Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Cover Cover Jetzt testen
Audit ChatGPT Checklisten Muster Vorlagen EuGH Homeoffice KI KRITIS Microsoft 365 NIS-2 Rechenschaftspflicht Urteil
Menü
Aktuelle Ausgabe

Datenschutz PRAXIS 06/26

Zeitschrift - Aktuelle Ausgabe

jetzt informieren
Audit ChatGPT Checklisten Muster Vorlagen EuGH Homeoffice KI KRITIS Microsoft 365 NIS-2 Rechenschaftspflicht Urteil
05. Juni 2026

Auswertung von Diagnosen durch Krankenversicherungen

Auswertung von Diagnosen durch Krankenversicherungen
Bild: Getty Images/jacoblund
0,00 (0)
drucken
Inhalte in diesem Beitrag
Auch zur Gesundheitsvorsorge?
Asthma, Diabetes, der „Rücken“ – Präventionsmaßnahmen könnten manches verhindern. Das dachte sich auch eine private Krankenversicherung. Sie wertete die Diagnosen in den Rechnungen aus, die ihre Versicherten zur Erstattung einreichten. In geeigneten Fällen machte sie dann Angebote für kostenfreie Präventionsmaßnahmen. Doch die zuständige Datenschutzaufsicht reagierte darauf recht allergisch. Aus ihrer Sicht fehlte es an der nötigen Einwilligung der Versicherten. Das Bundesverwaltungsgericht nutzt die Gelegenheit für eine ausführliche Grundsatzentscheidung.

Von 100 Personen in Deutschland sind etwa 15 privat krankenversichert. Sie zahlen alle medizinischen Behandlungen zunächst einmal selbst. Dann reichen sie die Rechnungen dafür bei ihrer privaten Krankenversicherung zur Erstattung ein. Schon rein wirtschaftlich hat die Versicherung ein Interesse daran, dass ihre Versicherten möglichst erst gar nicht krank werden.

Angebote für Präventionsprogramme sollen dabei helfen. Die Programme sollen möglichst individuell auf die jeweilige Zielgruppezugeschnitten sein. Wer ohnehin nicht raucht, braucht auch keine Raucherentwöhnung. Wer hingegen offensichtlich an raucherspezifischen Erkrankungen leidet, nimmt ein Angebot zur Raucherentwöhnung vielleicht ganz gern an.

Diagnosen sind der Schlüssel

Die Diagnosen in eingereichten Rechnungen sind der Schlüssel dafür, welches Präventionsangebot individuell passen könnte. Um diesen Datenschatz zu heben, nahm eine private Krankenversicherung richtig Geld in die Hand. Sie bildete eine eigene Abteilung „Gesundheitsmanagement“. Diese Abteilung ist organisatorisch völlig getrennt von der „Leistungsabteilung“, die sich um die Erstattung der eingereichten Rechnungen kümmert.

Die Versicherung lässt alle bei ihrer Leistungsabteilung eingereichten Rechnungen in einem automatisierten Prozess analysieren. Kernelement ist dabei die Auswertung der Diagnosen. Wenn die Analyse ergibt, dass ein Präventionsangebot sinnvoll sein könnte, gehen die Daten weiter an die Abteilung „Gesundheitsmanagement“. Dort erfolgt eine individuelle Prüfung durch Menschen. In geeigneten Fällen erhalten die Versicherten eine individuelle Einladung zu einem Präventionsprogramm. Die Teilnahme ist freiwillig und muss gesondert vereinbart werden.

Einwilligungen liegen nur zum Teil vor

Mit der Datenanalyse beginnen die rechtlichen Probleme. Seit 2017 holt die Versicherung von allen Neukunden eine ausdrückliche Einwilligung für die Datenanalyse ein. Bei Bestandskunden tut sie dies jeweils, wenn eine Vertragsänderung vorgenommen wird. Für alle übrigen Versicherten, also für die „Bestandskunden ohne Vertragsänderung seit 2017“ führt die Versicherung die Datenanalyse ohne eine Einwilligung der Betroffenen durch.

Auch für die Analyse der Daten dieser Versicherten ist selbstverständlich eine Rechtsgrundlage nötig. Da sie keine Einwilligung erteilt haben, kann sich eine solche Rechtsgrundlage nur unmittelbar aus den Datenschutzgesetzen ergeben. Damit stellt sich die Frage, ob die Datenschutzgrundverordnung (DSGVO), das Bundesdatenschutzgesetz (BDSG) oder andere Datenschutzgesetze die erforderliche Rechtsgrundlage enthalten.

Die Datenschutzaufsicht greift ein

Nach Auffassung der zuständigen Datenschutzaufsicht Rheinland-Pfalz konnte davon keine Rede sein. Mit einem förmlichen Bescheid vom 10. Februar 2022 verwarnte sie deshalb die Krankenversicherung. In ihrem Bescheid wies die Datenschutzaufsicht die Krankenversicherung an, ausschließlich die Daten von Versicherten auszuwerten, bei denen eine wirksame Einwilligung vorliegt. In allen anderen Fällen sei die Auswertung zu unterlassen. Für den Fall der Zuwiderhandlung drohte die Datenschutzaufsicht der Krankenversicherung die Anordnung einer Geldbuße an.

Das wollte sich die Krankenversicherung nicht gefallen lassen. Deshalb ging sie vor Gericht. Dort bekam sie immerhin in zwei Instanzen recht. Sowohl das zuständige Verwaltungsgericht als auch das Oberverwaltungsgericht waren der Auffassung, dass der Bescheid der Datenschutzaufsicht rechtswidrig sei. Doch die Datenschutzaufsicht gab nicht auf. Sie brachte den Fall vor die höchste Instanz der Verwaltungsgerichtsbarkeit in Deutschland, also vor das Bundesverwaltungsgericht.

Ohne Einwilligung fehlt die Rechtsgrundlage

Im Ergebnis gab das Bundesverwaltungsgericht der Datenschutzaufsicht recht. Die Versicherung darf eingereichte Rechnungen nur dann für das Gesundheitsmanagement auswerten, wenn die Versicherten ausdrücklich in eine solche Analyse eingewilligt haben. Ansonsten ist die Analyse unzulässig, weil es dafür sie im Datenschutzrecht keine Rechtsgrundlage gibt.

Wichtig dabei: Diese rechtliche Beurteilung beruht darauf, wie die Versicherung konkret vorgegangen ist. Später wird sich zeigen, dass die Versicherung zu einer rechtmäßigen Alternative greifen könnte. Doch ist es nicht Sache eines Gerichts, rechtliche Tipps zu geben. Deshalb gilt es zunächst darzustellen, an welcher rechtlichen Hürde die Versicherung gestrauchelt ist.

Die „Doppelschranke in der DSGVO“ ist wichtig

Die Begründung des Bundesverwaltungsgerichts ist ausgesprochen sorgfältig und umfangreich. Dabei wirkt sich das aus, was viele Juristen als „Doppelschranke in der DSGVO“ bezeichnen. Damit ist gemeint:

  • Die ausgewerteten Diagnosen stellen Gesundheitsdaten dar. Ihre Verarbeitung muss deshalb zum einen den Anforderungen entsprechen, die Art. 9  DSGVO speziell für die Verarbeitung von Gesundheitsdaten aufstellt.
  • Das genügt aber nicht. Daneben sind außerdem noch die allgemeinen Vorgaben für die Rechtmäßigkeit jeder Verarbeitung personenbezogener Daten zu beachten. Sie sind in Art. 6 DSGVO enthalten.
  • Soweit Versicherte wirksam eingewilligt haben, ist diese „Doppelschranke“ kein Problem. Denn sowohl Art. 6 DSGVO als auch Art. 9 DSGVO sehen vor, dass Betroffene in die Verarbeitung ihrer Daten einwilligen können (siehe Art. 6 Abs. 1 Unterabsatz 1 Buchstabe a DSGVO einerseits und Art. 9 Abs. 2 Buchstabe a DSGVO andererseits).
  • Wesentlich schwieriger wird es, wenn keine Einwilligung vorliegt. Denn dann sehen Art. 6 DSGVO einerseits und Art. 9 DSGVO andererseits teils deutlich unterschiedliche Voraussetzungen dafür vor, wann eine Verarbeitung rechtmäßig ist.
  • Besonders wichtiger Unterschied dabei: Nach Art. 6 DSGVO kann eine Verarbeitung dann gerechtfertigt sein, wenn eine Abwägung ergibt, dass die Interessen der Krankenversicherung an der Verarbeitung schwerer wiegen als die Interessen der Versicherten an der Unterlassung der Verarbeitung (so Art. 6 Abs. 1 Unterabsatz 1 Buchstabe f DSGVO). Art. 9 DSGVO sieht die Möglichkeit einer solchen Interessenabwägung dagegen nicht vor.

Die Hürde „Verarbeitung von Gesundheitsdaten“ wird genommen

Die Verarbeitung von Gesundheitsdaten ist unter anderem dann zulässig, wenn sie für „Zwecke der Gesundheitsvorsorge“ stattfindet (Art. 9 Abs. 2 Buchstabe h DSGVO). Das Bundesverwaltungsgericht kommt zu dem Ergebnis, dass sich die Versicherung auf diese Bestimmung berufen kann.

Der Weg zu diesem Ergebnis ist allerdings nicht ganz einfach. Das beginnt schon mit der Frage, ob die angebotenen Programme unter den Begriff der „Gesundheitsvorsorge“ fallen. Denn wie dieser Begriff auszulegen ist, definiert die DSGVO leider nirgends. Aber jedenfalls Präventionsprogramme wegen konkreter Krankheiten wie Diabetes, Asthma oder Rückenleiden gehören nach Auffassung des Gerichts dazu.

Eine rechtlich-formale Schwierigkeit ergibt sich daraus, dass Art. 9 DSGVO für sich allein keine Rechtsgrundlage für eine Verarbeitung von Daten für Zwecke der Gesundheitsvorsorge bietet. Vielmehr muss zusätzlich eine nationale (in diesem Fall also deutsche) gesetzliche Regelung vorhanden sein, die auf Art. 9 DSGVO Bezug nimmt und eine solche Verarbeitung vorsieht. Mit umfangreichen Überlegungen kommt das Gericht zu dem Ergebnis, dass § 22 BDSG („Verarbeitung besonderer Kategorien personenbezogener Daten“) eine solche nationale Regelung darstellt. Sie genüge allen Vorgaben der DSGVO.

Die Hürde der Interessenabwägung hat drei Aspekte

Wegen der schon beschriebenen „Doppelschranke“ wäre die Analyse der Daten nur dann zulässig, wenn außer den Vorgaben für die „Verarbeitung von Gesundheitsdaten“ (Art. 9 DSGVO) auch noch eine der Voraussetzungen erfüllt ist, die Art. 6 DSGVO allgemein für die „Rechtmäßigkeit der Verarbeitung“ von personenbezogenen Daten aufstellt. In Betracht kommt hier eine Abwägung zwischen den Interessen der Krankenversicherung einerseits und den Interessen der Versicherten andererseits (Konstellation des Art. 6 Abs. 1 Unterabsatz 1 Buchstabe f DSGVO). Dabei müssen nach der Rechtsprechung des Europäischen Gerichtshofs (EuGH) drei Voraussetzungen erfüllt sein:

  • Erstens muss die Versicherung mit der Datenanalyse ein berechtigtes Interesse wahrnehmen.
  • Zweitens muss die Verarbeitung der Daten erforderlich sein, um dieses berechtigte Interesse zu verwirklichen.
  • Drittens dürfen die Interessen oder Grundrechte der Personen, deren Daten verarbeitet werden sollen, nicht schwerer wiegen als das berechtigte Interesse der Versicherung.

Das berechtigte Interesse scheitert an fehlender Transparenz

Am Gesundheitsmanagement-Konzept der Versicherung hat das Bundesverwaltungsgericht an für sich nichts auszusetzen. Im Gegenteil. Das Gericht lobt dieses Konzept regelrecht. Es schreibt nämlich, es bestünden „keine Zweifel an der Legitimität … der Vorsorgeprogramme.“ Auch das Gericht ist also der Meinung, dass diese Programme ein sinnvolles Ziel verfolgen.

Dennoch ist aus Sicht des Gerichts bereits das oben genannte erste Kriterium nicht erfüllt. Obwohl die Vorsorgeprogramme sinnvoll sind, verfolgt die Versicherung nach Auffassung des Gerichts also kein berechtigtes Interesse. Dies wirkt auf den ersten Blick widersprüchlich.

Dieser Widerspruch erweist sich aber bei näherem Hinsehen als scheinbar. Es ist nämlich ständige Rechtsprechung des EuGH, dass eine Verarbeitung personenbezogener Daten nur dann auf eine Interessenabwägung gestützt werden darf, wenn den betroffenen Personen das verfolgte berechtigte Interesse zuvor ausdrücklich mitgeteilt worden ist.

Das hat die Versicherung zumindest in der Vergangenheit versäumt. Zusammen mit den Abrechnungen für die Versicherten hat sie lediglich einen sehr allgemein gehaltenen Flyer verteilt. Darin hat sie zwar auf die vorgesehene Datenanalyse hingewiesen. Sie hat es jedoch versäumt, klar hervorzuheben, dass sie sich bei der Datenanalyse datenschutzrechtlich auf eine Abwägung der beiderseitigen Interessen stützen will.

Eine Reparatur ist für die Zukunft möglich

Folgerichtig kommt das Gericht zu dem Ergebnis, dass die Datenanalyse durch die Versicherung unzulässig ist, es sei denn, dass eine wirksame Einwilligung des jeweiligen Versicherten vorliegt. Damit hat die Datenschutzaufsicht die Versicherung zurecht gerügt.

Allerdings kann man das Urteil auch als eine regelrechte Reparaturanleitung für die Zukunft lesen. Dies hat folgende Gründe:

  • Gegen eine Analyse von Gesundheitsdaten, die sinnvollen Präventionsangeboten dienen soll, ist datenschutzrechtlich nichts einzuwenden.
  • Mit solchen Angeboten verfolgt die Versicherung auch ein berechtigtes Interesse.
  • Das eher formale Versäumnis, dass die Versicherung den Versicherten ihr berechtigtes Interesse bisher nicht klar genug dargelegt hat, lässt sich beheben. Einfaches Mittel hierzu: Alle Versicherten, von denen noch keine Einwilligung vorliegt, erhalten bei nächster Gelegenheit ein entsprechendes Schreiben, klar und deutlich formuliert.

Der Datenschutz blockiert hier nichts

Im Ergebnis kann die Versicherung ihr Präventionsprogramm also weiterführen. Vermutlich dürften sich viele Versicherte über entsprechende Angebote sogar freuen. Und wer von solchen Angeboten individuell nichts wissen will, kann ihnen ohne besondere Mühe widersprechen.

Hier finden Sie das Urteil

Das Urteil des Bundesverwaltungsgerichts vom 6.3.2026 ist bei Eingabe des Aktenzeichens 6 PC 7.24 mit jeder Suchmaschine problemlos zu finden oder wahlweise hier auf der offiziellen Seite des Bundesverwaltungsgerichts direkt abrufbar: https://www.bverwg.de/de/060326U6C7.24.0.

Die vollständige Lektüre erfordert allerdings eine gewisse Zeit, denn das Urteil hat einen Umfang von 33 Seiten. Die Ausführungen zur Hürde der Interessenabwägung, an der die Versicherung zumindest vorläufig gescheitert ist, sind in den Rn. 38-48 enthalten.

Welche Datenschutzaufsichtsbehörde hier aktiv geworden ist, erwähnt das Gericht im Urteil selbst zwar nicht. Da es sich bei den Vorinstanzen und das Verwaltungsgericht Mainz und das Oberverwaltungsgericht Koblenz handelte, lässt sich allerdings leicht erraten, dass es nur die Datenschutzaufsicht Rheinland-Pfalz sein kann. Ein Blick in deren Internetauftritt führt zu einer Pressemitteilung, die das bestätigt: https://www.datenschutz.rlp.de/service/aktuelles/detail/verarbeitung-von-diagnosen-durch-private-krankenversicherer-klare-grenzen-gesetzt.

Dr. Eugen Ehmann

Dr. Eugen Ehmann
zu den Kommentaren
Wie nützlich war dieser Beitrag für Sie?
Jetzt teilen:
Urteil
drucken
Verfasst von
Dr. Eugen Ehmann
Dr. Eugen Ehmann
Dr. Eugen Ehmann ist ausgewiesener Fachmann auf dem Gebiet des Datenschutzes in Unternehmen & Behörden. Er ist Herausgeber eines renommierten DSGVO-Kommentars und Autor zahlreicher Beiträge in der Datenschutz PRAXIS sowie in vielen weiteren Datenschutz-Veröffentlichungen. Außerdem moderiert er seit 2003 die IDACON , den renommierten Datenschutz-Kongress.
Verwandte Beiträge
18. Mai 2026
„Wayback Machine“ und die Hausgeburt
Bild: baloon111 / iStock / Getty Images Plus

„Wayback Machine“ und die Hausgeburt

Urteil
Urteil
07. Mai 2026
Dashcams können bei Unfällen wichtige Beweise liefern – bei Datenschutzverstößen drohen jedoch hohe DSGVO-Bußgelder.
Bild: Kwangmoozaa / iStock / Getty Images Plus

Bußgeld für Dashcam im Auto

Hintergrund
Tätigkeitsberichte Urteil
14. April 2026
Löschung von Privatanschrift und Unterschrift?
Bild: Nuthawut Somsuk / iStock / Getty Images Plus

Löschung von Privatanschrift und Unterschrift?

Urteil
Urteil
30. März 2026
Mit dem IT-System SESAM werden Steuererklärungen und Belege zentral eingescannt, sodass Finanzämter heute ausschließlich digital am Bildschirm arbeiten statt mit Papierdokumenten.
Bild: johannes86 / iStock / Getty Images Plus

1000 Euro Schadensersatz vom Finanzamt

Urteil
Urteil
12. März 2026
Streit um Funk-Wasserzähler: Ein Hauseigentümer fürchtet Überwachung und wehrt sich gegen den zwangsweisen Einbau durch den Wasserversorger.
Bild: SergeyKlopotov / iStock / Getty Images Plus

Einbau von Funk-Wasserzählern

Urteil
Urteil
weitere Beiträge laden

Kommentar abgeben

0 Kommentare
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.