Ausgangspunkt der Klage war die Tatsache, dass infolge eines Cyberangriffs millionenfach Steuerdaten von Privatpersonen aus dem IT-System einer Behörde im Internet veröffentlicht worden waren. Das Oberste Verwaltungsgericht Bulgariens legte dem EuGH u. a. die Frage vor, inwiefern in einem solchen Fall der Ersatz eines immateriellen Schadens in Betracht komme. In seinem Urteil stellte der EuGH nun Folgendes klar: 

• Der für die Verarbeitung Verantwortliche trage die Beweislast für die Angemessenheit der Sicherheitsmaßnahmen, die er gem. Art. 32 DS-GVO umgesetzt hat (Art. 5 Abs. 2 und Art. 24 DS-GVO).
• Der für die Verarbeitung Verantwortliche könne von seiner Verpflichtung zum Ersatz des einer Person entstandenen Schadens nicht allein deshalb befreit werden, weil dieser Schaden auf die unbefugte Weitergabe personenbezogener Daten oder den unbefugten Zugang zu solchen Daten durch „Dritte“ iSv Art. 4 Nr. 10 DS-GVO zurückzuführen ist, wobei der für die Verarbeitung Verantwortliche dann nachweisen muss, dass die Handlung, die den betreffenden Schaden verursacht hat, ihm in keiner Weise zuzurechnen ist.

Die Furcht vor einem potenziellen Missbrauch ihrer personenbezogenen Daten durch Dritte, die eine betroffene Person infolge eines Verstoßes gegen diese Verordnung hat, sei für sich genommen geeignet, einen „immateriellen Schaden“ iSd DS-GVO darzustellen. Eine Haftungsbefreiung nach Art. 82 Abs. 3DS-GVO sei aber möglich, wenn es nachgewiesen an einem Kausalzusammenhang zwischen Schaden und Pflichtverletzung fehle.