W marcu 2021 r. Sąd drugiej instancji w Stuttgarcie oddalił apelację od wyroku Sądu Okręgowego, który oddalił powództwo związane z naruszeniem ochrony danych osobowych.  Sprawa ta zaczęła się w sierpniu 2019 r., gdy w wyniku ataku hackerskiego dane osobowe powoda zostały “podsłuchane” przez osoby trzecie oraz opublikowane w internecie. Zaatakowana firma dopiero w październiku 2020 r. dysponowała pełnym zakresem wiedzy dotyczącej przedmiotowego ataku, w tym ilością osób, których dotyczyło naruszenie ochrony danych.   Wyższy Sąd Okręgowy w Stuttgarcie wskazał w swoim wyroku, iż Sąd pierwszej instancji prawidłowo ocenił zebrany materiał dowodowy, gdyż: pozwany nie naruszył ciążących na nim obowiązków ochrony danych osobowych w sposób zawiniony (art 82 ust. 3 RODO), gdyż sumiennie wybrał podmiot przetwarzający, który brał udział w przetwarzaniu danych osobowych (podmiot ten dysponował wdrożoną normą ISO 27001:2017 jak i standardem PCI-DSS; wybrany podmiot przetwarzający był umownie zobowiązany do spełnienia wszystkich wymogów RODO, a pozwany (administrator) regularnie sprawdzał deklarowaną zgodność z RODO; roszczenie z art. 82 RODO zakłada, że naruszenie przepisów RODO musi wyrządził szkodę osobie, której dane dotyczą; norma wskazana w art. 82 RODO nie czyni wyjątku od wymogu wykazania związku przyczynowego między naruszeniem, a szkodą, ale zakłada, że szkoda musi być spowodowana naruszeniem RODO; odpowiedzialność wskazana w art. 82 RODO nie skutkuje odwróceniem ciężaru dowodowego w procesie odszkodowawczym.