Kann ich nur unterstützen! Die DSGVO gibt dieses Verfahren zwar nicht zwingend vor - man spricht allerdings davon, dass "der Schutz der Daten gewährleistet sein muss". Trotz der nicht zu unterschätzenden Komforteinbuße, sollten insbesondere die hier hinterlegten personenbezogenen Daten über 2FA abgesichert werden. Das beim Versenden von Links an die Kunden ausblendbare Passwort ist m.E. kein ausreichender Schutz. Die Finanz-/Transaktionsdaten sind m.M. nach über die jeweiligen Zahlungsdienstleister abgesichert ... aber ich bin nicht sicher, ob ich Robert da richtig verstanden habe und er diese Daten meint.

... es geht auch um Kundendaten, Bilder, usw...