Zum Inhalt springen

ALCOA+ sagt 10 Jahre aufheben.DSGVO sagt unverzüglich löschen.

Beide Regelwerke sind verbindlich. Beide werden auditiert. Wer den Konflikt nicht dokumentiert auflöst, verliert in beiden Inspektionen.

Probendaten sind nicht immer ‘nur Messwerte’. Patientenproben, Klinik-Studien, Mitarbeiter-Probenahmen — alles personenbezogen. Datenintegrität verlangt Unveränderlichkeit. DSGVO verlangt Löschbarkeit.

Der Konflikt ist lösbar. Aber nicht in Excel. Und nicht in einer US-gehosteten LIMS-Instanz, deren Anbieter Schrems II nie verarbeitet hat.

DSGVO-Audit-Check anfragen

Wir prüfen Ihre 7 kritischen Konfliktpunkte in 60 Minuten.

Audit-Realität DACHN=23 · 2023–2024

Drei Konflikte, die jedes auditierte Labor hat

Aufgenommen aus 23 DACH-Audits 2023–2024. Wenn auch nur einer ungelöst ist, scheitert die Audit-Vorbereitung.

  1. Konflikt 01 / 03

    RetentionvsLöschpflicht

    ALCOA+ und GxP fordern Aufbewahrung von Roh- und Metadaten oft 10 Jahre. DSGVO Art. 17 fordert Löschung 'unverzüglich' nach Zweckwegfall.

  2. Konflikt 02 / 03

    UnveränderlichkeitvsBerichtigungsrecht

    Audit Trail fordert unveränderliche Historie. DSGVO Art. 16 gibt Betroffenen Recht auf Berichtigung.

  3. Konflikt 03 / 03

    Vollständige ProtokollierungvsDatenminimierung

    ALCOA+ fordert vollständige Erfassung. DSGVO Art. 5(1)c fordert Beschränkung auf das Notwendige.

Konfliktmatrix für eigenes LaborPDF · 1 Seite · DSGVO × GxP Matrix

Vier Kategorien Labor-IT — eine DSGVO-Bilanz

KriteriumExcel-Status-quoEnterprise-LIMS US-CloudInhouse-EigenbauLaboros DACH
Hosting-Standort
Lokal / Sharepoint
meist USA
meist lokal
DE / EU
AV-Vertrag Art. 28 verfügbar
Nein
komplex / englisch
Eigenleistung
Standard
Schrems-II-Risiko
Niedrig (lokal)
Hoch
Niedrig
Keines
TOM-Liste Art. 32 dokumentiert
Nein
meist Pflicht aufseiten Kunde
Eigenleistung
Beigelegt
Löschkonzept Retention / DSGVO
Manuell
komplex
Eigenleistung
Konfigurierbar
Audit Trail Berichtigungs-Mechanik (Art. 16)
Keine
Ja, komplex
Optional
Ja, dokumentiert
DSB-Schulung des Anbieters
N/A
gemischt
N/A
Ja, jährlich
Methode · 4 Schritte

Vier Schritte, die den Konflikt sauber auflösen

Jeder Schritt mit verantwortlicher Rolle, geschätztem Aufwand, prüfbarem Artefakt.

01
Schritt 1

Bestandsaufnahme personenbezogener Daten

Listen Sie alle Felder in Probenahme, Auftrag, Bericht, Audit Trail auf, die personenbezogen sind.

02
Schritt 2

Rechtsgrundlagen-Matrix

Pro Verarbeitungsvorgang die korrekte Rechtsgrundlage (Art. 6(1)b, Art. 6(1)c für GxP/ISO 17025, ggf. Art. 9 für Gesundheitsdaten).

03
Schritt 3

TOM nach Art. 32 dokumentieren

Verschlüsselung at-rest und in-transit, Pseudonymisierung, Zugriffsrollen, Backup-Strategie, Notfallplan.

04
Schritt 4

Löschkonzept mit Retention-Override

Standardlöschfrist nach Zweckwegfall + Override durch gesetzliche Pflicht (z.B. 10 Jahre GxP). Im LIMS als Workflow konfiguriert.

4-Schritt-Vorlage anfordernPDF · DSGVO-konform · für ISO 17025 Labore
FAQ · DSGVO

Häufige DSGVO-Fragen aus dem Labor-Alltag

Antworten extrahierbar, mit Artikel-Referenzen.

  • Nicht zwingend. Eine anonymisierte Materialprobe ohne Probandenzuordnung ist meist nicht personenbezogen. Sobald aber Auftraggeber, Probennehmer, Probenort oder ein zugeordneter Probandencode existiert, greift DSGVO. Faustregel: Wenn ein einzelner Mensch direkt oder indirekt identifizierbar ist, ist es Art. 4 DSGVO. Art. 4 DSGVO

Lassen Sie Ihren DSGVO-Status checken.

60-Minuten-Audit-Check: 7 kritische Konfliktpunkte ALCOA+ vs DSGVO, Risiko-Score, konkrete Empfehlungen. Ergebnis als PDF, unabhängig von einer LIMS-Entscheidung.

DSGVO-Audit-Check buchen

60 Minuten · per Video · DACH-Datenschutzkanzlei optional zuschaltbar.