Zahlt die Versicherung Datenschutz-Bussen?

Am 25. Mai dieses Jahres ist die EU-Datenschutz-Grundverordnung (DSGVO) in Kraft getreten. Nicht nur Unternehmen in der EU, sondern auch Schweizer Firmen sind von der DSGVO direkt betroffen und müssen diese zumindest teilweise umsetzen. Andernfalls drohen happige Bussen: Verstösse gegen die DSGVO können mit Sanktionen von bis zu 20 Millionen Euro oder 4 Prozent des globalen Jahresumsatzes des betroffenen Unternehmens bestraft werden. Es gilt der jeweils höhere Betrag. Zahlreiche Unternehmen in der Schweiz werden bis zum Stichtag die Einhaltung der DSGVO voraussichtlich nicht sicherstellen können; sie sind damit potenziell sanktionsbedroht. Für solche Unternehmen stellt sich im Falle einer Busse die Frage, ob diese auf die Versicherung überwälzt werden kann. Allgemeine Prinzipien zur Versicherbarkeit geben erste Antworten auf diese Frage.

Das Bundesgericht hat in seiner Rechtsprechung verschiedentlich festgehalten, Bussen mit Strafcharakter stellten keine ersatzfähigen Schäden dar und seien dementsprechend grundsätzlich nicht versicherbar; zuletzt hat das Bundesgericht in einem Fall betreffend Steuerbussen die Auffassung vertreten, vertragliche Abreden, wonach ein Dritter sich zur Bezahlung einer Busse verpflichte, seien widerrechtlich und somit ungültig. Deckungszusagen für Bussen in Versicherungspolicen sind deshalb mit Vorsicht zu geniessen: Es besteht ein erhebliches Risiko, dass der Anspruch auf die Versicherungsleistung im Ernstfall nicht durchgesetzt werden könnte.

Für Bussen wegen Datenschutzverstössen ist im Schweizer Recht bislang, soweit ersichtlich, kein Entscheid ergangen. In der Lehre wird teils propagiert, bei administrativen Bussen seien gerade im Datenschutzrecht Ausnahmen vorzusehen. Bis auf Weiteres muss man aber wohl davon ausgehen, dass die obigen Prinzipien auch bei Sanktionen wegen Verstössen gegen die Datenschutz-Grundverordnung Anwendung finden werden.