Fachartikel
22. Mai 2026
Dr. Lukas Kalkbrenner LL.M.
Laura Emmeluth
Das Bundesverwaltungsgericht hat mit Urteil vom 06.03.2026 (Az. 6 C 7.24) die datenschutzrechtlichen Grenzen für private Krankenversicherungen beim Angebot von Vorsorge- und Gesundheitsprogrammen präzisiert. Im Mittelpunkt stand die Frage, ob eine private Krankenversicherung Diagnosedaten aus zur Erstattung eingereichten Rechnungen analysieren darf, um gezielt Einladungen zu Gesundheits- bzw. Vorsorgeprogrammen (z.B. Coaching bei Diabetes oder Rückenleiden) zu versenden – und zwar ohne vorherige ausdrückliche Einwilligung der Versicherten.
Das BVerwG verneint dies: Eine solche Datenanalyse für Vorsorgeprogramme ist ohne Einwilligung der Versicherten nicht zulässig.
Zum Hintergrund der Entscheidung
Eine private Krankenversicherung bot ihren Kunden verschiedene Gesundheitsprogramme an, etwa Coaching-Angebote bei chronischen Erkrankungen. Um geeignete Teilnehmer zu identifizieren, wertete die Versicherung Diagnosedaten aus den zur Leistungsabrechnung eingereichten Rechnungen aus. Versicherte, die anhand dieser Diagnosen als potenziell geeignet erschienen, erhielten Einladungsschreiben zu den Programmen. Bei Bestandskunden, die weder seit 2017 neu eingetreten noch eine Vertragsänderung vorgenommen hatten, erfolgte diese Datenanalyse ohne vorherige Einwilligung.
Der Landesdatenschutzbeauftragte Rheinland-Pfalz verwarnte die Versicherung daher im Februar 2022 und verpflichtete sie, diese Verarbeitung künftig nur noch auf Grundlage einer wirksamen Einwilligung durchzuführen. Die Versicherung klagte hiergegen erfolgreich vor dem Verwaltungsgericht Mainz. Das Oberverwaltungsgericht Koblenz bestätigte diese Entscheidung und hielt die Verarbeitung zur Gesundheitsvorsorge für zulässig. Auf die Revision des Landesdatenschutzbeauftragten hob das BVerwG die Entscheidung des OVG Koblenz auf und stellte im Ergebnis die Auffassung der Aufsichtsbehörde wieder her.
Rechtliche Einordnung
Das BVerwG stellt zunächst klar, dass es sich bei den ausgewerteten Diagnosen um Gesundheitsdaten handelt, die dem Verarbeitungsverbot des Art. 9 Abs. 1 DSGVO unterfallen und damit einer besonderen Schutzstufe unterliegen. Auf dieser ersten Stufe prüft das Gericht den Ausnahmetatbestand des Art. 9 Abs. 2 lit. h DSGVO („Gesundheitsvorsorge“).
Für das Merkmal der Erforderlichkeit knüpft das Gericht an den vom EuGH entwickelten Maßstab an: Das Ziel darf nicht ebenso wirksam mit milderen Mitteln erreicht werden können, unter Berücksichtigung des Grundsatzes der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO) und Erwägungsgrund 53 DSGVO. Erforderlich ist die Verarbeitung nur, wenn sie neben den Interessen des Verantwortlichen auch die Interessen der betroffenen Personen oder der Gesellschaft insgesamt fördert. Dies bejaht das BVerwG ausdrücklich.
Entscheidend ist jedoch: Art. 9 Abs. 2 lit. h DSGVO selbst verlangt – anders als Art. 6 Abs. 1 lit. f DSGVO – keine Interessenabwägung zwischen Betroffenenrechten und Interessen des Verantwortlichen. Eine auf Art. 9 Abs. 2 lit. h DSGVO gestützte Verarbeitung von Gesundheitsdaten ist aber dennoch nur rechtmäßig, wenn zusätzlich mindestens eine der in Art. 6 Abs. 1 DSGVO genannten Rechtmäßigkeitsvoraussetzungen erfüllt ist.
Auf dieser zweiten Stufe stützt sich die Versicherung daher auf Art. 6 Abs. 1 lit. f DSGVO („berechtigte Interessen“). Zwar misst das Gericht dem Ziel der Gesundheitsvorsorge und der Reduzierung von Behandlungskosten ein hohes Gewicht zu. Gleichwohl überwiegen nach seiner Auffassung die Interessen der Versicherten: Der in Art. 9 DSGVO verankerte erhöhte Schutz sensibler Gesundheitsdaten, der marketingnahe Charakter der Vorsorgeprogramme außerhalb des „medizinischen Kernbereichs“ und die hohe „Streubreite“ der Datenanalyse – eine Vielzahl von Versicherten rechnet vernünftigerweise nicht mit einer solchen Nutzung ihrer Diagnosen – führen dazu, dass die Datenanalyse nicht wirksam auf Art. 6 Abs. 1 lit. f DSGVO gestützt werden kann.
Verletzung der Informationspflicht
Zusätzlich hebt das Gericht die Transparenzpflichten hervor. Die Versicherung hatte die Versicherten nicht ausreichend über die von ihr verfolgten Zwecke und berechtigten Interessen der Datenanalyse im Sinne von Art. 13 Abs. 1 lit. d DSGVO informiert. Für die Praxis besonders wichtig: Nach der herangezogenen EuGH-Rechtsprechung fehlt es in einem solchen Fall bereits an der Voraussetzung eines „berechtigten Interesses“, wenn die Informationspflicht nicht ordnungsgemäß erfüllt wird. So das BVerwG:
"Verstößt der Verantwortliche gegen seine Informationspflicht aus Art. 13 Abs. 1 Buchst. d DSGVO, fehlt es nach der erwähnten Rechtsprechung des EuGH auch an der in Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO geregelten Voraussetzung der Wahrnehmung eines „berechtigten Interesses“.
Ausblick
Die Entscheidung des Bundesverwaltungsgerichts reiht sich in eine Entwicklung ein, in der der Umgang mit Gesundheitsdaten nach Art. 9 DSGVO zunehmend Gegenstand höchstrichterlicher Rechtsprechung ist. Immer häufiger befassen sich EuGH und Bundesgerichte (z.B. auch BGH, Urteil vom 27. März 2025 (Az. I ZR 222/19 und ZR 223/19)) mit der Frage, unter welchen Voraussetzungen besondere Kategorien personenbezogener Daten verarbeitet werden dürfen und wo die Grenzen zulässiger Datenverarbeitung verlaufen.
Vor diesem Hintergrund ist das Urteil nicht nur als Einzelfallentscheidung zur Praxis privater Krankenversicherer zu verstehen, sondern als weiterer Baustein einer sich verdichtenden Rechtsprechung zu Art. 9 DSGVO und den Anforderungen an Transparenz, Zweckbindung und Rechtsgrundlagen im sensiblen Gesundheitsdatenbereich. Mehr Informationen dazu erhalten Sie auch hier.
29.
Freiburg im Breisgau
Mai 2024
10 - 15 Uhr
13. Fakultätskarrieretag Jura in Freiburg
22.-23.
Online
April 2026
Verträge im internationalen Anlagenbau 04/26
Anlagenbau
6.
Mai 2025
Regulatory Affairs
Medizinprodukterecht, Arzneimittelrecht, Gesundheitswesen
Sie sehen gerade einen Platzhalterinhalt von Turnstile. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
