Mit diesem Urteil hatte sich der EuGH mit einem Cyberangriff auf das IT-System der bulgarischen Finanzbehörde zu befassen, duch den in der Folge Daten von mehr als sechs Millionen Personen im Internet veröffentlicht wurden. Hunderte Kläger verlangten daraufhin Schadensersatz für diese Offenlegung. Es sei zu einem immateriellen Schaden durch Sorgen um zukünftigen Missbrauch ihrer Daten gekommen. Der Verantwortliche sah sich nicht in der Haftung, weil angemessene Sicherheitsmaßnahmen gesetzt gewesen seien und die Offenlegung durch die „Cyberkriminellen“ erfolgte.

Für die weitere datenschutzrechtliche Praxis im Bereich der Privacy Litigation bietet der EuGH folgende Klarstellungen:

📌 Der Verantwortliche muss angemessene TOMs treffen, die dem konkreten Risiko der Datenverarbeitung und den Datenschutzbedürfnissen entsprechen.
📌 Ein unbefugter Datenzugriff allein reicht nicht aus, um die Mangelhaftigkeit der vom Verantwortlichen getroffenen TOMs zu beweisen. Der Verantwortliche kann den Gegenbeweis erbringen.
📌 Die Rechenschaftspflicht des Verantwortlichen erfordert den Nachweis der Eignung der getroffenen Maßnahmen, jedoch keine vollständige Verhinderung jeglicher Datenschutzverletzung.
📌 Keine schadenersatzrechtliche Haftung des Verantwortlichen wenn es am Kausalzusammenhang zwischen seinem Verstoß und dem entstandenen Schaden fehlt.
📌 Ein immaterieller Schaden kann auch vorliegen, wenn eine Person befürchtet, dass ihre Daten in Zukunft missbräuchlich verwendet werden könnten, auch wenn dieser Missbrauch (noch) nicht erfolgt ist.