Mangelnde Passwort-Hashes nicht zwingend DSGVO-Verstoß