Diese Rechtsgrundlage greift nicht ein. So das Gericht in seinem Urteil vom 6. März 2026 (Az.: 6 C 7.24). Damit sei die Verarbeitung von personenbezogenen Daten, die auf Basis dieser Rechtsgrundlage erfolgten, unzulässig gewesen und eine Verwarnung der zuständigen Datenschutzaufsichtsbehörde begründet gewesen. Für die Kunden, bei denen eine wirksame Einwilligung vorliege, sei dann Art. 9 II 1 DSGVO als Rechtsgrundlage unter Einhaltung der dortigen Vorgaben zulässig. Das Gericht führt in den Entscheidungsgründen des Urteils unter anderem aus:
„…Die Möglichkeit der Einholung einer Einwilligung führt entgegen der Auffassung der Revision für sich genommen grundsätzlich nicht dazu, dass der mit der Verarbeitung der Gesundheitsdaten verfolgte Zweck der Gesundheitsvorsorge in zumutbarer Weise ebenso wirksam mit anderen Mitteln erreicht werden kann, die weniger stark in die durch die Art. 7 und Art. 8 GRC garantierten Rechte der betroffenen Personen auf Achtung des Privatlebens und auf Schutz personenbezogener Daten eingreifen. Zwar kann es in besonderen Fallkonstellationen mit Blick auf den Grundsatz der Datenminimierung geboten sein, auch die Möglichkeit einer Nachfrage bei den betroffenen Personen im Rahmen der Erforderlichkeit der Verarbeitung zur Verwirklichung des betreffenden Interesses in den Blick zu nehmen (vgl. etwa EuGH, Urteil vom 4. Oktober 2024 – C-621/22 [ECLI:EU:C:2024:857], Koninklijke Nederlandse Lawn Tennisbond – Rn. 51 ff. für den Fall der Offenlegung von Mitgliederdaten gegen Entgelt für Werbe- und Marketingzwecke). Diese Vorgabe lässt sich jedoch nicht verallgemeinern, weil dies im Ergebnis mit der differenzierten Regelungssystematik der Erlaubnistatbestände in Art. 6 Abs. 1 DSGVO nicht zu vereinbaren wäre. Das Berufungsurteil geht deshalb zutreffend davon aus, dass der Einwilligung (Art. 6 Abs. 1 Unterabs. 1 Buchst. a DSGVO) kein genereller Vorrang gegenüber den anderen in Art. 6 Abs. 1 DSGVO genannten Erlaubnistatbeständen zukommt. Gegen einen solchen Vorrang spricht insbesondere auch Art. 17 Abs. 1 Buchst. b DSGVO, wonach im Fall des Widerrufs der Einwilligung die auf dieser Grundlage verarbeiteten Daten nur dann zu löschen sind, wenn es an einer „anderweitigen Rechtsgrundlage“ fehlt.
Unabhängig davon kann der vom Kläger verfolgte Zweck der Gesundheitsvorsorge durch die Einholung einer Einwilligung der Versicherten auch nicht ebenso wirksam erreicht werden wie mit der Datenverarbeitung auf der Grundlage eines gesetzlichen Erlaubnistatbestands. Denn nur der Verzicht auf die Einholung der Einwilligung ermöglicht es dem Kläger, auch solchen Versicherten individuelle Angebote zur Teilnahme an den Vorsorgeprogrammen zu unterbreiten, die auf eine – zwangsläufig allgemein gehaltene und daher leichter zu ignorierende – Bitte um Erteilung einer Einwilligung zur hierauf bezogenen Verarbeitung der Rechnungsdaten möglicherweise aus bloßer Passivität nicht reagieren. Dass der Kläger nach den Feststellungen des Oberverwaltungsgerichts für die Datenanalyse bei Neukunden sowie bei Vertragsänderungen von Bestandskunden seit 2017 eine datenschutzrechtliche Einwilligung einholt, belegt entgegen der Auffassung der Revision nicht, dass der verfolgte Zweck der Gesundheitsvorsorge hierdurch ebenso wirksam erreicht werden kann. Denn diese Vorgehensweise ist der besonderen Schwierigkeit der datenschutzrechtlichen Beurteilung der hier inmitten stehenden Verarbeitung sowie dem Umstand geschuldet, dass der Kläger auch den Belangen der Rechtssicherheit und Praktikabilität Rechnung getragen hat.
Dass das Berufungsgericht jedenfalls der Sache nach die im Rahmen der Erforderlichkeit für Zwecke der Gesundheitsvorsorge gemäß Art. 9 Abs. 2 Buchst. h DSGVO zu berücksichtigende Vereinbarkeit mit dem in Art. 5 Abs. 1 Buchst. c DSGVO verankerten Grundsatz der Datenminimierung bejaht hat, ist ebenfalls nicht zu beanstanden. Die in den vom Kläger analysierten Rechnungen enthaltenen Diagnosedaten sind für den Zweck der Unterbreitung individuell zugeschnittener Vorsorgeprogramme erheblich und angemessen. Es bestehen keine Anhaltspunkte dafür, dass der Kläger im Rahmen der Analyse Daten in einem Umfang oder über einen Zeitraum verarbeitet, die für den verfolgten Zweck objektiv nicht erforderlich sind. Wie das Oberverwaltungsgericht zutreffend bemerkt, liegt eine unnötige Datenverarbeitung nicht deshalb vor, weil auch die Daten solcher Versicherter von ihr betroffen sind, die kein Interesse an den Programmen des „Gesundheitsmanagements“ geäußert haben. Die Verarbeitung auch dieser Daten würde nur dann das für den Zweck eines effektiven Angebots von Leistungen des „Gesundheitsmanagements“ notwendige Maß überschreiten, wenn sie auch die Daten derjenigen Versicherten umfassen würde, die der Verarbeitung zu dem fraglichen Zweck widersprochen haben und bei denen daher feststeht, dass der Zweck nicht erreicht werden kann. Nach den Feststellungen im Berufungsurteil ist dies indes nicht der Fall, weil die Versicherten danach die Möglichkeit haben, die Datenverarbeitung durch eine Erklärung gegenüber dem Kläger zu unterbinden. Bei allen anderen Versicherten ist hingegen die Annahme gerechtfertigt, dass der Zweck, durch eine individualisierte Ansprache Interesse an einer Teilnahme an den entsprechenden Programmen zu wecken, noch erreicht werden kann…“
