Pseudonymisierung ist keine Anonymisierung: CNIL verhängt 5 Millionen Euro Bußgeld gegen IQVIA
09.07.2026
Zusammenfassung
Die französische Datenschutzbehörde CNIL hat im Mai 2026 ein Bußgeld von 5 Millionen Euro gegen IQVIA OPERATIONS FRANCE verhängt. Grundlage waren mehrere Verstöße im Umgang mit Gesundheitsdaten aus zwei behördlich genehmigten Datenspeichern: fehlende Transparenz gegenüber Betroffenen, unzureichende Sicherheitsmaßnahmen und eine Software, die Kundendaten trotz ausdrücklichen Widerspruchs übermittelte. Besondere Bedeutung hat die Entscheidung wegen der Frage, ob die verarbeiteten Daten als anonym oder lediglich als pseudonymisiert einzustufen sind und damit, ob die DS-GVO überhaupt Anwendung findet. Die CNIL bejaht dies entschieden und verdeutlicht, dass die Grundprinzipien auch bei komplexen Datenverarbeitungen nicht zur Disposition stehen.
5 Minuten Lesezeit
Im Mai 2026 hat die französische Datenschutzbehörde CNIL gegen IQVIA OPERATIONS FRANCE ein Bußgeld von 5 Millionen Euro verhängt. Der Fall betrifft den Umgang mit Gesundheitsdaten in zwei behördlich genehmigten Datenspeichern, die das Unternehmen für Studien im Auftrag von Pharmaunternehmen betreibt. Die Entscheidung ist aus mehreren Gründen datenschutzrechtlich bemerkenswert – nicht zuletzt, weil sie zeigt, dass die Aufsichtsbehörde trotz wachsender technischer und rechtlicher Komplexität die grundlegenden Pflichten des Datenschutzrechts konsequent einfordert.
Hintergrund: Gesundheitsdaten aus Apotheken und Arztpraxen
IQVIA OPERATIONS FRANCE ist eine Tochtergesellschaft der global tätigen IQVIA-Gruppe und bietet Beratungsleistungen sowie Studien für Pharmaunternehmen an. Für diese Zwecke betreibt das Unternehmen zwei von der CNIL genehmigte Gesundheitsdatenspeicher: den LRX-Speicher, der seit 2018 Daten aus rund 14.000 Apotheken erhält, und den EMR-Speicher, der seit 2021 Daten aus mehreren tausend Arztpraxen bezieht. Auslöser der behördlichen Untersuchung waren Beschwerden von Einzelpersonen und Verbänden, nachdem ein Bericht des Fernsehmagazins „Cash Investigation“ auf mangelnde Transparenz gegenüber Betroffenen hingewiesen hatte.
Pseudonymisierung ist keine Anonymisierung
Ein zentrales Argument IQVIAs im Sanktionsverfahren war, dass die in den Datenspeichern enthaltenen Daten vollständig anonymisiert seien und die DS-GVO daher keine Anwendung finde. Das Unternehmen stützte sich dabei auf ein Urteil des Europäischen Gerichtshofs vom 4. September 2025 sog. „SRB-Urteil“. Die Sanktionskammer der CNIL folgte dieser Einschätzung nicht.
Sie kam zu dem Schluss, dass die verarbeiteten Daten lediglich pseudonymisiert, nicht jedoch anonym sind. Ausschlaggebend war die Kombination mehrerer Faktoren: Jeder Patient ist in den Datenspeichern über einen eindeutigen Identifikator verknüpft, was eine lückenlose Nachverfolgung des Behandlungsverlaufs ermöglicht. Hinzu kommen umfangreiche Angaben wie Geburtsjahr, Geschlecht und behandelnder Arzt sowie – im EMR-Speicher – Familienstand, sozioökonomischer Status und zahlreiche Gesundheitsdetails wie Diagnosen, Allergien, Impfungen und Krankschreibungen. In Verbindung mit öffentlich zugänglichen Daten sei eine Reidentifikation mit realistischen Mitteln durchaus möglich. Damit liegen personenbezogene Daten im Sinne von Art. 4 Nr. 1 DS-GVO vor, und sämtliche datenschutzrechtlichen Pflichten gelten mithin uneingeschränkt. Diese Feststellung hat weit über den Einzelfall hinaus Bedeutung: Unternehmen, die mit vermeintlich anonymisierten Daten arbeiten, sollten diese Einstufung regelmäßig und kritisch überprüfen.
Die festgestellten Verstöße im Überblick
Die CNIL stellte mehrere konkrete Verstöße fest. Zunächst hielt IQVIA die Bedingungen der erteilten behördlichen Genehmigungen nicht ein – ein Verstoß gegen Art. 66 des französischen Datenschutzgesetzes (Loi Informatique et Libertés). Für beide Datenspeicher fehlte eine regelmäßige Analyse von Verbindungsprotokollen zur Erkennung ungewöhnlicher Aktivitäten; für den EMR-Speicher war zudem keine Mehrfaktorauthentifizierung für den Datenzugriff implementiert. Darüber hinaus wurden Verstöße gegen Art. 14 DS-GVO festgestellt, der die Informationspflicht bei nicht direkt beim Betroffenen erhobenen Daten regelt. Untersuchungen in vier Apotheken ergaben, dass keine von ihnen ihre Kunden darüber informiert hatte, dass deren Daten an IQVIA weitergegeben werden. Als Verantwortlicher im Sinne der DS-GVO trifft diese Pflicht IQVIA selbst – unabhängig davon, ob die Information faktisch durch Dritte wie Apotheker erteilt werden soll. Schließlich wurde ein Verstoß gegen Art. 25 DS-GVO festgestellt: Die in Apotheken eingesetzte Verwaltungssoftware übermittelte Kundendaten an IQVIA auch dann, wenn Betroffene einer Weitergabe ausdrücklich widersprochen hatten.
Praktische Konsequenzen für Unternehmen
Neben dem Bußgeld hat die CNIL Anordnungen erlassen, bestimmte Verstöße innerhalb von sechs Monaten zu beheben – bei Nichteinhaltung droht ein Zwangsgeld von 10.000 Euro pro Tag. Die Zahl der Betroffenen liegt im zweistelligen Millionenbereich und hat die Bußgeldhöhe maßgeblich beeinflusst.
Für Unternehmen, die mit Gesundheitsdaten arbeiten, lassen sich klare Schlussfolgerungen ziehen: Eine behördliche Genehmigung ist notwendig, aber nicht hinreichend. Entscheidend ist, dass die im laufenden Betrieb tatsächlich umgesetzten Maßnahmen mit den genehmigten Bedingungen übereinstimmen. Informationspflichten gegenüber Betroffenen müssen aktiv sichergestellt werden, auch wenn die eigentliche Kommunikation durch Dritte – etwa Apotheken oder Arztpraxen – erfolgt. Technische Systeme sind so zu gestalten, dass ein Widerspruch durch den Betroffenen zuverlässig zur Unterbindung der Datenübermittlung führt.
Rückbesinnung auf die Grundprinzipien
Was die Entscheidung der CNIL über den konkreten Fall hinaus auszeichnet, ist das klare Signal, das sie in einer zunehmend komplexen Datenschutzlandschaft setzt. Die durch jüngste EuGH-Rechtsprechung neu entfachte Diskussion um den Anonymisierungsbegriff birgt die Gefahr, dass Unternehmen versuchen, die Anwendbarkeit datenschutzrechtlicher Vorschriften durch technisch-juristische Argumentation in Frage zu stellen. Die CNIL stellt dem entgegen: Wer jahrelang behördliche Genehmigungen beantragt, Betroffenenrechte verwaltet und Datenschutzmaßnahmen dokumentiert hat, kann sich im Nachhinein nicht auf vollständige Anonymisierung berufen. Mindestens ebenso bedeutsam ist aber, dass die Behörde die festgestellten Verstöße – fehlende Transparenz, mangelhafte Sicherheitstechnik, ignorierte Widersprüche – nicht als Randprobleme behandelt, sondern als das, was sie sind: Verstöße gegen die Kernpflichten der DS-GVO. Transparenz, Zweckbindung, Datensicherheit und die Achtung von Betroffenenrechten sind keine bürokratischen Formalitäten, sondern das Fundament des europäischen Datenschutzrechts. Auch und gerade dann, wenn die rechtlichen und technischen Rahmenbedingungen komplexer werden, verlieren diese Grundprinzipien nicht an Geltung.
Fazit
Der IQVIA-Fall verdeutlicht exemplarisch: Genehmigungen schaffen einen Rahmen, aber keinen Freifahrtschein. Pseudonymisierung schützt nicht vor der Anwendung des Datenschutzrechts. Und Informationspflichten sind auch im mehrstufigen Datenfluss zwischen Verantwortlichen und beteiligten Dritten konsequent einzuhalten. Unternehmen, die ähnliche Datenverarbeitungen betreiben, sollten ihre Prozesse, technischen Maßnahmen und Informationskonzepte regelmäßig auf den Prüfstand stellen.
