11. Mai 2019
Selim Keller, VISCHER

HELSANA Bonusprogramm im Fokus des EDÖB

BVGer A-3548/2018 vom 19. März 2019

Ausgangslage
Die Helsana Zusatzversicherungen AG betreibt das App-gestützte Bonusprogramm «Helsana +». Die Teilnehmer am Programm können durch bestimmte Aktivitäten Pluspunkte sammeln, die sich in Boni wie Barauszahlungen, Sachleistungen oder Gutscheine von Partnerbetrieben umwandeln las-sen. Die App selber übermittelt keine Gesundheits- und Bewegungsdaten der Benutzer. Teilnahmeberechtigt sind alle Versicherten der Helsana-Gruppe. Für die Ermittlung der Teilnahmeberechtigung so-wie für die Berechnung der Boni klärt die Helsana die Versicherteneigenschaft der Teilnehmenden ab. Dafür fordert sie von diesen im Rahmen des Registrierungsprozesses die Einwilligung ein, Daten von der obligatorischen Krankenversicherung zur Zusatzversicherung zu übertragen.

Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) empfahl der Helsana, die Entgegennahme und Weiterbearbeitung der Daten aus der Grundversicherung sowie das Einholen von Einwilligungen für derartige Bearbeitungen zu unterlassen. Nachdem die Helsana dieser Empfehlung nicht nachkam, gelangte der EDÖB mit einer Klage an das Bundesverwaltungsgericht.

Fehlen einer gültigen Einwilligung im Grundversicherungsbereich
Das Gericht hält zunächst fest, dass die Beschaffung der Daten durch die Beklagte nur rechtmässig im Sinne des Datenschutzgesetzes (SR 235.1, «DSG») sein kann, wenn auch die Bekanntgabe der Daten rechtmässig erfolgt. Die Gesellschaften der Helsana Gruppe, die die Daten aus dem Grundversicherungsbereich bekannt geben, werden als Bundesorgane im Sinne des DSG qualifiziert. Diese Qualifikation bedeutet für den vorliegenden Fall, dass eine gültige Einwilligung in die Bekanntgabe nur vorliegen kann, wenn sich diese auf einen Einzelfall beschränkt und schriftlich erfolgt (Art. 19 Abs. 1 lit. b DSG i.V.m. Art. 84a Abs. 5 lit. b KVG). Weil die Einwilligung im Rahmen des Registrierungsprozesses über die App diesen Kriterien nicht gerecht wird, erachtete das Gericht die Bearbeitung der Daten aus dem Grundversicherungsbereich durch die Beklagte als rechtswidrig.

Datenschutzrechtlicher Rechtmässigkeitsgrundsatz nicht verletzt
Nicht Folge leistete das Gericht hingegen dem Argument des EDÖB, das Bonusprogramm von Helsana verletze Datenschutzrecht, weil die Auszahlung von Prämien den Grundsätzen in Art. 61 f.  KVG widerspreche. Die Auslegung des Gerichts kommt aber zum Schluss, dass eine Verletzung des datenschutzrechtlichen Rechtmässigkeitsgrundsatzes (Art. 4 DSG) voraussetzt, dass gegen eine Norm verstossen wird, die zumindest auch – direkt oder indirekt – dem Schutz der Persönlichkeit dient. Die angerufenen Normen des Krankenversicherungsgesetzes (SR 832.10; «KVG») zur Prämienberechnung erfüllen diese Kriterien nicht.

Kein Verstoss gegen das Krankenversicherungsgesetz
Das Gericht stellt zusätzlich fest (obiter dictum), dass das Helsana Bonusprogramm als solches das KVG nicht verletze. Dazu verwies es auf die abgeschlossenen Untersuchungen des Bundesamtes für Gesundheit (Fachbehörde) und darauf, dass keine unzulässige Quersubventionierung zwischen Schwestergesellschaften vorliege, die den Wettbewerb der Krankenversicherer nach Krankenversicherungsgesetz in unzulässiger Weise beeinträchtigen würde. Auch wenn die App bspw. dazu führte, dass sich mehr Personen für eine obligatorische Krankenpflegesicherung bei der Helsana Gruppe entscheiden, verstosse diese dadurch noch nicht gegen das KVG.