Datenschutz­woche

BVerwG-Urteil zur Verarbeitung von Diagnosen durch private Krankenversicherer

Mit Urteil vom 06.03.2026 (Az. 6 C 7.24) hat das Bundesverwaltungsgericht entschieden, dass private Krankenversicherungen nicht befugt sind, ohne Einwilligung der betroffenen Versicherten die Diagnosen auf deren zur Erstattung eingereichten Rechnungen zu analysieren. Eine Krankenversicherung hatte Versicherte zu passenden Vorsorgeprogrammen eingeladen.

Der Entscheidung des BVerwG war eine Verwarnung mit Anordnung des Landesbeauftragten für den Datenschutz und die Informationsfreiheit (LfDI) aus Rheinland-Pfalz im Jahr 2022 vorausgegangen. Das Verwaltungsgericht Mainz sowie das Oberverwaltungsgericht Koblenz folgten zunächst der Argumentation der klagenden Krankenkasse, die sich gegen den Bescheid wandte.

Das BVerwG sah zwar die Anforderungen aus Art. 9 Abs. 2 lit. h, Abs 3 DSGVO und § 22 Abs. 1 Nr. 1 BDSG als erfüllt an, nimmt allerdings eine Verletzung von Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO an. Die Abwägung der einander gegenüberstehenden Interessen unter Würdigung aller relevanten Umstände ergebe, dass die Interessen der Versicherten das berechtigte Interesse der privaten Krankenkasse überwiegen. Zwar haben das Ziel der Gesundheitsvorsorge und die angestrebte – auch im Interesse der Versicherten – liegende Reduzierung von Behandlungskosten eine hohe Bedeutung. Ausschlaggebend sei jedoch der in Art. 9 DSGVO verankerte erhöhte Schutz sensibler Gesundheitsdaten und der Umstand, dass die gegenständlichen Vorsorgeprogramme nicht dem medizinischen Kernbereich zuzuordnen sind. Zudem falle die große Streubreite der beanstandeten Datenverarbeitung ins Gewicht. Außerdem habe die private Krankenkasse entgegen Art. 13 Abs. 1 lit. d DSGVO die von ihr verfolgten Zwecke den Betroffenen gegenüber nicht hinreichend deutlich mitgeteilt.

Sozialstaatskommission empfiehlt Anpassungen beim Sozialdatenschutzrecht

Die Kommission zur Sozialstaatsreform (Sozialstaatskommission) hat am 28.01.2026 der zuständigen Bundesministerin für Arbeit und Soziales, Bärbel Bas, ihren Abschlussbericht vorgelegt. Sie spricht sich darin für eine grundlegende Modernisierung des Sozialleistungssystems aus. Unter maßgeblicher Mitwirkung des Bundesministeriums für Digitales und Staatsmodernisierung (BMDS) hat die Sozialstaatskommission 26 konkrete Empfehlungen erarbeitet.

Im Abschnitt „IV. Digitalisierung und Modernisierung der Verwaltung, Empfehlung 22“ geht es um Anpassungen beim Sozialdatenschutzrecht. Demnach sollen die bisherigen bereichsspezifischen Regelungen in den besonderen Büchern des SGB durch eine zentrale Regelung ersetzt werden. Zudem sieht die Kommission einen Anpassungsbedarf am für den Sozialdatenschutz zentralen Ersterhebungsgrundsatz, welcher nach ihrer Ansicht mit dem Once-Only-Prinzip (lediglich einmalige Erhebung von personenbezogenen Daten bei Bürgerinnen und Bürgern) kollidiert. Die Sozialstaatskommission regt an, den Ersterhebungsgrund zukünftig nur noch für den Datenaustausch mit nicht-öffentlichen Stellen anzuwenden, nicht jedoch zwischen Behörden der Sozialverwaltung (sofern die Datenerhebung die Ermittlung eines möglichen Leistungsanspruchs betrifft). Ergänzend empfiehlt die Kommission zu prüfen, inwiefern eine ersatzlose Streichung des Ersterhebungsgrundsatzes nach § 67a Absatz 2 Satz 1 SGB X mit dem verfassungsrechtlich verankerten Recht auf informationelle Selbstbestimmung vereinbar wäre.

Internationale Nachrichten

• Europa: Der Europäische Datenschutzausschuss (EDSA) hat auf seiner Website eine Studie zum Markt der Datenbroker in Belgien veröffentlicht. Die Studie zielt darauf ab, tiefere Einblicke in das Ökosystem der in Belgien tätigen Datenbroker zu gewinnen und gleichzeitig ein Framework zur Identifizierung potenziell (hoch-)risikoreicher Datenbroker innerhalb Europas anzubieten.
• Österreich: Mit Bescheid vom 26.01.2026 hat die österreichische Datenschutzbehörde (DSB) einer Beschwerde stattgegeben, die im Zusammenhang mit Microsoft 365 Education, dem Einsatz nicht notwendiger Cookies und einem schulischen Kontext steht. Die minderjährige Beschwerdeführerin wurde durch die Datenschutz-Organisation „noyb“ vertreten, welche den Bescheid in anonymisierter Form veröffentlicht hat.
• Schweden: Wegen mangelnder Sicherheitsmaßnahmen hat die schwedische Datenschutzbehörde (Integritetsskyddsmyndigheten – IMY) ein Bußgeld i.H.v. 6 Mio. SEK (umgerechnet etwa 560.000 EUR) gegen die Plattform Sportadmin i Skandinavien AB verhängt. Die Plattform stellt Sportvereinen verschiedene Möglichkeiten zur Online-Verwaltung und -Organisation ihrer Mitglieder bereit. Bei einem Datenschutzvorfall im Zusammenhang mit einer Cyberattacke wurden im Januar 2025 personenbezogene Daten von rund 2 Millionen Betroffenen (insbesondere viele minderjährige Mitglieder von Fußballvereinen) durch Unbekannte abgegriffen und veröffentlicht.
• International: Gemeinsame Erklärung von weltweit 61 Datenschutzaufsichtsbehörden zu KI-generierten Bildern und Datenschutz. Die Erklärung wurde als Reaktion auf ernsthafte Bedenken über KI-Systeme und deren Fähigkeit, realistische Bilder und Videos von identifizierbaren Personen ohne deren Wissen und Zustimmung zu erzeugen, veröffentlicht. Die Aufsichtsbehörden sind besonders besorgt über mögliche Schäden für Kinder.

Aktuelle Gerichtsentscheidungen

• Bundesverwaltungsgericht, Urteil vom 04.03.2026, Az. 6 A 2.24: Der Vorschrift des § 63 BNDG i.V.m. § 28 Abs. 3 S. 2 Nr. 1 BVerfSchG lässt sich eine im Wege einer verwaltungsgerichtlichen Klage durchsetzbare wehrfähige Rechtsposition nicht entnehmen. Die Klage der BfDI gegen den Bundesnachrichtendienst (BND) auf Einsicht in Anordnungen individueller Aufklärungsmaßnahmen (CNE-Maßnahmen) des BND-Präsidenten hat das Gericht als unzulässig verworfen und zu der zwischen den Beteiligten umstrittenen Abgrenzung der Kompetenzen der BfDI und des Unabhängigen Kontrollrat (UKR) bei der datenschutzrechtlichen Kontrolle des BND deshalb nicht Stellung genommen.

• Bundesverwaltungsgericht, Urteil vom 06.03.2026, Az. 6 C 7.24: Das BVerwG hat entschieden, dass private Krankenversicherungen die mit den Erstattungsanträgen eingereichten ärztlichen Diagnosen nicht ohne Einwilligung verarbeiten dürfen, um den Versicherten für sie passende Vorsorgeprogramme vorzuschlagen.

• Landgericht Mainz, Urteil vom 20.02.2026, Az. 2 O 75/25: Das Landgericht Mainz hat entschieden, dass die Speicherung und Verarbeitung auch veralteter Anschriftendaten durch eine Wirtschaftsauskunftei im Rahmen des Bonitätsscorings grundsätzlich rechtmäßig ist und keinen Verstoß gegen die DSGVO darstellt. Die Verarbeitung von Adressdaten, einschließlich früherer Anschriften, ist zur Wahrung berechtigter Interessen der Auskunftei und ihrer Vertragspartner nach Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO zulässig ist. Die Berücksichtigung von Adresswechseln bei der Bonitätsbewertung ist nach allgemeiner Erfahrung ein legitimer Risikofaktor. Die von der Auskunftei eingehaltenen Speicherfristen und Verhaltensregeln, die mit den Datenschutzaufsichtsbehörden abgestimmt wurden, stellen einen angemessenen Interessenausgleich dar.

• Landgericht Berlin II, Urteil vom 23.02.2026, Az. 52 O 22/17: Das Landgericht Berlin II schränkt die Übermittlung personenbezogener Daten von deutschen Usern von WhatsApp an Facebook bzw. Meta auf Basis der im Verfahren beanstandeten Einwilligung aus dem Jahre 2016 ein. Das Urteil, das WhatsApp zur Unterlassung verpflichtet, umfasst auch Dritte, deren Kontaktdaten sich in den Adressbüchern der WhatsApp-Nutzer befunden haben und auf deren personenbezogene Daten ein Zugriff durch WhatsApp/Facebook möglich gewesen ist. Das Verfahren wurde durch die Verbraucherzentrale Bundesverbands (vzbv) angestrengt. Das Urteil ist noch nicht rechtskräftig.

Neuigkeiten aus den Aufsichtsbehörden:

• Die Bundesbeauftragte für den Datenschutz und die Informationssicherheit: Pressemitteilung der BfDI zur abgewiesenen Klage vor dem Bundesverwaltungsgericht im Rechtsstreit um Einsichtrechte der BfDI in Unterlagen des Bundesnachrichtendienst.
• Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz: Pressemitteilung des LfDI zum Urteil des Bundesverwaltungsgerichts zur Verarbeitung von Diagnosen durch private Krankenversicherer.
• Der Bayerische Landesbeauftragte für den Datenschutz: Aktuelle Kurz-Information Nr. 28 zu Auskünften aus dem Melderegister an politische Parteien vor Wahlen.