Bundesverwaltungsgericht vom 19. März 2019
3. Persönlichkeits- und Datenschutzrecht
DSG 29 I a, 3 e. Gegenstand von Sachverhaltsabklärungen des EDÖB können alle Datenbearbeitungen sein, solange diese methodisch bzw. wiederkehrend erfolgen und potenziell eine grössere Anzahl von Personen betreffen (E. 1.6).
DSG 12 ff.; KVAG 4; VAG 1 ff. Ein privates Versicherungsunternehmen wird nicht zum Bundesorgan, weil es Daten bearbeitet, die aus der Durchführung der obligatorischen Krankenpflegeversicherung stammen, sondern untersteht auch diesbezüglich den DSG-Bestimmungen zur Bearbeitung von Personendaten durch Private. Im Unterschied dazu unterstehen Versicherungsunternehmen, die über eine Bewilligung zur Durchführung der sozialen Krankenversicherung verfügen, diesbezüglich den Regeln für das Bearbeiten von Personendaten durch Bundesorgane (E. 4.5).
DSG 4 V. Die Koppelung der Teilnahme an einem Bonusprogramm mit einer Einwilligung zur Bearbeitung von Personendaten ist unter dem Gesichtspunkt der Freiwilligkeit unproblematisch, wenn die betreffende Datenbearbeitung einen direkten Bezug zur Durchführung des Programms hat und die einzige Folge einer Nichteinwilligung die Unmöglichkeit der Teilnahme ist. Dies gilt auch, wenn das Bonusprogramm mit (vorliegend geringfügigen) geldwerten Vorteilen lockt (E. 4.7).
DSG 19 I b; ATSG 33; KVG 84a V b. Werden Personendaten in einem automatisierten Prozess mehrmals jährlich abgefragt, kann der damit verbundene Eingriff in die sozialversicherungsrechtliche Verschwiegenheitspflicht bzw. die damit verbundene Bekanntgabe von Personendaten nicht mit einer einmaligen Einwilligung der Betroffenen gerechtfertigt werden, zumal die Einwilligung im Einzelfall erfolgen muss (E. 4.8).
DSG 4 V. Einwilligungen, die auf umfangreichen und breit formulierten Nutzungs- und Datenschutzbestimmungen beruhen, welche keine einschränkenden Hinweise auf den Zweck und den Umfang der beabsichtigten Datenbearbeitung enthalten, sind mangels angemessener Information ungültig (E. 4.8.4).
KVG 84a V b; OR 14. Eine Einwilligung, die durch Anklicken einer Schaltfläche in einer App erfolgt, ist keine schriftliche Einwilligung (E. 4.8.4).
DSG 4 V, 19 I b. Das DSG kennt rechtmässige und unrechtmässige Einwilligungen, aber kein Verbot, Einwilligungen einzuholen (E. 4.9).
DSG 4 I; KVG 61 f. Verfolgt eine Datenbearbeitung einen rechtswidrigen Zweck, ist sie nur dann auch unrechtmässig im Sinne des DSG, wenn gegen eine Norm verstossen wird, die direkt oder indirekt (zumindest auch) den Persönlichkeitsschutz bezweckt. Das krankenversicherungsrechtliche Prämienrückerstattungsverbot ist keine solche Norm (E. 5.4-5.6).
3. Protection de la personnalité et protection des données
LPD 29 I a, 3 e. Tout traitement de données peut faire l’objet d’un établissement des faits par le PFPDT pour autant que ledit traitement soit méthodique, respectivement récurrent, et concerne potentiellement un grand nombre de personnes (consid. 1.6).
LPD 12 ss; LSAMal 4; LSA 1 ss. Une entreprise d’assurance privée ne devient pas un organe fédéral du fait qu’elle traite des données provenant de la pratique de l’assurance-maladie obligatoire, mais elle est soumise aux dispositions de la LPD relatives au traitement de données personnelles par des privés. En revanche, les entreprises d’assurance qui disposent d’une autorisation de pratiquer l’assurance-maladie sociale sont soumises dans ce cadre aux règles sur le traitement des données personnelles par les organes fédéraux (consid. 4.5).
LPD 4 V. Le couplage de la participation à un programme de bonus avec le consentement au traitement des données personnelles n’est pas problématique du point de vue du caractère libre du consentement lorsque le traitement des données en cause est directement lié à la mise en œuvre du programme et que la seule conséquence du refus est l’impossibilité de participer. Ceci s’applique aussi lorsque le programme de bonus attire à l’aide d’avantages pécuniaires (en l’espèce mineurs) (consid. 4.7).
LPD 19 I b; LPGA 33; LAMal 84a V b. Si des données personnelles sont de- | mandées plusieurs fois par année dans le cadre d’une procédure automatisée, l’atteinte au devoir de confidentialité du droit social, respectivement la communication de données personnelles qui en découle, ne peut être justifiée par un consentement unique de la personne concernée, d’autant plus que le consentement doit être donné dans le cas d’espèce (consid. 4.8).
LPD 4 V. Les consentements fondés sur des conditions d’utilisation et de protection des données formulées de manière étendues et larges, qui ne contiennent aucune référence restrictive à la finalité et l’étendue du traitement des données contemplé, ne sont pas valables à défaut d’une information convenable (consid. 4.8.4).
LAMal 84a V b; CO 14. Le consentement donné en cliquant sur un bouton dans une application ne constitue pas un consentement écrit (consid. 4.8.4).
LPD 4 V, 19 I b. La LPD connaît des consentements conformes au droit et non conformes au droit, mais pas d’interdiction à rechercher des consentements (consid. 4.9).
LPD 4 I; LAMal 61 s. Si le traitement de données poursuit une finalité illicite, il n’est illicite au sens de la LPD que s’il viole une norme qui vise directement ou indirectement (à tout le moins également) à protéger la personnalité. L’interdiction du remboursement des primes en vertu du droit sur l’assurance maladie ne constitue pas une telle norme (consid. 5.4-5.6).
Abteilung I; teilweise Gutheissung der Klage; Akten-Nr. A-3548/2018.
Versicherungsnehmer der Helsana-Gruppe können am Bonusprogramm «Helsana+» teilnehmen. Dieses wird von der Helsana Zusatzversicherungen AG (Beklagte) betrieben, die zur Ermittlung der Teilnahmeberechtigung sowie für die Berechnung der Bonihöhe die Versicherteneigenschaft der Teilnehmer abklärt. Dafür verlangt sie von diesen im Rahmen des Registrierungsprozesses eine Einwilligung, Daten von der Helsana Versicherungen AG bzw. der Progrès Versicherungen AG einzuholen. Das sind diejenigen Gesellschaften der Helsana-Gruppe, die zuständig sind für die obligatorische Krankenpflegeversicherung.
Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB, Kläger) erliess im Zusammenhang mit dem Bonusprogramm «Helsana+» diverse Empfehlungen an die Adresse der Beklagten. Diese lehnte indes die Umsetzung der Empfehlungen ab, weil sie die diesen zugrunde liegende Rechtsauffassung des Klägers nicht teilte. Infolgedessen reichte der Kläger beim BVGer Klage ein und stellte dabei insbesondere die beiden folgenden Rechtsbegehren:
«1. Die Beklagte habe im Rahmen des Programms Helsana+ die Entgegennahme und Weiterbearbeitung von Personendaten der Helsana Grundversicherung sowie das Einholen von Einwilligungen zu dieser Datenbearbeitung zu unterlassen.
2. Die Beklagte habe im Rahmen des Programms Helsana+ die Bearbeitung von Kassenzugehörigkeits- und anderen Daten von Kunden, die bei der Helsana Versicherungen AG ausschliesslich grundversichert sind, zum Zwecke der Bemessung und rechtswidrigen Ausrichtung geldwerter Rückerstattungen zu unterlassen.»
Aus den Erwägungen:
1.6
1.6.1 Die Beklagte bestreitet die Aktivlegitimation des Klägers bezüglich des Rechtsbegehrens 2. Sie macht geltend, es gehe bei diesem Klagebegehren nicht um eine Bearbeitungsmethode im Sinne von Art. 29 Abs. 1 DSG, sondern um die Rechtmässigkeit des Endzwecks der Datenbearbeitung, für deren Beurteilung der Kläger über keine Klagelegitimation verfüge.
[…]
1.6.3 Voraussetzung für die Kontrolltätigkeiten – Abklärungen, Empfehlungen und Klagen – des Klägers im Privatrechtsbereich ist, dass ein «Systemfehler» vorliegt. «Systemfehler» bedeutet in diesem Zusammenhang die Eignung, eine grössere Anzahl von Personen in ihrer Persönlichkeit zu verletzen (Art. 29 Abs. 1 lit. a DSG; vgl. BVGer vom 30. März 2011, A-7040/2009, E. 1.1).
Diese Voraussetzung spiegelt die Absicht des Gesetzgebers, die Verletzung der Persönlichkeitsrechte im Privatrechtsbereich im Einzelfall der individuellen Klage des Einzelnen zu überlassen und den Kläger nur in Fällen zu Kontrolltätigkeiten zu ermächtigen, in denen aufgrund der grossen Anzahl potentiell betroffener Personen ein öffentliches Interesse an dessen Tätigwerden besteht (Botschaft, BBl 1988 II 413, 435 und 479; B. Baeriswyl, in: B. Baeriswyl / K. Pärli [Hg.], Handkommentar Datenschutzgesetz, Bern 2015, DSG 29 N 12 und 17; R. Huber, in: U. Maurer-Lambrou / G.-P. Blechta (Hg.), Basler Kommentar Datenschutzgesetz / Öffentlichkeitsgesetz, 3. Aufl., Basel 2014, DSG 29 N 7). Dabei stand in den parlamentarischen Beratungen insbesondere die elektronische Datenbearbeitung im Fokus (vgl. AB 1991, 1064). Eine weitergehende Einschränkung des Gegenstandes der Kontrolle durch den Kläger ist demgegenüber aus der Formulierung in Art. 29 Abs. 1 lit. a DSG nicht abzuleiten. Darauf deutet auch die Verwendung des Begriffs der «Persönlichkeitsverletzung» in Art. 29 Abs. 1 lit. a DSG hin. Dieser verweist auf die Grundnorm in Art. 12 DSG, welche wiederum auf die Datenbearbeitung im Sinne von Art. 3 lit. e DSG und die Grundsätze der Datenbearbeitung in Art. 4 DSG verweist.
Dies zeigt, dass alle Datenbearbeitungen und deren Rechtmässigkeit Gegenstand der Kontrolltätigkeit des Klägers sein können (Baeriswyl, DSG 29 N 4; Huber, DSG 29 N 12). Ge- | genstand der Sachverhaltsabklärungen können alle Datenbearbeitungen im Sinne von Art. 3 lit. e DSG sein, solange diese potentiell eine grössere Anzahl von Personen betreffen. Im Fokus stehen Konzeption, Inhalt sowie Art und Weise von Datenbearbeitungen (Baeriswyl, DSG 29 N 14; Huber, DSG 29 N 7a). Der Begriff der «Bearbeitungsmethode» schränkt den Gegenstand möglicher Sachverhaltsabklärungen des Klägers nicht ein, sondern verweist lediglich darauf, dass sich die Datenbearbeitung nicht auf einzelne Fälle beziehen darf, sondern diese methodisch, mithin wiederkehrend, erfolgen muss. Beim Entscheid, ob ein Systemfehler vorliegt, hat der Kläger grundsätzlich einen weiten Ermessensspielraum, sein Entscheid muss jedoch begründet und nachvollziehbar sein (Baeriswyl, DSG 29 N 18), was vorliegend der Fall ist. […]
[…]
4.4 Es ist zu prüfen, ob die Beklagte durch den Abgleich von Personendaten der Teilnehmerinnen und Teilnehmer am Programm Helsana+ mit bei einer anderen Versicherungsgesellschaft der Helsana-Gruppe gespeicherten Personendaten gegen das DSG verstösst.
4.5
4.5.1 Vorab ist zu klären, ob auf die Beklagte vorliegend die Regeln bezüglich das Bearbeiten von Personendaten durch private Personen (Art. 12 ff. DSG) oder diejenigen für das Bearbeiten von Personendaten durch Bundesorgane (Art. 16 ff. DSG) zur Anwendung kommen.
[…]
4.5.5 Krankenkassen und private Versicherungsunternehmen, die dem Bundesgesetz vom 17. Dezember 2004 betreffend die Aufsicht über Versicherungsunternehmen (VAG, SR 961.01) unterstehen, gelten als Bundesorgane, wenn sie über eine Bewilligung zur Durchführung der sozialen Krankenversicherung nach Art. 4 des Bundesgesetzes vom 26. September 2014 betreffend die Aufsicht über die soziale Krankenversicherung (KVAG, SR 832.12) verfügen (vgl. U. Maurer-Lambrou / S. Kunz, in: U. Maurer-Lambrou / G.-P. Blechta [Hg.], Basler Kommentar Datenschutzgesetz / Öffentlichkeitsgesetz, 3. Aufl., Basel 2014, DSG 2 N 15; vgl. BGE 144 V 388 ff. E. 4.1). Die Beklagte bietet unbestrittenermassen keine obligatorischen Krankenversicherungen an. Ebenso wenig wurden ihr durch einen obligatorischen Krankenpflegeversicherer Aufgaben im Bereich der obligatorischen Krankenpflegeversicherung übertragen. Keine der Datenbearbeitungen, welche die Beklagte im Rahmen des Programms Helsana+ vornimmt, beruht auf durch das Krankenversicherungsgesetz geregelten Aufgaben. Das Rechtsverhältnis zwischen der Beklagten und den betroffenen Personen ist entsprechend nicht öffentlich-rechtlicher Natur. Dies gilt auch für den Abgleich von Angaben der betroffenen Personen mit Personendaten, die eine andere Versicherungsgesellschaft der Helsana-Gruppe im Rahmen der Durchführung der obligatorischen Krankenpflegeversicherung bearbeitet. Auch in diesen Fällen ist das Verhältnis der betroffenen Personen und der Beklagten privatrechtlicher Natur, die Beklagte nimmt weder öffentliche Aufgaben (zum Beispiel im Rahmen der obligatorischen Krankenpflegeversicherung) wahr noch handelt sie hoheitlich. Die Beklagte handelt entsprechend vorliegend nicht als Bundesorgan.
4.5.6 Entsprechend finden auf die Datenbearbeitungen durch die Beklagte im Rahmen des Programms Helsana+ die datenschutzrechtlichen Bestimmungen bezüglich das Bearbeiten von Personendaten durch private Personen der Art. 12 ff. DSG Anwendung.
[…]
4.7 Bearbeitet die Beklagte im Rahmen von Helsana+ Personendaten, die bei einer anderen Versicherungsgesellschaft der Helsana-Gruppe im Rahmen der obligatorischen Krankenpflegeversicherung gespeichert sind, steht dies im Konflikt mit dem Grundsatz der Zweckbindung nach Art. 4 Abs. 3 DSG. Durch die zitierten Bestimmungen aus den «Nutzungs- und Datenschutzbestimmungen Helsana+ App V1.0» holt die Beklagte für sich selber eine Einwilligung der Teilnehmerinnen und Teilnehmer am Programm Helsana+ zur Bearbeitung der entsprechenden Nutzerdaten ein. Die Einwilligung erfolgt entgegen den Vorbringen des Klägers freiwillig, da der Nachteil, der bei einer Nichteinwilligung droht – die Unmöglichkeit der Teilnahme am Programm Helsana+ – einen direkten Bezug zu den Daten aufweist, für deren Bearbeitung die Einwilligung eingeholt wird und damit kein unzulässiger Zwang zur Erteilung der Einwilligung vorliegt (vgl. dazu BGE 138 I 331 ff. E. 7.4.1; U. Maurer-Lambrou / A. Steiner, in: U. Maurer-Lambrou / G.-P. Blechta [Hg.], Basler Kommentar Datenschutzgesetz / Öffentlichkeitsgesetz, 3. Aufl., Basel 2014, DSG 4 N 16f): Ohne die Beschaffung der Personendaten kann die Beklagte nicht kontrollieren, ob eine Versichertenbeziehung zu einer andern Versicherungsgesellschaft der Helsana-Gruppe vorliegt, was wiederum eine Voraussetzung für die Teilnahme am Programm Helsana+ darstellt, und zu Bonuspunkten im Rahmen des Programms berechtigt. Der Umstand allein, dass die Beklagte für die Teilnahme am Programm mit geldwerten Vorteilen und insbesondere mit Bargeldboni wirbt (in der Höhe von maximal CHF 75 pro Jahr bei nur grundversicherten Personen), stellt ebenfalls keinen unzulässigen Zwang dar. Die Beklagte verfügt damit für die Beschaffung der Personendaten über eine Einwilligung der betroffenen Personen.
Beschafft sich die Beklagte bei den Versicherungsgesellschaften der Helsana-Gruppe, die im Bereich der obligatorischen Krankenpflegeversicherung tätig sind, Personendaten, welche diese im Rahmen der obligatorischen | Krankenpflegeversicherung gespeichert haben, stellt dieser Vorgang gleichzeitig eine Bekanntgabe von Daten dar. Entsprechend kann die Beschaffung dieser Personendaten durch die Beklagte nur rechtmässig sein, wenn auch die Bekanntgabe der Personendaten rechtmässig ist. Zu prüfen ist deshalb, ob die anderen Versicherungsgesellschaften der Helsana-Gruppe, die im Bereich der obligatorischen Krankenpflegeversicherung tätig sind, zur Herausgabe der Personendaten an die Beklagte berechtigt sind.
4.8
4.8.1 Die Versicherungsgesellschaften der Helsana-Gruppe, die im Geschäft mit obligatorischen Krankenpflegeversicherungen tätig sind, sind für die hier vorliegenden Belange als Bundesorgane im Sinne von Art. 3 lit. h DSG zu behandeln (vgl. E. 4.5.5), womit die Art. 16 ff. DSG zur Anwendung kommen. Entsprechend dürfen sie gemäss den datenschutzrechtlichen Bestimmungen für Bundesorgane Personendaten nur bearbeiten, wenn dafür eine gesetzliche Grundlage besteht (Art. 17 Abs. 1 DSG). Obligatorische Krankenpflegeversicherungen sind nach Art. 84 des Bundesgesetzes vom 18. März 1994 über die Krankenversicherung (KVG, SR 832.10) befugt, die Personendaten zu bearbeiten oder bearbeiten zu lassen, die sie benötigen, um die ihnen nach dem Krankenversicherungsgesetz übertragenen Aufgaben zu erfüllen. Nach Art. 33 des Bundesgesetzes vom 6. Oktober 2000 über den Allgemeinen Teil des Sozialversicherungsrechts (ATSG, SR 830.1) haben Personen, die an der Durchführung sowie der Kontrolle oder der Beaufsichtigung der Durchführung der Sozialversicherungsgesetze beteiligt sind, gegenüber Dritten Verschwiegenheit zu bewahren. Gemäss Art. 84a Abs. 5 lit. b KVG dürfen Organe, die mit der Durchführung des Krankenversicherungsgesetzes betraut sind, Personendaten in Abweichung von Art. 33 ATSG an Dritte bekannt geben, sofern die betroffene Person im Einzelfall schriftlich eingewilligt hat. Nach Art. 19 Abs. 1 lit. b DSG dürfen Bundesorgane Personendaten nur bekannt geben, wenn dafür eine Rechtsgrundlage besteht oder wenn die betroffene Person im Einzelfall eingewilligt hat.
4.8.2 Da es sich bei der Helsana Versicherungen AG und der Progrès Versicherungen AG ebenso wie bei der Beklagten um juristische Personen handelt, gilt die Bekanntgabe von Personendaten einer dieser Versicherungsgesellschaften an die Beklagte als Bekanntgabe an eine dritte Person. Die Bekanntgabe der Personendaten aus der obligatorischen Krankenpflegeversicherung erfolgt vorliegend nicht in Ausübung einer durch das Krankenversicherungsgesetz übertragenen Aufgabe. Auch eine Ausnahme von der sozialversicherungsrechtlichen Verschwiegenheitspflicht gemäss Art. 84a Abs. 1–4 KVG liegt nicht vor. Eine Ausnahme von der sozialversicherungsrechtlichen Verschwiegenheitspflicht ist damit vorliegend nur unter den kumulativen Voraussetzungen von Art. 19 Abs. 1 lit. b DSG und Art. 84a Abs. 5 lit. b KVG rechtmässig, das heisst, wenn die betroffene Person im Einzelfall schriftlich zugestimmt hat.
4.8.3 Die Nutzungs- und Datenschutzbestimmungen von Helsana+ beinhalten keine explizite Einwilligung in die Bekanntgabe von Personendaten aus der obligatorischen Krankenpflegeversicherung an die Beklagte. Dass die Einwilligung auch für die Datenbearbeitung durch andere Personen als die Beklagte gilt – nämlich für weitere Versicherungsgesellschaften der Helsana-Gruppe –, erwähnen die Bestimmungen nicht, was grundsätzlich nicht einer transparenten Information im Sinne von Art. 4 Abs. 5 DSG entspricht. Da die Datenbeschaffung durch die Beklagte und die Datenbekanntgabe durch die obligatorische Krankenpflegeversicherungen jedoch eine Einheit bilden, kann vorliegend trotzdem davon ausgegangen werden, dass den Teilnehmerinnen und Teilnehmern am Programm Helsana+ hinreichend klar ist, dass ihre Einwilligung nicht nur die Datenbeschaffung durch die Beklagte, sondern auch die Bekanntgabe dieser Daten durch die obligatorische Krankenpflegeversicherung beinhaltet. Aus den Nutzungs- und Datenschutzbestimmungen des Programms Helsana+ kann damit zumindest eine implizite Einwilligung in die Bekanntgabe der Personendaten durch die obligatorische Krankenpflegeversicherung an die Beklagte abgeleitet werden.
4.8.4 Hingegen ist festzustellen, dass die Einwilligung in die Datenbekanntgabe durch die obligatorische Krankenpflegeversicherung nicht, wie von Art. 19 Abs. 1 lit. b DSG und Art. 84a Abs. 5 lit. b KVG gefordert, im Einzelfall geschieht. Die Beklagte fragt die Daten nach eigenen Angaben mehrmals jährlich in einem automatisierten Prozess bei den anderen Versicherungsgesellschaften der Helsana-Gruppe ab. Damit handelt es sich nicht um einen Einzelfall (vgl. G. Eugster, Verwaltungsverfahren und Rechtspflege, in: U. Meyer [Hg.], Soziale Sicherheit, 3. Aufl., Basel 2016, 871), die Einwilligung gilt im Gegenteil für einen unbefristeten Zeitraum und eine unbekannte Anzahl Bekanntgaben.
Die Einwilligung in die Bekanntgabe respektive in die Beschaffung der Daten in Ziff. B.4 der Nutzungs- und Datenschutzbestimmungen beschränkt sich zudem nicht auf die von der Beklagten genannten drei Datenpunkte (Postleitzahl, Versichertennummer und Geburtsdatum des Nutzers). Die Klausel enthält keine einschränkenden Verweise auf den Zweck der Datenbearbeitung oder andere Bestimmungen, sondern ist breit und ohne Einschränkungen formuliert. Die Beklagte holt damit eine über den notwendigen Zweck der Datenbearbeitung hinausgehende Einwilligung ein. Erschwerend kommt hinzu, dass sich die Einwilligung, auf mehrere Bestimmungen ver- | teilt, in den umfangreichen Nutzungs- und Datenschutzbestimmungen befindet, welche die Teilnehmerinnen und Teilnehmer durch Anklicken einer Schaltfläche in der Helsana+-App genehmigen. Dieses Vorgehen erschwert es den Teilnehmerinnen und Teilnehmern, zu erkennen, in welche Datenbearbeitungen sie einwilligen. Aus diesen Gründen entspricht die Einwilligung nicht den Voraussetzungen einer angemessenen Information für die Gültigkeit einer Einwilligung nach Art. 4 Abs. 5 DSG.
Schliesslich erfolgt die Einwilligung nicht wie in Art. 84a Abs. 5 KVG gefordert, schriftlich, sondern auf der Helsana+-App durch Anklicken einer Schaltfläche. Damit fehlt es der Einwilligung aufgrund der fehlenden eigenhändigen Unterschrift an der Schriftlichkeit (Art. 14 OR).
Insgesamt liegt damit keine gültige Einwilligung in die Bekanntgabe von Personendaten aus der obligatorischen Krankenpflegeversicherung an Dritte vor, entsprechend ist die Beschaffung solcher Daten durch die Beklagte unrechtmässig im Sinne von Art. 4 Abs. 1 DSG.
4.9 […] Das Rechtsbegehren 1 ist entsprechend insoweit gutzuheissen, als der Kläger darin fordert, die Beklagte habe im Rahmen des Programms Helsana+ die Entgegennahme und Weiterbearbeitung von Personendaten der Helsana Grundversicherung zu unterlassen. Soweit der Kläger zudem beantragt, der Beklagten sei zu verbieten, Einwilligungen zu dieser Datenbearbeitung einzuholen ist ihm hingegen nicht zu folgen. Es ist nicht am Kläger oder am BVGer, der Beklagten zu verbieten, Einwilligungen zu gewissen Datenbearbeitungen einzuholen. Einwilligungen sind entweder rechtsgültig oder nicht, ein Verbot, solche einzuholen, kann aus den Bestimmungen des DSG jedoch nicht abgeleitet werden.
5.
[…]
5.3 Es ist zu prüfen, ob die Datenbearbeitung der Beklagten im Rahmen des Programms Helsana+, soweit sie Personen betrifft, die nur eine Grundversicherung bei einer Versicherungsgesellschaft der Helsana-Gruppe haben, grundsätzlich unrechtmässig im Sinne von Art. 4 Abs. 1 DSG ist, da sie – wie vom Kläger behauptet – zu einem rechtswidrigen Zweck erfolgt, nämlich einer indirekten Rückerstattung von Versicherungsprämien für die obligatorische Krankenpflegeversicherung.
5.4
5.4.1 Gehalt und Umfang des Rechtmässigkeitsgrundsatzes von Art. 4 Abs. 1 DSG sind umstritten (vgl. E. M. Belser / A. Epiney / B. Waldmann, Datenschutzrecht, Bern 2011, 520) und damit auf dem Wege der Auslegung zu ermitteln (vgl. BGE 131 II 697 ff. E. 4.1 m.w.H.).
5.4.2 Unbestritten ist, dass eine Datenbearbeitung immer dann unrechtmässig im Sinne von Art. 4 Abs. 1 DSG ist, wenn der Datenbearbeiter dabei gegen eine Rechtsnorm verstösst, die den Schutz der Persönlichkeit bezweckt, dies unabhängig davon, ob sich die Rechtsnorm im DSG oder in einem anderen Erlass befindet. Nicht geklärt ist jedoch, ob auch der Verstoss gegen eine Rechtsnorm, die nicht (zumindest auch) dem Schutz der Persönlichkeit dient, die Bearbeitung von Personendaten unrechtmässig macht. Das BGer hat sich zu dieser Frage bisher nicht geäussert.
5.4.3 Ein Teil der Lehre vertritt – ohne dies weiter zu begründen – die Meinung, dass ein Verstoss gegen irgendeine Rechtsnorm als eine unrechtmässige Datenbearbeitung im Sinne von Art. 4 Abs. 1 DSG anzusehen sei (Maurer-Lambrou / Steiner, DSG 4 N 6; Belser / Epiney / Waldmann, 519 ff.; Baeriswyl, DSG 4 N 5). Ein anderer Teil der Lehre vertritt demgegenüber die Meinung, dass nur Verstösse gegen solche Verhaltensnormen erfasst seien, die direkt oder indirekt auch den Schutz vor einem Eingriff in die Persönlichkeit einer Person bezwecken (D. Rosenthal / Y. Jöhri, Handkommentar Datenschutzgesetz, Zürich 2008, DSG 4 N 6 f.). Kein Autor und keine Autorin äussert jedoch ausdrücklich die Meinung, ein rechtswidriger Zweck der Datenbearbeitung führe in jedem Fall zur Unrechtmässigkeit der entsprechenden Datenbearbeitung, alle Lehrmeinungen stellen vielmehr darauf ab, dass die Datenbearbeitung an sich gegen keine Rechtsnorm verstossen darf. Dies korrespondiert mit dem Wortlaut von Art. 4 Abs. 1 DSG, der sich auf die Rechtmässigkeit der Bearbeitung von Personendaten bezieht und nicht auf den Zweck, zu dem diese bearbeitet werden.
Zudem äussert sich, systematisch betrachtet, das DSG grundsätzlich nicht dazu, zu welchen Zwecken Personendaten bearbeitet werden dürfen und zu welchen nicht. Art. 4 Abs. 3 DSG, der den Grundsatz der Zweckbindung der Bearbeitung von Personendaten enthält, legt lediglich fest, dass Personendaten nur zu dem Zweck bearbeitet werden dürfen, der bei der Beschaffung angegeben wurde, aus den Umständen ersichtlich oder gesetzlich vorgesehen ist. Dies im Gegensatz zu Art. 5 Abs. 1 der für die Schweiz nicht verbindlichen Datenschutz-Grundverordnung der EU (DSGVO). Dieser schreibt in lit. a nicht nur – analog zu Art. 4 Abs. 1 DSG – vor, dass personenbezogene Daten auf rechtmässige Weise bearbeitet werden müssen, sondern in lit. b – im Gegensatz zu Art. 4 Abs. 3 DSG – auch, dass diese nur für «legitime» Zwecke erhoben werden dürfen. Mit der laufenden Revision des DSG verfolgt der Bundesrat unter anderem das Ziel, die Datenschutzbestimmungen der Schweiz an die DSGVO anzupassen (Botschaft, BBl 2017, 6998). Soweit anhand des bisherigen Gesetzgebungsverfahrens ersichtlich, ist jedoch nicht geplant, die Gesetzeslage in dieser Hinsicht derjenigen in der EU anzupassen.
In eine ähnliche Richtung weist eine teleologische Betrachtung von Art. 4 Abs. 1 DSG. Die Datenschutzvorschriften des DSG konkretisieren insbesondere den verfassungsmässigen Persönlichkeitsschutz im Bereich der Bearbeitung von personenbezogenen Daten. Dabei steht den betroffenen Personen grundsätzlich das Recht auf informationelle Selbstbestimmung zu (Art. 13 Abs. 2 BV und Art. 8 Abs. 1 EMRK), das heisst, jede Person soll selber über ihre eigenen Personendaten bestimmen und verfügen können (vgl. Botschaft, BBl 1988 II 417 f.; Maurer-Lambrou / Steiner, DSG 4 N 3). Diese allgemeine Zweckrichtung aller Datenschutzvorschriften legt nahe, dass der Rechtmässigkeitsgrundsatz in Art. 4 Abs. 1 DSG sich lediglich darauf bezieht, dass das Bearbeiten von Personendaten dann unrechtmässig ist, wenn dabei gegen eine Norm verstossen wird, die zumindest auch dem Schutz der Persönlichkeit der betroffenen Person dient.
Die ursprüngliche Botschaft zum DSG führt in diesem Zusammenhang lediglich aus, klar rechtswidrig sei das Beschaffen von Daten, wenn es mit Gewalt, Arglist oder Drohung gegenüber der betroffenen Person geschehe, da es sich dabei um Verstösse gegen das Strafgesetzbuch handle (Botschaft, BBl 1988 II 449 f.). Die Botschaft von 2003 zur Anpassung von Art. 4 Abs. 1 DSG an das Übereinkommen vom 28. Januar 1981 zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten (SR 0.235.1) äussert sich zu dieser Frage nicht (Botschaft, BBl 2003, 2124). Auch den Ratsprotokollen können keine Anhaltspunkte für die Beantwortung dieser Frage entnommen werden (Amtl. Bull. SR 1990, 139; Amtl. Bull. NR 1991, 954).
5.4.4 Zusammenfassend ist der Grundsatz der Rechtmässigkeit von Art. 4 Abs. 1 DSG so zu verstehen, dass eine Datenbearbeitung zu einem rechtswidrigen Zweck erst dann unrechtmässig im Sinne des DSG ist, wenn dabei gegen eine Norm verstossen wird, die zumindest auch, direkt oder indirekt, den Schutz der Persönlichkeit einer Person bezweckt.
5.5 […] Die Art. 61 und 62 KVG zur Regelung der Prämien in der obligatorischen Krankenpflegeversicherung dienen der Verwirklichung dieses Grundsatzes der Gegenseitigkeit in der sozialen Krankenversicherung und nicht dem Schutz der Persönlichkeit der Prämienzahler. Dies wird auch zu Recht von keiner Partei behauptet. Die Frage, ob die Beklagte mit dem Programm Helsana+ gegen das Krankenversicherungsgesetz verstösst, ist entsprechend im Grundsatz keine datenschutzrechtliche Frage.
5.6 Da die Art. 61 und 62 KVG nicht den Schutz der Persönlichkeit der Prämienzahler bezwecken, würde selbst ein Verstoss gegen diese Bestimmungen die Datenbearbeitung im Rahmen von Helsana+ nicht unrechtmässig im Sinne von Art. 4 Abs. 1 DSG machen.
Entsprechend ist festzuhalten, dass die Bearbeitung von Personendaten durch die Beklagte im Rahmen des Programms Helsana+ – selbst unter Annahme eines unrechtmässigen Zwecks im Sinne einer Verletzung von Art. 61 bzw. 61 KVG – nicht gegen Art. 4 Abs. 1 DSG verstösst. Das Rechtsbegehren 2 ist entsprechend abzuweisen.
[…]
Wf