Wir freuen uns auf Ihre Anfrage!

Telefon:

+49 89 / 250 039 220

Öffnungszeiten:

Mo. - Fr.: 09:00 - 18:00 Uhr

Digitales Schloss

Datenschutz & Passwort Manager - was setzt die DSGVO voraus?

Um persönliche Daten ausreichend zu schützen und Datendiebstahl vorzubeugen, ist ein sicheres Passwort nach der DSGVO unumgänglich. Vor allem Unternehmen wenden deshalb Passwort Manager an, welche v.a. bei mehreren Passwörtern behilflich sein können, den Überblick zu behalten.

Um persönliche Daten ausreichend zu schützen und Datendiebstahl vorzubeugen, ist ein sicheres Passwort nach der DSGVO unumgänglich. Vor allem Unternehmen wenden deshalb Passwort Manager an, welche v.a. bei mehreren Passwörtern behilflich sein können, den Überblick zu behalten. Dabei gilt es bei der Wahl eines sicheren Passwort Managers wichtige Voraussetzungen zu beachten.

Passwort Manager & DSGVO: was gibt es zu beachten?

Egal ob in Unternehmen oder bei Privatpersonen – heutzutage herrscht eine regelrechte Passwortflut. Es wird immer schwieriger, sich all die verschiedenen Passwörter zu merken. Wer dabei begriffen hat, dass es keine Lösung ist, besonders einfache Passwörter (mehrfach) zu verwenden oder sie sich unverschlüsselt zu notieren, greift oftmals auf einen Passwort Manager zurück. Doch wie gut ist diese Lösung aus datenschutzrechtlicher Sicht?

Passwort Manager – hilfreiches Tool im Datenschutz?

Passwort Manager stellen sicher, dass Sie sich Ihre Passwörter weder merken noch notieren müssen – denn sie werden in verschlüsselten Datenbanken gesichert. Bestenfalls sorgen auch eingebaute Generatoren für besonders sichere Passwörter. Zur Eingabe ist nur ein Master Passwort nötig – das sollten Sie allerdings auf keinen Fall vergessen. Besonders um den strengen Kriterien der DSGVO gerecht zu werden, sollte bei sensiblen Zugängen auf Programme geachtet werden, die eine Zweifach-Authentifizierung vorsehen. Neben dem Passwort wird dem Nutzer in diesem Fall noch ein weiteres Erkennungskriterium abverlangt.

Die Unterschiede bei Passwort Managern

Viele Passwort Manager synchronisieren die Passwörter automatisch auf allen benutzten Geräten (Computer, Smartphones, Tablets) und speichern sie in einer Cloud. Fraglich ist, ob dieser Sicherung bedenkenlos vertraut werden kann. In puncto Sicherheit sind daher eher lokale Passwort Manager, die sich nicht mit der Cloud synchronisieren, zu bevorzugen. Der Speicherort der Passwörter bleibt in diesem Fall auf dem Gerät selbst, statt in einer Cloud. Dafür reduziert sich jedoch der Anwendungskomfort, weil der User selbst dafür zu sorgen hat, seine Passwörter beispielsweise auch am Smartphone bereit zu haben.

Die meisten Passwort Manager sind kostenpflichtig. Jedoch kann auch ein kostenloses Tool zuverlässig seine Dienste erfüllen. Besonders lokale Anbieter (ohne Synchronisation) sind auch kostenfrei zu haben. Zu den bekannten Programmen zählen etwa LastPass, Keeper Security und 1Passwort.

Davon abgesehen haben auch viele Browser einen Passwort Manager integriert. Von deren Verwendung ist allerdings abzuraten: Da Firefox, Safari, Chrome und Edge ohnehin ein häufiges Angriffsziel darstellen, sollten Passwort Manager und Browser voneinander entkoppelt sein. Noch dazu enthalten sie in der Regel auch keine Passwort Generatoren.

Die Wahl des richtigen Passwortes

Um mit der DSGVO in Einklang zu stehen, sind Passwörter – vor allem in Unternehmen – so zu wählen, dass sie keine leichte Beute für Hacker sind. Zu vermeiden sind demnach etwa Begriffe, die auf den Anwender zurückführen sind (z. B. Namen, Geburtsdaten), aber auch Abfolgen wie ABCD, 1234 und Ähnliches. Ratsam ist es, eine Kombination zu wählen, die aus verschiedenen Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen besteht. Ein Passwort gilt außerdem als umso sicherer, je länger es ist. Besonders lange Passwörter von mehr als 24 Zeichen sind von Angreifern selbst mit bester Technologie nach Jahren kaum zu entschlüsseln. Nicht mehr unumstritten ist eine regelmäßige Änderung des Passwortes. Problematisch kann bei häufiger Änderung insbesondere sein, dass neue Passwörter leichter vergessen oder von Anfang an, in dem Wissen der baldigen Änderung, schwächer ausgewählt werden. Zumindest sollte eine Änderung aber beim Verdacht einer Hackerattacke und sonst im Jahresrhythmus erfolgen. Bei vielen Betriebssystemen lässt sich dazu eine automatische Aufforderung einstellen.

Sinnvolles für Unternehmen

Spätestens seit Geltung der DSGVO ergibt es Sinn, sich vom Datenschutzbeauftragten in Unternehmen eine Passwortrichtlinie ausarbeiten zu lassen. Passwörter für gemeinsame Accounts sollten dabei niemals unverschlüsselt per E-Mail oder über Messenger zwischen den Mitarbeitern verschickt werden. Ebenso sind Passwortlisten nicht in gemeinsam genutzten Ordnern auf dem Server oder in Google Drive ohne Verschlüsselung abzulegen. Hier kommt also schnell wieder der Passwort Manager ins Spiel.

Wichtig ist außerdem, dass bei Computern, aber auch bei Smartphones eine automatische Bildschirmsperre eintritt, wenn sie einige Zeit (z. B. 10 Minuten) nicht genutzt werden.

Indem Sie sich von Ihrem betrieblichen Datenschutzbeauftragten ein entsprechendes Sicherheitskonzept erarbeiten lassen, stellen Sie sicher, diesen Aspekt der DSGVO regelkonform zu befolgen und Bußgelder sowie Abmahnungen zu vermeiden. Sollten Sie in diesem Bereich Unterstützung benötigen, sind unsere Datenschutz-Profis gerne für Sie da.

Zusammenfassend ist festzuhalten, dass ein zuverlässiger Passwort Manager den Vorgaben der DSGVO durchaus gerecht werden kann, da er streng verschlüsselte Passwörter generiert. Das Passwort zum Log-In sollte lang und mit Ziffern sowie mit Sonderzeichen versehen werden. Auch eine zumindest jährliche Änderung bewährt sich. Mit dem nötigen Bewusstsein für die Materie und mit Hilfe der Passwort Manager sollte die DSGVO ohne besonderen Aufwand einzuhalten sein. Datenschutz und Passwort? Durchaus vereinbar!