CNIL, 26.05.2026 \u2013 SAN-2026-008 (IQVIA OPERATIONS FRANCE)<\/p>\n\n\n\n
Die franz\u00f6sische Datenschutzbeh\u00f6rde CNIL hat gegen das Gesundheitsdaten-Unternehmen IQVIA OPERATIONS FRANCE ein Bu\u00dfgeld von 5 Mio. \u20ac<\/strong> verh\u00e4ngt \u2013 vor allem, weil es beim Betrieb von Gesundheitsdaten-Warehouses Vorgaben zum Schutz der Betroffenen nicht eingehalten hat.<\/p>\n\n\n\n IQVIA erstellt Studien f\u00fcr Pharmaunternehmen und st\u00fctzte sich daf\u00fcr auf zwei Gesundheitsdaten-Warehouses (welche von der CNIL zuvor genehmigt waren) und mit Daten von rund 14.000 Apotheken und von mehreren tausend \u00c4rzten best\u00fcckt waren. Bei einer sp\u00e4teren Pr\u00fcfung stellte die CNIL fest, dass in der Praxis Vorgaben zur Information von Betroffenen, der Aus\u00fcbung von Betroffenenrechten und zur Datensicherheit nicht eingehalten wurden.<\/p>\n\n\n\n IQVIA ging davon aus, dass die Daten anonym seien und das Datenschutzrecht damit nicht anwendbar. Wichtigstes Argument hierf\u00fcr k\u00f6nnte das \u201eSRB“-Urteil des EuGH<\/strong>(04.09.2025, C-413\/23 P) sein. Dieses Urteil hatte den Personenbezug als relativ beschrieben: Dieselben pseudonymisierten Daten k\u00f6nnen danach f\u00fcr den Verantwortlichen, der den Schl\u00fcssel besitzt, personenbezogen sein w\u00e4hrend sie f\u00fcr einen Dritten, ohne Mittel zur Re-Identifizierung, dagegen anonym sein k\u00f6nnen.<\/p>\n\n\n\n Die CNIL sah dies hier jedoch nicht als gegeben an. Die Daten in den Warehouses seien nicht anonym, sondern nur pseudonym<\/strong>, weil eine Re-Identifizierung mit angemessenen Mitteln m\u00f6glich sei. Gegen eine ausreichende Anonymit\u00e4t sprachen laut der CNIL noch weitere Punkte: <\/p>\n\n\n\n Inhaltlich beanstandete die CNIL sodann verschiedene Sicherheitsm\u00e4ngel<\/strong> (z.T. keine regelm\u00e4\u00dfige Auswertung der Zugriffsprotokolle; keine Mehr-Faktor-Authentifizierung, eine fehlerhafte Patienteninformation und ein fehlendes Widerspruchsverfahren.) Teilweise kam hinzu, dass die Apotheken ihre Kunden nicht korrekt \u00fcber die Weitergabe an IQVIA informierten und dass die Apothekensoftware Patientendaten selbst ohne Zustimmung weiterleitete (Versto\u00df gegen Privacy by Design).<\/p>\n\n\n\n Die Sensibilit\u00e4t der Gesundheitsdaten und die Datenmenge spielte eine zentrale Rolle. Die CNIL betonte sie bei den Schutzanforderungen und zog sie ausdr\u00fccklich auch f\u00fcr die H\u00f6he des Bu\u00dfgeldes<\/strong> heran \u2013 neben der Zahl der Betroffenen (mehrere zehn Millionen), der Marktposition und der Finanzkraft des Unternehmens. Die Pseudonymisierung selbst wurde aber als mildernd angesehen, da damit immerhin eine direkte Identifizierung ausschied.<\/p>\n\n\n\n F\u00fcr Unternehmen im e-Health-Sektor bedeutet das<\/strong>, wenn pseudonymisierte (Gesundheits-)Daten in Data Warehouses, Real-World-Evidence-Produkten oder zum KI-Training genutzt werden, muss eine Anonymisierung detailliert gepr\u00fcft werden. Verantwortliche, die reichhaltige, l\u00e4ngsschnittf\u00e4hige Datens\u00e4tze mit eindeutigen Identifikatoren zusammenf\u00fchren, werden meist weiterhin mit re-identifizierbaren Daten zu tun haben. Hier werden Unternehmen nicht umhin kommen, die einzelnen Konstellationen auch nach den potentiellen Identifizierungsm\u00f6glichkeiten zu unterscheiden. Nur dann lie\u00dfe sich \u00fcberhaupt darauf vertrauen, dass f\u00fcr die Daten keine Datenschutzvorgaben mehr gelten.<\/p>\n\n\n\n Gegen CNIL-Bu\u00dfgelder ist der Rechtsweg grunds\u00e4tzlich er\u00f6ffnet und die Entscheidung damit nicht zwingend endg\u00fcltig.<\/p>\n\n\n\n (Dr. Marian Klingebiel, UNVERZAGT Law)<\/p>\n","protected":false},"excerpt":{"rendered":" CNIL, 26.05.2026 \u2013 SAN-2026-008 (IQVIA OPERATIONS FRANCE) Die franz\u00f6sische Datenschutzbeh\u00f6rde CNIL hat gegen das Gesundheitsdaten-Unternehmen IQVIA OPERATIONS FRANCE ein Bu\u00dfgeld von 5 Mio.<\/p>\n
Tragend daf\u00fcr waren drei Punkte: <\/p>\n\n\n\n