Das Bun­des­ver­wal­tungs­ge­richt hat in Sachen EDÖB vs. Helsa­na betr. Helsana+-App das lang­erwar­te­te Urteil gefällt (Urteil A‑3548/2018 vom 19. März 2019). Die Helsana+-App ist eine App für das Bonus­pro­gramm Helsa­na+, bei dem Teil­neh­mer Punk­te sam­meln und die­se in Boni umwan­deln kön­nen. Dabei stell­ten sich u.a. Fra­gen im Zusam­men­hang mit der Ein­wil­li­gung, mit der Bekannt­ga­be von Per­so­nen­da­ten durch Grund­ver­si­che­rer. Strit­tig war fer­ner die Fra­ge, ob die Boni­fi­zie­rung der App-Nut­­zer gegen das kran­ken­ver­si­che­rungs­recht­li­che Ver­bot der Prä­mi­en­rück­erstat­tung ver­stiess und – falls ja – ob sich dar­aus ergab, dass auch die damit im Zusam­men­hang ste­hen­den Daten­be­ar­bei­tun­gen unrecht­mä­ssig (i.S.v. Art. 4 Abs. 1 DSG) sind (was der EDÖB gel­tend gemacht hat­te).

Hintergrund

Die App funk­tio­niert – in der beur­teil­ten Ver­si­on – wie folgt (E. A):

Die Helsa­na Zusatz­ver­si­che­run­gen AG betreibt das App-gestüt­z­te Bonus­pro­gramm „Helsa­na+“ […]. Die Teil­neh­me­rin­nen und Teil­neh­mer am Pro­gramm kön­nen […] Plus­punk­te sam­meln, die sie in Boni […] umwan­deln kön­nen. Bonus­be­rech­tigt sind nur die Ver­si­che­rungs­neh­mer einer Ver­si­che­rungs­ge­sell­schaft der Helsa­na AG (Helsa­na Zusatz­ver­si­che­run­gen AG, Helsa­na Ver­si­che­run­gen AG und Pro­g­res Ver­si­che­run­gen AG). Die App über­mit­telt kei­ne Gesun­d­heits- und Bewe­gungs­da­ten […]. Für Ver­si­che­rungs­neh­mer der obli­ga­to­ri­schen Kran­ken­pfle­ge­ver­si­che­rung und der Zusatz­ver­si­che­rung wer­den unter­schied­li­che Boni gewährt. Für die Ermitt­lung der Teil­nah­me­be­rech­ti­gung sowie die Berech­nung der Höhe der Boni klärt die Helsa­na Zusatz­ver­si­che­run­gen AG die Ver­si­cher­ten­ei­gen­schaf­ten der Teil­neh­me­rin­nen und Teil­neh­mer ab. Dafür for­dert sie von die­sen im Rah­men des Regi­strie­rungs­pro­zes­ses über die App die Ein­wil­li­gung ein, Daten von der obli­ga­to­ri­schen Kran­ken­pfle­ge­ver­si­che­rung der Hel­sa­­na-Grup­­pe zur Zusatz­ver­si­che­rung zu über­tra­gen.

Dabei sahen die Nut­zungs­be­din­gun­gen vor:

Für die Regi­strie­rung und Iden­ti­fi­ka­ti­on des Nut­zers zur Voll­ver­si­on ist die Anga­be der Ver­si­cher­ten­num­mer, der PLZ und des Geburts­da­tums sowie der E‑Mail-Adre­s­­se erfor­der­lich.

Helsa­na ist berech­tigt, zwecks Iden­ti­fi­ka­ti­on des Nut­zers Ein­blick in die ent­spre­chen­den Daten der jewei­li­gen Ver­si­che­rungs­ge­sell­schaf­ten der Hel­sa­­na-Grup­­pe zu neh­men.

In Ziff. B.4 „Ein­wil­li­gung zum Abgleich mit Ver­si­cher­ten­da­ten des Nut­zers“ sahen die Bestim­mun­gen fer­ner vor:

Der Nut­zer stimmt aus­drück­lich zu, dass Helsa­na im Rah­men der Abwick­lung der Helsa­na+ App auf die bei den Ver­si­che­rungs­ge­sell­schaf­ten der Hel­sa­­na-Grup­­pe vor­han­de­nen Ver­si­cher­ten­da­ten des Nut­zers zurück­grei­fen darf.

Bereits vor dem Ent­scheid des BVGer stell­te die Helsa­na die Funk­ti­ons­wei­se der App aller­dings um. Neu erfolgt kei­ne Bekannt­ga­be von Daten durch den Grund­ver­si­che­rer mehr. Die Teil­neh­mer laden viel­mehr ein Foto ihrer Kran­ken­kas­sen­kar­te hoch. Eine Ein­wil­li­gung ist daher gar nicht mehr erfor­der­lich, wes­halb der Ent­scheid des BVGer für die App kei­ne Aus­wir­kun­gen mehr hat.

Zur Rechtmässigkeit i.S.v. Art. 4 Abs. 1 DSG

In die­sem Punkt ist das Urteil klar: Eine Ver­let­zung gesetz­li­cher Bestim­mun­gen führt nur dann zur Unrecht­mä­ssig­keit der Daten­be­ar­bei­tung, wenn die ver­letz­te Norm den Schutz der Per­sön­lich­keit bezweckt:

5.4.4 Zusam­men­fas­send ist der Grund­satz der Recht­mä­ssig­keit von Art. 4 Abs. 1 DSG so zu ver­ste­hen, dass eine Daten­be­ar­bei­tung zu einem rechts­wid­ri­gen Zweck erst dann unrecht­mä­ssig im Sin­ne des Daten­schutz­ge­set­zes ist, wenn dabei gegen eine Norm ver­sto­ssen wird, die zumin­dest auch, direkt oder indi­rekt, den Schutz der Per­sön­lich­keit einer Per­son bezweckt.

Dem­ge­gen­über ist die Ver­let­zung eine Norm daten­schutz­recht­lich irrele­vant, wenn die­se Norm kei­nen Per­sön­lich­keits­schutz bezweckt. Das ist an sich selbst­ver­ständ­lich, denn wie jedes ande­re Rechts­ge­biet hat das Daten­schutz­recht sei­nen eige­nen Schutz­zweck, auch wenn das Daten­schutz­recht durch den brei­ten sach­li­chen Anwen­dungs­be­reich – Bear­bei­tung von Per­so­nen­da­ten – das Poten­ti­al hat, zu einer undif­fe­ren­zier­ten Super­re­gu­lie­rung zu wer­den. Aber wür­de man jede Rechts­ver­let­zung als Daten­schutz­ver­let­zung sehen, sobald dabei Per­so­nen­da­ten bear­bei­tet wer­den, dann müss­te – nur leicht über­spitzt – auch die Luft­rein­hal­te­ver­ord­nung ver­letzt sein, wenn der Täter atmet. Es bestehen durch­aus Anzei­chen dafür, dass der Rege­lungs­an­spruch des Daten­schutz­rechts über­dehnt wird, wenn man an Bestim­mun­gen kar­tell­recht­li­chen Ein­schlags wie das auch in der Schweiz pro­pa­gier­te Recht auf Daten­por­ta­bi­li­tät denkt oder an die Tat­sa­che, dass im Ingress des revi­dier­ten Daten­schutz­ge­set­zes neu­er­dings auch Art. 97 Abs. 1 BV genannt wird, die Ver­fas­sungs­grund­la­ge des Kon­su­men­ten­schutz­rechts. Vor die­sem Hin­ter­grund lässt sich der kürz­li­che Ent­scheid des deut­schen Bun­des­kar­tell­amts in Sachen Face­book als berech­tig­te Reak­ti­on des Kar­tell­rechts auf Ver­ein­nah­mungs­ver­su­che durch das Daten­schutz­recht lesen. Mit dem Urteil des BVGer ist nun hof­fent­lich klar, dass das Daten­schutz­recht kein Vehi­kel ist, anders­ar­ti­gen Rege­lungs­zie­len zum Durch­bruch zu ver­hel­fen. Das wird umso wich­ti­ger, wenn die daten­schutz­recht­li­chen Sank­tio­nen ver­stärkt wer­den.

Zur Einwilligung

Für die Pra­xis bedeut­sam sind die Erwä­gun­gen des BVGer zum The­ma Ein­wil­li­gung. Hier gab das BVGer dem EDÖB teil­wei­se recht: Die Ein­wil­li­gung der grund­ver­si­cher­ten Nut­zer der App in die Bekannt­ga­be ihrer Daten an die Betrei­be­rin der App, die Trä­ge­rin der Zusatz­ver­si­che­rung, sei unwirk­sam.

Weshalb ein Einwilligungserfordernis?

Ein Ein­wil­li­gungs­er­for­der­nis sah das BVGer offen­bar aus zwei Grün­den:

  1. Die Bear­bei­tung von Per­so­nen­da­ten aus der Grund­ver­si­che­rung (der obli­ga­to­ri­schen Kran­ken­pfle­ge­ver­si­che­rung, “OKP”) im Rah­men der App ver­letzt aus Sicht des BVGer den Zweck­bin­dungs­grund­satz (E. 4.7), was eine Recht­fer­ti­gung ver­langt.
  2. Sodann erfolg­te im Rah­men der App zunächst eine Bekannt­ga­be von Daten durch einen Grund­ver­si­che­rungs­trä­ger an die Helsa­na, weil die Grund­ver­si­cher­ten­ei­gen­schaft u.a. für die Berech­nung der Höhe der Boni rele­vant war. Daher liess sich die Helsa­na als Betrei­be­rin der App durch den OKP-Ver­­­si­che­­rer bestä­ti­gen, dass teil­neh­men­de Nut­zer grund­ver­si­chert waren. Dar­in liegt nach Auf­fas­sung des BVGer eine Daten­be­kannt­ga­be durch den OKP-Ver­­­si­che­­rer. Eine sol­che Daten­be­kannt­ga­be ist im Rah­men von Art. 84a KVG in bestimm­ten Kon­stel­la­tio­nen zuläs­sig, u.a. mit Ein­wil­li­gung i.S.v. Art. 84a Abs. 5 lit. b KVG.

Das BVGer folgt in sei­ner Prü­fung der Ein­wil­lung mehr oder weni­ger die­sem Auf­bau, prüft also zunächst die Wirk­sam­keit der Ein­wil­li­gung nach all­ge­mei­nen Grund­sät­zen und fragt im Anschluss, ob die Ein­wil­li­gung in die Bekannt­ga­be durch den OKP-Ver­­­si­che­­rer vor Art. 84a Abs. 5 KVG stand­hält.

Kopplungsverbot nicht verletzt

Zunächst hielt das BVGer fest, dass das Kopp­lungs­ver­bot nicht ver­letzt war, d.h. dass die Ver­bin­dung von App und Ein­wil­li­gung die Frei­wil­lig­keit der Ein­wil­li­gung nicht ent­fal­len liess. Der EDÖB hat­te in sei­ner Kla­ge die Ansicht ver­tre­ten, die Ein­wil­li­gung sei unfrei­wil­lig, weil der Zugang zur App an die Ein­wil­li­gung gekop­pelt war. Das BVGer sieht dies nun anders:

  • Zum einen war die Kopp­lung nicht sach­fremd:

    Die Ein­wil­li­gung erfolgt ent­ge­gen den Vor­brin­gen des Klä­gers frei­wil­lig, da der Nach­teil, der bei einer Nicht­ein­wil­li­gung droht – die Unmög­lich­keit der Teil­nah­me am Pro­gramm Helsa­na+ – einen direk­ten Bezug zu den Daten auf­weist, für deren Bear­bei­tung die Ein­wil­li­gung ein­ge­holt wird und damit kein unzu­läs­si­ger Zwang zur Ertei­lung der Ein­wil­li­gung vor­liegt […]: Ohne die Beschaf­fung der Per­so­nen­da­ten kann die Beklag­te nicht kon­trol­lie­ren, ob eine Ver­si­cher­ten­be­zie­hung zu einer andern Ver­si­che­rungs­ge­sell­schaft der Hel­sa­­na-Grup­­pe vor­liegt, was wie­der­um eine Vor­aus­set­zung für die Teil­nah­me am Pro­gramm Helsa­na+ dar­stellt, und zu Bonus­punk­ten im Rah­men des Pro­gramms berech­tigt.

  • Zum ande­ren lag auch dar­in, dass die Pro­gramm­teil­nah­me mone­tä­re Vor­tei­le hat­te, kein unzu­läs­si­ger Zwang :

    Der Umstand allein, dass die Beklag­te für die Teil­nah­me am Pro­gramm mit geld­wer­ten Vor­tei­len und ins­be­son­de­re mit Bar­geld­bo­ni wirbt (in der Höhe von maxi­mal Fr. 75.-pro Jahr bei nur grund­ver­si­cher­ten Per­so­nen), stellt eben­falls kei­nen unzu­läs­si­gen Zwang dar.

Die­se Hal­tung des BVGer war nicht unbe­dingt selbst­ver­ständ­lich, zumal das BGVer selbst – im KSS-Ent­­­scheid (A‑3908/2008 vom 4.8.2009) – eine recht restrik­ti­ve Hal­tung ver­tre­ten hat­te. Mit dem vor­lie­gen­den Urteil dürf­te nun aber fest­ste­hen, dass eine Kopp­lung des Zugang zu einer Lei­stung an eine Ein­wil­li­gung zumin­dest dann unschäd­lich ist, wenn die Kopp­lung sach­ge­recht ist, d.h. wenn die frag­li­che Daten­be­ar­bei­tung in der Aus­ge­stal­tung der betref­fen­den Lei­stung selbst ange­legt ist. Nicht ganz klar wird dage­gen, ob und unter wel­chen Umstän­den unver­hält­nis­mä­ssi­ge Vor­tei­le die Frei­wil­lig­keit ent­fal­len las­sen. Die zitier­te Pas­sa­ge klingt aber zumin­dest so, dass geld­wer­te Vor­tei­le die Frei­wil­lig­keit der Ein­wil­li­gung grund­sätz­lich nicht ent­fal­len las­sen kön­nen.

Art. 84a Abs. 5 KVG verletzt

Mit Bezug auf die Bekannt­ga­be durch den OKP-Ver­­­si­che­­rer prüft das BVGer die Vor­aus­set­zun­gen von Art. 84a Abs. 5 lit. b KVG. Danach dür­fen Per­so­nen­da­ten bekannt­ge­ge­ben wer­den, 

sofern die betrof­fe­ne Per­son im Ein­zel­fall schrift­lich ein­ge­wil­ligt hat oder, wenn das Ein­ho­len der Ein­wil­li­gung nicht mög­lich ist, die­se nach den Umstän­den als im Inter­es­se der ver­si­cher­ten Per­son vor­aus­ge­setzt wer­den darf.

Vor die­sem Hin­ter­grund sieht das BVGer vor­lie­gend kei­ne wirk­sa­me Ein­wil­li­gung in die Daten­be­kannt­ga­be: 

  • Aus Art. 84a Abs. 5 lit. b KVG und auch aus Art. 19 Abs. 1 lit. b DSG folgt näm­lich, dass eine Ein­wil­li­gung nur „im Ein­zel­fall“ wirk­sam ist. Das tref­fe vor­lie­gend nicht zu, weil die Daten im Rah­men der App mehr­mals jähr­lich auto­ma­ti­siert bezo­gen wer­den. Dabei hand­le es sich nicht um einen Ein­zel­fall. Das ist kei­ne selbst­ver­ständ­li­che Schluss­fol­ge­rung, denn die Bedeu­tung von “im Ein­zel­fall” ist kei­nes­wegs klar. Die­ses Erfor­der­nis fin­det sich auch in Art. 6 Abs. 2 lit. b DSG bei der Bekannt­ga­be ins Aus­land, und hier geht die Pra­xis davon aus, dass “im Ein­zel­fall” soviel bedeu­tet wie “für klar bestimm­te, sich ggf. aber wie­der­ho­len­de” Daten­be­ar­bei­tun­gen. Das BVGer scheint den Ein­zel­fall hier aber wört­lich zu ver­ste­hen, d.h. für ein­zel­ne, sich nicht wie­der­ho­len­de Fäl­le. Es ver­weist dabei auf eine Lite­ra­tur­stel­le (Eugster), die sich tat­säch­lich so äussert, dies aber nicht wei­ter begrün­det. Hier hät­te man sich eine nähe­re Aus­ein­an­der­set­zung mit die­ser prak­tisch wich­ti­gen Fra­ge gewünscht. Aus Sicht des Schut­zes der betrof­fe­nen Per­son drängt sich die restrik­ti­ve Aus­le­gung des BVGer jeden­falls nicht auf, denn es besteht kein Grund zur Annah­me, dass eine Ein­wil­li­gung für einen kon­kret umschrie­be­nen Fall nicht auch wie­der­holt erteilt wür­de.
  • Über­dies feh­le es an der Schrift­lich­keit, die Art. 84a Abs. 5 lit. b KVG ver­langt. Hier ver­weist das BVGer auf Art. 14 OR (eigen­hän­di­ge Unter­schrift), was gestützt auf Art. 7 ZGB nicht abwe­gig ist, aber auch nicht zwin­gend. Es bestün­de durch­aus Raum für eine dif­fe­ren­zier­te Aus­le­gung des Begriffs der Schrift­lich­keit je nach Rechts­ge­biet. Auch hier hät­te man sich ver­tief­te­re Aus­ein­an­der­set­zun­gen gewünscht, und das letz­te Wort zu die­sem The­ma ist sicher noch nicht gespro­chen.

Transparenzanforderungen

Sodann sieht das BVGer auch das Infor­ma­ti­ons­er­for­der­nis ver­letzt (“infor­mier­te” Ein­wil­li­gung), aus zwei Grün­den:

  • Die Ein­wil­li­gung erfol­ge in “umfang­rei­chen Nut­zungs- und Daten­schutz­be­stim­mun­gen”, was es erschwe­re zu erken­nen, in wel­che Daten­be­ar­bei­tun­gen ein­ge­wil­ligt wer­de; und
  • die Ein­wil­li­gung ver­wei­se nicht auf einen bestimm­ten Zweck der Daten­be­ar­bei­tung und beschrän­ke sich nicht auf die weni­gen, kon­kret erfor­der­li­chen Daten­punk­te, son­dern sei “breit und ohne Ein­schrän­kun­gen” for­mu­liert.

Auch hier ist der Ent­scheid des BVGer zumin­dest etwas ober­fläch­lich. Die Anfor­de­run­gen an die Infor­miert­heit der Ein­wil­li­gun­gen erge­ben sich aus dem Grund­satz von Treu und Glau­ben, sind also varia­bel je nach Risi­ko. Vor­lie­gend waren die von der OKP über­mit­tel­ten Daten aller­dings völ­lig harm­los – es ging im Wesent­li­chen um die Bestä­ti­gung, dass eine bestimm­te Per­son tat­säch­lich bei der Helsa­na grund­ver­si­chert ist. Dabei han­delt es sich weder um ein beson­ders schüt­zens­wer­tes Datum noch sonst um eine heik­le Infor­ma­ti­on. Wes­halb hier eine Ein­schrän­kung auf bestimm­te Daten­punk­te not­wen­dig sein soll, geht aus dem Ent­scheid nicht her­vor, und es ist auch in der Sache nicht ein­leuch­tend. Breit for­mu­lier­te Ein­wil­li­gun­gen sind schlicht unver­meid­bar und wohl ein­schrän­kend aus­zu­le­gen, aber nicht grund­sätz­lich unwirk­sam. Wich­ti­ger ist die Beschrän­kung der Ein­wil­li­gung auf einen bestimm­ten Zweck. Vor­lie­gend dürf­te es aber offen­sicht­lich gewe­sen sein, dass die Ein­wil­li­gung zum Zweck der Abwick­lung der App erfolg­te. Dies nicht noch­mals aus­drück­lich fest­zu­hal­ten, macht eine Ein­wil­li­gung kei­nes­falls unwirk­sam, zumin­dest nicht bei Tri­vi­al­da­ten wie hier.

Legalitätsprinzip vs. Einwilligung

Beson­ders bemer­kens­wert ist die fol­gen­de Erwä­gung des BVGer, viel­leicht sogar der wich­tig­ste Punkt im Urteil:

4.8.2 Da es sich bei der Helsa­na Ver­si­che­run­gen AG und der Pro­g­res Ver­si­che­run­gen AG eben­so wie bei der Beklag­ten um juri­sti­sche Per­so­nen han­delt, gilt die Bekannt­ga­be von Per­so­nen­da­ten einer die­ser Ver­si­che­rungs­ge­sell­schaf­ten an die Beklag­te als Bekannt­ga­be an eine drit­te Per­son. Die Bekannt­ga­be der Per­so­nen­da­ten aus der obli­ga­to­ri­schen Kran­ken­pfle­ge­ver­si­che­rung erfolgt vor­lie­gend nicht in Aus­übung einer durch das Kran­ken­ver­si­che­rungs­ge­setz über­tra­ge­nen Auf­ga­be. […] Eine Aus­nah­me von der sozi­al­verei­che­rungs­recht­li­chen Ver­schwie­gen­heits­pflicht ist damit vor­lie­gend nur unter den kumu­la­ti­ven Vor­aus­set­zun­gen von Art. 19 Abs. 1 DSG und Art. 84a Abs. 5 Bst. b KVG recht­mä­ssig, das heisst, wenn die betrof­fe­ne Per­son im Ein­zel­fall schrift­lich zuge­stimmt hat.

Dar­aus kann nur geschlos­sen wer­den, dass die Ein­hal­tung von Art. 84a KVG nicht nur eine Ver­let­zung der Geheim­hal­tungs­pflicht von Art. 33 ATSG ent­fal­len lässt, son­dern dar­über hin­aus auch das Erfor­der­nis einer gesetz­li­chen Grund­la­ge für die Daten­be­kannt­ga­be. Damit müss­te auch die Streit­fra­ge ent­schie­den sein, ob die Ein­wil­li­gung i.S.v. Art. 17 Abs. 2 lit. c und Art. 19 Ans. 2 lit. b DSG nur vom Erfor­der­nis der for­mell­ge­setz­li­chen Grund­la­ge dis­pen­siert oder ganz all­ge­mein vom Erfor­der­nis der Rechts­grund­la­ge: Eine wirk­sa­me Ein­wil­li­gung ist Sur­ro­gat für eine Geset­zes­grund­la­ge. Nur so ist erklär­bar, dass das BVGer eine Daten­be­kannt­ga­be gestützt auf eine wirk­sa­me Ein­wil­li­gung zulas­sen wür­de, obwohl dem OKP-Trä­­ger dabei eine Grund­la­ge im KVG feh­le (was hier aber gar nicht so klar ist – man hät­te die Bekannt­ga­be allen­falls auf Art. 19 Abs. 1 KVG stüt­zen kön­nen: “Die Ver­si­che­rer för­dern die Ver­hü­tung von Krank­hei­ten”).

Der erste Satz in der zitier­ten E. 4.8.2 scheint zudem fast nahe­zu­le­gen, dass eine Daten­be­kannt­ga­be inner­halb der glei­chen juri­sti­schen Per­so­nen aus Sicht des BVGer nicht unbe­dingt den Ein­schrän­kun­gen von Art. 84a KVG unter­liegt. Das wäre über­ra­schend, denn bis­her wird all­ge­mein davon aus­ge­gan­gen, dass das Ver­schwie­gen­heits­ge­bot von Art. 33 ATSG auch inner­halb der glei­chen Orga­ni­sa­ti­on gilt, wes­halb eine Daten­be­kannt­ga­be von der OKP in die Zusatz­ver­si­che­rung poten­ti­ell Art. 33 ATSG ver­letzt und daher den Vor­aus­set­zun­gen von Art. 84a KVG unter­liegt. Dar­aus folgt ein schwie­rig umzu­set­zen­des Tren­nungs­ge­bot. Dass das BVGer die­ses abschaf­fen will, kann man dem vor­lie­gen­den Urteil aller­dings kaum ent­neh­men.

Posted by David Vasella

RA Dr. David Vasella ist Rechtsanwalt bei FRORIEP. Er ist auf IT-, Datenschutz- und Immaterialgüterrecht spezialisiert und ist Lehrbeauftragter der Universität Zürich. Er ist Gründer von swissblawg.