Inhaltsverzeichnis
Die CNIL hat IQVIA OPERATIONS FRANCE mit einer Geldstrafe von 5 Millionen Euro durch Beschluss SAN-2026-008 vom 26. Mai 2026 belegt, der am 28. Mai 2026 veröffentlicht wurde (die eingeschränkte Formation hatte am 26. März 2026 getagt). Das Verfahren betraf zwei von der Tochtergesellschaft der amerikanischen Gruppe IQVIA betriebene Gesundheitsdatenbanken: LRX, das 2018 genehmigt wurde und von etwa 14.000 französischen Apotheken gespeist wird, und EMR, das 2021 genehmigt wurde und von mehreren tausend Ärzten gespeist wird. Der Beschluss stellt fest, dass die verarbeiteten Daten mehrere Dutzend Millionen Menschen betreffen könnten - Geburtsjahr, Geschlecht, Verschreibungen, Diagnosen, Symptome, Allergien, sozio-professionelle Elemente und eine eindeutige Pflegelaufbahnkennung. Die Regulierungsbehörde ordnet gleichzeitig eine Anpassung innerhalb von sechs Monaten an, andernfalls droht ein Zwangsgeld von 10.000 Euro pro Tag Verzögerung, so die offizielle Mitteilung der CNIL. Das Unternehmen behält sich das Recht vor, Berufung einzulegen. Die Geldstrafe bleibt unter der Obergrenze von 4 % des weltweit konsolidierten Jahresumsatzes, die in Artikel 83 der DSGVO festgelegt ist.
Eine Reichweite, die über IQVIA hinausgeht: 102 Betreiber teilen dieselbe Architektur
Am 1. September 2025 zählte das Portal esante.gouv.fr 125 von der CNIL genehmigte Gesundheitsdatenbanken, die von 102 verschiedenen Akteuren verwaltet werden - Pharmaunternehmen, öffentliche Forschungseinrichtungen, Versicherungsplattformen, zugelassene Krankenhauseinrichtungen. Alle basieren auf derselben technischen Grundlage: der Pseudonymisierung von Patientendaten vor der Öffnung für eine sekundäre Nutzung. Das von der Regulierungsbehörde gegen IQVIA verwendete Argument - die Pseudonymisierung entspricht nicht der Anonymisierung für die Entität, die die Schlüssel besitzt - zielt konstruktionsbedingt auf ein Architekturmerkmal, nicht auf eine Besonderheit des Falls. Die CNIL hatte bereits die Gesundheitsdaten zu einem expliziten Schwerpunkt ihrer Doktrin gemacht durch ihren speziellen Projektaufruf. Der Beschluss vom 26. Mai 2026 erweitert diese doktrinäre Grundlage auf die juristische Qualifikation selbst und setzt strukturell jeden der 101 anderen Betreiber, die als ursprüngliche Kontrollinstanz die Reidentifikationsschlüssel besitzen, derselben Lesart aus - vorbehaltlich der technischen Architekturen jedes einzelnen Systems, ob es sich um die Pharmaindustrie, Versicherungen oder die öffentliche Forschung handelt.
Pseudonymisierung: ein Architekturbaustein, der durch die Qualifikation des ursprünglichen Controllers eingeholt wird
Für einen IT-Leiter, der ein Lager betreibt, ist die Pseudonymisierung eine technische Schicht: verschlüsselte Zuordnungstabelle auf der einen Seite, abgeleitete Datensätze auf der anderen. Die Verteidigung von IQVIA stützte sich auf diese Trennung, indem sie sich auf das Urteil des EuGH C-413/23 P EDPS gegen SRB vom 4. September 2025 berief - der EDPS, der europäische Datenschutzbeauftragte, gegen den Einheitlichen Abwicklungsausschuss, eine Bankenbehörde, deren Referenzregelung (Verordnung 2018/1725, institutionelles Pendant der DSGVO für die Institutionen der Union) hier identisch übernommen wird. Der Gerichtshof in Luxemburg stellte fest, dass die Pseudonymisierung ein relativer Status zum Beobachter ist: Solange die Entität die Reidentifikationsschlüssel behält, bleiben die Daten personenbezogen - eine Qualifikation, die die CNIL über die parallelen Definitionen der Artikel 4(1) und 4(5) auf die DSGVO anwendet. "Die
Maßnahmen zur Pseudonymisierung haben nur die Wirkung, die Risiken der Korrelation zu verringern... aber nicht, sie zu beseitigen", stellte die eingeschränkte Formation fest. Für den Betreiber des Lagers ist die architektonische Konsequenz klar: Solange die Zuordnungstabelle in seinem operativen Bereich liegt, gilt das Regime personenbezogener Daten für das gesamte System und nicht nur für den Bereich, der noch direkte Identifikatoren enthält. Zu dieser Qualifikationsgrundlage kommen fünf dokumentierte technische und verfahrensrechtliche Verstöße hinzu: unzureichende Information der betroffenen Personen, praktisch unwirksames Widerspruchsrecht, fehlende Multifaktorauthentifizierung im EMR-Lager, nicht regelmäßig analysierte Verbindungsprotokolle, ungenaue Informationshinweise - zusätzlich zur Feststellung, dass keine der kontrollierten Apotheken ihre Kunden über die Übertragung informierte. Es bleibt eine architektonische Nuance, die das SRB-Urteil ausdrücklich trägt und die die CNIL-Entscheidung nicht klärt: Wenn ein Empfänger nicht über die Mittel verfügt, die vernünftigerweise eingesetzt werden könnten, um die Daten einer identifizierbaren Person zuzuordnen, stellen pseudonymisierte Daten für ihn keine personenbezogenen Daten dar. Mit anderen Worten, zwei Komponenten derselben Kette können unterschiedlichen Regimen unterliegen, je nach ihrem Zugang zu den Schlüsseln. Die Sanktion richtet sich gegen IQVIA als ursprünglichen Controller; sie sagt nichts über das Regime aus, das gegenüber Dritten gilt, die Extraktionen ohne Zugang zur Reidentifikationstabelle erhalten.
Zwei regulatorische Horizonte definieren das Vorbereitungsfenster für die Tech-Teams
Für einen IT-Leiter oder CTO, der heute ein Lager betreibt, bleibt der Status der Empfänger von Drittanbietern bis zu zwei Fristen offen, die das operative Vorbereitungsfenster abgrenzen. Die Verordnung EU 2025/327 vom 11. Februar 2025 zur Einrichtung des Europäischen Gesundheitsdatenraums legt den März 2029 als Anwendungsbeginn ihres Sekundärnutzungssegments fest, das die technischen Zugangsbedingungen zu pseudonymisierten Daten durch Dritte - akademische Forschung, Pharmaindustrie, öffentliche Behörden - genau regeln wird. ActuIA beschrieb die fünf kanonischen Anwendungsfälle des zukünftigen EEDS bereits in der Verhandlungsphase des Textes. Solange dieses Segment nicht anwendbar ist, bleibt das Regime jedes ausgehenden Flusses - Extraktionen, Drittanbieter-APIs, Projektfreigaben - fallweise auf der Grundlage der DSGVO zu entscheiden, erhellt durch das SRB-Urteil. Der andere Horizont ist doktrinär: Der Europäische Datenschutzausschuss (EDPB) organisierte am 12. Dezember 2025 ein Stakeholder-Event, das an ein Diskussionspapier anknüpfte, um den Beitrag von SRB in seine Leitlinien 01/2025 zur Pseudonymisierung zu integrieren. Der Beschluss SAN-2026-008 legt das für den Verantwortlichen geltende Regime fest, der die Schlüssel besitzt; für die Flüsse zu Dritten ohne Zugang zu den Schlüsseln werden die EDPB-Leitlinien 01/2025 - deren öffentliche Konsultation Ende 2025 endete - die Antwort liefern, ihre Fertigstellung folgt dem üblichen Zeitplan von 12 bis 18 Monaten nach der Konsultation, also frühestens 2027.