EU-DSGVO 07.06.2018, 06:58 Uhr

Zahlt die Versicherung Datenschutz-Bussen?

Seit dem 25. Mai 2018 gilt die EU-Datenschutz-Grundverordnung. Verstösse gegen den Datenschutz können dann mit saftigen Bussen sanktioniert werden. Für betroffene Unternehmen stellt sich deshalb die Frage, ob solche Bussen auf die Versicherung abgewälzt werden können.

(Quelle: shutterstock.com/Vector Plus Image)
Am 25. Mai dieses Jahres ist die EU-Datenschutz-Grundverordnung (DSGVO) in Kraft getreten. Nicht nur Unternehmen in der EU, sondern auch Schweizer Firmen sind von der DSGVO direkt betroffen und müssen diese zumindest teilweise umsetzen. Andernfalls drohen happige Bussen: Verstösse gegen die DSGVO können mit Sanktionen von bis zu 20 Millionen Euro oder 4 Prozent des globalen Jahresumsatzes des betroffenen Unternehmens bestraft werden. Es gilt der jeweils höhere Betrag. Zahlreiche Unternehmen in der Schweiz werden bis zum Stichtag die Einhaltung der DSGVO voraussichtlich nicht sicherstellen können; sie sind damit potenziell sanktionsbedroht. Für solche Unternehmen stellt sich im Falle einer Busse die Frage, ob diese auf die Versicherung überwälzt werden kann. Allgemeine Prinzipien zur Versicherbarkeit geben erste Antworten auf diese Frage.

Bussen grundsätzlich nicht versicherbar

Das Bundesgericht hat in seiner Rechtsprechung verschiedentlich festgehalten, Bussen mit Strafcharakter stellten keine ersatzfähigen Schäden dar und seien dementsprechend grundsätzlich nicht versicherbar; zuletzt hat das Bundesgericht in einem Fall betreffend Steuerbussen die Auffassung vertreten, vertragliche Abreden, wonach ein Dritter sich zur Bezahlung einer Busse verpflichte, seien widerrechtlich und somit ungültig. Deckungszusagen für Bussen in Versicherungspolicen sind deshalb mit Vorsicht zu geniessen: Es besteht ein erhebliches Risiko, dass der Anspruch auf die Versicherungsleistung im Ernstfall nicht durchgesetzt werden könnte.
Für Bussen wegen Datenschutzverstössen ist im Schweizer Recht bislang, soweit ersichtlich, kein Entscheid ergangen. In der Lehre wird teils propagiert, bei administrativen Bussen seien gerade im Datenschutzrecht Ausnahmen vorzusehen. Bis auf Weiteres muss man aber wohl davon ausgehen, dass die obigen Prinzipien auch bei Sanktionen wegen Verstössen gegen die Datenschutz-Grundverordnung Anwendung finden werden.
Der Autor
Roland Mathys
ist Co-Leiter der Rechtskommission von swissICT. Der Rechtsanwalt ist Partner bei Schellenberg Wittmer Rechtsanwälte.
Die Rechtskommission von swissICT berichtet in der Kolumne «Recht & IT» über aktuelle juristische Themen im digitalen Bereich.

Autor(in) Roland Mathys



Das könnte Sie auch interessieren