Private Krankenversicherungsunternehmen sind ohne Einwilligung der betroffenen Versicherten nicht befugt, die von diesen zum Zweck der Erstattung eingereichten Rechnungen hinsichtlich der darin enthaltenen Diagnosen zu analysieren, um potenzielle Teilnehmer an Vorsorgeprogrammen zu ermitteln.
In dem hier vom Bundesverwaltungsgericht entschiedenen Streitfall bietet der klagende private Krankenversicherungsverein auf Gegenseitigkeit im Rahmen seines Gesundheitsmanagements bestimmte Programme an (etwa Coaching-Angebote bei Diabetes, Asthma oder Rückenleiden). Zur Ermittlung potenzieller Teilnehmer analysiert er die zur Leistungsabrechnung eingereichten Rechnungen u. a. hinsichtlich der darin enthaltenen Diagnosen. Versicherte, die für ein konkretes Gesundheitsprogramm in Betracht kommen, erhalten eine Einladung zur Teilnahme. Für die Datenanalyse holt der Versicherungsverein bei Neukunden sowie bei Vertragsänderungen von Bestandskunden eine datenschutzrechtliche Einwilligung ein. Bei allen übrigen Versicherten wird die Datenanalyse ohne Einwilligung durchgeführt.
Im Februar 2022 verwarnte der beklagte Landesdatenschutzbeauftragte Rheinland-Pfalz den Versicherungsverein. Dieser habe mit der ohne vorherige Einwilligung der Betroffenen vorgenommenen Auswertung der Rechnungen gegen Bestimmungen der Datenschutz-Grundverordnung (DSGVO) verstoßen. Zudem wies der Landesdatenschutzbeauftragte den Versicherungsverein unter Fristsetzung an, entsprechende Datenverarbeitungen nur auf der Grundlage einer wirksamen Einwilligung durchzuführen.
Auf die Klage hob das Verwaltungsgericht Mainz den Bescheid auf1. Das Oberverwaltungsgericht Rheinland-Pfalz in Koblenz wies die Berufung des Landesdatenschutzbeauftragten zurück2. Die streitgegenständliche Verarbeitung von Gesundheitsdaten sei nach der DSGVO gerechtfertigt. Sie erfülle die Vorgaben für eine zweckändernde Datenverarbeitung und sei für Zwecke der Gesundheitsvorsorge erforderlich. Die von der DSGVO geforderte Rechtsgrundlage des nationalen Rechts sei gegeben. Die Abwägung der jeweiligen einander gegenüberstehenden Rechte und Interessen gehe zugunsten des Versicherungsvereins aus.
Auf die Revision des Landesdatenschutzbeauftragten hat das Bundesverwaltungsgericht die Urteile der Vorinstanzen geändert und die Klage abgewiesen:
Die vom Versicherungsverein praktizierte Datenanalyse verstößt zwar nicht gegen das Verbot der Verarbeitung von Gesundheitsdaten nach Art. 9 Abs. 1 DSGVO. Denn es liegen die Voraussetzungen des Ausnahmetatbestands des Art. 9 Abs.2 Buchst. h DSGVO vor. Die streitige Datenverarbeitung des Versicherungsvereins dient Zwecken der Gesundheitsvorsorge im Sinne dieser Vorschrift. Dem stehen weder die Verfolgung weiterer Zwecke wie der Kosteneffizienz noch der Umstand entgegen, dass der Versicherungsverein die gesundheitsbezogenen Leistungen nicht selbst erbringt, sondern diese nur vermittelt. Ferner ist in Gestalt des § 22 Abs. 1 Nr. 1 Buchst. b BDSG die nach Art. 9 Abs. 2 Buchst. h DSGVO erforderliche Rechtsgrundlage im nationalen Recht vorhanden. Zudem unterliegen die mit der Verarbeitung befassten Mitarbeiter des Versicherungsvereins einer den Anforderungen des Art. 9 Abs. 3 DSGVO sowie des § 22 Abs. 1 Nr. 1 Buchst. b BDSG genügenden Geheimhaltungspflicht.
Die Verarbeitung ist jedoch nicht nach Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO zur Wahrung der berechtigten Interessen des Versicherungsvereins zulässig. Denn die Abwägung der einander gegenüberstehenden Interessen unter Würdigung aller relevanten Umstände ergibt, dass die Interessen der Versicherten das berechtigte Interesse des Versicherungsvereins überwiegen. Zwar haben das Ziel der Gesundheitsvorsorge und die angestrebte, auch im Interesse der Versicherten liegende Reduzierung von Behandlungskosten eine hohe Bedeutung. Ausschlaggebend sind jedoch der in Art. 9 DSGVO verankerte erhöhte Schutz sensibler Gesundheitsdaten und der Umstand, dass die Vorsorgeprogramme des Versicherungsvereins nicht dem medizinischen Kernbereich zuzuordnen sind. Zudem fällt die große Streubreite der beanstandeten Datenverarbeitung ins Gewicht. Darüber hinaus hat der Versicherungsverein die von ihm verfolgten Interessen den betroffenen Versicherten entgegen Art. 13 Abs. 1 Buchst. d DSGVO nicht hinreichend deutlich mitgeteilt.
Hiernach konnte das Bundesverwaltungsgericht offenlassen, ob die Weiterverarbeitung der vom Versicherungsverein ausschließlich zum Zweck der Kostenerstattung erhobenen Daten den Grundsatz der Zweckbindung verletzt (Art. 5 Abs. 1 Buchst. b, Art. 6 Abs. 4 DSGVO). Der angefochtene Bescheid leidet im Übrigen auch nicht an Ermessensfehlern.
Bundesverwaltungsgericht, Urteil vom 6. März 2026 – 6 C 7.24
- VG Mainz, Urteil vom 16.03.2023 – 1 K 127/22[↩]
- OVG Rheinland-Pfalz, Urteil vom 28.06.2024 – 10 A 10294/23[↩]
Bildnachweis:
- Stethoskop: Rohvannyn Shaw
