BVGer: Ungültige Einwilligung für Datenbearbeitungen rund um Bonus-App «Helsana+»

Bonus-App Helsana+

Die Helsana Zusatzversicherungen AG lancierte im September 2017 das App-gestützte Bonusprogramm «Helsana+». Das Programm ermöglicht den Teilnehmern, durch bestimmte Aktivitäten Pluspunkte zu sammeln, die sie in Boni wie Barauszahlungen, Sachleistungen oder Gutscheine von Partnerbetrieben umwandeln können. Bonusberechtigt sind nur die Versicherungsnehmer einer Versicherungsgesellschaft der Helsana AG (Helsana Zusatzversicherungen AG, Helsana Versicherungen AG und Progrès Versicherungen AG). Der Nachweis der Aktivitäten erfolgt unter anderen durch den Foto-Upload von Nutzern.

Für Versicherungsnehmer der obligatorischen Krankenpflegeversicherung und der Zusatzversicherung werden unterschiedliche Boni gewährt. Die maximal erzielbaren Boni sind für Grundversicherte tiefer. Zudem erhalten die Teilnehmer Pluspunkte, wenn sie längere Zeit eine Vertragsbeziehung mit einer Versicherungsgesellschaft der HelsanaGruppe haben.

Für die Ermittlung der Teilnahmeberechtigung sowie die Berechnung der Höhe der Boni klärt die Helsana Zusatzversicherungen AG die Versicherteneigenschaften der Teilnehmer ab. Hierfür wurden die Daten, die der Nutzer bei seiner Registrierung für die App angegeben hat (Postleitzahl, Geburtsdatum, Versichertennummer), mehrmals jährlich automatisiert mit denjenigen bei den Grundversicherungs-Gesellschaften abgeglichen. Im Rahmen des Registrierungsprozesses in der APP mussten die Nutzer ihre Zustimmung zu dieser Datenbeschaffung erteilen.

Nichtbefolgung der Empfehlungen des EDÖB

Im Oktober 2017 eröffnete der EDÖB eine Sachverhaltsabklärung gegen die Helsana-Versicherungsgesellschafen. In seinen Empfehlungen vom 26. April 2018 gelangte er sodann zum Schluss, dass die Datenbearbeitungen unzulässig seien. Er beanstandete zum einen den Datenabgleich zwischen den Gesellschaften, welche nicht auf eine gültige Einwilligung abgestützt sei. Die Nutzer müssten vielmehr auch ohne Einwilligung am Programmen teilnehmen können. Zum anderen ging der EDÖB davon aus, dass die Einlösung der Bonuspunkte bei ausschliesslich Grundversicherten wirtschaftlich einer Rückerstattung ihrer Grundversicherungsprämien gleichkomme, die mangels gesetzlicher Grundlage und Genehmigung unzulässig sei. Folglich erfolge die Datenbearbeitung unrechtmässig. Er forderte Helsana deshalb auf die entsprechenden Datenbearbeitungen zu unterlassen (vgl. dazu bereits MLL-News vom 15.5.2018).

In der Folge hat sich Helsana zwar bereit erklärt, seinen Registrierungsablauf für rein grundversicherte Teilnehmer anzupassen, nicht jedoch die Empfehlungen des EDÖB vollumfänglich umzusetzen. Daraufhin reichte der EDÖB Klage gegen die Helsana Zusatzversicherungen AG beim Bundesverwaltungsgericht ein.

Anwendbarkeit der datenschutzrechtlichen Vorgaben für Bundesorgane oder Private?

In seinem Urteil vom 19. März 2019 (A-3548/2018) musste das Bundesverwaltungsgericht die Frage klären, ob die Vorgaben des DSG für Private (Art. 12 ff.) oder die strengeren Vorgaben für Bundesorgane (Art. 16 ff.) zur Anwendung gelangen. Es verweist dabei zunächst auf die gesetzliche Definition von Bundesorganen (Art. 3 lit. h DSG). Danach sind Bundesorgane Behörden und Dienststellen des Bundes sowie Personen, soweit sie mit öffentlichen Aufgaben des Bundes betraut sind. Aus Sicht des Datenschutzgesetzes gelten gemäss Bundesverwaltungsgericht somit (natürliche und juristische) Personen als Bundesorgan, soweit sie durch Bundesgesetze mit Verwaltungsaufgaben betraut sind. Sie seien aber nur insoweit Bundesorgane, als sie Personendaten für die Erfüllung einer öffentlichen Aufgabe bearbeiten, in allen anderen datenschutzrechtlichen Bereichen unterliegen sie den Vorgaben für Private. Entscheidend bei der Beurteilung, ob eine Person als Bundesorgan handelt, sei die Rechtsnatur des der Datenbearbeitung zugrunde liegenden Verhältnisses zwischen Datenbearbeiterin und betroffener Person. Ist dieses Verhältnis öffentlich-rechtlicher Natur, gelte die Datenbearbeiterin als öffentliches Organ.

Die Helsana Zusatzversicherungen AG als Beklagte biete unbestrittenermassen keine obligatorischen Krankenversicherungen an. Ebenso wenig seien ihr durch einen obligatorischen Krankenpflegeversicherer Aufgaben im Bereich der obligatorischen Krankenpflegeversicherung übertragen worden. Keine der Datenbearbeitungen, welche die Beklagte im Rahmen des Programms Helsana+ vornimmt, beruhe auf durch das Krankenversicherungsgesetz geregelten Aufgaben. Das Rechtsverhältnis zwischen der Beklagten und den betroffenen Personen sei entsprechend nicht öffentlich-rechtlicher Natur. Dies gelte auch für den Abgleich von Angaben der betroffenen Personen mit Personendaten, die eine andere Versicherungsgesellschaft der Helsana-Gruppe im Rahmen der Durchführung der obligatorischen Krankenpflegeversicherung bearbeitet. Auch in diesen Fällen sei das Verhältnis der betroffenen Personen und der Beklagten privatrechtlicher Natur, die Beklagte nehme weder öffentliche Aufgaben (zum Beispiel im Rahmen der obligatorischen Krankenpflegeversicherung) wahr noch handle sie hoheitlich. Die Beklagte handle entsprechend vorliegend nicht als Bundesorgan und auf die strittigen Datenbearbeitungen seien die Vorgaben von Art. 12 ff. DSG anzuwenden.

Beschaffung enthält auch Bekanntgabe durch Grundversicherung – Vorgaben für Bundesorgane gleichwohl massgebend

Aus diesen Vorgaben folgt jedoch, dass die Beklagte die Datenbearbeitungsgrundsätze in Art. 4 DSG zu beachten hat und letztlich keine widerrechtlichen Persönlichkeitsverletzungen begehen darf. Diesbezüglich sieht das Bundesverwaltungsgericht «einen Konflikt» mit dem Grundsatz der Zweckbindung nach Art. 4 Abs. 3 DSG, wenn die Beklagte im Rahmen von Helsana+ Personendaten bearbeitet, die bei einer anderen Versicherungsgesellschaft der Helsana-Gruppe im Rahmen der obligatorischen Krankenpflegeversicherung gespeichert sind. Weitere Ausführungen dazu folgen jedoch nicht. Vielmehr konzentriert sich das Gericht auf den Grundsatz der Rechtmässigkeit der Datenbearbeitung (Art. 4 Abs. 1 DSG).

Eine Datenbeschaffung ist nach Ansicht des Bundesverwaltungsgerichts immer dann rechtswidrig im Sinne von Art. 4 Abs.1 DSG, wenn gegen irgendeine Rechtsnorm verstossen wird, die den Schutz der Persönlichkeit bezweckt (s. dazu unten); jegliche Weiterbearbeitung rechtswidrig beschaffter Daten sei grundsätzlich ebenfalls rechtswidrig. Beschaffe sich die Beklagte bei den Versicherungsgesellschaften der Helsana-Gruppe, die im Bereich der obligatorischen Krankenpflegeversicherung tätig sind, Personendaten, welche diese im Rahmen der obligatorischen Krankenpflegeversicherung gespeichert haben, stelle dieser Vorgang gleichzeitig eine Bekanntgabe von Daten dar. Entsprechend könne die Beschaffung dieser Personendaten durch die Beklagte nur rechtmässig sein, wenn auch die Bekanntgabe der Personendaten rechtmässig ist. Zu prüfen war deshalb, ob die anderen Versicherungsgesellschaften der Helsana-Gruppe, die im Bereich der obligatorischen Krankenpflegeversicherung tätig sind, zur Herausgabe der Personendaten an die Beklagte berechtigt sind.

Die Versicherungsgesellschaften der Helsana-Gruppe, die im Geschäft mit obligatorischen Krankenpflegeversicherungen tätig sind, seien für die hier vorliegenden Belange als Bundesorgane im Sinne von Art. 3 lit. h DSG zu behandeln (vgl. E. 4.5.5), womit die Art. 16 ff. DSG zur Anwendung kommen.

Datenschutzrechtliche Vorgaben für Bundesorgane und Vorschriften des Sozialversicherungsrechts

Das Bundesverwaltungsgericht verweist dabei zunächst auf das Legalitätsprinzip. Als Bundesorgane dürfen diese Versicherungsgesellschaften Personendaten nur bearbeiten, wenn dafür eine gesetzliche Grundlage besteht (Art. 17 Abs. 1 DSG). Eine solche enthält Art. 84 KVG, der besagt, dass obligatorische Krankenpflegeversicherungen befugt sind, die Personendaten zu bearbeiten oder bearbeiten zu lassen, die sie benötigen, um die ihnen nach dem KVG übertragenen Aufgaben zu erfüllen. Zugleich verweist das Gericht auf die sozialversicherungsrechtliche Schweigepflicht (Art. 33 ATSG), wonach gegenüber Dritten Verschwiegenheit zu bewahren ist. In Abweichung davon dürften Organe, die mit der Durchführung des Krankenversicherungsgesetzes betraut sind, Personendaten nur an Dritte bekannt geben, sofern die betroffene Person im Einzelfall schriftlich eingewilligt hat (Art. 84a Abs. 5 lit. b KVG). Entsprechend dürften Bundesorgane auch nach Art. 19 Abs. 1 Bst. b DSG Personendaten nur bekannt geben, wenn dafür eine Rechtsgrundlage besteht oder wenn die betroffene Person im Einzelfall eingewilligt hat.

Da es sich bei den drei Helsana-Versicherungsgesellschaften um juristische Personen handle, gelte die Bekanntgabe von Personendaten einer dieser Versicherungsgesellschaften an die Beklagte als Bekanntgabe an eine dritte Person. Die Bekanntgabe der Personendaten aus der obligatorischen Krankenpflegeversicherung erfolge vorliegend nicht in Ausübung einer durch das Krankenversicherungsgesetz übertragenen Aufgabe. Auch eine Ausnahme von der sozialversicherungsrechtlichen Verschwiegenheitspflicht gemäss den Absätzen 1-4 von Art. 84a KVG liege nicht vor.

Vor diesem Hintergrund gelangt das Bundesverwaltungsgericht zum Schluss, dass eine Ausnahme von der sozialversicherungsrechtlichen Verschwiegenheitspflicht vorliegend nur unter den kumulativen Voraussetzungen von Art. 19 Abs. 1 DSG und Art. 84a Abs. 5 Bst. b KVG rechtmässig sei, das heisst, wenn die betroffene Person im Einzelfall schriftlich zugestimmt hat.

Einwilligung wird freiwillig erteilt – Ansicht des EDÖB unzutreffend

In einem nächsten Schritt prüfte das Bundesverwaltungsgericht deshalb, ob diese Anforderungen gegeben sind und damit hinreichende Einwilligungen der Nutzer vorliegen. Die Nutzer müssen bei der Registrierung den Nutzungs- und Datenschutzbestimmungen zustimmen, sodass die Beklagte eine Einwilligung in die darin aufgeführten Bearbeitungen einholt.

Gemäss Bundesverwaltungsgericht erfolgt diese Einwilligung entgegen der Ansicht des EDÖB freiwillig. Denn der Nachteil, der bei einer Nichteinwilligung drohe– die Unmöglichkeit der Teilnahme am Programm Helsana+ –, weise einen direkten Bezug zu den Daten auf, für deren Bearbeitung die Einwilligung eingeholt werde. Es liege damit kein unzulässiger Zwang zur Erteilung der Einwilligung vor. Ohne die Beschaffung der Personendaten könne die Beklagte nicht kontrollieren, ob eine Versichertenbeziehung zu einer anderen Versicherungsgesellschaft der Helsana-Gruppe vorliegt, was wiederum eine Voraussetzung für die Teilnahme am Programm Helsana+ darstelle, und zu Bonuspunkten im Rahmen des Programms berechtige. Der Umstand allein, dass die Beklagte für die Teilnahme am Programm mit geldwerten Vorteilen und insbesondere mit Bargeldboni wirbt (in der Höhe von maximal Fr. 75.– pro Jahr bei nur grundversicherten Personen), stelle ebenfalls keinen unzulässigen Zwang dar. Die Beklagte verfüge damit für die Beschaffung der Personendaten über eine Einwilligung der betroffenen Personen.

Keine hinreichende Information für gültige Einwilligung

In einem nächsten Schritt prüfte das Bundesverwaltungsgericht, ob die Nutzer ihre Einwilligung gestützt auf eine hinreichende vorgängige Information erteilen (Art. 4 Abs. 5 DSG). Es weist darauf hin, dass die Nutzungs- und Datenschutzbestimmungen von Helsana+ keine explizite Einwilligung in die Bekanntgabe von Personendaten aus der obligatorischen Krankenpflegeversicherung an die Beklagte beinhalten. Dass die Einwilligung auch für die Datenbearbeitung durch andere Personen als die Beklagte gelte – nämlich für weitere Versicherungsgesellschaften der Helsana-Gruppe –, werde in den Bestimmungen nicht erwähnt. Dies entspreche grundsätzlich nicht einer transparenten Information im Sinne von Art. 4 Abs. 5 DSG. Da die Datenbeschaffung durch die Beklagte und die Datenbekanntgabe durch die obligatorischen Krankenpflegeversicherungen jedoch eine Einheit bilden, könne vorliegend trotzdem davon ausgegangen werden, dass den Teilnehmern hinreichend klar sei, dass ihre Einwilligung nicht nur die Datenbeschaffung durch die Beklagte, sondern auch die Bekanntgabe dieser Daten durch die obligatorische Krankenpflegeversicherung beinhaltet. Es könne somit zumindest eine implizite Einwilligung in die Bekanntgabe der Personendaten durch die obligatorische Krankenpflegeversicherung an die Beklagte abgeleitet werden.

Demgegenüber beanstandet das Bundesverwaltungsgericht, dass sich die Einwilligung nicht auf die von der Beklagten genannten drei Datenpunkte (Postleitzahl, Versichertennummer und Geburtsdatum des Nutzers) beschränke. Die Klausel enthalte keine einschränkenden Verweise auf den Zweck der Datenbearbeitung oder andere Bestimmungen, sondern sei breit und ohne Einschränkungen formuliert. Die Beklagte holt damit eine über den notwendigen Zweck der Datenbearbeitung hinausgehende Einwilligung ein. Erschwerend komme hinzu, dass sich die Einwilligung, auf mehrere Bestimmungen verteilt, in den umfangreichen Nutzungs- und Datenschutzbestimmungen befinde, welche die Teilnehmerinnen und Teilnehmer durch Anklicken einer Schaltfläche in der Helsana+-App genehmigen. Dieses Vorgehen erschwere es den Teilnehmern, zu erkennen, in welche Datenbearbeitungen sie einwilligen. Aus diesen Gründen entspreche die Einwilligung nicht den Voraussetzungen einer angemessenen Information für die Gültigkeit einer Einwilligung nach Art. 4 Abs. 5 DSG.

Keine schriftliche Einwilligung im Einzelfall

Darüber hinaus stellte das Bundesverwaltungsgericht fest, dass die Einwilligung in die Datenbekanntgabe durch die obligatorische Krankenpflegeversicherung nicht, wie von Art. 19 Abs. 1 DSG und Art. 84a Abs. 5 lit. b KVG gefordert, im Einzelfall erteilt werde. Die Beklagte frage die Daten nach eigenen Angaben mehrmals jährlich in einem automatisierten Prozess bei den anderen Versicherungsgesellschaften der Helsana-Gruppe ab. Damit handle es sich nicht um einen Einzelfall, die Einwilligung gelte im Gegenteil für einen unbefristeten Zeitraum und eine unbekannte Anzahl Bekanntgaben.

Schliesslich erfolge die Einwilligung nicht wie in Art. 84a Abs. 5 KVG gefordert, schriftlich, sondern auf der Helsana+-App durch Anklicken einer Schaltfläche. Damit fehle es der Einwilligung aufgrund der fehlenden eigenhändigen Unterschrift an der Schriftlichkeit (Art. 14 OR).

Widerrechtliche Persönlichkeitsverletzung – Teilweise Gutheissung der Klage des EDÖB

Insgesamt lag damit keine gültige Einwilligung in die Bekanntgabe von Personendaten aus der obligatorischen Krankenpflegeversicherung an Dritte vor. Entsprechend sei die Beschaffung solcher Daten durch die Beklagte unrechtmässig im Sinne von Art. 4 Abs.1 DSG und sie begehe damit eine widerrechtliche Persönlichkeitsverletzung im Sinne von Art. 12 DSG.

Ausgehend davon wurde die Klage des EDÖB in diesem Punkt (teilweise) gutgeheissen. Die Beklagte wurde somit verpflichtet, die Entgegennahme und Weiterbearbeitung von Personendaten der Helsana Grundversicherung zu unterlassen. Der EDÖB wollte der Beklagten darüber hinaus auch verbieten, im Rahmen von Helsana+ Einwilligungen zu diesen Datenbearbeitungen einzuholen. Dies weist das Bundesverwaltungsgericht jedoch mit der Begründung ab, dass Einwilligungen entweder rechtsgültig seien oder nicht. Ein Verbot, solche einzuholen, könne aus den Bestimmungen des Datenschutzgesetzes jedoch nicht abgeleitet werden.

Keine verbotene Prämienrückerstattung – rechtswidrige Bearbeitung nur bei Verstoss gegen Norm mit Persönlichkeitsrelevanz

Der EDÖB wollte der Beklagten darüber hinaus auch verbieten, im Rahmen von «Helsana+» die Daten von ausschliesslich Helsana-Grundversicherten «zum Zwecke der Bemessung und rechtswidrigen Ausrichtung geldwerter Rückerstattungen» zu bearbeiten. Das Bundesverwaltungsgericht hatte somit zu prüfen, ob die Datenbearbeitung bei Personen, die nur eine Grundversicherung bei einer Versicherungsgesellschaft der Helsana-Gruppe haben, unrechtmässig im Sinne von Art. 4 Abs. 1 DSG ist, da sie – wie vom EDÖB behauptet – zu einem rechtswidrigen Zweck erfolgt, nämlich einer indirekten Rückerstattung von Versicherungsprämien für die obligatorische Krankenpflegeversicherung.

In einem ersten Schritt setzte sich das Bundesverwaltungsgericht mit den Lehrmeinungen zum Gehalt und Umfang des Rechtmässigkeitsgrundsatzes auseinander. Umstritten ist insbesondere, ob der Verstoss gegen irgendeine Norm als eine unrechtmässige Datenbearbeitung anzusehen ist, auch wenn diese nicht den Schutz der Persönlichkeit bezweckt. Kein Autor und keine Autorin äussere aber jedenfalls ausdrücklich die Meinung, ein rechtswidriger Zweck der Datenbearbeitung führe in jedem Fall zur Unrechtmässigkeit der entsprechenden Datenbearbeitung, alle Lehrmeinungen stellten vielmehr darauf ab, dass die Datenbearbeitung an sich gegen keine Rechtsnorm verstossen darf. Dies korrespondiere mit dem Wortlaut von Art. 4 Abs. 1 DSG, der sich auf die Rechtmässigkeit der Bearbeitung von Personendaten bezieht und nicht auf den Zweck, zu dem diese bearbeitet werden. Systematisch betrachtet äussere sich das DSG zudem grundsätzlich nicht dazu, zu welchen Zwecken Personendaten bearbeitet werden dürfen und zu welchen nicht; dies im Unterschied zu Art. 5 Abs. 1 der EU-Datenschutz-Grundverordnung. Schliesslich konkretisiere Art. 4 Abs. 1 DSG das verfassungsmässige Recht auf informationelle Selbstbestimmung. Aus diesen Gründen gelangte das Gericht zum Schluss, dass eine Datenbearbeitung zu einem rechtswidrigen Zweck erst dann unrechtmässig im Sinne von Art. 4 Abs. 1 DSG ist, wenn dabei gegen eine Norm verstossen wird, die zumindest auch, direkt oder indirekt, den Schutz der Persönlichkeit einer Person bezweckt.

Da die einschlägigen Bestimmungen des Krankenversicherungsgesetzes (Art. 5, 61 und 62 KVG), die potentiell durch das Bonusprogramm verletzt sein könnten, aber nach Ansicht des Bundesverwaltungsgerichts nicht dem Schutz der Persönlichkeit der Prämienzahler dienen, könne keine Verletzung des Grundsatzes der Rechtmässigkeit der Datenbearbeitung vorliegen; dies selbst wenn gegen diese Bestimmungen verstossen würde.

Das Gericht erwähnt daher zwar, dass diese Frage letztlich offen bleiben könne. In der Folge führt es jedoch gleichwohl aus, dass, wie bereits das Bundesamt für Gesundheit (BAG) entschieden habe, kein Verstoss gegen die Vorgaben des KVG vorliege. Begründet wird dies insbesondere damit, dass das Programm Helsana+ einzig von der Beklagten als eigenständiger juristischer Person durchgeführt werde. Insbesondere bezahle diese die Boni im Rahmen des Programms aus ihren eigenen Finanzmitteln. Es sei damit nicht die obligatorische Krankenpflegeversicherung, die versicherten Personen, die am Programm Helsana+ teilnehmen, geldwerte Vorteile gewährt, sondern eine Drittperson. Die Grundversicherer der Helsana-Gruppe – und damit auch die bei ihnen versicherten Personen, die nicht am Programm Helsana+ teilnehmen – würden durch die Auszahlung der Boni keine finanziellen Nachteile erleiden, da jene nicht aus den von den grundversicherten Personen einbezahlten und streng zweckgebundenen Mitteln (vgl. Art. 5 lit. f KVAG) stammen.

Aus diesen Gründen wurde das zweite Rechtsbegehren des EDÖB vollumfänglich abgewiesen.

Anmerkungen mit Blick auf die datenschutzrechtlichen Vorgaben für Bundesorgane

Das Bundesverwaltungsgericht behandelt im vorliegenden Urteil mehrere zentrale und noch nicht abschliessend geklärte Aspekte zum Schweizer Datenschutzrecht, dies sowohl in Bezug auf die Vorschriften für Private als auch hinsichtlich der Vorgaben für Bundesorgane. In Bezug auf Letztere gelangt das Bundesverwaltungsgericht bei der Frage, wann diese überhaupt zur Anwendung gelangen, zwar zum richtigen Ergebnis, jedoch ohne restlos überzeugende Begründung. Insbesondere verweist es im entscheidenden Punkt auf eine Lehrmeinung, anstatt auf die in der Praxis zentrale und für die Streitfrage entscheidende Gesetzesvorschrift: Art. 23 DSG. Danach ist massgebend, ob ein privatrechtliches Handeln vorliegt. Ob überhaupt eine öffentliche Aufgabe wahrgenommen wird und ob es sich dabei um eine Aufgabe es Bundes handelt, ist zwar für die Frage der Anwendbarkeit des Bundesdatenschutzgesetzes (vgl. Art. 2 Abs. 1 lit. b i.V.m. Art. 3 lit. h DSG) und auch für die Aufsicht (Art. 27 i.V.m. 23 Abs. 2 DSG) relevant. Für die Beurteilung der Anwendbarkeit von dessen Vorschriften für Bundesorgane oder von denjenigen für Private ist demgegenüber massgebend, ob der Datenbearbeiter privatrechtlich handelt. Im vorliegenden Fall spielte dies allerdings keine Rolle, da die Helsana Zusatzversicherungen AG von vornherein keine öffentlichen Aufgaben wahrnimmt.

Zentrale Folge der Anwendbarkeit der Vorgaben für Bundesorgane ist das Erfordernis einer gesetzlichen Grundlage für sämtliche Bearbeitungen von Personendaten (Art. 17 Abs. 1 DSG). Im vorliegenden Fall bestand im KVG eine ausführliche Spezial-Regelung für die Bekanntgabe von Personendaten durch die Grundversicherer. Diese könnte angesichts der Formulierung in Art. 84a Abs. 5 KVG «in den übrigen Fällen» als abschliessend betrachtet werden, wozu sich das Bundesverwaltungsgericht allerdings nicht äussert. Das Gericht sah wohl auch deshalb keinen Anlass, zu der in der Praxis wichtigen Frage Stellung zu nehmen, ob und inwiefern auch eine bloss mittelbare gesetzliche Grundlage ausreichen könnte, was vorliegend aber ohnehin zu verneinen gewesen wäre, weil die Datenbearbeitung klar nicht zur Erfüllung einer «Aufgabe» der Grundversicherung erforderlich war.

Das Bundesverwaltungsgericht ging deshalb der Frage nach, ob die Datenbearbeitung trotz fehlender gesetzlicher Grundlage ausnahmsweise gestützt auf eine Einwilligung der betroffenen Person zulässig ist. Aus den besagten Gründen wurde diese Frage verneint. Dabei wäre jedoch eine ausführlichere Auseinandersetzung, namentlich mit der Frage der Einwilligung «im Einzelfall» angezeigt gewesen. Es besteht durchaus Spielraum, um dieses Erfordernis anders zu interpretieren und insbesondere auch eine Einwilligung für den gleichen, sich wiederholenden Fall zuzulassen. Da die Wirksamkeit der Einwilligung verneint wurde, musste somit die ebenfalls strittige Frage, inwieweit eine wirksame Einwilligung tatsächlich das Erfordernis einer gesetzlichen Grundlage ersetzen kann, nicht beantwortet werden.

Anmerkungen in Bezug auf die Datenbearbeitungsgrundsätze und die Einwilligung

Wichtige Stellungnahmen enthält das Urteil auch zu den allgemeinen Anforderungen an die Gültigkeit von Einwilligungen sowie zum Grundsatz der Rechtswidrigkeit von Datenbearbeitungen. Zu Letzterem wird festgehalten, dass jegliche Weiterbearbeitung rechtswidrig beschaffter Daten grundsätzlich ebenfalls rechtswidrig im Sinne von Art. 4 Abs. 1 DSG sei. Auch zu diesem zentralen Punkt wären nähere Ausführungen erforderlich gewesen. Immerhin verdeutlicht das Urteil für den wohl mittlerweile fast grösseren Teil von Bearbeitungen, in welchen auch Dritte involviert sind, dass sich auch der Empfänger von Daten zu vergewissern hat, ob die erhaltenen Daten rechtmässig erhoben und weitergegeben wurden. Andernfalls kann auch er datenschutzrechtlich zur Verantwortung gezogen werden.

Zu begrüssen ist die Klarstellung des Bundesverwaltungsgerichts, dass die Verletzung gesetzlicher Bestimmungen nur dann zur Unrechtmässigkeit der Datenbearbeitung im Sinne von Art. 4 Abs. 1 DSG führt, wenn die verletzte Vorschrift den Schutz der Persönlichkeit bezweckt. Die abweichenden Stellungnahmen in der Lehre waren kaum je hinreichend begründet und wurden nun vom Bundesverwaltungsgericht überzeugend widerlegt. Will der Gesetzgeber tatsächlich auch die Bearbeitung zu einem rechtswidrigen Zweck für unrechtmässig im Sinne von Art. 4 Abs. 1 DSG erklären, müsste dies klar zum Ausdruck gebracht werden, wie z.B. in Art. 5 Abs. 1 lit. b der EU-Datenschutz-Grundverordnung.

Erfreulich ist ferner, dass das Bundesverwaltungsgericht der – klar zu weit gehenden – Auffassung des EDÖB zur Freiwilligkeit von Einwilligungen eine Absage erteilt hat. Der EDÖB vertrat einmal mehr – zumindest implizit – den Standpunkt, dass eine Einwilligung ungültig ist, wenn der Anbieter ohne sie den Vertragsschluss verweigert, der Vertragsschluss also an die Einwilligung in die Datenbearbeitung gekoppelt ist (Stichwort: „Kopplungsverbot“). In dieser absoluten Form ist diese Auffassung im geltenden Schweizer Datenschutzrecht klar abzulehnen (vgl. zur künftigen Rechtslage in der Schweiz und der EU z.B. MLL-News vom 13.2.18). Der vorliegende Fall, in dem die strittige Datenbearbeitung in einem engen Zusammenhang mit dem Kern des angebotenen «Dienstes» stand, kann jedoch nicht als Abkehr von der restriktiven Haltung des Gerichts in anderen Fällen gewertet werden. Dies wäre erst dann der Fall, wenn beispielsweise auch Werbe-Einwilligungen, die an den Vertragsschluss gekoppelt werden, explizit für zulässig erklärt werden. Für diese Fälle, die nach geltendem Schweizer Recht in aller Regel noch zulässig sein müssten, lassen sich aus dem vorliegenden Urteil kaum Schlüsse ableiten.

Anmerkungen mit Blick auf die datenschutzrechtlichen Vorgaben für Private

Auch für die datenschutzrechtlichen Vorgaben für Private ist die Auffassung wichtig, wonach jegliche Weiterbearbeitung rechtswidrig beschaffter Daten grundsätzlich ebenfalls rechtswidrig sei. Fordert also ein Unternehmen ein anderes zur Übermittlung von rechtswidrig beschafften Daten auf, begeht der Empfänger nach Ansicht des Bundesverwaltungsgerichts («grundsätzlich») selbst eine Persönlichkeitsverletzung. Fragwürdig erscheint jedoch, wieso das Bundesverwaltungsgericht sich mit keinem Wort zur Frage der Widerrechtlichkeit dieser Persönlichkeitsverletzung geäussert hat. Es ging ohne Weiteres davon aus, dass sich die Helsana Zusatzversicherungen AG auf keine Rechtfertigung berufen kann. Demgegenüber kann gemäss richtiger bundesgerichtlicher Rechtsprechung auch die Verletzung der Datenbearbeitungsgrundsätze gerechtfertigt werden. Dies muss grundsätzlich auch für eine nach Art. 4 Abs. 1 DSG unrechtmässige Bearbeitung gelten. Insofern hätte geprüft werden müssen, ob sich die Helsana Zusatzversicherungen AG auf einen Rechtfertigungsgrund berufen kann. Nicht von vornherein ausgeschlossen erscheint dabei, dass neben der – mangels hinreichender Information auch privatrechtlich – für unwirksam erklärten Einwilligung eine Rechtfertigung mit dem Erfordernis der Vertragserfüllung möglich gewesen wäre.

Selbst wenn aber die Weiterbearbeitung gerechtfertigt gewesen wäre, hätte man – zumindest in einem Zivilverfahren – argumentieren können, dass die Helsana Zusatzversicherungen AG an der unrechtmässigen Datenbearbeitung der Schwestergesellschaften «mitwirkt». Folglich hätte sie vor Zivilgericht auf Beseitigung oder Unterlassung eingeklagt werden können. Das Urteil macht jedenfalls deutlich, dass auch die Frage nach der Rechtfertigung in Konstellationen wie der vorliegenden, in welchen mehrere Bearbeiter involviert sind, noch nicht restlos geklärt ist.

Weitere Informationen:

• Urteil des Bundesverwaltungsgericht vom 19. März 2019 (A-3548/2018)
• Medienmitteilung des Bundesverwaltungsgerichts
• Schweizer Datenschutzgesetz (DSG)
• MLL-News vom 13.2.18: «OLG Frankfurt: Verkauf von Adressdaten wegen datenschutzrechtlich ungültiger Einwilligung unwirksam»
• MLL-News vom 15.5.2018: «Helsana-Bonusprogramm verstösst gegen Schweizer Datenschutzrecht»