Die aktuelle Rechtsprechung zur Beschaffenheit von Passwörtern in Deutschland orientiert sich vor allem an den Anforderungen der Datenschutz-Grundverordnung (DSGVO) und den Empfehlungen des Bundesamts für Sicherheit in der Informationstechnik (BSI). Es gibt keine expliziten gesetzlichen Vorgaben, wie ein Passwort genau beschaffen sein muss, aber Gerichte und Aufsichtsbehörden nehmen regelmäßig Bezug auf anerkannte Standards und Empfehlungen. **Wichtige Punkte:** 1. **Stand der Technik:** Nach Art. 32 DSGVO müssen Verantwortliche „geeignete technische und organisatorische Maßnahmen“ treffen, um personenbezogene Daten zu schützen. Dazu gehört auch die Verwendung sicherer Passwörter. 2. **BSI-Empfehlungen:** Das BSI empfiehlt für Passwörter u.a.: - Mindestens 8 Zeichen (besser 12 oder mehr) - Kombination aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen - Keine einfachen oder leicht zu erratenden Begriffe (z.B. „123456“ oder „Passwort“) - Regelmäßige Überprüfung und ggf. Änderung bei Verdacht auf Kompromittierung Quelle: [BSI – IT-Grundschutz-Kompendium](https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Passwoerter/passwoerter_node.html) 3. **Gerichtsurteile:** Gerichte haben in Einzelfällen entschieden, dass zu einfache Passwörter (z.B. „123456“) nicht dem Stand der Technik entsprechen und im Schadensfall zu einer Haftung führen können (z.B. LG Bonn, Urteil vom 01.07.2020, Az. 10 O 171/18). 4. **Haftung:** Unternehmen können haftbar gemacht werden, wenn sie keine angemessenen Passwortschutzmaßnahmen treffen und dadurch Daten kompromittiert werden. **Fazit:** Die Rechtsprechung verlangt, dass Passwörter dem Stand der Technik entsprechen. Das bedeutet: Sie müssen ausreichend lang und komplex sein und dürfen nicht leicht zu erraten sein. Die Orientierung an den BSI-Empfehlungen gilt als Mindeststandard. Weitere Informationen findest du beim [BSI](https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Passwoerter/passwoerter_node.html) und in der [DSGVO](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32016R0679).