Passwort Manager & Datenschutz – was setzt die DSGVO voraus?

Letztes Update:
23
.
04
.
2024
Lesezeit:
0
Min
Der Anspruch der DSGVO an Passwörter ist hoch. Passwort Manager ermöglichen es daher, bei vielen und komplexen Passwörtern den Überblick zu behalten. Welche Passwort Manager sind dabei für Unternehmen empfehlenswert?
Passwort Manager & Datenschutz – was setzt die DSGVO voraus?
Die wichtigsten Erkenntnisse
  • DSGVO fordert komplexe und sichere Passwörter.
  • Passwort Manager speichern Passwörter verschlüsselt.
  • Lokale Passwort Manager bieten höhere Sicherheit als Cloud-basierte.
  • Browser-integrierte Passwort Tools sind unsicher.
  • Unternehmen sollten Passwortrichtlinien erstellen und Passwort Manager nutzen.

Egal ob in Unternehmen oder bei Privatpersonen – werden Passwörter richtig und möglichst vielfältig verwendet, stehen wir alle vor einer regelrechten Passwortflut. Dabei wird es immer schwieriger, sich all die verschiedenen Passwörter zu merken. Da es keine Lösung ist, besonders einfache Passwörter (mehrfach) zu verwenden oder sie sich unverschlüsselt zu notieren, wird die Lösung eines Passwort Managers immer beliebter. Doch wie gut ist diese Lösung aus datenschutzrechtlicher Sicht?

Passwort Manager – hilfreiches Tool im Datenschutz? Und wie funktioniert ein Passwort Manager eigentlich?

Gute Passwort Manager stellen sicher, dass Sie sich Ihre Passwörter weder merken noch notieren müssen – denn sie werden in verschlüsselten Datenbanken gesichert. Bestenfalls sorgen auch eingebaute Generatoren für besonders sichere Passwörter, sollten Sie sich selbst keine erstellen wollen. Zur Aktivierung des Passwort Managers ist nur ein sogenanntes Master Passwort nötig. Dieses Passwort sperrt Ihren „Passwort-Tresor“ quasi auf und  sollte auf keinen Fall vergessen werden. Besonders um den strengen Kriterien der DSGVO gerecht zu werden, sollte bei sensiblen Zugängen auf Programme geachtet werden, die eine Zweifach-Authentifizierung vorsehen. Neben dem Passwort wird den Nutzer:innen in diesem Fall noch ein weiteres Erkennungskriterium abverlangt, zB. einen Fingerabdruck oder eine TAN, die per SMS verschickt wird.

Die Unterschiede bei Passwort Managern

Viele Passwort Tools synchronisieren die Passwörter automatisch auf allen benutzten Geräten (Computer, Smartphones, Tablets etc.) und speichern sie in einer Cloud. Fraglich ist, ob dieser Sicherung bedenkenlos vertraut werden kann. In puncto Sicherheit sind daher eher lokale Passwort Manager, die sich nicht mit der Cloud synchronisieren, zu bevorzugen. Der Speicherort der Passwörter bleibt in diesem Fall auf dem Gerät selbst anstatt in einer Cloud. Dadurch reduziert sich jedoch der Anwendungskomfort, weil Sie als User:in selbst dafür zu sorgen haben, die Passwörter beispielsweise auch am Smartphone bereit zu haben.

Die meisten Passwort Manager sind kostenpflichtig. Jedoch kann auch ein kostenloses Tool zuverlässig seine Dienste erfüllen. Besonders lokale Anbieter (ohne Synchronisation) sind in der Nutzung kostenfrei. Zu den besten Passwort Managern, die diesen Kriterien entsprechen, zählen etwa LastPass, Keeper Security und 1Passwort.

Davon abgesehen haben auch viele Browser ein Passwort Tool integriert. Von deren Verwendung ist allerdings abzuraten: Da Firefox, Safari, Chrome und Edge ohnehin ein häufiges Angriffsziel darstellen, sollten Passwort Manager und Browser voneinander entkoppelt sein. Noch dazu enthalten sie in der Regel auch keine Passwort Generatoren. Ein weiterer Punkt, der gegen die Verwendung der integrierten Passwort-Speicherung von Browsern spricht, ist die Tatsache, dass die Passwörter hier oft unverschlüsselt auf Ihrem Endgerät abgelegt werden. So können sie von Fachkundigen leicht ausgelesen werden – s. unsere Tipps für Datensparsamkeit beim surfen.

Die Wahl des richtigen Passwortes

Um mit der DSGVO in Einklang zu stehen, die den Schutz von personenbezogenen Daten durch entsprechende Zugangsbeschränkungen wie Passwörter fordert, sind Passwörter – vor allem in Unternehmen – so zu wählen, dass sie keine leichte Beute für Hacker:innen sind. Zu vermeiden sind demnach etwa Begriffe, die auf die Anwender:innen zurückführen sind, indem sie personenbezogene Daten wie Namen oder Geburtsdaten enthalten. Aber auch Abfolgen wie ABCD, 1234 und Ähnliches stellen keine sicheren Kennwörter dar! Ratsam ist es, eine Kombination zu wählen, die aus verschiedenen Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen besteht. Ein Passwort gilt außerdem als umso sicherer, je länger es ist. Besonders lange Passwörter von mehr als 24 Zeichen sind von Angreifer:innen selbst mit bester Technologie nur schwer zu entschlüsseln. Nicht mehr unumstritten ist die angebliche Regel zur regelmäßigen Änderung des Passwortes. Problematisch kann bei häufiger Änderung insbesondere sein, dass neue Passwörter leichter vergessen oder von Anfang an, in dem Wissen der baldigen Änderung, schwächer ausgewählt werden. Zumindest sollte eine Änderung aber sofort beim Verdacht einer Hackerattacke und sonst circa im Jahresrhythmus erfolgen. Bei vielen Betriebssystemen lässt sich dazu eine automatische Aufforderung einstellen.

Passwort-Manager für für Unternehmen

Spätestens seit Geltung der DSGVO ergibt es Sinn, sich vom Datenschutzbeauftragten in Unternehmen eine Passwortrichtlinie ausarbeiten zu lassen. Passwörter für gemeinsame Accounts sollten dabei niemals unverschlüsselt per E-Mail bzw. über einen Messenger zwischen den Mitarbeiter:innen verschickt werden. Ebenso sind Passwortlisten nicht in gemeinsam genutzten Ordnern auf dem Server oder in Google Drive ohne Verschlüsselung abzulegen. Hier kommt also schnell wieder der Passwort Manager ins Spiel.

Indem Sie sich von Ihrem betrieblichen Datenschutzbeauftragten ein entsprechendes Sicherheitskonzept erarbeiten lassen, stellen Sie sicher, diesen Aspekt der DSGVO regelkonform zu befolgen und Bußgelder sowie Abmahnungen zu vermeiden.

Zusammenfassend ist festzuhalten, dass ein zuverlässiger Passwort Manager den Vorgaben der DSGVO durchaus gerecht werden kann, da er streng verschlüsselte Passwörter generiert. Das Passwort zum Log-In sollte lang und mit Ziffern sowie mit Sonderzeichen versehen werden. Auch eine zumindest jährliche Änderung bewährt sich. Mit dem nötigen Bewusstsein für die Materie und mit Hilfe von Passwort Managern sollten die Vorgaben der DSGVO ohne besonderen Aufwand einzuhalten sein. Datenschutz und Passwort? Durchaus vereinbar!

Sie haben noch Fragen zum Thema? Lassen Sie sich jetzt kostenlos von unseren Expertinnen und Experten beraten.

Wenn Sie auf der Suche nach einem Partner sind, der Sie auf dem Weg zu Datenschutz und Informationssicherheit unterstützt, wenden Sie sich gern an unser Team aus erfahrenen Experten.
60+ Expertinnen und Experten
Beratung vereinbaren
Themen
Redaktion
Alexander Ingelheim
Co-Founder & CEO
Alexander Ingelheim ist Co-Gründer und CEO von Proliance. Sein Antrieb von Anfang an: Unternehmen bei den Hürden und Herausforderungen des Themas Datenschutz und der DSGVO zu unterstützen. Er bringt umfassende Erfahrungen aus seiner Tätigkeit in der internationalen Beratung mit, darunter Positionen bei Bregal Unternehmerkapital GmbH und McKinsey & Company. Darüber hinaus ist er zertifizierter Datenschutzbeauftragter (TÜV & DEKRA).
Zum Autorenprofil
Zum Expertenprofil
Über Datenschutzexperte
Ein Service der PROLIANCE GmbH.
Proliance steht für Professional Compliance für Unternehmen. Wir sind ein digital getriebenes Legal Tech Unternehmen mit Sitz in München - seit 2017 bestehend aus über 90 Privacy Enthusiasten.
Zu unseren mehr als 2.500 Kunden zählen Start-ups, mittlere Unternehmen und Unternehmensgruppen aus nahezu allen Branchen.
Über uns
Newsletter

Nichts mehr verpassen – Jetzt Ihren exklusiven Datenschutz-Newsletter abonnieren!