Das Bundesverwaltungsgericht beschäftigte sich in seinem Entscheid vom 19. März 2019 mit grundlegenden Fragen im Datenschutzrecht rund um die App „Helsana+“. Welche Anforderungen sind an eine gültige Einwilligung zur Datenbearbeitung durch Bundesorgane zu stellen? Ist die Datenbearbeitung unrechtmässig, wenn der Zweck der Datenbearbeitung unrechtmässig ist?
Die App „Helsana+“ ermöglicht Personen, die bei der Helsana-Gruppe versichert sind, sich Boni für bestimmte Aktivitäten zu sichern. Die Teilnahme an Helsana+, eine Apps von Helsana Zusatzversicherungen AG, ist nur möglich, wenn die Teilnehmer bei der Helsana-Gruppe krankenversichert sind. Teilnehmer registrieren sich bei Helsana+, indem sie sich in der App eintragen. Die Helsana Zusatzversicherungen AG gleicht die Registrierungsdaten für Helsana+ anschliessend jährlich mit den Daten, die bei der obligatorischen Krankenversicherung anfallen ab (Daten-Abgleich). Der Abgleich erfolgt zum Zweck der Prüfung, ob die Teilnehmer noch bei der Helsana-Gruppe versichert sind. Die Teilnehmer geben für den Daten-Abgleich die strittige Einwilligung mittels Anklicken der Nutzungs- und Datenbestimmungen.
Zunächst hatte das Bundesverwaltungsgericht die Frage zu beantworten, ob die Versicherten gültig in den Daten-Abgleich eingewilligt haben.
Das Bundesverwaltungsgericht erwog, dass es eine Bekanntgabe von Personendaten darstellt, wenn die Helsana Zusatzversicherungen AG Daten der Helsana erhält, welche die obligatorischen Krankenkasse betreibt und mit den Daten von Helsana Zusatzversicherungen AG abgleicht. Diese Bekanntgabe muss rechtmässig sein. Da es sich bei dieser Bekanntgabe um Daten aus dem Bereich der öffentlichen Aufgaben der Helsana-Versicherungen handelt, kommen die Bestimmungen für Bundesorgane zur Anwendung (Art. 16 ff. DSG). Die Bekanntgabe ist nach diesen Bestimmungen insbesondere rechtmässig, wenn die betroffenen Personen im Einzelfall und schriftlich zugestimmt haben (Art. 19 Abs. 1 lit. b DSG und Art. 84a Abs. 5 lit. b KVG). Die Einwilligung durch Annahme der Nutzungs- und Datenschutzbestimmungen war in mehrerer Hinsicht unzureichend. Sie galt für einen unbefristeten Zeitraum und eine unbekannte Anzahl von Bekanntgaben und wurde damit nicht im Einzelfall gegeben. Ausserdem war die Bestimmung in den Nutzungs- und Datenschutzbestimmungen zu unbestimmt bezüglich der übertragenen Daten. Sie bestimmten lediglich, dass Helsana Zusatzversicherungen AG berechtigt war, zwecks Identifikation des Teilnehmers Einblick in die entsprechenden Daten der jeweiligen Versicherungsgesellschaften der Helsana-Gruppe zu nehmen. Zusätzlich galt das reine Anklicken der Nutzungs- und Datenschutzbestimmungen nicht als Schriftform (vgl. Art. 14 OR). Die Einwilligungen waren somit nicht im Einzelfall, informiert und schriftlich im Sinne von Art. 4 Abs. 5 DSG erfolgt und konnten deshalb den Daten-Abgleich nicht rechtfertigen. Das Bundesverwaltungsgericht hiess daher die Klage des EDÖB in dieser Hinsicht gut.
Weiter beantwortete das Bundesverwaltungsgericht die Frage, ob die Datenbearbeitung durch die Helsana Zusatzversicherungen AG im Rahmen von Helsana+ unrechtmässig war, wenn die Beklagte Personendaten zu einem unrechtmässigen Zweck bearbeiten würde. Das Bundesverwaltungsgericht stellte zunächst klar, dass im Bereich des rechtmässigen oder unrechtmässigen Zwecks ein Unterschied zwischen der DSGVO der EU und des DSG der Schweiz besteht. In der EU dürfen Daten nur bearbeitet werden, wenn ein legitimer Zweck vorliegt (Art. 5 Abs. 1 EU-DSGVO). In der Schweiz muss der Zweck lediglich konform sein mit Normen, die mindestens auch den Schutz der Persönlichkeit einer Person bezwecken, da das DSG darauf ausgerichtet ist, das verfassungsmässige Recht auf informationelle Selbstbestimmung (Art. 13 Abs. 2 BV) jeder Person sicherzustellen. Im vorliegenden Fall aber dienten die relevanten, anwendbaren Normen (Art. 61 und 62 KVG) lediglich der Verwirklichung des Grundsatzes der Gegenseitigkeit in der sozialen Krankenversicherung, nicht aber dem Schutz der Persönlichkeit der Prämienzahler. Daher, unabhängig davon, ob der Zweck der Datenbearbeitung gegen diese sozialversicherungsrechtlichen Normen verstiess, war keine unrechtmässige Datenbearbeitung im Sinne von Art. 4 Abs. 1 DSG gegeben. In einem obiter dictum führte das Bundesverwaltungsgericht dann aus, dass die krankenversicherungsrechtlichen Bestimmungen ohnehin nicht verletzt waren.
Die Datenbearbeitung der Daten im Rahmen des Programms Helsana+ war damit rechtmässig.Zusammenfassend kann festgestellt werden, dass erstens die Bekanntgabe von der Helsana-Krankenkassen an die Helsana Zusatzversicherungen AG nicht rechtmässig war, da die Einwilligung nicht schriftlich und informiert erfolgte. Die Erhebung durch die Helsana Zusatzversicherungen aber ist rechtmässig erfolgt. Im Weiteren war das Bearbeiten von Personendaten durch Helsana Zusatzversicherungen rechtmässig, da der Zweck der Bearbeitung das Recht auf informationelle Selbstbestimmung der Betroffenen nicht beeinträchtigte.