Die Verarbeitung von Gesundheitsdaten gehört zu den sensibelsten Bereichen im Datenschutz. Ein aktuelles Urteil des Bundesverwaltungsgericht aus März 2026 zeigt deutlich, wie eng die rechtlichen Grenzen hier gezogen sind – und warum das Thema längst nicht nur für private Krankenversicherungen relevant ist.
Der Fall: Wenn „gut gemeint“ nicht ausreicht
Im konkreten Fall wertete eine private Krankenversicherung Diagnosen aus Erstattungsanträgen aus, um Versicherten gezielt Vorsorgeprogramme anzubieten. Was auf den ersten Blick sinnvoll erscheint, wurde datenschutzrechtlich zum Problem.
Bereits 2022 hatte der Landesbeauftragter für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI) diese Praxis beanstandet. Nach mehreren Instanzen stellte das Gericht nun klar: Diese Form der Datenverarbeitung ist unzulässig.
Der zentrale Punkt: Die Verarbeitung stützte sich auf ein „berechtigtes Interesse“ gemäß Art. 6 Abs. 1 lit. f DSGVO. Doch bei Gesundheitsdaten greift ein deutlich strengerer Maßstab. Sie zählen zu den besonders geschützten Daten nach Art. 9 DSGVO – und hier reicht ein allgemeines Interesse in der Regel nicht aus.
Zudem wurden die Versicherten nicht ausreichend darüber informiert, dass ihre Diagnosedaten für zusätzliche Zwecke verwendet werden. Auch das stellt einen klaren Verstoß gegen die Transparenzanforderungen der DSGVO dar.
Warum das Urteil weit über die PKV hinausgeht
Die Entscheidung betrifft nicht nur Versicherungen. Sie ist ein deutliches Signal für alle Organisationen, die mit Gesundheitsdaten arbeiten – etwa Arbeitgeber, Gesundheitsdienstleister, Softwareanbieter oder Beratungen.
Der Kern der Botschaft:
Jeder Verarbeitungszweck benötigt eine eigene, belastbare Rechtsgrundlage. Ein „Mehrwert“ für die betroffene Person genügt nicht. Gerade bei sensiblen Daten ist die Schwelle bewusst hoch angesetzt.
Das bedeutet auch: Daten, die für einen bestimmten Zweck erhoben wurden, dürfen nicht automatisch für andere – selbst naheliegende – Zwecke weiterverwendet werden. Eine klare Zweckbindung ist zwingend.
Typische Stolperfallen in der Praxis
In der täglichen Arbeit entstehen Risiken oft nicht aus böser Absicht, sondern aus pragmatischen Überlegungen. Genau hier liegt die Gefahr.
Ein klassisches Beispiel: Daten werden ursprünglich zur Abwicklung eines Prozesses erhoben – etwa zur Leistungsabrechnung – und später für zusätzliche Services oder Analysen genutzt. Ohne passende Rechtsgrundlage wird daraus schnell ein Datenschutzverstoß.
Auch unklare oder unvollständige Informationen gegenüber Betroffenen sind ein häufiger Fehler. Transparenz ist jedoch kein „Nice-to-have“, sondern eine zentrale Pflicht.
Was Unternehmen jetzt konkret tun sollten
Das Urteil macht deutlich, dass beim Umgang mit Gesundheitsdaten besondere Sorgfalt erforderlich ist. Unternehmen sollten ihre Prozesse kritisch prüfen und klar strukturieren.
Wichtig ist vor allem, die Zweckbindung konsequent einzuhalten und jede Verarbeitung sauber zu dokumentieren. Ebenso sollte frühzeitig geprüft werden, ob eine Datenschutz-Folgenabschätzung (DSFA) notwendig ist – also eine strukturierte Risikoanalyse bei besonders sensiblen Verarbeitungen.
Nicht zuletzt lohnt es sich, den Datenschutzbeauftragten frühzeitig einzubinden. Gerade bei neuen Nutzungsideen für bestehende Daten lassen sich so Risiken vermeiden, bevor sie entstehen.
Unsere Top 5
- Prüfe die Rechtsgrundlage für jede Verarbeitung von Gesundheitsdaten separat
- Verlasse dich nicht auf „berechtigtes Interesse“ bei sensiblen Daten
- Definiere und dokumentiere Verarbeitungszwecke klar und nachvollziehbar
- Informiere Betroffene vollständig und verständlich über jede Datennutzung
- Beziehe den Datenschutzbeauftragten frühzeitig in neue Vorhaben ein