Das unwahrscheinlichste Bedrohungsszenario.
Darüber entscheiden nicht die Programmierer und das ist auch nicht die Frage. Denn auch das ist gesetzlich geregelt! Ein Unternehmen was mit sicherheitsrelevanten Daten, also auch mit personenbezogenen Daten arbeitet, implementiert eine klar definierte Secure Policy und muss jederzeit darüber Rechenschaft ablegen können. Also gibt es auch entsprechende Kontrollorgane die im vorliegenden Fall ganz offensichtlich versagt haben!
MfG