„Wenn der Kunde des Angeklagten Verantwortlicher i. S. d. DSGVO ist und der Geschädigte Auftragsverarbeiter des Kunden, wäre der Kunde ja verpflichtet gewesen, den Geschädigten hinsichtlich seiner datenschutzrechtlichen und damit auch IT-Sicherheit zu prüfen.
Um den Sachverhalt noch einmal auf den Punkt zu bringen:
S ist eine Firma, die Server im Internet bereit stellt.
P ist ein freier Programmierer, der im Auftrag von S angefordert wird (und der Beklagte)
A ist ein Softwareanbieter, der seine Dienste (Softwarenutzung) über die Server von S anbietet (und der Kläger)
Kkkk seien der Vollständigkeit halber noch genannt - es sind die Kunden von A, die dessen Software nutzen und daruber Daten speichern und verarbeiten (was auf den Servern von S passiert).
S hat nun festgestellt, dass die Programme von A seine Server mit Protokolldateien "zumüllen". Daraufhin hat S den P beauftragt, herauszufinden, was die Ursache dafür ist. Meist passiert so etwas bei unvorhergesehenen Abläufen (viele Fehlermeldungen).
P hat daraufhin das Programm von A analysiert, um die Ursache für die Fehler zu finden (ob er es geschafft hat, tut hier nichts zur Sache) und dabei festgestellt, dass im Programm von A ein Generalpasswort unverschlüsselt zu sehen ist. Jeder Kkkk hat Zugriff auf die Datei mit diesem Passwort und kann es mit relativ geringen IT-Kenntnissen so ausspähen. Jeder, der das Passwort kennt, kann damit auf die gesamte (!) Datenbank des Programms von A zugreifen, welche die Daten aller Kkkk enthält.
Auf diese gravierende Sicherheitslücke hat P den A hingewiesen, woraufhin A die Lücke geschlossen hat.
Danach hat P diese Sicherheitslücke auch öffentlich gemacht, das z.B. die Kkkk Maßnahmen ergreifen können, falls bereits jemand unberechtigt Daten abgreifen oder verändern konnte. So etwas ist in der Branche allgemein üblich - auch weil andere IT-Firmen ebenfalls aus solchen Fehlern lernen können.
Daraufhin hat A und P wegen des Auslesens dieses Passworts (was relativ einfach möglich war, also ohne Rückübersetzung des Programms in den Quellcode). Das Passwort war mit einem einfachen Texteditor in der Ptogrammdatei lesbar. Vom Sicherheitsaspekt etwa so sicher wie ein Fahrrad mit einem Seil und drei Knoten gegen Diebstahl zu sichern.
Und P hat ja nicht das Fahrrad gestohlen, sondern nur dem Eigentümer aufgezeigt, wie einfach der Knoten im Seil zu lösen ist.