Das Bundesverwaltungsgericht zieht in Erwägung:
1.
1.1 Im
Privatrechtsbereich klärt der Kläger von sich aus oder auf Meldung Dritter hin den Sachverhalt
näher ab, wenn Bearbeitungsmethoden geeignet sind, die Persönlichkeit einer grösseren
Anzahl von Personen zu verletzen (sog. Systemfehler, Art. 29 Abs. 1 Bst. a
des Bundesgesetzes
vom 19. Juni 1992 über den Datenschutz [DSG, SR 235.1]). Aufgrund seiner Abklärungen kann
er empfehlen, das Bearbeiten zu ändern oder zu unterlassen (Art. 29 Abs. 3 DSG). Wird
eine solche Empfehlung nicht befolgt oder abgelehnt, kann er die Angelegenheit dem Bundesverwaltungsgericht
auf dem Klageweg zum Entscheid vorlegen (Art. 29 Abs. 4 DSG i.V.m. Art. 35 Bst. b
VGG).
1.2 Die
auf das Datenschutzgesetz gestützte Klage des Klägers vom 18. Juni 2018 richtet sich gegen
die Nichtbefolgung beziehungsweise die Ablehnung seiner Empfehlungen vom 26. April 2018 durch die
Beklagte.
1.3 Die
Aktivlegitimation des Klägers zur Klageerhebung im Privatrechtsbereich ergibt sich direkt aus Art. 29
Abs. 4 DSG. Passivlegitimiert können (neben dem Kläger) nur jene Datenbearbeiter sein,
die formell und materiell Adressat der umstrittenen Empfehlung sind und diese nicht befolgen oder ablehnen.
Die Legitimation der Parteien wird - anders als im Zivilprozess - als subjektive
Prozessvoraussetzung betrachtet, bei deren Fehlen ein Nichteintretensentscheid zu fällen ist (Urteil
des Bundesverwaltungsgerichts A-7040/2009 vom 30. März 2011 E. 4.3.1 m.w.H.; David
Rosenthal, Handkommentar Datenschutzgesetz, Art. 29, Rz. 42).
1.4 Die
Beklagte stellt sich auf den Standpunkt, das vom Kläger gestellte Rechtsbegehren 2 sei mangels Aktivlegitimation
unzulässig. Als erstes ist daher zu prüfen, ob die Rechtsbegehren des Klägers, wie sie
formuliert sind, zulässig sind.
1.5 Bearbeiten
im Sinne von Art. 2 Abs. 1 DSG bedeutet jeder Umgang mit Personendaten, unabhängig von
den angewandten Mitteln und Verfahren, insbesondere das Beschaffen, Aufbewahren, Verwenden, Umarbeiten,
Bekanntgeben, Archivieren oder Vernichten von Daten (Art. 3 Bst. e DSG). Es steht ausser Zweifel
und ist nicht bestritten, dass die Beschaffung von Postleitzahl, Geburtsdatum und Versichertennummer
von Teilnehmerinnen und Teilnehmern am Programm Helsana+ sowie die weiteren im Rahmen des Programms vorgenommenen
Bearbeitungen von Daten von am Programm teilnehmenden Personen, Bearbeitungen im Sinne von Art. 3
Bst. e DSG darstellen.
1.6
1.6.1 Die
Beklagte bestreitet die Aktivlegitimation des Klägers bezüglich des Rechtsbegehrens 2.
Sie macht geltend, es gehe bei diesem Klagebegehren nicht um eine Bearbeitungsmethode im Sinne von Art. 29 Abs. 1 DSG,
sondern um die Rechtmässigkeit des Endzwecks der Datenbearbeitung, für deren Beurteilung der
Kläger über keine Klagelegitimation verfüge.
1.6.2 Der
Kläger hält dem entgegen, es werde eine Angelegenheit nach Art. 29 Abs. 4 DSG zum
Entscheid vorgelegt, die auf einer nicht befolgten Empfehlung im Sinne dieser Bestimmung beruhe. Nach
diesem Absatz zielten die Empfehlungen darauf ab, das Bearbeiten von Personendaten zu ändern oder
zu unterlassen. Dies werde in den Rechtsbegehren verlangt. Das Kriterium des Systemfehlers nach Art. 29
Abs. 1 DSG sei erfüllt.
1.6.3 Voraussetzung
für die Kontrolltätigkeiten - Abklärungen, Empfehlungen und Klagen - des Klägers
im Privatrechtsbereich ist, dass ein "Systemfehler" vorliegt. "Systemfehler" bedeutet
in diesem Zusammenhang die Eignung, eine grössere Anzahl von Personen in ihrer Persönlichkeit
zu verletzen (Art. 29 Abs. 1 Bst. a DSG; vgl. Urteil des Bundesverwaltungsgerichts A-7040/2009
vom 30. März 2011 E. 1.1).
Diese Voraussetzung spiegelt die Absicht des Gesetzgebers, die Verletzung
der Persönlichkeitsrechte
im Privatrechtsbereich im Einzelfall der individuellen Klage des Einzelnen
zu überlassen und den
Kläger nur in Fällen zu Kontrolltätigkeiten zu ermächtigen, in denen aufgrund der
grossen Anzahl potentiell betroffener Personen ein öffentliches Interesse an dessen Tätigwerden
besteht (Botschaft des Bundesrates vom 23. März 1988 zum Bundesgesetz über den Datenschutz,
BBl 1988 II 413, 435 und 479; Bruno Baeriswyl, in: Bruno Baeriswyl/Kurz
Pärli [Hrsg.], Handkommentar Datenschutzgesetz, Art. 29, Rz. 12 und 17 [nachfolgend: Bearbeiter,
Handkommentar DSG]; René Huber, in: Urs Maurer-Lambrou/Gabor P. Blechta,
Basler Kommentar Datenschutzgesetz/Öffentlichkeitsgesetz, Art. 29, Rz. 7 [nachfolgend:
Bearbeiter, BSK DSG]). Dabei stand in den parlamentarischen Beratungen insbesondere
die elektronische Datenbearbeitung im Fokus (vgl. AB 1991 S 1064). Eine weitergehende Einschränkung
des Gegenstandes der Kontrolle durch den Kläger ist demgegenüber aus der Formulierung in Art. 29
Abs. 1 Bst. a DSG nicht abzuleiten. Darauf deutet auch die Verwendung des Begriffs der "Persönlichkeitsverletzung"
in Art. 29 Abs. 1 Bst. a DSG hin. Dieser verweist auf die Grundnorm in Art. 12 DSG,
welche wiederum auf die Datenbearbeitung im Sinne von Art. 3 Bst. e DSG und die Grundsätze
der Datenbearbeitung in Art. 4 DSG verweist.
Dies zeigt, dass alle Datenbearbeitungen und deren Rechtmässigkeit Gegenstand der Kontrolltätigkeit
des Klägers sein können (Baeriswyl, Handkommentar DSG, Art. 29,
Rz. 4; Huber, BSK DSG, Art. 29 Rz. 12). Gegenstand der Sachverhaltsabklärungen
können alle Datenbearbeitungen im Sinne von Art. 3 Bst. e DSG sein, solange diese potentiell
eine grössere Anzahl von Personen betreffen. Im Fokus stehen Konzeption, Inhalt sowie Art und Weise
von Datenbearbeitungen (Baeriswyl, Handkommentar DSG, Art. 29, Rz. 14;
Huber, BSK DSG, Art. 29, Rz. 7a). Der Begriff der "Bearbeitungsmethode"
schränkt den Gegenstand möglicher Sachverhaltsabklärungen des Klägers nicht ein,
sondern verweist lediglich darauf, dass sich die Datenbearbeitung nicht auf einzelne Fälle beziehen
darf, sondern diese methodisch, mithin wiederkehrend, erfolgen muss. Beim Entscheid, ob ein Systemfehler
vorliegt, hat der Kläger grundsätzlich einen weiten Ermessensspielraum, sein Entscheid muss
jedoch begründet und nachvollziehbar sein (Baeriswyl, Handkommentar
DSG, Art. 29, Rz. 18), was vorliegend der Fall ist. Ob die von der Beklagten im Rahmen des
Programms Helsana+ vorgenommenen Bearbeitungen von Personendaten gegen den Grundsatz der Rechtmässigkeit
von Art. 4 Abs. 1 DSG verstossen, ist demgegenüber eine Frage des materiellen Rechts.
1.7 Dass
vorliegend eine grosse Anzahl Personen betroffen sind, wird von der Beklagten nicht bestritten. Darüber
hinausgehende Voraussetzungen für Abklärungen und Empfehlungen - und entsprechend auch
für Klagen - des Klägers ergeben sich aus Art. 29 DSG wie ausgeführt nicht.
Entsprechend war der Kläger zur Erteilung der Empfehlungen ermächtigt und ist zur vorliegenden
Klage legitimiert. Die Aktivlegitimation des Klägers ist damit auch bezüglich des Rechtsbegehrens 2
zu bejahen.
1.8 Die
Beklagte ist formelle und materielle Adressatin der Empfehlungen des Klägers vom 26. April
2018, deren Umsetzung sie gemäss Schreiben an den Kläger vom 22. Mai 2018 ablehnt. Dass
die Beklagte sich bereit erklärte, den Registrierungsprozess bis zum Vorliegen eines rechtskräftigen
Urteils ohne Anerkennung einer Rechtspflicht anzupassen (vgl. Schreiben der Beklagten an den Kläger
vom 22. Mai 2018), ändert daran nichts. Die Beklagte ist demnach passivlegitimiert.
1.9 Die
Klage ist an keine bestimmte Frist gebunden und wurde vom Kläger nicht ungebührlich hinausgezögert
(vgl. Huber, BSK DSG, Art. 29, Rz. 34 f.). Sie genügt
zudem den Formerfordernissen (Art. 23 BZP) und ist damit zulässig.
2.
Das
Verfahren vor dem Bundesverwaltungsgericht richtet sich gemäss Art. 44 Abs. 1 VGG grundsätzlich
nach den Art. 3-73 und den Art. 79-85 des Bundesgesetzes vom 4. Dezember 1947 über den Bundeszivilprozess
(BZP, SR 273). Obwohl im Bundeszivilprozess der Richter sein Urteil grundsätzlich nur auf Tatsachen
gründen darf, die im Verfahren geltend gemacht worden sind (Art. 3 Abs. 2 BZP), gilt vor Bundesverwaltungsgericht
infolge der spezialgesetzlichen Bestimmung von Art. 44 Abs. 2 VGG der Grundsatz der Sachverhaltsabklärung
von Amtes wegen.
3.
3.1 Personendaten
dürfen nur rechtmässig bearbeitet werden. Ihre Bearbeitung hat nach Treu und Glauben zu erfolgen
und muss verhältnismässig sein. Sie dürfen nur zu dem Zweck bearbeitet werden, der bei
der Beschaffung angegeben wurde, aus den Umständen ersichtlich oder gesetzlich vorgesehen ist. Die
Beschaffung von Personendaten und insbesondere der Zweck ihrer Bearbeitung müssen für die betroffene
Person erkennbar sein. Ist für die Bearbeitung von Personendaten die Einwilligung der betroffenen
Person erforderlich, so ist diese Einwilligung erst gültig, wenn sie nach angemessener Information
freiwillig erfolgt. Bei der Bearbeitung von besonders schützenswerten Personendaten oder Persönlichkeitsprofilen
muss die Einwilligung zudem ausdrücklich erfolgen (Art. 4 DSG).
3.2 Eine
private Person, die Personendaten bearbeitet, darf dabei die Persönlichkeit der betroffenen Personen
nicht widerrechtlich verletzen (Art. 12 Abs. 2 DSG). Sie darf insbesondere nicht Personendaten
entgegen den Grundsätzen der Art. 4, 5 Abs. 1 und 7 Abs. 1 bearbeiten (Art. 12
Abs. 2 Bst. a DSG). Eine Verletzung der Persönlichkeit ist widerrechtlich, wenn sie nicht
durch Einwilligung des Verletzten, durch ein überwiegendes privates oder öffentliches Interesse
oder durch Gesetz gerechtfertigt ist (Art. 13 Abs.1 DSG).
3.3 Organe
des Bundes dürfen Personendaten bearbeiten, wenn dafür eine gesetzliche Grundlage besteht (Art. 17
Abs. 1 DSG). Sie dürfen Personendaten nur bekannt geben, wenn dafür eine Rechtsgrundlage
im Sinne von Art. 17 DSG besteht oder wenn die betroffene Person im Einzelfall eingewilligt hat
(Art. 19 Abs. 1 Bst. b DSG). Bundesorgane sind Behörden und Dienststellen des Bundes
sowie Personen, soweit sie mit öffentlichen Aufgaben des Bundes betraut sind (Art. 3 Bst. h
DSG).
4.
4.1 Der
Kläger macht bezüglich des Rechtsbegehrens 1 geltend, der Zugriff der Beklagten auf Daten
aus der obligatorischen Krankenpflegeversicherung im Rahmen des Registrierungsprozesses für das
Programm Helsana+ verstosse gegen das Datenschutzgesetz. Die Beklagte sei diesbezüglich als Bundesorgan
im Sinne von Art. 3 Bst. h DSG anzusehen. Für diese Datenübertragung bestehe keine
gesetzliche Grundlage im Sinne von Art. 17 Abs. 1 DSG, weshalb diese rechtswidrig sei. Der Rechtsgültigkeit
einer Einwilligung stehe deren fehlende Freiwilligkeit entgegen, weil sie zwingend mit dem Zugang zum
Programm gekoppelt sei. Es handle sich zudem um eine Globalzustimmung zu den Nutzungsbestimmungen für
das App-Programm, aus der nicht auf eine gültige Einwilligung für Zugriffe auf Personendaten
von Grundversicherern geschlossen werden könne. Ebenso wenig könne aus dieser Globalzustimmung
eine Befugnis der Grundversicherungsgesellschaften abgeleitet werden, Personendaten weiterzugeben, die
von ihnen als Bundesorgan bearbeitet würden.
4.2 Die
Beklagte hält dem entgegen, sie sei kein Bundesorgan, es seien entsprechend die Bestimmungen für
das Bearbeiten von Personendaten durch private Personen anzuwenden. Zum Nachweis einer Versicherungsbeziehung
müssten die Teilnehmerinnen und Teilnehmer des Programms Helsana+ bei der Registrierung Postleitzahl,
Geburtsdatum und Versichertennummer angeben. Bei Teilnehmerinnen und Teilnehmern, die bei einer Versicherungsgesellschaft
der Helsana-Gruppe grundversichert seien, prüfe sie diese Angaben mehrmals jährlich automatisiert.
Indem die Teilnehmerinnen und Teilnehmer die Nutzungsbestimmungen bei der Registrierung akzeptierten,
gäben sie ihre Einwilligung dazu, dass die Beklagte auf Versichertendaten bei den anderen Versicherungsgesellschaften
der Helsana-Gruppe zugreifen dürfe. Damit würden sie implizit auch darin einwilligen, dass
die Grundversicherung den entsprechenden Zugriff gestatte. Die Teilnahme am Programm Helsana+ sei zudem
freiwillig. Entsprechend sei ihre Datenbearbeitung gemäss Art. 13 Abs. 1 DSG durch Einwilligung
gerechtfertigt.
4.3 Es
ist unbestritten, dass sich die Beklagte im Rahmen des Registrierungsprozesses für das Programm
Helsana+ gewisse Personendaten der Teilnehmerinnen und Teilnehmer von anderen Versicherungsgesellschaften
der Helsana-Gruppe beschafft, welche die betroffenen Personen im Rahmen ihrer obligatorischen Krankenpflegeversicherung
mitgeteilt haben (Postleitzahl, Geburtsdatum, Versichertennummer). Diese Personendaten geben die Teilnehmerinnen
und Teilnehmer gleichzeitig der Beklagten selber bekannt, welche diese anschliessend mit den Daten bei
der entsprechenden Versicherungsgesellschaft der Helsana-Gruppe abgleicht. Der Abgleich geschieht nach
der Registrierung automatisiert mehrmals jährlich zur Kontrolle, ob die Teilnehmerinnen und Teilnehmer
(weiterhin) eine obligatorische Krankenpflegeversicherung bei einer Versicherungsgesellschaft der Helsana-Gruppe
haben. Zudem bekommen die Teilnehmerinnen und Teilnehmer am Programm Helsana+ Pluspunkte, wenn sie längere
Zeit eine Vertragsbeziehung mit einer Versicherungsgesellschaft der Helsana-Gruppe haben; auch in diesem
Zusammenhang beschafft sich die Beklagte Personendaten bei den anderen Versicherungsgesellschaften der
Helsana-Gruppe.
Unbestritten ist zudem, dass die Beklagte im Rahmen des Registrierungsprozesses
über die App
eine Einwilligung für die Beschaffung der Personendaten von Teilnehmerinnen und Teilnehmern einholt,
die bei anderen Versicherungsgesellschaften der Helsana-Gruppe versichert sind. Die "Nutzungs-
und Datenschutzbestimmungen für Helsana+ App V1.0" enthalten diesbezüglich die folgenden
Bestimmungen:
Unter dem Titel "Welche Daten sammelt die Helsana im Rahmen der Helsana+ App?" führen
die Bestimmungen in Ziff. B.3.1. aus:
"[...] Für die Registrierung und Identifikation des Nutzers zur Vollversion ist die
Angabe der Versichertennummer, der PLZ und des Geburtsdatums sowie der E-Mail-Adresse erforderlich.
Helsana ist berechtigt, zwecks Identifikation des Nutzers Einblick in
die entsprechenden Daten der
jeweiligen Versicherungsgesellschaften der Helsana-Gruppe zu nehmen."
In Ziff. B.4 "Einwilligung zum Abgleich mit Versichertendaten des Nutzers" halten
die Bestimmungen fest:
"Der Nutzer stimmt ausdrücklich zu, dass Helsana im Rahmen der Abwicklung der Helsana+
App auf die bei den Versicherungsgesellschaften der Helsana-Gruppe vorhandenen Versichertendaten des
Nutzers zurückgreifen darf."
Im Zusammenhang mit den Pluspunkten, welche die Teilnehmerinnen und
Teilnehmer am Programm für
"langjährige Treue" erhalten können, sieht Ziff. A.7.1.4 vor:
"Der Nutzer ermächtigt Helsana hiermit ausdrücklich, den dafür notwendigen Abgleich
mit den bei den Versicherungsgesellschaften der Helsana-Gruppe vorhandenen einschlägigen Nutzerdaten
vorzunehmen."
Zudem sieht Ziff. A.9.1 unter dem Titel "Arten des Nachweises" (von zu Pluspunkten
berechtigenden Aktivitäten) vor:
"[...] Die Bepunktung z.B. für Vertragstreue erfolgt automatisch durch Helsana (vgl. Zifffer
7.1.4). Der Nutzer ermächtigt hierfür Helsana, Einblick in die bei den Versicherungsgesellschaften
der Helsana-Gruppe vorhandenen einschlägigen Nutzerdaten zu nehmen."
4.4 Es
ist zu prüfen, ob die Beklagte durch den Abgleich von Personendaten der Teilnehmerinnen und Teilnehmer
am Programm Helsana+ mit bei einer anderen Versicherungsgesellschaft der Helsana-Gruppe gespeicherten
Personendaten gegen das Datenschutzgesetz verstösst.
4.5
4.5.1 Vorab
ist zu klären, ob auf die Beklagte vorliegend die Regeln bezüglich das Bearbeiten von Personendaten
durch private Personen (Art. 12 ff. DSG) oder diejenigen für das Bearbeiten von Personendaten
durch Bundesorgane (Art. 16 ff. DSG) zur Anwendung kommen.
4.5.2 Der
Kläger bringt vor, soweit die Beklagte Personendaten im Rahmen der obligatorischen Krankenpflegeversicherung
nach dem Krankenversicherungsgesetz bearbeite, kämen die Bestimmungen bezüglich Bundesorgane
zur Anwendung.
4.5.3 Die
Beklagte hält dem entgegen, als Bundesorgan würden Krankenversicherungen nur dann gelten, wenn
sie Aufgaben der obligatorischen Krankenpflegeversicherung wahrnehmen und dem Krankenversicherungsgesetz
unterstehen würden. Sie sei jedoch ausschliesslich mit Zusatzversicherungen tätig und nehme
keine Aufgaben im Bereich der obligatorischen Krankenpflegeversicherung wahr. Daran ändere auch
nichts, dass sie ihm Rahmen von Helsana+ auf Daten aus dem Bereich der obligatorischen Krankenpflegeversicherung
zugreife. Dieser Zugriff erfolge nicht in Anwendung des Krankenversicherungsgesetzes, sondern im Rahmen
ihrer Tätigkeit als Zusatzversicherung. Auch würden keine Aufgaben der obligatorischen Krankenpflegeversicherung
auf sie übertragen.
4.5.4 Bundesorgane
sind Behörden und Dienststellen des Bundes sowie Personen, soweit sie mit öffentlichen Aufgaben
des Bundes betraut sind (Art. 3 Bst. h DSG). Natürliche und juristische Personen gelten
mithin für die Zwecke des Datenschutzgesetzes als Bundesorgane, soweit sie durch Bundesgesetze mit
Verwaltungsaufgaben betraut sind (Art. 2 Abs. 4 des Regierungs- und Verwaltungsorganisationsgesetzes
vom 21. März 1997 [RVOG, SR 172.010]). Sie gelten aber nur insoweit als Bundesorgane, als sie
Personendaten für die Erfüllung einer öffentlichen Aufgabe bearbeiten, in allen anderen
datenschutzrechtlichen Bereichen unterliegen sie dem Privatrecht (Maurer-Lambrou/Kunz,
BSK DSG, Art. 2, Rz. 14). Entscheidend bei der Beurteilung, ob eine Person als Bundesorgan
handelt, ist die Rechtsnatur des der Datenbearbeitung zugrunde liegenden Verhältnisses zwischen
Datenbearbeiterin und betroffener Person. Ist dieses Verhältnis öffentlich-rechtlicher Natur,
gilt die Datenbearbeiterin als öffentliches Organ (Rudin, Handkommentar
DSG, Art. 2, Rz. 15 und 17).
4.5.5 Krankenkassen
und private Versicherungsunternehmen, die dem Bundesgesetz vom 17. Dezember 2004 betreffend die
Aufsicht über Versicherungsunternehmen (Versicherungsaufsichtsgesetz, VAG, SR 961.01) unterstehen,
gelten als Bundesorgane, wenn sie über eine Bewilligung zur Durchführung der sozialen Krankenversicherung
nach Art. 4 des Bundesgesetzes vom 26. September 2014 betreffend die Aufsicht über die
soziale Krankenversicherung (KVAG, SR 832.12) verfügen (vgl. Maurer-Lambrou/Kunz,
BSK DSG, Art. 2, Rz. 15; vgl. BGE 144 V 388 E. 4.1). Die Beklagte bietet unbestrittenermassen
keine obligatorischen Krankenversicherungen an. Ebenso wenig wurden ihr durch einen obligatorischen Krankenpflegeversicherer
Aufgaben im Bereich der obligatorischen Krankenpflegeversicherung übertragen. Keine der Datenbearbeitungen,
welche die Beklagte im Rahmen des Programms Helsana+ vornimmt, beruht auf durch das Krankenversicherungsgesetz
geregelten Aufgaben. Das Rechtsverhältnis zwischen der Beklagten und den betroffenen Personen ist
entsprechend nicht öffentlich-rechtlicher Natur. Dies gilt auch für den Abgleich von Angaben
der betroffenen Personen mit Personendaten, die eine andere Versicherungsgesellschaft der Helsana-Gruppe
im Rahmen der Durchführung der obligatorischen Krankenpflegeversicherung bearbeitet. Auch in diesen
Fällen ist das Verhältnis der betroffenen Personen und der Beklagten privatrechtlicher Natur,
die Beklagte nimmt weder öffentliche Aufgaben (zum Beispiel im Rahmen der obligatorischen Krankenpflegeversicherung)
wahr noch handelt sie hoheitlich. Die Beklagte handelt entsprechend vorliegend nicht als Bundesorgan.
4.5.6 Entsprechend
finden auf die Datenbearbeitungen durch die Beklagte im Rahmen des Programms Helsana+ die datenschutzrechtlichen
Bestimmungen bezüglich das Bearbeiten von Personendaten durch private Personen der Art. 12 ff.
DSG Anwendung.
4.6 Der
Zugriff der Beklagten auf Personendaten der Teilnehmerinnen und Teilnehmer am Programm Helsana+, die
andere Versicherungsgesellschaften der Helsana-Gruppe im Rahmen ihrer Tätigkeit bearbeiten, ist
seinerseits eine Bearbeitung von Personendaten im Sinne von Art. 3 Bst. e DSG. Entsprechend
hat die Beklagte dabei die Grundsätze von Art. 4 DSG zu beachten und sie darf keine widerrechtlichen
Persönlichkeitsverletzungen im Sinne von Art. 12 f. DSG begehen. Eine Datenbeschaffung
ist immer dann rechtswidrig im Sinne von Art. 4 Abs.1 DSG, wenn gegen irgendeine datenschutzrechtliche
Rechtsnorm verstossen wird; jegliche Weiterbearbeitung rechtswidrig beschaffter Daten ist grundsätzlich
ebenfalls rechtswidrig (vgl. dazu ausführlich E. 5.4; aurer-Lambrou/Steiner,
BSK DSG, Art. 4, Rz. 6; Eva Maria Belser/Astrid Epiney/Bernhard Waldmann,
Datenschutzrecht, 2011, S. 520 f.; David Rosenthal, Handkommentar
Datenschutzgesetz, Art. 4, Rz. 6 ff.).
4.7 Bearbeitet
die Beklagte im Rahmen von Helsana+ Personendaten, die bei einer anderen Versicherungsgesellschaft der
Helsana-Gruppe im Rahmen der obligatorischen Krankenpflegeversicherung gespeichert sind, steht dies im
Konflikt mit dem Grundsatz der Zweckbindung nach Art. 4 Abs. 3 DSG. Durch die zitierten Bestimmungen
aus den "Nutzungs- und Datenschutzbestimmungen Helsana+ App V1.0" holt die Beklagte
für sich selber eine Einwilligung der Teilnehmerinnen und Teilnehmer am Programm Helsana+ zur Bearbeitung
der entsprechenden Nutzerdaten ein. Die Einwilligung erfolgt entgegen den Vorbringen des Klägers
freiwillig, da der Nachteil, der bei einer Nichteinwilligung droht - die Unmöglichkeit der
Teilnahme am Programm Helsana+ - einen direkten Bezug zu den Daten aufweist, für deren Bearbeitung
die Einwilligung eingeholt wird und damit kein unzulässiger Zwang zur Erteilung der Einwilligung
vorliegt (vgl. dazu BGE 138 I 331 E. 7.4.1; Maurer-Lambrou/Steiner,
BSK DSG, Art. 4, Rz. 16f): Ohne die Beschaffung der Personendaten kann die Beklagte nicht kontrollieren,
ob eine Versichertenbeziehung zu einer andern Versicherungsgesellschaft der Helsana-Gruppe vorliegt,
was wiederum eine Voraussetzung für die Teilnahme am Programm Helsana+ darstellt, und zu Bonuspunkten
im Rahmen des Programms berechtigt. Der Umstand allein, dass die Beklagte für die Teilnahme am Programm
mit geldwerten Vorteilen und insbesondere mit Bargeldboni wirbt (in der Höhe von maximal Fr. 75.-
pro Jahr bei nur grundversicherten Personen), stellt ebenfalls keinen unzulässigen Zwang dar. Die
Beklagte verfügt damit für die Beschaffung der Personendaten über eine Einwilligung der
betroffenen Personen.
Beschafft sich die Beklagte bei den Versicherungsgesellschaften der
Helsana-Gruppe, die im Bereich
der obligatorischen Krankenpflegeversicherung tätig sind, Personendaten, welche diese im Rahmen
der obligatorischen Krankenpflegeversicherung gespeichert haben, stellt dieser Vorgang gleichzeitig eine
Bekanntgabe von Daten dar. Entsprechend kann die Beschaffung dieser Personendaten durch die Beklagte
nur rechtmässig sein, wenn auch die Bekanntgabe der Personendaten rechtmässig ist. Zu prüfen
ist deshalb, ob die anderen Versicherungsgesellschaften der Helsana-Gruppe, die im Bereich der obligatorischen
Krankenpflegeversicherung tätig sind, zur Herausgabe der Personendaten an die Beklagte berechtigt
sind.
4.8
4.8.1 Die
Versicherungsgesellschaften der Helsana-Gruppe, die im Geschäft mit obligatorischen Krankenpflegeversicherungen
tätig sind, sind für die hier vorliegenden Belange als Bundesorgane im Sinne von Art. 3
Bst. h DSG zu behandeln (vgl. E. 4.5.5), womit die Art. 16 ff. DSG zur Anwendung
kommen. Entsprechend dürfen sie gemäss den datenschutzrechtlichen Bestimmungen für Bundesorgane
Personendaten nur bearbeiten, wenn dafür eine gesetzliche Grundlage besteht (Art. 17 Abs. 1
DSG). Obligatorische Krankenpflegeversicherungen sind nach Art. 84 des Bundesgesetzes vom 18. März
1994 über die Krankenversicherung (Krankenversicherungsgesetz, KVG, SR 832.10) befugt, die Personendaten
zu bearbeiten oder bearbeiten zu lassen, die sie benötigen, um die ihnen nach dem Krankenversicherungsgesetz
übertragenen Aufgaben zu erfüllen. Nach Art. 33 des Bundesgesetzes vom 6. Oktober
2000 über den Allgemeinen Teil des Sozialversicherungsrechts (ATSG, SR 830.1) haben Personen, die
an der Durchführung sowie der Kontrolle oder der Beaufsichtigung der Durchführung der Sozialversicherungsgesetze
beteiligt sind, gegenüber Dritten Verschwiegenheit zu bewahren. Gemäss Art. 84a
Abs. 5 Bst. b KVG dürfen Organe, die mit der Durchführung des Krankenversicherungsgesetzes
betraut sind, Personendaten in Abweichung von Art. 33 ATSG an Dritte bekannt geben, sofern die betroffene
Person im Einzelfall schriftlich eingewilligt hat. Nach Art. 19 Abs. 1 Bst. b DSG dürfen
Bundesorgane Personendaten nur bekannt geben, wenn dafür eine Rechtsgrundlage besteht oder wenn
die betroffene Person im Einzelfall eingewilligt hat.
4.8.2 Da
es sich bei der Helsana Versicherungen AG und der Progrès Versicherungen AG ebenso wie bei der Beklagten
um juristische Personen handelt, gilt die Bekanntgabe von Personendaten einer dieser Versicherungsgesellschaften
an die Beklagte als Bekanntgabe an eine dritte Person. Die Bekanntgabe der Personendaten aus der obligatorischen
Krankenpflegeversicherung erfolgt vorliegend nicht in Ausübung einer durch das Krankenversicherungsgesetz
übertragenen Aufgabe. Auch eine Ausnahme von der sozialversicherungsrechtlichen Verschwiegenheitspflicht
gemäss den Absätzen 1-4 von Art. 84a KVG liegt
nicht vor. Eine Ausnahme von der sozialversicherungsrechtlichen Verschwiegenheitspflicht ist damit vorliegend
nur unter den kumulativen Voraussetzungen von Art. 19 Abs. 1 DSG und Art. 84a
Abs. 5 Bst. b KVG rechtmässig, das heisst, wenn die betroffene Person im Einzelfall schriftlich
zugestimmt hat.
4.8.3 Die
Nutzungs- und Datenschutzbestimmungen von Helsana+ beinhalten keine explizite Einwilligung in die Bekanntgabe
von Personendaten aus der obligatorischen Krankenpflegeversicherung an die Beklagte. Dass die Einwilligung
auch für die Datenbearbeitung durch andere Personen als die Beklagte gilt - nämlich für
weitere Versicherungsgesellschaften der Helsana-Gruppe -, erwähnen die Bestimmungen nicht,
was grundsätzlich nicht einer transparenten Information im Sinne von Art. 4 Abs. 5 DSG entspricht.
Da die Datenbeschaffung durch die Beklagte und die Datenbekanntgabe durch die obligatorische Krankenpflegeversicherungen
jedoch eine Einheit bilden, kann vorliegend trotzdem davon ausgegangen werden, dass den Teilnehmerinnen
und Teilnehmern am Programm Helsana+ hinreichend klar ist, dass ihre Einwilligung nicht nur die Datenbeschaffung
durch die Beklagte, sondern auch die Bekanntgabe dieser Daten durch die obligatorische Krankenpflegeversicherung
beinhaltet. Aus den Nutzungs- und Datenschutzbestimmungen des Programms Helsana+ kann damit zumindest
eine implizite Einwilligung in die Bekanntgabe der Personendaten durch die obligatorische Krankenpflegeversicherung
an die Beklagte abgeleitet werden.
4.8.4 Hingegen
ist festzustellen, dass die Einwilligung in die Datenbekanntgabe durch die obligatorische Krankenpflegeversicherung
nicht, wie von Art. 19 Abs. 1 DSG und Art. 84a
Abs. 5 Bst. b KVG gefordert, im Einzelfall geschieht. Die Beklagte fragt die Daten nach eigenen
Angaben mehrmals jährlich in einem automatisierten Prozess bei den anderen Versicherungsgesellschaften
der Helsana-Gruppe ab. Damit handelt es sich nicht um einen Einzelfall (vgl. Gebhard
Eugster, Verwaltungsverfahren und Rechtspflege, in: Ulrich Meyer [Hrsg.], Soziale Sicherheit,
3. Aufl. 2016, S. 871), die Einwilligung gilt im Gegenteil für einen unbefristeten Zeitraum
und eine unbekannte Anzahl Bekanntgaben.
Die Einwilligung in die Bekanntgabe respektive in die Beschaffung der
Daten in Ziff. B.4 der
Nutzungs- und Datenschutzbestimmungen beschränkt sich zudem nicht auf die von der Beklagten genannten
drei Datenpunkte (Postleitzahl, Versichertennummer und Geburtsdatum des Nutzers). Die Klausel enthält
keine einschränkenden Verweise auf den Zweck der Datenbearbeitung oder andere Bestimmungen, sondern
ist breit und ohne Einschränkungen formuliert. Die Beklagte holt damit eine über den notwendigen
Zweck der Datenbearbeitung hinausgehende Einwilligung ein. Erschwerend kommt hinzu, dass sich die Einwilligung,
auf mehrere Bestimmungen verteilt, in den umfangreichen Nutzungs- und Datenschutzbestimmungen befindet,
welche die Teilnehmerinnen und Teilnehmer durch Anklicken einer Schaltfläche in der Helsana+-App
genehmigen. Dieses Vorgehen erschwert es den Teilnehmerinnen und Teilnehmern, zu erkennen, in welche
Datenbearbeitungen sie einwilligen. Aus diesen Gründen entspricht die Einwilligung nicht den Voraussetzung
einer angemessenen Information für die Gültigkeit einer Einwilligung nach Art. 4 Abs. 5
DSG.
Schliesslich erfolgt die Einwilligung nicht wie in Art. 84a
Abs. 5 KVG gefordert, schriftlich, sondern auf der Helsana+-App durch Anklicken einer Schaltfläche.
Damit fehlt es der Einwilligung aufgrund der fehlenden eigenhändigen Unterschrift an der Schriftlichkeit
(Art. 14 OR).
Insgesamt liegt damit keine gültige Einwilligung in die Bekanntgabe von Personendaten aus der
obligatorischen Krankenpflegeversicherung an Dritte vor, entsprechend ist die Beschaffung solcher Daten
durch die Beklagte unrechtmässig im Sinne von Art. 4 Abs.1 DSG.
4.9 Zusammenfassend
ist festzuhalten, dass die Beschaffung von Daten durch die Beklagte bei den Grundversicherern der Helsana-Gruppe
im Rahmen des Programms Helsana+ insofern unrechtmässig ist, als keine den datenschutzrechtlichen
Vorschriften von Art. 19 DSG und Art. 84a Abs. 5
KVG genügende Einwilligung der betroffenen Personen für die Bekanntgabe der im Rahmen der obligatorischen
Krankenpflegeversicherung gesammelten Daten vorliegt. Die Beklagte verstösst folglich mit der Beschaffung
dieser Daten gegen Art. 4 Abs. 1 DSG und begeht eine widerrechtliche Persönlichkeitsverletzung
im Sinne von Art. 12 DSG.
Das Rechtsbegehren 1 ist entsprechend insoweit gutzuheissen, als der Kläger darin fordert,
die Beklagte habe im Rahmen des Programms Helsana+ die Entgegennahme und Weiterbearbeitung von Personendaten
der Helsana Grundversicherung zu unterlassen. Soweit der Kläger zudem beantragt, der Beklagten sei
zu verbieten, Einwilligungen zu dieser Datenbearbeitung einzuholen ist ihm hingegen nicht zu folgen.
Es ist nicht am Kläger oder am Bundesverwaltungsgericht, der Beklagten zu verbieten, Einwilligungen
zu gewissen Datenbearbeitungen einzuholen. Einwilligungen sind entweder rechtsgültig oder nicht,
ein Verbot, solche einzuholen, kann aus den Bestimmungen des Datenschutzgesetzes jedoch nicht abgeleitet
werden.
5.
5.1 Der
Kläger macht bezüglich seines Rechtsbegehrens 2 geltend, bei den Boni, die an die Teilnehmerinnen
und Teilnehmer des Programms Helsana+ ausbezahlt würden, die nur eine obligatorische Grundversicherung
bei einer Versicherungsgesellschaft der Helsana-Gruppe hätten, handle es sich um eine Gegenleistung
dafür, dass die Programmteilnehmerinnen und -teilnehmer Prämienzahler einer Helsana-Grundversicherung
seien. Deshalb laufe die personenbezogene Bearbeitung der Kassenzugehörigkeitsdaten im Rahmen des
Helsana+-Programms bei diesen Personen wirtschaftlich darauf hinaus, ihnen einen Teil ihrer Grundversicherungsprämie
zurückzuerstatten. Die Prämienmodelle der Grundversicherung seien jedoch nach dem Krankenversicherungsgesetz
dem Prinzip gleicher Prämien verpflichtet, von dem nur das Gesetz dispensieren könne. Deshalb
seien die Rückerstattungen rechtswidrig und entsprechend alle damit zusammenhängenden Bearbeitungen
von Personendaten widerrechtlich.
5.2 Die
Beklagte führt demgegenüber aus, sie biete weder Versicherungen aus dem Bereich der obligatorischen
Krankenpflegeversicherung an, noch flössen aus der Grundversicherung Finanzmittel in das Programm
Helsana+. Die Helsana Versicherungen AG und die Progrès Versicherungen AG, die beide Grundversicherungen
anböten, seien in den Betrieb des Programms "Helsana+" nicht involviert. Der Bonus stehe
deshalb bei Grundversicherten nicht in einem Austauschverhältnis mit der Prämienzahlung. Selbst
wenn es sich jedoch um eine unzulässige Prämienrückerstattung handeln würde, wäre
die damit verbundene Datenbearbeitung zulässig, da ein widerrechtlicher Endzweck nicht mit einer
fehlenden Rechtmässigkeit der Datenbearbeitung gleichzusetzen sei.
5.3 Es
ist zu prüfen, ob die Datenbearbeitung der Beklagten im Rahmen des Programms Helsana+, soweit sie
Personen betrifft, die nur eine Grundversicherung bei einer Versicherungsgesellschaft der Helsana-Gruppe
haben, grundsätzlich unrechtmässig im Sinne von Art. 4 Abs. 1 DSG ist, da sie -
wie vom Kläger behauptet - zu einem rechtswidrigen Zweck erfolgt, nämlich einer indirekten
Rückerstattung von Versicherungsprämien für die obligatorische Krankenpflegeversicherung.
5.4
5.4.1 Gehalt
und Umfang des Rechtmässigkeitsgrundsatzes von Art. 4 Abs. 1 DSG sind umstritten (vgl.
Eva Maria Belser/Astrid Epiney/Bernhard Waldmann,
Datenschutzrecht, 2011, S. 520) und damit auf dem Wege der Auslegung zu ermitteln (vgl. BGE 131 II 697
E. 4.1 m.w.H.).
5.4.2 Unbestritten
ist, dass eine Datenbearbeitung immer dann unrechtmässig im Sinne von Art. 4 Abs. 1 DSG
ist, wenn der Datenbearbeiter dabei gegen eine Rechtsnorm verstösst, die den Schutz der Persönlichkeit
bezweckt, dies unabhängig davon, ob sich die Rechtsnorm im Datenschutzgesetz oder in einem anderen
Erlass befindet. Nicht geklärt ist jedoch, ob auch der Verstoss gegen eine Rechtsnorm, die nicht
(zumindest auch) dem Schutz der Persönlichkeit dient, die Bearbeitung von Personendaten unrechtmässig
macht. Das Bundesgericht hat sich zu dieser Frage bisher nicht geäussert.
5.4.3 Ein
Teil der Lehre vertritt - ohne dies weiter zu begründen - die Meinung, dass ein Verstoss
gegen irgendeine Rechtsnorm als eine unrechtmässige Datenbearbeitung im Sinne von Art. 4 Abs. 1
DSG anzusehen sei (Maurer-Lambrou/Steiner, BSK DSG, Art. 4, Rz. 6;
Eva Maria Belser/Astrid Epiney/Bernhard Waldmann, Datenschutzrecht, 2011,
S. 519 ff.; Baeriswyl, Handkommentar DSG, Art. 4, Rz. 5).
Ein anderer Teil der Lehre vertritt demgegenüber die Meinung, dass nur Verstösse gegen solche
Verhaltensnormen erfasst seien, die direkt oder indirekt auch den Schutz vor einem Eingriff in die Persönlichkeit
einer Person bezwecken (David Rosenthal, Handkommentar Datenschutzgesetz,
Art. 4, Rz. 6 f.). Kein Autor und keine Autorin äussert jedoch ausdrücklich
die Meinung, ein rechtswidriger Zweck der Datenbearbeitung führe in jedem Fall zur Unrechtmässigkeit
der entsprechenden Datenbearbeitung, alle Lehrmeinungen stellen vielmehr darauf ab, dass die Datenbearbeitung
an sich gegen keine Rechtsnorm verstossen darf. Dies korrespondiert mit dem Wortlaut von Art. 4
Abs. 1 DSG, der sich auf die Rechtmässigkeit der Bearbeitung
von Personendaten bezieht und nicht auf den Zweck, zu dem diese bearbeitet werden.
Zudem äussert sich, systematisch betrachtet, das Datenschutzgesetz grundsätzlich nicht
dazu, zu welchen Zwecken Personendaten bearbeitet werden dürfen und zu welchen nicht. Art. 4
Abs. 3 DSG, der den Grundsatz der Zweckbindung der Bearbeitung von Personendaten enthält, legt
lediglich fest, dass Personendaten nur zu dem Zweck bearbeitet werden dürfen, der bei der Beschaffung
angegeben wurde, aus den Umständen ersichtlich oder gesetzlich vorgesehen ist. Dies im Gegensatz
zu Art. 5 Abs. 1 der für die Schweiz nicht verbindlichen Datenschutz-Grundverordnung der
EU (Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum
Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr
und zur Aufhebung der Richtlinie 95/46/EG, ABl. L 119/1 vom 4.5.2016). Dieser schreibt in Bst. a
nicht nur - analog zu Art. 4 Abs. 1 DSG - vor, dass personenbezogene Daten auf
rechtmässige Weise bearbeitet werden müssen, sondern in Bst. b - im Gegensatz zu
Art. 4 Abs. 3 DSG - auch, dass diese nur für "legitime" Zwecke erhoben werden
dürfen. Mit der laufenden Revision des Datenschutzgesetzes verfolgt der Bundesrat unter anderem
das Ziel, die Datenschutzbestimmungen der Schweiz an die Datenschutz-Grundverordnung der EU anzupassen
(Botschaft des Bundesrates vom 15. September 2017 zum Bundesgesetz über die Totalrevision des
Bundesgesetzes über den Datenschutz und die Änderung weiterer Erlasse zum Datenschutz, BBl 2017 6941,
6998). Soweit anhand des bisherigen Gesetzgebungsverfahrens ersichtlich, ist jedoch nicht geplant, die
Gesetzeslage in dieser Hinsicht derjenigen in der EU anzupassen.
In eine ähnliche Richtung weist eine teleologische Betrachtung von Art. 4 Abs. 1 DSG.
Die Datenschutzvorschriften des Datenschutzgesetzes konkretisieren insbesondere den verfassungsmässigen
Persönlichkeitsschutz im Bereich der Bearbeitung von personenbezogenen Daten. Dabei steht den betroffenen
Personen grundsätzlich das Recht auf informationelle Selbstbestimmung zu (Art. 13 Abs. 2
BV und Art. 8 Abs. 1 EMRK), das heisst, jede Person soll selber über ihre eigenen Personendaten
bestimmen und verfügen können (vgl. Botschaft des Bundesrates vom 23. März 1988 zum
Bundesgesetz über den Datenschutz, BBl 1988 II 413, 417 f.; Maurer-Lambrou/Steiner,
BSK DSG, Art. 4, Rz. 3). Diese allgemeine Zweckrichtung aller Datenschutzvorschriften legt
nahe, dass der Rechtmässigkeitsgrundsatz in Art. 4 Abs. 1 DSG sich lediglich darauf bezieht,
dass das Bearbeiten von Personendaten dann unrechtmässig ist, wenn dabei gegen eine Norm verstossen
wird, die zumindest auch dem Schutz der Persönlichkeit der betroffenen Person dient.
Die ursprüngliche Botschaft zum Datenschutzgesetz führt in diesem Zusammenhang lediglich
aus, klar rechtswidrig sei das Beschaffen von Daten, wenn es mit Gewalt, Arglist oder Drohung gegenüber
der betroffenen Person geschehe, da es sich dabei um Verstösse gegen das Strafgesetzbuch handle
(BBl 1988 II 413, 449 f.). Die Botschaft von 2003 zur Anpassung von Art. 4 Abs.1
DSG an das Übereinkommen vom 28. Januar 1981 zum Schutz des Menschen bei der automatischen
Verarbeitung personenbezogener Daten (SR 0.235.1; Botschaft des Bundesrates vom 19. Februar 2003
zur Änderung der Bundesgesetzes über den Datenschutz [DSG]) äussert sich zu dieser Frage
nicht (BBl 2003 2101, 2124). Auch den Ratsprotokollen können keine Anhaltspunkte für
die Beantwortung dieser Frage entnommen werden (AB 1990 S 139; AB 1991 N 954).
5.4.4 Zusammenfassend
ist der Grundsatz der Rechtmässigkeit von Art. 4 Abs. 1 DSG so zu verstehen, dass eine
Datenbearbeitung zu einem rechtswidrigen Zweck erst dann unrechtmässig im Sinne des Datenschutzgesetzes
ist, wenn dabei gegen eine Norm verstossen wird, die zumindest auch, direkt oder indirekt, den Schutz
der Persönlichkeit einer Person bezweckt.
5.5 Die
Versicherer müssen die soziale Krankenversicherung nach dem Grundsatz der Gegenseitigkeit durchführen
und die Gleichbehandlung der Versicherten gewährleisten; sie dürfen die Mittel der sozialen
Krankenversicherung nur zu deren Zwecken verwenden (Art. 5 Bst. f KVAG). Nach Art. 61
Abs. 1 KVG legt der Versicherer die Prämien für seine Versicherten fest. Soweit das Krankenversicherungsgesetz
keine Ausnahme vorsieht, erhebt er von seinen Versicherten die gleichen Prämien. Der Versicherer
stuft die Prämien gemäss den kantonalen Kostenunterschieden ab (Art. 61 Abs. 2 KVG) und
er kann die Prämien regional abstufen (Art. 61 Abs. 2bis
KVG). Für Kinder und junge Erwachsene setzt der Versicherer eine tiefere Prämie fest als für
die übrigen Versicherten (Art. 61 Abs. 3 KVG). Er kann zudem die Prämien für
Versicherungen mit eingeschränkter Wahl des Leistungserbringers vermindern (Art. 62 Abs. 1
KVG). Der Bundesrat kann weitere Versicherungsformen zulassen (Art. 62 Abs. 2 KVG).
Die gesetzliche Logik des Krankenversicherungsgesetzes sieht damit vor, dass
jede versicherte Person
eine einkommens- und vermögensunabhängige Individualprämie entrichtet, es gilt das Prinzip
der Einheitsprämie pro Versicherer. Die Einheitsprämie bezweckt geschlechtsunabhängig
die Solidarität zwischen kranken und gesunden, jungen und alten Personen. Eine Differenzierung der
Prämien nach Beitrittsalter, Geschlecht oder Morbiditätsrisiko ist nicht zulässig (Gerhard
Eugster, Bundesgesetz über die Krankenversicherung, 2010, Art. 61 Rz. 1 f.).
Der Grundsatz der Gegenseitigkeit verlangt als Grundprinzip der sozialen Krankenversicherung insbesondere,
dass den Versicherten unter den gleichen Voraussetzungen die gleichen Vorteile zu gewähren sind.
Der Grundsatz verbietet, dass der Versicherer einem Versicherten einen Vorteil zukommen lässt, den
er nicht auch anderen Versicherten gewährt, die sich in vergleichbarer Lage befinden (vgl. BGE 113 V 205
E. 5b; 113 V 296 E. 2; Gustavo Scartazzini/Marc Hürzeler,
Bundessozialversicherungsrecht, 4. Aufl. 2012, S. 355).
Die Art. 61 und 62 KVG zur Regelung der Prämien in der obligatorischen Krankenpflegeversicherung
dienen der Verwirklichung dieses Grundsatzes der Gegenseitigkeit in der sozialen Krankenversicherung
und nicht dem Schutz der Persönlichkeit der Prämienzahler. Dies wird auch zu Recht von keiner
Partei behauptet. Die Frage, ob die Beklagte mit dem Programm Helsana+ gegen das Krankenversicherungsgesetz
verstösst, ist entsprechend im Grundsatz keine datenschutzrechtliche Frage.
5.6 Da
die Art. 61 und 62 KVG, nicht den Schutz der Persönlichkeit der Prämienzahler bezwecken,
würde selbst ein Verstoss gegen diese Bestimmungen die Datenbearbeitung im Rahmen von Helsana+ nicht
unrechtmässig im Sinne von Art. 4 Abs. 1 DSG machen.
Entsprechend ist festzuhalten, dass die Bearbeitung von Personendaten
durch die Beklagte im Rahmen
des Programms Helsana+ - selbst unter Annahme eines unrechtmässigen Zwecks im Sinne einer
Verletzung von Art. 61 beziehungsweise 61 KVG - nicht gegen Art. 4 Abs. 1 DSG verstösst.
Das Rechtsbegehren 2 ist entsprechend abzuweisen.
5.7
5.7.1 Unabhängig
davon ist zudem nicht ersichtlich, dass die Beklagte mit dem Programm Helsana+ bezüglich Teilnehmerinnen
und Teilnehmern, die nur eine obligatorische Grundversicherung bei einer Versicherungsgesellschaft der
Helsana-Gruppe haben, gegen das Krankenversicherungsgesetz verstossen würde.
5.7.2 Das
Bundesamt für Gesundheit BAG, Direktionsbereich Kranken- und Unfallversicherung, hat als für
die Aufsicht über die Krankenversicherer zuständige Fachbehörde eine Untersuchung zum
Programm Helsana+ durchgeführt. In seinem Schreiben vom 14. Februar 2018 teilte das BAG der
Helsana Versicherungen AG mit, es schliesse die Untersuchungen ohne Einwände ab. Es habe festgestellt,
dass weder die Helsana Versicherungen AG noch die Progrès Versicherungen AG vom Programm betroffen
seien. Insbesondere würden keine Gelder der sozialen Krankenversicherung zweckentfremdet und der
Verzicht auf die Teilnahme am Programm führe für versicherte Personen zu keiner Benachteiligung.
Die für die Aufsicht über die Krankenversicherer zuständige Fachbehörde hat beim
Programm Helsana+ damit keine Verletzung von Regeln des Krankenversicherungsgesetzes festgestellt.
5.7.3 Die
Beklagte ist nicht im Bereich der obligatorischen Krankenpflegeversicherung tätig. Sie ist ebenso
wie die Helsana Versicherungen AG und die Progrès Versicherungen AG, die in diesem Bereich tätig
sind, als Aktiengesellschaft organisiert. Obwohl alle drei Aktiengesellschaften zu hundert Prozent im
Eigentum der Helsana AG sind, handelt es sich mithin um eigenständige juristische Personen.
Das Programm Helsana+ wird unbestrittenermassen einzig von der Beklagten durchgeführt, insbesondere
bezahlt sie die Boni im Rahmen des Programms aus ihren eigenen Finanzmitteln. Es ist damit nicht die
obligatorische Krankenpflegeversicherung, die versicherten Personen, die am Programm Helsana+ teilnehmen,
geldwerte Vorteile gewährt, sondern eine Drittperson. Die Grundversicherer der Helsana-Gruppe -
und damit auch die bei ihnen versicherten Personen, die nicht am Programm Helsana+ teilnehmen -
erleiden durch die Auszahlung der Boni keine finanziellen Nachteile, da jene nicht aus den von den grundversicherten
Personen einbezahlten und streng zweckgebundenen Mitteln (vgl. Art. 5 Bst. f KVAG) stammen.
Damit liegt vorliegend keine unzulässige Quersubventionierung zwischen zwei Schwestergesellschaften
einer Holding vor (vgl. BGE 144 V 388 E. 5.4.2). Im Gegensatz zur Situation in BGE 144 V 388
verschafft sich die Beklagte respektive verschaffen sich die Grundversicherer der Helsana AG vorliegend
durch ihre Holdingstruktur keine ungerechtfertigten Vorteile, die den Wettbewerb der Krankenversicherer
nach Krankenversicherungsgesetz in unzulässiger Weise beeinträchtigen würden. Soweit die
Beklagte den Grundversicherern der Helsana-Gruppe durch das Programm wirtschaftliche Vorteile verschafft
- zum Beispiel dadurch, dass zusätzliche Personen aufgrund der Attraktivität von Helsana+
eine obligatorische Krankenpflegeversicherung abschliessen -, sind diese nicht unzulässig,
da ihr Vorgehen nicht gegen das Krankenversicherungsgesetz verstösst (vgl. BGE 144 V 388
E. 5.5.2). Aus diesem Grund liegt auch keine rechtsmissbräuchliche Berufung auf die rechtliche
Selbständigkeit einer juristischen Person und damit kein Rechtsmissbrauch vor.
5.7.4 Das
Programm Helsana+ ist damit soweit für das vorliegende datenschutzrechtliche Verfahren relevant
und soweit es Teilnehmerinnen und Teilnehmer betrifft, die nur eine obligatorische Grundversicherung
bei einer Versicherungsgesellschaft der Helsana-Gruppe haben, als mit dem Krankenversicherungsgesetz
vereinbar anzusehen. Letztlich kann diese Frage jedoch offen bleiben, da das das Rechtsbegehren 2
ohnehin abzuweisen ist (vgl. E. 5.6).
6.
Zusammenfassend
ist das Rechtbegehren 1 im Sinne der E. 4.9 teilweise gutzuheissen und die Beklagte dazu zu
verpflichten, im Rahmen des Programms Helsana+ die Entgegennahme und Weiterbearbeitung von Personendaten
der Helsana Grundversicherungen zu unterlassen. Im Übrigen ist das Rechtsbegehren 1 abzuweisen.
Das Rechtsbegehren 2 ist abzuweisen. Das Rechtsbegehren 3 ist teilweise gutzuheissen, nämlich
soweit es Personendaten betrifft, die im Rahmen der im Rechtsbegehren 1 beschriebenen Datenbearbeitung
angefallen sind. Die Beklagte ist anzuweisen, diese Personendaten innert 30 Tagen zu löschen
und Dritte, denen sie die Daten weitergegeben hat, anzuweisen, diese Daten innert gleicher Frist zu löschen.
Im Übrigen ist das Rechtsbegehren 3 abzuweisen.
7.
7.1 Die
Festsetzung der Gerichtsgebühren und einer allfälligen Parteientschädigung richtet sich
auch im Klageverfahren nach den Art. 63-65 VwVG (Art. 44 Abs. 3 VGG). Gemäss Art. 63 Abs. 1
VwVG hat in der Regel die unterliegende Partei die Verfahrenskosten zu tragen; unterliegt
sie nur teilweise, werden die Kosten ermässigt. Unterliegenden Bundesbehörden werden keine
Kosten auferlegt (vgl. Art. 63 Abs. 2 VwVG).
7.2 Die
Spruchgebühr, welche sich nach Umfang und Schwierigkeit der Sache, Art der Prozessführung und
finanzieller Lage der Parteien richtet, beträgt in Streitigkeiten ohne Vermögensinteresse in
der Regel zwischen Fr. 100.- und Fr. 5'000.- (Art. 63 Abs. 4bis
Bst. a VwVG). Im vorliegenden Klageverfahren wurde ein doppelter Schriftenwechsel durchgeführt,
jedoch weder eine Vorbereitungs- noch eine Hauptverhandlung, weshalb die Verfahrenskosten auf Fr. 2'000.-
festzusetzen sind (vgl. Art. 1 ff. des Reglements vom 21. Februar 2008 über die Kosten
und Entschädigungen vor dem Bundesverwaltungsgericht [VGKE, SR 173.320.2]).
Der Kläger setzt sich mit den Rechtsbegehren 1 und 3 teilweise durch, nicht jedoch mit
dem Rechtsbegehren 2. Die Verfahrenskosten werden entsprechend zur Hälfte, das heisst in der
Höhe von Fr. 1'000.- der Beklagten auferlegt. Dem Kläger sind als Bundesbehörde
keine Kosten aufzuerlegen.
7.3 Der
obsiegenden Partei ist von Amtes wegen oder auf Begehren eine Entschädigung für die ihr erwachsenen
notwendigen Kosten zuzusprechen (vgl. Art. 64 Abs. 1 VwVG i.V.m. Art. 7 Abs. 1 VGKE). Obsiegt
sie nur teilweise, ist die Parteientschädigung entsprechend zu kürzen (vgl. Art. 7 Abs. 2
VGKE). Bundesbehörden haben keinen Anspruch auf eine Parteientschädigung (vgl. Art. 7 Abs.
3 VGKE).
Die Rechtsvertreter der Beklagten reichten keine Kostennote ein. Der
notwendige Vertretungsaufwand
lässt sich indes aufgrund der Aktenlage zuverlässig abschätzen, weshalb praxisgemäss
auf die Einholung einer solchen verzichtet wird (Art. 14 Abs. 2 VGKE). In Anwendung der genannten Bestimmungen
und unter Berücksichtigung der massgeblichen Bemessungsfaktoren (Art. 8 ff. VGKE) ist die Parteientschädigung
von Amtes wegen auf Fr. 3'600.- (ausgehend von einem Stundenansatz von Fr. 300.-,
inklusive Auslagen) festzusetzen. Nach dem Grad des Durchdringens ist die Parteientschädigung zu
halbieren. Die vom Kläger auszurichtende Parteientschädigung beträgt damit Fr. 1'800.-.