Passwort-Sicherheit nach DSGVO: Pflichten für Unternehmen und Verantwortliche

Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO trifft eine umfassende Verpflichtung zum Schutz personenbezogener Daten durch geeignete technische und organisatorische Maßnahmen. Im Zentrum steht die Authentifizierung. Dieser Beitrag beleuchtet die Anforderungen aus Art. 32 DSGVO, dem BSI-IT-Grundschutz, der NIS2-Richtlinie und der Rechtsprechung der Aufsichtsbehörden, einschließlich konkreter Bußgeldverfahren und der Schadenersatzrisiken nach Art. 82 DSGVO.

Art. 32 DSGVO als zentrale Norm der Passwortsicherheit

Die Datenschutz-Grundverordnung enthält keine explizite Vorschrift zu Passwörtern. Die Pflicht zur sicheren Authentifizierung folgt aus Art. 32 Abs. 1 DSGVO, der den Verantwortlichen sowie den Auftragsverarbeiter verpflichtet, unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen zu treffen. Die Norm benennt ausdrücklich die Pseudonymisierung, die Verschlüsselung sowie die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme dauerhaft sicherzustellen.

Schwache, mehrfach verwendete oder im Klartext gespeicherte Passwörter widersprechen diesen Anforderungen unmittelbar. Die Aufsichtsbehörden ziehen Art. 32 Abs. 1 lit. b DSGVO regelmäßig als Rechtsgrundlage heran, wenn die Vertraulichkeit personenbezogener Daten durch unzureichende Authentifizierungsmechanismen gefährdet wird. Der Stand der Technik ist hierbei ein dynamischer Begriff, dessen Konkretisierung nach der Rechtsprechung des EuGH und der Spruchpraxis des Europäischen Datenschutzausschusses unter anderem durch BSI-Empfehlungen, ETSI-Normen und ISO/IEC 27001 erfolgt.

BSI-IT-Grundschutz und der Baustein ORP.4

Das Bundesamt für Sicherheit in der Informationstechnik konkretisiert den Stand der Technik durch das IT-Grundschutz-Kompendium. Der Baustein ORP.4 (Identitäts- und Berechtigungsmanagement) enthält die maßgeblichen Anforderungen an Passwörter, Multi-Faktor-Authentifizierung und Berechtigungsvergabe. Die Anforderung ORP.4.A8 fordert eine Regelung des Passwortgebrauchs, ORP.4.A22 verlangt geeignete Authentisierung bei sensitiven Verarbeitungstätigkeiten, und ORP.4.A23 empfiehlt explizit die Verwendung mehrstufiger Authentisierungsverfahren bei erhöhtem Schutzbedarf.

Der BSI-Mindeststandard für die Authentisierung in der Bundesverwaltung gibt seit der Aktualisierung 2022 konkrete technische Parameter vor: Mindestlänge von acht Zeichen bei zusätzlicher Komplexität, ab zwölf Zeichen ohne Komplexitätszwang, ein Verzicht auf periodische Erzwingung des Passwortwechsels ohne Anlass, sowie eine Sperrung gegen kompromittierte Passwörter aus bekannten Leak-Datenbanken. Diese Vorgaben gelten zwar primär für Bundesbehörden, werden in der aufsichtsbehördlichen Praxis jedoch als Referenz für den Stand der Technik herangezogen.

NIS2-Richtlinie und das deutsche Umsetzungsgesetz

Mit der Richtlinie (EU) 2022/2555 (NIS2) hat der europäische Gesetzgeber die Anforderungen an die Cybersicherheit für eine deutlich erweiterte Adressatengruppe verschärft. Wichtige und wesentliche Einrichtungen im Sinne des Art. 3 NIS2-RL trifft nach Art. 21 NIS2-RL eine Pflicht zur Umsetzung geeigneter und verhältnismäßiger technischer, operativer und organisatorischer Maßnahmen. Die Richtlinie nennt in Art. 21 Abs. 2 lit. j explizit den Einsatz von Multi-Faktor-Authentifizierungs- oder kontinuierlichen Authentifizierungslösungen, gesicherte Sprach-, Video- und Textkommunikation sowie gesicherte Notfallkommunikationssysteme.

Die deutsche Umsetzung durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz erweitert den Kreis verpflichteter Einrichtungen erheblich. Betroffen sind insbesondere mittelgroße Unternehmen ab 50 Beschäftigten oder zehn Millionen Euro Jahresumsatz in den Sektoren Energie, Verkehr, Bankwesen, Gesundheit, Trinkwasser, digitale Infrastruktur, öffentliche Verwaltung und weiteren. Die Pflicht zur Multi-Faktor-Authentifizierung ist damit nicht mehr nur eine datenschutzrechtliche Soll-Vorgabe, sondern eine ordnungsrechtliche Muss-Pflicht, deren Verletzung nach § 60 NIS2UmsuCG mit Bußgeldern von bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes sanktioniert werden kann.

Mitarbeiterpasswörter, BetrVG und arbeitsrechtliche Schnittstelle

Die Festlegung von Passwortrichtlinien für Beschäftigte berührt arbeits- und mitbestimmungsrechtliche Vorschriften. Nach § 87 Abs. 1 Nr. 6 Betriebsverfassungsgesetz hat der Betriebsrat ein erzwingbares Mitbestimmungsrecht bei der Einführung und Anwendung technischer Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen. Da Authentifizierungssysteme regelmäßig Logging- und Monitoring-Funktionen umfassen, ist eine Betriebsvereinbarung in Unternehmen mit Betriebsrat zwingend erforderlich. Das Bundesarbeitsgericht hat in ständiger Rechtsprechung klargestellt, dass die bloße objektive Eignung zur Überwachung den Mitbestimmungstatbestand auslöst, etwa BAG, Beschluss vom 09.09.1975 (1 ABR 20/74).

Arbeitgeber dürfen Komplexitätsanforderungen, Mindestlängen, MFA-Pflichten und das Verbot der Passwortweitergabe verbindlich anordnen, sofern die Maßnahmen verhältnismäßig sind. Die Weitergabe von Mitarbeiterpasswörtern an Vorgesetzte oder Kollegen ist nach Art. 32 DSGVO unzulässig, da sie das Prinzip der Nichtabstreitbarkeit der Authentifizierung untergräbt. Dieselbe Rechtsfolge trifft die Anlage gemeinsamer Funktionsaccounts, wenn diese den Zugang zu personenbezogenen Daten ermöglichen. Die Aufsichtsbehörden, etwa der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, haben in mehreren Beanstandungen die Auflösung gemeinsam genutzter Accounts angeordnet.

Bußgeld-Praxis der Aufsichtsbehörden

Die Spruchpraxis europäischer Datenschutzbehörden zeigt, dass mangelhafte Passwortsicherheit ein eigenständiger Bußgeldgrund ist. Die niederländische Autoriteit Persoonsgegevens verhängte 2021 gegen Booking.com ein Bußgeld in Höhe von 475.000 Euro wegen verspäteter Meldung eines Datenlecks, das durch Phishing und schwach gesicherte Mitarbeiterzugänge ermöglicht wurde. Die schwedische Datenschutzbehörde Integritetsskyddsmyndigheten erließ 2020 gegen H&M ein Bußgeld in Höhe von 35,3 Millionen Euro, das unter anderem auf unzureichende Zugriffskontrollen und mangelhafte technische Schutzmaßnahmen gestützt wurde. Die spanische AEPD sanktionierte 2023 mehrere Telekommunikationsanbieter wegen fehlender MFA bei Kundenportalen mit sechsstelligen Bußgeldern.

In Deutschland sind die einschlägigen Verfahren häufig nicht öffentlich. Der Tätigkeitsbericht 2023 des LfDI Baden-Württemberg dokumentiert mehrere Bußgelder im sechsstelligen Bereich gegen kommunale und privatwirtschaftliche Verantwortliche wegen unverschlüsselter Passwortspeicherung und fehlender Härtung von Administrationszugängen. Die Berliner Beauftragte für Datenschutz und Informationsfreiheit hat in ihrer Bußgeldpraxis wiederholt herausgestellt, dass die Versendung von Klartextpasswörtern per E-Mail einen Verstoß gegen Art. 32 Abs. 1 lit. a DSGVO darstellt.

Konkrete Pflichten im Überblick

Die folgende Tabelle systematisiert die maßgeblichen Pflichten und ihre Rechtsgrundlagen sowie das jeweilige Sanktionsrisiko.

Der Streit um die periodische Passwortänderung

Lange Zeit galt die regelmäßige, anlasslose Erzwingung von Passwortwechseln als Sicherheitsmaßnahme. Das BSI hat diese Auffassung mit der Aktualisierung des IT-Grundschutz-Bausteins ORP.4 im Jahr 2020 ausdrücklich aufgegeben. Empirische Studien, insbesondere die Analyse von Microsoft Research und die Empfehlungen des US-amerikanischen NIST in Special Publication 800-63B, zeigen, dass erzwungene periodische Wechsel zu schwächeren Passwörtern führen, weil Beschäftigte vorhersehbare Muster verwenden. Der aktuelle Stand der Technik fordert den Wechsel ausschließlich anlassbezogen, etwa bei Verdacht auf Kompromittierung, nach einem bestätigten Vorfall oder bei Personalwechsel mit gemeinsamen Zugängen.

Verantwortliche, die noch immer pauschale 90-Tage-Regeln in Richtlinien festschreiben, riskieren in einem Aufsichtsverfahren den Vorwurf der Nichtbeachtung des Stands der Technik. Die Datenschutzkonferenz hat in mehreren Orientierungshilfen klargestellt, dass eine pauschale Wechselpflicht ohne risikobasierte Begründung nicht mehr als angemessene Maßnahme im Sinne von Art. 32 DSGVO gilt.

Auftragsverarbeiter und Drittlandsproblematik

Bei der Einbindung von Auftragsverarbeitern, etwa Cloud-Identitätsdienstleistern oder Single-Sign-On-Anbietern, bleibt der Verantwortliche nach Art. 28 Abs. 1 DSGVO verpflichtet, nur Auftragsverarbeiter auszuwählen, die hinreichende Garantien für die Umsetzung geeigneter technischer und organisatorischer Maßnahmen bieten. Die schriftliche Vereinbarung nach Art. 28 Abs. 3 DSGVO muss die konkreten Sicherheitsanforderungen an die Authentifizierung erfassen, einschließlich der Hashing-Verfahren, der Schlüsselverwaltung und der MFA-Implementierung. Eine pauschale Bezugnahme auf interne Sicherheitsstandards des Auftragsverarbeiters genügt der Kontrollpflicht des Verantwortlichen nach Art. 28 Abs. 1 DSGVO regelmäßig nicht.

Bei einer Verarbeitung in Drittländern ohne Angemessenheitsbeschluss greift zusätzlich das Schrems-II-Regime. Der EuGH hat in seinem Urteil vom 16.07.2020 (C-311/18) klargestellt, dass ergänzende Maßnahmen erforderlich sind, wenn das Schutzniveau nicht dem europäischen Standard entspricht. Bei Authentifizierungsdiensten mit US-amerikanischem Anbieter ist daher zu prüfen, ob die Hashes auf europäischen Servern verbleiben oder ob ein Transfer Impact Assessment erforderlich ist. Der Europäische Datenschutzausschuss hat in seinen Empfehlungen 01/2020 zu ergänzenden Maßnahmen die Verschlüsselung mit europäischer Schlüsselhoheit als zentrale technische Maßnahme benannt, was bei der Speicherung von Authentifizierungsgeheimnissen besondere Bedeutung erlangt. Verantwortliche sollten in der Auftragsverarbeitungsvereinbarung ausdrücklich klären, in welchen Rechenzentren die Hashes vorgehalten werden und welche Behörden im Land des Unterauftragsverarbeiters Zugriffsbefugnisse besitzen.

Dokumentationspflichten und Rechenschaftspflicht

Art. 5 Abs. 2 DSGVO statuiert die Rechenschaftspflicht des Verantwortlichen. Diese verlangt eine nachweisbare Dokumentation aller getroffenen Maßnahmen. Im Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 Abs. 1 lit. g DSGVO sind die technischen und organisatorischen Maßnahmen nach Art. 32 Abs. 1 DSGVO zu beschreiben. Eine bloße Auflistung wie "Passwortschutz" ist hierbei nicht ausreichend. Die Aufsichtsbehörden erwarten konkrete Angaben zu Hashing-Verfahren, MFA-Status, Passwortrichtlinien-Versionen und der zugrundeliegenden Risikoanalyse.

Bei einer hohen Risikoverarbeitung kommt eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO in Betracht. Die Liste der DSK zur Pflicht zur Durchführung einer DSFA umfasst unter anderem den Einsatz biometrischer Authentifizierung. In diesen Fällen ist eine vorgelagerte Risikoanalyse mit dokumentierter Abwägung zwingend erforderlich. Verantwortliche sollten ein zentrales Compliance-Register pflegen, in dem die Abdeckung der einzelnen Anforderungen aus Art. 32 DSGVO, ORP.4 und NIS2 nachvollziehbar abgebildet ist.

Was Verantwortliche jetzt prüfen sollten

Eine systematische Bestandsaufnahme der bestehenden Authentifizierungsinfrastruktur ist der erste Schritt zur Compliance. Verantwortliche sollten ein Inventar aller Systeme erstellen, die personenbezogene Daten verarbeiten, und für jedes System die folgenden Punkte prüfen: das verwendete Hashing-Verfahren, die Aktivierung von Multi-Faktor-Authentifizierung, die Mindestanforderungen an Passwörter, die Existenz einer schriftlichen Passwortrichtlinie sowie die Dokumentation im Verzeichnis der Verarbeitungstätigkeiten. Bei der Bewertung gilt der Maßstab des Stands der Technik, der durch BSI-Bausteine, ETSI-Normen und ISO/IEC 27001 konkretisiert wird.

Im zweiten Schritt ist die organisatorische Verankerung zu prüfen. Eine Passwortrichtlinie ohne Schulung, Awareness-Maßnahmen und Sanktionsmechanismus bleibt wirkungslos. Verantwortliche sollten die Wirksamkeit der Maßnahmen regelmäßig durch Audits, Penetrationstests und Phishing-Simulationen überprüfen. Bei Unternehmen mit Betriebsrat ist die Mitbestimmung nach § 87 Abs. 1 Nr. 6 BetrVG sicherzustellen, indem eine Betriebsvereinbarung über Authentifizierung und Berechtigungsmanagement abgeschlossen wird. Die Aufsichtsbehörden anerkennen die Existenz dokumentierter Prozesse als Beleg der Sorgfalt, was sich im Bußgeldrahmen nach Art. 83 Abs. 2 lit. f DSGVO mildernd auswirken kann.

Schließlich gilt es, die Zukunftsfähigkeit der Architektur abzusichern. Mit der Verbreitung von FIDO2 und Passkeys nach den Spezifikationen der FIDO Alliance entsteht eine technische Alternative zum klassischen Passwort, die phishingresistent ist und gleichzeitig die Anforderungen der NIS2-Richtlinie an die Multi-Faktor-Authentifizierung erfüllt. Verantwortliche, die ihre Systeme in den nächsten zwei Jahren modernisieren, sollten Passkey-Unterstützung als Pflichtkriterium in Beschaffungsrichtlinien aufnehmen. Die Aufsichtsbehörden werden den Stand der Technik mit hoher Wahrscheinlichkeit in dieser Richtung weiterentwickeln, was gegenwärtige Investitionen in passwortlose Authentifizierung rechtssicher macht.