Neues zum Datenschutzrecht
20.12.2019
Beliebtestes Passwort ist „123456“ oder eine Frage der Datensicherheit
Das mit Abstand beliebteste Passwort der Deutschen ist im Jahr 2019 laut einer Untersuchung des Hassno-Plattner-Instituts „123456“. Die Passwörter auf den Plätzen zwei und drei unterscheiden sich lediglich durch die Anzahl der Stellen dieser Zahlenreihe. Erwähnenswert ist in jedem Fall auch der fünfte Platz, der am häufigsten benutzten Passwörter, das „password“ lautet. Die Liste mit den zwanzig meistgenutzten Passwörtern kann zur kritischen Selbstkontrolle auf der Website des Instituts direkt abgerufen werden.
Es ist zwar durchaus nachvollziehbar, dass Nutzer einer Vielzahl von IT-Geräte und Online-Diensten es nicht nur lästig finden, sondern zuweilen auch überfordert sind. Allerdings ist ein Passwort, das sich konkret oder in abgewandelter Form unter den „Top 20“ findet, wirkungslos und erhöht signifikant die Gefahr des Missbrauches bis hin zum sog. Identitätsdiebstahl. Das gilt übrigens auch, wenn Passwörter mehrfach verwendet werden.
Eine Frage der Datensicherheit und des Datenschutzrechts
Die Wahl und der Umgang mit Passwörtern ist eine Frage der Datensicherheit und damit eine Frage des Datenschutzes und zwar auch für Verantwortliche, also insbesondere auch Unternehmen und sonstige datenschutzrechtlich verantwortliche Stellen.
Die Sicherstellung der Integrität und Vertraulichkeit personenbezogener Daten ist nicht nur ein – vermeintlich lediglich – allgemeiner Grundsatz, der in Art. 5 Abs. 1 Buchstabe f DSGVO formuliert ist. Es ist eine konkrete Pflicht des Verantwortlichen, deren Verstoß bußgeldbewehrt ist (s. Art. 83 Abs. 4 Buchstabe a, Abs. 5 Buchstabe a DSGVO). Der Verantwortliche muss unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Das umfasst insbesondere auch Maßnahmen, die die Integrität der Daten sicherstellen (s. Art. 32 Abs. 1 DSGVO). Das umfasst selbstverständlich auch verbindliche Vorgaben zu der Festlegung und dem Umgang mit Passwörtern.
Hinweise für die Praxis
Wie die Wahl eines Passwortes und der Umgang mit Passwörtern konkret zu erfolgen hat, gibt die Datenschutz-Grundverordnung freilich nicht im Detail vor. Allerdings gibt es hierzu eine Vielzahl von Informationen. So belässt es auch das Hasso-Plattner-Institut nicht bei der Mitteilung des traurigen Ergebnisses ungeeigneter Passwörter, sondern gibt durchaus gute Tipps zur Wahl von Passwörtern, die einen unberechtigten Zugriff durch Dritte und damit die Gefahr eines Identitätsdiebstahls verringern:
- Lange Passwörter (> 15 Zeichen)
- Alle Zeichenklassen verwenden (Groß-, Kleinbuchstaben, Zahlen, Sonderzeichen)
- Keine Wörter aus dem Wörterbuch
- Keine Wiederverwendung von gleichen oder ähnlichen Passwörtern bei unterschiedlichen Diensten
- Verwendung von Passwortmanagern
- Passwortwechsel bei Sicherheitsvorfällen und bei Passwörtern, die die obigen Regeln nicht erfüllen
- Zwei-Faktor-Authentifizierung aktivieren, wenn möglich
Entsprechende Informationen sind auch bei den Datenschutzaufsichtsbehörden zu finden. Empfehlenswert sind beispielsweise die „Hinweise zum sicheren Umgang mit Passwörtern“ des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg. Diese Hinweise enthalten konkrete Tipps und Rahmenbedingungen für die Auswahl und den Umgang mit Passwörtern. Sie sind sowohl für Anwender und Nutzer als auch für Unternehmen hilfreich (dazu s. Datenschutz-News v. 19.2.2019).
Sollten Sie Fragen zu datenschutzrechtlichen Anforderungen an Passwörter und sonstige Sicherheitsmaßnahmen haben oder rechtliche Unterstützung bei der Umsetzung technischer und organisatorischer Maßnahmen benötigen, können Sie mich gerne kontaktieren.
Zurück zur Übersicht