Datenbestände, die aus dem Internet erreichbar sind, sind besonders zu schützen. Aber solange die Daten via Internet erreichbar sein sollen, gibt es keine absolute Sicherheit. Es gibt letztlich nur verschiedene Grade der „vulnerability“. Es geht aber zentral darum, insbesondere personenbezogene Daten zu schützen. Dies ist das primäre Interesse. Daher hat sich ein Standardverfahren im Zusammenhang mit entdeckten Schwachstellen etabliert:
1) Der „Eigentümer“ / Admin der Webseite (Datenhaltungssystem) ist über die Schwachstellen zu informieren. Alle diesbezüglich verfügbaren Informationen werden ihm zur Verfügung gestellt.
2) Dem „Eigentümer“ / Admin der Webseite (Datenhaltungssystem) wird eine Frist (abhängig von der Gravidität der Schwachstelle) zur Behebung eingeräumt.
3) Danach (in gravierenden Fälle ggf. auch parallel) wir die zuständige Aufsichtsbehörde (Datenschutzbeauftragter) über das entdeckte Problem informiert.
4) Erst, wenn keine Abhilfe innerhalb einer vertretbaren Frist erfolgt, wird in Abstimmung mit der zuständigen Behörde die erkannte Schwachstelle (ohne weitere technische Angaben) öffentlich gemacht.
5) Nachdem das Problem behoben wurde und die Sicherheit der Daten gewährleistet ist, dürfen technische Details der Schwachstelle veröffentlicht werden.
Correctiv hat sich offensichtlich (möglicherweise aus Eigeninteresse) nicht an dieses Verfahren gehalten. Vielmehr hat es versucht, die Schwachstelle durch Verwendung der Daten zum eigenen Nutzen zu verwenden. Sie haben offensichtlich primär nicht auf einen Beitrag zur Behebung des Problems fokussiert, sondern umgekehrt die Daten für ihre Arbeit verwendet. Vor diesem Hintergrund trägt die Bekanntmachung des vulnerability eher denunziatorisch Züge.