Vorsorgeprogramme:

Gesundheitsdaten benötigen eine Einwilligung

Das Bundesverwaltungsgericht hat am 6. März 2026 entschieden, dass eine private Krankenversicherung Diagnosen aus eingereichten Erstattungsrechnungen nicht ohne Einwilligung auswerten darf, um Versicherte für Gesundheits- und Vorsorgeprogramme auszuwählen. Die Entscheidung ist für Unternehmen wichtig, weil sie sehr klar zeigt, dass eine Ausnahme nach Art. 9 DSGVO allein noch nicht reicht. Es braucht auch eine tragfähige Grundlage nach Art. 6 DSGVO und eine saubere Interessenabwägung.

Hintergrund

Im Streit ging es um ein PKV-Unternehmen, das Rechnungen zur Leistungsabrechnung analysierte. Dabei wurden auch Diagnosen ausgewertet, um passende Versicherte für Programme wie Coaching bei Diabetes, Asthma oder Rückenleiden anzuschreiben. Für Neukunden und bei Vertragsänderungen holte das Unternehmen eine Einwilligung ein. Bei vielen anderen Versicherten lief die Analyse aber ohne Einwilligung. Dagegen ging der Landesdatenschutzbeauftragte Rheinland-Pfalz vor. Nach Entscheidungen zugunsten der Versicherung in Mainz und Koblenz hob das Bundesverwaltungsgericht diese Urteile nun auf und wies die Klage ab.

Das Gericht hat die Sache differenziert geprüft. Es sagt erstens, dass die Verarbeitung nicht schon am Verbot aus Art. 9 Abs. 1 DSGVO scheitert. Nach der Pressemitteilung lagen die Voraussetzungen von Art. 9 Abs. 2 Buchst. h DSGVO vor, weil die Verarbeitung Zwecken der Gesundheitsvorsorge diente. Auch § 22 Abs. 1 Nr. 1 Buchst. b BDSG sah das Gericht als nationale Grundlage hierfür an.

Entscheidend war dann aber der zweite Schritt. Die Verarbeitung war nach Ansicht des Gerichts nicht nach Art. 6 Abs. 1 Buchst. f DSGVO zulässig. Bei der Interessenabwägung überwogen die Interessen der Versicherten. Das BVerwG hebt dabei den erhöhten Schutz von Gesundheitsdaten hervor, die fehlende Zuordnung der Programme zum medizinischen Kernbereich, die große Streubreite der Datenverarbeitung und die unzureichende Information der Betroffenen über die verfolgten Interessen nach Art. 13 Abs. 1 Buchst. d DSGVO. Genau an dieser Stelle ist das Urteil für die Praxis besonders lehrreich.

Wichtig ist auch, was das Gericht offen gelassen hat. Laut Pressemitteilung musste es nicht mehr entscheiden, ob die Weiterverarbeitung der ursprünglich nur zur Kostenerstattung erhobenen Daten zusätzlich gegen den Grundsatz der Zweckbindung verstößt. Das ist für die Praxis kein Freifahrtschein. Im Gegenteil: Schon dass das Gericht diese Frage ausdrücklich stehen lässt, zeigt das Risiko von Zweckänderungen bei sensiblen Daten.

Die schriftlichen Urteilsgründe waren am 9. März 2026 noch nicht veröffentlicht. Auf der Website des Bundesverwaltungsgerichts ist nur vermerkt, dass die Entscheidung noch nicht verfügbar ist. Deshalb sollte man sich bei der rechtlichen Einordnung derzeit auf die Pressemitteilung stützen und bei Details vorsichtig bleiben.

Bedeutung für Gesundheitsunternehmen

Die Entscheidung betrifft nicht nur private Krankenversicherungen. Sie ist überall relevant, wo sensible Daten für neue Zwecke ausgewertet werden sollen. Das gilt etwa für Gesundheitsangebote, Bonusprogramme, Präventionskampagnen, Scoring, interne Risikoanalysen und KI-gestützte Auswertungen. Gesundheitsdaten gehören zu den besonderen Kategorien personenbezogener Daten nach Art. 9 DSGVO. Schon deshalb ist die Messlatte hoch. Auch Ihre Unterlage hebt hervor, dass Gesundheitsdaten in diese besonders geschützte Kategorie fallen und dass Unternehmen solche Verarbeitungen sauber dokumentieren müssen.

Für die Praxis ist die wichtigste Lehre einfach. Art. 9 und Art. 6 sind zwei getrennte Hürden. Wer nur prüft, ob eine Ausnahme für Gesundheitsdaten greift, prüft zu wenig. Danach kommt noch die allgemeine Rechtmäßigkeitsprüfung. Und gerade dort kann die Verarbeitung scheitern, wenn Transparenz, Erwartungshaltung der Betroffenen und Eingriffsintensität nicht passen. Das zeigt das Urteil sehr deutlich.

Das Urteil stärkt auch den Transparenzgedanken. Das BVerwG hat ausdrücklich berücksichtigt, dass die Versicherung ihre Interessen den Betroffenen nicht klar genug mitgeteilt hatte. Das ist ein Warnsignal für Datenschutzhinweise, die Zwecke nur sehr allgemein umschreiben oder interne Auswertungen hinter weichen Formulierungen verstecken. In Ihrer Unterlage wird derselbe Punkt im Zusammenhang mit neuen Technologien und KI ebenfalls betont: Rechtsgrundlage dokumentieren, Zweck klar festlegen und Betroffene aktiv informieren.

So reagieren Gesundheitsunternehmen richtig

Wer sensible Daten für zusätzliche Services oder Programme nutzen will, sollte zuerst sehr nüchtern fragen, ob der neue Zweck wirklich vom ursprünglichen Erhebungszweck gedeckt ist. Bei Rechnungsdaten, die zur Kostenerstattung eingereicht werden, spricht viel dafür, dass Versicherte gerade keine profilartige Auswertung für spätere Ansprache erwarten. Wenn diese Erwartung fehlt, wird die Interessenabwägung schnell kippen.

Dann muss die Rechtsgrundlage sauber getrennt geprüft werden. Zuerst Art. 9 DSGVO, dann Art. 6 DSGVO. Danach folgt die Transparenzprüfung. Und bei hohem Risiko sollte auch eine Datenschutz-Folgenabschätzung auf den Tisch. Ihre Unterlage nennt genau diese Punkte als Kern einer sauberen Compliance-Prüfung und betont zusätzlich Verzeichnis, Löschkonzept und dokumentierte TOM.

Praktisch heißt das auch, dass Einwilligungen nicht nur irgendwo vorhanden sein dürfen. Sie müssen den konkreten Zweck treffen. Wer nur bei Neukunden oder Vertragsänderungen Einwilligungen einholt, aber Bestandsdaten sonst anders nutzt, baut sich ein unnötiges Risiko. Genau dieses Nebeneinander war hier Teil des Problems.

Bei KI- oder Analyseprojekten ist zusätzliche Vorsicht nötig. Sobald sensible Daten in Modelle, Segmentierungen oder automatisierte Auswahlprozesse einfließen, steigen Risiko und Erklärungsbedarf. Ihre Unterlage empfiehlt dafür ausdrücklich eine dokumentierte Rechtsgrundlage, klare Zweckdefinition, Transparenz, Datenminimierung und gegebenenfalls eine Folgenabschätzung.

Unsere Empfehlung

Das Urteil ist kein Spezialfall nur für Versicherer. Es ist eine klare Erinnerung daran, dass sensible Daten nicht einfach deshalb für neue Zwecke genutzt werden dürfen, weil der neue Zweck gut gemeint ist. Gesundheitsvorsorge ist ein legitimes Ziel. Aber gute Absichten ersetzen weder Einwilligung noch tragfähige Interessenabwägung noch klare Information der Betroffenen. Für Unternehmen heißt das jetzt: Prozesse mit Gesundheitsdaten prüfen, Zweckänderungen offenlegen, Datenschutzhinweise nachschärfen und bei zusätzlichen Analysezwecken lieber einmal zu viel als einmal zu wenig dokumentieren. Die Unterlage weist zu Recht darauf hin, dass gerade bei besonderen Datenkategorien ein Verzeichnis der Verarbeitungstätigkeiten und eine belastbare Dokumentation Pflichtstoff sind.

Sind Sie sich sicher, ob Ihr Unternehmen oder Ihre Behörde im Hinblick auf Datenschutz und Datensicherheit richtig aufgestellt ist, so wie es der geschilderte Fall nahelegt?

Lassen Sie sich unverbindlich von einem Datenschutzbeauftragten beraten.

Kontakt aufnehmen

Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:

• Ombudsstelle und Hinweisgebersystem für Hinweisgeber:innen (Whistleblower)
• Datenschutz und IT-Compliance: Das Handbuch für Admins und IT-Leiter. Alles zu IT-Betrieb, IT-Sicherheit und Administration von Websites
• Tragbarer Tresor für die Reise zum Schutz von Wertsachen
• Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
• Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
• Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
• Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
• Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen

Dieser Absatz enthält Affiliatelinks/Werbelinks