Eine Krankenversicherung darf die zur Kostenerstattung eingereichten Rechnungen ihrer Versicherten nicht ohne deren Einwilligung auf Diagnosen hin untersuchen, um potenzielle Teilnehmer für Vorsorgeprogramme zu ermitteln. Mit dieser Entscheidung änderte das Bundesverwaltungsgericht die Urteile der Vorinstanzen und wies die Klage des Versicherers ab (Az. 6 C 7.24).
Die Debeka bietet im Rahmen ihres Gesundheitsmanagements verschiedene Versorgungsprogramme an, etwa Coaching-Angebote bei Diabetes oder Rückenleiden. Um geeignete Teilnehmer zu finden, wertete sie Rechnungen der Versicherten aus, einschließlich der darauf enthaltenen Diagnosen. Versicherte, die als geeignet galten, erhielten daraufhin Einladungen zur Teilnahme.
Höchste Instanz überstimmt die Vorinstanzen
Während bei Neukunden und Vertragsänderungen eine Einwilligung eingeholt wurde, erfolgte die Analyse bei Bestandsversicherten ohne Zustimmung. Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz verwarnte die Debeka im Februar 2022 und forderte sie auf, entsprechende Datenverarbeitungen künftig nur mit wirksamer Einwilligung durchzuführen.
Die Vorinstanzen – das Verwaltungsgericht Mainz und das Oberverwaltungsgericht Koblenz – hatten die Datenanalyse noch für zulässig gehalten. Die Zweckänderung bei der Nutzung der sensiblen Gesundheitsdaten sei hier für die Gesundheitsvorsorge und Reduzierung von Behandlungskosten gerechtfertigt, befanden die Richter.
Das Bundesverwaltungsgericht kam zu einem anderen Ergebnis. Zwar halten auch die dortigen Richter die Datenanalyse der Debeka nach Art. 9 DSGVO für zulässig, das Gericht bemängelte jedoch mit Blick auf Art. 6 der DSGVO die Art und Weise der Datenverarbeitung. Die schriftliche Entscheidung der Richter steht aktuell noch aus.
Für die Verwendung von Patientendaten dürfte dies jedoch bedeuten: Sofern private Krankenkassen bestimmte Maßgaben einhalten, können sie künftig Rechnungsdaten als Grundlage für gesundheitliche Präventionsmaßnahmen heranziehen.
Die Debeka zählt zu den größten privaten Krankenversicherungen hierzulande. Sie hat sich vor allem auf die Versicherung von Beamten im öffentlichen Dienst spezialisiert, versichert aber auch Referendare, Selbstständige und Freiberufler.
Vertreter Landesbeauftragter für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz
Inhouse Recht (Mainz): Prof. Dr. Dieter Kugelmann
Brandi (Paderborn): Prof. Dr. Christoph Worms (Federführung; Datenschutz- und Verwaltungsrecht); Associate: Dr. Julian Arning (Datenschutzrecht)
Vertreter Debeka Krankenversicherungsverein
Redeker Sellner Dahs (Berlin): Dr. Cornelius Böllhoff, Dr. Gero Ziegenhorn; Associate: Dr. Simon Blätgen (alle Datenschutz/IT)
Bundesverwaltungsgericht, 6. Senat
Prof. Dr. Ingo Kraft (Vorsitz), Dr. Knut Möller (Stellvertretender Vorsitzender), Carsten Hahn (Berichterstatter), Elisabeth Steiner, Dr. Stephanie Gamp (beide Beisitzerinnen)
Hintergrund: Der langjährige Landesdatenschutzbeauftragte in Rheinland-Pfalz, Prof. Dr. Dieter Kugelmann, hatte die Vorinstanzen noch selbst bestritten. Für das Verfahren am Bundesverwaltungsgericht zog er dann Brandi-Partner Worms hinzu.
Brandi fährt mehrgleisig mit ihrer datenschutzrechtlichen Praxis: Zum einen unterstützt sie sowohl private Unternehmen wie Takko Fashion und die börsennotierte Eckert & Ziegler als auch Stadtwerke und die Verbraucherzentrale NRW im operativen Geschäft und in Streitverfahren. Zum anderen steht sie den Datenschutzbeauftragten bei Auslegungs- und Grundsatzfragen zur Seite.
Redeker, die in den beiden Vorinstanzen mit ihrer Mandantin erfolgreich war, berät die Debeka schon seit vielen Jahren und auch weitere große Krankenkassen im Datenrecht. Bis zum Herbst zählte noch Counsel Dr. Stefanie Schulz-Große zum Verfahrensteam, die dann Justiziarin bei AOK Connect – dem digitalen Dienstleister der AOK-Gemeinschaft – wurde.
