DSGVO und Passwort-Management: Der Praxisleitfaden

Welche DSGVO-Artikel relevant sind

Drei Artikel der DSGVO greifen direkt beim Passwort-Management:

• Art. 5 (Grundsätze): Integrität und Vertraulichkeit personenbezogener Daten – ein Passwort ist der Schlüssel zu solchen Daten.
• Art. 32 (Sicherheit der Verarbeitung): Der „Stand der Technik" muss eingehalten werden. Konkret: Pseudonymisierung, Verschlüsselung, Belastbarkeit der Systeme.
• Art. 33/34 (Meldepflicht): Bei einer Datenpanne ist innerhalb von 72 Stunden zu melden. Das setzt voraus, dass Sie überhaupt wissen, was passiert ist – also einen Audit-Trail.

„Stand der Technik" konkret

Der Begriff ist bewusst dynamisch formuliert. Heute (Stand 2026) gilt als Stand der Technik bei Passwortspeicherung:

• Symmetrische Verschlüsselung mit mindestens AES-256 oder vergleichbar.
• Schlüsselableitung über Argon2id oder PBKDF2 mit hoher Iterationszahl.
• Zwei-Faktor-Authentifizierung für Zugang zum Tresor.
• Granulare Berechtigungen statt Sammelzugriff.
• Vollständige Protokollierung der Zugriffe.

Was nicht durchgeht: Klartext in Excel, Notizen auf dem Schreibtisch, Slack-Nachrichten, ein gemeinsames „Team-Mail-Postfach", aus dem alle die Passwörter lesen können.

Auftragsverarbeitungsvertrag (AVV): Was hineingehört

Sobald Sie einen Cloud-Passwort-Manager nutzen, verarbeitet dieser Anbieter personenbezogene Daten in Ihrem Auftrag. Damit ist ein AVV nach Art. 28 DSGVO verpflichtend. Inhaltlich muss der AVV unter anderem regeln:

• Gegenstand, Dauer, Art und Zweck der Verarbeitung
• Art der personenbezogenen Daten und betroffene Personenkategorien
• Verpflichtung des Auftragsverarbeiters auf Vertraulichkeit
• Technische und organisatorische Maßnahmen (TOMs)
• Regelungen zu Subunternehmern
• Unterstützung bei Anfragen Betroffener und bei Datenpannen

Seriöse Anbieter haben den AVV als fertiges PDF online, oft sogar als One-Click-Vereinbarung im Admin-Panel. Wenn ein Anbieter Ihnen keinen AVV zur Verfügung stellt, ist das ein Ausschlusskriterium.

Cloud-Hosting und internationaler Datentransfer

Eine der schwierigsten Fragen: Darf ein US-Anbieter überhaupt verwendet werden? Nach dem Wegfall des Privacy Shields und der aktuellen Rechtsprechung gilt:

• EU-Hosting bei einem EU-Anbieter ist der einfachste Weg, kein Drittlandstransfer.
• Ein US-Anbieter mit EU-Servern ist möglich, fällt aber potenziell unter den US CLOUD Act – US-Behörden können auf Daten von US-Unternehmen zugreifen, auch wenn diese in Europa gespeichert sind.
• Die Lösung: Zero-Knowledge-Architektur. Wenn der Anbieter die Daten technisch nicht entschlüsseln kann, kann er sie auch nicht herausgeben.

Zero-Knowledge ist nicht nur ein Sicherheitsfeature – es ist eine juristische Risiko-Abkürzung. Wer nichts entschlüsseln kann, muss nichts herausgeben.

Checkliste für die Auswahl eines DSGVO-konformen Passwort-Managers

1. Liegt der Hauptsitz des Anbieters in der EU/EWR?
2. Werden die Daten ausschließlich in der EU gespeichert?
3. Stellt der Anbieter einen AVV nach Art. 28 DSGVO bereit?
4. Ist die Architektur Zero-Knowledge (Anbieter kann nicht entschlüsseln)?
5. Welche Verschlüsselung wird verwendet (AES-256? Argon2id?)?
6. Gibt es ein durchsuchbares Audit-Log?
7. Ist Zwei-Faktor-Authentifizierung verfügbar und aktiv erzwingbar?
8. Existieren Zertifizierungen (ISO 27001, SOC 2)?
9. Können Daten exportiert und vollständig gelöscht werden?
10. Gibt es eine klare Datenschutzerklärung in deutscher Sprache?