[...] Heutzutage muss man auch an die Vorratsdatenspeicherung denken. Passwörter würden u. U. mit Auth-Methode "basic" offen sechs Monate zugänglich sein.

Allerdings wird so etwas (angesurfte Websites inkl. ihrer Header order gar HTTP body) von der Vorratsdatenspeicherung gerade nicht erfasst.