5 Millionen Euro gegen IQVIA, weil pseudonyme Gesundheitsdaten nicht anonym sind

von
Kurz erklärt: Die heutige CNIL-Sanktion gegen IQVIA ist keine normale Bußgeldmeldung aus dem Aufsichtskalender. Sie zeigt, dass pseudonymisierte Gesundheitsdaten für Aufsichtsbehörden gerade dann heikel bleiben, wenn Unternehmen sich wegen Datenmodellen, Einwilligungslogik und technischen Schutzmaßnahmen zu sicher fühlen.

Die französische Datenschutzaufsicht CNIL hat am 28. Mai eine Sanktion von 5 Millionen Euro gegen IQVIA OPERATIONS FRANCE veröffentlicht. Der Fall ist für DSGVOSCAN nicht nur wegen der Summe relevant. Laut CNIL geht es um zwei genehmigte Gesundheitsdaten-Entrepots, um Daten aus tausenden Apotheken und Arztpraxen, um mehrere Dutzend Millionen Betroffene und um genau die Frage, an der viele datengetriebene Gesundheitsprojekte sich gern entlasten: Reicht Pseudonymisierung schon aus, um aus einem hochsensiblen Datensatz praktisch einen neutralen Datenpool zu machen? Die französische Aufsicht beantwortet das heute sehr klar mit nein.

Die veröffentlichte CNIL-Mitteilung und die zeitgleich zugängliche Entscheidung SAN-2026-008 auf Légifrance machen den Fall belastbar. Die Behörde beschreibt, dass IQVIA Bedingungen aus früheren Genehmigungen nicht eingehalten habe. Im Mittelpunkt stehen Transparenz gegenüber Betroffenen, die tatsächliche Ausübung des Widerspruchsrechts und konkrete Sicherheitsmaßnahmen. Gerade deshalb taugt der Fall nicht nur als Nachricht über ein Bußgeld, sondern als operative Warnung für alle Organisationen, die Gesundheitsdatenbestände, Forschungsdatenräume, Analyseplattformen oder andere sensible Datensammlungen aufbauen.

Der heutige CNIL-Fall trifft genau den blinden Fleck vieler Health-Data-Projekte

Wie die CNIL mitteilt, stützt sich IQVIA in Frankreich auf zwei genehmigte Datenbestände im Gesundheitsbereich. Ein Entrepot wird mit Daten aus rund 14.000 Apotheken gespeist, ein weiteres mit Daten aus mehreren tausend Ärzten. Die Aufsicht erinnert ausdrücklich daran, dass sie diese Strukturen nur unter strengen Bedingungen zugelassen hatte, weil es sich um Gesundheitsdaten und damit um besonders sensible Informationen handelt. Auslöser der späteren Kontrollen waren Beschwerden von Einzelpersonen und Verbänden nach einer öffentlichen Berichterstattung über mangelnde Transparenz gegenüber Patientinnen und Patienten.

Entscheidend ist die Logik der Sanktion. Die CNIL sagt nicht nur, dass formale Texte irgendwo unvollständig waren. Sie beschreibt vielmehr eine Kette praktischer Schutzlücken. Nach den Kontrollen fehlten unter anderem regelmäßige Auswertungen von Verbindungsprotokollen, um ungewöhnliche Zugriffe zuverlässig zu erkennen. Für das Entrepot EMR war laut Behörde zudem keine Multi-Faktor-Authentifizierung umgesetzt. Hinzu kamen aus Sicht der Aufsicht unzutreffende Informationen in den Patientenhinweisen und ein Verfahren, mit dem Betroffene ihr Widerspruchsrecht nicht wirksam ausüben konnten. Für Unternehmen ist genau diese Kombination brisant: Datenschutz scheitert selten an nur einem einzigen Paragraphen, sondern häufig an mehreren kleinen Governance- und Umsetzungsfehlern, die zusammen erst sichtbar machen, dass das Kontrollsystem nicht trägt.

Besonders unangenehm ist außerdem der Maßstab der Behörde. Die CNIL betont die hohe Zahl betroffener Personen, die Marktstellung von IQVIA und die Sensibilität der Daten. Das ist ein Hinweis darauf, wie Aufsichten sensible Datensammlungen lesen: Nicht nur der einzelne technische Fehler zählt, sondern die Reichweite des Systems, die wirtschaftliche Bedeutung des Verantwortlichen und die Frage, wie viele Menschen einem nur scheinbar kontrollierten Datenmodell ausgesetzt sind.

Pseudonymisiert heißt nicht anonym und genau daran hängt heute der Kernfall

Im Sanktionsverfahren argumentierte IQVIA laut CNIL unter Verweis auf das sogenannte SRB-Urteil des EuGH aus dem September 2025, die Daten in den beiden Entrepots seien anonym, sodass Datenschutzrecht nicht mehr greife. Die Aufsicht hat genau das zurückgewiesen. Nach ihrer Einschätzung waren die Daten nicht anonym, sondern nur pseudonym. Reidentifizierung sei mit vernünftigen Mitteln weiterhin möglich gewesen.

Die Begründung ist für die Praxis wichtig, weil sie sehr konkret bleibt. Die Entscheidung verweist auf eindeutige Patientenkennungen, auf die große Tiefe der gespeicherten Informationen und auf die Möglichkeit, Datensätze mit öffentlich verfügbaren Informationen zu kombinieren. Gerade im Gesundheitsbereich reicht es eben nicht, Namen zu entfernen und danach von neutralen Daten zu sprechen. Wenn Geburtsjahr, Geschlecht, behandelnde Ärztinnen oder Ärzte, Verordnungen, Diagnosen, Allergien, familiäre Umstände oder andere Merkmale in einem zusammenhängenden Datensatz verbleiben, wird aus Pseudonymisierung schnell eher eine Erschwernis der direkten Zuordnung als echte Anonymität.

Für Unternehmen mit Forschungs-, Analyse- oder KI-Ambitionen ist das der härteste Teil der heutigen Botschaft. Viele Projekte werden intern noch immer mit der stillen Annahme verkauft, sensible Datensätze seien durch technische Maskierung schon weitgehend entschärft. Der CNIL-Fall zeigt das Gegenteil. Sobald dieselben Daten entlang eines stabilen Identifikators fortgeschrieben werden, sobald sie sehr tief in Lebens- und Behandlungssituationen hineinreichen und sobald zusätzliche externe Datenquellen eine Rückführung plausibel machen, bleibt das Datenschutzrecht mitten im System und nicht nur an dessen Rand.

Was Unternehmen aus dem IQVIA-Fall heute praktisch mitnehmen sollten

Die richtige Lehre aus dem heutigen Fall lautet deshalb nicht bloß: Gesundheitsdaten sind sensibel. Das weiß jedes Compliance-Team ohnehin. Wichtiger ist eine nüchternere Einsicht: Genehmigung, Pseudonymisierung und Standarddokumente ersetzen keine laufende Steuerung. Wer sensible Datenräume betreibt, muss prüfen, ob Informationspflichten tatsächlich bei den Betroffenen ankommen, ob Widerspruchs- und Auskunftsrechte praktisch funktionieren und ob Sicherheitskontrollen im Alltag nachweisbar greifen. Gerade bei indirekter Datenerhebung über Partner wie Apotheken, Praxen oder Plattformen reicht es nicht, Pflichten weiterzureichen und dann auf Vertragstexte zu vertrauen.

  • Prüfen Sie, ob Ihre Datenmodelle wirklich anonym sind oder nur pseudonym wirken, solange man sie isoliert betrachtet.
  • Kontrollieren Sie bei sensiblen Datenbeständen nicht nur den Zugriff, sondern auch die laufende Auswertung von Logs, Auffälligkeiten und Rechteänderungen.
  • Testen Sie Betroffenenrechte praktisch durch, statt nur Prozessdiagramme und Policies zu dokumentieren.

Der heutige CNIL-Fall gegen IQVIA ist damit mehr als eine französische Einzelfallmeldung. Er verdichtet an einem Tag mehrere operative Warnungen für den gesamten europäischen Markt: Gesundheitsdaten bleiben auch nach technischer Maskierung hochriskant, Genehmigungen sind keine Haftungsdecke, und Datenschutzaufsicht liest sensible Datenräume zunehmend als Governance-Frage mit echter Eingriffstiefe.

Bildquelle: Pexels

Quellen: CNIL, „Données de santé : sanction de 5 millions d’euros à l’encontre de la société IQVIA“; Légifrance, „Délibération SAN-2026-008 du 26 mai 2026“.

Eintrag teilen
E-Mail Xing LinkedIn

Abmahnschutz automatisiert

Ist Ihre Website
DSGVO-sicher?

Jetzt registrieren

Weitere News rund um DSGVO und Datenschutz

Alle Blog-Einträge ansehen