Zugegeben, ein etwas weit hergeholtes Beispiel. Wobei es leider schon oft so war dass selbst das beste offene Design sich später als unzureichend heraus stellt. Stichwort Heartbleed beim OpenSSL.

Am eigentlichen Problem ändert das jedoch nichts. Du hast einfach eine nahezu unüberschaubare Menge an Wegen, wie du Informationen sammeln kannst. Nicht mal immer absichtlich. Das wollte ich damit eigentlich sagen: Personenbezogene Daten können auch zufällig anfallen, ohne das dies geplant wäre.

Nehmen wir handelsübliche Webhosting-Angebote. Du bastelst dir einen einfachen REST-Service mit einem LAMP-Backend. Du dokumentierst sämtliche Informationswege wunderbar und streng nach Vorschrift. Irgendwann stellt sich heraus, dein Webhoster hat sein automatisiertes Mysql-Backup bei irgendeinem Cloudservice ausgelagert und von dort sind deine Kundendaten "verdunstet".

Oder du betreibst einen Webshop, hast viel Geld für Anwälte und AGB + Datenschutzerklärung ausgegeben und deine Magento-Agentur klemmt dir mal fix Google Analytics ins Shoptemplate, weil man die SEO-Plugins evaluieren will. Nur dass das in deinen teuer eingekauften Unterlagen nicht vorgesehen war.

Das Problem dabei ist, dass immer den letzten die Hunde beißen. Und der darf dann sehen wie er die Verantwortlichkeitskette nach oben aufgedröselt bekommt.

Darum finde ich den ursprünglichen Ansatz der hier im Thread genannt wurde, das Prinzip der Datensparsamkeit, immer noch den sichersten. Weniger für den Kunden/Nutzer, dem das sowieso meist piepegal ist sondern mehr für den Anbieter.