Mit der Initiative, ihren Kunden angepasste präventive Gesundheitsprogramme anzubieten, hat eine Krankenversicherung deren frühere Rechnungen analysiert, die ursprünglich zum Zweck der Kostenerstattung übermittelt worden waren – und zwar ohne deren Zustimmung. Eine Praxis, die vom Bundesverwaltungsgericht verurteilt wurde; seine Entscheidung hebt die Auffassung der vorherigen Instanzen auf, die die Rechtmäßigkeit einer solchen Datenverarbeitung bejaht hatten (Urt. v. 06.03.2026, Az. 6 C 7.24). 

Eine umstrittene Entscheidung 

Für einen Teil der Kunden, die ihren Vertrag geändert oder einen neuen Vertrag abgeschlossen haben, ist das Vorgehen nicht problematisch. Tatsächlich wurde ihr Einverständnis von der Versicherung eingeholt. Kritisch ist die Entscheidung des Bundesverwaltungsgerichts hingegen in Bezug auf die übrigen Kunden. Die Versicherung analysierte als Klägerin deren frühere Rechnungen ohne deren Zustimmung und sandte ihnen daraufhin Einladungen zu gezielten und an ihren körperlichen Zustand angepassten Coachings. 

Die Frage, ob solche Maßnahmen einen Verstoß gegen die DSGVO darstellen, wurde bereits von zwei vorherigen Instanzen behandelt, deren Entscheidungen zugunsten der Klägerin ausfielen. Nach deren Auffassung erfülle diese Nutzung die Anforderungen an die Datenverarbeitung, stütze sich auf eine geeignete Rechtsgrundlage gemäß Art. 9 Abs. 2 lit. h DSGVO (Art. 22 Abs. 1 Nr. 1 lit. b BDSG) und erfolge in einem vertraulichen Rahmen. Zudem rechtfertige das Interesse an Prävention die Datenverarbeitung. Somit sei die im Februar 2022 ausgesprochene Anordnung des Landesbeauftragten für den Datenschutz in Rheinland-Pfalz, die auf eine Einschränkung der Verarbeitung von Kundendaten ohne deren Einwilligung abzielte, unwirksam. 

Das Bundesverwaltungsgericht entschied jedoch anders: Es hob die vorherigen Entscheidungen auf und wies die Klage der Versicherung ab, obwohl es die Legitimität der Prävention grundsätzlich anerkannte. Nach seiner Auffassung reicht dies jedoch nicht aus, um eine solche Maßnahme angesichts des besonders geschützten Charakters von Gesundheitsdaten nach Art. 9 DSGVO zu rechtfertigen. Da Präventionsprogramme nicht dem medizinischen Kernbereich der Gesundheitsversorgung zuzuordnen sind und die Versicherung ihre Versicherten nicht ausreichend über die konkrete Nutzung ihrer Daten gemäß den Anforderungen von Art. 13 Abs. 1 lit. d DSGVO informiert hatte, überwiegt das Interesse der Kunden am Schutz ihrer Daten gegenüber dem Interesse der Versicherung. Hinzu kommt, dass die Datenanalyse einen sehr weiten Umfang hatte: Sie umfasste auch Kunden, deren Gesundheitszustand keine Prävention erforderte, und schuf damit ein unverhältnismäßiges Risiko für die Privatsphäre, ohne allen Betroffenen einen Nutzen zu bringen. 

Soforthilfe vom Anwalt

Sie brauchen rechtliche Beratung? Rufen Sie uns an für eine kostenlose Ersteinschätzung oder nutzen Sie unser Kontaktformular.

Was aus dieser Entscheidung mitzunehmen ist 

Diese letztinstanzliche Entscheidung bekräftigt die Notwendigkeit, eine klare Einwilligung der Betroffenen einzuholen, und stärkt das Gewicht der DSGVO selbst im Bereich von Zielen der öffentlichen Gesundheit. In seiner Entscheidung erkennt das Bundesverwaltungsgericht an, dass die finanziellen Interessen der Versicherung nicht im Widerspruch zur Bedeutung solcher Maßnahmen für das Gemeinwohl stehen, stellt jedoch fest, dass die Grundrechte der Kunden gegenüber der unternehmerischen Freiheit der Versicherung überwiegen, wie sie sich aus Art. 6 Abs. 1 Unterabs. 1 lit. f DSGVO ergibt. 

Die WBS-Expertise 

Diese Entscheidung und jene der vorherigen Instanzen zeigen, dass die Reichweite des Datenschutzes weiterhin präzisiert werden muss. Seine rasche Entwicklung erfordert eine kontinuierliche Beobachtung.  Unabhängig davon, ob Sie persönlich betroffen sind oder eine juristische Person vertreten, unterstützen wir Sie gerne. Beratung, Begleitung oder Fragen – zögern Sie nicht, uns zu kontaktieren. 

hke