Das Bundesverwaltungsgericht hat in Sachen EDÖB vs. Helsana betr. Helsana+-App das langerwartete Urteil gefällt (Urteil A‑3548/2018 vom 19. März 2019). Die Helsana+-App ist eine App für das Bonusprogramm Helsana+, bei dem Teilnehmer Punkte sammeln und diese in Boni umwandeln können. Dabei stellten sich u.a. Fragen im Zusammenhang mit der Einwilligung, mit der Bekanntgabe von Personendaten durch Grundversicherer. Strittig war ferner die Frage, ob die Bonifizierung der App-Nutzer gegen das krankenversicherungsrechtliche Verbot der Prämienrückerstattung verstiess und – falls ja – ob sich daraus ergab, dass auch die damit im Zusammenhang stehenden Datenbearbeitungen unrechtmässig (i.S.v. Art. 4 Abs. 1 DSG) sind (was der EDÖB geltend gemacht hatte).
Hintergrund
Die App funktioniert – in der beurteilten Version – wie folgt (E. A):
Die Helsana Zusatzversicherungen AG betreibt das App-gestützte Bonusprogramm „Helsana+“ […]. Die Teilnehmerinnen und Teilnehmer am Programm können […] Pluspunkte sammeln, die sie in Boni […] umwandeln können. Bonusberechtigt sind nur die Versicherungsnehmer einer Versicherungsgesellschaft der Helsana AG (Helsana Zusatzversicherungen AG, Helsana Versicherungen AG und Progres Versicherungen AG). Die App übermittelt keine Gesundheits- und Bewegungsdaten […]. Für Versicherungsnehmer der obligatorischen Krankenpflegeversicherung und der Zusatzversicherung werden unterschiedliche Boni gewährt. Für die Ermittlung der Teilnahmeberechtigung sowie die Berechnung der Höhe der Boni klärt die Helsana Zusatzversicherungen AG die Versicherteneigenschaften der Teilnehmerinnen und Teilnehmer ab. Dafür fordert sie von diesen im Rahmen des Registrierungsprozesses über die App die Einwilligung ein, Daten von der obligatorischen Krankenpflegeversicherung der Helsana-Gruppe zur Zusatzversicherung zu übertragen.
Dabei sahen die Nutzungsbedingungen vor:
Für die Registrierung und Identifikation des Nutzers zur Vollversion ist die Angabe der Versichertennummer, der PLZ und des Geburtsdatums sowie der E‑Mail-Adresse erforderlich.
Helsana ist berechtigt, zwecks Identifikation des Nutzers Einblick in die entsprechenden Daten der jeweiligen Versicherungsgesellschaften der Helsana-Gruppe zu nehmen.
In Ziff. B.4 „Einwilligung zum Abgleich mit Versichertendaten des Nutzers“ sahen die Bestimmungen ferner vor:
Der Nutzer stimmt ausdrücklich zu, dass Helsana im Rahmen der Abwicklung der Helsana+ App auf die bei den Versicherungsgesellschaften der Helsana-Gruppe vorhandenen Versichertendaten des Nutzers zurückgreifen darf.
Bereits vor dem Entscheid des BVGer stellte die Helsana die Funktionsweise der App allerdings um. Neu erfolgt keine Bekanntgabe von Daten durch den Grundversicherer mehr. Die Teilnehmer laden vielmehr ein Foto ihrer Krankenkassenkarte hoch. Eine Einwilligung ist daher gar nicht mehr erforderlich, weshalb der Entscheid des BVGer für die App keine Auswirkungen mehr hat.
Zur Rechtmässigkeit i.S.v. Art. 4 Abs. 1 DSG
In diesem Punkt ist das Urteil klar: Eine Verletzung gesetzlicher Bestimmungen führt nur dann zur Unrechtmässigkeit der Datenbearbeitung, wenn die verletzte Norm den Schutz der Persönlichkeit bezweckt:
5.4.4 Zusammenfassend ist der Grundsatz der Rechtmässigkeit von Art. 4 Abs. 1 DSG so zu verstehen, dass eine Datenbearbeitung zu einem rechtswidrigen Zweck erst dann unrechtmässig im Sinne des Datenschutzgesetzes ist, wenn dabei gegen eine Norm verstossen wird, die zumindest auch, direkt oder indirekt, den Schutz der Persönlichkeit einer Person bezweckt.
Demgegenüber ist die Verletzung eine Norm datenschutzrechtlich irrelevant, wenn diese Norm keinen Persönlichkeitsschutz bezweckt. Das ist an sich selbstverständlich, denn wie jedes andere Rechtsgebiet hat das Datenschutzrecht seinen eigenen Schutzzweck, auch wenn das Datenschutzrecht durch den breiten sachlichen Anwendungsbereich – Bearbeitung von Personendaten – das Potential hat, zu einer undifferenzierten Superregulierung zu werden. Aber würde man jede Rechtsverletzung als Datenschutzverletzung sehen, sobald dabei Personendaten bearbeitet werden, dann müsste – nur leicht überspitzt – auch die Luftreinhalteverordnung verletzt sein, wenn der Täter atmet. Es bestehen durchaus Anzeichen dafür, dass der Regelungsanspruch des Datenschutzrechts überdehnt wird, wenn man an Bestimmungen kartellrechtlichen Einschlags wie das auch in der Schweiz propagierte Recht auf Datenportabilität denkt oder an die Tatsache, dass im Ingress des revidierten Datenschutzgesetzes neuerdings auch Art. 97 Abs. 1 BV genannt wird, die Verfassungsgrundlage des Konsumentenschutzrechts. Vor diesem Hintergrund lässt sich der kürzliche Entscheid des deutschen Bundeskartellamts in Sachen Facebook als berechtigte Reaktion des Kartellrechts auf Vereinnahmungsversuche durch das Datenschutzrecht lesen. Mit dem Urteil des BVGer ist nun hoffentlich klar, dass das Datenschutzrecht kein Vehikel ist, andersartigen Regelungszielen zum Durchbruch zu verhelfen. Das wird umso wichtiger, wenn die datenschutzrechtlichen Sanktionen verstärkt werden.
Zur Einwilligung
Für die Praxis bedeutsam sind die Erwägungen des BVGer zum Thema Einwilligung. Hier gab das BVGer dem EDÖB teilweise recht: Die Einwilligung der grundversicherten Nutzer der App in die Bekanntgabe ihrer Daten an die Betreiberin der App, die Trägerin der Zusatzversicherung, sei unwirksam.
Weshalb ein Einwilligungserfordernis?
Ein Einwilligungserfordernis sah das BVGer offenbar aus zwei Gründen:
- Die Bearbeitung von Personendaten aus der Grundversicherung (der obligatorischen Krankenpflegeversicherung, “OKP”) im Rahmen der App verletzt aus Sicht des BVGer den Zweckbindungsgrundsatz (E. 4.7), was eine Rechtfertigung verlangt.
- Sodann erfolgte im Rahmen der App zunächst eine Bekanntgabe von Daten durch einen Grundversicherungsträger an die Helsana, weil die Grundversicherteneigenschaft u.a. für die Berechnung der Höhe der Boni relevant war. Daher liess sich die Helsana als Betreiberin der App durch den OKP-Versicherer bestätigen, dass teilnehmende Nutzer grundversichert waren. Darin liegt nach Auffassung des BVGer eine Datenbekanntgabe durch den OKP-Versicherer. Eine solche Datenbekanntgabe ist im Rahmen von Art. 84a KVG in bestimmten Konstellationen zulässig, u.a. mit Einwilligung i.S.v. Art. 84a Abs. 5 lit. b KVG.
Das BVGer folgt in seiner Prüfung der Einwillung mehr oder weniger diesem Aufbau, prüft also zunächst die Wirksamkeit der Einwilligung nach allgemeinen Grundsätzen und fragt im Anschluss, ob die Einwilligung in die Bekanntgabe durch den OKP-Versicherer vor Art. 84a Abs. 5 KVG standhält.
Kopplungsverbot nicht verletzt
Zunächst hielt das BVGer fest, dass das Kopplungsverbot nicht verletzt war, d.h. dass die Verbindung von App und Einwilligung die Freiwilligkeit der Einwilligung nicht entfallen liess. Der EDÖB hatte in seiner Klage die Ansicht vertreten, die Einwilligung sei unfreiwillig, weil der Zugang zur App an die Einwilligung gekoppelt war. Das BVGer sieht dies nun anders:
- Zum einen war die Kopplung nicht sachfremd:
Die Einwilligung erfolgt entgegen den Vorbringen des Klägers freiwillig, da der Nachteil, der bei einer Nichteinwilligung droht – die Unmöglichkeit der Teilnahme am Programm Helsana+ – einen direkten Bezug zu den Daten aufweist, für deren Bearbeitung die Einwilligung eingeholt wird und damit kein unzulässiger Zwang zur Erteilung der Einwilligung vorliegt […]: Ohne die Beschaffung der Personendaten kann die Beklagte nicht kontrollieren, ob eine Versichertenbeziehung zu einer andern Versicherungsgesellschaft der Helsana-Gruppe vorliegt, was wiederum eine Voraussetzung für die Teilnahme am Programm Helsana+ darstellt, und zu Bonuspunkten im Rahmen des Programms berechtigt.
- Zum anderen lag auch darin, dass die Programmteilnahme monetäre Vorteile hatte, kein unzulässiger Zwang :
Der Umstand allein, dass die Beklagte für die Teilnahme am Programm mit geldwerten Vorteilen und insbesondere mit Bargeldboni wirbt (in der Höhe von maximal Fr. 75.-pro Jahr bei nur grundversicherten Personen), stellt ebenfalls keinen unzulässigen Zwang dar.
Diese Haltung des BVGer war nicht unbedingt selbstverständlich, zumal das BGVer selbst – im KSS-Entscheid (A‑3908/2008 vom 4.8.2009) – eine recht restriktive Haltung vertreten hatte. Mit dem vorliegenden Urteil dürfte nun aber feststehen, dass eine Kopplung des Zugang zu einer Leistung an eine Einwilligung zumindest dann unschädlich ist, wenn die Kopplung sachgerecht ist, d.h. wenn die fragliche Datenbearbeitung in der Ausgestaltung der betreffenden Leistung selbst angelegt ist. Nicht ganz klar wird dagegen, ob und unter welchen Umständen unverhältnismässige Vorteile die Freiwilligkeit entfallen lassen. Die zitierte Passage klingt aber zumindest so, dass geldwerte Vorteile die Freiwilligkeit der Einwilligung grundsätzlich nicht entfallen lassen können.
Art. 84a Abs. 5 KVG verletzt
Mit Bezug auf die Bekanntgabe durch den OKP-Versicherer prüft das BVGer die Voraussetzungen von Art. 84a Abs. 5 lit. b KVG. Danach dürfen Personendaten bekanntgegeben werden,
sofern die betroffene Person im Einzelfall schriftlich eingewilligt hat oder, wenn das Einholen der Einwilligung nicht möglich ist, diese nach den Umständen als im Interesse der versicherten Person vorausgesetzt werden darf.
Vor diesem Hintergrund sieht das BVGer vorliegend keine wirksame Einwilligung in die Datenbekanntgabe:
- Aus Art. 84a Abs. 5 lit. b KVG und auch aus Art. 19 Abs. 1 lit. b DSG folgt nämlich, dass eine Einwilligung nur „im Einzelfall“ wirksam ist. Das treffe vorliegend nicht zu, weil die Daten im Rahmen der App mehrmals jährlich automatisiert bezogen werden. Dabei handle es sich nicht um einen Einzelfall. Das ist keine selbstverständliche Schlussfolgerung, denn die Bedeutung von “im Einzelfall” ist keineswegs klar. Dieses Erfordernis findet sich auch in Art. 6 Abs. 2 lit. b DSG bei der Bekanntgabe ins Ausland, und hier geht die Praxis davon aus, dass “im Einzelfall” soviel bedeutet wie “für klar bestimmte, sich ggf. aber wiederholende” Datenbearbeitungen. Das BVGer scheint den Einzelfall hier aber wörtlich zu verstehen, d.h. für einzelne, sich nicht wiederholende Fälle. Es verweist dabei auf eine Literaturstelle (Eugster), die sich tatsächlich so äussert, dies aber nicht weiter begründet. Hier hätte man sich eine nähere Auseinandersetzung mit dieser praktisch wichtigen Frage gewünscht. Aus Sicht des Schutzes der betroffenen Person drängt sich die restriktive Auslegung des BVGer jedenfalls nicht auf, denn es besteht kein Grund zur Annahme, dass eine Einwilligung für einen konkret umschriebenen Fall nicht auch wiederholt erteilt würde.
- Überdies fehle es an der Schriftlichkeit, die Art. 84a Abs. 5 lit. b KVG verlangt. Hier verweist das BVGer auf Art. 14 OR (eigenhändige Unterschrift), was gestützt auf Art. 7 ZGB nicht abwegig ist, aber auch nicht zwingend. Es bestünde durchaus Raum für eine differenzierte Auslegung des Begriffs der Schriftlichkeit je nach Rechtsgebiet. Auch hier hätte man sich vertieftere Auseinandersetzungen gewünscht, und das letzte Wort zu diesem Thema ist sicher noch nicht gesprochen.
Transparenzanforderungen
Sodann sieht das BVGer auch das Informationserfordernis verletzt (“informierte” Einwilligung), aus zwei Gründen:
- Die Einwilligung erfolge in “umfangreichen Nutzungs- und Datenschutzbestimmungen”, was es erschwere zu erkennen, in welche Datenbearbeitungen eingewilligt werde; und
- die Einwilligung verweise nicht auf einen bestimmten Zweck der Datenbearbeitung und beschränke sich nicht auf die wenigen, konkret erforderlichen Datenpunkte, sondern sei “breit und ohne Einschränkungen” formuliert.
Auch hier ist der Entscheid des BVGer zumindest etwas oberflächlich. Die Anforderungen an die Informiertheit der Einwilligungen ergeben sich aus dem Grundsatz von Treu und Glauben, sind also variabel je nach Risiko. Vorliegend waren die von der OKP übermittelten Daten allerdings völlig harmlos – es ging im Wesentlichen um die Bestätigung, dass eine bestimmte Person tatsächlich bei der Helsana grundversichert ist. Dabei handelt es sich weder um ein besonders schützenswertes Datum noch sonst um eine heikle Information. Weshalb hier eine Einschränkung auf bestimmte Datenpunkte notwendig sein soll, geht aus dem Entscheid nicht hervor, und es ist auch in der Sache nicht einleuchtend. Breit formulierte Einwilligungen sind schlicht unvermeidbar und wohl einschränkend auszulegen, aber nicht grundsätzlich unwirksam. Wichtiger ist die Beschränkung der Einwilligung auf einen bestimmten Zweck. Vorliegend dürfte es aber offensichtlich gewesen sein, dass die Einwilligung zum Zweck der Abwicklung der App erfolgte. Dies nicht nochmals ausdrücklich festzuhalten, macht eine Einwilligung keinesfalls unwirksam, zumindest nicht bei Trivialdaten wie hier.
Legalitätsprinzip vs. Einwilligung
Besonders bemerkenswert ist die folgende Erwägung des BVGer, vielleicht sogar der wichtigste Punkt im Urteil:
4.8.2 Da es sich bei der Helsana Versicherungen AG und der Progres Versicherungen AG ebenso wie bei der Beklagten um juristische Personen handelt, gilt die Bekanntgabe von Personendaten einer dieser Versicherungsgesellschaften an die Beklagte als Bekanntgabe an eine dritte Person. Die Bekanntgabe der Personendaten aus der obligatorischen Krankenpflegeversicherung erfolgt vorliegend nicht in Ausübung einer durch das Krankenversicherungsgesetz übertragenen Aufgabe. […] Eine Ausnahme von der sozialvereicherungsrechtlichen Verschwiegenheitspflicht ist damit vorliegend nur unter den kumulativen Voraussetzungen von Art. 19 Abs. 1 DSG und Art. 84a Abs. 5 Bst. b KVG rechtmässig, das heisst, wenn die betroffene Person im Einzelfall schriftlich zugestimmt hat.
Daraus kann nur geschlossen werden, dass die Einhaltung von Art. 84a KVG nicht nur eine Verletzung der Geheimhaltungspflicht von Art. 33 ATSG entfallen lässt, sondern darüber hinaus auch das Erfordernis einer gesetzlichen Grundlage für die Datenbekanntgabe. Damit müsste auch die Streitfrage entschieden sein, ob die Einwilligung i.S.v. Art. 17 Abs. 2 lit. c und Art. 19 Ans. 2 lit. b DSG nur vom Erfordernis der formellgesetzlichen Grundlage dispensiert oder ganz allgemein vom Erfordernis der Rechtsgrundlage: Eine wirksame Einwilligung ist Surrogat für eine Gesetzesgrundlage. Nur so ist erklärbar, dass das BVGer eine Datenbekanntgabe gestützt auf eine wirksame Einwilligung zulassen würde, obwohl dem OKP-Träger dabei eine Grundlage im KVG fehle (was hier aber gar nicht so klar ist – man hätte die Bekanntgabe allenfalls auf Art. 19 Abs. 1 KVG stützen können: “Die Versicherer fördern die Verhütung von Krankheiten”).
Der erste Satz in der zitierten E. 4.8.2 scheint zudem fast nahezulegen, dass eine Datenbekanntgabe innerhalb der gleichen juristischen Personen aus Sicht des BVGer nicht unbedingt den Einschränkungen von Art. 84a KVG unterliegt. Das wäre überraschend, denn bisher wird allgemein davon ausgegangen, dass das Verschwiegenheitsgebot von Art. 33 ATSG auch innerhalb der gleichen Organisation gilt, weshalb eine Datenbekanntgabe von der OKP in die Zusatzversicherung potentiell Art. 33 ATSG verletzt und daher den Voraussetzungen von Art. 84a KVG unterliegt. Daraus folgt ein schwierig umzusetzendes Trennungsgebot. Dass das BVGer dieses abschaffen will, kann man dem vorliegenden Urteil allerdings kaum entnehmen.