Die französische Datenschutzaufsichtsbehörde CNIL hat gegen IQVIA Operations France eine Geldbuße in Höhe von fünf Millionen Euro verhängt.
Gegenstand der Entscheidung vom 26. Mai 2026 sind Verstöße gegen Art. 66 des französischen Informatik- und Freiheitsgesetzes sowie gegen Art. 14 und Art. 25 DSGVO. Im Zentrum steht die Einrichtung von zwei umfangreichen Gesundheitsdaten-Repositories, die der Auswertung von Versorgungsverläufen und Arzneimittelnutzung dienen. Die Entscheidung konkretisiert zentrale Maßstäbe für pseudonymisierte Gesundheitsdaten, Transparenzpflichten und Datenschutz durch Technikgestaltung.
Pseudonymisierung ist keine Anonymisierung
IQVIA berief sich darauf, dass die in den Repositories LRX (Longitudinal Prescription Data) und EMR (Electronic Medical Records) verarbeiteten Daten anonym seien. Die CNIL folgte dem nicht. Sie stellte vielmehr darauf ab, dass IQVIA nicht lediglich externer Empfänger pseudonymisierter Daten war, sondern als Verantwortlicher den Pseudonymisierungsprozess selbst konzipiert und kontrolliert hatte. Bereits dies spricht nach der Entscheidung gegen eine Gleichsetzung mit anonymen Daten. Zudem waren die Repositories auf eine longitudinale Zuordnung einzelner Personen angelegt, sodass die Datensätze zahlreiche Angaben mit Bezug zur Identifikation und Gesundheit enthielten. Das Repository LRX umfasste etwa Geburtsjahr, Geschlecht, Angaben zum verschreibenden Spezialisten sowie Verschreibungsinformationen.
Verantwortlichkeit entlang der gesamten Verarbeitungskette
Ein weiterer wesentlicher Punkt ist die Verantwortlichkeit von IQVIA. Die CNIL stellte fest, dass IQVIA für die Gesamtheit der Vorgänge bei der Errichtung des EMR-Repositories verantwortlich war, und zwar bereits ab der Erhebung der betroffenen Daten.
Maßgeblich war, dass IQVIA als Verantwortlicher Zwecke und Mittel bestimmte, insbesondere durch die Auswahl der Akteure und die Festlegung der Erhebungsmodalitäten. Auch hinsichtlich LRX hatte IQVIA im Rahmen einer Kontrolle selbst bestätigt, Verantwortlicher für das Repository und dessen Befüllung zu sein. Damit konnte sich das Unternehmen nicht darauf zurückziehen, dass einzelne Verarbeitungsschritte faktisch durch Apotheken, Ärzte oder Dritte vorgenommen wurden.
Informationspflichten und Privacy by Design
Die CNIL bejahte zudem einen Verstoß gegen Art. 14 DSGVO. Bei indirekter Datenerhebung muss der Verantwortliche betroffene Personen unter anderem über Identität, Kontaktdaten, Zwecke, Rechtsgrundlage, Datenkategorien und Empfänger informieren. Nach Auffassung der CNIL traf diese Pflicht IQVIA selbst. Dass Apotheken als Informationskanal vorgesehen waren, entlastete IQVIA nicht. Besonders gewichtig war, dass die fehlende Information dazu führte, dass Patienten von der Verarbeitung ihrer Gesundheitsdaten keine Kenntnis hatten und ihre Rechte faktisch nicht ausüben konnten.
Auch Art. 25 DSGVO war betroffen. Die CNIL beanstandete, dass Daten aus Apothekensoftware systematisch an einen ersten vertrauenswürdigen Dritten übermittelt wurden, selbst wenn Apotheken nicht am LRX-Panel teilnahmen. IQVIA hätte nach Ansicht der Behörde durch geeignete technische und organisatorische Maßnahmen sicherstellen müssen, dass standardmäßig nur die für den jeweiligen Zweck erforderlichen personenbezogenen Daten verarbeitet werden.
Fazit
Die Entscheidung ist ein Signal für datengetriebene Geschäftsmodelle im Gesundheitssektor. Pseudonymisierung bleibt ein wichtiges Schutzinstrument, ersetzt aber keine sorgfältige Prüfung des Personenbezuges. Wer Zweck, Mittel und technische Voraussetzungen bestimmt, bleibt Verantwortlicher. Transparente Information, strikte Zweckbindung sowie Privacy by Design und Privacy by Default sind gerade bei Gesundheitsdaten bußgeldrelevante Kernpflichten. Die CNIL hielt die Geldbuße von fünf Millionen Euro unter Berücksichtigung der Verantwortung von IQVIA, ihrer finanziellen Leistungsfähigkeit und der Kriterien des Art. 83 DSGVO für verhältnismäßig.
Bereit, die Verantwortung an einen externen Datenschutzbeauftragten zu übergeben?
Kontaktieren Sie uns noch heute, um zu erfahren, wie wir Ihr Unternehmen in Fragen des Datenschutzes und der Datenschutz-Compliance unterstützen können.










