Eine private Krankenversicherung bietet ihren Versicherten Gesundheitsprogramme an: Coaching bei Diabetes, Asthma oder Rückenleiden. Das klingt sinnvoll. Doch wie identifiziert man die Menschen, die von solchen Angeboten tatsächlich profitieren könnten?
Die Versicherung wählte den naheliegendsten Weg: Sie analysierte die Rechnungsunterlagen, die Versicherte zur Leistungserstattung einreichen. Diese Dokumente enthalten Diagnosen. Auf dieser Grundlage ermittelte die Versicherung potenzielle Programmteilnehmer und lud sie gezielt ein. Bei Neukunden und bei Vertragsänderungen holte sie dafür eine datenschutzrechtliche Einwilligung ein – bei den übrigen Bestandskunden jedoch nicht.
Genau darin sah der Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDI) Rheinland-Pfalz einen Verstoß gegen die DSGVO. Im Februar 2022 sprach er eine Verwarnung aus und verpflichtete die Versicherung, Datenanalysen dieser Art künftig nur noch auf Grundlage einer wirksamen Einwilligung durchzuführen (vgl. Pressemitteilung des LfDI).
Der Rechtsweg: Zwei Instanzen für die Versicherung – das BVerwG ist dagegen
Das Verwaltungsgericht (VG) Mainz hob den Bescheid auf und die Versicherung bekam Recht. Das Oberverwaltungsgericht (OVG) Koblenz bestätigte dies in der Berufungsinstanz. Beide Gerichte argumentierten übereinstimmend: Die Datenverarbeitung sei für Zwecke der Gesundheitsvorsorge gerechtfertigt, die erforderliche nationale Rechtsgrundlage ist vorhanden und in der Interessenabwägung überwiege das Interesse der Versicherung.
Das Bundesverwaltungsgericht (BVerwG) sah das anders – und hob beide Vorinstanzurteile auf (Urteil des BVerwG vom 6. März 2026, Az. 6 C 7.24, vgl. Pressemitteilung des BVerwG, die Entscheidungsvormerkung finden Sie hier).
Die rechtliche Bewertung des BVerwG
Das Gericht prüfte die Zulässigkeit der Datenverarbeitung auf mehreren Ebenen der DSGVO:
Art. 9 DSGVO – Verbot der Verarbeitung sensibler Daten
Zunächst bestätigte das BVerwG, dass die Datenanalyse dem Ausnahmetatbestand des Art. 9 Abs. 2 lit. h DSGVO unterfällt: Sie dient Zwecken der Gesundheitsvorsorge. Weder der gleichzeitig verfolgte Kosteneffizienzgedanke noch der Umstand, dass die Versicherung die Programme lediglich vermittelt, statt sie selbst durchzuführen, stehen dem entgegen. Auch die nationale Rechtsgrundlage in § 22 Abs. 1 Nr. 1 lit. b BDSG sei gegeben, und die beteiligten Mitarbeiter unterlägen einer ausreichenden Geheimhaltungspflicht.
Damit öffnete das Gericht grundsätzlich die Tür für eine datenschutzkonforme Verarbeitung von Gesundheitsdaten zu Präventionszwecken – schloss sie aber durch die nachfolgende Interessenabwägung auch gleich wieder.
Art. 6 Abs. 1 lit. f DSGVO – Interessenabwägung
An dieser Hürde scheiterte die Versicherung. Das BVerwG nahm die gebotene Interessenabwägung vor und kam zu dem Ergebnis, dass die Interessen der Versicherten überwiegen. Ausschlaggebend waren mehrere Faktoren:
- Der erhöhte Schutz sensibler Gesundheitsdaten nach Art. 9 DSGVO strahlt auf die Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO aus und erhöht die Anforderungen an deren Rechtfertigung erheblich.
- Die Vorsorgeprogramme gehören nicht zum medizinischen Kernbereich der Krankenversicherung.
- Die Datenverarbeitung trifft potenziell alle Bestandskunden – ohne deren Wissen und in erheblicher Streubreite.
- Die Versicherung hatte ihre Verarbeitungszwecke den Versicherten nicht hinreichend transparent gemacht und damit gegen Art. 13 Abs. 1 lit. d DSGVO verstoßen.
Das Verhältnis von Art. 9 und Art. 6 Abs. 1 lit. f DSGVO
Darf Art. 6 Abs. 1 lit. f DSGVO bei Gesundheitsdaten überhaupt angewendet werden? Die Entscheidung des BVerwG wirft eine dogmatische Grundsatzfrage auf, die das Gericht stillschweigend voraussetzt, ohne sie ausdrücklich in der Pressemitteilung zu beantworten: Ist es rechtlich überhaupt zulässig, Art. 6 Abs. 1 lit. f DSGVO (das „berechtigte Interesse“, bei dem eine Interessensabwägung zwischen den Interessen der Beteiligten durchgeführt wird) auf die Verarbeitung von Gesundheitsdaten anzuwenden – obwohl Art. 9 DSGVO ein eigenes, abgeschlossenes Ausnahmesystem enthält, das ein „berechtigtes Interesse“ als Erlaubnisgrund gar nicht kennt?
Das Problem liegt im Wortlaut des Gesetzes: Art. 9 Abs. 2 DSGVO enthält zehn Ausnahmetatbestände vom grundsätzlichen Verarbeitungsverbot für sensible Daten. Keiner davon entspricht der offenen Interessenabwägungsklausel des Art. 6 Abs. 1 lit. f DSGVO. Der Gesetzgeber hat das bewusst so gestaltet: Für besonders schutzbedürftige Daten – darunter Gesundheitsdaten – sollte gerade kein allgemeines Abwägungsmodell gelten, das einem Verantwortlichen erlaubt, eigene wirtschaftliche Interessen gegen die Rechte Betroffener abzuwägen.
Lange Zeit war die Rechtslage umstritten, wie das Verhältnis zwischen Art. 9 DSGVO und Art. 6 Abs. 1 DSGVO ist. Der Europäische Gerichtshof (EuGH) hat diese Streitfrage am 21. Dezember 2023 entschieden (Az. C-667/21, wir berichteten). Art. 6 Abs. 1 DSGVO enthalte eine erschöpfende und abschließende Liste der Rechtmäßigkeitsvoraussetzungen, die für jede Verarbeitung personenbezogener Daten gelte. Art. 9 Abs. 2 DSGVO präzisiere die Pflichten des Verantwortlichen nach Art. 6 Abs. 1 DSGVO für sensible Daten – er ersetze sie nicht. Der 51. Erwägungsgrund der DSGVO bestätigt dies ausdrücklich:
„Zusätzlich zu den speziellen Anforderungen an eine derartige Verarbeitung sollten die allgemeinen Grundsätze und andere Bestimmungen dieser Verordnung, insbesondere hinsichtlich der Bedingungen für eine rechtmäßige Verarbeitung, gelten.“
Eine Sperrwirkung des Art. 9 DSGVO gegenüber Art. 6 Abs. 1 lit. f DSGVO gibt es damit nach der höchstrichterlichen Klärung durch den EuGH nicht. Beide Normen stehen in einem Stufenverhältnis: Art. 9 Abs. 2 DSGVO öffnet zunächst das grundsätzliche Verarbeitungsverbot – Art. 6 Abs. 1 DSGVO muss daneben aber stets eine eigene Rechtsgrundlage liefern.
Damit ist die Frage aber nicht vollständig beantwortet. Denn der EuGH hat zwar die kumulative Anwendung beider Normen bestätigt – er hat aber nicht gesagt, dass jeder Tatbestand aus Art. 6 Abs. 1 DSGVO mit jedem Tatbestand aus Art. 9 Abs. 2 DSGVO beliebig kombinierbar ist. Wenn der Gesetzgeber in Art. 9 Abs. 2 DSGVO bewusst auf eine Interessenabwägungsklausel verzichtet hat, könnte die kumulative Anwendung von Art. 6 Abs. 1 lit. f DSGVO diesen Gestaltungswillen faktisch unterlaufen.
Das BVerwG löst dieses Spannungsverhältnis, indem es den erhöhten Schutzstandard des Art. 9 DSGVO als gewichtenden Faktor innerhalb der Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO einsetzt: Der besondere Schutz sensibler Daten strahlt auf die Abwägung aus und erhöht die Anforderungen an das überwiegende Interesse des Verantwortlichen erheblich. Art. 6 Abs. 1 lit. f DSGVO ist damit bei Gesundheitsdaten formal anwendbar – aber die Hürde, die berechtigte Interessen des Verantwortlichen überspringen müssen, ist deutlich höher als bei gewöhnlichen personenbezogenen Daten.
Art. 5 Abs. 1 lit. b, Art. 6 Abs. 4 DSGVO – die Frage der Zweckänderung
Ausdrücklich offen ließ das BVerwG die Frage, ob darüber hinaus auch der Grundsatz der Zweckbindung verletzt wurde. Die Abrechnungsdaten wurden ursprünglich ausschließlich zur Kostenerstattung erhoben. Ihre Nutzung zur Identifikation von Programmteilnehmern könnte damit eine unzulässige Zweckänderung darstellen – also eine Weiterverarbeitung zu einem Zweck, der mit dem ursprünglichen Erhebungszweck nicht vereinbar ist. Diese Frage bleibt bis zur Veröffentlichung der Urteilsbegründung ungeklärt, ist aber für die Praxis hochrelevant: Sie könnte die Anforderungen an datengestützte Präventionsangebote künftig noch weiter verschärfen, sofern das BVerwG sich auch dazu dezidiert äußern wird.
Fazit: Warten auf die Urteilsbegründung
Die vollständige Urteilsbegründung des BVerwG steht noch aus. Möglicherweise liefert sie interessante Ergebnisse – insbesondere zur offengelassenen Frage der Zweckänderung und dem Verhältnis von Art. 9 Abs. 2 DSGVO zu Art. 6 Abs. 1 lit. f DSGVO. Auf jeden Fall gilt: Präventionsangebote ja – aber nur mit einem ausdrücklichen „Ja“ der Versicherten.
Keine Kommentare