Ein wesentlicher Aspekt der seit dem 25.05.2018 anwendbaren EU-Datenschutzgrundverordnung ist die „Sicherheit der Verarbeitung“ (Art. 32 DSGVO). Hiernach hat u.a. der Verantwortliche i.S.d. Art. 4 Nr. 7 DSGVO unter Berücksichtigung der in Art. 32 Abs. 1 DSGVO genannten Parameter geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Diese Maßnahmen schließen u.a. die Pseudonymisierung und Verschlüsselung personenbezogener Daten sowie die Fähigkeit, die Vertraulichkeit und die Integrität der Systeme im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen, ein. Die Authentifizierung mittels Nutzername und Passwort stellt eine technische und organisatorische Maßnahme in diesem Sinne dar.
Vor diesem Hintergrund hat der (für Baden-Württemberg zuständige) Landesbeauftragte für den Datenschutz und Informationsfreiheit Baden-Württemberg am 12.02.2019 „Hinweise zum sicheren Umgang mit Passwörtern“, die als „Tipps und Informationen für Bürgerinnen und Bürger für die Auswahl von Passwörtern – Informationen für verantwortliche Unternehmer und Software-Entwickler“ dienen sollen, herausgegeben. Auch wenn der LDI Baden-Württemberg nur für Baden-Württemberg zuständig ist, dürften diese „Hinweise“ auch über die Landesgrenzen Baden Württembergs hinaus wertvolle Tipps und Informationen für Verantwortliche etc. bereithalten. Unter Ziffer „B. Hinweise zur Auswahl von Passwörtern“ (S. 4-8) erteilt der LDI Baden-Württemberg Hinweise, wie Passwörter erstellt und wie nachfolgend mit Passwörtern umgegangen werden sollte. Interessant ist sein Hinweis unter B.6. Dort ist ausgeführt:
„Früher wurde empfohlen, Passwörter in regelmäßigen Abständen zu ändern. Diese Empfehlung gilt heutzutage als überholt, da sie nicht zu mehr Sicherheit führt – sondern nur dazu, dass Nutzer sich diese im Klartext notieren, einfache Passwörter wählen, eine Zahl hochzählen oder ähnliches. Daher sollten Administratoren die Nutzer nicht mehr zwingen, Passwörter in regelmäßigen Abständen zu ändern. Nur wenn es Anzeichen dafür gibt, dass Passwörter oder Passwort-Hashes in fremde Hände gelangt sind, sollten Nutzer diese Änderung bzw. zu einer Änderung aufgefordert werden“.