\\vs00001a.adb.intra.admin.ch\BVGER-home$\U80709142\config\Desktop\Logo_BVG_7.10_RZ.bmp

 

 

 

 

Abteilung I

A-3548/2018

 

 

 

 

 

Urteil vom 19. März 2019

Besetzung

 

Richter Jürg Steiger (Vorsitz),

Richterin Claudia Pasqualetto Péquignot,

Richter Maurizio Greppi,  

Gerichtsschreiber Tobias Grasdorf.

 

 

 

Parteien

 

Eidgenössischer Datenschutz- und

Öffentlichkeitsbeauftragter EDÖB,

Feldeggweg 1, 3003 Bern, 

Kläger,

 

 

 

gegen

 

 

Helsana Zusatzversicherungen AG,

Postfach, 8081 Zürich Helsana, 

vertreten durch Dr. lic. iur. Gregor Bühler , Rechtsanwalt,  und lic. iur. David Rosenthal, Rechtsanwalt, Homburger AG,

Beklagte,

 

 

 

 

 

 

Gegenstand

 

Bonusprogramm Helsana+

der Helsana Zusatzversicherungen AG.

 

 

 


Sachverhalt:

A. 
Die Helsana Zusatzversicherungen AG betreibt das App-gestützte Bonusprogramm "Helsana+", das gemäss Eigenbeschreibung der freiwilligen Förderung des Gesundheitsbewusstseins und des sozialen und gesellschaftlichen Engagements dient. Die Teilnehmerinnen und Teilnehmer am Programm können durch bestimmte Aktivitäten Pluspunkte sammeln, die sie in Boni wie Barauszahlungen, Sachleistungen oder Gutscheine von Partnerbetrieben umwandeln können. Bonusberechtigt sind nur die Versicherungsnehmer einer Versicherungsgesellschaft der Helsana AG (Helsana Zusatzversicherungen AG, Helsana Versicherungen AG und Progrès Versicherungen AG). Die App übermittelt keine Gesundheits- und Bewegungsdaten, die Teilnehmerinnen und Teilnehmer erbringen die für die Sammlung von Pluspunkten notwendigen Nachweise auf andere Weise, beispielsweise per Foto-Upload. Für Versicherungsnehmer der obligatorischen Krankenpflegeversicherung und der Zusatzversicherung werden unterschiedliche Boni gewährt. Für die Ermittlung der Teilnahmeberechtigung sowie die Berechnung der Höhe der Boni klärt die Helsana Zusatzversicherungen AG die Versicherteneigenschaften der Teilnehmerinnen und Teilnehmer ab. Dafür fordert sie von diesen im Rahmen des Registrierungsprozesses über die App die Einwilligung ein, Daten von der obligatorischen Krankenpflegeversicherung der Helsana-Gruppe zur Zusatzversicherung zu übertragen.

B. 
Nach Durchführung einer Sachverhaltsabklärung, inklusive eines Augenscheins bei der Helsana Zusatzversicherungen AG, erliess der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) am 26. April 2018 Empfehlungen betreffend das Bonusprogramm Helsana+. Der EDÖB empfahl der Helsana Zusatzversicherungen AG:

"1. Die Helsana Zusatzversicherung AG hat im Rahmen des Programms Helsana+ die Entgegennahme und Weiterbearbeitung von Daten der Helsana Grundversicherung sowie das Einholen von Einwilligungen zu dieser Datenbearbeitung zu unterlassen.

2. Die Helsana Zusatzversicherung hat im Rahmen des Programms Helsana+ die Bearbeitung von Kassenzugehörigkeits- und anderen Daten von Kunden, die bei der Helsana ausschliesslich grundversichert sind, zum Zwecke der Bemessung und rechtswidrigen Ausrichtung geldwerter Rückerstattungen zu unterlassen."

C. 
Am 22. Mai 2018 teilte die Helsana Zusatzversicherungen AG dem EDÖB mit, sie teile dessen Rechtsauffassung nicht und lehne eine Umsetzung der Empfehlungen daher ab. Sie sei jedoch bereit, bis zum Vorliegen eines rechtskräftigen Gerichtsurteils ohne Anerkennung einer Rechtspflicht den Registrierungsablauf für rein grundversicherte Teilnehmerinnen und Teilnehmer anzupassen.

D. 
Am 18. Juni 2018 reicht der EDÖB (Kläger) beim Bundesverwaltungsgericht Klage gegen die Helsana Zusatzversicherungen AG (Beklagte) ein und stellt die folgenden Rechtsbegehren:

"1.Die Beklagte habe im Rahmen des Programms Helsana+ die Entgegennahme und Weiterbearbeitung von Personendaten der Helsana Grundversicherung sowie das Einholen von Einwilligungen zu dieser Datenbearbeitung zu unterlassen.

2.Die Beklagte habe im Rahmen des Programms Helsana+ die Bearbeitung von Kassenzugehörigkeits- und anderen Daten von Kunden, die bei der Helsana Versicherungen AG ausschliesslich grundversichert sind, zum Zwecke der Bemessung und rechtswidrigen Ausrichtung geldwerter Rückerstattungen zu unterlassen.

3.Die Beklagte habe die im Rahmen der in den Begehren 1 und 2 vorstehend beschriebenen Datenbearbeitung angefallenen Personendaten innert gerichtlich zu bestimmender Frist zu löschen und Dritte, denen sie die Daten weitergegeben hat anzuweisen, diese Daten innert gleicher Frist zu löschen."

E. 
Die Beklagte beantragt in ihrer Klageantwort, die Klage sei vollumfänglich abzuweisen, soweit darauf einzutreten sei. Die Teilnehmerinnen und Teilnehmer am Programm Helsana+ gäben ihre Einwilligung dazu, dass die Beklagte auf ihre Versichertendaten bei den Versicherungsgesellschaften der Helsana-Gruppe zugreifen dürfe. Sie frage nur die Postleitzahl, das Geburtsdatum und die Versichertennummer ab. Damit liege kein Verstoss gegen das Datenschutzgesetz vor. Bezüglich des Rechtsbegehrens 2 fehle dem Kläger die Aktivlegitimation, da das Begehren sich nicht gegen eine Bearbeitungsmethode richte. Das Rechtsbegehren 2 sei deshalb unzulässig. Eventualiter sei das Begehren abzuweisen, da das Bonusprogramm bei ausschliesslich Grundversicherten nicht zu einer unzulässigen Prämienrückerstattung führe, da die Boni des Programms Helsana+ nicht in einem Austauschverhältnis mit der Prämienzahlung von Grundversicherten stehe.

F. 
In seiner Replik vom 2. Oktober 2018 führt der Kläger aus, dass aus der Globalzustimmung zu den Nutzungsbedingungen für das App-Programm der Beklagten als Zusatzversicherer nicht auf eine gültige Einwilligung für Zugriffe auf Personendaten von Grundversicherern geschlossen werden könne. Es gehe zudem um eine indirekte Rückerstattung von Grundversicherungsprämien, die der Konzern querfinanziere, indem er aus den Personendaten seiner Nutzer Erträge respektive Wettbewerbsvorteile generiere, was gegen das Prinzip der gleichen Prämien beziehungsweise der Einheitsprämien verstosse.

G. 
In ihrer Duplik betont die Beklagte insbesondere, die Teilnehmerinnen und Teilnehmer wüssten im Zeitpunkt der Zustimmung zu den Nutzungsbestimmungen, dass aufgrund der Zustimmung für die Zwecke ihrer Identifikation auf Daten von anderen Gesellschaften der Helsana-Gruppe zugegriffen werden könne. Es sei nicht einzusehen, wieso es ihnen verwehrt sein sollte, ihre Einwilligung zum Abgleich dieser von ihnen bereits bekannt gegebenen Angaben mit den Daten einer Versicherungsgesellschaft der obligatorischen Krankenpflegeversicherung zu geben.

H. 
Mit Schreiben vom 14. respektive vom 20. November 2018 haben Kläger und Beklagte auf eine mündliche Vorverhandlung und eine Hauptverhandlung verzichtet.

I. 
Auf die weiteren Vorbringen und die sich bei den Akten befindenden Unterlagen wird soweit entscheidrelevant in den Erwägungen eingegangen.

 

Das Bundesverwaltungsgericht zieht in Erwägung:

1.   

1.1  Im Privatrechtsbereich klärt der Kläger von sich aus oder auf Meldung Dritter hin den Sachverhalt näher ab, wenn Bearbeitungsmethoden geeignet sind, die Persönlichkeit einer grösseren Anzahl von Personen zu verletzen (sog. Systemfehler, Art. 29 Abs. 1 Bst. a des Bundesgesetzes vom 19. Juni 1992 über den Datenschutz [DSG, SR 235.1]). Aufgrund seiner Abklärungen kann er empfehlen, das Bearbeiten zu ändern oder zu unterlassen (Art. 29 Abs. 3 DSG). Wird eine solche Empfehlung nicht befolgt oder abgelehnt, kann er die Angelegenheit dem Bundesverwaltungsgericht auf dem Klageweg zum Entscheid vorlegen (Art. 29 Abs. 4 DSG i.V.m. Art. 35 Bst. b VGG).

1.2  Die auf das Datenschutzgesetz gestützte Klage des Klägers vom 18. Juni 2018 richtet sich gegen die Nichtbefolgung beziehungsweise die Ablehnung seiner Empfehlungen vom 26. April 2018 durch die Beklagte.

1.3  Die Aktivlegitimation des Klägers zur Klageerhebung im Privatrechtsbereich ergibt sich direkt aus Art. 29 Abs. 4 DSG. Passivlegitimiert können (neben dem Kläger) nur jene Datenbearbeiter sein, die formell und materiell Adressat der umstrittenen Empfehlung sind und diese nicht befolgen oder ablehnen. Die Legitimation der Parteien wird - anders als im Zivilprozess - als subjektive Prozessvoraussetzung betrachtet, bei deren Fehlen ein Nichteintretensentscheid zu fällen ist (Urteil des Bundesverwaltungsgerichts A-7040/2009 vom 30. März 2011 E. 4.3.1 m.w.H.; David Rosenthal, Handkommentar Datenschutzgesetz, Art. 29, Rz. 42).

1.4  Die Beklagte stellt sich auf den Standpunkt, das vom Kläger gestellte Rechtsbegehren 2 sei mangels Aktivlegitimation unzulässig. Als erstes ist daher zu prüfen, ob die Rechtsbegehren des Klägers, wie sie formuliert sind, zulässig sind.

1.5  Bearbeiten im Sinne von Art. 2 Abs. 1 DSG bedeutet jeder Umgang mit Personendaten, unabhängig von den angewandten Mitteln und Verfahren, insbesondere das Beschaffen, Aufbewahren, Verwenden, Umarbeiten, Bekanntgeben, Archivieren oder Vernichten von Daten (Art. 3 Bst. e DSG). Es steht ausser Zweifel und ist nicht bestritten, dass die Beschaffung von Postleitzahl, Geburtsdatum und Versichertennummer von Teilnehmerinnen und Teilnehmern am Programm Helsana+ sowie die weiteren im Rahmen des Programms vorgenommenen Bearbeitungen von Daten von am Programm teilnehmenden Personen, Bearbeitungen im Sinne von Art. 3 Bst. e DSG darstellen.

1.6   

1.6.1  Die Beklagte bestreitet die Aktivlegitimation des Klägers bezüglich des Rechtsbegehrens 2. Sie macht geltend, es gehe bei diesem Klagebegehren nicht um eine Bearbeitungsmethode im Sinne von Art. 29 Abs. 1 DSG, sondern um die Rechtmässigkeit des Endzwecks der Datenbearbeitung, für deren Beurteilung der Kläger über keine Klagelegitimation verfüge.

1.6.2  Der Kläger hält dem entgegen, es werde eine Angelegenheit nach Art. 29 Abs. 4 DSG zum Entscheid vorgelegt, die auf einer nicht befolgten Empfehlung im Sinne dieser Bestimmung beruhe. Nach diesem Absatz zielten die Empfehlungen darauf ab, das Bearbeiten von Personendaten zu ändern oder zu unterlassen. Dies werde in den Rechtsbegehren verlangt. Das Kriterium des Systemfehlers nach Art. 29 Abs. 1 DSG sei erfüllt.

1.6.3  Voraussetzung für die Kontrolltätigkeiten - Abklärungen, Empfehlungen und Klagen - des Klägers im Privatrechtsbereich ist, dass ein "Systemfehler" vorliegt. "Systemfehler" bedeutet in diesem Zusammenhang die Eignung, eine grössere Anzahl von Personen in ihrer Persönlichkeit zu verletzen (Art. 29 Abs. 1 Bst. a DSG; vgl. Urteil des Bundesverwaltungsgerichts A-7040/2009 vom 30. März 2011 E. 1.1).

Diese Voraussetzung spiegelt die Absicht des Gesetzgebers, die Verletzung der Persönlichkeitsrechte im Privatrechtsbereich im Einzelfall der individuellen Klage des Einzelnen zu überlassen und den Kläger nur in Fällen zu Kontrolltätigkeiten zu ermächtigen, in denen aufgrund der grossen Anzahl potentiell betroffener Personen ein öffentliches Interesse an dessen Tätigwerden besteht (Botschaft des Bundesrates vom 23. März 1988 zum Bundesgesetz über den Datenschutz, BBl 1988 II 413, 435 und 479; Bruno Baeriswyl, in: Bruno Baeriswyl/Kurz Pärli [Hrsg.], Handkommentar Datenschutzgesetz, Art. 29, Rz. 12 und 17 [nachfolgend: Bearbeiter, Handkommentar DSG]; René Huber, in: Urs Maurer-Lambrou/Gabor P. Blechta, Basler Kommentar Datenschutzgesetz/Öffentlichkeitsgesetz, Art. 29, Rz. 7 [nachfolgend: Bearbeiter, BSK DSG]). Dabei stand in den parlamentarischen Beratungen insbesondere die elektronische Datenbearbeitung im Fokus (vgl. AB 1991 S 1064). Eine weitergehende Einschränkung des Gegenstandes der Kontrolle durch den Kläger ist demgegenüber aus der Formulierung in Art. 29 Abs. 1 Bst. a DSG nicht abzuleiten. Darauf deutet auch die Verwendung des Begriffs der "Persönlichkeitsverletzung" in Art. 29 Abs. 1 Bst. a DSG hin. Dieser verweist auf die Grundnorm in Art. 12 DSG, welche wiederum auf die Datenbearbeitung im Sinne von Art. 3 Bst. e DSG und die Grundsätze der Datenbearbeitung in Art. 4 DSG verweist.

Dies zeigt, dass alle Datenbearbeitungen und deren Rechtmässigkeit Gegenstand der Kontrolltätigkeit des Klägers sein können (Baeriswyl, Handkommentar DSG, Art. 29, Rz. 4; Huber, BSK DSG, Art. 29 Rz. 12). Gegenstand der Sachverhaltsabklärungen können alle Datenbearbeitungen im Sinne von Art. 3 Bst. e DSG sein, solange diese potentiell eine grössere Anzahl von Personen betreffen. Im Fokus stehen Konzeption, Inhalt sowie Art und Weise von Datenbearbeitungen (Baeriswyl, Handkommentar DSG, Art. 29, Rz. 14; Huber, BSK DSG, Art. 29, Rz. 7a). Der Begriff der "Bearbeitungsmethode" schränkt den Gegenstand möglicher Sachverhaltsabklärungen des Klägers nicht ein, sondern verweist lediglich darauf, dass sich die Datenbearbeitung nicht auf einzelne Fälle beziehen darf, sondern diese methodisch, mithin wiederkehrend, erfolgen muss. Beim Entscheid, ob ein Systemfehler vorliegt, hat der Kläger grundsätzlich einen weiten Ermessensspielraum, sein Entscheid muss jedoch begründet und nachvollziehbar sein (Baeriswyl, Handkommentar DSG, Art. 29, Rz. 18), was vorliegend der Fall ist. Ob die von der Beklagten im Rahmen des Programms Helsana+ vorgenommenen Bearbeitungen von Personendaten gegen den Grundsatz der Rechtmässigkeit von Art. 4 Abs. 1 DSG verstossen, ist demgegenüber eine Frage des materiellen Rechts.

1.7  Dass vorliegend eine grosse Anzahl Personen betroffen sind, wird von der Beklagten nicht bestritten. Darüber hinausgehende Voraussetzungen für Abklärungen und Empfehlungen - und entsprechend auch für Klagen - des Klägers ergeben sich aus Art. 29 DSG wie ausgeführt nicht. Entsprechend war der Kläger zur Erteilung der Empfehlungen ermächtigt und ist zur vorliegenden Klage legitimiert. Die Aktivlegitimation des Klägers ist damit auch bezüglich des Rechtsbegehrens 2 zu bejahen.

1.8  Die Beklagte ist formelle und materielle Adressatin der Empfehlungen des Klägers vom 26. April 2018, deren Umsetzung sie gemäss Schreiben an den Kläger vom 22. Mai 2018 ablehnt. Dass die Beklagte sich bereit erklärte, den Registrierungsprozess bis zum Vorliegen eines rechtskräftigen Urteils ohne Anerkennung einer Rechtspflicht anzupassen (vgl. Schreiben der Beklagten an den Kläger vom 22. Mai 2018), ändert daran nichts. Die Beklagte ist demnach passivlegitimiert.

1.9  Die Klage ist an keine bestimmte Frist gebunden und wurde vom Kläger nicht ungebührlich hinausgezögert (vgl. Huber, BSK DSG, Art. 29, Rz. 34 f.). Sie genügt zudem den Formerfordernissen (Art. 23 BZP) und ist damit zulässig.

2. 
Das Verfahren vor dem Bundesverwaltungsgericht richtet sich gemäss Art. 44 Abs. 1 VGG grundsätzlich nach den Art. 3-73 und den Art. 79-85 des Bundesgesetzes vom 4. Dezember 1947 über den Bundeszivilprozess (BZP, SR 273). Obwohl im Bundeszivilprozess der Richter sein Urteil grundsätzlich nur auf Tatsachen gründen darf, die im Verfahren geltend gemacht worden sind (Art. 3 Abs. 2 BZP), gilt vor Bundesverwaltungsgericht infolge der spezialgesetzlichen Bestimmung von Art. 44 Abs. 2 VGG der Grundsatz der Sachverhaltsabklärung von Amtes wegen.

3.   

3.1  Personendaten dürfen nur rechtmässig bearbeitet werden. Ihre Bearbeitung hat nach Treu und Glauben zu erfolgen und muss verhältnismässig sein. Sie dürfen nur zu dem Zweck bearbeitet werden, der bei der Beschaffung angegeben wurde, aus den Umständen ersichtlich oder gesetzlich vorgesehen ist. Die Beschaffung von Personendaten und insbesondere der Zweck ihrer Bearbeitung müssen für die betroffene Person erkennbar sein. Ist für die Bearbeitung von Personendaten die Einwilligung der betroffenen Person erforderlich, so ist diese Einwilligung erst gültig, wenn sie nach angemessener Information freiwillig erfolgt. Bei der Bearbeitung von besonders schützenswerten Personendaten oder Persönlichkeitsprofilen muss die Einwilligung zudem ausdrücklich erfolgen (Art. 4 DSG).

3.2  Eine private Person, die Personendaten bearbeitet, darf dabei die Persönlichkeit der betroffenen Personen nicht widerrechtlich verletzen (Art. 12 Abs. 2 DSG). Sie darf insbesondere nicht Personendaten entgegen den Grundsätzen der Art. 4, 5 Abs. 1 und 7 Abs. 1 bearbeiten (Art. 12 Abs. 2 Bst. a DSG). Eine Verletzung der Persönlichkeit ist widerrechtlich, wenn sie nicht durch Einwilligung des Verletzten, durch ein überwiegendes privates oder öffentliches Interesse oder durch Gesetz gerechtfertigt ist (Art. 13 Abs.1 DSG).

3.3  Organe des Bundes dürfen Personendaten bearbeiten, wenn dafür eine gesetzliche Grundlage besteht (Art. 17 Abs. 1 DSG). Sie dürfen Personendaten nur bekannt geben, wenn dafür eine Rechtsgrundlage im Sinne von Art. 17 DSG besteht oder wenn die betroffene Person im Einzelfall eingewilligt hat (Art. 19 Abs. 1 Bst. b DSG). Bundesorgane sind Behörden und Dienststellen des Bundes sowie Personen, soweit sie mit öffentlichen Aufgaben des Bundes betraut sind (Art. 3 Bst. h DSG).

4.   

4.1  Der Kläger macht bezüglich des Rechtsbegehrens 1 geltend, der Zugriff der Beklagten auf Daten aus der obligatorischen Krankenpflegeversicherung im Rahmen des Registrierungsprozesses für das Programm Helsana+ verstosse gegen das Datenschutzgesetz. Die Beklagte sei diesbezüglich als Bundesorgan im Sinne von Art. 3 Bst. h DSG anzusehen. Für diese Datenübertragung bestehe keine gesetzliche Grundlage im Sinne von Art. 17 Abs. 1 DSG, weshalb diese rechtswidrig sei. Der Rechtsgültigkeit einer Einwilligung stehe deren fehlende Freiwilligkeit entgegen, weil sie zwingend mit dem Zugang zum Programm gekoppelt sei. Es handle sich zudem um eine Globalzustimmung zu den Nutzungsbestimmungen für das App-Programm, aus der nicht auf eine gültige Einwilligung für Zugriffe auf Personendaten von Grundversicherern geschlossen werden könne. Ebenso wenig könne aus dieser Globalzustimmung eine Befugnis der Grundversicherungsgesellschaften abgeleitet werden, Personendaten weiterzugeben, die von ihnen als Bundesorgan bearbeitet würden.

4.2  Die Beklagte hält dem entgegen, sie sei kein Bundesorgan, es seien entsprechend die Bestimmungen für das Bearbeiten von Personendaten durch private Personen anzuwenden. Zum Nachweis einer Versicherungsbeziehung müssten die Teilnehmerinnen und Teilnehmer des Programms Helsana+ bei der Registrierung Postleitzahl, Geburtsdatum und Versichertennummer angeben. Bei Teilnehmerinnen und Teilnehmern, die bei einer Versicherungsgesellschaft der Helsana-Gruppe grundversichert seien, prüfe sie diese Angaben mehrmals jährlich automatisiert. Indem die Teilnehmerinnen und Teilnehmer die Nutzungsbestimmungen bei der Registrierung akzeptierten, gäben sie ihre Einwilligung dazu, dass die Beklagte auf Versichertendaten bei den anderen Versicherungsgesellschaften der Helsana-Gruppe zugreifen dürfe. Damit würden sie implizit auch darin einwilligen, dass die Grundversicherung den entsprechenden Zugriff gestatte. Die Teilnahme am Programm Helsana+ sei zudem freiwillig. Entsprechend sei ihre Datenbearbeitung gemäss Art. 13 Abs. 1 DSG durch Einwilligung gerechtfertigt.

4.3  Es ist unbestritten, dass sich die Beklagte im Rahmen des Registrierungsprozesses für das Programm Helsana+ gewisse Personendaten der Teilnehmerinnen und Teilnehmer von anderen Versicherungsgesellschaften der Helsana-Gruppe beschafft, welche die betroffenen Personen im Rahmen ihrer obligatorischen Krankenpflegeversicherung mitgeteilt haben (Postleitzahl, Geburtsdatum, Versichertennummer). Diese Personendaten geben die Teilnehmerinnen und Teilnehmer gleichzeitig der Beklagten selber bekannt, welche diese anschliessend mit den Daten bei der entsprechenden Versicherungsgesellschaft der Helsana-Gruppe abgleicht. Der Abgleich geschieht nach der Registrierung automatisiert mehrmals jährlich zur Kontrolle, ob die Teilnehmerinnen und Teilnehmer (weiterhin) eine obligatorische Krankenpflegeversicherung bei einer Versicherungsgesellschaft der Helsana-Gruppe haben. Zudem bekommen die Teilnehmerinnen und Teilnehmer am Programm Helsana+ Pluspunkte, wenn sie längere Zeit eine Vertragsbeziehung mit einer Versicherungsgesellschaft der Helsana-Gruppe haben; auch in diesem Zusammenhang beschafft sich die Beklagte Personendaten bei den anderen Versicherungsgesellschaften der Helsana-Gruppe.

Unbestritten ist zudem, dass die Beklagte im Rahmen des Registrierungsprozesses über die App eine Einwilligung für die Beschaffung der Personendaten von Teilnehmerinnen und Teilnehmern einholt, die bei anderen Versicherungsgesellschaften der Helsana-Gruppe versichert sind. Die "Nutzungs- und Datenschutzbestimmungen für Helsana+ App V1.0" enthalten diesbezüglich die folgenden Bestimmungen:

Unter dem Titel "Welche Daten sammelt die Helsana im Rahmen der Helsana+ App?" führen die Bestimmungen in Ziff. B.3.1. aus:

"[...] Für die Registrierung und Identifikation des Nutzers zur Vollversion ist die Angabe der Versichertennummer, der PLZ und des Geburtsdatums sowie der E-Mail-Adresse erforderlich.

Helsana ist berechtigt, zwecks Identifikation des Nutzers Einblick in die entsprechenden Daten der jeweiligen Versicherungsgesellschaften der Helsana-Gruppe zu nehmen."

In Ziff. B.4 "Einwilligung zum Abgleich mit Versichertendaten des Nutzers" halten die Bestimmungen fest:

"Der Nutzer stimmt ausdrücklich zu, dass Helsana im Rahmen der Abwicklung der Helsana+ App auf die bei den Versicherungsgesellschaften der Helsana-Gruppe vorhandenen Versichertendaten des Nutzers zurückgreifen darf."

Im Zusammenhang mit den Pluspunkten, welche die Teilnehmerinnen und Teilnehmer am Programm für "langjährige Treue" erhalten können, sieht Ziff. A.7.1.4 vor:

"Der Nutzer ermächtigt Helsana hiermit ausdrücklich, den dafür notwendigen Abgleich mit den bei den Versicherungsgesellschaften der Helsana-Gruppe vorhandenen einschlägigen Nutzerdaten vorzunehmen."

Zudem sieht Ziff. A.9.1 unter dem Titel "Arten des Nachweises" (von zu Pluspunkten berechtigenden Aktivitäten) vor:

"[...] Die Bepunktung z.B. für Vertragstreue erfolgt automatisch durch Helsana (vgl. Zifffer 7.1.4). Der Nutzer ermächtigt hierfür Helsana, Einblick in die bei den Versicherungsgesellschaften der Helsana-Gruppe vorhandenen einschlägigen Nutzerdaten zu nehmen."

4.4  Es ist zu prüfen, ob die Beklagte durch den Abgleich von Personendaten der Teilnehmerinnen und Teilnehmer am Programm Helsana+ mit bei einer anderen Versicherungsgesellschaft der Helsana-Gruppe gespeicherten Personendaten gegen das Datenschutzgesetz verstösst.

4.5   

4.5.1  Vorab ist zu klären, ob auf die Beklagte vorliegend die Regeln bezüglich das Bearbeiten von Personendaten durch private Personen (Art. 12 ff. DSG) oder diejenigen für das Bearbeiten von Personendaten durch Bundesorgane (Art. 16 ff. DSG) zur Anwendung kommen.

4.5.2  Der Kläger bringt vor, soweit die Beklagte Personendaten im Rahmen der obligatorischen Krankenpflegeversicherung nach dem Krankenversicherungsgesetz bearbeite, kämen die Bestimmungen bezüglich Bundesorgane zur Anwendung.

4.5.3  Die Beklagte hält dem entgegen, als Bundesorgan würden Krankenversicherungen nur dann gelten, wenn sie Aufgaben der obligatorischen Krankenpflegeversicherung wahrnehmen und dem Krankenversicherungsgesetz unterstehen würden. Sie sei jedoch ausschliesslich mit Zusatzversicherungen tätig und nehme keine Aufgaben im Bereich der obligatorischen Krankenpflegeversicherung wahr. Daran ändere auch nichts, dass sie ihm Rahmen von Helsana+ auf Daten aus dem Bereich der obligatorischen Krankenpflegeversicherung zugreife. Dieser Zugriff erfolge nicht in Anwendung des Krankenversicherungsgesetzes, sondern im Rahmen ihrer Tätigkeit als Zusatzversicherung. Auch würden keine Aufgaben der obligatorischen Krankenpflegeversicherung auf sie übertragen.

4.5.4  Bundesorgane sind Behörden und Dienststellen des Bundes sowie Personen, soweit sie mit öffentlichen Aufgaben des Bundes betraut sind (Art. 3 Bst. h DSG). Natürliche und juristische Personen gelten mithin für die Zwecke des Datenschutzgesetzes als Bundesorgane, soweit sie durch Bundesgesetze mit Verwaltungsaufgaben betraut sind (Art. 2 Abs. 4 des Regierungs- und Verwaltungsorganisationsgesetzes vom 21. März 1997 [RVOG, SR 172.010]). Sie gelten aber nur insoweit als Bundesorgane, als sie Personendaten für die Erfüllung einer öffentlichen Aufgabe bearbeiten, in allen anderen datenschutzrechtlichen Bereichen unterliegen sie dem Privatrecht (Maurer-Lambrou/Kunz, BSK DSG, Art. 2, Rz. 14). Entscheidend bei der Beurteilung, ob eine Person als Bundesorgan handelt, ist die Rechtsnatur des der Datenbearbeitung zugrunde liegenden Verhältnisses zwischen Datenbearbeiterin und betroffener Person. Ist dieses Verhältnis öffentlich-rechtlicher Natur, gilt die Datenbearbeiterin als öffentliches Organ (Rudin, Handkommentar DSG, Art. 2, Rz. 15 und 17).

4.5.5  Krankenkassen und private Versicherungsunternehmen, die dem Bundesgesetz vom 17. Dezember 2004 betreffend die Aufsicht über Versicherungsunternehmen (Versicherungsaufsichtsgesetz, VAG, SR 961.01) unterstehen, gelten als Bundesorgane, wenn sie über eine Bewilligung zur Durchführung der sozialen Krankenversicherung nach Art. 4 des Bundesgesetzes vom 26. September 2014 betreffend die Aufsicht über die soziale Krankenversicherung (KVAG, SR 832.12) verfügen (vgl. Maurer-Lambrou/Kunz, BSK DSG, Art. 2, Rz. 15; vgl. BGE 144 V 388 E. 4.1). Die Beklagte bietet unbestrittenermassen keine obligatorischen Krankenversicherungen an. Ebenso wenig wurden ihr durch einen obligatorischen Krankenpflegeversicherer Aufgaben im Bereich der obligatorischen Krankenpflegeversicherung übertragen. Keine der Datenbearbeitungen, welche die Beklagte im Rahmen des Programms Helsana+ vornimmt, beruht auf durch das Krankenversicherungsgesetz geregelten Aufgaben. Das Rechtsverhältnis zwischen der Beklagten und den betroffenen Personen ist entsprechend nicht öffentlich-rechtlicher Natur. Dies gilt auch für den Abgleich von Angaben der betroffenen Personen mit Personendaten, die eine andere Versicherungsgesellschaft der Helsana-Gruppe im Rahmen der Durchführung der obligatorischen Krankenpflegeversicherung bearbeitet. Auch in diesen Fällen ist das Verhältnis der betroffenen Personen und der Beklagten privatrechtlicher Natur, die Beklagte nimmt weder öffentliche Aufgaben (zum Beispiel im Rahmen der obligatorischen Krankenpflegeversicherung) wahr noch handelt sie hoheitlich. Die Beklagte handelt entsprechend vorliegend nicht als Bundesorgan.

4.5.6  Entsprechend finden auf die Datenbearbeitungen durch die Beklagte im Rahmen des Programms Helsana+ die datenschutzrechtlichen Bestimmungen bezüglich das Bearbeiten von Personendaten durch private Personen der Art. 12 ff. DSG Anwendung.

4.6  Der Zugriff der Beklagten auf Personendaten der Teilnehmerinnen und Teilnehmer am Programm Helsana+, die andere Versicherungsgesellschaften der Helsana-Gruppe im Rahmen ihrer Tätigkeit bearbeiten, ist seinerseits eine Bearbeitung von Personendaten im Sinne von Art. 3 Bst. e DSG. Entsprechend hat die Beklagte dabei die Grundsätze von Art. 4 DSG zu beachten und sie darf keine widerrechtlichen Persönlichkeitsverletzungen im Sinne von Art. 12 f. DSG begehen. Eine Datenbeschaffung ist immer dann rechtswidrig im Sinne von Art. 4 Abs.1 DSG, wenn gegen irgendeine datenschutzrechtliche Rechtsnorm verstossen wird; jegliche Weiterbearbeitung rechtswidrig beschaffter Daten ist grundsätzlich ebenfalls rechtswidrig (vgl. dazu ausführlich E. 5.4; aurer-Lambrou/Steiner, BSK DSG, Art. 4, Rz. 6; Eva Maria Belser/Astrid Epiney/Bernhard Waldmann, Datenschutzrecht, 2011, S. 520 f.; David Rosenthal, Handkommentar Datenschutzgesetz, Art. 4, Rz. 6 ff.).

4.7  Bearbeitet die Beklagte im Rahmen von Helsana+ Personendaten, die bei einer anderen Versicherungsgesellschaft der Helsana-Gruppe im Rahmen der obligatorischen Krankenpflegeversicherung gespeichert sind, steht dies im Konflikt mit dem Grundsatz der Zweckbindung nach Art. 4 Abs. 3 DSG. Durch die zitierten Bestimmungen aus den "Nutzungs- und Datenschutzbestimmungen Helsana+ App V1.0" holt die Beklagte für sich selber eine Einwilligung der Teilnehmerinnen und Teilnehmer am Programm Helsana+ zur Bearbeitung der entsprechenden Nutzerdaten ein. Die Einwilligung erfolgt entgegen den Vorbringen des Klägers freiwillig, da der Nachteil, der bei einer Nichteinwilligung droht - die Unmöglichkeit der Teilnahme am Programm Helsana+ - einen direkten Bezug zu den Daten aufweist, für deren Bearbeitung die Einwilligung eingeholt wird und damit kein unzulässiger Zwang zur Erteilung der Einwilligung vorliegt (vgl. dazu BGE 138 I 331 E. 7.4.1; Maurer-Lambrou/Steiner, BSK DSG, Art. 4, Rz. 16f): Ohne die Beschaffung der Personendaten kann die Beklagte nicht kontrollieren, ob eine Versichertenbeziehung zu einer andern Versicherungsgesellschaft der Helsana-Gruppe vorliegt, was wiederum eine Voraussetzung für die Teilnahme am Programm Helsana+ darstellt, und zu Bonuspunkten im Rahmen des Programms berechtigt. Der Umstand allein, dass die Beklagte für die Teilnahme am Programm mit geldwerten Vorteilen und insbesondere mit Bargeldboni wirbt (in der Höhe von maximal Fr. 75.- pro Jahr bei nur grundversicherten Personen), stellt ebenfalls keinen unzulässigen Zwang dar. Die Beklagte verfügt damit für die Beschaffung der Personendaten über eine Einwilligung der betroffenen Personen.

Beschafft sich die Beklagte bei den Versicherungsgesellschaften der Helsana-Gruppe, die im Bereich der obligatorischen Krankenpflegeversicherung tätig sind, Personendaten, welche diese im Rahmen der obligatorischen Krankenpflegeversicherung gespeichert haben, stellt dieser Vorgang gleichzeitig eine Bekanntgabe von Daten dar. Entsprechend kann die Beschaffung dieser Personendaten durch die Beklagte nur rechtmässig sein, wenn auch die Bekanntgabe der Personendaten rechtmässig ist. Zu prüfen ist deshalb, ob die anderen Versicherungsgesellschaften der Helsana-Gruppe, die im Bereich der obligatorischen Krankenpflegeversicherung tätig sind, zur Herausgabe der Personendaten an die Beklagte berechtigt sind.

4.8   

4.8.1  Die Versicherungsgesellschaften der Helsana-Gruppe, die im Geschäft mit obligatorischen Krankenpflegeversicherungen tätig sind, sind für die hier vorliegenden Belange als Bundesorgane im Sinne von Art. 3 Bst. h DSG zu behandeln (vgl. E. 4.5.5), womit die Art. 16 ff. DSG zur Anwendung kommen. Entsprechend dürfen sie gemäss den datenschutzrechtlichen Bestimmungen für Bundesorgane Personendaten nur bearbeiten, wenn dafür eine gesetzliche Grundlage besteht (Art. 17 Abs. 1 DSG). Obligatorische Krankenpflegeversicherungen sind nach Art. 84 des Bundesgesetzes vom 18. März 1994 über die Krankenversicherung (Krankenversicherungsgesetz, KVG, SR 832.10) befugt, die Personendaten zu bearbeiten oder bearbeiten zu lassen, die sie benötigen, um die ihnen nach dem Krankenversicherungsgesetz übertragenen Aufgaben zu erfüllen. Nach Art. 33 des Bundesgesetzes vom 6. Oktober 2000 über den Allgemeinen Teil des Sozialversicherungsrechts (ATSG, SR 830.1) haben Personen, die an der Durchführung sowie der Kontrolle oder der Beaufsichtigung der Durchführung der Sozialversicherungsgesetze beteiligt sind, gegenüber Dritten Verschwiegenheit zu bewahren. Gemäss Art. 84a Abs. 5 Bst. b KVG dürfen Organe, die mit der Durchführung des Krankenversicherungsgesetzes betraut sind, Personendaten in Abweichung von Art. 33 ATSG an Dritte bekannt geben, sofern die betroffene Person im Einzelfall schriftlich eingewilligt hat. Nach Art. 19 Abs. 1 Bst. b DSG dürfen Bundesorgane Personendaten nur bekannt geben, wenn dafür eine Rechtsgrundlage besteht oder wenn die betroffene Person im Einzelfall eingewilligt hat.

4.8.2  Da es sich bei der Helsana Versicherungen AG und der Progrès Versicherungen AG ebenso wie bei der Beklagten um juristische Personen handelt, gilt die Bekanntgabe von Personendaten einer dieser Versicherungsgesellschaften an die Beklagte als Bekanntgabe an eine dritte Person. Die Bekanntgabe der Personendaten aus der obligatorischen Krankenpflegeversicherung erfolgt vorliegend nicht in Ausübung einer durch das Krankenversicherungsgesetz übertragenen Aufgabe. Auch eine Ausnahme von der sozialversicherungsrechtlichen Verschwiegenheitspflicht gemäss den Absätzen 1-4 von Art. 84a KVG liegt nicht vor. Eine Ausnahme von der sozialversicherungsrechtlichen Verschwiegenheitspflicht ist damit vorliegend nur unter den kumulativen Voraussetzungen von Art. 19 Abs. 1 DSG und Art. 84a Abs. 5 Bst. b KVG rechtmässig, das heisst, wenn die betroffene Person im Einzelfall schriftlich zugestimmt hat.

4.8.3  Die Nutzungs- und Datenschutzbestimmungen von Helsana+ beinhalten keine explizite Einwilligung in die Bekanntgabe von Personendaten aus der obligatorischen Krankenpflegeversicherung an die Beklagte. Dass die Einwilligung auch für die Datenbearbeitung durch andere Personen als die Beklagte gilt - nämlich für weitere Versicherungsgesellschaften der Helsana-Gruppe -, erwähnen die Bestimmungen nicht, was grundsätzlich nicht einer transparenten Information im Sinne von Art. 4 Abs. 5 DSG entspricht. Da die Datenbeschaffung durch die Beklagte und die Datenbekanntgabe durch die obligatorische Krankenpflegeversicherungen jedoch eine Einheit bilden, kann vorliegend trotzdem davon ausgegangen werden, dass den Teilnehmerinnen und Teilnehmern am Programm Helsana+ hinreichend klar ist, dass ihre Einwilligung nicht nur die Datenbeschaffung durch die Beklagte, sondern auch die Bekanntgabe dieser Daten durch die obligatorische Krankenpflegeversicherung beinhaltet. Aus den Nutzungs- und Datenschutzbestimmungen des Programms Helsana+ kann damit zumindest eine implizite Einwilligung in die Bekanntgabe der Personendaten durch die obligatorische Krankenpflegeversicherung an die Beklagte abgeleitet werden.

4.8.4  Hingegen ist festzustellen, dass die Einwilligung in die Datenbekanntgabe durch die obligatorische Krankenpflegeversicherung nicht, wie von Art. 19 Abs. 1 DSG und Art. 84a Abs. 5 Bst. b KVG gefordert, im Einzelfall geschieht. Die Beklagte fragt die Daten nach eigenen Angaben mehrmals jährlich in einem automatisierten Prozess bei den anderen Versicherungsgesellschaften der Helsana-Gruppe ab. Damit handelt es sich nicht um einen Einzelfall (vgl. Gebhard Eugster, Verwaltungsverfahren und Rechtspflege, in: Ulrich Meyer [Hrsg.], Soziale Sicherheit, 3. Aufl. 2016, S. 871), die Einwilligung gilt im Gegenteil für einen unbefristeten Zeitraum und eine unbekannte Anzahl Bekanntgaben.

Die Einwilligung in die Bekanntgabe respektive in die Beschaffung der Daten in Ziff. B.4 der Nutzungs- und Datenschutzbestimmungen beschränkt sich zudem nicht auf die von der Beklagten genannten drei Datenpunkte (Postleitzahl, Versichertennummer und Geburtsdatum des Nutzers). Die Klausel enthält keine einschränkenden Verweise auf den Zweck der Datenbearbeitung oder andere Bestimmungen, sondern ist breit und ohne Einschränkungen formuliert. Die Beklagte holt damit eine über den notwendigen Zweck der Datenbearbeitung hinausgehende Einwilligung ein. Erschwerend kommt hinzu, dass sich die Einwilligung, auf mehrere Bestimmungen verteilt, in den umfangreichen Nutzungs- und Datenschutzbestimmungen befindet, welche die Teilnehmerinnen und Teilnehmer durch Anklicken einer Schaltfläche in der Helsana+-App genehmigen. Dieses Vorgehen erschwert es den Teilnehmerinnen und Teilnehmern, zu erkennen, in welche Datenbearbeitungen sie einwilligen. Aus diesen Gründen entspricht die Einwilligung nicht den Voraussetzung einer angemessenen Information für die Gültigkeit einer Einwilligung nach Art. 4 Abs. 5 DSG.

Schliesslich erfolgt die Einwilligung nicht wie in Art. 84a Abs. 5 KVG gefordert, schriftlich, sondern auf der Helsana+-App durch Anklicken einer Schaltfläche. Damit fehlt es der Einwilligung aufgrund der fehlenden eigenhändigen Unterschrift an der Schriftlichkeit (Art. 14 OR).

Insgesamt liegt damit keine gültige Einwilligung in die Bekanntgabe von Personendaten aus der obligatorischen Krankenpflegeversicherung an Dritte vor, entsprechend ist die Beschaffung solcher Daten durch die Beklagte unrechtmässig im Sinne von Art. 4 Abs.1 DSG.

4.9  Zusammenfassend ist festzuhalten, dass die Beschaffung von Daten durch die Beklagte bei den Grundversicherern der Helsana-Gruppe im Rahmen des Programms Helsana+ insofern unrechtmässig ist, als keine den datenschutzrechtlichen Vorschriften von Art. 19 DSG und Art. 84a Abs. 5 KVG genügende Einwilligung der betroffenen Personen für die Bekanntgabe der im Rahmen der obligatorischen Krankenpflegeversicherung gesammelten Daten vorliegt. Die Beklagte verstösst folglich mit der Beschaffung dieser Daten gegen Art. 4 Abs. 1 DSG und begeht eine widerrechtliche Persönlichkeitsverletzung im Sinne von Art. 12 DSG.

Das Rechtsbegehren 1 ist entsprechend insoweit gutzuheissen, als der Kläger darin fordert, die Beklagte habe im Rahmen des Programms Helsana+ die Entgegennahme und Weiterbearbeitung von Personendaten der Helsana Grundversicherung zu unterlassen. Soweit der Kläger zudem beantragt, der Beklagten sei zu verbieten, Einwilligungen zu dieser Datenbearbeitung einzuholen ist ihm hingegen nicht zu folgen. Es ist nicht am Kläger oder am Bundesverwaltungsgericht, der Beklagten zu verbieten, Einwilligungen zu gewissen Datenbearbeitungen einzuholen. Einwilligungen sind entweder rechtsgültig oder nicht, ein Verbot, solche einzuholen, kann aus den Bestimmungen des Datenschutzgesetzes jedoch nicht abgeleitet werden.

5.   

5.1  Der Kläger macht bezüglich seines Rechtsbegehrens 2 geltend, bei den Boni, die an die Teilnehmerinnen und Teilnehmer des Programms Helsana+ ausbezahlt würden, die nur eine obligatorische Grundversicherung bei einer Versicherungsgesellschaft der Helsana-Gruppe hätten, handle es sich um eine Gegenleistung dafür, dass die Programmteilnehmerinnen und -teilnehmer Prämienzahler einer Helsana-Grundversicherung seien. Deshalb laufe die personenbezogene Bearbeitung der Kassenzugehörigkeitsdaten im Rahmen des Helsana+-Programms bei diesen Personen wirtschaftlich darauf hinaus, ihnen einen Teil ihrer Grundversicherungsprämie zurückzuerstatten. Die Prämienmodelle der Grundversicherung seien jedoch nach dem Krankenversicherungsgesetz dem Prinzip gleicher Prämien verpflichtet, von dem nur das Gesetz dispensieren könne. Deshalb seien die Rückerstattungen rechtswidrig und entsprechend alle damit zusammenhängenden Bearbeitungen von Personendaten widerrechtlich.

5.2  Die Beklagte führt demgegenüber aus, sie biete weder Versicherungen aus dem Bereich der obligatorischen Krankenpflegeversicherung an, noch flössen aus der Grundversicherung Finanzmittel in das Programm Helsana+. Die Helsana Versicherungen AG und die Progrès Versicherungen AG, die beide Grundversicherungen anböten, seien in den Betrieb des Programms "Helsana+" nicht involviert. Der Bonus stehe deshalb bei Grundversicherten nicht in einem Austauschverhältnis mit der Prämienzahlung. Selbst wenn es sich jedoch um eine unzulässige Prämienrückerstattung handeln würde, wäre die damit verbundene Datenbearbeitung zulässig, da ein widerrechtlicher Endzweck nicht mit einer fehlenden Rechtmässigkeit der Datenbearbeitung gleichzusetzen sei.

5.3  Es ist zu prüfen, ob die Datenbearbeitung der Beklagten im Rahmen des Programms Helsana+, soweit sie Personen betrifft, die nur eine Grundversicherung bei einer Versicherungsgesellschaft der Helsana-Gruppe haben, grundsätzlich unrechtmässig im Sinne von Art. 4 Abs. 1 DSG ist, da sie - wie vom Kläger behauptet - zu einem rechtswidrigen Zweck erfolgt, nämlich einer indirekten Rückerstattung von Versicherungsprämien für die obligatorische Krankenpflegeversicherung.

5.4   

5.4.1  Gehalt und Umfang des Rechtmässigkeitsgrundsatzes von Art. 4 Abs. 1 DSG sind umstritten (vgl. Eva Maria Belser/Astrid Epiney/Bernhard Waldmann, Datenschutzrecht, 2011, S. 520) und damit auf dem Wege der Auslegung zu ermitteln (vgl. BGE 131 II 697 E. 4.1 m.w.H.).

5.4.2  Unbestritten ist, dass eine Datenbearbeitung immer dann unrechtmässig im Sinne von Art. 4 Abs. 1 DSG ist, wenn der Datenbearbeiter dabei gegen eine Rechtsnorm verstösst, die den Schutz der Persönlichkeit bezweckt, dies unabhängig davon, ob sich die Rechtsnorm im Datenschutzgesetz oder in einem anderen Erlass befindet. Nicht geklärt ist jedoch, ob auch der Verstoss gegen eine Rechtsnorm, die nicht (zumindest auch) dem Schutz der Persönlichkeit dient, die Bearbeitung von Personendaten unrechtmässig macht. Das Bundesgericht hat sich zu dieser Frage bisher nicht geäussert.

5.4.3  Ein Teil der Lehre vertritt - ohne dies weiter zu begründen - die Meinung, dass ein Verstoss gegen irgendeine Rechtsnorm als eine unrechtmässige Datenbearbeitung im Sinne von Art. 4 Abs. 1 DSG anzusehen sei (Maurer-Lambrou/Steiner, BSK DSG, Art. 4, Rz. 6; Eva Maria Belser/Astrid Epiney/Bernhard Waldmann, Datenschutzrecht, 2011, S. 519 ff.; Baeriswyl, Handkommentar DSG, Art. 4, Rz. 5). Ein anderer Teil der Lehre vertritt demgegenüber die Meinung, dass nur Verstösse gegen solche Verhaltensnormen erfasst seien, die direkt oder indirekt auch den Schutz vor einem Eingriff in die Persönlichkeit einer Person bezwecken (David Rosenthal, Handkommentar Datenschutzgesetz, Art. 4, Rz. 6 f.). Kein Autor und keine Autorin äussert jedoch ausdrücklich die Meinung, ein rechtswidriger Zweck der Datenbearbeitung führe in jedem Fall zur Unrechtmässigkeit der entsprechenden Datenbearbeitung, alle Lehrmeinungen stellen vielmehr darauf ab, dass die Datenbearbeitung an sich gegen keine Rechtsnorm verstossen darf. Dies korrespondiert mit dem Wortlaut von Art. 4 Abs. 1 DSG, der sich auf die Rechtmässigkeit der Bearbeitung von Personendaten bezieht und nicht auf den Zweck, zu dem diese bearbeitet werden.

Zudem äussert sich, systematisch betrachtet, das Datenschutzgesetz grundsätzlich nicht dazu, zu welchen Zwecken Personendaten bearbeitet werden dürfen und zu welchen nicht. Art. 4 Abs. 3 DSG, der den Grundsatz der Zweckbindung der Bearbeitung von Personendaten enthält, legt lediglich fest, dass Personendaten nur zu dem Zweck bearbeitet werden dürfen, der bei der Beschaffung angegeben wurde, aus den Umständen ersichtlich oder gesetzlich vorgesehen ist. Dies im Gegensatz zu Art. 5 Abs. 1 der für die Schweiz nicht verbindlichen Datenschutz-Grundverordnung der EU (Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG, ABl. L 119/1 vom 4.5.2016). Dieser schreibt in Bst. a nicht nur - analog zu Art. 4 Abs. 1 DSG - vor, dass personenbezogene Daten auf rechtmässige Weise bearbeitet werden müssen, sondern in Bst. b - im Gegensatz zu Art. 4 Abs. 3 DSG - auch, dass diese nur für "legitime" Zwecke erhoben werden dürfen. Mit der laufenden Revision des Datenschutzgesetzes verfolgt der Bundesrat unter anderem das Ziel, die Datenschutzbestimmungen der Schweiz an die Datenschutz-Grundverordnung der EU anzupassen (Botschaft des Bundesrates vom 15. September 2017 zum Bundesgesetz über die Totalrevision des Bundesgesetzes über den Datenschutz und die Änderung weiterer Erlasse zum Datenschutz, BBl 2017 6941, 6998). Soweit anhand des bisherigen Gesetzgebungsverfahrens ersichtlich, ist jedoch nicht geplant, die Gesetzeslage in dieser Hinsicht derjenigen in der EU anzupassen.

In eine ähnliche Richtung weist eine teleologische Betrachtung von Art. 4 Abs. 1 DSG. Die Datenschutzvorschriften des Datenschutzgesetzes konkretisieren insbesondere den verfassungsmässigen Persönlichkeitsschutz im Bereich der Bearbeitung von personenbezogenen Daten. Dabei steht den betroffenen Personen grundsätzlich das Recht auf informationelle Selbstbestimmung zu (Art. 13 Abs. 2 BV und Art. 8 Abs. 1 EMRK), das heisst, jede Person soll selber über ihre eigenen Personendaten bestimmen und verfügen können (vgl. Botschaft des Bundesrates vom 23. März 1988 zum Bundesgesetz über den Datenschutz, BBl 1988 II 413, 417 f.; Maurer-Lambrou/Steiner, BSK DSG, Art. 4, Rz. 3). Diese allgemeine Zweckrichtung aller Datenschutzvorschriften legt nahe, dass der Rechtmässigkeitsgrundsatz in Art. 4 Abs. 1 DSG sich lediglich darauf bezieht, dass das Bearbeiten von Personendaten dann unrechtmässig ist, wenn dabei gegen eine Norm verstossen wird, die zumindest auch dem Schutz der Persönlichkeit der betroffenen Person dient.

Die ursprüngliche Botschaft zum Datenschutzgesetz führt in diesem Zusammenhang lediglich aus, klar rechtswidrig sei das Beschaffen von Daten, wenn es mit Gewalt, Arglist oder Drohung gegenüber der betroffenen Person geschehe, da es sich dabei um Verstösse gegen das Strafgesetzbuch handle (BBl 1988 II 413, 449 f.). Die Botschaft von 2003 zur Anpassung von Art. 4 Abs.1 DSG an das Übereinkommen vom 28. Januar 1981 zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten (SR 0.235.1; Botschaft des Bundesrates vom 19. Februar 2003 zur Änderung der Bundesgesetzes über den Datenschutz [DSG]) äussert sich zu dieser Frage nicht (BBl 2003 2101, 2124). Auch den Ratsprotokollen können keine Anhaltspunkte für die Beantwortung dieser Frage entnommen werden (AB 1990 S 139; AB 1991 N 954).

5.4.4  Zusammenfassend ist der Grundsatz der Rechtmässigkeit von Art. 4 Abs. 1 DSG so zu verstehen, dass eine Datenbearbeitung zu einem rechtswidrigen Zweck erst dann unrechtmässig im Sinne des Datenschutzgesetzes ist, wenn dabei gegen eine Norm verstossen wird, die zumindest auch, direkt oder indirekt, den Schutz der Persönlichkeit einer Person bezweckt.

5.5  Die Versicherer müssen die soziale Krankenversicherung nach dem Grundsatz der Gegenseitigkeit durchführen und die Gleichbehandlung der Versicherten gewährleisten; sie dürfen die Mittel der sozialen Krankenversicherung nur zu deren Zwecken verwenden (Art. 5 Bst. f KVAG). Nach Art. 61 Abs. 1 KVG legt der Versicherer die Prämien für seine Versicherten fest. Soweit das Krankenversicherungsgesetz keine Ausnahme vorsieht, erhebt er von seinen Versicherten die gleichen Prämien. Der Versicherer stuft die Prämien gemäss den kantonalen Kostenunterschieden ab (Art. 61 Abs. 2 KVG) und er kann die Prämien regional abstufen (Art. 61 Abs. 2bis KVG). Für Kinder und junge Erwachsene setzt der Versicherer eine tiefere Prämie fest als für die übrigen Versicherten (Art. 61 Abs. 3 KVG). Er kann zudem die Prämien für Versicherungen mit eingeschränkter Wahl des Leistungserbringers vermindern (Art. 62 Abs. 1 KVG). Der Bundesrat kann weitere Versicherungsformen zulassen (Art. 62 Abs. 2 KVG).

Die gesetzliche Logik des Krankenversicherungsgesetzes sieht damit vor, dass jede versicherte Person eine einkommens- und vermögensunabhängige Individualprämie entrichtet, es gilt das Prinzip der Einheitsprämie pro Versicherer. Die Einheitsprämie bezweckt geschlechtsunabhängig die Solidarität zwischen kranken und gesunden, jungen und alten Personen. Eine Differenzierung der Prämien nach Beitrittsalter, Geschlecht oder Morbiditätsrisiko ist nicht zulässig (Gerhard Eugster, Bundesgesetz über die Krankenversicherung, 2010, Art. 61 Rz. 1 f.). Der Grundsatz der Gegenseitigkeit verlangt als Grundprinzip der sozialen Krankenversicherung insbesondere, dass den Versicherten unter den gleichen Voraussetzungen die gleichen Vorteile zu gewähren sind. Der Grundsatz verbietet, dass der Versicherer einem Versicherten einen Vorteil zukommen lässt, den er nicht auch anderen Versicherten gewährt, die sich in vergleichbarer Lage befinden (vgl. BGE 113 V 205 E. 5b; 113 V 296 E. 2; Gustavo Scartazzini/Marc Hürzeler, Bundessozialversicherungsrecht, 4. Aufl. 2012, S. 355).

Die Art. 61 und 62 KVG zur Regelung der Prämien in der obligatorischen Krankenpflegeversicherung dienen der Verwirklichung dieses Grundsatzes der Gegenseitigkeit in der sozialen Krankenversicherung und nicht dem Schutz der Persönlichkeit der Prämienzahler. Dies wird auch zu Recht von keiner Partei behauptet. Die Frage, ob die Beklagte mit dem Programm Helsana+ gegen das Krankenversicherungsgesetz verstösst, ist entsprechend im Grundsatz keine datenschutzrechtliche Frage.

5.6  Da die Art. 61 und 62 KVG, nicht den Schutz der Persönlichkeit der Prämienzahler bezwecken, würde selbst ein Verstoss gegen diese Bestimmungen die Datenbearbeitung im Rahmen von Helsana+ nicht unrechtmässig im Sinne von Art. 4 Abs. 1 DSG machen.

Entsprechend ist festzuhalten, dass die Bearbeitung von Personendaten durch die Beklagte im Rahmen des Programms Helsana+ - selbst unter Annahme eines unrechtmässigen Zwecks im Sinne einer Verletzung von Art. 61 beziehungsweise 61 KVG - nicht gegen Art. 4 Abs. 1 DSG verstösst. Das Rechtsbegehren 2 ist entsprechend abzuweisen.

5.7   

5.7.1  Unabhängig davon ist zudem nicht ersichtlich, dass die Beklagte mit dem Programm Helsana+ bezüglich Teilnehmerinnen und Teilnehmern, die nur eine obligatorische Grundversicherung bei einer Versicherungsgesellschaft der Helsana-Gruppe haben, gegen das Krankenversicherungsgesetz verstossen würde.

5.7.2  Das Bundesamt für Gesundheit BAG, Direktionsbereich Kranken- und Unfallversicherung, hat als für die Aufsicht über die Krankenversicherer zuständige Fachbehörde eine Untersuchung zum Programm Helsana+ durchgeführt. In seinem Schreiben vom 14. Februar 2018 teilte das BAG der Helsana Versicherungen AG mit, es schliesse die Untersuchungen ohne Einwände ab. Es habe festgestellt, dass weder die Helsana Versicherungen AG noch die Progrès Versicherungen AG vom Programm betroffen seien. Insbesondere würden keine Gelder der sozialen Krankenversicherung zweckentfremdet und der Verzicht auf die Teilnahme am Programm führe für versicherte Personen zu keiner Benachteiligung. Die für die Aufsicht über die Krankenversicherer zuständige Fachbehörde hat beim Programm Helsana+ damit keine Verletzung von Regeln des Krankenversicherungsgesetzes festgestellt.

5.7.3  Die Beklagte ist nicht im Bereich der obligatorischen Krankenpflegeversicherung tätig. Sie ist ebenso wie die Helsana Versicherungen AG und die Progrès Versicherungen AG, die in diesem Bereich tätig sind, als Aktiengesellschaft organisiert. Obwohl alle drei Aktiengesellschaften zu hundert Prozent im Eigentum der Helsana AG sind, handelt es sich mithin um eigenständige juristische Personen. Das Programm Helsana+ wird unbestrittenermassen einzig von der Beklagten durchgeführt, insbesondere bezahlt sie die Boni im Rahmen des Programms aus ihren eigenen Finanzmitteln. Es ist damit nicht die obligatorische Krankenpflegeversicherung, die versicherten Personen, die am Programm Helsana+ teilnehmen, geldwerte Vorteile gewährt, sondern eine Drittperson. Die Grundversicherer der Helsana-Gruppe - und damit auch die bei ihnen versicherten Personen, die nicht am Programm Helsana+ teilnehmen - erleiden durch die Auszahlung der Boni keine finanziellen Nachteile, da jene nicht aus den von den grundversicherten Personen einbezahlten und streng zweckgebundenen Mitteln (vgl. Art. 5 Bst. f KVAG) stammen. Damit liegt vorliegend keine unzulässige Quersubventionierung zwischen zwei Schwestergesellschaften einer Holding vor (vgl. BGE 144 V 388 E. 5.4.2). Im Gegensatz zur Situation in BGE 144 V 388 verschafft sich die Beklagte respektive verschaffen sich die Grundversicherer der Helsana AG vorliegend durch ihre Holdingstruktur keine ungerechtfertigten Vorteile, die den Wettbewerb der Krankenversicherer nach Krankenversicherungsgesetz in unzulässiger Weise beeinträchtigen würden. Soweit die Beklagte den Grundversicherern der Helsana-Gruppe durch das Programm wirtschaftliche Vorteile verschafft - zum Beispiel dadurch, dass zusätzliche Personen aufgrund der Attraktivität von Helsana+ eine obligatorische Krankenpflegeversicherung abschliessen -, sind diese nicht unzulässig, da ihr Vorgehen nicht gegen das Krankenversicherungsgesetz verstösst (vgl. BGE 144 V 388 E. 5.5.2). Aus diesem Grund liegt auch keine rechtsmissbräuchliche Berufung auf die rechtliche Selbständigkeit einer juristischen Person und damit kein Rechtsmissbrauch vor.

5.7.4  Das Programm Helsana+ ist damit soweit für das vorliegende datenschutzrechtliche Verfahren relevant und soweit es Teilnehmerinnen und Teilnehmer betrifft, die nur eine obligatorische Grundversicherung bei einer Versicherungsgesellschaft der Helsana-Gruppe haben, als mit dem Krankenversicherungsgesetz vereinbar anzusehen. Letztlich kann diese Frage jedoch offen bleiben, da das das Rechtsbegehren 2 ohnehin abzuweisen ist (vgl. E. 5.6).

6. 
Zusammenfassend ist das Rechtbegehren 1 im Sinne der E. 4.9 teilweise gutzuheissen und die Beklagte dazu zu verpflichten, im Rahmen des Programms Helsana+ die Entgegennahme und Weiterbearbeitung von Personendaten der Helsana Grundversicherungen zu unterlassen. Im Übrigen ist das Rechtsbegehren 1 abzuweisen.

Das Rechtsbegehren 2 ist abzuweisen. Das Rechtsbegehren 3 ist teilweise gutzuheissen, nämlich soweit es Personendaten betrifft, die im Rahmen der im Rechtsbegehren 1 beschriebenen Datenbearbeitung angefallen sind. Die Beklagte ist anzuweisen, diese Personendaten innert 30 Tagen zu löschen und Dritte, denen sie die Daten weitergegeben hat, anzuweisen, diese Daten innert gleicher Frist zu löschen. Im Übrigen ist das Rechtsbegehren 3 abzuweisen.

7.   

7.1  Die Festsetzung der Gerichtsgebühren und einer allfälligen Parteientschädigung richtet sich auch im Klageverfahren nach den Art. 63-65 VwVG (Art. 44 Abs. 3 VGG). Gemäss Art. 63 Abs. 1 VwVG hat in der Regel die unterliegende Partei die Verfahrenskosten zu tragen; unterliegt sie nur teilweise, werden die Kosten ermässigt. Unterliegenden Bundesbehörden werden keine Kosten auferlegt (vgl. Art. 63 Abs. 2 VwVG).

7.2  Die Spruchgebühr, welche sich nach Umfang und Schwierigkeit der Sache, Art der Prozessführung und finanzieller Lage der Parteien richtet, beträgt in Streitigkeiten ohne Vermögensinteresse in der Regel zwischen Fr. 100.- und Fr. 5'000.- (Art. 63 Abs. 4bis Bst. a VwVG). Im vorliegenden Klageverfahren wurde ein doppelter Schriftenwechsel durchgeführt, jedoch weder eine Vorbereitungs- noch eine Hauptverhandlung, weshalb die Verfahrenskosten auf Fr. 2'000.- festzusetzen sind (vgl. Art. 1 ff. des Reglements vom 21. Februar 2008 über die Kosten und Entschädigungen vor dem Bundesverwaltungsgericht [VGKE, SR 173.320.2]).

Der Kläger setzt sich mit den Rechtsbegehren 1 und 3 teilweise durch, nicht jedoch mit dem Rechtsbegehren 2. Die Verfahrenskosten werden entsprechend zur Hälfte, das heisst in der Höhe von Fr. 1'000.- der Beklagten auferlegt. Dem Kläger sind als Bundesbehörde keine Kosten aufzuerlegen.

7.3  Der obsiegenden Partei ist von Amtes wegen oder auf Begehren eine Entschädigung für die ihr erwachsenen notwendigen Kosten zuzusprechen (vgl. Art. 64 Abs. 1 VwVG i.V.m. Art. 7 Abs. 1 VGKE). Obsiegt sie nur teilweise, ist die Parteientschädigung entsprechend zu kürzen (vgl. Art. 7 Abs. 2 VGKE). Bundesbehörden haben keinen Anspruch auf eine Parteientschädigung (vgl. Art. 7 Abs. 3 VGKE).

Die Rechtsvertreter der Beklagten reichten keine Kostennote ein. Der notwendige Vertretungsaufwand lässt sich indes aufgrund der Aktenlage zuverlässig abschätzen, weshalb praxisgemäss auf die Einholung einer solchen verzichtet wird (Art. 14 Abs. 2 VGKE). In Anwendung der genannten Bestimmungen und unter Berücksichtigung der massgeblichen Bemessungsfaktoren (Art. 8 ff. VGKE) ist die Parteientschädigung von Amtes wegen auf Fr. 3'600.- (ausgehend von einem Stundenansatz von Fr. 300.-, inklusive Auslagen) festzusetzen. Nach dem Grad des Durchdringens ist die Parteientschädigung zu halbieren. Die vom Kläger auszurichtende Parteientschädigung beträgt damit Fr. 1'800.-.

 

Demnach erkennt das Bundesverwaltungsgericht:

1. 
Das Rechtsbegehren 1 wird im Sinne der Erwägungen teilweise gutgeheissen und die Beklagte dazu verpflichtet, im Rahmen des Programms Helsana+ die Entgegennahme und Weiterbearbeitung von Personendaten der Helsana Grundversicherungen zu unterlassen. Im Übrigen wird das Rechtsbegehren 1 abgewiesen.

2. 
Das Rechtsbegehren 2 wird abgewiesen.

3. 
Das Rechtsbegehren 3 wird teilweise gutgeheissen. Die Beklagte wird verpflichtet, die ihm Rahmen der im Rechtsbegehren 1 beschriebenen Datenbearbeitung angefallenen Personendaten innert 30 Tagen zu löschen und Dritte, denen sie die Daten weitergegeben hat, anzuweisen, diese Daten innert gleicher Frist zu löschen. Im Übrigen wird das Rechtsbegehren 3 abgewiesen.

4. 
Der Beklagten werden Verfahrenskosten in der Höhe von Fr. 1'000.- auferlegt. Der Betrag ist nach Eintritt der Rechtskraft des vorliegenden Urteils zu Gunsten der Gerichtskasse zu überweisen. Die Zahlungsfrist beträgt 30 Tage ab Rechnungsdatum. Die Zustellung des Einzahlungsscheins erfolgt mit separater Post.

5. 
Der Kläger wird verpflichtet, der Beklagten nach Eintritt der Rechtskraft dieses Urteils eine Parteientschädigung von Fr. 1'800.- zu bezahlen.

6. 
Dieses Urteil geht an:

-        den Kläger (Gerichtsurkunde; Medienmitteilungen mit Begleitschreiben)

-        die Beklagte (Gerichtsurkunde; Medienmitteilungen mit Begleitschreiben)

 

Für die Rechtsmittelbelehrung wird auf die nächste Seite verwiesen.

 

Der vorsitzende Richter:

Der Gerichtsschreiber:

 

 

Jürg Steiger

Tobias Grasdorf

 

Rechtsmittelbelehrung:

Gegen diesen Entscheid kann innert 30 Tagen nach Eröffnung beim Bundesgericht, 1000 Lausanne 14, Beschwerde in öffentlich-rechtlichen Angelegenheiten geführt werden (Art. 82 ff., 90 ff. und 100 BGG). Die Rechtsschrift ist in einer Amtssprache abzufassen und hat die Begehren, deren Begründung mit Angabe der Beweismittel und die Unterschrift zu enthalten. Der angefochtene Entscheid und die Beweismittel sind, soweit sie die beschwerdeführende Partei in Händen hat, beizulegen (Art. 42 BGG).

 

Versand:

vorheriges Urteil
nächstes Urteil

pdf

Wichtiger Hinweis: Die Liste der vorgeschlagenen Entscheide wird automatisch, ohne jegliche intellektuelle Bearbeitung, generiert.
Deskriptoren
personendaten
beklagter
krankenpflegeversicherung
kläger
programm des bundesrates
neffe
bewilligung oder genehmigung(allgemein)
rahm
versicherer
rechtsbegehren
person
aktiengesellschaft
organisierte gruppe
änderung(allgemein)
elektronische datenverarbeitung
widerrechtlichkeit
grundversicherung
entscheid
bundesverwaltungsgericht
versicherung
zusatzversicherung
betroffene person
frage
verstossung
gesetz
versicherter
bundesgericht
verfahrenskosten
dritter
norm
verfahren
bundesrecht
vorteil
zweck(allgemein)
planungsziel
materielles recht
bundesrat
datenschutz
gesetzmässigkeit
berechnung
kommunikation
krankenversicherer
klage
von amtes wegen
schriftlichkeit
lediger
berechtigter
persönlichkeitsschutz
parteientschädigung
abstimmungsbotschaft
schweiz
sachverhalt
begriff
bonus
eröffnung des entscheids
veröffentlichung(allgemein)
tag
verordnung
tätigkeit
sache
adresse
grund
zweifel
soziale sicherheit
maurer
auslegung
bundesbehörde
erhaltung
subjektiv
weiler
stelle
geeignetheit
augenschein
mensch
unterlassung
überwachung(allgemein)
freiburg(kanton)
richtlinie(allgemein)
öffentlichrechtliche aufgabe
ausführung
prozessvoraussetzung
eintragung
persönlichkeit
weisung
verwaltungsverordnung
eu
rückerstattung(allgemein)
zahl
benutzung
falsche angabe
frist
ausdrücklich
meinung
datenschutzbeauftragter
schriftstück
aktiv- und passivlegitimation
zivilprozess
kosten(allgemein)
botschaft(parlamentsvorlage)
richterliche behörde
angabe(allgemein)
autonomie
privatperson
empfang
stein
juristische person
nichtigkeit
bruchteil
prämienbezug
bundesamt für gesundheit
sachverhaltsfeststellung
begründung des entscheids
examinator
eidgenossenschaft
grundrechtseingriff
umfang(allgemein)
ausmass der baute
identität
umstände
Amtsblatt
Entscheide BVGer