(1) Die Erhebung personenbezogener Gesundheitsdaten durch den Versicherer darf nur bei Ärzten, Krankenhäusern und sonstigen Krankenanstalten, Pflegeheimen und Pflegepersonen, anderen Personenversicherern und gesetzlichen Krankenkassen sowie Berufsgenossenschaften und Behörden erfolgen; sie ist nur zulässig, soweit die Kenntnis der Daten für die Beurteilung des zu versichernden Risikos oder der Leistungspflicht erforderlich ist und die betroffene Person eine Einwilligung erteilt hat.
(2) Die nach Absatz 1 erforderliche Einwilligung kann vor Abgabe der Vertragserklärung erteilt werden. Die betroffene Person ist vor einer Erhebung nach Absatz 1 zu unterrichten; sie kann der Erhebung widersprechen.
(3) Die betroffene Person kann jederzeit verlangen, dass eine Erhebung von Daten nur erfolgt, wenn jeweils in die einzelne Erhebung eingewilligt worden ist.
(4) Die betroffene Person ist auf diese Rechte hinzuweisen, auf das Widerspruchsrecht nach Absatz 2 bei der Unterrichtung.