Bundesverwaltungsgericht stoppt Datenanalyse privater Krankenversicherer

Private Krankenversicherer dürfen Patientendaten künftig nicht mehr ohne Einwilligung für Präventionsprogramme nutzen. Das Bundesverwaltungsgericht hat den Unternehmen damit enge Grenzen gesetzt.

Der Streit um die digitale Datenverarbeitung in der privaten Krankenversicherung (PKV) hat einen vorläufigen Höhepunkt erreicht. Am 6. März 2026 urteilte das Bundesverwaltungsgericht (BVerwG) in Leipzig: Wer eine private Krankenversicherung abgeschlossen hat, muss nicht befürchten, dass seine Diagnosen automatisch für Gesundheitsprogramme ausgewertet werden – es sei denn, er stimmt ausdrücklich zu.

Das aktuelle Urteil unterstreicht, wie schnell Versäumnisse bei der Dokumentationspflicht nach Art. 30 DSGVO zu rechtlichen Problemen führen können. Mit dieser kostenlosen Muster-Vorlage und Schritt-für-Schritt-Anleitung erstellen Sie Ihr Verarbeitungsverzeichnis zeitsparend und rechtssicher. Kostenlose Excel-Vorlage jetzt gratis herunterladen

Konkret verbot das Gericht (Az. 6 C 7.24) den Versicherern, Diagnosen aus eingereichten Arztrechnungen zu analysieren, um etwa Diabetes-, Asthma- oder Rückenschmerzpatienten bestimmte Präventions- oder Coaching-Angebote zu unterbreiten. Das Urteil kippt damit frühere Entscheidungen des Verwaltungsgerichts Mainz und des Oberverwaltungsgerichts Koblenz.

Datenschutz geht vor Geschäftsinteressen

Der Rechtsstreit begann mit einer Warnung des Landesdatenschutzbeauftragten von Rheinland-Pfalz aus dem Jahr 2022. Das Gericht gab dieser Position nun recht: Zwar dürfen Versicherungen Gesundheitsdaten für die reine Kostenerstattung verarbeiten. Doch sobald die Daten für „Gesundheitsmanagement" oder marketingähnliche Zwecke genutzt werden, braucht es eine separate Rechtsgrundlage nach der Datenschutz-Grundverordnung (DSGVO).

Das betroffene Versicherungsunternehmen hatte argumentiert, seine Programme kämen den Patienten zugute und verbesserten die Versorgung. Das Gericht stellte jedoch klar: Die hohen Schutzstandards für medizinische Daten überwiegen. Die flächendeckende Verarbeitung und die mangelnde Aufklärung der Versicherten machten die Praxis ohne ausdrückliche Einwilligung rechtswidrig.

Für die PKV-Branche ist das ein harter Schlag. Viele Unternehmen hatten in den vergangenen Jahren in Big-Data-Analysen investiert, um Risikopatienten frühzeitig zu identifizieren. Juristen sehen die Branche nun zurückgeworfen auf ein reines „Opt-in"-Modell.

Neue digitale Meldepflichten seit Jahresbeginn

Das Urteil fällt in eine Zeit tiefgreifender Digitalisierung der Branche. Seit dem 1. Januar 2026 sind private Versicherer verpflichtet, Beitragsdaten digital an das Bundeszentralamt für Steuern (BZSt) zu übermitteln. Das Jahressteuergesetz schreibt vor, dass die Daten für das Folgejahr jeweils bis zum 20. November gemeldet werden müssen.

Das papierbasierte Verfahren ist damit vollständig abgelöst. Ziel ist die automatisierte Berechnung steuerfreier Arbeitgeberzuschüsse und Vorsorgeaufwendungen. Der PKV-Verband hatte das System ursprünglich für 2024 geplant, technische Hürden führten jedoch zu einer zweijährigen Verzögerung.

Wichtig aus Datenschutzsicht: Die Übermittlung beschränkt sich strikt auf steuerrelevante Grundbeitragsdaten. Optionale Tarife, Zusatzversicherungen oder individuelle Gesundheitsdaten dürfen nicht enthalten sein. Versicherer müssen ihre Kunden zudem über jede Datenübertragung informieren und ein Widerspruchsrecht einräumen.

Europäischer Gesundheitsdatenraum als nächster Meilenstein

Während die deutschen Gerichte nationale Standards setzen, verändert sich die europäische Rechtslandschaft grundlegend. Die Verordnung zum Europäischen Gesundheitsdatenraum (EHDS) (EU 2025/327) ist seit März 2025 in Kraft und hat ihr erstes Jahr hinter sich.

Das EHDS schafft einen einheitlichen Markt für digitale Gesundheitsdienste. Für private Versicherer bedeutet das ein komplexes Zweigleis-System:

• Primärnutzung: Bis März 2027 sollen grenzüberschreitende Standards für die Patientenversorgung gelten. Dazu gehört die Integration der elektronischen Patientenakte (ePA), die in Deutschland seit Anfang 2025 als Widerspruchslösung eingeführt wurde.
• Sekundärnutzung: Die Verordnung regelt auch die Nutzung von Gesundheitsdaten für die Forschung. Versicherer als „Datenhalter" müssen pseudonymisierte Daten unter strengen Sicherheitsauflagen für Forschungszwecke bereitstellen.

Die Digitalisierung im Gesundheitswesen erfordert nicht nur Interoperabilität, sondern auch eine lückenlose Risikoabsicherung bei der Datenverarbeitung. Dieser kostenlose Leitfaden zeigt Ihnen, wie Sie eine rechtssichere Datenschutz-Folgenabschätzung erstellen und Bußgelder von bis zu 2 % des Jahresumsatzes vermeiden. Muster-DSFA und Checklisten kostenlos herunterladen

Branchenanalysten schätzen, dass der EHDS langfristig rund 11 Milliarden Euro Einsparungen in der EU ermöglicht – durch weniger Bürokratie und bessere Behandlungsergebnisse. Für private Versicherer bedeutet der Umbau jedoch massive Investitionen in Interoperabilität und Cybersicherheit.

Hohe Bußgelder als Warnsignal

Die finanziellen Risiken bei Verstößen sind beträchtlich. Anfang 2026 zeigt sich: Datenschutzbehörden in ganz Europa gehen verstärkt gegen Finanz- und Gesundheitsinstitute vor.

Erst Ende 2025 verhängte die spanische Aufsicht ein Bußgeld von 200.000 Euro gegen einen großen europäischen Versicherer – wegen unzureichender Sicherheitsmaßnahmen im Kundenportal. In Deutschland wurde ein Medizintechnik-Unternehmen im Januar 2026 zu 670.000 Euro Strafe verurteilt, weil es Patientendaten unverschlüsselt in der Cloud speicherte.

Diese Fälle und das aktuelle BVerwG-Urteil signalisieren eine Verschärfung des regulatorischen Umfelds. Für private Krankenversicherer heißt das: Sie müssen ihre oft veralteten IT-Systeme modernisieren, um die ePA zu unterstützen – und gleichzeitig „Privacy by Design"-Konzepte umsetzen, die der Prüfung durch nationale und europäische Aufsichtsbehörden standhalten.

Zweiklassen-Datenschutz als politischer Zankapfel

Der PKV-Verband drängt weiterhin auf eine Angleichung der Rechte an die gesetzlichen Krankenkassen (GKV). Das Gesundheitsdatennutzungsgesetz (GDNG), seit März 2024 in Kraft, erlaubt den gesetzlichen Kassen gewisse Spielräume bei der Datenanalyse zur Risikoerkennung.

Das aktuelle Urteil bestätigt nun: Private Versicherer unterliegen strengeren Einwilligungsanforderungen. Die Branche argumentiert, dass ein zweigeteilter Datenschutzstandard private Patienten langfristig benachteiligen könnte. Dieses Thema wird die politische Debatte in den kommenden Monaten prägen.

Kurzfristig setzen die Unternehmen auf Granular Consent Management – Systeme, die es Versicherten erlauben, genau zu bestimmen, welche Teile ihrer Krankenakte für Präventions-Coachings genutzt werden dürfen. Die Botschaft ist klar: Der digitale Fortschritt der „ePA für alle" darf nicht auf Kosten der Privatsphäre gehen.

de | wirtschaft | 69303555 |