Seit dem 25.05.2018 muss die Datenschutz-Grundverordnung (DSGVO) in der EU / dem Europäischen Wirtschaftsraum (EWS) umgesetzt werden. Während manche bereits zuvor durch das Bundesdatenschutzgesetz definierte Pflichten lediglich verschärft wurden, kamen auch neue Pflichten für private und öffentliche Datenverarbeiter hinzu. Dies betrifft im weitesten Sinne auch die Vergabe und Verwaltung von Passwörtern.
DSGVO und Passwörter
Passwörter schützen personenbezogene Daten von Mitarbeiterinnen und Mitarbeitern ebenso wie personenbezogene Kundendaten vor Unbefugten. Weil Datenverarbeiter gemäß Art. 24 EU-DSGVO dazu verpflichtet sind, geeignete technische und organisatorische Maßnahmen (zur Sicherung personenbezogener Daten) zu installieren, muss also streng genommen auch die Vergabe und Verwaltung von Passwörtern in Unternehmen und Behörden gewissen Grundsätzen entsprechen.
1. Sicheres Passwort gemäß DSGVO erstellen
Weder Zahlenreihen wie “123456” noch Tastaturmuster wie “QWERTZ” oder “asdfg” sind als sicheres Passwort geeignet. Gleiches gilt für Namen, Jahreszahlen oder sonstige Wörter, die man in einem Wörterbuch finden könnte. Solche Kennwörter machen es Hackern viel zu leicht, sich mit Brute-Force-Angriffe und Wörterbuchattacken unbefugt Zugang zu Benutzerkonten zu verschaffen.
| Ein sicheres Kennwort besteht aus mindestens 8 Zeichen (besser 10 Zeichen), Groß- und Kleinbuchstaben sowie Sonderzeichen. Außerdem sollten Zugangsdaten regelmäßig geändert und niemals für mehrere Benutzerkonten / Accounts gleichzeitig genutzt werden. → Anleitung: So erstellen Sie ein sicheres Passwort |
2. Passwörter gemäß DSGVO verwalten
Das sicherste Passwort bringt nichts, wenn es in einer Excel-Tabelle oder einem Textdokument abgelegt ist, das selbst leicht zur Zielscheibe von Hackerangriffen werden könnte. Im Kopf kann man sich die sicher, teilweise unzähligen Kennwörter auch nicht. Speichern Sie Zugangsdaten deshalb immer in einem Passwort-Manager. Eine solche Software ist durch SSL/TSL-Verschlüsselung und Zwei-Faktor-Authentifizierung vor dem Zugriff Unbefugter geschützt.
| Spezielle Passwort-Manager für Unternehmen bieten darüber hinaus die Möglichkeit der zentralen Benutzer- und Passwortverwaltung durch einen Administrator. In Kombination mit einer Autofill-Funktion können Zugänge für einzelne User freigeschaltet bzw. gelöscht werden, ohne dass die Mitarbeiter/innen das Passwort selber kennen. → Tipps zur sicheren Passwortverwaltung in Unternehmen |
Weitere Pflichten für Datenverarbeiter
Neben der Installation geeigneter technischer und organisatorischer Maßnahmen zur Sicherung personenbezogener Daten haben Datenverarbeiter gemäß DSGVO noch weitere Pflichten zu erfüllen. Dazu zählt u.a.:
1. die Informationspflicht gegenüber Verbrauchern / Kunden.
2. die Dokumentation der Datenverarbeitung im einem Verarbeitungsverzeichnis.
3. das Schließen von Auftragsverarbeitungsverträgen.
4. die Meldung von Datenschutzverletzungen an die Behörde binn 72 Stunden.
5. das Bestellen eines internen oder externen Datenschutzbeauftragten.
→ Die Wichtigsten Pflichten und Eckdaten zur DSGVO im Überblick
| Beispiel für Strafen bei Missachtung der Vorschriften Dem Social-Media-Unternehmen “Knuddels” wurden im Juli 2018 personenbezogene Daten von rund 330.000 Nutzern entwendet. Der Grund dafür war, dass Passwörter im Klartext (unverschlüsselt und ungehasht) gespeichert wurden. Damit hatte das Karlsruher Unternehmen gegen Art. 32 Abs. 1 lit a DSGVO verstoßen. Das LfDI Baden-Württemberg hat deshalb mit Bescheid vom 21.11.2018 ein Bußgeld in Höhe von 20.000 Euro gegenüber der Knuddels GmbH & Co. KG verhängt. |
