BVwGer A-3548_2018 - Helsana (PDF)
Document Details
Uploaded by LegendaryClarity4269
ZHAW - Zürcher Hochschule für Angewandte Wissenschaften
2019
Tags
Summary
This is a legal document from the Swiss Federal Administrative Tribunal dated March 19, 2019. It concerns a case about a bonus program, "Helsana+", run by Helsana insurance company. The case involves data privacy and potential violations of data protection laws in Switzerland.
Full Transcript
Bundesverwaltungsgericht Tribunal administratif fédéral Tribunale amministrativo federale Tribunal administrativ federal Abteilung I A-3548/2018 Urteil vom 19. März 2019 Besetzung Richter Jürg Steiger (Vorsitz),...
Bundesverwaltungsgericht Tribunal administratif fédéral Tribunale amministrativo federale Tribunal administrativ federal Abteilung I A-3548/2018 Urteil vom 19. März 2019 Besetzung Richter Jürg Steiger (Vorsitz), Richterin Claudia Pasqualetto Péquignot, Richter Maurizio Greppi, Gerichtsschreiber Tobias Grasdorf. Parteien Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter EDÖB, Feldeggweg 1, 3003 Bern, Kläger, gegen Helsana Zusatzversicherungen AG, Postfach, 8081 Zürich Helsana, vertreten durch Dr. lic. iur. Gregor Bühler, Rechtsanwalt, und lic. iur. David Rosenthal, Rechtsanwalt, Homburger AG, Beklagte, Gegenstand Bonusprogramm Helsana+ der Helsana Zusatzversicherungen AG. A-3548/2018 Sachverhalt: A. Die Helsana Zusatzversicherungen AG betreibt das App-gestützte Bonus- programm „Helsana+“, das gemäss Eigenbeschreibung der freiwilligen Förderung des Gesundheitsbewusstseins und des sozialen und gesell- schaftlichen Engagements dient. Die Teilnehmerinnen und Teilnehmer am Programm können durch bestimmte Aktivitäten Pluspunkte sammeln, die sie in Boni wie Barauszahlungen, Sachleistungen oder Gutscheine von Partnerbetrieben umwandeln können. Bonusberechtigt sind nur die Versi- cherungsnehmer einer Versicherungsgesellschaft der Helsana AG (Hels- ana Zusatzversicherungen AG, Helsana Versicherungen AG und Progrès Versicherungen AG). Die App übermittelt keine Gesundheits- und Bewe- gungsdaten, die Teilnehmerinnen und Teilnehmer erbringen die für die Sammlung von Pluspunkten notwendigen Nachweise auf andere Weise, beispielsweise per Foto-Upload. Für Versicherungsnehmer der obligatori- schen Krankenpflegeversicherung und der Zusatzversicherung werden un- terschiedliche Boni gewährt. Für die Ermittlung der Teilnahmeberechtigung sowie die Berechnung der Höhe der Boni klärt die Helsana Zusatzversi- cherungen AG die Versicherteneigenschaften der Teilnehmerinnen und Teilnehmer ab. Dafür fordert sie von diesen im Rahmen des Registrie- rungsprozesses über die App die Einwilligung ein, Daten von der obligato- rischen Krankenpflegeversicherung der Helsana-Gruppe zur Zusatzversi- cherung zu übertragen. B. Nach Durchführung einer Sachverhaltsabklärung, inklusive eines Augen- scheins bei der Helsana Zusatzversicherungen AG, erliess der Eidgenös- sische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) am 26. April 2018 Empfehlungen betreffend das Bonusprogramm Helsana+. Der EDÖB empfahl der Helsana Zusatzversicherungen AG: „1. Die Helsana Zusatzversicherung AG hat im Rahmen des Programms Helsana+ die Entgegennahme und Weiterbearbeitung von Daten der Helsana Grundversicherung sowie das Einholen von Einwilligungen zu dieser Datenbearbeitung zu unterlassen. 2. Die Helsana Zusatzversicherung hat im Rahmen des Programms Helsana+ die Bearbeitung von Kassenzugehörigkeits- und anderen Daten von Kunden, die bei der Helsana ausschliesslich grundversichert sind, zum Zwecke der Bemessung und rechtswidrigen Ausrichtung geldwerter Rückerstattungen zu unterlassen.“ Seite 2 A-3548/2018 C. Am 22. Mai 2018 teilte die Helsana Zusatzversicherungen AG dem EDÖB mit, sie teile dessen Rechtsauffassung nicht und lehne eine Umsetzung der Empfehlungen daher ab. Sie sei jedoch bereit, bis zum Vorliegen eines rechtskräftigen Gerichtsurteils ohne Anerkennung einer Rechtspflicht den Registrierungsablauf für rein grundversicherte Teilnehmerinnen und Teil- nehmer anzupassen. D. Am 18. Juni 2018 reicht der EDÖB (Kläger) beim Bundesverwaltungsge- richt Klage gegen die Helsana Zusatzversicherungen AG (Beklagte) ein und stellt die folgenden Rechtsbegehren: „1. Die Beklagte habe im Rahmen des Programms Helsana+ die Entgegen- nahme und Weiterbearbeitung von Personendaten der Helsana Grundver- sicherung sowie das Einholen von Einwilligungen zu dieser Datenbearbei- tung zu unterlassen. 2. Die Beklagte habe im Rahmen des Programms Helsana+ die Bearbeitung von Kassenzugehörigkeits- und anderen Daten von Kunden, die bei der Helsana Versicherungen AG ausschliesslich grundversichert sind, zum Zwecke der Bemessung und rechtswidrigen Ausrichtung geldwerter Rück- erstattungen zu unterlassen. 3. Die Beklagte habe die im Rahmen der in den Begehren 1 und 2 vorste- hend beschriebenen Datenbearbeitung angefallenen Personendaten in- nert gerichtlich zu bestimmender Frist zu löschen und Dritte, denen sie die Daten weitergegeben hat anzuweisen, diese Daten innert gleicher Frist zu löschen.“ E. Die Beklagte beantragt in ihrer Klageantwort, die Klage sei vollumfänglich abzuweisen, soweit darauf einzutreten sei. Die Teilnehmerinnen und Teil- nehmer am Programm Helsana+ gäben ihre Einwilligung dazu, dass die Beklagte auf ihre Versichertendaten bei den Versicherungsgesellschaften der Helsana-Gruppe zugreifen dürfe. Sie frage nur die Postleitzahl, das Geburtsdatum und die Versichertennummer ab. Damit liege kein Verstoss gegen das Datenschutzgesetz vor. Bezüglich des Rechtsbegehrens 2 fehle dem Kläger die Aktivlegitimation, da das Begehren sich nicht gegen eine Bearbeitungsmethode richte. Das Rechtsbegehren 2 sei deshalb un- zulässig. Eventualiter sei das Begehren abzuweisen, da das Bonuspro- gramm bei ausschliesslich Grundversicherten nicht zu einer unzulässigen Prämienrückerstattung führe, da die Boni des Programms Helsana+ nicht Seite 3 A-3548/2018 in einem Austauschverhältnis mit der Prämienzahlung von Grundversicher- ten stehe. F. In seiner Replik vom 2. Oktober 2018 führt der Kläger aus, dass aus der Globalzustimmung zu den Nutzungsbedingungen für das App-Programm der Beklagten als Zusatzversicherer nicht auf eine gültige Einwilligung für Zugriffe auf Personendaten von Grundversicherern geschlossen werden könne. Es gehe zudem um eine indirekte Rückerstattung von Grundversi- cherungsprämien, die der Konzern querfinanziere, indem er aus den Per- sonendaten seiner Nutzer Erträge respektive Wettbewerbsvorteile gene- riere, was gegen das Prinzip der gleichen Prämien beziehungsweise der Einheitsprämien verstosse. G. In ihrer Duplik betont die Beklagte insbesondere, die Teilnehmerinnen und Teilnehmer wüssten im Zeitpunkt der Zustimmung zu den Nutzungsbestim- mungen, dass aufgrund der Zustimmung für die Zwecke ihrer Identifikation auf Daten von anderen Gesellschaften der Helsana-Gruppe zugegriffen werden könne. Es sei nicht einzusehen, wieso es ihnen verwehrt sein sollte, ihre Einwilligung zum Abgleich dieser von ihnen bereits bekannt ge- gebenen Angaben mit den Daten einer Versicherungsgesellschaft der ob- ligatorischen Krankenpflegeversicherung zu geben. H. Mit Schreiben vom 14. respektive vom 20. November 2018 haben Kläger und Beklagte auf eine mündliche Vorverhandlung und eine Hauptverhand- lung verzichtet. I. Auf die weiteren Vorbringen und die sich bei den Akten befindenden Unter- lagen wird soweit entscheidrelevant in den Erwägungen eingegangen. Das Bundesverwaltungsgericht zieht in Erwägung: 1. 1.1 Im Privatrechtsbereich klärt der Kläger von sich aus oder auf Meldung Dritter hin den Sachverhalt näher ab, wenn Bearbeitungsmethoden geeig- net sind, die Persönlichkeit einer grösseren Anzahl von Personen zu ver- letzen (sog. Systemfehler, Art. 29 Abs. 1 Bst. a des Bundesgesetzes vom Seite 4 A-3548/2018 19. Juni 1992 über den Datenschutz [DSG, SR 235.1]). Aufgrund seiner Abklärungen kann er empfehlen, das Bearbeiten zu ändern oder zu unter- lassen (Art. 29 Abs. 3 DSG). Wird eine solche Empfehlung nicht befolgt oder abgelehnt, kann er die Angelegenheit dem Bundesverwaltungsgericht auf dem Klageweg zum Entscheid vorlegen (Art. 29 Abs. 4 DSG i.V.m. Art. 35 Bst. b VGG). 1.2 Die auf das Datenschutzgesetz gestützte Klage des Klägers vom 18. Juni 2018 richtet sich gegen die Nichtbefolgung beziehungsweise die Ablehnung seiner Empfehlungen vom 26. April 2018 durch die Beklagte. 1.3 Die Aktivlegitimation des Klägers zur Klageerhebung im Privatrechts- bereich ergibt sich direkt aus Art. 29 Abs. 4 DSG. Passivlegitimiert können (neben dem Kläger) nur jene Datenbearbeiter sein, die formell und materi- ell Adressat der umstrittenen Empfehlung sind und diese nicht befolgen oder ablehnen. Die Legitimation der Parteien wird – anders als im Zivilpro- zess – als subjektive Prozessvoraussetzung betrachtet, bei deren Fehlen ein Nichteintretensentscheid zu fällen ist (Urteil des Bundesverwaltungs- gerichts A-7040/2009 vom 30. März 2011 E. 4.3.1 m.w.H.; DAVID ROSENT- HAL, Handkommentar Datenschutzgesetz, Art. 29, Rz. 42). 1.4 Die Beklagte stellt sich auf den Standpunkt, das vom Kläger gestellte Rechtsbegehren 2 sei mangels Aktivlegitimation unzulässig. Als erstes ist daher zu prüfen, ob die Rechtsbegehren des Klägers, wie sie formuliert sind, zulässig sind. 1.5 Bearbeiten im Sinne von Art. 2 Abs. 1 DSG bedeutet jeder Umgang mit Personendaten, unabhängig von den angewandten Mitteln und Verfahren, insbesondere das Beschaffen, Aufbewahren, Verwenden, Umarbeiten, Be- kanntgeben, Archivieren oder Vernichten von Daten (Art. 3 Bst. e DSG). Es steht ausser Zweifel und ist nicht bestritten, dass die Beschaffung von Postleitzahl, Geburtsdatum und Versichertennummer von Teilnehmerinnen und Teilnehmern am Programm Helsana+ sowie die weiteren im Rahmen des Programms vorgenommenen Bearbeitungen von Daten von am Pro- gramm teilnehmenden Personen, Bearbeitungen im Sinne von Art. 3 Bst. e DSG darstellen. 1.6 1.6.1 Die Beklagte bestreitet die Aktivlegitimation des Klägers bezüglich des Rechtsbegehrens 2. Sie macht geltend, es gehe bei diesem Klagebe- gehren nicht um eine Bearbeitungsmethode im Sinne von Seite 5 A-3548/2018 Art. 29 Abs. 1 DSG, sondern um die Rechtmässigkeit des Endzwecks der Datenbearbeitung, für deren Beurteilung der Kläger über keine Klagelegi- timation verfüge. 1.6.2 Der Kläger hält dem entgegen, es werde eine Angelegenheit nach Art. 29 Abs. 4 DSG zum Entscheid vorgelegt, die auf einer nicht befolgten Empfehlung im Sinne dieser Bestimmung beruhe. Nach diesem Absatz zielten die Empfehlungen darauf ab, das Bearbeiten von Personendaten zu ändern oder zu unterlassen. Dies werde in den Rechtsbegehren ver- langt. Das Kriterium des Systemfehlers nach Art. 29 Abs. 1 DSG sei erfüllt. 1.6.3 Voraussetzung für die Kontrolltätigkeiten – Abklärungen, Empfehlun- gen und Klagen – des Klägers im Privatrechtsbereich ist, dass ein „Sys- temfehler“ vorliegt. „Systemfehler" bedeutet in diesem Zusammenhang die Eignung, eine grössere Anzahl von Personen in ihrer Persönlichkeit zu ver- letzen (Art. 29 Abs. 1 Bst. a DSG; vgl. Urteil des Bundesverwaltungsge- richts A-7040/2009 vom 30. März 2011 E. 1.1). Diese Voraussetzung spiegelt die Absicht des Gesetzgebers, die Verlet- zung der Persönlichkeitsrechte im Privatrechtsbereich im Einzelfall der in- dividuellen Klage des Einzelnen zu überlassen und den Kläger nur in Fällen zu Kontrolltätigkeiten zu ermächtigen, in denen aufgrund der grossen An- zahl potentiell betroffener Personen ein öffentliches Interesse an dessen Tätigwerden besteht (Botschaft des Bundesrates vom 23. März 1988 zum Bundesgesetz über den Datenschutz, BBl 1988 II 413, 435 und 479; BRUNO BAERISWYL, in: Bruno Baeriswyl/Kurz Pärli [Hrsg.], Handkommentar Datenschutzgesetz, Art. 29, Rz. 12 und 17 [nachfolgend: BEARBEITER, Handkommentar DSG]; RENÉ HUBER, in: Urs Maurer-Lambrou/Gabor P. Blechta, Basler Kommentar Datenschutzgesetz/Öffentlichkeitsgesetz, Art. 29, Rz. 7 [nachfolgend: BEARBEITER, BSK DSG]). Dabei stand in den parlamentarischen Beratungen insbesondere die elektronische Datenbear- beitung im Fokus (vgl. AB 1991 S 1064). Eine weitergehende Einschrän- kung des Gegenstandes der Kontrolle durch den Kläger ist demgegenüber aus der Formulierung in Art. 29 Abs. 1 Bst. a DSG nicht abzuleiten. Darauf deutet auch die Verwendung des Begriffs der „Persönlichkeitsverletzung“ in Art. 29 Abs. 1 Bst. a DSG hin. Dieser verweist auf die Grundnorm in Art. 12 DSG, welche wiederum auf die Datenbearbeitung im Sinne von Art. 3 Bst. e DSG und die Grundsätze der Datenbearbeitung in Art. 4 DSG verweist. Seite 6 A-3548/2018 Dies zeigt, dass alle Datenbearbeitungen und deren Rechtmässigkeit Ge- genstand der Kontrolltätigkeit des Klägers sein können (BAERISWYL, Hand- kommentar DSG, Art. 29, Rz. 4; HUBER, BSK DSG, Art. 29 Rz. 12). Gegen- stand der Sachverhaltsabklärungen können alle Datenbearbeitungen im Sinne von Art. 3 Bst. e DSG sein, solange diese potentiell eine grössere Anzahl von Personen betreffen. Im Fokus stehen Konzeption, Inhalt sowie Art und Weise von Datenbearbeitungen (BAERISWYL, Handkommentar DSG, Art. 29, Rz. 14; HUBER, BSK DSG, Art. 29, Rz. 7a). Der Begriff der „Bearbeitungsmethode“ schränkt den Gegenstand möglicher Sachver- haltsabklärungen des Klägers nicht ein, sondern verweist lediglich darauf, dass sich die Datenbearbeitung nicht auf einzelne Fälle beziehen darf, son- dern diese methodisch, mithin wiederkehrend, erfolgen muss. Beim Ent- scheid, ob ein Systemfehler vorliegt, hat der Kläger grundsätzlich einen weiten Ermessensspielraum, sein Entscheid muss jedoch begründet und nachvollziehbar sein (BAERISWYL, Handkommentar DSG, Art. 29, Rz. 18), was vorliegend der Fall ist. Ob die von der Beklagten im Rahmen des Pro- gramms Helsana+ vorgenommenen Bearbeitungen von Personendaten gegen den Grundsatz der Rechtmässigkeit von Art. 4 Abs. 1 DSG verstos- sen, ist demgegenüber eine Frage des materiellen Rechts. 1.7 Dass vorliegend eine grosse Anzahl Personen betroffen sind, wird von der Beklagten nicht bestritten. Darüber hinausgehende Voraussetzungen für Abklärungen und Empfehlungen – und entsprechend auch für Klagen – des Klägers ergeben sich aus Art. 29 DSG wie ausgeführt nicht. Entspre- chend war der Kläger zur Erteilung der Empfehlungen ermächtigt und ist zur vorliegenden Klage legitimiert. Die Aktivlegitimation des Klägers ist da- mit auch bezüglich des Rechtsbegehrens 2 zu bejahen. 1.8 Die Beklagte ist formelle und materielle Adressatin der Empfehlungen des Klägers vom 26. April 2018, deren Umsetzung sie gemäss Schreiben an den Kläger vom 22. Mai 2018 ablehnt. Dass die Beklagte sich bereit erklärte, den Registrierungsprozess bis zum Vorliegen eines rechtskräfti- gen Urteils ohne Anerkennung einer Rechtspflicht anzupassen (vgl. Schrei- ben der Beklagten an den Kläger vom 22. Mai 2018), ändert daran nichts. Die Beklagte ist demnach passivlegitimiert. 1.9 Die Klage ist an keine bestimmte Frist gebunden und wurde vom Kläger nicht ungebührlich hinausgezögert (vgl. HUBER, BSK DSG, Art. 29, Rz. 34 f.). Sie genügt zudem den Formerfordernissen (Art. 23 BZP) und ist damit zulässig. Seite 7 A-3548/2018 2. Das Verfahren vor dem Bundesverwaltungsgericht richtet sich gemäss Art. 44 Abs. 1 VGG grundsätzlich nach den Art. 3-73 und den Art. 79-85 des Bundesgesetzes vom 4. Dezember 1947 über den Bundeszivilprozess (BZP, SR 273). Obwohl im Bundeszivilprozess der Richter sein Urteil grundsätzlich nur auf Tatsachen gründen darf, die im Verfahren geltend ge- macht worden sind (Art. 3 Abs. 2 BZP), gilt vor Bundesverwaltungsgericht infolge der spezialgesetzlichen Bestimmung von Art. 44 Abs. 2 VGG der Grundsatz der Sachverhaltsabklärung von Amtes wegen. 3. 3.1 Personendaten dürfen nur rechtmässig bearbeitet werden. Ihre Bear- beitung hat nach Treu und Glauben zu erfolgen und muss verhältnismässig sein. Sie dürfen nur zu dem Zweck bearbeitet werden, der bei der Beschaf- fung angegeben wurde, aus den Umständen ersichtlich oder gesetzlich vorgesehen ist. Die Beschaffung von Personendaten und insbesondere der Zweck ihrer Bearbeitung müssen für die betroffene Person erkennbar sein. Ist für die Bearbeitung von Personendaten die Einwilligung der betroffenen Person erforderlich, so ist diese Einwilligung erst gültig, wenn sie nach an- gemessener Information freiwillig erfolgt. Bei der Bearbeitung von beson- ders schützenswerten Personendaten oder Persönlichkeitsprofilen muss die Einwilligung zudem ausdrücklich erfolgen (Art. 4 DSG). 3.2 Eine private Person, die Personendaten bearbeitet, darf dabei die Per- sönlichkeit der betroffenen Personen nicht widerrechtlich verletzen (Art. 12 Abs. 2 DSG). Sie darf insbesondere nicht Personendaten entgegen den Grundsätzen der Art. 4, 5 Abs. 1 und 7 Abs. 1 bearbeiten (Art. 12 Abs. 2 Bst. a DSG). Eine Verletzung der Persönlichkeit ist widerrechtlich, wenn sie nicht durch Einwilligung des Verletzten, durch ein überwiegendes pri- vates oder öffentliches Interesse oder durch Gesetz gerechtfertigt ist (Art. 13 Abs.1 DSG). 3.3 Organe des Bundes dürfen Personendaten bearbeiten, wenn dafür eine gesetzliche Grundlage besteht (Art. 17 Abs. 1 DSG). Sie dürfen Per- sonendaten nur bekannt geben, wenn dafür eine Rechtsgrundlage im Sinne von Art. 17 DSG besteht oder wenn die betroffene Person im Einzel- fall eingewilligt hat (Art. 19 Abs. 1 Bst. b DSG). Bundesorgane sind Behör- den und Dienststellen des Bundes sowie Personen, soweit sie mit öffentli- chen Aufgaben des Bundes betraut sind (Art. 3 Bst. h DSG). Seite 8 A-3548/2018 4. 4.1 Der Kläger macht bezüglich des Rechtsbegehrens 1 geltend, der Zu- griff der Beklagten auf Daten aus der obligatorischen Krankenpflegeversi- cherung im Rahmen des Registrierungsprozesses für das Programm Hels- ana+ verstosse gegen das Datenschutzgesetz. Die Beklagte sei diesbe- züglich als Bundesorgan im Sinne von Art. 3 Bst. h DSG anzusehen. Für diese Datenübertragung bestehe keine gesetzliche Grundlage im Sinne von Art. 17 Abs. 1 DSG, weshalb diese rechtswidrig sei. Der Rechtsgültig- keit einer Einwilligung stehe deren fehlende Freiwilligkeit entgegen, weil sie zwingend mit dem Zugang zum Programm gekoppelt sei. Es handle sich zudem um eine Globalzustimmung zu den Nutzungsbestimmungen für das App-Programm, aus der nicht auf eine gültige Einwilligung für Zugriffe auf Personendaten von Grundversicherern geschlossen werden könne. Ebenso wenig könne aus dieser Globalzustimmung eine Befugnis der Grundversicherungsgesellschaften abgeleitet werden, Personendaten weiterzugeben, die von ihnen als Bundesorgan bearbeitet würden. 4.2 Die Beklagte hält dem entgegen, sie sei kein Bundesorgan, es seien entsprechend die Bestimmungen für das Bearbeiten von Personendaten durch private Personen anzuwenden. Zum Nachweis einer Versicherungs- beziehung müssten die Teilnehmerinnen und Teilnehmer des Programms Helsana+ bei der Registrierung Postleitzahl, Geburtsdatum und Versicher- tennummer angeben. Bei Teilnehmerinnen und Teilnehmern, die bei einer Versicherungsgesellschaft der Helsana-Gruppe grundversichert seien, prüfe sie diese Angaben mehrmals jährlich automatisiert. Indem die Teil- nehmerinnen und Teilnehmer die Nutzungsbestimmungen bei der Regist- rierung akzeptierten, gäben sie ihre Einwilligung dazu, dass die Beklagte auf Versichertendaten bei den anderen Versicherungsgesellschaften der Helsana-Gruppe zugreifen dürfe. Damit würden sie implizit auch darin ein- willigen, dass die Grundversicherung den entsprechenden Zugriff gestatte. Die Teilnahme am Programm Helsana+ sei zudem freiwillig. Entsprechend sei ihre Datenbearbeitung gemäss Art. 13 Abs. 1 DSG durch Einwilligung gerechtfertigt. 4.3 Es ist unbestritten, dass sich die Beklagte im Rahmen des Registrie- rungsprozesses für das Programm Helsana+ gewisse Personendaten der Teilnehmerinnen und Teilnehmer von anderen Versicherungsgesellschaf- ten der Helsana-Gruppe beschafft, welche die betroffenen Personen im Rahmen ihrer obligatorischen Krankenpflegeversicherung mitgeteilt haben (Postleitzahl, Geburtsdatum, Versichertennummer). Diese Personendaten Seite 9 A-3548/2018 geben die Teilnehmerinnen und Teilnehmer gleichzeitig der Beklagten sel- ber bekannt, welche diese anschliessend mit den Daten bei der entspre- chenden Versicherungsgesellschaft der Helsana-Gruppe abgleicht. Der Abgleich geschieht nach der Registrierung automatisiert mehrmals jährlich zur Kontrolle, ob die Teilnehmerinnen und Teilnehmer (weiterhin) eine ob- ligatorische Krankenpflegeversicherung bei einer Versicherungsgesell- schaft der Helsana-Gruppe haben. Zudem bekommen die Teilnehmerinnen und Teilnehmer am Programm Helsana+ Pluspunkte, wenn sie längere Zeit eine Vertragsbeziehung mit einer Versicherungsgesellschaft der Helsana- Gruppe haben; auch in diesem Zusammenhang beschafft sich die Beklagte Personendaten bei den anderen Versicherungsgesellschaften der Hels- ana-Gruppe. Unbestritten ist zudem, dass die Beklagte im Rahmen des Registrierungs- prozesses über die App eine Einwilligung für die Beschaffung der Perso- nendaten von Teilnehmerinnen und Teilnehmern einholt, die bei anderen Versicherungsgesellschaften der Helsana-Gruppe versichert sind. Die „Nutzungs- und Datenschutzbestimmungen für Helsana+ App V1.0“ ent- halten diesbezüglich die folgenden Bestimmungen: Unter dem Titel „Welche Daten sammelt die Helsana im Rahmen der Hels- ana+ App?“ führen die Bestimmungen in Ziff. B.3.1. aus: „[…] Für die Registrierung und Identifikation des Nutzers zur Vollversion ist die Angabe der Versichertennummer, der PLZ und des Geburtsdatums sowie der E-Mail-Adresse erforderlich. Helsana ist berechtigt, zwecks Identifikation des Nutzers Einblick in die ent- sprechenden Daten der jeweiligen Versicherungsgesellschaften der Helsana- Gruppe zu nehmen.“ In Ziff. B.4 „Einwilligung zum Abgleich mit Versichertendaten des Nutzers“ halten die Bestimmungen fest: „Der Nutzer stimmt ausdrücklich zu, dass Helsana im Rahmen der Abwicklung der Helsana+ App auf die bei den Versicherungsgesellschaften der Helsana- Gruppe vorhandenen Versichertendaten des Nutzers zurückgreifen darf.“ Im Zusammenhang mit den Pluspunkten, welche die Teilnehmerinnen und Teilnehmer am Programm für „langjährige Treue“ erhalten können, sieht Ziff. A.7.1.4 vor: Seite 10 A-3548/2018 „Der Nutzer ermächtigt Helsana hiermit ausdrücklich, den dafür notwendigen Abgleich mit den bei den Versicherungsgesellschaften der Helsana-Gruppe vorhandenen einschlägigen Nutzerdaten vorzunehmen.“ Zudem sieht Ziff. A.9.1 unter dem Titel „Arten des Nachweises“ (von zu Pluspunkten berechtigenden Aktivitäten) vor: „[…] Die Bepunktung z.B. für Vertragstreue erfolgt automatisch durch Helsana (vgl. Zifffer 7.1.4). Der Nutzer ermächtigt hierfür Helsana, Einblick in die bei den Versicherungsgesellschaften der Helsana-Gruppe vorhandenen einschlä- gigen Nutzerdaten zu nehmen.“ 4.4 Es ist zu prüfen, ob die Beklagte durch den Abgleich von Personenda- ten der Teilnehmerinnen und Teilnehmer am Programm Helsana+ mit bei einer anderen Versicherungsgesellschaft der Helsana-Gruppe gespeicher- ten Personendaten gegen das Datenschutzgesetz verstösst. 4.5 4.5.1 Vorab ist zu klären, ob auf die Beklagte vorliegend die Regeln bezüg- lich das Bearbeiten von Personendaten durch private Personen (Art. 12 ff. DSG) oder diejenigen für das Bearbeiten von Personendaten durch Bun- desorgane (Art. 16 ff. DSG) zur Anwendung kommen. 4.5.2 Der Kläger bringt vor, soweit die Beklagte Personendaten im Rahmen der obligatorischen Krankenpflegeversicherung nach dem Krankenversi- cherungsgesetz bearbeite, kämen die Bestimmungen bezüglich Bundesor- gane zur Anwendung. 4.5.3 Die Beklagte hält dem entgegen, als Bundesorgan würden Kranken- versicherungen nur dann gelten, wenn sie Aufgaben der obligatorischen Krankenpflegeversicherung wahrnehmen und dem Krankenversicherungs- gesetz unterstehen würden. Sie sei jedoch ausschliesslich mit Zusatzver- sicherungen tätig und nehme keine Aufgaben im Bereich der obligatori- schen Krankenpflegeversicherung wahr. Daran ändere auch nichts, dass sie ihm Rahmen von Helsana+ auf Daten aus dem Bereich der obligatori- schen Krankenpflegeversicherung zugreife. Dieser Zugriff erfolge nicht in Anwendung des Krankenversicherungsgesetzes, sondern im Rahmen ih- rer Tätigkeit als Zusatzversicherung. Auch würden keine Aufgaben der ob- ligatorischen Krankenpflegeversicherung auf sie übertragen. 4.5.4 Bundesorgane sind Behörden und Dienststellen des Bundes sowie Personen, soweit sie mit öffentlichen Aufgaben des Bundes betraut sind (Art. 3 Bst. h DSG). Natürliche und juristische Personen gelten mithin für Seite 11 A-3548/2018 die Zwecke des Datenschutzgesetzes als Bundesorgane, soweit sie durch Bundesgesetze mit Verwaltungsaufgaben betraut sind (Art. 2 Abs. 4 des Regierungs- und Verwaltungsorganisationsgesetzes vom 21. März 1997 [RVOG, SR 172.010]). Sie gelten aber nur insoweit als Bundesorgane, als sie Personendaten für die Erfüllung einer öffentlichen Aufgabe bearbeiten, in allen anderen datenschutzrechtlichen Bereichen unterliegen sie dem Pri- vatrecht (MAURER-LAMBROU/KUNZ, BSK DSG, Art. 2, Rz. 14). Entschei- dend bei der Beurteilung, ob eine Person als Bundesorgan handelt, ist die Rechtsnatur des der Datenbearbeitung zugrunde liegenden Verhältnisses zwischen Datenbearbeiterin und betroffener Person. Ist dieses Verhältnis öffentlich-rechtlicher Natur, gilt die Datenbearbeiterin als öffentliches Organ (RUDIN, Handkommentar DSG, Art. 2, Rz. 15 und 17). 4.5.5 Krankenkassen und private Versicherungsunternehmen, die dem Bundesgesetz vom 17. Dezember 2004 betreffend die Aufsicht über Versi- cherungsunternehmen (Versicherungsaufsichtsgesetz, VAG, SR 961.01) unterstehen, gelten als Bundesorgane, wenn sie über eine Bewilligung zur Durchführung der sozialen Krankenversicherung nach Art. 4 des Bundes- gesetzes vom 26. September 2014 betreffend die Aufsicht über die soziale Krankenversicherung (KVAG, SR 832.12) verfügen (vgl. MAURER- LAMBROU/KUNZ, BSK DSG, Art. 2, Rz. 15; vgl. BGE 144 V 388 E. 4.1). Die Beklagte bietet unbestrittenermassen keine obligatorischen Krankenversi- cherungen an. Ebenso wenig wurden ihr durch einen obligatorischen Kran- kenpflegeversicherer Aufgaben im Bereich der obligatorischen Kranken- pflegeversicherung übertragen. Keine der Datenbearbeitungen, welche die Beklagte im Rahmen des Programms Helsana+ vornimmt, beruht auf durch das Krankenversicherungsgesetz geregelten Aufgaben. Das Rechtsverhältnis zwischen der Beklagten und den betroffenen Personen ist entsprechend nicht öffentlich-rechtlicher Natur. Dies gilt auch für den Abgleich von Angaben der betroffenen Personen mit Personendaten, die eine andere Versicherungsgesellschaft der Helsana-Gruppe im Rahmen der Durchführung der obligatorischen Krankenpflegeversicherung bearbei- tet. Auch in diesen Fällen ist das Verhältnis der betroffenen Personen und der Beklagten privatrechtlicher Natur, die Beklagte nimmt weder öffentliche Aufgaben (zum Beispiel im Rahmen der obligatorischen Krankenpflegever- sicherung) wahr noch handelt sie hoheitlich. Die Beklagte handelt entspre- chend vorliegend nicht als Bundesorgan. Seite 12 A-3548/2018 4.5.6 Entsprechend finden auf die Datenbearbeitungen durch die Beklagte im Rahmen des Programms Helsana+ die datenschutzrechtlichen Bestim- mungen bezüglich das Bearbeiten von Personendaten durch private Per- sonen der Art. 12 ff. DSG Anwendung. 4.6 Der Zugriff der Beklagten auf Personendaten der Teilnehmerinnen und Teilnehmer am Programm Helsana+, die andere Versicherungsgesell- schaften der Helsana-Gruppe im Rahmen ihrer Tätigkeit bearbeiten, ist sei- nerseits eine Bearbeitung von Personendaten im Sinne von Art. 3 Bst. e DSG. Entsprechend hat die Beklagte dabei die Grundsätze von Art. 4 DSG zu beachten und sie darf keine widerrechtlichen Persönlichkeitsverletzun- gen im Sinne von Art. 12 f. DSG begehen. Eine Datenbeschaffung ist im- mer dann rechtswidrig im Sinne von Art. 4 Abs.1 DSG, wenn gegen irgend- eine datenschutzrechtliche Rechtsnorm verstossen wird; jegliche Weiter- bearbeitung rechtswidrig beschaffter Daten ist grundsätzlich ebenfalls rechtswidrig (vgl. dazu ausführlich E. 5.4; AURER-LAMBROU/STEINER, BSK DSG, Art. 4, Rz. 6; EVA MARIA BELSER/ASTRID EPINEY/BERNHARD W ALD- MANN, Datenschutzrecht, 2011, S. 520 f.; DAVID ROSENTHAL, Handkom- mentar Datenschutzgesetz, Art. 4, Rz. 6 ff.). 4.7 Bearbeitet die Beklagte im Rahmen von Helsana+ Personendaten, die bei einer anderen Versicherungsgesellschaft der Helsana-Gruppe im Rah- men der obligatorischen Krankenpflegeversicherung gespeichert sind, steht dies im Konflikt mit dem Grundsatz der Zweckbindung nach Art. 4 Abs. 3 DSG. Durch die zitierten Bestimmungen aus den „Nutzungs- und Datenschutzbestimmungen Helsana+ App V1.0“ holt die Beklagte für sich selber eine Einwilligung der Teilnehmerinnen und Teilnehmer am Pro- gramm Helsana+ zur Bearbeitung der entsprechenden Nutzerdaten ein. Die Einwilligung erfolgt entgegen den Vorbringen des Klägers freiwillig, da der Nachteil, der bei einer Nichteinwilligung droht – die Unmöglichkeit der Teilnahme am Programm Helsana+ – einen direkten Bezug zu den Daten aufweist, für deren Bearbeitung die Einwilligung eingeholt wird und damit kein unzulässiger Zwang zur Erteilung der Einwilligung vorliegt (vgl. dazu BGE 138 I 331 E. 7.4.1; MAURER-LAMBROU/STEINER, BSK DSG, Art. 4, Rz. 16f): Ohne die Beschaffung der Personendaten kann die Beklagte nicht kontrollieren, ob eine Versichertenbeziehung zu einer andern Versiche- rungsgesellschaft der Helsana-Gruppe vorliegt, was wiederum eine Vo- raussetzung für die Teilnahme am Programm Helsana+ darstellt, und zu Bonuspunkten im Rahmen des Programms berechtigt. Der Umstand allein, dass die Beklagte für die Teilnahme am Programm mit geldwerten Vorteilen und insbesondere mit Bargeldboni wirbt (in der Höhe von maximal Fr. 75.– Seite 13 A-3548/2018 pro Jahr bei nur grundversicherten Personen), stellt ebenfalls keinen unzu- lässigen Zwang dar. Die Beklagte verfügt damit für die Beschaffung der Personendaten über eine Einwilligung der betroffenen Personen. Beschafft sich die Beklagte bei den Versicherungsgesellschaften der Hels- ana-Gruppe, die im Bereich der obligatorischen Krankenpflegeversiche- rung tätig sind, Personendaten, welche diese im Rahmen der obligatori- schen Krankenpflegeversicherung gespeichert haben, stellt dieser Vor- gang gleichzeitig eine Bekanntgabe von Daten dar. Entsprechend kann die Beschaffung dieser Personendaten durch die Beklagte nur rechtmässig sein, wenn auch die Bekanntgabe der Personendaten rechtmässig ist. Zu prüfen ist deshalb, ob die anderen Versicherungsgesellschaften der Hels- ana-Gruppe, die im Bereich der obligatorischen Krankenpflegeversiche- rung tätig sind, zur Herausgabe der Personendaten an die Beklagte be- rechtigt sind. 4.8 4.8.1 Die Versicherungsgesellschaften der Helsana-Gruppe, die im Ge- schäft mit obligatorischen Krankenpflegeversicherungen tätig sind, sind für die hier vorliegenden Belange als Bundesorgane im Sinne von Art. 3 Bst. h DSG zu behandeln (vgl. E. 4.5.5), womit die Art. 16 ff. DSG zur Anwendung kommen. Entsprechend dürfen sie gemäss den datenschutzrechtlichen Bestimmungen für Bundesorgane Personendaten nur bearbeiten, wenn dafür eine gesetzliche Grundlage besteht (Art. 17 Abs. 1 DSG). Obligatori- sche Krankenpflegeversicherungen sind nach Art. 84 des Bundesgesetzes vom 18. März 1994 über die Krankenversicherung (Krankenversicherungs- gesetz, KVG, SR 832.10) befugt, die Personendaten zu bearbeiten oder bearbeiten zu lassen, die sie benötigen, um die ihnen nach dem Kranken- versicherungsgesetz übertragenen Aufgaben zu erfüllen. Nach Art. 33 des Bundesgesetzes vom 6. Oktober 2000 über den Allgemeinen Teil des So- zialversicherungsrechts (ATSG, SR 830.1) haben Personen, die an der Durchführung sowie der Kontrolle oder der Beaufsichtigung der Durchfüh- rung der Sozialversicherungsgesetze beteiligt sind, gegenüber Dritten Ver- schwiegenheit zu bewahren. Gemäss Art. 84a Abs. 5 Bst. b KVG dürfen Organe, die mit der Durchführung des Krankenversicherungsgesetzes be- traut sind, Personendaten in Abweichung von Art. 33 ATSG an Dritte be- kannt geben, sofern die betroffene Person im Einzelfall schriftlich eingewil- ligt hat. Nach Art. 19 Abs. 1 Bst. b DSG dürfen Bundesorgane Personen- daten nur bekannt geben, wenn dafür eine Rechtsgrundlage besteht oder wenn die betroffene Person im Einzelfall eingewilligt hat. Seite 14 A-3548/2018 4.8.2 Da es sich bei der Helsana Versicherungen AG und der Progrès Ver- sicherungen AG ebenso wie bei der Beklagten um juristische Personen handelt, gilt die Bekanntgabe von Personendaten einer dieser Versiche- rungsgesellschaften an die Beklagte als Bekanntgabe an eine dritte Per- son. Die Bekanntgabe der Personendaten aus der obligatorischen Kran- kenpflegeversicherung erfolgt vorliegend nicht in Ausübung einer durch das Krankenversicherungsgesetz übertragenen Aufgabe. Auch eine Aus- nahme von der sozialversicherungsrechtlichen Verschwiegenheitspflicht gemäss den Absätzen 1-4 von Art. 84a KVG liegt nicht vor. Eine Ausnahme von der sozialversicherungsrechtlichen Verschwiegenheitspflicht ist damit vorliegend nur unter den kumulativen Voraussetzungen von Art. 19 Abs. 1 DSG und Art. 84a Abs. 5 Bst. b KVG rechtmässig, das heisst, wenn die be- troffene Person im Einzelfall schriftlich zugestimmt hat. 4.8.3 Die Nutzungs- und Datenschutzbestimmungen von Helsana+ bein- halten keine explizite Einwilligung in die Bekanntgabe von Personendaten aus der obligatorischen Krankenpflegeversicherung an die Beklagte. Dass die Einwilligung auch für die Datenbearbeitung durch andere Personen als die Beklagte gilt – nämlich für weitere Versicherungsgesellschaften der Helsana-Gruppe –, erwähnen die Bestimmungen nicht, was grundsätzlich nicht einer transparenten Information im Sinne von Art. 4 Abs. 5 DSG ent- spricht. Da die Datenbeschaffung durch die Beklagte und die Datenbe- kanntgabe durch die obligatorische Krankenpflegeversicherungen jedoch eine Einheit bilden, kann vorliegend trotzdem davon ausgegangen werden, dass den Teilnehmerinnen und Teilnehmern am Programm Helsana+ hin- reichend klar ist, dass ihre Einwilligung nicht nur die Datenbeschaffung durch die Beklagte, sondern auch die Bekanntgabe dieser Daten durch die obligatorische Krankenpflegeversicherung beinhaltet. Aus den Nutzungs- und Datenschutzbestimmungen des Programms Helsana+ kann damit zu- mindest eine implizite Einwilligung in die Bekanntgabe der Personendaten durch die obligatorische Krankenpflegeversicherung an die Beklagte abge- leitet werden. 4.8.4 Hingegen ist festzustellen, dass die Einwilligung in die Datenbekannt- gabe durch die obligatorische Krankenpflegeversicherung nicht, wie von Art. 19 Abs. 1 DSG und Art. 84a Abs. 5 Bst. b KVG gefordert, im Einzelfall geschieht. Die Beklagte fragt die Daten nach eigenen Angaben mehrmals jährlich in einem automatisierten Prozess bei den anderen Versicherungs- gesellschaften der Helsana-Gruppe ab. Damit handelt es sich nicht um ei- nen Einzelfall (vgl. GEBHARD EUGSTER, Verwaltungsverfahren und Rechts- pflege, in: Ulrich Meyer [Hrsg.], Soziale Sicherheit, 3. Aufl. 2016, S. 871), Seite 15 A-3548/2018 die Einwilligung gilt im Gegenteil für einen unbefristeten Zeitraum und eine unbekannte Anzahl Bekanntgaben. Die Einwilligung in die Bekanntgabe respektive in die Beschaffung der Da- ten in Ziff. B.4 der Nutzungs- und Datenschutzbestimmungen beschränkt sich zudem nicht auf die von der Beklagten genannten drei Datenpunkte (Postleitzahl, Versichertennummer und Geburtsdatum des Nutzers). Die Klausel enthält keine einschränkenden Verweise auf den Zweck der Da- tenbearbeitung oder andere Bestimmungen, sondern ist breit und ohne Einschränkungen formuliert. Die Beklagte holt damit eine über den notwen- digen Zweck der Datenbearbeitung hinausgehende Einwilligung ein. Er- schwerend kommt hinzu, dass sich die Einwilligung, auf mehrere Bestim- mungen verteilt, in den umfangreichen Nutzungs- und Datenschutzbestim- mungen befindet, welche die Teilnehmerinnen und Teilnehmer durch Ankli- cken einer Schaltfläche in der Helsana+-App genehmigen. Dieses Vorge- hen erschwert es den Teilnehmerinnen und Teilnehmern, zu erkennen, in welche Datenbearbeitungen sie einwilligen. Aus diesen Gründen entspricht die Einwilligung nicht den Voraussetzung einer angemessenen Information für die Gültigkeit einer Einwilligung nach Art. 4 Abs. 5 DSG. Schliesslich erfolgt die Einwilligung nicht wie in Art. 84a Abs. 5 KVG gefor- dert, schriftlich, sondern auf der Helsana+-App durch Anklicken einer Schaltfläche. Damit fehlt es der Einwilligung aufgrund der fehlenden eigen- händigen Unterschrift an der Schriftlichkeit (Art. 14 OR). Insgesamt liegt damit keine gültige Einwilligung in die Bekanntgabe von Personendaten aus der obligatorischen Krankenpflegeversicherung an Dritte vor, entsprechend ist die Beschaffung solcher Daten durch die Be- klagte unrechtmässig im Sinne von Art. 4 Abs.1 DSG. 4.9 Zusammenfassend ist festzuhalten, dass die Beschaffung von Daten durch die Beklagte bei den Grundversicherern der Helsana-Gruppe im Rahmen des Programms Helsana+ insofern unrechtmässig ist, als keine den datenschutzrechtlichen Vorschriften von Art. 19 DSG und Art. 84a Abs. 5 KVG genügende Einwilligung der betroffenen Personen für die Be- kanntgabe der im Rahmen der obligatorischen Krankenpflegeversicherung gesammelten Daten vorliegt. Die Beklagte verstösst folglich mit der Be- schaffung dieser Daten gegen Art. 4 Abs. 1 DSG und begeht eine wider- rechtliche Persönlichkeitsverletzung im Sinne von Art. 12 DSG. Seite 16 A-3548/2018 Das Rechtsbegehren 1 ist entsprechend insoweit gutzuheissen, als der Kläger darin fordert, die Beklagte habe im Rahmen des Programms Hels- ana+ die Entgegennahme und Weiterbearbeitung von Personendaten der Helsana Grundversicherung zu unterlassen. Soweit der Kläger zudem be- antragt, der Beklagten sei zu verbieten, Einwilligungen zu dieser Datenbe- arbeitung einzuholen ist ihm hingegen nicht zu folgen. Es ist nicht am Klä- ger oder am Bundesverwaltungsgericht, der Beklagten zu verbieten, Ein- willigungen zu gewissen Datenbearbeitungen einzuholen. Einwilligungen sind entweder rechtsgültig oder nicht, ein Verbot, solche einzuholen, kann aus den Bestimmungen des Datenschutzgesetzes jedoch nicht abgeleitet werden. 5. 5.1 Der Kläger macht bezüglich seines Rechtsbegehrens 2 geltend, bei den Boni, die an die Teilnehmerinnen und Teilnehmer des Programms Helsana+ ausbezahlt würden, die nur eine obligatorische Grundversiche- rung bei einer Versicherungsgesellschaft der Helsana-Gruppe hätten, handle es sich um eine Gegenleistung dafür, dass die Programmteilneh- merinnen und -teilnehmer Prämienzahler einer Helsana-Grundversiche- rung seien. Deshalb laufe die personenbezogene Bearbeitung der Kassen- zugehörigkeitsdaten im Rahmen des Helsana+-Programms bei diesen Personen wirtschaftlich darauf hinaus, ihnen einen Teil ihrer Grundversi- cherungsprämie zurückzuerstatten. Die Prämienmodelle der Grundversi- cherung seien jedoch nach dem Krankenversicherungsgesetz dem Prinzip gleicher Prämien verpflichtet, von dem nur das Gesetz dispensieren könne. Deshalb seien die Rückerstattungen rechtswidrig und entsprechend alle damit zusammenhängenden Bearbeitungen von Personendaten wider- rechtlich. 5.2 Die Beklagte führt demgegenüber aus, sie biete weder Versicherungen aus dem Bereich der obligatorischen Krankenpflegeversicherung an, noch flössen aus der Grundversicherung Finanzmittel in das Programm Hels- ana+. Die Helsana Versicherungen AG und die Progrès Versicherungen AG, die beide Grundversicherungen anböten, seien in den Betrieb des Pro- gramms „Helsana+“ nicht involviert. Der Bonus stehe deshalb bei Grund- versicherten nicht in einem Austauschverhältnis mit der Prämienzahlung. Selbst wenn es sich jedoch um eine unzulässige Prämienrückerstattung handeln würde, wäre die damit verbundene Datenbearbeitung zulässig, da ein widerrechtlicher Endzweck nicht mit einer fehlenden Rechtmässigkeit der Datenbearbeitung gleichzusetzen sei. Seite 17 A-3548/2018 5.3 Es ist zu prüfen, ob die Datenbearbeitung der Beklagten im Rahmen des Programms Helsana+, soweit sie Personen betrifft, die nur eine Grund- versicherung bei einer Versicherungsgesellschaft der Helsana-Gruppe ha- ben, grundsätzlich unrechtmässig im Sinne von Art. 4 Abs. 1 DSG ist, da sie – wie vom Kläger behauptet – zu einem rechtswidrigen Zweck erfolgt, nämlich einer indirekten Rückerstattung von Versicherungsprämien für die obligatorische Krankenpflegeversicherung. 5.4 5.4.1 Gehalt und Umfang des Rechtmässigkeitsgrundsatzes von Art. 4 Abs. 1 DSG sind umstritten (vgl. EVA MARIA BELSER/ASTRID EPINEY/BERN- HARD W ALDMANN, Datenschutzrecht, 2011, S. 520) und damit auf dem Wege der Auslegung zu ermitteln (vgl. BGE 131 II 697 E. 4.1 m.w.H.). 5.4.2 Unbestritten ist, dass eine Datenbearbeitung immer dann unrecht- mässig im Sinne von Art. 4 Abs. 1 DSG ist, wenn der Datenbearbeiter da- bei gegen eine Rechtsnorm verstösst, die den Schutz der Persönlichkeit bezweckt, dies unabhängig davon, ob sich die Rechtsnorm im Daten- schutzgesetz oder in einem anderen Erlass befindet. Nicht geklärt ist je- doch, ob auch der Verstoss gegen eine Rechtsnorm, die nicht (zumindest auch) dem Schutz der Persönlichkeit dient, die Bearbeitung von Personen- daten unrechtmässig macht. Das Bundesgericht hat sich zu dieser Frage bisher nicht geäussert. 5.4.3 Ein Teil der Lehre vertritt – ohne dies weiter zu begründen – die Mei- nung, dass ein Verstoss gegen irgendeine Rechtsnorm als eine unrecht- mässige Datenbearbeitung im Sinne von Art. 4 Abs. 1 DSG anzusehen sei (MAURER-LAMBROU/STEINER, BSK DSG, Art. 4, Rz. 6; EVA MARIA BEL- SER/ASTRID EPINEY/BERNHARD W ALDMANN, Datenschutzrecht, 2011, S. 519 ff.; BAERISWYL, Handkommentar DSG, Art. 4, Rz. 5). Ein anderer Teil der Lehre vertritt demgegenüber die Meinung, dass nur Verstösse ge- gen solche Verhaltensnormen erfasst seien, die direkt oder indirekt auch den Schutz vor einem Eingriff in die Persönlichkeit einer Person bezwe- cken (DAVID ROSENTHAL, Handkommentar Datenschutzgesetz, Art. 4, Rz. 6 f.). Kein Autor und keine Autorin äussert jedoch ausdrücklich die Mei- nung, ein rechtswidriger Zweck der Datenbearbeitung führe in jedem Fall zur Unrechtmässigkeit der entsprechenden Datenbearbeitung, alle Lehr- meinungen stellen vielmehr darauf ab, dass die Datenbearbeitung an sich gegen keine Rechtsnorm verstossen darf. Dies korrespondiert mit dem Seite 18 A-3548/2018 Wortlaut von Art. 4 Abs. 1 DSG, der sich auf die Rechtmässigkeit der Be- arbeitung von Personendaten bezieht und nicht auf den Zweck, zu dem diese bearbeitet werden. Zudem äussert sich, systematisch betrachtet, das Datenschutzgesetz grundsätzlich nicht dazu, zu welchen Zwecken Personendaten bearbeitet werden dürfen und zu welchen nicht. Art. 4 Abs. 3 DSG, der den Grundsatz der Zweckbindung der Bearbeitung von Personendaten enthält, legt ledig- lich fest, dass Personendaten nur zu dem Zweck bearbeitet werden dürfen, der bei der Beschaffung angegeben wurde, aus den Umständen ersichtlich oder gesetzlich vorgesehen ist. Dies im Gegensatz zu Art. 5 Abs. 1 der für die Schweiz nicht verbindlichen Datenschutz-Grundverordnung der EU (Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG, ABl. L 119/1 vom 4.5.2016). Dieser schreibt in Bst. a nicht nur – analog zu Art. 4 Abs. 1 DSG – vor, dass personenbezo- gene Daten auf rechtmässige Weise bearbeitet werden müssen, sondern in Bst. b – im Gegensatz zu Art. 4 Abs. 3 DSG – auch, dass diese nur für „legitime“ Zwecke erhoben werden dürfen. Mit der laufenden Revision des Datenschutzgesetzes verfolgt der Bundesrat unter anderem das Ziel, die Datenschutzbestimmungen der Schweiz an die Datenschutz-Grundverord- nung der EU anzupassen (Botschaft des Bundesrates vom 15. September 2017 zum Bundesgesetz über die Totalrevision des Bundesgesetzes über den Datenschutz und die Änderung weiterer Erlasse zum Datenschutz, BBl 2017 6941, 6998). Soweit anhand des bisherigen Gesetzgebungsver- fahrens ersichtlich, ist jedoch nicht geplant, die Gesetzeslage in dieser Hin- sicht derjenigen in der EU anzupassen. In eine ähnliche Richtung weist eine teleologische Betrachtung von Art. 4 Abs. 1 DSG. Die Datenschutzvorschriften des Datenschutzgesetzes kon- kretisieren insbesondere den verfassungsmässigen Persönlichkeitsschutz im Bereich der Bearbeitung von personenbezogenen Daten. Dabei steht den betroffenen Personen grundsätzlich das Recht auf informationelle Selbstbestimmung zu (Art. 13 Abs. 2 BV und Art. 8 Abs. 1 EMRK), das heisst, jede Person soll selber über ihre eigenen Personendaten bestim- men und verfügen können (vgl. Botschaft des Bundesrates vom 23. März 1988 zum Bundesgesetz über den Datenschutz, BBl 1988 II 413, 417 f.; MAURER-LAMBROU/STEINER, BSK DSG, Art. 4, Rz. 3). Diese allgemeine Zweckrichtung aller Datenschutzvorschriften legt nahe, dass der Recht- mässigkeitsgrundsatz in Art. 4 Abs. 1 DSG sich lediglich darauf bezieht, Seite 19 A-3548/2018 dass das Bearbeiten von Personendaten dann unrechtmässig ist, wenn dabei gegen eine Norm verstossen wird, die zumindest auch dem Schutz der Persönlichkeit der betroffenen Person dient. Die ursprüngliche Botschaft zum Datenschutzgesetz führt in diesem Zu- sammenhang lediglich aus, klar rechtswidrig sei das Beschaffen von Da- ten, wenn es mit Gewalt, Arglist oder Drohung gegenüber der betroffenen Person geschehe, da es sich dabei um Verstösse gegen das Strafgesetz- buch handle (BBl 1988 II 413, 449 f.). Die Botschaft von 2003 zur Anpas- sung von Art. 4 Abs.1 DSG an das Übereinkommen vom 28. Januar 1981 zum Schutz des Menschen bei der automatischen Verarbeitung personen- bezogener Daten (SR 0.235.1; Botschaft des Bundesrates vom 19. Feb- ruar 2003 zur Änderung der Bundesgesetzes über den Datenschutz [DSG]) äussert sich zu dieser Frage nicht (BBl 2003 2101, 2124). Auch den Ratsprotokollen können keine Anhaltspunkte für die Beantwortung dieser Frage entnommen werden (AB 1990 S 139; AB 1991 N 954). 5.4.4 Zusammenfassend ist der Grundsatz der Rechtmässigkeit von Art. 4 Abs. 1 DSG so zu verstehen, dass eine Datenbearbeitung zu einem rechts- widrigen Zweck erst dann unrechtmässig im Sinne des Datenschutzgeset- zes ist, wenn dabei gegen eine Norm verstossen wird, die zumindest auch, direkt oder indirekt, den Schutz der Persönlichkeit einer Person bezweckt. 5.5 Die Versicherer müssen die soziale Krankenversicherung nach dem Grundsatz der Gegenseitigkeit durchführen und die Gleichbehandlung der Versicherten gewährleisten; sie dürfen die Mittel der sozialen Krankenver- sicherung nur zu deren Zwecken verwenden (Art. 5 Bst. f KVAG). Nach Art. 61 Abs. 1 KVG legt der Versicherer die Prämien für seine Versicherten fest. Soweit das Krankenversicherungsgesetz keine Ausnahme vorsieht, erhebt er von seinen Versicherten die gleichen Prämien. Der Versicherer stuft die Prämien gemäss den kantonalen Kostenunterschieden ab (Art. 61 Abs. 2 KVG) und er kann die Prämien regional abstufen (Art. 61 Abs. 2bis KVG). Für Kinder und junge Erwachsene setzt der Versicherer eine tiefere Prämie fest als für die übrigen Versicherten (Art. 61 Abs. 3 KVG). Er kann zudem die Prämien für Versicherungen mit eingeschränkter Wahl des Leis- tungserbringers vermindern (Art. 62 Abs. 1 KVG). Der Bundesrat kann wei- tere Versicherungsformen zulassen (Art. 62 Abs. 2 KVG). Die gesetzliche Logik des Krankenversicherungsgesetzes sieht damit vor, dass jede versicherte Person eine einkommens- und vermögensunabhän- gige Individualprämie entrichtet, es gilt das Prinzip der Einheitsprämie pro Seite 20 A-3548/2018 Versicherer. Die Einheitsprämie bezweckt geschlechtsunabhängig die So- lidarität zwischen kranken und gesunden, jungen und alten Personen. Eine Differenzierung der Prämien nach Beitrittsalter, Geschlecht oder Morbidi- tätsrisiko ist nicht zulässig (GERHARD EUGSTER, Bundesgesetz über die Krankenversicherung, 2010, Art. 61 Rz. 1 f.). Der Grundsatz der Gegensei- tigkeit verlangt als Grundprinzip der sozialen Krankenversicherung insbe- sondere, dass den Versicherten unter den gleichen Voraussetzungen die gleichen Vorteile zu gewähren sind. Der Grundsatz verbietet, dass der Ver- sicherer einem Versicherten einen Vorteil zukommen lässt, den er nicht auch anderen Versicherten gewährt, die sich in vergleichbarer Lage befin- den (vgl. BGE 113 V 205 E. 5b; 113 V 296 E. 2; GUSTAVO SCARTAZ- ZINI/MARC HÜRZELER, Bundessozialversicherungsrecht, 4. Aufl. 2012, S. 355). Die Art. 61 und 62 KVG zur Regelung der Prämien in der obligatorischen Krankenpflegeversicherung dienen der Verwirklichung dieses Grundsatzes der Gegenseitigkeit in der sozialen Krankenversicherung und nicht dem Schutz der Persönlichkeit der Prämienzahler. Dies wird auch zu Recht von keiner Partei behauptet. Die Frage, ob die Beklagte mit dem Programm Helsana+ gegen das Krankenversicherungsgesetz verstösst, ist entspre- chend im Grundsatz keine datenschutzrechtliche Frage. 5.6 Da die Art. 61 und 62 KVG, nicht den Schutz der Persönlichkeit der Prämienzahler bezwecken, würde selbst ein Verstoss gegen diese Bestim- mungen die Datenbearbeitung im Rahmen von Helsana+ nicht unrecht- mässig im Sinne von Art. 4 Abs. 1 DSG machen. Entsprechend ist festzuhalten, dass die Bearbeitung von Personendaten durch die Beklagte im Rahmen des Programms Helsana+ – selbst unter Annahme eines unrechtmässigen Zwecks im Sinne einer Verletzung von Art. 61 beziehungsweise 61 KVG – nicht gegen Art. 4 Abs. 1 DSG verstösst. Das Rechtsbegehren 2 ist entsprechend abzuweisen. 5.7 5.7.1 Unabhängig davon ist zudem nicht ersichtlich, dass die Beklagte mit dem Programm Helsana+ bezüglich Teilnehmerinnen und Teilnehmern, die nur eine obligatorische Grundversicherung bei einer Versicherungsgesell- schaft der Helsana-Gruppe haben, gegen das Krankenversicherungsge- setz verstossen würde. Seite 21 A-3548/2018 5.7.2 Das Bundesamt für Gesundheit BAG, Direktionsbereich Kranken- und Unfallversicherung, hat als für die Aufsicht über die Krankenversiche- rer zuständige Fachbehörde eine Untersuchung zum Programm Helsana+ durchgeführt. In seinem Schreiben vom 14. Februar 2018 teilte das BAG der Helsana Versicherungen AG mit, es schliesse die Untersuchungen ohne Einwände ab. Es habe festgestellt, dass weder die Helsana Versiche- rungen AG noch die Progrès Versicherungen AG vom Programm betroffen seien. Insbesondere würden keine Gelder der sozialen Krankenversiche- rung zweckentfremdet und der Verzicht auf die Teilnahme am Programm führe für versicherte Personen zu keiner Benachteiligung. Die für die Auf- sicht über die Krankenversicherer zuständige Fachbehörde hat beim Pro- gramm Helsana+ damit keine Verletzung von Regeln des Krankenversi- cherungsgesetzes festgestellt. 5.7.3 Die Beklagte ist nicht im Bereich der obligatorischen Krankenpflege- versicherung tätig. Sie ist ebenso wie die Helsana Versicherungen AG und die Progrès Versicherungen AG, die in diesem Bereich tätig sind, als Akti- engesellschaft organisiert. Obwohl alle drei Aktiengesellschaften zu hun- dert Prozent im Eigentum der Helsana AG sind, handelt es sich mithin um eigenständige juristische Personen. Das Programm Helsana+ wird unbe- strittenermassen einzig von der Beklagten durchgeführt, insbesondere be- zahlt sie die Boni im Rahmen des Programms aus ihren eigenen Finanz- mitteln. Es ist damit nicht die obligatorische Krankenpflegeversicherung, die versicherten Personen, die am Programm Helsana+ teilnehmen, geld- werte Vorteile gewährt, sondern eine Drittperson. Die Grundversicherer der Helsana-Gruppe – und damit auch die bei ihnen versicherten Personen, die nicht am Programm Helsana+ teilnehmen – erleiden durch die Auszah- lung der Boni keine finanziellen Nachteile, da jene nicht aus den von den grundversicherten Personen einbezahlten und streng zweckgebundenen Mitteln (vgl. Art. 5 Bst. f KVAG) stammen. Damit liegt vorliegend keine un- zulässige Quersubventionierung zwischen zwei Schwestergesellschaften einer Holding vor (vgl. BGE 144 V 388 E. 5.4.2). Im Gegensatz zur Situa- tion in BGE 144 V 388 verschafft sich die Beklagte respektive verschaffen sich die Grundversicherer der Helsana AG vorliegend durch ihre Hol- dingstruktur keine ungerechtfertigten Vorteile, die den Wettbewerb der Krankenversicherer nach Krankenversicherungsgesetz in unzulässiger Weise beeinträchtigen würden. Soweit die Beklagte den Grundversiche- rern der Helsana-Gruppe durch das Programm wirtschaftliche Vorteile ver- schafft – zum Beispiel dadurch, dass zusätzliche Personen aufgrund der Attraktivität von Helsana+ eine obligatorische Krankenpflegeversicherung abschliessen –, sind diese nicht unzulässig, da ihr Vorgehen nicht gegen Seite 22 A-3548/2018 das Krankenversicherungsgesetz verstösst (vgl. BGE 144 V 388 E. 5.5.2). Aus diesem Grund liegt auch keine rechtsmissbräuchliche Berufung auf die rechtliche Selbständigkeit einer juristischen Person und damit kein Rechts- missbrauch vor. 5.7.4 Das Programm Helsana+ ist damit soweit für das vorliegende daten- schutzrechtliche Verfahren relevant und soweit es Teilnehmerinnen und Teilnehmer betrifft, die nur eine obligatorische Grundversicherung bei einer Versicherungsgesellschaft der Helsana-Gruppe haben, als mit dem Kran- kenversicherungsgesetz vereinbar anzusehen. Letztlich kann diese Frage jedoch offen bleiben, da das das Rechtsbegehren 2 ohnehin abzuweisen ist (vgl. E. 5.6). 6. Zusammenfassend ist das Rechtbegehren 1 im Sinne der E. 4.9 teilweise gutzuheissen und die Beklagte dazu zu verpflichten, im Rahmen des Pro- gramms Helsana+ die Entgegennahme und Weiterbearbeitung von Perso- nendaten der Helsana Grundversicherungen zu unterlassen. Im Übrigen ist das Rechtsbegehren 1 abzuweisen. Das Rechtsbegehren 2 ist abzuweisen. Das Rechtsbegehren 3 ist teil- weise gutzuheissen, nämlich soweit es Personendaten betrifft, die im Rah- men der im Rechtsbegehren 1 beschriebenen Datenbearbeitung angefal- len sind. Die Beklagte ist anzuweisen, diese Personendaten innert 30 Ta- gen zu löschen und Dritte, denen sie die Daten weitergegeben hat, anzu- weisen, diese Daten innert gleicher Frist zu löschen. Im Übrigen ist das Rechtsbegehren 3 abzuweisen. 7. 7.1 Die Festsetzung der Gerichtsgebühren und einer allfälligen Parteient- schädigung richtet sich auch im Klageverfahren nach den Art. 63-65 VwVG (Art. 44 Abs. 3 VGG). Gemäss Art. 63 Abs. 1 VwVG hat in der Regel die unterliegende Partei die Verfahrenskosten zu tragen; unterliegt sie nur teil- weise, werden die Kosten ermässigt. Unterliegenden Bundesbehörden werden keine Kosten auferlegt (vgl. Art. 63 Abs. 2 VwVG). 7.2 Die Spruchgebühr, welche sich nach Umfang und Schwierigkeit der Sa- che, Art der Prozessführung und finanzieller Lage der Parteien richtet, be- trägt in Streitigkeiten ohne Vermögensinteresse in der Regel zwischen Fr. 100.– und Fr. 5‘000.– (Art. 63 Abs. 4bis Bst. a VwVG). Im vorliegenden Klageverfahren wurde ein doppelter Schriftenwechsel durchgeführt, jedoch Seite 23 A-3548/2018 weder eine Vorbereitungs- noch eine Hauptverhandlung, weshalb die Ver- fahrenskosten auf Fr. 2‘000.– festzusetzen sind (vgl. Art. 1 ff. des Regle- ments vom 21. Februar 2008 über die Kosten und Entschädigungen vor dem Bundesverwaltungsgericht [VGKE, SR 173.320.2]). Der Kläger setzt sich mit den Rechtsbegehren 1 und 3 teilweise durch, nicht jedoch mit dem Rechtsbegehren 2. Die Verfahrenskosten werden entsprechend zur Hälfte, das heisst in der Höhe von Fr. 1‘000.– der Be- klagten auferlegt. Dem Kläger sind als Bundesbehörde keine Kosten auf- zuerlegen. 7.3 Der obsiegenden Partei ist von Amtes wegen oder auf Begehren eine Entschädigung für die ihr erwachsenen notwendigen Kosten zuzusprechen (vgl. Art. 64 Abs. 1 VwVG i.V.m. Art. 7 Abs. 1 VGKE). Obsiegt sie nur teil- weise, ist die Parteientschädigung entsprechend zu kürzen (vgl. Art. 7 Abs. 2 VGKE). Bundesbehörden haben keinen Anspruch auf eine Partei- entschädigung (vgl. Art. 7 Abs. 3 VGKE). Die Rechtsvertreter der Beklagten reichten keine Kostennote ein. Der not- wendige Vertretungsaufwand lässt sich indes aufgrund der Aktenlage zu- verlässig abschätzen, weshalb praxisgemäss auf die Einholung einer sol- chen verzichtet wird (Art. 14 Abs. 2 VGKE). In Anwendung der genannten Bestimmungen und unter Berücksichtigung der massgeblichen Bemes- sungsfaktoren (Art. 8 ff. VGKE) ist die Parteientschädigung von Amtes we- gen auf Fr. 3‘600.– (ausgehend von einem Stundenansatz von Fr. 300.–, inklusive Auslagen) festzusetzen. Nach dem Grad des Durchdringens ist die Parteientschädigung zu halbieren. Die vom Kläger auszurichtende Par- teientschädigung beträgt damit Fr. 1‘800.–. Demnach erkennt das Bundesverwaltungsgericht: 1. Das Rechtsbegehren 1 wird im Sinne der Erwägungen teilweise gutgeheis- sen und die Beklagte dazu verpflichtet, im Rahmen des Programms Hels- ana+ die Entgegennahme und Weiterbearbeitung von Personendaten der Helsana Grundversicherungen zu unterlassen. Im Übrigen wird das Rechtsbegehren 1 abgewiesen. 2. Das Rechtsbegehren 2 wird abgewiesen. Seite 24 A-3548/2018 3. Das Rechtsbegehren 3 wird teilweise gutgeheissen. Die Beklagte wird ver- pflichtet, die ihm Rahmen der im Rechtsbegehren 1 beschriebenen Daten- bearbeitung angefallenen Personendaten innert 30 Tagen zu löschen und Dritte, denen sie die Daten weitergegeben hat, anzuweisen, diese Daten innert gleicher Frist zu löschen. Im Übrigen wird das Rechtsbegehren 3 ab- gewiesen. 4. Der Beklagten werden Verfahrenskosten in der Höhe von Fr. 1‘000.– auf- erlegt. Der Betrag ist nach Eintritt der Rechtskraft des vorliegenden Urteils zu Gunsten der Gerichtskasse zu überweisen. Die Zahlungsfrist beträgt 30 Tage ab Rechnungsdatum. Die Zustellung des Einzahlungsscheins er- folgt mit separater Post. 5. Der Kläger wird verpflichtet, der Beklagten nach Eintritt der Rechtskraft die- ses Urteils eine Parteientschädigung von Fr. 1‘800.– zu bezahlen. 6. Dieses Urteil geht an: – den Kläger (Gerichtsurkunde; Medienmitteilungen mit Begleitschreiben) – die Beklagte (Gerichtsurkunde; Medienmitteilungen mit Begleitschreiben) Für die Rechtsmittelbelehrung wird auf die nächste Seite verwiesen. Der vorsitzende Richter: Der Gerichtsschreiber: Jürg Steiger Tobias Grasdorf Seite 25 A-3548/2018 Rechtsmittelbelehrung: Gegen diesen Entscheid kann innert 30 Tagen nach Eröffnung beim Bun- desgericht, 1000 Lausanne 14, Beschwerde in öffentlich-rechtlichen Ange- legenheiten geführt werden (Art. 82 ff., 90 ff. und 100 BGG). Die Rechts- schrift ist in einer Amtssprache abzufassen und hat die Begehren, deren Begründung mit Angabe der Beweismittel und die Unterschrift zu enthalten. Der angefochtene Entscheid und die Beweismittel sind, soweit sie die be- schwerdeführende Partei in Händen hat, beizulegen (Art. 42 BGG). Versand: Seite 26
