Wenn man mal lösungsorientiert an die Sache rangehen will: Gibt es irgendeine Checkliste oder sonst ein Verfahren, an dem man sich orientieren kann, wenn man so etwas vermeiden will? Es kann ja nicht sein, dass jeder Dödel, der ein Programm schreibt, alle Fehler von vorne machen und korrigieren muss.

Zudem sei die IT-Struktur zuvor von einem externen Auditor überprüft worden, der keine Sicherheitsbedenken gehabt habe.

Das sollte nicht passieren dürfen. Aber den Auditor haftbar zu machen, halte ich auch nicht für richtig. Das würde (denke ich) nur dazu führen, dass Audits so teuer werden, dass sie noch weniger Leute machen lassen als ohnehin schon.

Es sollten Pauschalschadensersätze mit einem hohen Mindestbetrag für Betroffene eingeführt werden, die die Verursacher zahlen müssen. Dann würde sich in einigen IT-Abteilungen ratzefatze was ändern. Die DSGVO usw. greift nicht, wenn es bereits zu spät ist.