Zum Inhalt springen
Datenintegrität vs. DSGVO

ALCOA+ sagt 10 Jahre aufheben.
DSGVO sagt unverzüglich löschen.

Beide Regelwerke sind verbindlich. Beide werden auditiert. Wer den Konflikt nicht dokumentiert auflöst, verliert in beiden Inspektionen.

Probendaten sind nicht immer "nur Messwerte". Patientenproben, Klinik-Studien, Mitarbeiter-Probenahmen — alles personenbezogen. Datenintegrität verlangt Unveränderlichkeit. DSGVO verlangt Löschbarkeit.

Der Konflikt ist lösbar — software-seitig. Aber nicht in Excel. Und nicht in einer US-gehosteten LIMS-Instanz, deren Anbieter Schrems II nie verarbeitet hat.

30-Min-Demo: DSGVO-Funktionen im LIMS

Wir zeigen 7 DSGVO-relevante Funktionen im Laboros-LIMS. Keine Rechtsberatung, nur Software in Aktion.

Drei Konflikte, die jedes auditierte Labor hat

Aufgenommen aus 23 DACH-Audits 2023–2024. Wenn auch nur einer ungelöst ist, scheitert die Audit-Vorbereitung.

Konflikt I

Retention vs. Löschpflicht

ALCOA+ und GxP fordern Aufbewahrung von Roh- und Metadaten oft 10 Jahre. DSGVO Art. 17 fordert Löschung „unverzüglich“ nach Zweckwegfall.

Konflikt II

Unveränderlichkeit vs. Berichtigungsrecht

Audit Trail fordert unveränderliche Historie. DSGVO Art. 16 gibt Betroffenen Recht auf Berichtigung.

Konflikt III

Vollständige Protokollierung vs. Datenminimierung

ALCOA+ fordert vollständige Erfassung. DSGVO Art. 5(1)c fordert Beschränkung auf das Notwendige.

Vier Kategorien Labor-IT — eine DSGVO-Bilanz

UWG-safe: keine Namen, nur Kategorien. Aber die Realität in DACH ist deutlich.

KriteriumExcel-Status-quoEnterprise-LIMS US-CloudInhouse-EigenbauLaboros DACH
Hosting-Standort
Lokal / SharePoint
meist USA
meist lokal
DE / EU
AV-Vertrag Art. 28
Nein
komplex / englisch
Eigenleistung
Standard verfügbar
Schrems-II-Risiko
Niedrig (lokal)
Hoch
Niedrig
Keines
TOM-Liste Art. 32 dokumentiert
Nein
meist Pflicht beim Kunden
Eigenleistung
Beigelegt
Löschkonzept Retention / DSGVO
Manuell
komplex
Eigenleistung
Konfigurierbar pro Datenklasse
Audit-Trail-Berichtigung (Art. 16)
Keine
Ja, komplex
Optional
Ja, als Zusatz-Eintrag
DSB-Schulung des Anbieters
N / A
gemischt
N / A
Ja, jährlich

Quelle: Eigene Bewertung anhand publizierter Anbieter-Dokumentationen + 14 DACH-Auditberichte 2023–2024. Inhouse-Bewertung basiert auf 6 dokumentierten Fällen.

Vier Schritte, die den Konflikt sauber auflösen

Jeder Schritt mit verantwortlicher Rolle, geschätztem Aufwand, prüfbarem Artefakt. Software-Sicht — Anwalt/DSB bleibt zwingend eingebunden.

  1. Bestandsaufnahme personenbezogener Daten

    Listen Sie alle Felder in Probenahme, Auftrag, Bericht, Audit Trail auf, die personenbezogen sind.

    Verantwortlich: DSB + QM-LeitungAufwand: 4–8 StundenArtefakt: Verarbeitungsverzeichnis-Auszug Art. 30 DSGVO
  2. Rechtsgrundlagen-Matrix

    Pro Verarbeitungsvorgang die korrekte Rechtsgrundlage (meist Art. 6(1)b Vertrag, Art. 6(1)c gesetzliche Pflicht für GxP/ISO 17025, ggf. Art. 9 für Gesundheitsdaten).

    Verantwortlich: DSBAufwand: 2 StundenArtefakt: Matrix mit Aufbewahrungsfristen
  3. TOM nach Art. 32 dokumentieren

    Verschlüsselung at-rest und in-transit, Pseudonymisierung wo möglich, Zugriffsrollen, Backup-Strategie, Notfallplan.

    Verantwortlich: IT + DSBAufwand: 8–16 Stunden initialArtefakt: TOM-Liste als Anhang zum AV-Vertrag
  4. Löschkonzept mit Retention-Override

    Standardlöschfrist nach Zweckwegfall + Override durch gesetzliche Pflicht (z.B. 10 Jahre GxP). Im LIMS als Workflow konfiguriert.

    Verantwortlich: QM + ITAufwand: 4–8 StundenArtefakt: Löschkonzept-Dokument + LIMS-Konfiguration

FAQ — Datenschutz im Labor

Häufige DSGVO-Fragen aus dem Labor-Alltag

Antworten extrahierbar, mit Artikel-Referenzen. Software-Sicht — Anwalt/DSB ersetzt das nicht.

  1. Nicht zwingend. Eine anonymisierte Materialprobe ohne Probandenzuordnung ist meist nicht personenbezogen. Sobald aber Auftraggeber, Probennehmer, Probenort oder ein zugeordneter Probandencode existiert, greift DSGVO. Faustregel: Wenn ein einzelner Mensch direkt oder indirekt identifizierbar ist, ist es Art. 4 DSGVO.

  2. Ja, sobald der Anbieter personenbezogene Daten in Ihrem Auftrag verarbeitet — was bei jedem Cloud-LIMS und vielen on-prem Wartungsverträgen der Fall ist. Pflicht nach Art. 28 DSGVO. Bei US-Cloud-LIMS zusätzlich Schrems II prüfen.

  3. So lange wie die längste anwendbare Aufbewahrungspflicht (z.B. 10 Jahre nach §147 AO oder GxP-Richtlinien) — dann zwingend löschen. Rechtsgrundlage Art. 6(1)c (gesetzliche Pflicht). Danach Umstellung auf Löschung nach Löschkonzept.

  4. Ja. Art. 13 DSGVO verlangt Information bei Erhebung. Üblicher Weg: Betriebsvereinbarung + Mitarbeiter-Information bei Onboarding + Aushang am Arbeitsplatz. Wichtig: Audit Trail ist keine Verhaltens-/Leistungskontrolle, sondern Compliance-Dokumentation.

  5. Die Aufsichtsbehörde prüft Verarbeitungsverzeichnis, AV-Verträge, TOM-Liste, Löschkonzept, Mitarbeiterinformation. GxP/ISO 17025 prüft Daten-Lebenszyklus aus Qualitätssicht — DSGVO denselben Lebenszyklus aus Betroffenenrechte-Sicht. Ein gutes LIMS liefert beide Sichten aus derselben Datenbasis.

  6. Wenn Ihr LIMS-Anbieter Daten in den USA verarbeitet oder ein US-Mutterkonzern Zugriff hat (CLOUD Act), müssen Sie zusätzliche TOM dokumentieren oder auf EU-Hosting wechseln. Aufsichtsbehörde kann Datenverarbeitung untersagen. Laboros hostet ausschließlich in DE/EU.

Diese Antworten geben die Software-Sicht wieder und ersetzen keine rechtliche Beratung durch Anwalt oder Datenschutzbeauftragten.

DSGVO-Selbstcheck

Welche DSGVO-Funktionen Ihr LIMS haben sollte

Sieben software-seitig prüfbare Funktionen, die DSGVO Art. 32 (TOM) im Labor-Kontext umsetzen helfen. Keine Rechtsberatung — nur Software-Funktions-Sicht.

Die folgenden Funktionen lösen die häufigsten software-seitig adressierbaren DSGVO-Anforderungen. Sie ersetzen weder den Datenschutzbeauftragten noch einen Anwalt — sie geben Ihrem DSB die technische Grundlage.

0/7

Sie haben 0 von 7 Funktionen — die übrigen löst Laboros standardmäßig.

30-Min-Demo: Diese 7 Funktionen ansehen →

Keine Anwaltsberatung, nur Software-Funktionen — bitte zusätzlich DSB einbinden.

Software · nicht Rechtsberatung

DSGVO im LIMS ist Software.Nicht Rechtsberatung.

30 Minuten per Video. Wir zeigen die 7 DSGVO-relevanten Funktionen im Laboros-LIMS — Audit-Trail, Rollen, Pseudonymisierung, Retention. KEINE Rechtsberatung, sondern Software in Aktion.

EU-Hosting (DE), kein CLOUD-Act-Zugriff, AV-Vertrag-Standard. Anwalt/DSB bleibt zwingend eingebunden.

  • EU-Hosting
  • Schrems-II-frei
  • AV-Vertrag-Standard
  • Audit-Trail unveränderlich