sic! 2019 Ausgabe 10

«Helsana+». Bundesverwaltungsgericht vom 19. März 2019

3. Persönlichkeits- und Datenschutzrecht

DSG 29 I a, 3 e. Gegenstand von Sachverhaltsabklärungen des EDÖB können alle Datenbearbeitungen sein, solange diese methodisch bzw. wiederkehrend erfolgen und potenziell eine grössere Anzahl von Personen betreffen (E. 1.6).
DSG 12 ff.; KVAG 4; VAG 1 ff. Ein privates Versicherungsunternehmen wird nicht zum Bundesorgan, weil es Daten bearbeitet, die aus der Durchführung der obligatorischen Krankenpflegeversicherung stammen, sondern untersteht auch diesbezüglich den DSG-Bestimmungen zur Bearbeitung von Personendaten durch Private. Im Unterschied dazu unterstehen Versicherungsunternehmen, die über eine Bewilligung zur Durchführung der sozialen Krankenversicherung verfügen, diesbezüglich den Regeln für das Bearbeiten von Personendaten durch Bundesorgane (E. 4.5).
DSG 4 V. Die Koppelung der Teilnahme an einem Bonusprogramm mit einer Einwilligung zur Bearbeitung von Personendaten ist unter dem Gesichtspunkt der Freiwilligkeit unproblematisch, wenn die betreffende Datenbearbeitung einen direkten Bezug zur Durchführung des Programms hat und die einzige Folge einer Nichteinwilligung die Unmöglichkeit der Teilnahme ist. Dies gilt auch, wenn das Bonusprogramm mit (vorliegend geringfügigen) geldwerten Vorteilen lockt (E. 4.7).
DSG 19 I b; ATSG 33; KVG 84a V b. Werden Personendaten in einem automatisierten Prozess mehrmals jährlich abgefragt, kann der damit verbundene Eingriff in die sozialversicherungsrechtliche Verschwiegenheitspflicht bzw. die damit verbundene Bekanntgabe von Personendaten nicht mit einer einmaligen Einwilligung der Betroffenen gerechtfertigt werden, zumal die Einwilligung im Einzelfall erfolgen muss (E. 4.8).
DSG 4 V. Einwilligungen, die auf umfangreichen und breit formulierten Nutzungs- und Datenschutzbestimmungen beruhen, welche keine einschränkenden Hinweise auf den Zweck und den Umfang der beabsichtigten Datenbearbeitung enthalten, sind mangels angemessener Information ungültig (E. 4.8.4).
KVG 84a V b; OR 14. Eine Einwilligung, die durch Anklicken einer Schaltfläche in einer App erfolgt, ist keine schriftliche Einwilligung (E. 4.8.4).
DSG 4 V, 19 I b. Das DSG kennt rechtmässige und unrechtmässige Einwilligungen, aber kein Verbot, Einwilligungen einzuholen (E. 4.9).
DSG 4 I; KVG 61 f. Verfolgt eine Datenbearbeitung einen rechtswidrigen Zweck, ist sie nur dann auch unrechtmässig im Sinne des DSG, wenn gegen eine Norm verstossen wird, die direkt oder indirekt (zumindest auch) den Persönlichkeitsschutz bezweckt. Das krankenversicherungsrechtliche Prämienrückerstattungsverbot ist keine solche Norm (E. 5.4-5.6). [Volltext]


3. Protection de la personnalité et protection des données

LPD 29 I a, 3 e. Tout traitement de données peut faire l’objet d’un établissement des faits par le PFPDT pour autant que ledit traitement soit méthodique, respectivement récurrent, et concerne potentiellement un grand nombre de personnes (consid. 1.6).
LPD 12 ss; LSAMal 4; LSA 1 ss. Une entreprise d’assurance privée ne devient pas un organe fédéral du fait qu’elle traite des données provenant de la pratique de l’assurance-maladie obligatoire, mais elle est soumise aux dispositions de la LPD relatives au traitement de données personnelles par des privés. En revanche, les entreprises d’assurance qui disposent d’une autorisation de pratiquer l’assurance-maladie sociale sont soumises dans ce cadre aux règles sur le traitement des données personnelles par les organes fédéraux (consid. 4.5).
LPD 4 V. Le couplage de la participation à un programme de bonus avec le consentement au traitement des données personnelles n’est pas problématique du point de vue du caractère libre du consentement lorsque le traitement des données en cause est directement lié à la mise en œuvre du programme et que la seule conséquence du refus est l’impossibilité de participer. Ceci s’applique aussi lorsque le programme de bonus attire à l’aide d’avantages pécuniaires (en l’espèce mineurs) (consid. 4.7).
LPD 19 I b; LPGA 33; LAMal 84a V b. Si des données personnelles sont demandées plusieurs fois par année dans le cadre d’une procédure automatisée, l’atteinte au devoir de confidentialité du droit social, respectivement la communication de données personnelles qui en découle, ne peut être justifiée par un consentement unique de la personne concernée, d’autant plus que le consentement doit être donné dans le cas d’espèce (consid. 4.8).
LPD 4 V. Les consentements fondés sur des conditions d’utilisation et de protection des données formulées de manière étendues et larges, qui ne contiennent aucune référence restrictive à la finalité et l’étendue du traitement des données contemplé, ne sont pas valables à défaut d’une information convenable (consid. 4.8.4).
LAMal 84a V b; CO 14. Le consentement donné en cliquant sur un bouton dans une application ne constitue pas un consentement écrit (consid. 4.8.4).
LPD 4 V, 19 I b. La LPD connaît des consentements conformes au droit et non conformes au droit, mais pas d’interdiction à rechercher des consentements (consid. 4.9).
LPD 4 I; LAMal 61 s. Si le traitement de données poursuit une finalité illicite, il n’est illicite au sens de la LPD que s’il viole une norme qui vise directement ou indirectement (à tout le moins également) à protéger la personnalité. L’interdiction du remboursement des primes en vertu du droit sur l’assurance maladie ne constitue pas une telle norme (consid. 5.4-5.6). [texte complet]



Abteilung I; teilweise Gutheissung der Klage; Akten-Nr. A-3548/2018.

Fenster schliessen