Unbedachte Herausgabe von Passwörtern an Fremde

Während meiner Datenschutz-Begehungen bei unseren Kunden erlebe ich immer wieder eine bemerkenswerte, fast schon erschreckende Situation: Beschäftigte geben mir, einer fremden Person, die nur für die Überprüfung vor Ort ist, ihr Passwort preis.
Wenn ich eine Begehung durchführe, geht es im Grunde darum, den Betrieb auf Datenschutzkonformität zu prüfen. Dafür gehe ich mit einer begleitenden Person aus dem Unternehmen durch die Räumlichkeiten und nehme unter die Lupe, wie das Unternehmen den Datenschutz lebt. Ein Teil davon ist auch ein kleiner Test meinerseits: die Abfrage des persönlichen Passworts bei einzelnen Mitarbeitenden.
Vertrauen schaffen
Zunächst ist es wichtig, Vertrauen bei den jeweiligen Personen zu schaffen. Dafür stelle ich mich kurz vor und erzähle ein paar Worte zu meiner Person. Anschließend täusche ich vor, dass ich im Zuge der Begehung eine Passwortsicherheitskontrolle vornehme – schließlich möchte ich garantieren, dass das Passwort allen Kriterien entspricht, um sicher und schwer zu knacken zu sein. Direkt im Anschluss folgt der entscheidende Moment: Erhalte ich das Passwort oder reagiert der Mitarbeitende richtig und weist meine Aufforderung zurück?
Nachhaltiger Lerneffekt
Oft hält die betroffene Person kurz inne und überlegt. Doch dann reagieren die meisten Mitarbeitenden mit einem unbedachten Vertrauensvorschuss: Man zückt einen Zettel und notiert das persönliche Passwort oder nennt die ersten Buchstaben und Zahlen. An diesem Punkt unterbreche ich das Geschehen und kläre den Mitarbeitenden darü…