Am 25. Mai dieses Jahres ist die EU-Datenschutz-Grundverordnung (DSGVO) in Kraft getreten. Nicht nur Unternehmen in der EU, sondern auch Schweizer Firmen sind von der DSGVO direkt betroffen und müssen diese zumindest teilweise umsetzen. Andernfalls drohen happige Bussen: Verstösse gegen die DSGVO können mit Sanktionen von bis zu 20 Millionen Euro oder 4 Prozent des globalen Jahresumsatzes des betroffenen Unternehmens bestraft werden. Es gilt der jeweils höhere Betrag. Zahlreiche Unternehmen in der Schweiz werden bis zum Stichtag die Einhaltung der DSGVO voraussichtlich nicht sicherstellen können; sie sind damit potenziell sanktionsbedroht. Für solche Unternehmen stellt sich im Falle einer Busse die Frage, ob diese auf die Versicherung überwälzt werden kann. Allgemeine Prinzipien zur Versicherbarkeit geben erste Antworten auf diese Frage.

Das Bundesgericht hat in seiner Rechtsprechung verschiedentlich festgehalten, Bussen mit Strafcharakter stellten keine ersatzfähigen Schäden dar und seien dementsprechend grundsätzlich nicht versicherbar; zuletzt hat das Bundesgericht in einem Fall betreffend Steuerbussen die Auffassung vertreten, vertragliche Abreden, wonach ein Dritter sich zur Bezahlung einer Busse verpflichte, seien widerrechtlich und somit ungültig. Deckungszusagen für Bussen in Versicherungspolicen sind deshalb mit Vorsicht zu geniessen: Es besteht ein erhebliches Risiko, dass der Anspruch auf die Versicherungsleistung im Ernstfall nicht durchgesetzt werden könnte.

Für Bussen wegen Datenschutzverstössen ist im Schweizer Recht bislang, soweit ersichtlich, kein Entscheid ergangen. In der Lehre wird teils propagiert, bei administrativen Bussen seien gerade im Datenschutzrecht Ausnahmen vorzusehen. Bis auf Weiteres muss man aber wohl davon ausgehen, dass die obigen Prinzipien auch bei Sanktionen wegen Verstössen gegen die Datenschutz-Grundverordnung Anwendung finden werden.

Keine Regel ohne Ausnahme: Wenn eine von einer ausländischen Behörde verhängte Busse durch ein Schweizer Gericht als übermässig oder konfiskatorisch eingestuft würde, könnte dies als Verstoss gegen den schweizerischen «Ordre Public» verstanden werden. Als Folge davon würde die Sanktion (im überschiessenden Ausmass) nicht mehr als Strafe, sondern als ersatzfähiger Schaden eingestuft, gegen dessen Versicherbarkeit keine Einwände bestehen. Ein Vergleich der Sanktionshöhen in der Europäischen Union mit der Schweiz, wo der gegenwärtig im Parlament beratene Entwurf zu einem revidierten Datenschutzgesetz eine Maximalbusse von 500 000 Franken vorsieht, zeigt auf, dass eine in der EU ausgesprochene Sanktion in Millionenhöhe in der Schweiz möglicherweise als exorbitant eingestuft würde. Dementsprechend wäre eine Strafe also zumindest teilweise versicherbar. Eine Praxis dazu wird sich aber erst noch entwickeln müssen. Nicht unter den generellen Ausschluss der Versicherbarkeit fallen zudem alle Kosten, die einem Unternehmen im Zuge der Aufarbeitung eines Datenschutzverstosses entstehen. Hierzu zählen beispielsweise Schadenersatzforderungen Dritter, Aufwände zur Schadensminderung, Datenwiederherstellungskosten oder Aufwände im Zusammenhang mit dem Krisenmanagement sowie zur anwaltlichen Beratung und Vertretung.

Insgesamt dürften der Versicherbarkeit von Sanktionen bei Datenschutzverstössen enge Grenzen gesetzt sein. Unternehmen sind daher gut beraten, im Ernstfall nicht auf die Versicherungsdeckung zu vertrauen, sondern diesen durch entsprechende Compliance-Massnahmen gar nicht eintreten zu lassen.