Eigentlich klang das Angebot gut: Im Rahmen ihres Gesundheitsmanagements bot eine private Krankenversicherung ihren Versicherten Gesundheitsprogramme an wie Coachings für Diabetiker, Asthmatiker oder Rückenleidende. Um die in Frage kommenden Patientinnen und Patienten gezielt anzusprechen, analysierte die Krankenversicherung die eingereichten Rechnungen im Hinblick auf die darin aufgeführten Diagnosen. Sodann lud sie die Versicherten ein, an den für sie passenden Programmen teilzunehmen. Während sie bei Neukunden und bei Vertragsänderungen von Bestandskunden eine datenschutzrechtliche Einwilligung einholte, erfolgte bei allen anderen Versicherten die Datenanalyse ohne deren Zustimmung.

Der Datenschutzbeauftragte des Landes Rheinlad-Pfalz sah darin ein Verstoß gegen die Datenschutz-Grundversorgung (DSGVO). Die Datenanalyse sei ohne die vorherige Einwilligung der Betroffenen vorgenommen worden. Der Datenschutzbeauftragte verwarnte die Versicherung und wies sie unter Fristsetzung an, die Datenverarbeitungen nur auf Grundlage einer wirksamen Einwilligung durchzuführen. Dagegen klagte die Krankenversicherung. Vor dem Bundesverwaltungsgericht (BVerwG) hat der beklagte Landesdatenschutzbeauftragte schließlich Recht bekommen. Das Gericht hat die Urteile der Vorinstanzen geändert und die Klage abgewiesen.

Die Entscheidung betrifft jedoch nicht nur Krankenversicherungen, sondern alle datenschutzrechtlichen Verantwortlichen in kommunalen und landesweiten Verwaltungen, die Gesundheitsdaten verarbeiten. Nicht nur für die Länder und Kommunen selbst, auch für die kommunalen und landeseigenen Gesellschaften, wie die medizinischen Versorgungszentren, ist die Entscheidung von hoher Bedeutung. Denn es geht nicht allein um das „ob“, sondern vielmehr um das „wie“ mit sensiblen Gesundheitsdaten umgegangen werden muss.

Erhöhter Schutz von sensiblen Gesundheitsdaten

Für den konkreten Fall hat das BVerwG nun entschieden, dass Versicherungen die Gesundheitsdaten der Versicherten nicht ohne deren Einwilligung analysieren und auswerten dürfen, um potentielle Teilnehmer für Vorsorgeprogramme zu ermitteln. Zugleich hat das Gericht die Anforderungen an die Verarbeitung sensibler Gesundheitsdaten konkretisiert und verschärft (Az.: 6 C 7.24 vom 06.03.2026). Die Vorinstanzen waren der Ansicht gewesen, dass die Verarbeitung der Gesundheitsdaten zum Zwecke der Gesundheitsvorsorge zulässig sei.

Das BVerwG sah dies nun anders: Die Auswertung der Rechnungen und Diagnosen ist ohne die Einwilligung der betroffenen Personen nicht zulässig. Zwar verstößt die Datenanalyse nicht gegen das Verbot der Verarbeitung von Gesundheitsdaten, da die Verarbeitung zum Zweck der Gesundheitsvorsorge nach Art. 9 Abs. 1 DSGVO erforderlich ist. Allerdings liegt keine datenschutzrechtliche Rechtsgrundlage für die Verarbeitung der Gesundheitsdaten vor. Die nach Art. 6 Abs. 1 UAbs. 1 lit. f) DSGVO erforderliche Interessenabwägung wirkt sich zugunsten der versicherten Personen aus. Das trifft auch dann zu, wenn die Gesundheitsvorsorge und die Reduzierung der Behandlungskosten im eigenen Interesse der Versicherten ist. Der besondere Schutz ihrer sensiblen Gesundheitsdaten wiegt nach Art. 9 DSGVO schwerer.

Das Gericht begründet seine Entscheidung zudem damit, dass die Vorsorgeprogramme nicht dem „medizinischen Kernbereich“ zuzuordnen seien. Hinzukomme, die „große Streubreite“ der beanstandeten Datenverarbeitung. Auch habe die Versicherung ihre Kunden nicht hinreichend über die Datenverarbeitung informiert. Die Frage, ob Daten, die ursprünglich nur zum Zwecke der Abrechnung und Kostenerstattung erhoben worden sind, für andere Zwecke weiterverarbeitet werden dürfen, ließ das Gericht allerdings offen.

Hohe Anforderungen beim Umgang mit Gesundheitsdaten in der Praxis

Das BVerwG stärkt damit das Recht auf informationelle Selbstbestimmung der Betroffenen und stellt hohe Maßstäbe an die Verarbeitung von Gesundheitsdaten durch verantwortliche Stellen.

Anforderungen und Pflichten an Länder und Kommunen bei der Verarbeitung von sensiblen Gesundheitsdaten

Die Entscheidung betrifft daher nicht nur für die Tätigkeit der privaten Krankenversicherung im Bereich der Gesundheitsvorsorge, sondern auch Kommunen und Länder oder deren Gesellschaften wie medizinische Versorgungszentren.

Denn die Gesundheitsversorgung in den Ländern und Kommunen ist ein wesentlicher Bestandteil der öffentlichen Daseinsvorsorge. So verarbeiten kommunale Stellen Gesundheitsdaten, um gesetzliche Aufgaben wie Infektionsschutz oder Schuleingangsuntersuchungen zu erfüllen.  Gesundheitsdaten werden aber auch für freiwillige Angebote der Gesundheitsförderung genutzt, wie Programme zur Stressbewältigung und Bewegungsförderung in Ländern und Kommunen oder Gesundheitsbefragungen zur Verbesserung des lokalen Angebots in den Städten.

Auch wenn es sich bei Letzterem um freiwillige kommunale Leistungen handelt, müssen die datenschutzrechtlichen Anforderungen nach der DSGVO im Umgang mit diesen sensiblen Gesundheitsdaten eingehalten werden.