1 Die Beteiligten streiten über die datenschutzrechtliche Zulässigkeit der von einer privaten Krankenversicherung zum Zweck des individualisierten Angebots von Vorsorgeprogrammen durchgeführten Analyse der von ihren Versicherten zur Erstattung eingereichten Rechnungen.

2 Der Kläger, ein privater Krankenversicherungsverein auf Gegenseitigkeit, bietet im Rahmen seines "Gesundheitsmanagements" bestimmte Programme an (etwa Coaching-Angebote bei Diabetes, Asthma oder Rückenleiden). Zur Ermittlung potentieller Programmteilnehmer analysiert er in einem automatisierten Prozess die zur Leistungsabrechnung eingereichten Rechnungen u. a. hinsichtlich der darin enthaltenen Diagnosen. Hieran schließt sich eine Einzelprüfung durch Mitarbeiter der von der Leistungsabteilung getrennten Abteilung "Gesundheitsmanagement" an. Versicherte, die für ein konkretes Gesundheitsprogramm in Betracht kommen, erhalten eine Einladung zur Teilnahme. Die Teilnahme selbst ist freiwillig und bedarf einer gesonderten Vereinbarung. Für die Datenanalyse holt der Kläger bei Neukunden sowie bei Vertragsänderungen von Bestandskunden seit 2017 eine datenschutzrechtliche Einwilligung ein. Bei allen übrigen Versicherten wird die Datenanalyse ohne Einwilligung durchgeführt.

3 Im März 2019 wandte sich ein Versicherter des Klägers wegen einer solchen Datenverarbeitung mit einer Beschwerde an den Beklagten. Nach vorheriger Anhörung verwarnte der Beklagte den Kläger mit Bescheid vom 10. Februar 2022. Dieser habe mit der Auswertung der von Versicherten zur Leistungserstattung eingereichten Rechnungen bzw. der darin enthaltenen Gesundheitsdaten zur Ermittlung potentieller Teilnehmer von auf bestimmte Erkrankungen bezogenen Vorsorge- und Präventivprogrammen ohne vorherige Einholung einer Einwilligung gegen Art. 5 Abs. 1 Buchst. a, Art. 6 Abs. 1 und Art. 9 Abs. 1 DSGVO verstoßen (Ziffer 1.). Zudem wies er den Kläger an, sicherzustellen, dass vor einer Auswertung der genannten Unterlagen zu dem dargestellten Zweck bei den betroffenen Personen eine wirksame Einwilligung in die beabsichtigte Datenverarbeitung eingeholt werde und andernfalls die Auswertung unterbleibe (Ziffer 2.). Ferner forderte er den Kläger zur Vorlage von Nachweisen über die Umsetzung der Anweisung bis zum 15. März 2022 auf (Ziffer 3.). Schließlich drohte er für den Fall des Zuwiderhandelns gegen die Anordnung eine Geldbuße an (Ziffer 4.).

4 Zur Begründung führte der Beklagte im Wesentlichen aus: Bei der Analyse der von den Versicherten eingereichten Rechnungen im Hinblick auf das Vorliegen bestimmter Diagnosen handele es sich um eine Verarbeitung von Gesundheitsdaten, die ohne vorherige Einwilligung rechtswidrig sei. Die Datenverarbeitung könne nicht auf Art. 6 Abs. 1, Art. 9 Abs. 2 Buchst. h DSGVO i. V. m. § 22 Abs. 1 Nr. 1 Buchst. b BDSG gestützt werden, da sie nicht für Zwecke der Gesundheitsvorsorge erforderlich sei. Die Aufgabe der Krankenversicherung liege nicht vorrangig in der Verhinderung von Gesundheitsbeeinträchtigungen, sondern in der finanziellen Absicherung von Heilbehandlungen. Entsprechend liege die streitgegenständliche Datenverarbeitung lediglich im wirtschaftlichen Interesse des Klägers. Ein Erfordernis für die Datenanalyse ergebe sich auch nicht aus innerstaatlichen Regelungen. Die Datenverarbeitung sei ferner nicht nach Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO gerechtfertigt. Denn die schutzwürdigen Interessen der Versicherten überwögen die rein wirtschaftlichen Interessen des Klägers deutlich. Dabei sei in die Abwägung einzustellen, dass die Identifizierung potentieller Teilnehmer an den Gesundheitsprogrammen geeignet sei, diese im Fall einer Nichtteilnahme zu stigmatisieren oder zu benachteiligen. Schließlich seien auch die Voraussetzungen für eine zweckändernde Datenverarbeitung nach Art. 6 Abs. 4 DSGVO nicht erfüllt. Gemäß Art. 58 Abs. 2 Buchst. b und d DSGVO sei der Beklagte befugt, den Kläger zu verwarnen und anzuweisen.

5 Auf die hiergegen erhobene Klage hat das Verwaltungsgericht den Bescheid aufgehoben. Das Oberverwaltungsgericht hat die Berufung des Beklagten zurückgewiesen. Der angegriffene Bescheid sei materiell rechtswidrig. Die Weiterverarbeitung der zum Zweck der vertragsgemäßen Leistungserbringung aufgrund der vorgelegten Arztrechnungen erhobenen Gesundheitsdaten zu einem geänderten Zweck sei nach Maßgabe von Art. 6 Abs. 4 DSGVO zulässig. Die Feststellungen zu den in Art. 6 Abs. 4 DSGVO genannten fünf Beurteilungskriterien führten im Rahmen einer Gesamtbetrachtung zur Zulässigkeit der zweckändernden Datennutzung. Dass von der Datenverarbeitung Gesundheitsdaten erfasst würden, schließe die Weiterverwendung nicht aus, erhöhe aber die Rechtfertigungslast für die Zweckänderung. Soweit der Zusammenhang zu berücksichtigen sei, in dem die personenbezogenen Daten erhoben wurden, insbesondere hinsichtlich des Verhältnisses zwischen den betroffenen Personen und dem Verantwortlichen, sei das durch § 192 VVG geprägte Krankenversicherungsvertragsverhältnis in den Blick zu nehmen. Auf der Grundlage von § 192 Abs. 3 VVG sei der Versicherer berechtigt, über die Erstattung angefallener Aufwendungen hinaus zusätzliche Leistungen anzubieten. Programme des Gesundheitsmanagements fügten sich in das im Versicherungsvertragsgesetz neu verankerte Leitbild ein und entsprächen den berechtigten Erwartungen der Versicherten, die sich eine umfassende Betreuung in Gesundheitsfragen wünschten. Nach dem Willen des Gesetzgebers sollten private Krankenversicherer auch in die nationale Präventionsstrategie eingebunden sein. Ihnen müsse es deshalb möglich sein, Strukturen für eine effektive Umsetzung entsprechender Programme zu schaffen. Es widerspreche daher nicht den vernünftigen Erwartungen der Versicherten, wenn ein Versicherer die zur Abrechnung eingereichten sensiblen Daten auswerte, um durch passgenaue individuelle Angebote zukünftig vergleichbare Krankheitskosten zu vermeiden. Die Datenanalyse liege auch im Interesse der einzelnen Versicherten, die die Möglichkeit erhielten, individuell von den für sie passenden Angeboten zu profitieren. Zudem hätten sie als Teil der Versichertengemeinschaft ein Interesse an der Vermeidung von Krankheitskosten. Die Versicherten seien auf entsprechende Datenverarbeitungen hingewiesen worden. Die Verbindung zwischen dem ursprünglichen Erhebungszweck und dem Weiterverarbeitungszweck sei eng. Gemeinsamer Bezugspunkt sei die Gesunderhaltung der Versicherten. Die mit der Weiterverarbeitung der Gesundheitsdaten zum Zweck des Gesundheitsmanagements beabsichtigte Reduzierung von Krankheitskosten diene dazu, die zukünftige Leistungsfähigkeit der Versicherung zu stützen. Die Folgen der Weiterverarbeitung seien für den Betroffenen wenig belastend. Denn ihm würden mit den Angeboten des Gesundheitsmanagements nur Handlungsoptionen aufgezeigt. Weder bestehe eine Verpflichtung zur Teilnahme noch führe die Nichtannahme des Angebots zu versicherungsrechtlichen Nachteilen oder einer Stigmatisierung. Durch die Vorgaben nach Art. 9 Abs. 3 DSGVO und § 22 Abs. 2 BDSG sowie die organisatorische Trennung der mit dem Gesundheitsmanagement betrauten Abteilung von der Vertrags- und Leistungsabteilung werde ein hinreichend hohes Schutzniveau erreicht.

6 Die streitgegenständliche Datenverwendung sei für Zwecke der Gesundheitsvorsorge im Sinne von Art. 9 Abs. 2 Buchst. h DSGVO erforderlich. Eine auf den spezifischen Weiterverarbeitungszweck bezogene Erforderlichkeitsprüfung nach dieser Regelung werde durch die Rechtfertigung der Zweckänderung nach Art. 6 Abs. 4 DSGVO nicht entbehrlich. Der Kläger könne sich als privater Krankenversicherer auf Art. 9 Abs. 2 Buchst. h DSGVO berufen und Zwecke der Gesundheitsvorsorge auch im Zusammenhang mit der Anbahnung das Versicherungsvertragsverhältnis ergänzender Vertragsverhältnisse verfolgen. Der notwendige finale Zusammenhang zwischen der Zweckverfolgung und der Datenverarbeitung werde nicht dadurch unterbrochen, dass eine Vereinbarung mit den betroffenen Versicherten notwendig sei, auf deren Grundlage die Programme des Gesundheitsmanagements erst durchgeführt werden könnten. Die Erwartung, es könne zu einem entsprechenden Vertragsschluss kommen, sei allerdings dann objektiv nicht mehr gerechtfertigt, wenn ein Versicherter gegenüber dem Kläger zum Ausdruck gebracht habe, an den Angeboten kein Interesse zu haben. Ob die Gesundheitsvorsorge den Hauptzweck der Datenverarbeitung darstelle oder der Kläger auch eigene Zwecke, etwa der Wirtschaftlichkeit und der Kosteneffizienz verfolge, sei unerheblich. Die Datenverarbeitung sei auch notwendig, um den Zweck der Gesundheitsvorsorge zu erfüllen. Nur sie ermögliche es dem Kläger, persönliche, anlassbezogene und für die Situation der Versicherten passende Angebote zu unterbreiten. Nicht personalisierte Angebote stellten kein effektives Mittel dar, Versicherte zu einer Teilnahme an den Programmen zu bewegen. An einer effektiven, Krankheitskosten vermeidenden Gesundheitsvorsorge bestehe sowohl ein individuelles Interesse der Versicherten als auch ein Interesse der Gesellschaft allgemein. Die streitgegenständliche Datenverarbeitung sei vom Recht eines Mitgliedstaats - hier durch § 22 Abs. 1 Nr. 1 Buchst. b BDSG - gedeckt. Der Gesetzgeber habe mit dieser "Brückennorm" die schon in Art. 9 Abs. 2 Buchst. h DSGVO angelegte Verarbeitungsbefugnis "aktiviert" und so von der in der DSGVO vorgesehenen Öffnungsklausel zulässigerweise Gebrauch gemacht. Das unionsrechtliche Normwiederholungsverbot sei nicht verletzt. Wie sich aus den Feststellungen zu Art. 9 Abs. 2 Buchst. h DSGVO ergebe, lägen auch die tatbestandlichen Voraussetzungen des § 22 Abs. 1 Nr. 1 Buchst. b BDSG vor. Anhaltspunkte für einen Verstoß gegen Art. 9 Abs. 3 DSGVO und § 22 Abs. 2 BDSG seien nicht ersichtlich. Insbesondere unterlägen die mit dem Gesundheitsmanagement betrauten Mitarbeiter des Klägers einer hinreichenden Geheimhaltungspflicht.

7 Die Datenverarbeitung sei überdies nach Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO, dessen Voraussetzungen neben Art. 9 Abs. 2 DSGVO zu prüfen seien, zulässig. Denn der Kläger verfolge mit der Gesundheitsvorsorge ein berechtigtes Interesse. Die Datenverarbeitung sei zu diesem Zweck auch erforderlich. Die Abwägung der jeweiligen einander gegenüberstehenden Rechte und Interessen gehe zu Gunsten des Klägers aus. Zwar wiege der Eingriff in das informationelle Selbstbestimmungsrecht einer Vielzahl von Versicherten schwer, da besonders sensible Gesundheitsdaten betroffen seien. Die Datenverarbeitung erfolge aber auch im Interesse der einzelnen Versicherten und der Versichertengemeinschaft. Individuelle Nachteile seien mit der Datenanalyse nicht verbunden, zumal der Einzelne ohne Weiteres die Möglichkeit habe, die entsprechende Datenverarbeitung zu unterbinden.

8 Mit der vom Oberverwaltungsgericht zugelassenen Revision verfolgt der Beklagte das Ziel der Abweisung der Klage unter Abänderung der Urteile der Vorinstanzen. Weil der Kläger nicht nur Leistungen der Gesundheitsvorsorge anbiete, sondern in erheblichem Umfang auch kommerzielle Angebote für handelsübliche Produkte ohne Präventionsbezug bewerbe, seien die vom Oberverwaltungsgericht herangezogenen Rechtsgrundlagen in Gestalt von Art. 9 Abs. 2 Buchst. h DSGVO und § 22 Abs. 1 Nr. 1 Buchst. b BDSG nicht anwendbar. Der Begriff der Gesundheitsvorsorge müsse im Kontext von Art. 9 Abs. 2 Buchst. h DSGVO restriktiv ausgelegt werden. Die Ausnahmetatbestände des Art. 9 Abs. 2 DSGVO seien auf spezifische Fälle begrenzt, bei denen die betroffene Person selbst eine Verarbeitung ermöglicht oder erlaubt habe oder diese Verarbeitung auch zur Wahrung ihrer eigenen bzw. öffentlicher Interessen unmittelbar geboten sei. Im Fall des Klägers fehle es hieran. Soweit sich das Oberverwaltungsgericht auf die nationale Präventionsstrategie beziehe, verkenne es die Unterschiede zwischen Leistungen gesetzlicher und privater Krankenversicherungen im Bereich von Prävention und Vorsorge. Nach den §§ 20 ff. SGB V sei es Aufgabe der gesetzlichen und nicht der privaten Krankenversicherung, Maßnahmen der Gesundheitsvorsorge anzubieten und entsprechend ggf. auch die Kosten dafür zu übernehmen. Da die vom Kläger angebotenen Leistungen nicht den im Präventionsbericht nach § 20b Abs. 4 SGB V benannten Vorsorgeleistungen der nationalen Präventionsstrategie entsprächen, sei ihre Qualität und Wirksamkeit nicht sichergestellt. In der nationalen Präventionskonferenz seien die privaten Krankenversicherungen mit ihren Verbänden nur als freiwilliges Mitglied gemäß § 20e Abs. 1 SGB V engagiert. Das Oberverwaltungsgericht habe zudem die nach Art. 9 Abs. 3 DSGVO an das handelnde Personal zu stellenden Anforderungen fehlerhaft bestimmt. Die Gesundheitsdaten seien von Fachpersonen zu verarbeiten, die wie medizinisches Personal durch einen gesetzlichen Berufsgeheimnisschutz erfasst würden. Die vom Oberverwaltungsgericht herangezogene Sanktionsnorm des § 203 StGB reiche hierfür nicht aus. Jedenfalls fehle es im Sinne des Art. 9 Abs. 2 Buchst. h DSGVO an der Erforderlichkeit der Datenverarbeitung für Zwecke der Gesundheitsvorsorge. Die Vorschrift verlange eine Auseinandersetzung mit den besonderen Risiken einer Verarbeitung von Gesundheitsdaten ohne Einwilligung, insbesondere vor dem Hintergrund alternativer Möglichkeiten wie der Abfrage einer ausdrücklichen Zustimmung bei den Versicherten. Dass der Kläger seit 2017 bei Neuverträgen eine Einwilligung einhole, ohne dass dadurch die Vermittlung von Angeboten seines "Gesundheitsmanagements" unmöglich geworden wäre, belege, dass mildere Mittel zur Verfügung stünden, um dasselbe Ziel zu erreichen. Zudem verfolge der Kläger den Zweck der Datenverarbeitung nicht konsequent. So erhielten etwa nur diejenigen Personen Angebote zur Gesundheitsvorsorge vom Kläger, die sich nicht in einem Mahnverfahren befänden. § 22 Abs. 1 Nr. 1 Buchst. b BDSG verstoße gegen das unionsrechtliche Normwiederholungsverbot. Zudem seien die Voraussetzungen der Vorschrift nicht erfüllt.

9 Seien bereits die Anforderungen des Art. 9 Abs. 2 DSGVO nicht gegeben, komme es auf die Voraussetzungen der Zweckänderung nach Art. 6 Abs. 4 DSGVO nicht an. Unabhängig davon habe das Oberverwaltungsgericht im Rahmen der nach Art. 6 Abs. 4 DSGVO anzustellenden Abwägung die Risiken der Zweckänderung und die Tragweite der Verarbeitung von Gesundheitsdaten der Versicherten zu Marketingzwecken unterbewertet und den Mehrwert der Zweckänderung zugunsten der Gedanken von Prävention und Vorsorge überbewertet. In Bezug auf Gesundheitsdaten seien wirtschaftliche Interessen für eine Zweckänderung nicht ausreichend. Zudem sei diese für die Versicherten nicht vorhersehbar. Eine Information nach Art. 12 und Art. 13 DSGVO über Maßnahmen der Gesundheitsvorsorge finde nicht statt. Weiter lägen Verstöße gegen Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO und Art. 13 und Art. 14 DSGVO vor. Bei der nach Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO anzustellenden Abwägung zwischen den Interessen und Rechten der Betroffenen einerseits und den Interessen der verantwortlichen Stelle andererseits komme dem Umstand besondere Bedeutung zu, dass der Kläger über die Verarbeitung der Gesundheitsdaten zum Zweck der Gesundheitsvorsorge nach Art. 9 Abs. 2 Buchst. h DSGVO nicht den Art. 13 und Art. 14 DSGVO entsprechend transparent in Bezug auf die Zwecke und Rechtsgrundlagen der Datenverarbeitung aufkläre. Da es hier um eine jedenfalls teilweise automatisierte Verarbeitung von Gesundheitsdaten unter einer Zweckänderung und ohne Einwilligung und Kenntnis der Betroffenen gehe und auf der anderen Seite vor allem wirtschaftliche Interessen des Klägers stünden, müsse die Abwägung zulasten des Klägers gehen. Schließlich verstoße die Entscheidung des Oberverwaltungsgerichts auch gegen die Vorgaben der Datenminimierung, der Transparenz und der Zweckbindung aus Art. 5 Abs. 1 Buchst. a, c und b DSGVO.

10 Der Kläger verteidigt das Urteil des Oberverwaltungsgerichts. Der Vertreter des Bundesinteresses beim Bundesverwaltungsgericht vertritt die Auffassung, § 22 Abs. 1 Nr. 1 Buchst. b BDSG stelle eine hinreichende Ausfüllung der Öffnungsklausel des Art. 9 Abs. 2 Buchst. h DSGVO dar.

11 Die Revision des Beklagten ist begründet. Das Berufungsurteil verletzt revisibles Recht im Sinne des § 137 Abs. 1 Nr. 1 VwGO und stellt sich auch nicht aus anderen Gründen im Ergebnis als richtig dar (§ 144 Abs. 4 VwGO). Entgegen der Annahme des Oberverwaltungsgerichts ist der angefochtene Bescheid des Beklagten vom 10. Februar 2022 materiell rechtmäßig. Soweit sie Gegenstand der datenschutzrechtlichen Anordnung ist (1.), steht der vom Kläger praktizierten Datenanalyse zwar nicht das Verbot der Verarbeitung von Gesundheitsdaten nach Art. 9 Abs. 1 DSGVO entgegen (2.). Es fehlt jedoch an einem Erlaubnistatbestand im Sinne des Art. 6 Abs. 1 DSGVO (3.). Ob die Datenverarbeitung darüber hinaus den Grundsatz der Zweckbindung verletzt (Art. 5 Abs. 1 Buchst. b, Art. 6 Abs. 4 DSGVO), bedarf keiner Entscheidung (4.). Das Berufungsurteil erweist sich auch nicht mit Blick auf dem aufgehobenen Bescheid anhaftende Ermessensfehler im Ergebnis als richtig (5.).

12 1. Gegenstand der angefochtenen datenschutzrechtlichen Anordnung des Beklagten vom 10. Februar 2022 und damit auch der auf die Anfechtungsklage ergangenen Entscheidungen der Vorinstanzen ist die Rechtmäßigkeit derjenigen Datenverarbeitungen, die der Kläger vornimmt, um potentielle Teilnehmer für die von ihm angebotenen Vorsorge- und Präventivprogramme zu ermitteln. Dass sich der Bescheid ausschließlich auf diese im Folgenden einheitlich als Vorsorgeprogramme bezeichneten Angebote bezieht, ergibt sich aus dem eindeutigen Wortlaut der Ziffer 1. des Bescheidstenors. Diese inhaltliche Beschränkung wird nicht dadurch in Frage gestellt, dass die gesundheitsbezogenen Angebote des Klägers, denen die vom Beklagten beanstandete Datenverarbeitung dient, in der Begründung des Bescheids zum Teil auch - weniger präzise - als "Versorgungsprogramme" oder "Gesundheitsprogramme" bezeichnet werden. Soweit die Revision umfangreich darlegt, der Kläger vermittele in seinem "Gesundheitsmanagement" unter Nutzung sensibler Daten darüber hinaus kommerzielle Angebote wie z. B. Rabattcodes für Brillen, Sonnenbrillen, Hörgeräte, Augenlaserkorrekturen oder ähnliche Produkte ohne Präventionsbezug, ist dies nicht entscheidungserheblich. Denn dieser Vortrag geht an dem Inhalt des angefochtenen Bescheids, der sich auf die Datenverarbeitung mit dem Ziel des Angebots von Vorsorgeprogrammen beschränkt, vorbei. Unabhängig davon handelt es sich um neuen Tatsachenvortrag, der im Revisionsverfahren nicht berücksichtigt werden kann.

13 2. Das Oberverwaltungsgericht hat ohne Verstoß gegen revisibles Recht angenommen, dass der in Streit stehenden Datenverwendung nicht das Verbot der Verarbeitung von Gesundheitsdaten einer natürlichen Person nach Art. 9 Abs. 1 DSGVO entgegensteht. Gemäß Art. 9 Abs. 1 DSGVO ist die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person untersagt. Dies gilt nicht in den in Art. 9 Abs. 2 Buchst. a bis j DSGVO im Einzelnen bezeichneten Fällen.

14 Der Anwendungsbereich des Art. 9 DSGVO ist eröffnet (a)). Zwar haben nicht alle betroffenen Personen gemäß Art. 9 Abs. 2 Buchst. a DSGVO in die Verarbeitung der genannten personenbezogenen Daten für den hier in Rede stehenden Zweck ausdrücklich eingewilligt (b)). Es liegen jedoch die Voraussetzungen des Ausnahmetatbestands des Art. 9 Abs. 2 Buchst. h DSGVO vor. Die streitige Datenverarbeitung des Klägers dient Zwecken der Gesundheitsvorsorge im Sinne dieser Vorschrift (c)) und ist hierfür erforderlich (d)). In Gestalt des § 22 Abs. 1 Nr. 1 Buchst. b BDSG ist die nach Art. 9 Abs. 2 Buchst. h DSGVO notwendige Rechtsgrundlage im nationalen Recht vorhanden (e)). Die mit der Verarbeitung befassten Mitarbeiter des Klägers unterliegen einer den Anforderungen des Art. 9 Abs. 3 DSGVO sowie des § 22 Abs. 1 Nr. 1 Buchst. b BDSG genügenden Geheimhaltungspflicht (f)).

15 a) Der Anwendungsbereich des Art. 9 DSGVO ist eröffnet. Zu den in Art. 9 Abs. 1 DSGVO aufgezählten besonderen Kategorien personenbezogener Daten, deren Verarbeitung untersagt ist, gehören "Gesundheitsdaten". Nach Art. 4 Nr. 15 DSGVO handelt es sich hierbei um personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen. Dass hierunter jedenfalls die medizinischen Diagnosen fallen, die in den von den Versicherten des Klägers zur Leistungsabrechnung eingereichten Rechnungen enthalten sind, ist nicht zweifelhaft. Diese Gesundheitsdaten verarbeitet der Kläger, indem er die Rechnungen hinsichtlich der darin enthaltenen Diagnosen in einem automatisierten Prozess analysiert, um potentielle Teilnehmer an den von ihm angebotenen Vorsorgeprogrammen zu ermitteln und anschließend aufgrund einer Einzelprüfung durch Mitarbeiter der von der Leistungsabteilung getrennten Abteilung "Gesundheitsmanagement" entscheidet, welche Versicherten für ein konkretes Vorsorgeprogramm in Betracht kommen und eine Einladung zur Teilnahme enthalten. Eine Verarbeitung im Sinne des Art. 4 Nr. 2 DSGVO liegt damit jedenfalls in Gestalt der Verwendung der Daten vor.

16 b) Nach Art. 9 Abs. 2 Buchst. a DSGVO gilt das Verbot der Verarbeitung der in Art. 9 Abs. 1 DSGVO genannten sensiblen Daten nicht, wenn die betroffene Person in die Verarbeitung für einen oder mehrere festgelegte Zwecke ausdrücklich eingewilligt hat. Diese Ausnahme von dem Verarbeitungsverbot des Art. 9 Abs. 1 DSGVO könnte zwar bei einem Teil der von der Datenverarbeitung des Klägers betroffenen Personen vorliegen. Denn nach den tatsächlichen Feststellungen des Oberverwaltungsgerichts holt der Kläger für die Datenanalyse zur Ermittlung potentieller Programmteilnehmer bei Neukunden mit Vertragsschluss ab dem 1. Juli 2017 eine datenschutzrechtliche Einwilligung ein. Entsprechend verfährt er ab diesem Zeitpunkt bei Vertragsänderungen von Bestandskunden. Ob dies den Anforderungen des Art. 9 Abs. 2 Buchst. a DSGVO genügt (vgl. hierzu BGH, Urteil vom 27. März 2025 - I ZR 223/19 - NJW 2025, 2237 Rn. 52), bedarf keiner Vertiefung. Denn es ist unstreitig, dass der Kläger jedenfalls bei dem anderen Teil seiner Versicherten die von diesen zur Leistungserstattung eingereichten Rechnungen ohne ausdrückliche Einwilligung zu dem Zweck auswertet, potentielle Teilnehmer von Vorsorgeprogrammen zu ermitteln. Ausschließlich auf diese Fälle einer fehlenden ausdrücklichen Einwilligung der betroffenen Versicherten bezieht sich der angefochtene Bescheid des Beklagten.

17 c) Die streitige Datenverarbeitung des Klägers dient jedoch Zwecken der Gesundheitsvorsorge im Sinne des Ausnahmetatbestands des Art. 9 Abs. 2 Buchst. h DSGVO. Der Begriff der Gesundheitsvorsorge greift über den Kernbereich der medizinischen Versorgung hinaus (aa)). Der Anwendbarkeit des Art. 9 Abs. 2 Buchst. h DSGVO auf den Kläger als privates Krankenversicherungsunternehmen (bb)) steht nicht der Umstand entgegen, dass der Kläger die gesundheitsbezogenen Leistungen nicht selbst erbringt, sondern diese nur vermittelt (cc)).

18 aa) Der in der Datenschutz-Grundverordnung nicht definierte Begriff der Gesundheitsvorsorge umfasst im Ausgangspunkt die Gesamtheit der Maßnahmen, mit denen eine Krankheit nach Möglichkeit vermieden werden soll. Dass nicht nur der enge Bereich des Arzt-Patienten-Verhältnisses erfasst wird, folgt insbesondere aus der Normsystematik. Denn neben der Gesundheitsvorsorge werden in Art. 9 Abs. 2 Buchst. h DSGVO zwar einerseits spezifisch medizinische Zwecke wie etwa die Arbeitsmedizin, die medizinische Diagnostik und die Versorgung oder Behandlung genannt, andererseits aber etwa auch die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich. Dass der Begriff der Gesundheitsvorsorge im Unionsrecht nicht auf einen eng umgrenzten medizinischen Bereich beschränkt ist, verdeutlicht auch der Wortlaut des Art. 35 GRC, der das Recht auf Zugang zur Gesundheitsvorsorge ausdrücklich neben dem Recht auf ärztliche Versorgung nennt. Für die Annahme des Beklagten, die erbrachten Leistungen müssten bestimmten qualitativen Anforderungen entsprechen, bieten weder der Wortlaut noch der systematische Zusammenhang des Art. 9 Abs. 2 Buchst. h DSGVO einen Ansatzpunkt. Zwar ist Art. 9 Abs. 2 DSGVO als Ausnahme von dem Grundsatz des Verbots der Verarbeitung besonderer Kategorien personenbezogener Daten nach der Rechtsprechung des Gerichtshofes der Europäischen Union (EuGH) eng auszulegen (EuGH, Urteil vom 4. Juli 2023 - C-252/21 [ECLI:​​EU:​​C:​​2023:​​537], Meta Platforms u. a. [Allgemeine Nutzungsbedingungen eines sozialen Netzwerks] - Rn. 76). Dies wirkt sich allerdings mit Blick auf die erwähnten normsystematischen Erwägungen regelmäßig erst bei der Anwendung des in Art. 9 Abs. 2 Buchst. h DSGVO weiter genannten Tatbestandsmerkmals der Erforderlichkeit aus. Je weiter sich die konkreten Maßnahmen der Gesundheitsvorsorge, auf die sich die Datenverarbeitung bezieht, von dem Kernbereich der medizinischen Versorgung und dem Arzt-Patienten-Verhältnis entfernen, desto strengere Maßstäbe sind im Rahmen der Prüfung der Erforderlichkeit der Verarbeitung anzulegen.

19 Einer abschließenden Bestimmung des Begriffs der Gesundheitsvorsorge, die gegebenenfalls dem EuGH vorbehalten wäre, bedarf es aus Anlass des vorliegenden Falles nicht. Denn der angefochtene Bescheid des Beklagten bezieht sich - wie bereits ausgeführt - ausschließlich auf solche Datenverarbeitungen, die der Kläger vornimmt, um potentielle Teilnehmer für die von ihm angebotenen Vorsorgeprogramme zu ermitteln. Jedenfalls derartige Programme, die nach den Feststellungen des Berufungsgerichts etwa Coaching-Angebote bei Diabetes, Asthma oder Rückenleiden umfassen, sind von dem in Art. 9 Abs. 2 Buchst. h DSGVO genannten Begriff der Gesundheitsvorsorge erfasst.

20 bb) Das Oberverwaltungsgericht hat zu Recht angenommen, dass sich der Kläger als privater Krankenversicherer auf Art. 9 Abs. 2 Buchst. h DSGVO berufen kann. In der Rechtsprechung des EuGH ist geklärt, dass die Auslegung des Art. 9 Abs. 2 Buchst. h DSGVO nicht von Erwägungen geleitet werden darf, die aus dem Gesundheitssystem eines einzigen Mitgliedstaats hergeleitet werden (EuGH, Urteil vom 21. Dezember 2023 - C-667/21 [ECLI:​​EU:​​C:​​2023:​​1022], Medizinischer Dienst der Krankenversicherung Nordrhein - Rn. 52). Dies schließt die Annahme aus, Leistungen privater Versicherer seien generell von dem Begriff der Gesundheitsvorsorge nach Art. 9 Abs. 2 Buchst. h DSGVO ausgenommen. Ihre Einbeziehung in den Begriff der Gesundheitsvorsorge im Sinne des Art. 9 Abs. 2 Buchst. h DSGVO setzt entgegen der Auffassung der Revision auch weder voraus, dass eine vertragliche oder gesetzliche Verpflichtung zu Maßnahmen der Gesundheitsvorsorge besteht, noch, dass kein zusätzlicher Zweck wie etwa eine verbesserte Kosteneffizienz verfolgt wird. Denn nach der Rechtsprechung des EuGH ist es nicht zulässig, durch die Auslegung des Art. 9 Abs. 2 Buchst. h DSGVO eine Anforderung hinzuzufügen, die aus dem eindeutigen Wortlaut dieser Bestimmung in keiner Weise hervorgeht (EuGH, Urteil vom 21. Dezember 2023 - C-667/21 - Rn. 51).

21 cc) Art. 9 Abs. 2 Buchst. h DSGVO ist auf die vom Beklagten beanstandete Datenverarbeitung trotz des Umstands anwendbar, dass der Kläger die gesundheitsbezogenen Leistungen nicht selbst erbringt, sondern nur in Gestalt der angebotenen Vorsorgeprogramme vermittelt. Das restriktive Verständnis der Revision, auf Art. 9 Abs. 2 Buchst. h DSGVO könnten nur unmittelbar der Gesundheit dienende Maßnahmen gestützt werden, findet weder im Wortlaut noch in der Systematik des Art. 9 Abs. 2 Buchst. h DSGVO eine Grundlage. Dass als Ausnahmetatbestand in der Vorschrift etwa auch die "Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich" genannt wird, belegt vielmehr, dass der Unionsgesetzgeber grundsätzlich auch eine nur mittelbare Förderung gesundheitsbezogener Zwecke im Blick hat. Dies wird durch Satz 2 des 52. Erwägungsgrundes der DSGVO bestätigt, wonach eine Ausnahme vom Verbot der Verarbeitung der besonderen Kategorien von personenbezogenen Daten auch zu "gesundheitlichen Zwecken" gemacht werden kann "wie der Gewährleistung der öffentlichen Gesundheit und der Verwaltung von Leistungen der Gesundheitsversorgung, insbesondere wenn dadurch die Qualität und Wirtschaftlichkeit der Verfahren zur Abrechnung von Leistungen in den sozialen Krankenversicherungssystemen sichergestellt werden soll". Hieran anknüpfend setzt die Möglichkeit der Verarbeitung von Daten für "gesundheitsbezogene Zwecke" nach Satz 1 des 53. Erwägungsgrundes der DSGVO voraus, dass "dies für das Erreichen dieser Zwecke im Interesse einzelner natürlicher Personen und der Gesellschaft insgesamt erforderlich ist, insbesondere im Zusammenhang mit der Verwaltung der Dienste und Systeme des Gesundheits- oder Sozialbereichs".

22 d) Die Verarbeitung der Gesundheitsdaten durch den Kläger ist für die Zwecke der Gesundheitsvorsorge im Sinne des Art. 9 Abs. 2 Buchst. h DSGVO erforderlich. Sowohl der Maßstab (aa)) als auch die Subsumtion (bb)) des Oberverwaltungsgerichts stehen insoweit im Einklang mit dem revisiblen Recht.

23 aa) Das Berufungsgericht knüpft in Bezug auf das Merkmal der Erforderlichkeit in Art. 9 Abs. 2 Buchst. h DSGVO zutreffend an die Rechtsprechung des EuGH zu dem in Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO geregelten Erlaubnistatbestand der Wahrung berechtigter Interessen und der dort genannten Erforderlichkeit an. Danach ist zu prüfen, ob das berechtigte Interesse an der Verarbeitung der Daten nicht in zumutbarer Weise ebenso wirksam mit anderen Mitteln erreicht werden kann, die weniger stark in die Grundrechte und Grundfreiheiten der betroffenen Personen, insbesondere die durch die Art. 7 und Art. 8 GRC garantierten Rechte auf Achtung des Privatlebens und auf Schutz personenbezogener Daten, eingreifen. Die Voraussetzung der Erforderlichkeit der Datenverarbeitung ist gemeinsam mit dem sogenannten Grundsatz der "Datenminimierung" zu prüfen, der in Art. 5 Abs. 1 Buchst. c DSGVO verankert ist und verlangt, dass personenbezogene Daten "dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt" sind (EuGH, Urteile vom 4. Juli 2023 - C-252/21 - Rn. 106 ff., vom 7. Dezember 2023 - C-26 und 64/22 [ECLI:​​EU:​​C:​​2023:​​958], SCHUFA Holding <Restschuldbefreiung> - Rn. 76 ff. und vom 12. September 2024 - C-17 und 18/22 [ECLI:​​EU:​​C:​​2024:​​738], HTB Neunte Immobilien Portfolio geschlossene Investment UG & Co. KG - Rn. 49 ff.; vgl. hierzu auch bereits BVerwG, Urteil vom 29. Januar 2025 - 6 C 3.23 - BVerwGE 184, 315 Rn. 32). Ebenfalls zutreffend ist der Hinweis des Berufungsgerichts auf die zusätzlichen Anforderungen, die sich aus Satz 1 des Erwägungsgrundes 53 der DSGVO ergeben. Danach sollten besondere Kategorien personenbezogener Daten, die einen höheren Schutz verdienen, nur dann für gesundheitsbezogene Zwecke verarbeitet werden, wenn dies für das Erreichen dieser Zwecke im Interesse einzelner natürlicher Personen und der Gesellschaft insgesamt erforderlich ist. Die Datenverarbeitung ist deshalb nur dann für Zwecke der Gesundheitsvorsorge gemäß Art. 9 Abs. 2 Buchst. h DSGVO erforderlich, wenn hierdurch - neben den berechtigten Interessen des Verantwortlichen - zumindest auch die Interessen einzelner, insbesondere der betroffenen Personen bzw. der Gesellschaft insgesamt gefördert werden.

24 Dagegen setzt Art. 9 Abs. 2 Buchst. h DSGVO - anders als Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO - keine Abwägung der jeweiligen einander gegenüberstehenden Rechte und Interessen voraus. Dies ist im Sinne der "acte-claire-Doktrin" (vgl. hierzu allgemein: EuGH, Urteil vom 6. Oktober 1982 - C-283/81 [ECLI:​​EU:​​C:​​1982:​​335], CILFIT - Rn. 16) als derart offenkundig anzusehen, dass für einen vernünftigen Zweifel keinerlei Raum bleibt, so dass es insoweit keiner Vorlage an den EuGH im Wege des Vorabentscheidungsverfahrens nach Art. 267 Abs. 3 AEUV bedarf. Für die Annahme eines Abwägungserfordernisses bietet der Wortlaut des Art. 9 Abs. 2 Buchst. h DSGVO keine Grundlage. Die fehlende Vorgabe einer Abwägung in dieser Bestimmung widerspricht auch nicht dem Zweck von Art. 9 Abs. 1 DSGVO. Dieser besteht darin, einen erhöhten Schutz vor Datenverarbeitungen zu gewährleisten, die aufgrund der besonderen Sensibilität der Daten, die Gegenstand der Verarbeitungen sind, einen besonders schweren Eingriff in die durch die Art. 7 und Art. 8 GRC verbürgten Grundrechte auf Achtung des Privatlebens und auf Schutz personenbezogener Daten darstellen können (vgl. hierzu EuGH, Urteile vom 5. Juni 2023 - C-204/21 [ECLI:​​EU:​​C:​​2023:​​442], Kommission/​Polen [Unabhängigkeit und Privatleben von Richtern] - Rn. 345 und vom 21. Dezember 2023 - C-667/21 - Rn. 41). Der Grund, weshalb Art. 9 Abs. 2 Buchst. h DSGVO gleichwohl kein Abwägungserfordernis regelt, erschließt sich aus dem systematischen Zusammenhang mit den Bestimmungen des Art. 6 DSGVO. Denn nach der Rechtsprechung des EuGH ist eine auf Art. 9 Abs. 2 Buchst. h DSGVO gestützte Verarbeitung von Gesundheitsdaten nur dann rechtmäßig, wenn sie nicht nur die sich aus dieser Bestimmung ergebenden Anforderungen einhält, sondern auch mindestens eine der in Art. 6 Abs. 1 DSGVO genannten Rechtmäßigkeitsvoraussetzungen erfüllt (EuGH, Urteil vom 21. Dezember 2023 - C-667/21 - Rn. 79). Wird die Verarbeitung besonders sensibler Daten im Sinne des Art. 9 Abs. 1 DSGVO auf den in Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO geregelten Erlaubnistatbestand der Wahrung berechtigter Interessen gestützt, ergibt sich das Abwägungserfordernis unmittelbar aus jener Norm. Bei anderen in Art. 6 Abs. 1 DSGVO genannten Erlaubnistatbeständen kommt eine Abwägung entweder von vornherein nicht in Betracht oder ist bereits in abstrakter Weise von dem zuständigen Normgeber vorzunehmen. Ersteres ist zum Beispiel bei Datenverarbeitungen zur Erfüllung eines Vertrags bzw. zur Durchführung vorvertraglicher Maßnahmen (Art. 6 Abs. 1 Unterabs. 1 Buchst. b DSGVO) oder zum Schutz lebenswichtiger Interessen (Art. 6 Abs. 1 Unterabs. 1 Buchst. d DSGVO) der Fall. Die zuletzt genannte Konstellation ist etwa bei der Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung des Verantwortlichen (Art. 6 Abs. 1 Unterabs. 1 Buchst. c DSGVO) oder der Wahrnehmung einer im öffentlichen Interesse liegenden bzw. in Ausübung öffentlicher Gewalt erfolgenden Aufgabe (Art. 6 Abs. 1 Unterabs. 1 Buchst. e DSGVO) gegeben, da die jeweils erforderliche Rechtsgrundlage nach Art. 6 Abs. 3 Satz 4 DSGVO in einem angemessenen Verhältnis zu dem verfolgten legitimen Zweck stehen muss. In allen diesen Fällen würde die Annahme eines sich bei der Verarbeitung sensibler Gesundheitsdaten generell bereits aus Art. 9 Abs. 2 Buchst. h DSGVO ergebenden Abwägungserfordernisses das differenzierte Regelungskonzept des Unionsgesetzgebers unterlaufen.

25 bb) Von dem genannten Maßstab ausgehend hat das Oberverwaltungsgericht die Erforderlichkeit der streitgegenständlichen Datenverarbeitung des Klägers für Zwecke der Gesundheitsvorsorge gemäß Art. 9 Abs. 2 Buchst. h DSGVO ohne Rechtsfehler bejaht.

26 Die Möglichkeit der Einholung einer Einwilligung führt entgegen der Auffassung der Revision für sich genommen grundsätzlich nicht dazu, dass der mit der Verarbeitung der Gesundheitsdaten verfolgte Zweck der Gesundheitsvorsorge in zumutbarer Weise ebenso wirksam mit anderen Mitteln erreicht werden kann, die weniger stark in die durch die Art. 7 und Art. 8 GRC garantierten Rechte der betroffenen Personen auf Achtung des Privatlebens und auf Schutz personenbezogener Daten eingreifen. Zwar kann es in besonderen Fallkonstellationen mit Blick auf den Grundsatz der Datenminimierung geboten sein, auch die Möglichkeit einer Nachfrage bei den betroffenen Personen im Rahmen der Erforderlichkeit der Verarbeitung zur Verwirklichung des betreffenden Interesses in den Blick zu nehmen (vgl. etwa EuGH, Urteil vom 4. Oktober 2024 - C-621/22 [ECLI:​​EU:​​C:​​2024:​​857], Koninklijke Nederlandse Lawn Tennisbond - Rn. 51 ff. für den Fall der Offenlegung von Mitgliederdaten gegen Entgelt für Werbe- und Marketingzwecke). Diese Vorgabe lässt sich jedoch nicht verallgemeinern, weil dies im Ergebnis mit der differenzierten Regelungssystematik der Erlaubnistatbestände in Art. 6 Abs. 1 DSGVO nicht zu vereinbaren wäre. Das Berufungsurteil geht deshalb zutreffend davon aus, dass der Einwilligung (Art. 6 Abs. 1 Unterabs. 1 Buchst. a DSGVO) kein genereller Vorrang gegenüber den anderen in Art. 6 Abs. 1 DSGVO genannten Erlaubnistatbeständen zukommt. Gegen einen solchen Vorrang spricht insbesondere auch Art. 17 Abs. 1 Buchst. b DSGVO, wonach im Fall des Widerrufs der Einwilligung die auf dieser Grundlage verarbeiteten Daten nur dann zu löschen sind, wenn es an einer "anderweitigen Rechtsgrundlage" fehlt.

27 Unabhängig davon kann der vom Kläger verfolgte Zweck der Gesundheitsvorsorge durch die Einholung einer Einwilligung der Versicherten auch nicht ebenso wirksam erreicht werden wie mit der Datenverarbeitung auf der Grundlage eines gesetzlichen Erlaubnistatbestands. Denn nur der Verzicht auf die Einholung der Einwilligung ermöglicht es dem Kläger, auch solchen Versicherten individuelle Angebote zur Teilnahme an den Vorsorgeprogrammen zu unterbreiten, die auf eine - zwangsläufig allgemein gehaltene und daher leichter zu ignorierende - Bitte um Erteilung einer Einwilligung zur hierauf bezogenen Verarbeitung der Rechnungsdaten möglicherweise aus bloßer Passivität nicht reagieren. Dass der Kläger nach den Feststellungen des Oberverwaltungsgerichts für die Datenanalyse bei Neukunden sowie bei Vertragsänderungen von Bestandskunden seit 2017 eine datenschutzrechtliche Einwilligung einholt, belegt entgegen der Auffassung der Revision nicht, dass der verfolgte Zweck der Gesundheitsvorsorge hierdurch ebenso wirksam erreicht werden kann. Denn diese Vorgehensweise ist der besonderen Schwierigkeit der datenschutzrechtlichen Beurteilung der hier inmitten stehenden Verarbeitung sowie dem Umstand geschuldet, dass der Kläger auch den Belangen der Rechtssicherheit und Praktikabilität Rechnung getragen hat.

28 Dass das Berufungsgericht jedenfalls der Sache nach die im Rahmen der Erforderlichkeit für Zwecke der Gesundheitsvorsorge gemäß Art. 9 Abs. 2 Buchst. h DSGVO zu berücksichtigende Vereinbarkeit mit dem in Art. 5 Abs. 1 Buchst. c DSGVO verankerten Grundsatz der Datenminimierung bejaht hat, ist ebenfalls nicht zu beanstanden. Die in den vom Kläger analysierten Rechnungen enthaltenen Diagnosedaten sind für den Zweck der Unterbreitung individuell zugeschnittener Vorsorgeprogramme erheblich und angemessen. Es bestehen keine Anhaltspunkte dafür, dass der Kläger im Rahmen der Analyse Daten in einem Umfang oder über einen Zeitraum verarbeitet, die für den verfolgten Zweck objektiv nicht erforderlich sind. Wie das Oberverwaltungsgericht zutreffend bemerkt, liegt eine unnötige Datenverarbeitung nicht deshalb vor, weil auch die Daten solcher Versicherter von ihr betroffen sind, die kein Interesse an den Programmen des "Gesundheitsmanagements" geäußert haben. Die Verarbeitung auch dieser Daten würde nur dann das für den Zweck eines effektiven Angebots von Leistungen des "Gesundheitsmanagements" notwendige Maß überschreiten, wenn sie auch die Daten derjenigen Versicherten umfassen würde, die der Verarbeitung zu dem fraglichen Zweck widersprochen haben und bei denen daher feststeht, dass der Zweck nicht erreicht werden kann. Nach den Feststellungen im Berufungsurteil ist dies indes nicht der Fall, weil die Versicherten danach die Möglichkeit haben, die Datenverarbeitung durch eine Erklärung gegenüber dem Kläger zu unterbinden. Bei allen anderen Versicherten ist hingegen die Annahme gerechtfertigt, dass der Zweck, durch eine individualisierte Ansprache Interesse an einer Teilnahme an den entsprechenden Programmen zu wecken, noch erreicht werden kann.

29 Das Oberverwaltungsgericht hat weiter ohne Rechtsfehler angenommen, dass die streitgegenständliche Datenverarbeitung auch im Interesse der Versicherten und der Gesellschaft insgesamt erfolgt, wie es das Tatbestandsmerkmal der Erforderlichkeit nach Art. 9 Abs. 2 Buchst. h DSGVO im Hinblick auf Satz 1 des Erwägungsgrundes 53 der DSGVO verlangt. Es bestehe in diesem Sinne sowohl ein individuelles Interesse der Versicherten als auch ein Interesse der Gesellschaft allgemein an einer effektiven, Krankheitskosten vermeidenden Gesundheitsvorsorge im Rahmen eines kosteneffizienten Krankenversicherungssystems. Als Teil der Versichertengemeinschaft hätten auch die Versicherten - etwa mit Blick auf die Beitragsstabilität - ein Interesse an der Vermeidung von Krankheitskosten und an hierzu geeigneten Maßnahmen zur effizienten Kostensteuerung. Diese Erwägungen sind nicht zu beanstanden. Entgegen der Ansicht der Revision erschöpft sich das Interesse des Klägers an der fraglichen Datenverarbeitung nicht in eigennützigen wirtschaftlichen Belangen. Denn wenn eine verbesserte Gesundheitsvorsorge zur Reduzierung des Gesamtvolumens der vom Kläger vertragsgemäß zu erstattenden Behandlungskosten führt, wird sich dies regelmäßig auch auf die Kalkulation der zukünftigen Beiträge im Sinne einer Reduzierung der Belastung einer Vielzahl von Versicherten auswirken. Wegen dieser Breitenwirkung sowie der hervorgehobenen Bedeutung des Gesundheitswesens liegt diese Kostenreduzierung im Interesse der Gesellschaft insgesamt. Vor dem Hintergrund der mit der Datenverarbeitung letztlich bezweckten Förderung von Belangen des Allgemeinwohls ist das in Art. 9 Abs. 2 Buchst. h DSGVO genannte Tatbestandsmerkmal der Erforderlichkeit hier auch unter Anlegung der strengeren Maßstäbe zu bejahen, die sich daraus ergeben, dass die Vorsorgeprogramme des Klägers nicht dem Kernbereich der medizinischen Versorgung zuzuordnen sind.

30 e) Nach Art. 9 Abs. 2 Buchst. h DSGVO muss die Verarbeitung der besonderen Kategorien personenbezogener Daten außerdem auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats oder aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs erfolgen. Wie das Berufungsurteil ohne Rechtsfehler ausführt, ist diese Rechtsgrundlage in Gestalt des § 22 Abs. 1 Nr. 1 Buchst. b BDSG vorhanden. Danach ist abweichend von Art. 9 Abs. 1 DSGVO die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Art. 9 Abs. 1 DSGVO zulässig durch öffentliche und nichtöffentliche Stellen, wenn sie zum Zweck der Gesundheitsvorsorge, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- und Sozialbereich oder aufgrund eines Vertrags der betroffenen Person mit einem Angehörigen eines Gesundheitsberufs erforderlich ist und diese Daten von ärztlichem Personal oder durch sonstige Personen, die einer entsprechenden Geheimhaltungspflicht unterliegen, oder unter deren Verantwortung verarbeitet werden. Diese Tatbestandsvoraussetzungen hat das Berufungsgericht unter Hinweis auf die zu Art. 9 Abs. 2 Buchst. h DSGVO getroffenen Feststellungen rechtsfehlerfrei bejaht. Der Anwendbarkeit des § 22 Abs. 1 Nr. 1 Buchst. b BDSG stehen weder eine Verletzung des unionsrechtlichen Normwiederholungsverbots (aa)) noch ein Verstoß gegen eine aus der Datenschutz-Grundverordnung folgende Konkretisierungsverpflichtung (bb)) oder grundrechtliche Bestimmtheitsanforderungen (cc)) entgegen.

31 aa) § 22 Abs. 1 Nr. 1 Buchst. b BDSG verletzt entgegen der Auffassung der Revision nicht das unionsrechtliche Normwiederholungsverbot (so auch Albers/​Veit, in: Wolff/​Brink/v. Ungern-Sternberg <Hrsg.>, BeckOK Datenschutzrecht, Stand: 01.05.2025, BDSG § 22 Rn. 28; a. A. Schiff, in: Ehmann/​Selmayr, DSG-VO, 3. Aufl. 2024, Art. 9 Rn. 74; Bergmann/​Möhrle/​Herb <Hrsg.>, Datenschutzrecht, Stand: März 2023, BDSG § 22 Rn. 16). Dieses soll sicherstellen, dass die Wirkung einer unmittelbaren Geltung von Verordnungen der Europäischen Union gemäß Art. 288 Abs. 2 AEUV nicht vereitelt wird und auch sonst keine Maßnahmen ergriffen werden, die geeignet sind, die Zuständigkeit des EuGH zur Entscheidung über Fragen der Auslegung des Unionsrechts oder der Gültigkeit der von den Organen der Union vorgenommenen Handlungen zu beschneiden (BVerwG, Urteil vom 20. März 2024 - 6 C 8.22 - BVerwGE 182, 11 Rn. 34 unter Bezugnahme auf EuGH, Urteile vom 7. Februar 1973 - C-39/72 [ECLI:​​EU:​​C:​​1973:​​13], Kommission/​Italien - Rn. 17, vom 10. Oktober 1973 - C-34/73 [ECLI:​​EU:​​C:​​1973:​​101], Variola - Rn. 9 ff. sowie vom 28. März 1985 - C-272/83 [ECLI:​​EU:​​C:​​1985:​​147], Kommission/​Italien - Rn. 26).

32 Ein Verstoß gegen diese Vorgaben liegt hier schon deshalb fern, weil sich § 22 Abs. 1 Nr. 1 Buchst. b BDSG ungeachtet der bestehenden textlichen Übereinstimmungen nicht in einer bloßen Wiederholung des Wortlauts des Art. 9 Abs. 2 Buchst. h und Abs. 3 DSGVO erschöpft. Eine Abweichung besteht etwa darin, dass in § 22 Abs. 1 Nr. 1 Buchst. b BDSG - anders als in Art. 9 Abs. 2 Buchst. h DSGVO - die "Arbeitsmedizin" nicht als Verarbeitungszweck genannt wird. Zudem enthält § 22 Abs. 1 Nr. 1 Buchst. b BDSG für die in Art. 9 Abs. 2 Buchst. h DSGVO genannte Variante, dass die Verarbeitung "aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs" erfolgt, nach dem Wort "Vertrags" die Ergänzung "der betroffenen Person", so dass Verträge zwischen Heilberufsangehörigen und Dritten nicht erfasst werden (vgl. hierzu Albers/​Veit, in: Wolff/​Brink/v. Ungern-Sternberg <Hrsg.>, BeckOK Datenschutzrecht, Stand: 01.05.2025, BDSG § 22 Rn. 28). Außerdem modifiziert § 22 Abs. 1 Nr. 1 Buchst. b BDSG - wie gerade die Revision selbst hervorhebt und worauf sogleich noch näher einzugehen ist - gegenüber Art. 9 Abs. 3 DSGVO die Vorgaben für das die Daten verarbeitende Personal und die für dieses Personal erforderlichen Geheimhaltungspflichten.

33 Gegen eine Verletzung des unionsrechtlichen Normwiederholungsverbots spricht zudem die in Erwägungsgrund 8 der DSGVO enthaltene Klarstellung, dass, wenn in dieser Verordnung Präzisierungen oder Einschränkungen ihrer Vorschriften durch das Recht der Mitgliedstaaten vorgesehen sind, die Mitgliedstaaten Teile dieser Verordnung in ihr nationales Recht aufnehmen können, soweit dies erforderlich ist, um die Kohärenz zu wahren und die nationalen Rechtsvorschriften für die Personen, für die sie gelten, verständlicher zu machen. Die Kriterien der besseren Erkennbarkeit für den Rechtsanwender und der Sicherstellung eines kohärenten Rechtsrahmens, bei deren Anwendung der Senat von einem weiten Verständnis ausgeht (vgl. BVerwG, Urteil vom 20. März 2024 - 6 C 8.22 - BVerwGE 182, 11 Rn. 35 in Bezug auf § 3 BDSG), sind erfüllt. Dabei ist unerheblich, dass es sich bei § 22 Abs. 1 Nr. 1 Buchst. b BDSG entgegen der Auffassung des Oberverwaltungsgerichts nicht um eine "Brückennorm" im Sinne des zitierten Urteils des Senats vom 20. März 2024 handelt. Dieser Begriff passt hier deshalb nicht, weil die in dem unionsrechtlichen Erlaubnistatbestand geforderte Rechtsgrundlage im nationalen Recht - anders als etwa bei § 3 BDSG - nicht durch eine Kombination aus einer vor das Fachrecht gezogenen allgemeinen (Brücken-)Norm in Verbindung mit den Regelungen des jeweiligen Fachrechts (d. h. einer Normenkette) geschaffen wird. § 22 Abs. 1 Nr. 1 Buchst. b BDSG ist vielmehr eine aus sich heraus vollziehbare Ermächtigungsnorm. Einer ergänzenden fachrechtlichen Aufgabennorm bedarf es schon deshalb nicht, weil § 22 Abs. 1 Nr. 1 Buchst. b BDSG - anders als § 3 BDSG - ausdrücklich auch für nichtöffentliche Stellen gilt.

34 bb) § 22 Abs. 1 Nr. 1 Buchst. b BDSG verstößt ferner nicht gegen eine sich aus der Datenschutz-Grundverordnung vermeintlich ergebende Konkretisierungsverpflichtung (a. A.: Weichert, in: Kühling/​Buchner, DS-GVO BDSG, 4. Aufl. 2024, BDSG § 22 Rn. 5c; Kampert, in: Sydow/​Marsch, DS-GVO / BDSG, 3. Aufl. 2022, BDSG § 22 Rn. 98). Art. 9 Abs. 2 Buchst. h DSGVO verlangt vom nationalen Gesetzgeber - wie das Berufungsgericht zutreffend ausführt - im Wesentlichen nur die Entscheidung, ob die in der Vorschrift angelegte Verarbeitungsbefugnis "aktiviert" wird. Eine Verpflichtung, die Rechtsgrundlage im nationalen Recht darüber hinaus um konkretisierende Vorgaben zu ergänzen, kann dem Normtext nicht entnommen werden. Das Oberverwaltungsgericht weist zu Recht darauf hin, dass Art. 9 Abs. 2 Buchst. h DSGVO - anders als etwa Art. 9 Abs. 2 Buchst. g, i und j DSGVO oder Art. 88 Abs. 1 Satz 1 DSGVO - nicht die Maßgabe enthält, dass die Rechtsgrundlage im nationalen Recht "spezifisch" sein muss. Zudem spricht auch Art. 9 Abs. 4 DSGVO, wonach die Mitgliedstaaten "zusätzliche" Bedingungen, einschließlich Beschränkungen, einführen oder aufrechterhalten können, soweit die Verarbeitung von Gesundheitsdaten betroffen ist, aus systematischer Sicht dagegen, dass schon grundsätzlich eine Verpflichtung besteht, spezifische Regelungen zu schaffen.

35 cc) Mit den rechtsstaatlichen und (unions-)grundrechtlichen Bestimmtheitsanforderungen ist § 22 Abs. 1 Nr. 1 Buchst. b BDSG ebenfalls vereinbar (a. A.: Petri, in: Simitis/​Hornung/​Spiecker gen. Döhmann, Datenschutzrecht, 2. Aufl. 2025, BDSG § 22 Rn. 4). In Bezug auf das in Art. 20 Abs. 3 GG verankerte Rechtsstaatsprinzip ist in der Rechtsprechung des Bundesverfassungsgerichts anerkannt, dass der Gesetzgeber gehalten ist, Vorschriften so bestimmt zu fassen, wie dies nach der Eigenart der zu ordnenden Lebenssachverhalte mit Rücksicht auf den Normzweck möglich ist (stRspr, vgl. BVerfG, Beschluss vom 7. März 2017 - 1 BvR 1314, 1630/12, 1694, 1874/13 - BVerfGE 145, 20 Rn. 125). Für das Unionsrecht gilt nichts grundsätzlich Anderes (BVerwG, Urteil vom 28. Mai 2025 - 6 C 3.24 - N&R 2025, 325 Rn. 26). Für die Bestimmtheit reicht es aus, dass sich im Wege der Auslegung der einschlägigen Bestimmung mit Hilfe der anerkannten Auslegungsregeln feststellen lässt, ob die tatsächlichen Voraussetzungen für die in der Rechtsnorm ausgesprochene Rechtsfolge vorliegen (vgl. BVerfG, Beschluss vom 28. September 2022 - 1 BvR 2354/13 - BVerfGE 163, 43 Rn. 109). Aus dem Gebot der Normenklarheit, bei dem die inhaltliche Verständlichkeit der Regelung für Bürgerinnen und Bürger im Vordergrund steht, folgt, dass der Inhalt der einzelnen Norm verständlich und ohne größere Schwierigkeiten durch Auslegung zu konkretisieren sein muss (vgl. BVerfG, Beschluss vom 28. September 2022 - 1 BvR 2354/13 - BVerfGE 163, 43 Rn. 111). Diesen Vorgaben genügt § 22 Abs. 1 Nr. 1 Buchst. b BDSG, wie sich aus den vorstehenden Ausführungen ergibt.

36 f) Das Oberverwaltungsgericht hat schließlich ohne Verstoß gegen revisibles Recht angenommen, dass die mit der Datenverarbeitung im Rahmen des Gesundheitsmanagements befassten Mitarbeiter des Klägers einer hinreichenden Geheimhaltungspflicht unterliegen. Maßgeblich ist insoweit § 22 Abs. 1 Nr. 1 Buchst. b BDSG, der - wie bereits ausgeführt - die in Art. 9 Abs. 3 DSGVO enthaltenen Vorgaben für das die Daten verarbeitende Personal und die für dieses Personal erforderlichen Geheimhaltungspflichten modifiziert. Der deutsche Gesetzgeber hat damit von seiner durch Art. 9 Abs. 3 und 4 DSGVO eröffneten Regelungsbefugnis Gebrauch gemacht (vgl. BGH, Urteil vom 27. März 2025 - I ZR 223/19 - NJW 2025, 2237 Rn. 61 f.).

37 Da die hier in Rede stehenden besonders sensiblen Daten bei dem Kläger als Krankenversicherungsunternehmen nicht durch ärztliches Personal verarbeitet werden, kommt es nach § 22 Abs. 1 Nr. 1 Buchst. b BDSG darauf an, ob die Verarbeitung durch sonstige Personen, die einer entsprechenden Geheimhaltungspflicht unterliegen, oder unter deren Verantwortung erfolgt. Diesem Personenkreis sind die Mitarbeiter des Klägers zuzurechnen, die mit der Analyse der von den Versicherten eingereichten Rechnungen hinsichtlich der darin enthaltenen Diagnosen und dem Abgleich mit den vom Kläger angebotenen Vorsorgeprogrammen befasst sind. Denn sie unterliegen einer Geheimhaltungspflicht gemäß § 203 Abs. 1 Nr. 7 StGB. Danach wird bestraft, wer unbefugt ein fremdes Geheimnis, namentlich ein zum persönlichen Lebensbereich gehörendes Geheimnis oder ein Betriebs- oder Geschäftsgeheimnis, offenbart, das ihm als Angehörigen eines Unternehmens der privaten Kranken-, Unfall- oder Lebensversicherung oder einer privatärztlichen, steuerberaterlichen oder anwaltlichen Verrechnungsstelle anvertraut worden oder sonst bekanntgeworden ist. Zu den Angehörigen der genannten Versicherungsunternehmen zählen neben deren Inhabern, Organen und Mitgliedern von Organen auch deren Bedienstete jeder Art, die auf Grund ihrer Funktion mit Geheimnissen des Versicherungsnehmers in Berührung kommen können (BGH, Urteil vom 10. Februar 2010 - VIII ZR 53/09 - NJW 2010, 2509 Rn. 13, 15). Durch die Einbeziehung der Angehörigen privater Personenversicherungen in den Kreis der strafrechtlichen Sanktionen unterworfenen Geheimnisträger sollte eine Verkürzung des Geheimnisschutzes der Privatversicherten gegenüber den durch eine Sozialversicherung abgesicherten und damit durch § 203 Abs. 2 Nr. 1 und Nr. 2 StGB (Amtsträger und alle für den öffentlichen Dienst besonders Verpflichteten) umfassend geschützten Personen vermieden werden (vgl. BGH, Urteil vom 10. Februar 2010 - VIII ZR 53/09 - NJW 2010, 2509 Rn. 14 unter Hinweis auf BT-Drs. 7/550 S. 472 f.). Mit Blick auf diesen umfassenden Schutzzweck der Strafnorm des § 203 Abs. 1 Nr. 7 StGB besteht kein Raum für die Annahme der Revision, § 22 Abs. 1 Nr. 1 Buchst. b BDSG fordere, dass die mit der hier fraglichen Datenverarbeitung befassten Mitarbeiter des Klägers zusätzlich noch einer spezifisch berufsrechtlich geregelten Geheimhaltungspflicht unterliegen müssten.

38 3. Gegen revisibles Recht verstößt jedoch die Annahme des Berufungsurteils, die streitige Datenverarbeitung des Klägers sei nach Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO zulässig.

39 Nach der bereits erwähnten Rechtsprechung des EuGH ist eine auf Art. 9 Abs. 2 Buchst. h DSGVO gestützte Verarbeitung von Gesundheitsdaten nur dann rechtmäßig, wenn sie nicht nur die sich aus dieser Bestimmung ergebenden Anforderungen einhält, sondern auch mindestens eine der in Art. 6 Abs. 1 DSGVO genannten Rechtmäßigkeitsvoraussetzungen erfüllt (EuGH, Urteil vom 21. Dezember 2023 - C-667/21 - Rn. 79). Für die vom Kläger praktizierte Datenanalyse zur Ermittlung potentieller Teilnehmer an seinen Vorsorgeprogrammen kommt als Erlaubnistatbestand - neben der hier gerade fehlenden Einwilligung der Betroffenen (Art. 6 Abs. 1 Unterabs. 1 Buchst. a DSGVO) – lediglich Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO in Betracht. Danach muss die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich sein, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen. Nach der Rechtsprechung des EuGH ist die Verarbeitung personenbezogener Daten nach dieser Bestimmung unter drei kumulativen Voraussetzungen rechtmäßig: Erstens muss von dem für die Verarbeitung Verantwortlichen oder von einem Dritten ein berechtigtes Interesse wahrgenommen werden, zweitens muss die Verarbeitung der personenbezogenen Daten zur Verwirklichung des berechtigten Interesses erforderlich sein, und drittens dürfen die Interessen oder Grundrechte und Grundfreiheiten der Person, deren Daten geschützt werden sollen, gegenüber dem berechtigten Interesse des Verantwortlichen oder eines Dritten nicht überwiegen (vgl. EuGH, Urteile vom 4. Juli 2023 - C-252/21 - Rn. 106 f. und vom 4. Oktober 2024 - C-621/22 - Rn. 37). Weder die erste (a)) noch die dritte (b)) dieser Voraussetzungen ist hier erfüllt.

40 a) Was die Voraussetzung der Wahrnehmung eines "berechtigten Interesses" betrifft, kann in Ermangelung einer Definition dieses Begriffs durch die Datenschutz-Grundverordnung ein breites Spektrum von Interessen grundsätzlich als berechtigt gelten (vgl. EuGH, Urteil vom 7. Dezember 2023 - C-26 und 64/22 - Rn. 76). Wie sich auch aus dem 47. Erwägungsgrund der DSGVO ergibt, der den Begriff "berechtigtes Interesse" betrifft, hat der Unionsgesetzgeber nicht verlangt, dass das Interesse eines Verantwortlichen gesetzlich geregelt sein muss, damit die von diesem Verantwortlichen vorgenommene Verarbeitung personenbezogener Daten rechtmäßig im Sinne von Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO ist. Allerdings verlangt der Begriff "berechtigtes Interesse" im Sinne von Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO, auch wenn er nicht auf gesetzlich verankerte und bestimmte Interessen beschränkt ist, dass das geltend gemachte berechtigte Interesse rechtmäßig ist (EuGH, Urteil vom 4. Oktober 2024 - C-621/22 - Rn. 40). Außerdem obliegt es nach Art. 13 Abs. 1 Buchst. d DSGVO dem Verantwortlichen, einer betroffenen Person zu dem Zeitpunkt, zu dem personenbezogene Daten bei ihr erhoben werden, die verfolgten berechtigten Interessen mitzuteilen, wenn diese Verarbeitung auf Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO beruht (EuGH, Urteile vom 4. Juli 2023 - C‑252/21 - Rn. 107 und vom 4. Oktober 2024 - C-621/22 - Rn. 41).

41 Hiervon ausgehend kommt zwar grundsätzlich in Betracht, dass der Kläger als für die Verarbeitung Verantwortlicher ein berechtigtes Interesse wahrnimmt. Dies folgt aus dem bereits erwähnten Zweck der vorgenommenen Datenverarbeitung, potentielle Teilnehmer an den angebotenen Vorsorgeprogrammen zu ermitteln und damit eine Reduzierung der vom Kläger vertragsgemäß zu erstattenden Behandlungskosten zu ermöglichen. Ohne Bedeutung ist hierbei, ob die den Versicherten angebotenen Programme des "Gesundheitsmanagements" dem im Berufungsurteil in diesem Zusammenhang erörterten Leitbild des Versicherungsvertragsgesetzes entsprechen, wonach Krankenversicherungsunternehmen nicht auf die bloße Leistungsabrechnung beschränkt seien, bzw. in einem engen sachlichen Zusammenhang mit den aus den bestehenden Versicherungsverhältnissen resultierenden Pflichten stehen. Denn auch ohne eine gesetzliche oder vertragliche Regelung bestehen keine Zweifel an der Legitimität des vom Kläger konzipierten und beworbenen Angebots der Vorsorgeprogramme.

42 Der Kläger ist jedoch seiner in Art. 13 Abs. 1 Buchst. d DSGVO geregelten Verpflichtung nicht nachgekommen, bei einer auf Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO beruhenden Verarbeitung den betroffenen Personen, bei denen die personenbezogenen Daten erhoben werden, die berechtigten Interessen mitzuteilen, die von dem Verantwortlichen oder einem Dritten verfolgt werden. Verstößt der Verantwortliche gegen seine Informationspflicht aus Art. 13 Abs. 1 Buchst. d DSGVO, fehlt es nach der erwähnten Rechtsprechung des EuGH auch an der in Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO geregelten Voraussetzung der Wahrnehmung eines "berechtigten Interesses". Nach den - gemäß § 137 Abs. 2 VwGO bindenden - tatsächlichen Feststellungen des Oberverwaltungsgerichts hat der Kläger zwar ab Ende Mai 2018 in einem mit den Leistungsmitteilungen versandten Flyer auf die von ihm angebotenen krankheitsspezifischen Unterstützungsangebote aufmerksam gemacht und unter der Überschrift "Hinweis zu Ihren Daten" erläutert, passende Gesundheitsangebote könnten nur unterbreitet werden, wenn die bekannten Daten analysiert würden. Soweit hiermit kein Einverständnis bestehe, könne man sich mit ihm in Verbindung setzen. Die Versendung dieses Flyers mit den Leistungsmitteilungen stellt jedoch schon deshalb keine nach Art. 13 Abs. 1 Buchst. d DSGVO ausreichende Information der von der Datenverarbeitung betroffenen Personen dar, weil diese von vornherein nur diejenigen Versicherten erreichen konnte, die seit Mai 2018 Rechnungen zum Zweck der Leistungserstattung beim Kläger eingereicht und deshalb Leistungsmitteilungen erhalten haben. Unabhängig davon weist der Beklagte in der Sache zu Recht darauf hin, dass die Versicherten anhand der allgemein gehaltenen Informationen in dem Flyer schon nicht absehen können, für welches Angebot von konkreten Leistungen ihre Daten verwendet werden. Soweit der Kläger nunmehr geltend macht, er habe die Versicherten in Kampagnen und durch den Versand von Schreiben "offensiv und proaktiv" auf seinen Beitritt zu dem Code of Conduct für den Umgang mit personenbezogenen Daten durch die deutsche Versicherungswirtschaft aus dem Jahr 2013 hingewiesen, der ausdrücklich auf Datenverarbeitungen zum Zwecke der Gesundheitsvorsorge Bezug nehme, handelt es sich um neuen Tatsachenvortrag, der im Revisionsverfahren unbeachtlich ist. Außerdem trägt der Kläger selbst nicht vor, die Versicherten in diesem Zusammenhang über die konkrete Art der Verarbeitung, was auch eine zumindest grobe Beschreibung der angebotenen Vorsorgeprogramme einschließt, informiert zu haben.

43 b) Wird entgegen dem soeben Ausgeführten unterstellt, dass der Kläger seiner Informationspflicht nach Art. 13 Abs. 1 Buchst. d DSGVO in ausreichender Weise nachkommt und die Voraussetzung der Wahrnehmung eines "berechtigten Interesses" im Sinne des Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO dementsprechend vorliegt, ist die Verarbeitung der in den analysierten Rechnungen enthaltenen personenbezogenen (Gesundheits-)Daten - wie bereits im Zusammenhang mit Art. 9 Abs. 2 Buchst. h DSGVO ausgeführt - zwar als zur Verwirklichung des berechtigten Interesses erforderlich anzusehen. Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO verlangt jedoch - wie erwähnt - darüber hinaus, dass die Interessen oder Grundrechte und Grundfreiheiten der Person, deren Daten geschützt werden sollen, nicht überwiegen. Mit der entsprechenden Annahme verletzt das Berufungsgericht revisibles Recht.

44 Die Voraussetzung, dass die Interessen der Grundfreiheiten und Grundrechte der Person, deren Daten geschützt werden sollen, gegenüber dem berechtigten Interesse des Verantwortlichen oder eines Dritten nicht überwiegen, gebietet nach der Rechtsprechung des EuGH eine Abwägung der jeweiligen einander gegenüberstehenden Rechte und Interessen, die grundsätzlich von den konkreten Umständen des Einzelfalls abhängt. Nach dem 47. Erwägungsgrund der DSGVO können die Interessen und Grundrechte der betroffenen Person das Interesse des Verantwortlichen insbesondere dann überwiegen, wenn personenbezogene Daten in Situationen verarbeitet werden, in denen eine betroffene Person vernünftigerweise nicht mit einer solchen Verarbeitung rechnet (vgl. EuGH, Urteile vom 4. Juli 2023 - C-252/21 - Rn. 106 ff., vom 7. Dezember 2023 - C-26 und 64/22 - Rn. 76 ff. und vom 12. September 2024 - C-17 und 18/22 - Rn. 49 ff.).

45 Nach Ansicht des Berufungsgerichts geht die von Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO geforderte Abwägung zu Gunsten des Klägers aus. Zwar sei zu berücksichtigen, dass mit der streitgegenständlichen Datenverarbeitung in das informationelle Selbstbestimmungsrecht einer Vielzahl von Versicherten eingegriffen werde. Dieser Eingriff wiege - da besonders sensible Gesundheitsdaten betroffen seien - schwer. Die streitgegenständliche Datenverarbeitung erfolge aber auch im Interesse der einzelnen Versicherten und der Versichertengemeinschaft. Individuelle Nachteile seien für den Einzelnen mit der Datenanalyse nicht verbunden. Dieser habe zudem ohne Weiteres die Möglichkeit, die entsprechende Datenverarbeitung zu unterbinden. In einer Zusammenschau überwögen daher die berechtigten Interessen des Klägers.

46 Diese Erwägungen des Oberverwaltungsgerichts tragen indes dem Umstand nicht hinreichend Rechnung, dass es hier um die Verarbeitung besonders sensibler Gesundheitsdaten geht, die in den Anwendungsbereich des grundsätzlichen Verarbeitungsverbots nach Art. 9 Abs. 1 DSGVO fallen. Diese Regelung hat - wie bereits ausgeführt - den Zweck, einen erhöhten Schutz vor Datenverarbeitungen zu gewährleisten, die aufgrund der besonderen Sensibilität der Daten, die Gegenstand der Verarbeitungen sind, einen besonders schweren Eingriff in die durch die Art. 7 und Art. 8 GRC verbürgten Grundrechte auf Achtung des Privatlebens und auf Schutz personenbezogener Daten darstellen können (EuGH, Urteile vom 5. Juni 2023 - C-204/21 - Rn. 345 und vom 21. Dezember 2023 - C-667/21 - Rn. 41). Jenseits der in Art. 9 Abs. 2 Buchst. h und Abs. 3 DSGVO geregelten Voraussetzungen für Ausnahmen von dem Verbot des Art. 9 Abs. 1 DSGVO muss sich dieses höhere Schutzniveau sensibler Gesundheitsdaten auch bei der Gewichtung der Belange im Rahmen der nach Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO vorzunehmenden Abwägung niederschlagen. Dies dient der Vermeidung von Schutzlücken, die sich aus dem - wie ausgeführt - weiten, über den Kernbereich der medizinischen Versorgung und das Arzt-Patienten-Verhältnis hinausreichenden Verständnis des in Art. 9 Abs. 2 Buchst. h DSGVO genannten Begriffs der Gesundheitsvorsorge ergeben könnten.

47 Die Abwägung der einander gegenüberstehenden Interessen unter Würdigung aller relevanten Umstände kann vor diesem Hintergrund nur zu dem Ergebnis führen, dass die Interessen der von der Datenverarbeitung betroffenen Versicherten das berechtigte Interesse des Klägers überwiegen. Zwar haben das Ziel der Gesundheitsvorsorge und die angestrebte, auch im Interesse der Versicherten liegende Reduzierung von Behandlungskosten zweifellos eine hohe Bedeutung. Dies findet nicht zuletzt in den vom Oberverwaltungsgericht der Sache nach herangezogenen Regelungen des Sozialgesetzbuchs (SGB) Fünftes Buch (V) zur nationalen Präventionsstrategie (§ 20d SGB V) und nationalen Präventionskonferenz (§ 20e SGB V) einen Ausdruck, die unter bestimmten Voraussetzungen auch eine Einbindung privater Krankenversicherungsunternehmen vorsehen. Zu berücksichtigen ist ferner, dass die Datenverarbeitung jenseits des Eingriffs in die durch die Art. 7 und Art. 8 GRC verbürgten Grundrechte auf Achtung des Privatlebens und auf Schutz personenbezogener Daten ausgehend von den Feststellungen des Oberverwaltungsgerichts nicht zu weiteren erheblichen Nachteilen für die betroffenen Versicherten führt. Insbesondere ist danach keine "Stigmatisierung" in dem Fall der Nichtannahme eines unterbreiteten Angebots für ein Vorsorgeprogramm zu befürchten und es besteht für die Betroffenen die Möglichkeit, jedenfalls für die Zukunft der Verarbeitung zu widersprechen. Zudem bleibt die Intensität des Grundrechtseingriffs dadurch begrenzt, dass der Kläger die durch die Analyse der zur Leistungserstattung eingereichten Rechnungen generierten Daten ausschließlich selbst verarbeitet und nicht an Dritte übermittelt.

48 Die genannten Belange überwiegen jedoch im Ergebnis nicht den in Art. 9 DSGVO verankerten erhöhten Schutz sensibler Gesundheitsdaten. Das bei dieser Kategorie von Daten schon generell erhebliche Gewicht des Eingriffs in die durch die Art. 7 und Art. 8 GRC verbürgten Grundrechte auf Achtung des Privatlebens und auf Schutz personenbezogener Daten wird durch die hohe Zahl der Betroffenen zusätzlich verstärkt. Neben dieser großen "Streubreite" der beanstandeten Datenverarbeitung erlangt in der Abwägung vor allem der Umstand Bedeutung, dass die Vorsorgeprogramme des Klägers nicht dem Kernbereich der medizinischen Versorgung bzw. dem Arzt-Patienten-Verhältnis zuzuordnen sind und der Kläger die gesundheitsbezogenen Leistungen nicht selbst erbringt, sondern nur vermittelt. Deshalb müssen die betroffenen Versicherten vernünftigerweise nicht mit der ohne Einwilligung zu diesem Zweck durchgeführten Verarbeitung der sensiblen Gesundheitsdaten rechnen, die der Kläger den zur vertragsgemäßen Erstattung eingereichten Rechnungen entnimmt. Insoweit erweist sich im Rahmen der nach Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO vorzunehmenden Abwägung letztlich die bereits in Bezug auf die Anwendung des Tatbestandsmerkmals der Erforderlichkeit in Art. 9 Abs. 2 Buchst. h DSGVO genannte Erwägung als tragend, dass umso strengere Maßstäbe anzulegen sind, je weiter sich die konkreten Maßnahmen der Gesundheitsvorsorge, auf die sich die Datenverarbeitung bezieht, von dem Kernbereich der medizinischen Versorgung und dem Arzt-Patienten-Verhältnis entfernen.

49 4. Erfüllt die beanstandete Datenverarbeitung des Klägers nach alledem ohne Einwilligung der betroffenen Versicherten schon keine der in Art. 6 Abs. 1 DSGVO genannten Rechtmäßigkeitsvoraussetzungen, kann im Ergebnis offenbleiben, ob das Berufungsurteil auch insoweit revisibles Recht verletzt, als es trotz der hier vorliegenden Zweckänderung einen Verstoß gegen den Grundsatz der Zweckbindung (Art. 5 Abs. 1 Buchst. b, Art. 6 Abs. 4 DSGVO) verneint hat. Der Senat schließt sich nicht der Auffassung an, dass es in den Fällen, in denen der Weiterverarbeitungszweck unter Berücksichtigung der in Art. 6 Abs. 4 DSGVO genannten Kriterien mit dem Zweck, zu dem die Daten ursprünglich erhoben wurden, vereinbar ist, keiner weiteren Rechtfertigung dieser Maßnahme bedürfte (so z. B. Roßnagel, in: Simitis/​Hornung/​Spiecker gen. Döhmann, Datenschutzrecht, 2. Aufl. 2025, DS-GVO Art. 5 Rn. 98 unter Hinweis auf Erwägungsgrund 50 Sätze 2 und 5 DSGVO). Der EuGH hat - wie bereits erwähnt - geklärt, dass auch eine auf Art. 9 Abs. 2 Buchst. h DSGVO gestützte Verarbeitung von Gesundheitsdaten nur dann rechtmäßig ist, wenn sie sowohl die sich aus dieser Bestimmung ergebenden Anforderungen als auch die sich aus Art. 5 Abs. 1 Buchst. a und Art. 6 Abs. 1 dieser Verordnung ergebenden Pflichten einhält und insbesondere eine der in Art. 6 Abs. 1 DSGVO genannten Rechtmäßigkeitsvoraussetzungen erfüllt (EuGH, Urteil vom 21. Dezember 2023 - C-667/21 - Rn. 78).

50 5. Das die Aufhebung des Bescheids des Beklagten vom 10. Februar 2022 durch das Verwaltungsgericht bestätigende Berufungsurteil stellt sich auch nicht aus anderen Gründen im Ergebnis als richtig dar (§ 144 Abs. 4 VwGO). Insbesondere ist die Ermessensausübung des Beklagten in dem auf Art. 58 Abs. 2 DSGVO gestützten Bescheid nicht zu beanstanden. Da die Richtung der Ermessensbetätigung der Behörde hier bereits vom Gesetz vorgezeichnet war (sog. intendiertes Ermessen), musste der Bescheid keine Ermessenserwägungen enthalten. Dies gilt ungeachtet des Umstandes, dass der Beklagte zu Unrecht einen Verstoß gegen Art. 9 Abs. 1 DSGVO angenommen hat.

51 Zwar kann die Aufsichtsbehörde ausnahmsweise und unter Berücksichtigung der besonderen Umstände des konkreten Falls vom Ergreifen einer Abhilfemaßnahme nach Art. 58 Abs. 2 DSGVO absehen, sofern der Situation, die einen Verstoß gegen die Datenschutz-Grundverordnung begründete, bereits abgeholfen wurde, die Verarbeitung personenbezogener Daten im Einklang mit dieser Verordnung durch den hierfür Verantwortlichen gewährleistet ist und ein solches Nichteinschreiten der Aufsichtsbehörde nicht geeignet ist, das Erfordernis eines klar durchsetzbaren Rechtsrahmens zu beeinträchtigen (EuGH, Urteil vom 26. September 2024 - C-768/21 [ECLI:​​EU:​​C:​​2024:​​785] - Rn. 43 und 46). Ein solcher Ausnahmefall lag indes offensichtlich nicht vor. Denn der Kläger hatte seine Absicht zur Fortsetzung der vom Beklagten beanstandeten Datenverarbeitung bereits im Verwaltungsverfahren klar zum Ausdruck gebracht. Hinsichtlich der Auswahl der konkreten Abhilfemaßnahme war das der Aufsichtsbehörde nach Art. 58 Abs. 2 DSGVO grundsätzlich eingeräumte Ermessen dahingehend reduziert, dass nur eine Verwarnung (Art. 58 Abs. 2 Buchst. b DSGVO) in Verbindung mit der Anweisung (Art. 58 Abs. 2 Buchst. d DSGVO), vorbehaltlich der Einholung einer Einwilligung die Datenverarbeitung zu unterlassen, geeignet, erforderlich und verhältnismäßig war, um dem festgestellten Verstoß gegen die Datenschutz-Grundverordnung abzuhelfen. Die in Art. 58 Abs. 2 Buchst. c, e, g, h und j DSGVO genannten Abhilfebefugnisse kamen angesichts der Art des Verstoßes gegen die Datenschutz-Grundverordnung von vornherein nicht in Betracht. Bei der Verhängung einer vorübergehenden oder endgültigen Beschränkung der Verarbeitung einschließlich eines Verbots (Art. 58 Abs. 2 Buchst. f DSGVO) oder einer Geldbuße (Art. 58 Abs. 2 Buchst. i DSGVO) handelt es sich nicht um gegenüber der Verwarnung und der Anweisung weniger eingriffsintensive Maßnahmen, zumal die Geldbuße auch zusätzlich verhängt werden kann (vgl. BVerwG, Urteil vom 29. Januar 2025 - 6 C 3.23 - BVerwGE 184, 315 Rn. 66). Da der Kläger mit der Datenverarbeitung bereits begonnen hatte, konnte der bereits eingetretenen Rechtsverletzung nicht mit einer allein zukunftsgerichteten Warnung (Art. 58 Abs. 2 Buchst. a DSGVO) begegnet werden.

52 6. Die Kostenentscheidung beruht auf § 154 Abs. 1 VwGO.