Gesundheitsdaten-Schutz, EDPB

Gesundheitsdaten-Schutz: EDPB verschärft Anonymisierungs-Regeln ab Juli

Veröffentlicht: 15.07.2026 um 16:57 Uhr, Redaktion boerse-global.de

Französische Behörde ahndet IQVIA mit Millionenbußgeld wegen unzureichendem Datenschutz bei Gesundheitsdaten.

IQVIA: Fünf Millionen Euro DSGVO-Strafe für Patientendaten
Ein abstraktes Bild, das den Fluss sensibler medizinischer Daten durch sichere digitale Pfade darstellt, mit einem Hauch der EU-Flagge. Illustration mit AI erstellt übermittelt durch boerse-global.de

Der Grund: Verstöße gegen die DSGVO bei der Verarbeitung von Patientendaten.

Die Geldstrafe in Höhe von fünf Millionen Euro traf IQVIA Operations France am 26. Mai. Im Fokus standen die beiden Daten-Repositories LRX und EMR. Die Behörde monierte gleich mehrere Verstöße – darunter unzureichende Informationspflichten und Verletzungen des Privacy-by-Design-Prinzips.

Der zentrale Kritikpunkt: Die angewandte Pseudonymisierung reichte nicht aus. Aus Sicht der Aufseher blieben die Daten rechtlich personenbezogen. Strengere Schutzmaßnahmen und klare Informationen für die Betroffenen wären nötig gewesen.

Neue Leitlinien für Anonymität

Der Fall kommt zu einem Zeitpunkt, an dem die europäischen Aufseher die Regeln für Gesundheitsdaten verschärfen. Der Europäische Datenschutzausschuss (EDPB) veröffentlichte am 7. Juli neue Leitlinien zur Anonymisierung.

Die Botschaft: Anonymität ist relativ. Dieselben Daten können für einen Verantwortlichen personenbezogen sein, für einen anderen aber anonym. Die Leitlinien, die bis Ende Oktober in der Konsultationsphase bleiben, unterscheiden zwei Verfahren – ein kontextuelles und ein vereinfachtes.

Für die IT-Branche besonders relevant: Unterauftragsverarbeiter können sich nicht mehr darauf berufen, dass ihnen der Entschlüsselungsschlüssel fehlt. Das allein macht Daten noch nicht anonym.

Anzeige

Bußgelder in Millionenhöhe zeigen, wie kritisch die korrekte Dokumentation aller Datenverarbeitungen nach der DSGVO für Unternehmen geworden ist. Diese kostenlose Excel-Vorlage hilft Ihnen dabei, Ihr Verarbeitungsverzeichnis rechtssicher und zeitsparend zu erstellen. Kostenlose Muster-Vorlage und Schritt-für-Schritt-Anleitung jetzt gratis herunterladen

KI-Training und Forschung unter Druck

Parallel zu den regulatorischen Verschärfungen geraten etablierte Anbieter wegen ihrer KI-Praktiken in die Kritik. Samsung Health musste in den vergangenen Tagen ein Pop-up-Fenster erklären, das Nutzer verunsichert hatte. Das Unternehmen betonte: Die Einwilligung zum KI-Training ist freiwillig und jederzeit widerrufbar.

Auch der Terminvermittler Doctolib steht in der Kritik. Anfang Juli startete das Unternehmen ein KI-Forschungslabor – in Kooperation mit den französischen Instituten Inria und Inserm. Das auf drei Jahre angelegte Projekt nutzt demografische und medizinische Daten. Kritiker bemängeln mangelnde Transparenz und ein Opt-out-Verfahren, das bei Daten Minderjähriger rechtlich fragwürdig ist.

Neue Gesetze, klare Grenzen

Das Bundeskabinett beriet am heutigen Dienstag über das neue Digitalgesetz für das Gesundheitswesen (GeDIG). Ziel: eine bessere Nutzbarkeit von Gesundheitsdaten durch engere Verknüpfung digitaler Infrastrukturen. Branchenverbände wie der Bitkom begleiten den Prozess und fordern eine effizientere Datennutzung für die medizinische Versorgung.

Anzeige

Neben der klassischen DSGVO stellen neue Regularien wie die EU-KI-Verordnung Unternehmen vor wachsende Herausforderungen bei der Datenverarbeitung. Ein kostenloser Umsetzungsleitfaden verschafft Ihnen jetzt den nötigen Überblick über alle neuen Pflichten, Risikoklassen und Fristen. EU AI Act in 5 Schritten verstehen: Fristen, Pflichten und Risikoklassen kompakt erklärt

Dass Datenschutzverstöße nicht nur Konzerne treffen, zeigt ein Urteil des Arbeitsgerichts Siegburg vom 22. Mai. Eine Ärztin muss 1.000 Euro Schadensersatz zahlen – weil sie Diagnosen eines Kollegen in einer WhatsApp-Gruppe teilte. Das Gericht sah einen klaren DSGVO-Verstoß und bejahte Wiederholungsgefahr.

Der Europäische Gerichtshof (EuGH) präzisierte am 14. Juli die Grenzen für die Veröffentlichung sensibler Daten. Im Fall von Dopingsündern urteilten die Richter: Namen und Sperrgründe sind grundsätzlich zulässig – aber keine spezifischen Gesundheitsdaten wie die genutzten Wirkstoffe. Eine Verhältnismäßigkeitsprüfung muss immer stattfinden.

Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.

de | wirtschaft | 69774212 |