Das Bundesverwaltungsgericht urteilte zum Vorgehen einer privaten Krankenversicherung (PKV): Sie darf Diagnosen aus zur Erstattung eingereichten Rechnungen nicht ohne Einwilligung für die Auswahl von Teilnehmern zu Vorsorgeprogrammen auswerten. Hierzu ein Überblick.
Der Inhalt im Überblick
PKV-Datenschutzverstoß bei Diagnoseauswertung ohne Einwilligung
Ein privater Krankenversicherungsverein analysierte Diagnosen aus eingereichten Rechnungen – also personenbezogene Gesundheitsdaten im Sinne des Art. 9 DSGVO, – um Versicherten passende Gesundheitsprogramme (z.B. bei Diabetes oder Rückenleiden) zur Teilnahme anzubieten.
Bei vielen Versicherten geschah dies jedoch ohne deren ausdrückliche Einwilligung. Der Landesdatenschutzbeauftragte Rheinland-Pfalz schritt ein und untersagte diese Praxis. Gegen diesen Bescheid klagte der Krankenversicherer.
Nachdem die Vorinstanzen noch für den Versicherer entschieden hatten, kassierte das Bundesverwaltungsgericht (BVerwG, Urteil vom 06.03.2026, Az. 6 C 7.24) diese Urteile, gab der informationellen Selbstbestimmung der Versicherten den Vorrang und wies daher die Klage gegen den Bescheid ab.
Das Urteil des BVerwG: Ein datenschutzrechtlicher Balanceakt
Das Gericht vollzog eine zweistufige Prüfung mit einem klaren Ergebnis:
Die Verarbeitung dieser personenbezogenen Daten zu Zwecken der Gesundheitsvorsorge ist nach Art. 9 Abs. 2 lit. h DSGVO (i.V.m. § 22 Abs.1 Nr. 1 lit. b BDSG) in diesem Fall möglich, verstößt also nicht gegen die grundsätzliche Untersagung der Verarbeitung von personenbezogenen Gesundheitsdaten gem. Art. 9 Abs.1 DSGVO. Daran ändert auch nicht, dass damit zudem Kosten gesenkt und die gesundheitsbezogenen Leistungen nicht selbst erbracht, sondern nur vermittelt werden sollten.
Als im zweiten Schritt erforderliche Rechtsgrundlage gem. Art. 6 Abs.1 DSGVO kam für den Kläger nur ein berechtigtes Interesse gem. Art. 6 Abs.1 lit. f DSGVO in Betracht. Die in diesem Zusammenhang notwendige Abwägung der Interessen des Versicherers mit denen der Versicherten und deren Rechte ergab jedoch: Die Verarbeitung war unzulässig, da die Interessen der Versicherten am Schutz ihrer hochsensiblen Gesundheitsdaten die berechtigten Interessen des Versicherers überwiegen.
Die entscheidenden Gründe für das Gericht waren:
- Erhöhter Schutzbedarf sensibler Gesundheitsdaten gem. Art. 9 DSGVO
- Die angebotenen Versorgungsprogramme fallen nicht in den medizinischen Kernbereich
- Große Streubreite der Datenverarbeitung
- Verstoß gegen Art. 13 Abs.1 lit. d DSGVO mangels ausreichender Information über die vom Versicherer verfolgten Interessen
Konsequenz: Ohne eine freiwillige, informierte und ausdrückliche Einwilligung war die systematische Auswertung von Diagnosen für Vorsorgeprogramme unzulässig.
Womöglich wäre auch der Grundsatz der Zweckbindung verletzt gewesen (s. Art. 5 Abs.1 lit. b, Art. 6 Abs.4 DSGVO) – darüber hat das Gericht aber nicht entschieden.
Was bedeutet die Entscheidung des Bundesverwaltungsgerichts für die Praxis?
Für Versicherungsunternehmen: Versicherer sollten ihre Prozesse dringend überprüfen. Insbesondere:
- Einwilligungen prüfen:
Liegt für jede Nutzung von Diagnosedaten aus zur Erstattung eingereichten Rechnungen, die über die reine Kostenerstattung hinausgeht, eine wirksame Einwilligung vor? - Transparenz herstellen:
Waren und sind die Datenschutzinformationen (vgl. Art. 13 DSGVO) klar, verständlich und vollständig? - Zweckbindung achten:
Werden Daten nur für den Zweck genutzt, für den sie erhoben wurden?
Für Versicherte: Dieses Urteil stärkt die Rechte der Versicherten. Danach dürfen Diagnosen auf zur Kostenerstattung eingereichten Rechnungen nicht ohne ihre Zustimmung für Werbe- bzw. Programmzwecke analysiert werden.
Gesundheitsdaten sind kein Freiwild
Das Bundesverwaltungsgericht hat klargestellt, dass auch gut gemeinte Vorsorgeprogramme die Rechte der Versicherten nicht aushebeln dürfen. Gesundheitsdaten sind kein „Freiwild“ zur Optimierung von Geschäftsmodellen. Für Versicherer ist das eine Verdeutlichung, abzusichern, dass ihre Gesundheitsprogramme auf einer datenschutzkonformen Basis stehen.
