Was mir in der Debatte hier (und im Schrotturteil) fehlt: Es ist halt für den IT-Experten null absehbar gewesen, dass er mit dem Passwort dann direkt Zugriff auf die komplette Kundendatenbank bekommen würde. Es wäre absolut zu erwarten, dass man mit einem bei einem Kunden praktisch im Klartext gespeichertem Passwort dann Zugriff auf die eigenen Kundendaten hat. Also auf die Daten, die man eh sehen darf. Das ist so als wenn man in einer Bank dann die Tür mit dem Schild “WC” öffnet und dann plötzlich im Tresorraum steht und wegen Bankraubs verurteilt wird.

Leider, leider ein korrektes Urteil nach aktueller Rechtslage.
Dadurch, dass er an das Passwort gekommen ist, hat er die Sicherheitslücke bereits entdeckt und hätte die Firma darauf hinweisen können, ohne sich strafbar zu machen.
Durch das Einloggen in phpMyAdmin hat er dann die Kundendaten gesehen, was einen echten finanziellen Schaden verursacht, wenn man die DSGVO ernst nimmt. Denn jetzt ist das Unternehmen nicht nur gezwungen, die Sicherheitslücke zu schließen, sondern muss auch alle Kunden darüber informieren, dass ihre Daten von einer nicht berechtigten Person eingesehen wurden. (Ohne Kenntnis, dass jemand die Daten tatsächlich gesehen hat wären sie dazu nicht verpflichtet.)

Ich befürworte das Urteil hier nicht, ich sage nur dass hier die Rechtslage scheiße ist. Der Richter hatte da wenig Wahl, er muss sich an die geschriebenen Gesetze halten.