser Artikel gefallen?