CNIL, 26.05.2026 – SAN-2026-008 (IQVIA OPERATIONS FRANCE)
Die französische Datenschutzbehörde CNIL hat gegen das Gesundheitsdaten-Unternehmen IQVIA OPERATIONS FRANCE ein Bußgeld von 5 Mio. € verhängt – vor allem, weil es beim Betrieb von Gesundheitsdaten-Warehouses Vorgaben zum Schutz der Betroffenen nicht eingehalten hat.
IQVIA erstellt Studien für Pharmaunternehmen und stützte sich dafür auf zwei Gesundheitsdaten-Warehouses (welche von der CNIL zuvor genehmigt waren) und mit Daten von rund 14.000 Apotheken und von mehreren tausend Ärzten bestückt waren. Bei einer späteren Prüfung stellte die CNIL fest, dass in der Praxis Vorgaben zur Information von Betroffenen, der Ausübung von Betroffenenrechten und zur Datensicherheit nicht eingehalten wurden.
IQVIA ging davon aus, dass die Daten anonym seien und das Datenschutzrecht damit nicht anwendbar. Wichtigstes Argument hierfür könnte das „SRB“-Urteil des EuGH(04.09.2025, C-413/23 P) sein. Dieses Urteil hatte den Personenbezug als relativ beschrieben: Dieselben pseudonymisierten Daten können danach für den Verantwortlichen, der den Schlüssel besitzt, personenbezogen sein während sie für einen Dritten, ohne Mittel zur Re-Identifizierung, dagegen anonym sein können.
Die CNIL sah dies hier jedoch nicht als gegeben an. Die Daten in den Warehouses seien nicht anonym, sondern nur pseudonym, weil eine Re-Identifizierung mit angemessenen Mitteln möglich sei.
Tragend dafür waren drei Punkte:
- ein eindeutiger Identifikator je Patient,
- die Tiefe der gesammelten Daten (z.B. Geburtsjahr, Geschlecht, Hausarzt, Rezepte, Diagnosen, Symptome, Allergien, Gewicht, Größe, Puls, Impfungen, Untersuchungen, Krankschreibungen) und
- die Möglichkeit, Personen durch Kombination der IQVIA-Daten mit öffentlich verfügbaren Informationen zu identifizieren.
Gegen eine ausreichende Anonymität sprachen laut der CNIL noch weitere Punkte:
- Wie einfach eine Re-Identifizierung praktisch sein kann, zeigte der Berichterstatter im Verfahren anschaulich an einem Beispiel: Über eine Facebook-Selbsthilfegruppe ließ sich eine Patientin aus einer Studie in wenigen Minuten zuordnen.
- Auch vertragliche Verbote, die etwa Partner eine Re-Identifizierung untersagten, führten hier nicht dazu, dass die Daten als anonym anzusehen waren. Auch wenn ein gesetzliches Verbot die Angemessenheit der Mittel entfallen lassen könnte – bloße Vertragsvereinbarungen genügen dafür nicht.
- In Abgrenzung zum SRB-Urteil war das Unternehmen hier nicht bloßer Empfänger pseudonymisierter Daten, sondern ab der Datenerhebung als Verantwortlicher der gesamten Verarbeitung zu sehen. Diese Rolle als Verantwortlicher soll laut der CNIL dagegen sprechen, die Daten als anonym zu behandeln. Die „Relativität“ aus dem SRB-Urteil hilft dem Dritten ohne Schlüssel – nicht dem Unternehmen, das das Warehouse selbst aufgebaut hat und die reichhaltigen Daten zusammenführt.
- Dass IQVIA keine Absicht zur Re-Identifizierung hatte, sei unerheblich – es kommt allein auf die Möglichkeit einer Re-Identifizierung an.
Inhaltlich beanstandete die CNIL sodann verschiedene Sicherheitsmängel (z.T. keine regelmäßige Auswertung der Zugriffsprotokolle; keine Mehr-Faktor-Authentifizierung, eine fehlerhafte Patienteninformation und ein fehlendes Widerspruchsverfahren.) Teilweise kam hinzu, dass die Apotheken ihre Kunden nicht korrekt über die Weitergabe an IQVIA informierten und dass die Apothekensoftware Patientendaten selbst ohne Zustimmung weiterleitete (Verstoß gegen Privacy by Design).
Die Sensibilität der Gesundheitsdaten und die Datenmenge spielte eine zentrale Rolle. Die CNIL betonte sie bei den Schutzanforderungen und zog sie ausdrücklich auch für die Höhe des Bußgeldes heran – neben der Zahl der Betroffenen (mehrere zehn Millionen), der Marktposition und der Finanzkraft des Unternehmens. Die Pseudonymisierung selbst wurde aber als mildernd angesehen, da damit immerhin eine direkte Identifizierung ausschied.
Für Unternehmen im e-Health-Sektor bedeutet das, wenn pseudonymisierte (Gesundheits-)Daten in Data Warehouses, Real-World-Evidence-Produkten oder zum KI-Training genutzt werden, muss eine Anonymisierung detailliert geprüft werden. Verantwortliche, die reichhaltige, längsschnittfähige Datensätze mit eindeutigen Identifikatoren zusammenführen, werden meist weiterhin mit re-identifizierbaren Daten zu tun haben. Hier werden Unternehmen nicht umhin kommen, die einzelnen Konstellationen auch nach den potentiellen Identifizierungsmöglichkeiten zu unterscheiden. Nur dann ließe sich überhaupt darauf vertrauen, dass für die Daten keine Datenschutzvorgaben mehr gelten.
Gegen CNIL-Bußgelder ist der Rechtsweg grundsätzlich eröffnet und die Entscheidung damit nicht zwingend endgültig.
(Dr. Marian Klingebiel, UNVERZAGT Law)