Bundesverwaltungsgericht stoppt Krankenversicherer bei Datenanalyse ohne Einwilligung
Das Bundesverwaltungsgericht in Leipzig hat am 5. März 2026 eine grundsätzliche Entscheidung zum Datenschutz in der privaten Krankenversicherung getroffen. Danach dürfen private Krankenversicherer die Diagnosen aus Abrechnungsrechnungen nicht ohne ausdrückliche Einwilligung der Versicherten analysieren, um gezielt Vorsorgeprogramme anzubieten.
Der Fall
Ein privater Krankenversicherungsverein auf Gegensichtigkeit bot Gesundheitsprogramme an (etwa Diabetes-Coaching oder Asthma-Beratung) und wollte potenzielle Teilnehmer ermitteln. Dazu wertete er die zur Leistungserstattung eingereichten Rechnungen aus – insbesondere hinsichtlich der darin enthaltenen Diagnosen. Während der Versicherer bei Neukunden und Vertragsänderungen um Zustimmung bat, analysierte er Daten von Bestandskunden ohne Einwilligung. Der Landesdatenschutzbeauftragte Rheinland-Pfalz verwarnte das Unternehmen daraufhin im Februar 2022 und untersagte die Praxis.
Die bisherige Instanzpraxis
Das Verwaltungsgericht Mainz und später das Oberverwaltungsgericht Koblenz gaben dem Versicherer recht. Sie befanden, dass die Datenverarbeitung gemäß Datenschutz-Grundverordnung (DSGVO) zulässig sei. Die Gerichte sahen in der Analyse eine zulässige Zweckänderung und bewerteten die Abwägung der Interessen zugunsten des Versicherers – mit dem Argument, dass Präventivprogramme im Interesse der öffentlichen Gesundheit lägen.
Die Revision des Bundesverwaltungsgerichts
Das Bundesverwaltungsgericht kehrte diese Bewertung um. Es entschied, dass ohne vorherige Einwilligung keine Diagnosen aus Abrechnungsunterlagen zu Marketingzwecken verarbeitet werden dürfen. Das Gericht bewertet die Zweckänderung strenger: Abrechnungsdaten werden von Versicherten zu Erstattungszwecken eingereicht – nicht zur Erstellung von Gesundheitsprofilen.
Relevante Rechtsgrundlagen
Das Urteil wendet die Datenschutz-Grundverordnung (DSGVO) an, die seit Mai 2018 Geltung hat. Die DSGVO setzt strenge Anforderungen an die Verarbeitung von Gesundheitsdaten (Art. 9 DSGVO) und regelt Zweckänderungen (Art. 6 DSGVO). Ergänzend kommt das Bundesdatenschutzgesetz (BDSG) zur Anwendung. Spezialgesetze wie das Versicherungsaufsichtsgesetz (VAG) und die Versicherungsbedingungen prägen das Verhältnis zwischen Versicherer und Versichertem.
Praktische Bedeutung für Versicherte
Die Entscheidung schützt die Privatspähre von Krankenversicherten. Sie können nicht ungefragt anhand ihrer Diagnosen gescannt werden, nur weil sie eine Abrechnung einreichen. Für Versicherte bedeutet dies: Unerwünschte Einladungen zu Gesundheitsprogrammen basierend auf heimlich analysierten Daten sind künftig unzulässig. Versicherer müssen vor einer solchen Datennutzung explizit um Zustimmung bitten.
Ausblick und Handlungsbedarf
Der Gesetzgeber hat derzeit keinen unmittelbaren Handlungsbedarf, da die DSGVO und das BDSG ausreichend Schutz bieten. Die Entscheidung könnte jedoch zu Debatten über die Balance zwischen Prävention und Datenschutz führen. Branchenverbände könnten Standards einfordern, wie Einwilligungen im Versicherungswesen praktikabel zu gestalten sind.
