Die Kompetenzen des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB)
Simon Roth
80 Mit der App Helsana+ sollten (Grund-)Versicherte der Helsana zu einem gesundheitsbewussten Verhalten animiert werden, indem sie über die App gesunde Aktivitäten erfassen und Pluspunkte sammeln, die dann in Barauszahlungen oder Partnerangebote umgewandelt werden können.
Gegen diese Geschäftsidee meldete der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) jedoch Bedenken an. Mit Empfehlung vom 26. April 2018 trug er der Helsana auf, über Helsana+ keine geldwerten Rückerstattungen an Kunden fliessen zu lassen, die bei der Helsana ausschliesslich grundversichert sind.
Diese Empfehlung einer Datenschutzbehörde gründet auf Art. 62 des Krankenversicherungsgesetzes, der die besonderen Versicherungsformen der Krankenversicherung regelt. Es fehle, so der EDÖB in Erwägung 2 der Empfehlung, an einer gesetzlichen Grundlage für die Rückerstattung; und ohnehin verletze eine solche das Prinzip der gleichen Prämien gemäss Art. 61 KVG. Daher sei die Rückerstattung rechtswidrig.
Keinerlei Bezug macht die besagte Erwägung hingegen zum Datenschutzgesetz, über dessen Einhaltung der EDÖB bekanntlich zu wachen hat (Art. 27 Abs. 1 DSG). Erst das Dispositiv der Empfehlung findet zum Datenschutz und gibt der Angelegenheit einen scheinbar datenschutzrechtlichen Gehalt: Helsana solle im Zusammenhang mit Helsana+ auf die Bearbeitung von Kassenzugehörigkeits- und anderen Daten von ausschliesslich grundversicherten Kunden verzichten.
Wird der EDÖB immer dann, wenn in einem aufsichtsrechtlich relevanten Zusammenhang Personendaten bearbeitet werden, zur Nachprüfung berufen?
Das Bundesamt für Gesundheit (BAG), seines Zeichens Aufsichtsbehörde über die soziale Krankenversicherung (Art. 56 KVAG), hatte vor Erlass der Empfehlung des EDÖB jedoch grünes Licht für die App und das Bonusprogramm gegeben.
Zweifelsohne statuiert das Datenschutzgesetz als einen der Bearbeitungsgrundsätze, dass 81 Personendaten nur rechtmässig bearbeitet werden dürfen (Art. 4 Abs. 1 DSG). Bearbeitungszwecke, die sich aus datenschutzfremden (z. B. krankenversicherungsrechtlichen) Gründen rechtswidrig erweisen, sind auch datenschutzrechtlich unzulässig (zumindest ohne Rechtfertigungsgrund, Art. 13 DSG).
Doch wird der EDÖB dadurch immer dann, wenn in einem aufsichtsrechtlich relevanten Zusammenhang Personendaten bearbeitet werden, unter dem Titel der datenschutzrechtlichen Rechtmässigkeitskontrolle zur Nachprüfung des aufsichtsbehördlichen Handelns berufen?
Wohl kaum. Der EDÖB als nicht-sachkompetente Behörde wird im Bereich der Auslegung des Krankversicherungsrechts an den Entscheid des BAG als sachkompetente Behörde gebunden. Hat das BAG also entschieden, Helsana+ sei krankenversicherungsrechtlich zulässig, so geht es nicht an, dass der EDÖB diese Auffassung unter datenschutzrechtlichen Vorwänden nachprüft. Die Rückerstattung als solche hat für die Zwecke von Art. 4 Abs. 1 DSG als rechtmässig zu gelten. Alles andere käme einer Kompetenzüberschreitung des EDÖB gleich.
Es bleibt also zu hoffen, dass das Bundesverwaltungsgericht in der mittlerweile eingereichten Behördenklage des EDÖB den Kompetenzbereich desselben besser abzustecken vermag. Denn wenn für etwas keine gesetzliche Grundlage besteht, dann für eine unbeschränkte Nachprüfungsbefugnis des EDÖB in datenschutzfremden Rechtsgebieten.