Passwort Manager & Datenschutz – was setzt die DSGVO voraus?

Egal ob in Unternehmen oder bei Privatpersonen – werden Passwörter richtig und möglichst vielfältig verwendet, stehen wir alle vor einer regelrechten Passwortflut. Dabei wird es immer schwieriger, sich all die verschiedenen Passwörter zu merken. Da es keine Lösung ist, besonders einfache Passwörter (mehrfach) zu verwenden oder sie sich unverschlüsselt zu notieren, wird die Lösung eines Passwort Managers immer beliebter. Doch wie gut ist diese Lösung aus datenschutzrechtlicher Sicht?

Passwort Manager – hilfreiches Tool im Datenschutz? Und wie funktioniert ein Passwort Manager eigentlich?

Gute Passwort Manager stellen sicher, dass Sie sich Ihre Passwörter weder merken noch notieren müssen – denn sie werden in verschlüsselten Datenbanken gesichert. Bestenfalls sorgen auch eingebaute Generatoren für besonders sichere Passwörter, sollten Sie sich selbst keine erstellen wollen. Zur Aktivierung des Passwort Managers ist nur ein sogenanntes Master Passwort nötig. Dieses Passwort sperrt Ihren „Passwort-Tresor“ quasi auf und  sollte auf keinen Fall vergessen werden. Besonders um den strengen Kriterien der DSGVO gerecht zu werden, sollte bei sensiblen Zugängen auf Programme geachtet werden, die eine Zweifach-Authentifizierung vorsehen. Neben dem Passwort wird den Nutzer:innen in diesem Fall noch ein weiteres Erkennungskriterium abverlangt, zB. einen Fingerabdruck oder eine TAN, die per SMS verschickt wird.

Die Unterschiede bei Passwort Managern

Viele Passwort Tools synchronisieren die Passwörter automatisch auf allen benutzten Geräten (Computer, Smartphones, Tablets etc.) und speichern sie in einer Cloud. Fraglich ist, ob dieser Sicherung bedenkenlos vertraut werden kann. In puncto Sicherheit sind daher eher lokale Passwort Manager, die sich nicht mit der Cloud synchronisieren, zu bevorzugen. Der Speicherort der Passwörter bleibt in diesem Fall auf dem Gerät selbst anstatt in einer Cloud. Dadurch reduziert sich jedoch der Anwendungskomfort, weil Sie als User:in selbst dafür zu sorgen haben, die Passwörter beispielsweise auch am Smartphone bereit zu haben.

Die meisten Passwort Manager sind kostenpflichtig. Jedoch kann auch ein kostenloses Tool zuverlässig seine Dienste erfüllen. Besonders lokale Anbieter (ohne Synchronisation) sind in der Nutzung kostenfrei. Zu den besten Passwort Managern, die diesen Kriterien entsprechen, zählen etwa LastPass, Keeper Security und 1Passwort.

Davon abgesehen haben auch viele Browser ein Passwort Tool integriert. Von deren Verwendung ist allerdings abzuraten: Da Firefox, Safari, Chrome und Edge ohnehin ein häufiges Angriffsziel darstellen, sollten Passwort Manager und Browser voneinander entkoppelt sein. Noch dazu enthalten sie in der Regel auch keine Passwort Generatoren. Ein weiterer Punkt, der gegen die Verwendung der integrierten Passwort-Speicherung von Browsern spricht, ist die Tatsache, dass die Passwörter hier oft unverschlüsselt auf Ihrem Endgerät abgelegt werden. So können sie von Fachkundigen leicht ausgelesen werden – s. unsere Tipps für Datensparsamkeit beim surfen.

Die Wahl des richtigen Passwortes

Um mit der DSGVO in Einklang zu stehen, die den Schutz von personenbezogenen Daten durch entsprechende Zugangsbeschränkungen wie Passwörter fordert, sind Passwörter – vor allem in Unternehmen – so zu wählen, dass sie keine leichte Beute für Hacker:innen sind. Zu vermeiden sind demnach etwa Begriffe, die auf die Anwender:innen zurückführen sind, indem sie personenbezogene Daten wie Namen oder Geburtsdaten enthalten. Aber auch Abfolgen wie ABCD, 1234 und Ähnliches stellen keine sicheren Kennwörter dar! Ratsam ist es, eine Kombination zu wählen, die aus verschiedenen Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen besteht. Ein Passwort gilt außerdem als umso sicherer, je länger es ist. Besonders lange Passwörter von mehr als 24 Zeichen sind von Angreifer:innen selbst mit bester Technologie nur schwer zu entschlüsseln. Nicht mehr unumstritten ist die angebliche Regel zur regelmäßigen Änderung des Passwortes. Problematisch kann bei häufiger Änderung insbesondere sein, dass neue Passwörter leichter vergessen oder von Anfang an, in dem Wissen der baldigen Änderung, schwächer ausgewählt werden. Zumindest sollte eine Änderung aber sofort beim Verdacht einer Hackerattacke und sonst circa im Jahresrhythmus erfolgen. Bei vielen Betriebssystemen lässt sich dazu eine automatische Aufforderung einstellen.

Passwort-Manager für für Unternehmen

Spätestens seit Geltung der DSGVO ergibt es Sinn, sich vom Datenschutzbeauftragten in Unternehmen eine Passwortrichtlinie ausarbeiten zu lassen. Passwörter für gemeinsame Accounts sollten dabei niemals unverschlüsselt per E-Mail bzw. über einen Messenger zwischen den Mitarbeiter:innen verschickt werden. Ebenso sind Passwortlisten nicht in gemeinsam genutzten Ordnern auf dem Server oder in Google Drive ohne Verschlüsselung abzulegen. Hier kommt also schnell wieder der Passwort Manager ins Spiel.

Indem Sie sich von Ihrem betrieblichen Datenschutzbeauftragten ein entsprechendes Sicherheitskonzept erarbeiten lassen, stellen Sie sicher, diesen Aspekt der DSGVO regelkonform zu befolgen und Bußgelder sowie Abmahnungen zu vermeiden.

Zusammenfassend ist festzuhalten, dass ein zuverlässiger Passwort Manager den Vorgaben der DSGVO durchaus gerecht werden kann, da er streng verschlüsselte Passwörter generiert. Das Passwort zum Log-In sollte lang und mit Ziffern sowie mit Sonderzeichen versehen werden. Auch eine zumindest jährliche Änderung bewährt sich. Mit dem nötigen Bewusstsein für die Materie und mit Hilfe von Passwort Managern sollten die Vorgaben der DSGVO ohne besonderen Aufwand einzuhalten sein. Datenschutz und Passwort? Durchaus vereinbar!