Das neue Hinweisgeberschutzgesetz – Ein Meilenstein für den Schutz von Whistleblowern

Whistleblower sind Personen, die Missstände oder illegale Aktivitäten innerhalb eines Unternehmens oder einer Organisation öffentlich machen. Sie spielen eine wichtige Rolle bei der Aufdeckung von Korruption, Betrug und anderen Verstößen gegen Gesetze und Regeln. Allerdings sind sie oft Zielscheibe von Repressalien und Vergeltungsmaßnahmen durch Arbeitgeber oder Kollegen. Das neue Hinweisgeberschutzgesetz, das im Dezember 2021 vom Bundestag beschlossen, aber im Februar vom Bundesrat abgelehnt wurde, soll diese Whistleblower schützen. Das deutsche Hinweisgeberschutzgesetz (HinSchG) wurde kurzfristig vertagt. Mitte März hatte der Deutsche Bundestag einen neuen Ansatz zur Umsetzung der EU-Whistleblower-Richtlinie angenommen, der kurz darauf im Rechtsausschuss besprochen wurde. Am 30. März sollte das Gesetzvorhaben in 2. und 3. Lesung im Bundestag beraten werden, wurde dann jedoch kurzfristig von der Tagesordnung genommen. Die Bundesregierung hat sich am 5. April dazu entschlossen, den Vermittlungsausschuss einzuberufen.

Das Hinweisgeberschutzgesetz (HinSchG) ist eine bedeutende Gesetzesreform, die auf europäische Vorgaben (Richtlinie (EU) 2019/1937 des Europäischen Parlaments und des Rates vom 23. Oktober 2019 zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden) zurückgeht und den Schutz von Whistleblowern in Deutschland erheblich verbessert. Das neue Gesetz stärkt die Position von Whistleblowern und schafft einheitliche Standards für den Schutz von Hinweisgebern in allen Bundesländern.

Das Gesetz bietet Schutzmaßnahmen für Whistleblower, die Verstöße gegen Gesetze, Regeln und Verordnungen in Unternehmen oder Organisationen aufdecken. Dazu gehören unter anderem der Schutz vor Kündigung oder Entlassung, der Schutz vor Diskriminierung und der Schutz vor Strafverfolgung.

Darüber hinaus müssen Unternehmen mit mehr als 50 Mitarbeitern interne Meldekanäle einrichten, über die Hinweisgeber Verstöße melden können. Diese Meldekanäle müssen sicherstellen, dass die Hinweise vertraulich behandelt werden und dass die Identität des Hinweisgebers geschützt wird.

Ein weiterer wichtiger Aspekt des HinSchG ist die Schaffung einer zentralen Anlaufstelle für Hinweisgeber. Diese Anlaufstelle soll Hinweisgeber beraten und unterstützen und ihnen bei der Meldung von Verstößen helfen. Die zentrale Anlaufstelle wird vom Bundesamt für Justiz betrieben und bietet auch einen Online-Meldekanal an.

Das neue Gesetz gilt für alle Unternehmen und Organisationen in Deutschland, einschließlich staatlicher Stellen und öffentlicher Einrichtungen. Es ist ein wichtiger Schritt, um das Bewusstsein für die Bedeutung von Whistleblowern zu stärken und den Schutz von Hinweisgebern zu verbessern.

Insgesamt ist das neue Hinweisgeberschutzgesetz ein wichtiger Schritt in Richtung mehr Transparenz und Verantwortlichkeit in Unternehmen und Organisationen. Es schützt Whistleblower und fördert die Aufdeckung von Missständen und Verstößen gegen Gesetze und Regeln. Es ist zu hoffen, dass das neue Gesetz dazu beitragen wird, eine Kultur der Offenheit und Transparenz zu schaffen und Unternehmen und Organisationen dazu anzuregen, ihre internen Abläufe zu überprüfen und zu verbessern.

Alles bleibt anders!

Oder auf Pidgin English: „Same same, but different“

Um was geht es hier eigentlich? Wenn Sie sich diese Frage stellen, hat die Überschrift ihr Ziel erreicht. 🙂

Wir haben unsere Unternehmensstruktur geändert. Vorher eine GmbH und jetzt eine GmbH und eine Personengesellschaft.

Was bedeutet das für Sie?

Wir bleiben auch in Zukunft Ihr Ansprechpartner für Datenschutz. Videoüberwachungsanlagen, Hotel-TV, Digital Signage, Konferenz- und Präsentationstechnik, sind jetzt komplett vom Datenschutz entkoppelt.

Dieser Schritt war notwendig, da es Interessenskonflikte geben kann, wenn eine Firma Datenschutz und Videoüberwachungsanlagen anbietet. (Hier wird vermutet, dass der Bock zum Gärtner wird.)

Darum finden Sie in Zukunft den Datenschutz unter https://davito-datenschutz.de und die anderen Themen unter https://davito.pro .

Es sind jetzt zwei getrennte Firmen, die aber weiter eng zusammenarbeiten und eine Bürogemeinschaft bilden (also bleiben Straße, Hausnummer und Ort gleich).

Dienstpläne und Datenschutz

Früher gab es sie überall, die firmenintern ausgehängten Dienstpläne. Diese sind inzwischen oft verschwunden. Dies hat mehrere Ursachen: Zum Einen hat sich durch gleitende Arbeitszeiten in vielen Bereichen die direkte Notwendigkeit für solche Pläne erübrigt. Zum Anderen beinhalten Dienstpläne typischerweise personenbezogene Daten (pbD). Aber wie geht man damit um?
Arbeitgeber sind dazu verpflichtet die Arbeitszeiten in einem Dienstplan rechtzeitig bekannt zu machen. Damit übt er auch sein Weisungsrecht gegenüber den Arbeitnehmern aus. Auf der anderen Seite ist der Dienstplan nach Bekanntgabe auch für den Arbeitgeber bindend und darf nicht willkürlich geändert werden. Das gibt auch den Arbeitnehmern Planungssicherheit.
Das Bundesarbeitsgericht hat festgelegt, dass neben dem Vor- und Nachnamen auch der Beginn und das Ende der jeweiligen Arbeitszeit enthalten muss. (BAG 28.10.1986, 1 ABR 11/85)
Wie bei jeder Verarbeitung von pbD bedarf es natürlich auch hier einer Rechtsgrundlage. Wie (fast) immer in Abhängigkeitsverhältnissen scheidet die Einwilligung nach § 26 BDSG Abs. 2 hier regelmäßig aus, da die Freiwilligkeit nicht gegeben ist und damit wäre die Einwilligung unwirksam. Da Einwilligungen zudem schnell zu widerrufen sind, kann dies ohnehin nicht das Mittel der Wahl sein.
Aber wenn wir schon beim § 26 BDSG sind, können wir ja auch direkt den Abs. 1 bemühen:
„Personenbezogene Daten von Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies … nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung … erforderlich ist.“
Was darf nicht in einen Dienstplan, wenn dieser „im Betrieb“ ausgehängt wird? Urlaubstage dürfen hier nicht als solche gekennzeichnet werden, denn es darf nicht über Gründe von Abwesenheit informiert werden. Krankheits- und Fehltage dürfen hier auch nicht erscheinen. Zum Einen sind sie vorab nicht planbar und zum Anderen unterliegen Gesundheitsdaten einem besonderen Schutz. Natürlich gilt auch hier: Gründe für Abwesenheiten gehören nicht in den Dienstplan.
Wo dürfen Dienstpläne ausgehängt werden? In einem Bereich, den nur die betroffenen Mitarbeiter einsehen können, ist dies sicher unkritisch. Hier muss sicher auch nicht mit einer speziellen Zutrittskontrolle der Personenkreis eingeschränkt werden, da die Schutzwürdigkeit der Daten nicht besonders hoch ist. In öffentlich zugänglichen Bereichen dürfen Dienstpläne aber nicht ausgehängt werden.
Was heißt das in der Praxis? Der Eingangsbereich einer Firma, der auch von Besuchern, Vertretern und Gästen frequentiert wird, ist nicht geeignet. In Büros, die typischerweise nur von den Mitgliedern einer Abteilung genutzt werden, kann man Dienstpläne aber aushängen.

Zensus 2022 und Datenschutz

Es gibt sie wieder, die Volkszählung oder neudeutsch Zensus. Erinnern Sie sich noch?

Es war im Jahr 1983 als es eine groß angelegte Werbekampagne zur Volkszählung’87 gestartet wurde und sich recht schnell ein weit aufgestellter Widerstand dagegen formierte. Dies ging so weit, dass Prominente öffentlich Kritik äußerten. Hier sind so namhafte Leute wie der Schriftsteller Günter Grass, der Gründer des Forsa-Instituts oder der ehemalige Richter des Bundesverfassungsgerichts Helmut Simon zu finden. Außerdem gab es viele Bürgerinitiativen, die sich gegen die Volkszählung aussprachen und auch öffentlich zum Boykott und damit zum Gesetzesbruch aufriefen. Es wurde das Schreckgespenst des gläsernen Bürgers beschworen. George Orwells Dystopie „1984“ war nicht nur von der Jahreszahl sehr aktuell, sondern wurde zum Kassenschlager.

Ein wesentlicher Punkt des Widerstandes war, dass mit den Daten aus der Volkszählung auch eine Korrektur der Meldedaten durchgeführt werden sollte. Die Zählung war ursprünglich für den 27. April 1983 geplant, wurde dann bis zum Urteil des Bundesverfassungsgerichts am 15. Dezember 1983 ausgesetzt und mit diesem Urteil untersagt. Die Kläger hatten bemängelt, dass durch die detaillierten Fragebögen ein Rückschluss auf einzelne Personen möglich wäre und damit der Datenschutz unterlaufen würde. Dies wäre auch damals schon ein Verstoß gegen das Grundgesetzt gewesen. Ja, richtig. Datenschutz gab es auch schon vor der DSGVO. Mit dem Urteil vom 15. Dezember 1983 formulierte das Bundesverfassungsgericht, basierend auf der Menschenwürde des Art. 1 GG und dem Recht auf freie Entfaltung der Persönlichkeit nach Art. 2 Abs. 1 GG, das Grundrecht auf informationelle Selbstbestimmung.

Folglich mussten für die Befragung im Jahr 1987 die Fragebögen neu gestaltet werden. In den neuen Fragebögen wurden die Angaben zur Person von den restlichen Angaben getrennt, wodurch die Anonymität verbessert werden sollte. Die ca. 9 Monate vor dem Stichtag des 25. Mai 1987 gestartete Werbekampagne „Zehn Minuten, die allen helfen“ war trotz eines Budgets von 46 Millionen DM ein Reinfall. Die erneut aufflammenden Kritik setzte dieses mal nicht beim Datenschutz an, sondern bei einer schleichenden Einschränkung von Bürgerrechten. Der Boykottaufruf wurde als Aufruf zu zivilem Ungehorsam für mehr Demokratie formuliert. Die Widerstand war dieses mal noch breiter angelegt und zog sich von den Jungdemokraten, über die Grünen, mehrere Gewerkschaften bis hin zu einzelnen Gemeinden (z.B. Freiburg). Es wurden über 1100 Bürgerinitiativen gegen die Volkszählung gegründet.

So weit zum Rückblick. Wir haben das Jahr 2022 und es gibt einen neuen Zensus. Obwohl die Bevölkerung durch fast 4 Jahre DSGVO für das Thema sensibilisiert ist, sind große Proteste ausgeblieben. Was ist anders?

Zum Ersten ist es die Art der Erhebung. In diesem Jahr wurde nicht jeder dazu verpflichtet, einen Fragebogen auszufüllen, sondern es ist eine statistische Erhebung, bei der nur ein kleiner Teil als Stichprobe mittel Fragebögen untermauert wird.

Gleichgeblieben ist aber die Verpflichtung, einen solchen Fragebogen auszufüllen, wenn man zur Gruppe der Stichprobe gehört. Da auch hier gilt, keine Datenverarbeitung ohne Rechtsgrundlage, wurde Zensusgesetz (Gesetz zur Durchführung des Zensus im Jahr 2022) verabschiedet. Dies ist bereits am 03. Dezember 2019 in Kraft getreten. Wegen der Corona-Pandemie wurde der Zensus dann nicht im Jahr 2021 durchgeführt, sondern mittels des „Gesetz zur Verschiebung des Zensus in das Jahr 2022 und zur Änderung des Aufenthaltsgesetzes“ vom 03. Dezember 2020, auf dieses Jahr verschoben. Der Stichtag oder besser Starttag war hier der 15. Mai 2022. Die Dauer der Stichprobenbefragung ist auf drei bis fünf Monate angesetzt.

Der Start hat dann wohl ohne großes Aufsehen stattgefunden. Einige Gemeinden haben zwar wegen der Kosten des Zensus Kommunalverfassungsbeschwerde eingereicht, aber viel mehr ist nicht passiert. Das Bundesverfassungsgericht hat die „Verfassungsbeschwerde gegen eine umfangreiche, nicht anonymisierte Meldedaten-Zusammenziehung im Zuge der inzwischen auf dieses Jahr 2022 verschobenen Volkszählung („Zensus“)“ nicht zur Entscheidung angenommen, weil der entsprechende fachgerichtliche Rechtsweg nicht eingehalten wurde.

Wie sieht es denn jetzt in der Praxis aus? Was ist zu tun, wenn man einen Fragebogen erhalten hat?

Wenn Sie keine Lust haben, an der Befragung teilzunehmen, hat ein Problem, denn in der Rechtsgrundlage ist auch eine Verpflichtung formuliert. Dies kann bei anhaltender Weigerung zu einem Bußgeld von 5000 € führen.

Kann man sich dagegen wehren? Ja klar, aber dann steht einem vermutlich ein Marathon durch die Instanzen bevor. Dafür wird man auf jeden Fall einen Anwalt brauchen.

Als Datenschützer ist man natürlich immer misstrauisch, wenn jemand im großen Stil Daten verarbeiten will. Ein „gerüttelt Maß“ gesundes Misstrauen gegenüber staatlichen Stellen gehört auch zum Berufsstand. Am Ende arbeiten wir aber immer nach formalen Prüfmethoden und da bietet der Zensus 2022 sehr wenig Angriffsfläche.

EU und USA einig bei neuem Abkommen zum Datenaustausch. Kommt ein Privacy Shield 2.0?

Wie in zahlreichen Meldungen zu lesen war, haben die EU und die USA eine „grundsätzliche Einigung“ darüber erzielt, dass personenbezogene Daten (pbD) wieder leichter ausgetauscht werden können.

Es könnte alles so schön sein und würde die Arbeit der Datenschutzbeauftragten erheblich vereinfachen.

Es besteht weder ein Grund zur Euphorie, noch zur Freude. Im Moment ist das alles nur heiße Luft. Wenn aus dieser „Willenserklärung“ tatsächlich ein neues, rechtsverbindliches Abkommen entstehen sollte (was ganz sicher noch Monate dauern würde) so wäre dieses Abkommen praktisch wertlos, da wir vermutlich nur wenige Tage danach ein „Schrems-3-Urteil“ hätten, welches ein solches Abkommen direkt für Nutzlos erklären würde.

Wo ist das Problem?

Im so genannten Schrems-2-Urteil hat der EuGH festgestellt, dass in den USA für pbD (besonders von EU-Bürgern) ein deutlich schwächeres Schutzniveau besteht. Gerade US-Gesetze wir der Cloud Act oder FISA wären in der EU undenkbar und sind mit den bei uns geltenden Regeln unvereinbar. So lange diese Gesetze in den USA bestehen, kann es kein wirksames Abkommen zum Datenaustausch geben. Dass der oberste US-Gerichtshof im Oktober letzten Jahres in einem Urteil die Möglichkeiten der US-Regierung noch ausgebaut hat, ist hier auch kontraproduktiv. Wenn es um Staatsgeheimnisse und Spionage geht, wurden die Rechte von Bürgern der USA und anderer Nationen (für mich sind das alle) nochmals deutlich herabgestuft und die Auslegung der Befugnisse der US-Regierung deutlich großzügiger gestaltet.

Um eine brauchbare Grundlage für ein Datenaustauschabkommen mit den USA zu schaffen, müssten die USA ihr Datenschutzniveau anheben. Hier gab es bislang keine Verbesserungen. Folglich wird es kein solches Abkommen mit Bestand geben.

Änderung des Infektionsschutzgesetz = Änderung der Datenverarbeitung

Am 20.03.2022 ist das geänderte Infektionsschutzgesetz in Kraft getreten und morgen, am 02.04.2022 endet die Übergangsfrist, die viele Bundesländer gemäß § 28a Abs. 10 IfSG genutzt haben.

Was bedeutet das für uns?

  • § 20a Infektionsschutzgesetz (IfSG) erhält den neuen Absatz 7 der besagt, dass Voll- und teilstationäre Einrichtungen, die zugelassene Pflegeeinrichtungen im Sinne von §72 Sozialgesetzbuch (SGB) XI sind, dem RKI monatlich den Anteil der gegen das Coronavirus SARS-CoV-2 geimpften Mitarbeitenden mitteilen müssen. Daraus ergibt sich die Rechtsgrundlage, die entsprechenden personenbezogenen Daten (pbD) zu verarbeiten.
  • Die bundesgesetzliche Rechtsgrundlage zur Erfassung der Kontaktdaten von Kunden, Gästen oder Veranstaltungsteilnehmenden entfällt
  • Ebenso entfällt die bundesgesetzliche Rechtsgrundlage ungeimpfte Mitarbeitende zu testen.
  • Durch diese Änderungen muss evtl. die Gefärdungsbeurteilung (§5 und §6 ArbSchG) aktualisiert werden. Dazu gehört auch eine Anpassung des Hygienekonzepts.

Wenn die Rechtsgrundlagen wegfallen bedeutet dies ganz klar, dass eine Datenverarbeitung so lange untersagt ist, bis eine andere Rechtsgrundlage gefunden wurde.

Leider sind heute am 01.04.2022 weder aus NRW, noch aus Niedersachsen brauchbare Informationen zu Landesregelungen zu bekommen. In lokalen Hotspots können die Kreise in Abstimmung mit dem jeweiligen Bundesland, zusätzliche Beschränkungen erlassen.

BSI warnt vor Kasperski Antivirus

Das BSI hat gemäß seines Auftrages eine Warnung vor Antivirenprodukten der russischen Firma Kasperski herausgegeben.

Auf Grund der hohen Systemrechte, mit denen eine solche Software laufen muss und weil sie verschlüsselte Verbindungen zu Updateservern nutzt (sonst könnte sie keine neuen Virendefinitionen laden), lässt sich über diesen Weg auch Schadsoftware installieren. Der Software-Anbieter muss folglich volles Vertrauen genießen. Genau da ist der Knackpunkt. Russland führt einen Krieg gegen die Ukraine und deren (mögliche) Verbündete, also die Nato, die EU und auch Deutschland.

Wir haben zwar das Glück, dass in unserem Fall der Konflikt nicht mit Waffengewallt ausgetragen wird, aber Schädigungen unserer Wirtschaftskraft durch Cyberangriffe findet bereits statt.

Es ist also durchaus denkbar, dass die russische Regierung die Firma Kasperski dazu zwingt, deren Technologie zur Installation von Trojanern oder anderer Schadsoftware bereitzustellen.

Weiter Details dazu finden Sie auf den Seiten des BSI: https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2022/220315_Kaspersky-Warnung.html

Ob wir zu einem bestimmten Produkt raten? Wenn es nur um reine AV-Lösungen geht, halten wir die kostenlosen Boardmittel von Windows für ausreichend. Die Erkennungsrate und die Updatefrequenz sind hier vorbildlich. Außerdem sind diese Boardmittel prima in Windows integriert und stören die Arbeitsabläufe nicht. Bitte stimmen Sie sich mit Ihrer IT-Abteilung ab

Bring Your Own Device (BYOD) – Ein Problem

Nicht erst seit Home Office ist es ein großes Problem, wenn private und geschäftliche Daten auf Geräten durchmischt werden. Verwenden Mitarbeiter private Geräte zu beruflichen Zwecken, passiert dies aber regelmäßig. Das hat dann erhebliche Folgen für beide Seiten.

Als der Verantwortliche behält man die volle Verantwortung für den Schutz der Daten, hat aber nicht das Recht, diesen auf dem Gerät des Mitarbeiters zu überprüfen oder Maßnahmen durchzusetzen. Kurz gesagt: Die Pflichten bleiben, aber man verliert die Kontrolle.

Der Mitarbeiter begibt sich aber ebenfalls auf sehr dünnes Eis. Private Datenverarbeitung ist nicht Bestandteil des Gültigkeitsbereichs der DSGVO.

Diese Verordnung findet keine Anwendung auf die Verarbeitung personenbezogener Daten

c) durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten

Art. 2 Abs. 2 DSGVO

Hier sind die Begriffe persönlich und familiär sehr eng zufassen. Private Kontakte, Daten von Familie und Freunden fallen in diesen Bereich, auch wenn keine verwandtschaftlichen Beziehungen bestehen. Werden diese Daten mit geschäftlichen Daten durchmischt, besteht diese „Haushaltsausnahme“ nicht mehr. Dann nutzt der Mitarbeiter die Daten gewerblich und die DSGVO und andere Datenschutzgesetze greifen voll. Das bedeutet, dass eine private Person eine gewerbliche Datennutzung betreibt (auch wenn damit kein Cent verdient wird) und Verstöße genau wie bei Unternehmen geahndet werden. Hier sind zwar nicht Millionenschwere Bußgelder zu befürchten, aber es wurden schon mehrfach Bußgelder zwischen 1000 und 1500 Euro gegen Privatpersonen verhängt.

Es haben folglich beide Seiten, Arbeitgeber und Arbeitnehmer ein Interesse daran, die Daten streng zu trennen und jede Durchmischung zu vermeiden.

Deshalb rate ich grundsätzlich, auf jegliche Form von BYOD zu verzichten.

  • Keine dienstliche Nutzung privater Geräte (auch nicht im Home Office)
  • Keine private Nutzung dienstlicher Geräte

In diesem Zusammenhang möchten ich darauf hinweisen, dass man besonders bei Smartphones darauf achten muss, keine personenbezogenen Daten in Drittländer zu übertragen. Dies betrifft nicht nur WhatsApp, sondern auch die Datensicherungsdienste von Apple und Google.

Dass WhatsApp nicht sinnvoll datenschutzkonform genutzt werden kann, haben die Aufsichtsbehörden bereits mehrfach betont. Aber nicht nur dort werden Daten in die USA übertragen. Apple und Google sichern einem nicht zu, dass die Daten des Gerätes innerhalb der EU bleiben. Als Folge davon muss davon ausgegangen werden, dass die Daten in ein Land mit niedrigerem Schutzniveau (hier besonders die USA) übertragen werden. Darum sind deren Datensicherungsdienste zu deaktivieren.

Unsinn des Tages: Ändere-dein-Passwort-Tag

Warum man seine Passwörter nicht regelmäßig ändern muss

Der 1. Februar ist der „Ändere-dein-Passwort-Tag“. Aber warum sollte man da mitmachen? Wo ist der Fehler des Gedankens? Gibt es bessere Alternativen?

Der erste Fehler in der Forderung sein Passwort regelmäßig zu ändern ist die Singular-Form. Wenn man nur ein Passwort hat, welches man an mehreren Orten verwendet, läuft doch schon mal etwas grundsätzlich falsch.
Passwörter sollten immer nur an einer Stelle gültig sein und nicht für mehrere Anwendungen oder Dienste verwendet werden. Wird dann mal ein Dienst gehackt (was ja in der Vergangenheit schon häufig passiert ist) so sind andere Konten dadurch nicht gleich mit kompromittiert.

Ein gutes Passwort ist mindestens 12, besser sogar über 20 Zeichen lang, enthält keine Namen, lexikalischen Wörter oder Datumsangaben. Es sollte nicht nur aus Zahlen oder kleinen oder großen Buchstaben bestehen. Mit einer Mischung aus Zahlen und Buchstaben in Groß- und Kleinschreibung, in zufälliger Reihenfolge, ist man aber schon gut beraten. Wenn man will (und es der Dienst erlaubt) sind Sonderzeichen sicher kein Fehler.

Diese Formel beschreibt die Anzahl der möglichen Passwörter in Abhängigkeit von Zeichenvorrat und Passwortlänge. Wenn man da mal ein wenig mit den Werten spielt, merkt man sehr schnell, dass es viel wichtiger ist ein langes Passwort zu wählen als eins, mit einem großen Zeichenvorrat.
Beispiel: Auf unserer Tastatur haben wir 26 Buchstaben + 3 Umlaute, die man groß und klein schreiben kann = 58 unterschiedliche Zeichen. Dazu dann noch die Ziffern von 0-9 ergibt einen Zeichenvorrat von 68 Zeichen. Durch Sonderzeichen können wir die Zahl um weitere 34 mehr oder weniger leicht zu tippende Zeichen erhöhen.
Passwörter ab 12 Zeichen länge gelten als relativ sicher und ab 20 Zeichen sind sie selbst mit hohem Aufwand kaum noch zu knacken. Je nach weiteren Anforderungen, kann man natürlich auch längere Passwörter wählen.
Wenn wir einen großen Zeichenvorrat wählen, z.B. 102 Zeichen, aber die Länge bei 12 belassen, haben wir 1268241794562545318301696 oder gerundet 1,2 * 10^24 mögliche Passwörter.
Als weiteres Beispiel nehmen wir einen Zeichenvorrat aus 68 Zeichen (Zahlen + Buchsten, groß und klein) und verlängern das Passwort um zwei auf 14 Zeichen, so erhalten wir 45198578652761699462938624 oder 4,5 * 10^25 mögliche Passwörter, also schon etwa 30x so viele.
Aus diesem kleinen Beispiel wird deutlich, dass es mehr bringt ein paar weitere Stellen zum Passwort hinzuzufügen, als sich beim Tippen der Sonderzeichen die Finger zu brechen.

Also wählen wir möglichst lange Passwörter
Wenn wir lange und damit sichere Passwörter verwenden, gibt es aber kaum einen Grund diese regelmäßig zu ändern.

Jetzt mag der eine oder andere Leser denken: Lange Passwörter und dann auch an jeder Stelle ein anderes, das kann sich doch keiner merken und das will ja auch niemand tippen. Stimmt.
Dafür gibt es Passwortmanager wie KeePass, 1Password, Bitwarden, Blur, Dashlane, Enpass, F-Secure Key, Kaspersky Password Manager, Keeper, LastPass, Password Depot, Password Manager, RoboForm, SafeInCloud oder Sticky Password. Ich verwende KeePass seit Jahren bin damit sehr zufrieden.
Der wesentliche Vorteil eines guten Passwortmanagers: Man braucht sich nur noch das eine Passwort zu merken und alles weitere kommt dann aus dem Passwortmanager. Nebenbei kann man dort auch gleich noch die URLs der Dienste und Webseiten mit ablegen und verwalten.
Viele Passwortmanager bieten zudem Schnittstellen zu diversen Browsern und erleichtern dadurch die tägliche Arbeit enorm.

Wann sollten wir unsere Passwörter ändern?

Passwörter sollten immer dann geändert werden, wenn deren Vertraulichkeit kompromittiert wurde. Wenn wir also erfahren, dass ein von uns genutzter Anbieter oder Dienst Probleme mit seinem Server hatte, ändern wir unser Passwort für genau diesen Dienst. Gute Passwortmanager unterstützen einen auch dabei, so sind solche Änderungen mit wenigen Klicks erledigt.

Gibt es bessere Anmeldeverfahren als mittels Benutzernamen und Passwort?
Ja, natürlich. Viele Seiten und Dienste bieten inzwischen die so genannte Zwei-Faktor-Authentifizierung an. Bei diesem Verfahren wird neben dem „Geheimnis“ (also dem Passwort) noch eine weitere Bedingung abgefragt. Das kann eine Keycard, ein Token (USB-Stick) oder eine Einmal-PIN, die man per SMS oder E-Mail erhält sein. Diese Anmeldeverfahren sind erheblich sicherer, da es einem Angreifer nicht helfen würde, das Passwort per Trojaner oder Backdor bei der Eingabe auszuspähen.

Eins muss man sich aber immer vor Augen führen: Bei Berichten mit Millionen oder Milliarden geklauter Passwörter kann man immer sagen, dass den User kein Verschulden getroffen hat. Es waren die Dienste-Anbieter und Web-Seitenbetreiber, die die Schwachstelle auf ihren Systemen hatten.

Gerne beraten wir sie beim Einsatz von Passwortmanagern und dem Erstellen von vernünftigen Passwort-Richtlinien

Weiterführende Informationen zu sicheren Passwörtern und einen online Passwortgenerator finden sie unter https://www.datenschutz.org/passwort-generator/