Das Bundesverwaltungsgericht (BVerwG) hat eine wichtige Entscheidung zum Umgang mit Gesundheitsdaten getroffen. Im Zentrum des Prozesses stand die Frage, ob private Krankenversicherer Diagnosedaten, die sie im Rahmen der Leistungsprüfung erhalten, zu Werbung für bestimmte Gesundheitsprogramme, etwa für Coaching-Angebote bei Diabetes, Asthma oder Rückenleiden, nutzen dürfen. Die Antwort des Gerichts fällt eindeutig aus.
Auswertung von Abrechnungsdaten ohne Einwilligung
Ein privater Krankenversicherer hatte Diagnosedaten seiner Versicherten ausgewertet, um gezielt Werbung für ergänzende Versicherungsprodukte zu versenden. Eine Einwilligung der Versicherten hierzu holte der Versicherer nicht ein.
Die Daten stammten aus der regulären Leistungsbearbeitung, etwa aus eingereichten Rechnungen und ärztlichen Unterlagen. Auf dieser Grundlage identifizierte das Unternehmen potenzielle Bedarfe und sprach Versicherte individuell an.
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz sah darin einen Datenschutzverstoß und untersagte die Praxis. Hiergegen klagte der Versicherer erfolglos. Der Fall landete schließlich vor dem Bundesverwaltungsgericht.
Entscheidung des BVerwG
Das BVerwG bestätigte die Auffassung der Datenschutzaufsicht.
In seiner Entscheidung stellte das Gericht heraus, dass die Verarbeitung von Gesundheitsdaten nach Art. 9 Abs. 2 lit. h) DSGVO strikt zweckgebunden zu erfolgen habe. Sie sei nur zulässig, soweit sie für Zwecke der Gesundheitsversorgung, Behandlung oder Verwaltung von Gesundheitssystemen erforderlich sei.
Eine Nutzung von Gesundheitsdaten für gezielte Werbezwecke könne zwar noch von dem Ausnahmetatbestand umfasst sein, jedoch sei die Verarbeitung nicht nach Art. 6 Abs. 1 Unterabs. 1 lit. f DSGVO zulässig. Eine Interessenabwägung ginge zu Lasten des Versicherers aus. Ausschlaggebend hierfür seien der in Art. 9 DSGVO verankerte erhöhte Schutz sensibler Gesundheitsdaten und der Umstand, dass die Vorsorgeprogramme des Versicherers nicht dem medizinischen Kernbereich zuzuordnen seien. Zudem falle die große Streubreite der beanstandeten Datenverarbeitung ins Gewicht. Darüber hinaus habe der Versicherer die von ihm verfolgten Interessen den betroffenen Versicherten entgegen Art. 13 Abs. 1 lit. d DSGVO nicht hinreichend deutlich mitgeteilt.
Zweckbindung und Grenzen von Art. 9 Abs. 2 lit. h) DSGVO
Das Urteil konkretisiert den zentralen datenschutzrechtlichen Grundsatz der Zweckbindung.
Art. 9 Abs. 2 lit. h) DSGVO erlaubt die Verarbeitung von Gesundheitsdaten ausschließlich im funktionalen Zusammenhang mit der Gesundheitsversorgung. Werbliche Maßnahmen verfolgen darüber hinaus ein eigenständiges wirtschaftliches Interesse und stehen außerhalb der Vorsorge als solcher.
Auch eine „nützliche“ oder vermeintlich kundenorientierte Ansprache ändert hieran nichts. Entscheidend ist allein, ob die konkrete Verarbeitung noch vom ursprünglichen Zweck gedeckt ist. Darüber hinaus muss neben den Voraussetzungen aus Art. 9 DSGVO auch eine Grundlage aus Art. 6 Abs. 1 DSGVO gegeben sein und im Rahmen dessen auch die Beachtung des Art. 13 Abs. 1 lit. d nachgewiesen werden.
Gesundheitsdaten gehören zur sensibelsten Kategorie personenbezogener Daten. Ihre Nutzung unterliegt besonders engen Grenzen, die nicht durch wirtschaftliche Interessen aufgeweicht werden dürfen.
Daher unterliegen die „berechtigten Interessen“ von Versicherern gegenüber den Rechten der Betroffenen in der Abwägung nach Art. 6 Abs. 1 Unterabs. 1 lit. f DSGVO.
Fazit
Die Entscheidung des BVerwG schafft Klarheit für die Praxis: Private Krankenversicherer dürfen Gesundheitsdaten, die sie im Rahmen der Vertragsdurchführung erhalten, nicht für Marketing oder Produktwerbung verwenden.
Unternehmen müssen ihre Datenverarbeitungsprozesse strikt an den ursprünglichen Zweck binden und dürfen insbesondere bei sensiblen Daten keine „Zweckausweitung durch die Hintertür“ vornehmen.
Das Urteil unterstreicht damit einmal mehr, dass die Auslegung der DSGVO einen besonders strengen Schutz für Gesundheitsdaten gebietet.
NIS-2 jetzt umsetzen
KINAST Informationssicherheitsberatung für NIS-2-regulierte Einrichtungen
Ganzheitliche Beratung zu Cybersicherheit, Risikomanagement, Incident Response und regulatorischer Umsetzung.
