Bußgeld und Schadensersatz sind zwei grundverschiedene Sanktionsinstrumente, die parallel nebeneinander bestehen.
Bußgeld (Art. 83 DSGVO):
| Merkmal | Bußgeld | | - - - - -| - - - - -| | Zweck | Bestrafung und Abschreckung | | Verhängt durch | Aufsichtsbehörde (Verwaltungsverfahren) | | Empfänger | Staatskasse | | Voraußetzung | DSGVO-Verstoß (kein Schaden erforderlich) | | Höhe | Bis 20 Mio. EUR / 4% Jahresumsatz | | Gegen wen | Verantwortlicher oder Auftragsverarbeiter |
Schadensersatz (Art. 82 DSGVO):
| Merkmal | Schadensersatz | | - - - - -| - - - - - - - -| | Zweck | Ausgleich eines konkreten Schadens | | Durchgesetzt durch | Betroffene Person (Zivilgericht) | | Empfänger | Betroffene Person | | Voraußetzung | DSGVO-Verstoß UND tatsächlicher Schaden | | Höhe | Unbegrenzt (nach Schadenshöhe) | | Gegen wen | Verantwortlicher und/oder Auftragsverarbeiter |
Wesentliche Unterschiede:
- Empfänger: Das Bußgeld geht an den Staat, der Schadensersatz an die betroffene Person.
- Schaden erforderlich: Für ein Bußgeld genügt ein DSGVO-Verstoß; für Schadensersatz muss zusätzlich ein konkreter Schaden nachgewiesen werden.
- Initiator: Bußgelder werden von Amts wegen verhängt; Schadensersatz muss die betroffene Person aktiv einfordern (Klage).
- Kumulierung: Bußgeld und Schadensersatz schließen sich nicht aus. Ein Unternehmen kann gleichzeitig ein Bußgeld zahlen und den Betroffenen Schadensersatz leisten müßen.
- Beweislast: Beim Schadensersatz gilt eine Beweislastumkehr zugunsten der Betroffenen (Art. 82 Abs. 3 DSGVO) - der Verantwortliche muss beweisen, nicht verantwortlich zu sein.