Sachverhalt
Mit Schreiben vom 11. Oktober 2017 eröffnete der Eidg. Datenschutz- und Öffentlichkeitsbe- auftragte (EDÖB) gegenüber der Helsana Versicherungen AG und der Helsana Zusatzversi- cherungen AG eine Sachverhaltsabklärung gemäss den Art. 27 und 29 des Bundesgesetzes über den Datenschutz (DSG, SR 235.1) betreffend Bonusprogramm,Helsana+". Helsana lancierte dieses Bonusprogramm auf seiner Webseite am 25. September 2017.
Bei „Helsana+“ handelt es sich um ein Programm bzw. Instrument zur Gesundheitsförderung und -vorsorge der Helsana Zusatzversicherungen AG. Die Teilnehmenden sollen auf spiele- rische Art und Weise zu einem gesundheitsbewussten Verhalten und bewegungsbetonten Lebensstil animiert werden, indem ihre Aktivitäten mit Pluspunkten belohnt werden. Durch das Herunterladen der sog. „Helsana+-App“ auf ihr Mobiltelefon können Helsana-Kunden solche Pluspunkte sammeln und Barauszahlungen sowie Partnerangebote erhalten. Zur Ge- nerierung der Punkte übermittelt die App keine Messungen von Vital- bzw. Bewegungsdaten wie Kalorien, Puls oder Schritten. Die Teilnehmenden erbringen die für die Sammlung von Punkten notwendigen Nachweise ihrer absolvierten Aktivitäten gegenüber Helsana in ande- rer Form, bspw. als Foto-Upload.
Ziel der Sachverhaltsabklärung des EDÖB war es festzustellen, ob die von den beiden Mit- gliedern der Helsana Gruppe im Rahmen dieses Bonusprogrammes vorgenommene Daten- bearbeitung datenschutzkonform ist. Da „Helsana+“ sowohl die Grund- als auch die Zusatz- versicherung tangiert, stützte der EDÖB seine Sachverhaltsabklärung auf Art. 27 DSG (Auf- sicht über Bundesorgane) und Art. 29 DSG (Abklärungen und Empfehlungen im Privatbe- reich).
Nach dem Studium und der Auswertung der von der Helsana eingereichten Unterlagen führ- te der EDÖB am Mittwoch, 20. Dezember 2017, seinen Augenschein am Hauptsitz der Hels- ana in Stettbach bei Zürich durch. Im Laufe der Sachverhaltsabklärung wurde auch das Bundesamt für Gesundheit (BAG) in das Verfahren miteinbezogen, das seine eigene Unter- suchung zum Bonusprogramm durchführte und diese mit Schreiben vom 14. Februar 2018 abschloss.
Am 17. Januar 2018 teilte der EDÖB der Helsana anlässlich einer Telefonkonferenz mit, dass die technische Prüfung abgeschlossen sei und das Bonusprogramm den Vorgaben des Datenschutzes nicht in allen Punkten entspreche. Mit Schreiben vom 31. Januar 2018 be- stritt die Helsana die fehlende Rechtskonformität. Dennoch erklärte sie sich ohne Anerken- nung einer Rechtspflicht dazu bereit, bezüglich des Registrierungsprozesses für „Helsana+“ die vom EDÖB beanstandeten Mängel der Datenbearbeitung durch entsprechende Anpas- sungen zu beheben. Abschliessend äusserte sie die Erwartung, dass die Untersuchung da- mit ohne Empfehlung abgeschlossen werden könne.
Am 23. März 2018 fand auf Einladung des Beauftragten in den Räumlichkeiten des EDÖB ein Treffen mit der Geschäftsleitung der Helsana statt. Anlässlich dieses Treffens begrüsste der Beauftragte die von der Helsana in Aussicht gestellten Anpassungen des Registrie- rungsprozesses. Weiter legte er dar, dass es zur Herstellung der Datenschutzkonformität weitergehender Anpassungen der Datenbearbeitung im Rahmen des Programms bedürfte, welche er erforderlichenfalls formell empfehlen werde.
2/5
Nach Ausbedingung einer Bedenkfrist teilte die Helsana am 29. März 2018 mit, dass sie nicht bereit sei, die vom Beauftragten geforderten Anpassungen der Datenbearbeitung an- zuerkennen. Vielmehr wünsche das Unternehmen mit Blick auf die in Aussicht gestellte for- melle Empfehlung des Beauftragten eine gerichtliche Klärung der sich stellenden Grundsatz- fragen im Interesse der ganzen Versicherungswirtschaft. Weiter stellte die Helsana dem Be- auftragten in Aussicht, jene Aspekte der Datenbearbeitung, welche den Registrierungspro- zess betreffen, bis zum Vorliegen eines rechtskräftigen Urteils freiwillig den vom EDÖB ver- langten Anpassungen zu unterziehen.
Aufgrund des Umstandes, dass die Helsana nicht bereit ist, die im Rahmen der Sachver- haltsabklärung festgestellten Verletzungen der Datenschutzvorschriften vollumfänglich anzu- erkennen und zu beheben, erlässt der EDÖB hiermit gestützt auf Art. 29 Abs. 3 DSG die nachfolgende formelle Empfehlung, wie die beanstandete Datenbearbeitung zu ändern ist.
Il. Erwägungen des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten:
1. Änderung des Anmeldeprozesses: Unterbindung des Datenflusses zwischen Zu- satz- und Grundversicherung
Im Rahmen des Registrierungsprozesses für die,Helsana+-App“ geben die Nutzer der Hels- ana Zusatzversicherungen AG eine Einwilligung ab zur Überprüfung des Vorliegens einer Grundversicherungsdeckung bei einer der Versicherungsgesellschaften der Helsana Gruppe (Helsana Versicherungen AG bzw. Progrès). Die Einwilligung wird über die Nutzungsbedin- gungen dieser App erteilt und ist eine conditio sine qua non für die Teilnahme am Programm.
Die Überprüfung der Versicherteneigenschaft bei der Grundversicherung der Helsana durch die Zusatzversicherung der Helsana setzt voraus, dass zuvor Daten von der Grundversiche- rung zur Zusatzversicherung übertragen werden. Die so übertragenen und damit i.S. von Art. 3 Bst. e. DSG bearbeiteten Informationen legen die Versicherungszugehörigkeit einer bestimmten Person bei einem konkreten Grundversicherer offen. Sie sind demzufolge Per- sonendaten gemäss Bst. a. dieser Bestimmung, ohne dass die besonderen Kriterien von besonders schützenswerten Daten oder Persönlichkeitsprofilen erfüllt wären.
Soweit die Helsana Personendatenbearbeitungen im Rahmen der Grundversicherung nach KVG bearbeitet, gelangen die datenschutzrechtlichen Bestimmungen für Bundesorgane nach dem 3. Abschnitt des DSG zur Anwendung (Maurer-Blechta N 15 zu Art. 2 DSG). Nach Art. 17 Abs. 1 DSG dürfen Bundesorgane Personendaten nur bearbeiten, wenn dafür eine gesetzliche Grundlage besteht. Die Datenübertragung müsste m.a.W. aus dem KVG selbst oder einem auf dieses gestützten Erlass des Bundesrechts hervorgehen. Entsprechende Hinweise sind indessen weder Art. 84a KVG, der die Bekanntgabe von Grundversicherungs- daten regelt, noch anderen Bestimmungen des Bundesrechts zu entnehmen.
Mangels Rechtsgrundlage erweisen sich die Übertragung dieser Daten durch die Helsana Grundversicherung an die Zusatzversicherung und die dort erfolgende Weiterbearbeitung als rechtswidrig. Als Private darf Letztere Personendaten, die weder allgemein zugänglich sind noch für ihre Aufgaben als Zusatzversicherer benötigt werden, von der Grundversicherung nicht entgegennehmen. Gemäss Art. 4 Abs. 3 DSG darf sie die von der Grundversicherung stammenden Daten auch nicht aufgrund einer Einwilligung einholen. Dies zumal auch die Helsana+ App, über deren Nutzungsbestimmungen die Einwilligung erfolgt, mit der Grund- versicherung in keinem für die Nutzer erkennbaren rechtlichen Zusammenhang steht. Der
3/5
Rechtsgültigkeit dieser Einwilligung steht zudem deren fehlende Freiwilligkeit i.S.v. Art. 4 Abs. 5 DSG entgegen, weil diese zwingend mit dem Zugang zum Programm gekoppelt ist. Das Einholen der Einwilligung durch die Helsana Zusatzversicherung vermag die gegen das Legalitätsprinzip verstossende Bearbeitung von Daten der Grundversicherung somit nicht zu heilen. Letztere stellt eine Persönlichkeitsverletzung nach Art. 12 DSG dar, die gegen die Grundsätze in Art. 4 DSG verstösst.
Der EDÖB empfiehlt der Helsana Zusatzversicherung somit, die Entgegennahme und Wei- terbearbeitung von Daten der Helsana Grundversicherung sowie das Einholen von Einwilli- gungen zu dieser Datenbearbeitung zu unterlassen. Der EDÖB begrüsst, dass die Helsana trotz Verneinung einer Rechtspflicht angekündigt hat, diese Empfehlung durch freiwillige An- passung der App zumindest bis zum vorliegenden einer rechtskräftigen gerichtlichen Ent- scheidung einzuhalten.
2. Unrechtmässige Datenbearbeitung zum Zwecke von rechtswidrigen Prämienrücker- stattungen
Wie oben ausgeführt, ist „Helsana+“ ein Bonusprogramm, das den Nutzern durch die Ver- wendung der mobilen App das Sammeln von Bonuspunkten ermöglicht. Solche werden ihnen aufgrund ihrer sportlichen Betätigung, durch sonstiges gesundheitsbewusstes Verhal- ten, durch Teilnahme am Vereinsleben oder aufgrund ihres Treueverhältnisses zu Helsana ausgerichtet.
Die Bonuspunkte können in geldwerte Vorteile umgewandelt werden, sei es in Form von Barauszahlungen oder Rabatten bei Helsana-Partnerfirmen. Diese Umwandlung steht aus- schliesslich Kunden der Helsana offen. Während der sog. „cash back“ für Helsana Zusatz- versicherte mit oder ohne Helsana Grundversicherung bis CHF 300.— pro Jahr beträgt, ist derselbe für die Helsana Grundversicherten ohne Helsana Zusatzversicherung auf max. CHF 75.— limitiert.
Die Bearbeitung der genannten Information über die Kassenzugehörigkeit dient somit in Ver- bindung mit Informationen über die gesammelten Punkte dem Zweck, für jeden Teilnehmen- den den ihm zustehenden Programmvorteil zu berechnen. Im Falle der bei der Helsana aus- schliesslich Grundversicherten kann der berechnete Betrag zwischen CHF 0.-- bis 75.— aus- fallen. Ausschliesslich obligatorisch Versicherten anderer Gesellschaften als der Helsana stehen diese geldwerten Vorteile nicht zu, obwohl auch sie am Programm teilnehmen kön- nen. Damit wird deutlich, dass es sich bei diesen Vorteilen nicht um ein Geschenk, sondern eine Gegenleistung handelt, die davon abhängt, ob der Programmteilnehmer Prämienzahler der Helsana Grundversicherung ist. Aufgrund dieses offensichtlichen Zusammenhangs wird deutlich, dass die personenbezogene Bearbeitung der Kassenzugehörigkeitsdaten im Rah- men des Helsana+ Programms wirtschaftlich darauf herausläuft, den ausschliesslich Helsa- na Grundversicherten nach Massgabe der gesammelten Punkte einen Teil ihrer Grundversi- cherungsprämien zurückzuerstatten.
Gemäss Art. 62 KVG bedürfen Prämienprogramme wie die Gewährung von Rabatten gegen Selbstbehalte im Bereich der obligatorischen Krankenversicherungen einer gesetzlichen Grundlage und darauf abgestützten aufsichtsbehördlichen Genehmigungen. Solche sind für die erwähnten Rückerstattungen von max. CHF 75.— nicht ersichtlich. Zudem sind die Prä- mienmodelle der Grundversicherung dem Prinzip gleicher Prämien nach Art. 61 KVG ver- pflichtet, von dem nur das Gesetz dispensieren kann. Abweichende Verträge und Einwilli- gungen wären nur beachtlich, soweit das Sozialversicherungsrecht explizit privatautonome Gestaltungsräume vorbehielte, was vorliegend ebenfalls nicht ersichtlich ist. Damit erweisen
4/5
sich die von der Helsana gewährten geldwerten Rückerstattungen unabhängig von deren Höhe als rechtswidrig.
Der EDÖB empfiehlt der Helsana Zusatzversicherung, im Rahmen des Programmes Helsa- na+ die Bearbeitung von Kassenzugehörigkeits- und anderen Daten von Kunden, die bei der Helsana ausschliesslich grundversichert sind, zum Zwecke der Bemessung und rechtswidri- gen Ausrichtung geldwerter Rückerstattungen zu unterlassen.
Aufgrund der im Zusammenhang mit der Personendatenbearbeitung im Rahmen des Pro- gramms Helsana+ festgestellten Verstösse gegen das Datenschutzrecht ist diese entspre- chend zu korrigieren.
Il. Aufgrund dieser Erwägungen empfiehlt der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte:
Erwägungen (2 Absätze)
E. 1 Änderung des Anmeldeprozesses: Unterbindung des Datenflusses zwischen Zu- satz- und Grundversicherung
Im Rahmen des Registrierungsprozesses für die,Helsana+-App“ geben die Nutzer der Hels- ana Zusatzversicherungen AG eine Einwilligung ab zur Überprüfung des Vorliegens einer Grundversicherungsdeckung bei einer der Versicherungsgesellschaften der Helsana Gruppe (Helsana Versicherungen AG bzw. Progrès). Die Einwilligung wird über die Nutzungsbedin- gungen dieser App erteilt und ist eine conditio sine qua non für die Teilnahme am Programm.
Die Überprüfung der Versicherteneigenschaft bei der Grundversicherung der Helsana durch die Zusatzversicherung der Helsana setzt voraus, dass zuvor Daten von der Grundversiche- rung zur Zusatzversicherung übertragen werden. Die so übertragenen und damit i.S. von Art. 3 Bst. e. DSG bearbeiteten Informationen legen die Versicherungszugehörigkeit einer bestimmten Person bei einem konkreten Grundversicherer offen. Sie sind demzufolge Per- sonendaten gemäss Bst. a. dieser Bestimmung, ohne dass die besonderen Kriterien von besonders schützenswerten Daten oder Persönlichkeitsprofilen erfüllt wären.
Soweit die Helsana Personendatenbearbeitungen im Rahmen der Grundversicherung nach KVG bearbeitet, gelangen die datenschutzrechtlichen Bestimmungen für Bundesorgane nach dem 3. Abschnitt des DSG zur Anwendung (Maurer-Blechta N 15 zu Art. 2 DSG). Nach Art. 17 Abs. 1 DSG dürfen Bundesorgane Personendaten nur bearbeiten, wenn dafür eine gesetzliche Grundlage besteht. Die Datenübertragung müsste m.a.W. aus dem KVG selbst oder einem auf dieses gestützten Erlass des Bundesrechts hervorgehen. Entsprechende Hinweise sind indessen weder Art. 84a KVG, der die Bekanntgabe von Grundversicherungs- daten regelt, noch anderen Bestimmungen des Bundesrechts zu entnehmen.
Mangels Rechtsgrundlage erweisen sich die Übertragung dieser Daten durch die Helsana Grundversicherung an die Zusatzversicherung und die dort erfolgende Weiterbearbeitung als rechtswidrig. Als Private darf Letztere Personendaten, die weder allgemein zugänglich sind noch für ihre Aufgaben als Zusatzversicherer benötigt werden, von der Grundversicherung nicht entgegennehmen. Gemäss Art. 4 Abs. 3 DSG darf sie die von der Grundversicherung stammenden Daten auch nicht aufgrund einer Einwilligung einholen. Dies zumal auch die Helsana+ App, über deren Nutzungsbestimmungen die Einwilligung erfolgt, mit der Grund- versicherung in keinem für die Nutzer erkennbaren rechtlichen Zusammenhang steht. Der
3/5
Rechtsgültigkeit dieser Einwilligung steht zudem deren fehlende Freiwilligkeit i.S.v. Art. 4 Abs. 5 DSG entgegen, weil diese zwingend mit dem Zugang zum Programm gekoppelt ist. Das Einholen der Einwilligung durch die Helsana Zusatzversicherung vermag die gegen das Legalitätsprinzip verstossende Bearbeitung von Daten der Grundversicherung somit nicht zu heilen. Letztere stellt eine Persönlichkeitsverletzung nach Art. 12 DSG dar, die gegen die Grundsätze in Art. 4 DSG verstösst.
Der EDÖB empfiehlt der Helsana Zusatzversicherung somit, die Entgegennahme und Wei- terbearbeitung von Daten der Helsana Grundversicherung sowie das Einholen von Einwilli- gungen zu dieser Datenbearbeitung zu unterlassen. Der EDÖB begrüsst, dass die Helsana trotz Verneinung einer Rechtspflicht angekündigt hat, diese Empfehlung durch freiwillige An- passung der App zumindest bis zum vorliegenden einer rechtskräftigen gerichtlichen Ent- scheidung einzuhalten.
E. 2 Unrechtmässige Datenbearbeitung zum Zwecke von rechtswidrigen Prämienrücker- stattungen
Wie oben ausgeführt, ist „Helsana+“ ein Bonusprogramm, das den Nutzern durch die Ver- wendung der mobilen App das Sammeln von Bonuspunkten ermöglicht. Solche werden ihnen aufgrund ihrer sportlichen Betätigung, durch sonstiges gesundheitsbewusstes Verhal- ten, durch Teilnahme am Vereinsleben oder aufgrund ihres Treueverhältnisses zu Helsana ausgerichtet.
Die Bonuspunkte können in geldwerte Vorteile umgewandelt werden, sei es in Form von Barauszahlungen oder Rabatten bei Helsana-Partnerfirmen. Diese Umwandlung steht aus- schliesslich Kunden der Helsana offen. Während der sog. „cash back“ für Helsana Zusatz- versicherte mit oder ohne Helsana Grundversicherung bis CHF 300.— pro Jahr beträgt, ist derselbe für die Helsana Grundversicherten ohne Helsana Zusatzversicherung auf max. CHF 75.— limitiert.
Die Bearbeitung der genannten Information über die Kassenzugehörigkeit dient somit in Ver- bindung mit Informationen über die gesammelten Punkte dem Zweck, für jeden Teilnehmen- den den ihm zustehenden Programmvorteil zu berechnen. Im Falle der bei der Helsana aus- schliesslich Grundversicherten kann der berechnete Betrag zwischen CHF 0.-- bis 75.— aus- fallen. Ausschliesslich obligatorisch Versicherten anderer Gesellschaften als der Helsana stehen diese geldwerten Vorteile nicht zu, obwohl auch sie am Programm teilnehmen kön- nen. Damit wird deutlich, dass es sich bei diesen Vorteilen nicht um ein Geschenk, sondern eine Gegenleistung handelt, die davon abhängt, ob der Programmteilnehmer Prämienzahler der Helsana Grundversicherung ist. Aufgrund dieses offensichtlichen Zusammenhangs wird deutlich, dass die personenbezogene Bearbeitung der Kassenzugehörigkeitsdaten im Rah- men des Helsana+ Programms wirtschaftlich darauf herausläuft, den ausschliesslich Helsa- na Grundversicherten nach Massgabe der gesammelten Punkte einen Teil ihrer Grundversi- cherungsprämien zurückzuerstatten.
Gemäss Art. 62 KVG bedürfen Prämienprogramme wie die Gewährung von Rabatten gegen Selbstbehalte im Bereich der obligatorischen Krankenversicherungen einer gesetzlichen Grundlage und darauf abgestützten aufsichtsbehördlichen Genehmigungen. Solche sind für die erwähnten Rückerstattungen von max. CHF 75.— nicht ersichtlich. Zudem sind die Prä- mienmodelle der Grundversicherung dem Prinzip gleicher Prämien nach Art. 61 KVG ver- pflichtet, von dem nur das Gesetz dispensieren kann. Abweichende Verträge und Einwilli- gungen wären nur beachtlich, soweit das Sozialversicherungsrecht explizit privatautonome Gestaltungsräume vorbehielte, was vorliegend ebenfalls nicht ersichtlich ist. Damit erweisen
4/5
sich die von der Helsana gewährten geldwerten Rückerstattungen unabhängig von deren Höhe als rechtswidrig.
Der EDÖB empfiehlt der Helsana Zusatzversicherung, im Rahmen des Programmes Helsa- na+ die Bearbeitung von Kassenzugehörigkeits- und anderen Daten von Kunden, die bei der Helsana ausschliesslich grundversichert sind, zum Zwecke der Bemessung und rechtswidri- gen Ausrichtung geldwerter Rückerstattungen zu unterlassen.
Aufgrund der im Zusammenhang mit der Personendatenbearbeitung im Rahmen des Pro- gramms Helsana+ festgestellten Verstösse gegen das Datenschutzrecht ist diese entspre- chend zu korrigieren.
Il. Aufgrund dieser Erwägungen empfiehlt der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte:
Dispositiv
- Die Helsana Zusatzversicherung AG hat im Rahmen des Programms Helsana+ die Entgegennahme und Weiterbearbeitung von Daten der Helsana Grundversicherung sowie das Einholen von Einwilligungen zu dieser Datenbearbeitung zu unterlassen.
- Die Helsana Zusatzversicherung hat im Rahmen des Programmes Helsana+ die Be- arbeitung von Kassenzugehörigkeits- und anderen Daten von Kunden, die bei der Helsana ausschliesslich grundversichert sind, zum Zwecke der Bemessung und rechtswidrigen Ausrichtung geldwerter Rückerstattungen zu unterlassen.
- Sobald festgestellt werden kann, dass die Helsana Zusatzversicherungen AG dieser Empfehlung vollumfänglich Folge leistet, kann die vorliegende Sachverhaltsabklärung abgeschlossen werden. Diese Empfehlung richtet sich an die Helsana Zusatzversicherungen AG. Diese teilt dem EDÖB innerhalb von 30 Tagen mit, ob sie diese Empfehlung annimmt oder ablehnt. Falls diese Empfehlung abgelehnt oder nicht befolgt wird, kann der EDÖB gestützt auf Art. 29 Abs. 4 DSG die Angelegenheit dem Bundesverwaltungsgericht vorlegen. Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter N Adrian Lobsiger Kopie an: - Eidg. Finanzmarktaufsicht FINMA, Direktionsbereich Versicherungen, 3003 Bern - Bundesamt für Gesundheit BAG, Direktionsbereich Kranken- und Unfallversicherung, 3003
Volltext (verifizierbarer Originaltext)
Schweizerische Eidgenossenschaft Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter Confédération suisse EDÖB
Confederazione Svizzera
Confederaziun svizra
A2018.04.13-0001 / 2017-00236 20.04.2018/BC
Empfehlung des
Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDOB)
vom 26. April 2018
gemäss Artikel 29 des Bundesgesetzes vom 19. Juni 1992 über den Datenschutz (DSG; SR 235.1)
betreffend
Bonusprogramm Helsana+
der Helsana Zusatzversicherungen AG
Feldeggweg 1, 3003 Bern Tel. 058 463 74 84, Fax 058 465 99 96 www.edoeb.admin.ch
I. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte stellt fest:
1. Sachverhalt
Mit Schreiben vom 11. Oktober 2017 eröffnete der Eidg. Datenschutz- und Öffentlichkeitsbe- auftragte (EDÖB) gegenüber der Helsana Versicherungen AG und der Helsana Zusatzversi- cherungen AG eine Sachverhaltsabklärung gemäss den Art. 27 und 29 des Bundesgesetzes über den Datenschutz (DSG, SR 235.1) betreffend Bonusprogramm,Helsana+". Helsana lancierte dieses Bonusprogramm auf seiner Webseite am 25. September 2017.
Bei „Helsana+“ handelt es sich um ein Programm bzw. Instrument zur Gesundheitsförderung und -vorsorge der Helsana Zusatzversicherungen AG. Die Teilnehmenden sollen auf spiele- rische Art und Weise zu einem gesundheitsbewussten Verhalten und bewegungsbetonten Lebensstil animiert werden, indem ihre Aktivitäten mit Pluspunkten belohnt werden. Durch das Herunterladen der sog. „Helsana+-App“ auf ihr Mobiltelefon können Helsana-Kunden solche Pluspunkte sammeln und Barauszahlungen sowie Partnerangebote erhalten. Zur Ge- nerierung der Punkte übermittelt die App keine Messungen von Vital- bzw. Bewegungsdaten wie Kalorien, Puls oder Schritten. Die Teilnehmenden erbringen die für die Sammlung von Punkten notwendigen Nachweise ihrer absolvierten Aktivitäten gegenüber Helsana in ande- rer Form, bspw. als Foto-Upload.
Ziel der Sachverhaltsabklärung des EDÖB war es festzustellen, ob die von den beiden Mit- gliedern der Helsana Gruppe im Rahmen dieses Bonusprogrammes vorgenommene Daten- bearbeitung datenschutzkonform ist. Da „Helsana+“ sowohl die Grund- als auch die Zusatz- versicherung tangiert, stützte der EDÖB seine Sachverhaltsabklärung auf Art. 27 DSG (Auf- sicht über Bundesorgane) und Art. 29 DSG (Abklärungen und Empfehlungen im Privatbe- reich).
Nach dem Studium und der Auswertung der von der Helsana eingereichten Unterlagen führ- te der EDÖB am Mittwoch, 20. Dezember 2017, seinen Augenschein am Hauptsitz der Hels- ana in Stettbach bei Zürich durch. Im Laufe der Sachverhaltsabklärung wurde auch das Bundesamt für Gesundheit (BAG) in das Verfahren miteinbezogen, das seine eigene Unter- suchung zum Bonusprogramm durchführte und diese mit Schreiben vom 14. Februar 2018 abschloss.
Am 17. Januar 2018 teilte der EDÖB der Helsana anlässlich einer Telefonkonferenz mit, dass die technische Prüfung abgeschlossen sei und das Bonusprogramm den Vorgaben des Datenschutzes nicht in allen Punkten entspreche. Mit Schreiben vom 31. Januar 2018 be- stritt die Helsana die fehlende Rechtskonformität. Dennoch erklärte sie sich ohne Anerken- nung einer Rechtspflicht dazu bereit, bezüglich des Registrierungsprozesses für „Helsana+“ die vom EDÖB beanstandeten Mängel der Datenbearbeitung durch entsprechende Anpas- sungen zu beheben. Abschliessend äusserte sie die Erwartung, dass die Untersuchung da- mit ohne Empfehlung abgeschlossen werden könne.
Am 23. März 2018 fand auf Einladung des Beauftragten in den Räumlichkeiten des EDÖB ein Treffen mit der Geschäftsleitung der Helsana statt. Anlässlich dieses Treffens begrüsste der Beauftragte die von der Helsana in Aussicht gestellten Anpassungen des Registrie- rungsprozesses. Weiter legte er dar, dass es zur Herstellung der Datenschutzkonformität weitergehender Anpassungen der Datenbearbeitung im Rahmen des Programms bedürfte, welche er erforderlichenfalls formell empfehlen werde.
2/5
Nach Ausbedingung einer Bedenkfrist teilte die Helsana am 29. März 2018 mit, dass sie nicht bereit sei, die vom Beauftragten geforderten Anpassungen der Datenbearbeitung an- zuerkennen. Vielmehr wünsche das Unternehmen mit Blick auf die in Aussicht gestellte for- melle Empfehlung des Beauftragten eine gerichtliche Klärung der sich stellenden Grundsatz- fragen im Interesse der ganzen Versicherungswirtschaft. Weiter stellte die Helsana dem Be- auftragten in Aussicht, jene Aspekte der Datenbearbeitung, welche den Registrierungspro- zess betreffen, bis zum Vorliegen eines rechtskräftigen Urteils freiwillig den vom EDÖB ver- langten Anpassungen zu unterziehen.
Aufgrund des Umstandes, dass die Helsana nicht bereit ist, die im Rahmen der Sachver- haltsabklärung festgestellten Verletzungen der Datenschutzvorschriften vollumfänglich anzu- erkennen und zu beheben, erlässt der EDÖB hiermit gestützt auf Art. 29 Abs. 3 DSG die nachfolgende formelle Empfehlung, wie die beanstandete Datenbearbeitung zu ändern ist.
Il. Erwägungen des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten:
1. Änderung des Anmeldeprozesses: Unterbindung des Datenflusses zwischen Zu- satz- und Grundversicherung
Im Rahmen des Registrierungsprozesses für die,Helsana+-App“ geben die Nutzer der Hels- ana Zusatzversicherungen AG eine Einwilligung ab zur Überprüfung des Vorliegens einer Grundversicherungsdeckung bei einer der Versicherungsgesellschaften der Helsana Gruppe (Helsana Versicherungen AG bzw. Progrès). Die Einwilligung wird über die Nutzungsbedin- gungen dieser App erteilt und ist eine conditio sine qua non für die Teilnahme am Programm.
Die Überprüfung der Versicherteneigenschaft bei der Grundversicherung der Helsana durch die Zusatzversicherung der Helsana setzt voraus, dass zuvor Daten von der Grundversiche- rung zur Zusatzversicherung übertragen werden. Die so übertragenen und damit i.S. von Art. 3 Bst. e. DSG bearbeiteten Informationen legen die Versicherungszugehörigkeit einer bestimmten Person bei einem konkreten Grundversicherer offen. Sie sind demzufolge Per- sonendaten gemäss Bst. a. dieser Bestimmung, ohne dass die besonderen Kriterien von besonders schützenswerten Daten oder Persönlichkeitsprofilen erfüllt wären.
Soweit die Helsana Personendatenbearbeitungen im Rahmen der Grundversicherung nach KVG bearbeitet, gelangen die datenschutzrechtlichen Bestimmungen für Bundesorgane nach dem 3. Abschnitt des DSG zur Anwendung (Maurer-Blechta N 15 zu Art. 2 DSG). Nach Art. 17 Abs. 1 DSG dürfen Bundesorgane Personendaten nur bearbeiten, wenn dafür eine gesetzliche Grundlage besteht. Die Datenübertragung müsste m.a.W. aus dem KVG selbst oder einem auf dieses gestützten Erlass des Bundesrechts hervorgehen. Entsprechende Hinweise sind indessen weder Art. 84a KVG, der die Bekanntgabe von Grundversicherungs- daten regelt, noch anderen Bestimmungen des Bundesrechts zu entnehmen.
Mangels Rechtsgrundlage erweisen sich die Übertragung dieser Daten durch die Helsana Grundversicherung an die Zusatzversicherung und die dort erfolgende Weiterbearbeitung als rechtswidrig. Als Private darf Letztere Personendaten, die weder allgemein zugänglich sind noch für ihre Aufgaben als Zusatzversicherer benötigt werden, von der Grundversicherung nicht entgegennehmen. Gemäss Art. 4 Abs. 3 DSG darf sie die von der Grundversicherung stammenden Daten auch nicht aufgrund einer Einwilligung einholen. Dies zumal auch die Helsana+ App, über deren Nutzungsbestimmungen die Einwilligung erfolgt, mit der Grund- versicherung in keinem für die Nutzer erkennbaren rechtlichen Zusammenhang steht. Der
3/5
Rechtsgültigkeit dieser Einwilligung steht zudem deren fehlende Freiwilligkeit i.S.v. Art. 4 Abs. 5 DSG entgegen, weil diese zwingend mit dem Zugang zum Programm gekoppelt ist. Das Einholen der Einwilligung durch die Helsana Zusatzversicherung vermag die gegen das Legalitätsprinzip verstossende Bearbeitung von Daten der Grundversicherung somit nicht zu heilen. Letztere stellt eine Persönlichkeitsverletzung nach Art. 12 DSG dar, die gegen die Grundsätze in Art. 4 DSG verstösst.
Der EDÖB empfiehlt der Helsana Zusatzversicherung somit, die Entgegennahme und Wei- terbearbeitung von Daten der Helsana Grundversicherung sowie das Einholen von Einwilli- gungen zu dieser Datenbearbeitung zu unterlassen. Der EDÖB begrüsst, dass die Helsana trotz Verneinung einer Rechtspflicht angekündigt hat, diese Empfehlung durch freiwillige An- passung der App zumindest bis zum vorliegenden einer rechtskräftigen gerichtlichen Ent- scheidung einzuhalten.
2. Unrechtmässige Datenbearbeitung zum Zwecke von rechtswidrigen Prämienrücker- stattungen
Wie oben ausgeführt, ist „Helsana+“ ein Bonusprogramm, das den Nutzern durch die Ver- wendung der mobilen App das Sammeln von Bonuspunkten ermöglicht. Solche werden ihnen aufgrund ihrer sportlichen Betätigung, durch sonstiges gesundheitsbewusstes Verhal- ten, durch Teilnahme am Vereinsleben oder aufgrund ihres Treueverhältnisses zu Helsana ausgerichtet.
Die Bonuspunkte können in geldwerte Vorteile umgewandelt werden, sei es in Form von Barauszahlungen oder Rabatten bei Helsana-Partnerfirmen. Diese Umwandlung steht aus- schliesslich Kunden der Helsana offen. Während der sog. „cash back“ für Helsana Zusatz- versicherte mit oder ohne Helsana Grundversicherung bis CHF 300.— pro Jahr beträgt, ist derselbe für die Helsana Grundversicherten ohne Helsana Zusatzversicherung auf max. CHF 75.— limitiert.
Die Bearbeitung der genannten Information über die Kassenzugehörigkeit dient somit in Ver- bindung mit Informationen über die gesammelten Punkte dem Zweck, für jeden Teilnehmen- den den ihm zustehenden Programmvorteil zu berechnen. Im Falle der bei der Helsana aus- schliesslich Grundversicherten kann der berechnete Betrag zwischen CHF 0.-- bis 75.— aus- fallen. Ausschliesslich obligatorisch Versicherten anderer Gesellschaften als der Helsana stehen diese geldwerten Vorteile nicht zu, obwohl auch sie am Programm teilnehmen kön- nen. Damit wird deutlich, dass es sich bei diesen Vorteilen nicht um ein Geschenk, sondern eine Gegenleistung handelt, die davon abhängt, ob der Programmteilnehmer Prämienzahler der Helsana Grundversicherung ist. Aufgrund dieses offensichtlichen Zusammenhangs wird deutlich, dass die personenbezogene Bearbeitung der Kassenzugehörigkeitsdaten im Rah- men des Helsana+ Programms wirtschaftlich darauf herausläuft, den ausschliesslich Helsa- na Grundversicherten nach Massgabe der gesammelten Punkte einen Teil ihrer Grundversi- cherungsprämien zurückzuerstatten.
Gemäss Art. 62 KVG bedürfen Prämienprogramme wie die Gewährung von Rabatten gegen Selbstbehalte im Bereich der obligatorischen Krankenversicherungen einer gesetzlichen Grundlage und darauf abgestützten aufsichtsbehördlichen Genehmigungen. Solche sind für die erwähnten Rückerstattungen von max. CHF 75.— nicht ersichtlich. Zudem sind die Prä- mienmodelle der Grundversicherung dem Prinzip gleicher Prämien nach Art. 61 KVG ver- pflichtet, von dem nur das Gesetz dispensieren kann. Abweichende Verträge und Einwilli- gungen wären nur beachtlich, soweit das Sozialversicherungsrecht explizit privatautonome Gestaltungsräume vorbehielte, was vorliegend ebenfalls nicht ersichtlich ist. Damit erweisen
4/5
sich die von der Helsana gewährten geldwerten Rückerstattungen unabhängig von deren Höhe als rechtswidrig.
Der EDÖB empfiehlt der Helsana Zusatzversicherung, im Rahmen des Programmes Helsa- na+ die Bearbeitung von Kassenzugehörigkeits- und anderen Daten von Kunden, die bei der Helsana ausschliesslich grundversichert sind, zum Zwecke der Bemessung und rechtswidri- gen Ausrichtung geldwerter Rückerstattungen zu unterlassen.
Aufgrund der im Zusammenhang mit der Personendatenbearbeitung im Rahmen des Pro- gramms Helsana+ festgestellten Verstösse gegen das Datenschutzrecht ist diese entspre- chend zu korrigieren.
Il. Aufgrund dieser Erwägungen empfiehlt der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte:
1. Die Helsana Zusatzversicherung AG hat im Rahmen des Programms Helsana+ die Entgegennahme und Weiterbearbeitung von Daten der Helsana Grundversicherung sowie das Einholen von Einwilligungen zu dieser Datenbearbeitung zu unterlassen.
2. Die Helsana Zusatzversicherung hat im Rahmen des Programmes Helsana+ die Be- arbeitung von Kassenzugehörigkeits- und anderen Daten von Kunden, die bei der Helsana ausschliesslich grundversichert sind, zum Zwecke der Bemessung und rechtswidrigen Ausrichtung geldwerter Rückerstattungen zu unterlassen.
3. Sobald festgestellt werden kann, dass die Helsana Zusatzversicherungen AG dieser Empfehlung vollumfänglich Folge leistet, kann die vorliegende Sachverhaltsabklärung abgeschlossen werden.
Diese Empfehlung richtet sich an die Helsana Zusatzversicherungen AG. Diese teilt dem EDÖB innerhalb von 30 Tagen mit, ob sie diese Empfehlung annimmt oder ablehnt. Falls diese Empfehlung abgelehnt oder nicht befolgt wird, kann der EDÖB gestützt auf Art. 29 Abs. 4 DSG die Angelegenheit dem Bundesverwaltungsgericht vorlegen.
Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
N
Adrian Lobsiger
Kopie an:
- Eidg. Finanzmarktaufsicht FINMA, Direktionsbereich Versicherungen, 3003 Bern
- Bundesamt für Gesundheit BAG, Direktionsbereich Kranken- und Unfallversicherung, 3003 Bern