Das Urteil des Bundesverwaltungsgerichts vom 06.03.2026 (6 C 7.24) verdient besondere Beachtung, weil es eine in der Praxis häufig verkürzt behandelte Grundfrage der DSGVO erneut in den Mittelpunkt rückt: Unter welchen Voraussetzungen dürfen Gesundheitsdaten verarbeitet werden, wenn die betroffene Person nicht ausdrücklich eingewilligt hat? Der Fall betraf eine private Krankenversicherung, die Diagnosen aus zur Kostenerstattung eingereichten Rechnungen automatisiert auswertete, um Versicherte für bestimmte Vorsorge- und Präventionsprogramme zu identifizieren. Die Programme betrafen etwa Diabetes, Asthma oder Rückenleiden; die anschließende Teilnahme sollte freiwillig sein, die vorgelagerte Datenanalyse erfolgte bei einem Teil der Bestandsversicherten jedoch ohne Einwilligung.

Die Entscheidung ist nicht deshalb interessant, weil das Bundesverwaltungsgericht die Verarbeitung von Gesundheitsdaten pauschal untersagt hätte. Im Gegenteil: Das Gericht hat ausdrücklich angenommen, dass Vorsorge- und Präventivprogramme einer privaten Krankenversicherung grundsätzlich unter den Begriff der Gesundheitsvorsorge im Sinne von Art. 9 Abs. 2 h) DSGVO fallen können. Gleichwohl war die konkrete Verarbeitung rechtswidrig. Nicht Art. 9 DSGVO war das entscheidende Hindernis, sondern die fehlende Tragfähigkeit der Verarbeitung im Rahmen von Art. 6 Abs. 1 f) DSGVO, insbesondere unter Berücksichtigung der unzureichenden Information der Versicherten und der Interessenabwägung.

Der datenschutzrechtliche Ausgangspunkt

Bei der Verarbeitung von Gesundheitsdaten genügt es nicht nur Art. 9 DSGVO in den Blick zu nehmen. Art. 6 DSGVO und Art. 9 DSGVO stehen nicht in einem Alternativverhältnis, sondern müssen gemeinsam gelesen werden. Art. 6 Abs. 1 DSGVO enthält die allgemeine Rechtmäßigkeitsgrundlage für jede Verarbeitung personenbezogener Daten. Art. 9 DSGVO enthält darüber hinaus ein besonderes Verarbeitungsverbot für bestimmte sensible Datenkategorien und regelt, unter welchen Voraussetzungen dieses Verbot ausnahmsweise nicht greift.

Dogmatisch bedeutet dies: Die Verarbeitung personenbezogener Daten muss zunächst überhaupt von einer Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO getragen sein. Geht es um Gesundheitsdaten, muss zusätzlich ein Ausnahmetatbestand nach Art. 9 Abs. 2 DSGVO vorliegen. Art. 9 DSGVO ersetzt Art. 6 DSGVO also nicht, sondern verschärft die Anforderungen an die Verarbeitung. Umgekehrt genügt aber auch Art. 6 DSGVO allein nicht, wenn Gesundheitsdaten betroffen sind.

Diese kumulative Prüfung hat der EuGH in der Rechtssache Medizinischer Dienst der Krankenversicherung Nordrhein (Urteil vom 21.12.2023, C‑667/21 Rn. 71 ff.) ausdrücklich bestätigt. Eine Verarbeitung von Gesundheitsdaten, die sich auf Art. 9 Abs. 2 h) DSGVO stützt, muss zusätzlich eine der Rechtmäßigkeitsvoraussetzungen des Art. 6 Abs. 1 DSGVO erfüllen. Die Entscheidung des Bundesverwaltungsgerichts knüpft hieran an und überträgt diese Linie auf die Datenanalyse durch eine private Krankenversicherung.

Der Begriff der Gesundheitsvorsorge ist weit

Bemerkenswert ist zunächst, dass das Bundesverwaltungsgericht den Begriff der Gesundheitsvorsorge nicht eng auf den unmittelbaren ärztlichen Behandlungsvorgang beschränkt. Auch Angebote, die der Prävention oder der gesundheitsbezogenen Unterstützung dienen, können grundsätzlich unter Art. 9 Abs. 2 h) DSGVO fallen. Dass die Krankenversicherung die Leistungen nicht selbst erbrachte, sondern lediglich vermittelte, und dass daneben auch Interessen der Kosteneffizienz eine Rolle spielten, stand der Einordnung als Gesundheitsvorsorge nicht entgegen.

Ebenfalls praxisrelevant sind die Ausführungen zu § 22 Abs. 1 Nr. 1 b) BDSG. Das Bundesverwaltungsgericht hat klargestellt, dass diese Vorschrift als nationale Rechtsgrundlage im Sinne von Art. 9 Abs. 2 h) DSGVO herangezogen werden kann und weder gegen das unionsrechtliche Normwiederholungsverbot noch gegen Bestimmtheitsanforderungen verstößt. Damit stärkt das Gericht die Anwendbarkeit von § 22 BDSG für nichtöffentliche Stellen, soweit die tatbestandlichen Voraussetzungen tatsächlich erfüllt sind.

Hinzu kommt die Aussage zum Berufsgeheimnis. Nach Art. 9 Abs. 3 DSGVO müssen bestimmte Verarbeitungen im Gesundheitsbereich durch Personen erfolgen, die einem Berufsgeheimnis oder einer entsprechenden Geheimhaltungspflicht unterliegen. Das Bundesverwaltungsgericht verlangt insoweit keine zusätzliche, spezifisch berufsrechtlich geregelte Geheimhaltungspflicht der Mitarbeiter einer privaten Krankenversicherung, wenn diese bereits von § 203 Abs. 1 Nr. 7 StGB erfasst werden. Auch dieser Punkt ist für die Praxis wichtig, weil er zeigt, dass Art. 9 DSGVO nicht zwingend auf klassische Heilberufe begrenzt ist.

Damit enthält die Entscheidung auf Art.-9-Ebene durchaus unternehmensfreundliche Klarstellungen. Sie bestätigt, dass Gesundheitsvorsorge datenschutzrechtlich nicht auf den engen Behandlungskern reduziert werden muss, dass § 22 BDSG als nationale Öffnungsnorm tragfähig sein kann und dass auch außerhalb des unmittelbaren Arzt-Patienten-Verhältnisses eine ausreichende Geheimhaltungspflicht bestehen kann. Gerade deshalb ist die Entscheidung aber so lehrreich: Obwohl Art. 9 DSGVO im Ergebnis nicht das Problem war, blieb die Verarbeitung unzulässig.

Warum die Verarbeitung dennoch scheiterte

Die Rechtswidrigkeit folgte aus Art. 6 Abs. 1 f) DSGVO. Das Bundesverwaltungsgericht hat zwar anerkannt, dass Gesundheitsvorsorge und die Reduzierung von Behandlungskosten gewichtige Interessen sein können. Es hat aber die Interessen der Versicherten höher gewichtet, weil besonders sensible Gesundheitsdaten betroffen waren, die Datenverarbeitung eine große Streubreite hatte, die Vorsorgeprogramme nicht dem medizinischen Kernbereich zuzuordnen waren und die Versicherten nicht hinreichend deutlich über die verfolgten Interessen informiert worden waren.

Der letzte Punkt ist besonders wichtig und sollte in der Beratungspraxis nicht als bloße Formalie behandelt werden. Nach Art. 13 Abs. 1 c) DSGVO müssen die Zwecke der Verarbeitung und die Rechtsgrundlage mitgeteilt werden. Wird die Verarbeitung auf Art. 6 Abs. 1 f) DSGVO gestützt, verlangt Art. 13 Abs. 1 d) DSGVO zusätzlich die Mitteilung der berechtigten Interessen. Diese Information ist nicht nur eine Frage ordnungsgemäßer Datenschutzhinweise, sondern kann auf die materielle Rechtmäßigkeit der Verarbeitung durchschlagen.

Der EuGH hat dies in der Entscheidung Mousse vom 09.01.2025 – C-394/23 – deutlich herausgearbeitet. Danach kann eine Verarbeitung auf Grundlage berechtigter Interessen nicht als erforderlich angesehen werden, wenn den Betroffenen bei der Erhebung der Daten das verfolgte berechtigte Interesse nicht mitgeteilt wurde; hinzu kommen die Anforderungen, dass die Verarbeitung auf das unbedingt Notwendige beschränkt sein muss und die Rechte der Betroffenen im Rahmen der Abwägung nicht überwiegen dürfen.

Damit wird Art. 6 Abs. 1 f) DSGVO nicht auf eine bloße Abwägungsentscheidung reduziert. Die Vorschrift verlangt vielmehr eine konsistente Legitimationskette: ein konkret benanntes berechtigtes Interesse, eine hierfür erforderliche Verarbeitung, eine transparente Information über Zwecke und Interessen sowie eine Abwägung, die auch die vernünftigen Erwartungen der betroffenen Personen berücksichtigt. Fehlt die Information über Zwecke und Interessen, ist nicht nur Art. 13 DSGVO betroffen; vielmehr kann bereits die Berufung auf Art. 6 Abs. 1 f) DSGVO selbst nicht tragen.

Der eigentliche Praxiswert der Entscheidung

Die Entscheidung zeigt damit nicht, dass die Verarbeitung von Gesundheitsdaten für Präventionszwecke generell ausgeschlossen wäre. Sie zeigt vielmehr, dass Unternehmen bei Gesundheitsdaten sauber zwischen den verschiedenen Rechtmäßigkeitsebenen unterscheiden müssen. Art. 9 DSGVO beantwortet, ob das besondere Verbot der Verarbeitung sensibler Daten durchbrochen werden kann. Art. 6 DSGVO beantwortet, ob die konkrete Verarbeitung personenbezogener Daten überhaupt rechtmäßig ist. Art. 13 DSGVO verlangt, dass Zwecke, Rechtsgrundlage und berechtigte Interessen nicht nur intern dokumentiert, sondern den Betroffenen rechtzeitig und verständlich mitgeteilt werden.

Für Unternehmen bedeutet dies, dass insbesondere pauschale Datenschutzhinweise erhebliche Risiken begründen. Wer Diagnosen, Abrechnungsdaten, Fehlzeiten, Therapiedaten oder sonstige Gesundheitsinformationen auswertet, sollte nicht mit allgemeinen Formulierungen wie „Gesundheitsmanagement“, „individuelle Betreuung“, „Serviceverbesserung“ oder „Prävention“ arbeiten, wenn tatsächlich eine konkrete Analyse sensibler Daten erfolgt. Entscheidend ist, ob der Betroffene erkennen kann, welche Daten zu welchem Zweck verarbeitet werden, welche Rechtsgrundlage herangezogen wird und welches berechtigte Interesse der Verantwortliche verfolgt.

Ebenso ist der ursprüngliche Erhebungskontext zu berücksichtigen. Wer eine Rechnung zur Kostenerstattung einreicht, rechnet mit der Prüfung des Erstattungsanspruchs. Daraus folgt nicht ohne Weiteres, dass die darin enthaltenen Diagnosen auch ausgewertet werden dürfen, um krankheitsspezifische Zusatzangebote vorzubereiten. Dass ein solches Angebot freiwillig ist oder gesundheitlich sinnvoll erscheinen mag, ersetzt weder die Rechtsgrundlage noch die transparente Zweckbestimmung.

Konsequenzen für Unternehmen

Unternehmen, die Gesundheitsdaten verarbeiten oder aus vorhandenen Daten gesundheitsbezogene Rückschlüsse ziehen, sollten die Entscheidung zum Anlass nehmen, ihre Prozesse systematisch zu überprüfen. Dies betrifft nicht nur private Krankenversicherer, sondern auch Arbeitgeber, Anbieter digitaler Gesundheitsdienste, betriebliche Gesundheitsprogramme, Plattformbetreiber, Dienstleister im Gesundheitswesen und Unternehmen, die Fehlzeiten-, Leistungs-, Abrechnungs- oder Kundendaten mit Gesundheitsbezug auswerten.

Zu prüfen ist zunächst, welche personenbezogenen Daten verarbeitet werden und ob es sich um Gesundheitsdaten im Sinne von Art. 4 Nr. 15 DSGVO handelt. Sodann ist zu bestimmen, welche Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO die konkrete Verarbeitung trägt. Bei Gesundheitsdaten ist zusätzlich zu prüfen, ob ein Ausnahmetatbestand nach Art. 9 Abs. 2 DSGVO einschlägig ist, etwa Art. 9 Abs. 2 a) DSGVO oder Art. 9 Abs. 2 h) DSGVO in Verbindung mit § 22 Abs. 1 Nr. 1 b) BDSG. Schließlich müssen Zweckbindung, Datenminimierung, Transparenzpflichten und gegebenenfalls eine Datenschutz-Folgenabschätzung berücksichtigt werden.

Besondere Aufmerksamkeit verdient Art. 6 Abs. 1 f) DSGVO. Diese Rechtsgrundlage kann auch bei anspruchsvollen Verarbeitungen eine Rolle spielen, sie verlangt aber eine belastbare Begründung. Nach der neueren EuGH-Rechtsprechung muss das verfolgte berechtigte Interesse den Betroffenen mitgeteilt werden; die Verarbeitung muss auf das Erforderliche beschränkt bleiben, und die Abwägung muss den Schutzbedarf der betroffenen Personen ernsthaft einbeziehen. Gerade bei Gesundheitsdaten wird diese Abwägung regelmäßig nur dann tragfähig sein, wenn der Zweck eng bestimmt, die Datenverarbeitung begrenzt, die Information konkret und die Erwartbarkeit der Verarbeitung nachvollziehbar begründet ist.

Die Entscheidung des Bundesverwaltungsgerichts ist deshalb kein bloßer Einzelfall bei einer privaten Krankenversicherung, sondern ein wichtiger Hinweis für die datenschutzrechtliche Gestaltung sensibler Datenverarbeitungen insgesamt. Sie bestätigt einerseits, dass Art. 9 DSGVO und § 22 BDSG Spielräume eröffnen können; sie zeigt andererseits, dass diese Spielräume nicht helfen, wenn die allgemeine Rechtmäßigkeit nach Art. 6 DSGVO, die Transparenz nach Art. 13 DSGVO und die berechtigten Erwartungen der Betroffenen nicht hinreichend beachtet werden.

Unsere Kanzlei berät Unternehmen seit vielen Jahren bei der rechtssicheren Ausgestaltung datenschutzrechtlicher Prozesse, insbesondere bei Gesundheitsdaten, Beschäftigtendaten und digitalen Geschäftsmodellen. Die Entscheidung zeigt erneut, dass die rechtliche Prüfung sensibler Datenverarbeitungen nicht erst bei der Datenschutzerklärung beginnen darf, sondern bereits bei der Konzeption des Verarbeitungsvorgangs ansetzen muss.

Christian Krösch
Letzte Artikel von Christian Krösch (Alle anzeigen)