DSGVO-Sanktionen – ein Fall für die Versicherung?

Am 25. Mai 2018 wird die EU-Datenschutzgrundverordnung (DSGVO) in Kraft treten. Nicht nur Unternehmen in der EU, sondern auch Schweizer Firmen werden von der DSGVO direkt betroffen sein und diese zumindest teilweise umsetzen müssen. Andernfalls drohen happige Bussen: Verstösse gegen die DSGVO können mit Sanktionen von bis zu EUR 20 Mio. oder vier Prozent des globalen Jahresumsatzes des betroffenen Unternehmens bestraft werden (wobei der jeweils höhere Betrag gilt).

Zahlreiche Unternehmen in der Schweiz werden bis zum 25. Mai 2018 die Einhaltung der DSGVO voraussichtlich nicht sicherstellen können; sie sind damit potenziell sanktionsbedroht. Für solche Unternehmen stellt sich im Falle einer Busse die Frage, ob diese auf die Versicherung überwälzt werden kann. Allgemeine Prinzipien zur Versicherbarkeit geben erste Antworten auf diese Frage.

Bussen grundsätzlich nicht versicherbar

Das Bundesgericht hat in seiner Rechtsprechung verschiedentlich festgehalten, Bussen mit Strafcharakter stellten keine ersatzfähigen Schäden dar und seien dementsprechend grundsätzlich nicht versicherbar; zuletzt hat das Bundesgericht in einem Fall betreffend Steuerbussen die Auffassung vertreten, vertragliche Abreden, wonach ein Dritter sich zur Bezahlung einer Busse verpflichte, seien widerrechtlich und somit ungültig. Deckungszusagen für Bussen in Versicherungspolicen sind deshalb mit Vorsicht zu geniessen: Es besteht ein erhebliches Risiko, dass der Anspruch auf die Versicherungsleistung im Ernstfall nicht durchgesetzt werden könnte.

Für Bussen wegen Datenschutzverstössen ist im Schweizer Recht bislang soweit ersichtlich kein Entscheid ergangen. In der Lehre wird teils propagiert, bei administrativen Bussen seien gerade im Datenschutzrecht Ausnahmen vorzusehen. Bis auf weiteres ist jedoch davon auszugehen, dass die obigen Prinzipien auch bei Sanktionen wegen Verstössen gegen die DSGVO Anwendung finden werden.

Ausnahmen bei überhöhten Bussen denkbar

Keine Regel ohne Ausnahme: Wenn eine von einer ausländischen Behörde verhängte Busse durch ein Schweizer Gericht als übermässig oder konfiskatorisch eingestuft würde, könnte dies als Verstoss gegen den schweizerischen „Ordre Public“ verstanden werden. Als Folge davon würde die Sanktion (im überschiessenden Ausmass) nicht mehr als Strafe, sondern als ersatzfähiger Schaden eingestuft, gegen dessen Versicherbarkeit keine Einwände bestehen. Ein Vergleich der Sanktionshöhen in der EU (vgl. oben) mit der Schweiz, wo der gegenwärtig im Parlament beratene Entwurf zu einem revidierten Datenschutzgesetz eine Maximalbusse von CHF 500’000 vorsieht, zeigt auf, dass eine in der EU ausgesprochene Sanktion in Millionenhöhe in der Schweiz möglicherweise als exorbitant eingestuft würde und entsprechend teilweise versicherbar wäre. Eine Praxis dazu wird sich aber erst noch entwickeln müssen.

Andere Kosten bei Datenschutzverstössen versicherbar

Nicht unter den generellen Ausschluss der Versicherbarkeit fallen zudem alle Kosten, die einem Unternehmen im Zuge der Aufarbeitung eines Datenschutzverstosses entstehen, wie beispielsweise Schadenersatzforderungen Dritter, Aufwände zur Schadensminderung, Datenwiederherstellungskosten oder Aufwände im Zusammenhang mit dem Krisenmanagement sowie zur anwaltlichen Beratung und Vertretung.

Insgesamt dürften der Versicherbarkeit von Sanktionen bei Datenschutzverstössen enge Grenzen gesetzt sein. Unternehmen sind somit gut beraten, nicht auf die Versicherungsdeckung im Ernstfall zu vertrauen, sondern den Ernstfall durch entsprechende Compliance-Massnahmen schon gar nicht eintreten zu lassen.

Disclaimer: