Bestandsaufnahme personenbezogener Daten
Listen Sie alle Felder in Probenahme, Auftrag, Bericht, Audit Trail auf, die personenbezogen sind.
Beide Regelwerke sind verbindlich. Beide werden auditiert. Wer den Konflikt nicht dokumentiert auflöst, verliert in beiden Inspektionen.
Probendaten sind nicht immer ‘nur Messwerte’. Patientenproben, Klinik-Studien, Mitarbeiter-Probenahmen — alles personenbezogen. Datenintegrität verlangt Unveränderlichkeit. DSGVO verlangt Löschbarkeit.
Der Konflikt ist lösbar. Aber nicht in Excel. Und nicht in einer US-gehosteten LIMS-Instanz, deren Anbieter Schrems II nie verarbeitet hat.
Wir prüfen Ihre 7 kritischen Konfliktpunkte in 60 Minuten.
Aufgenommen aus 23 DACH-Audits 2023–2024. Wenn auch nur einer ungelöst ist, scheitert die Audit-Vorbereitung.
ALCOA+ und GxP fordern Aufbewahrung von Roh- und Metadaten oft 10 Jahre. DSGVO Art. 17 fordert Löschung 'unverzüglich' nach Zweckwegfall.
Audit Trail fordert unveränderliche Historie. DSGVO Art. 16 gibt Betroffenen Recht auf Berichtigung.
ALCOA+ fordert vollständige Erfassung. DSGVO Art. 5(1)c fordert Beschränkung auf das Notwendige.
| Kriterium | Excel-Status-quo | Enterprise-LIMS US-Cloud | Inhouse-Eigenbau | Laboros DACH |
|---|---|---|---|---|
| Hosting-Standort | Lokal / Sharepoint | meist USA | meist lokal | DE / EU |
| AV-Vertrag Art. 28 verfügbar | Nein | komplex / englisch | Eigenleistung | Standard |
| Schrems-II-Risiko | Niedrig (lokal) | Hoch | Niedrig | Keines |
| TOM-Liste Art. 32 dokumentiert | Nein | meist Pflicht aufseiten Kunde | Eigenleistung | Beigelegt |
| Löschkonzept Retention / DSGVO | Manuell | komplex | Eigenleistung | Konfigurierbar |
| Audit Trail Berichtigungs-Mechanik (Art. 16) | Keine | Ja, komplex | Optional | Ja, dokumentiert |
| DSB-Schulung des Anbieters | N/A | gemischt | N/A | Ja, jährlich |
Jeder Schritt mit verantwortlicher Rolle, geschätztem Aufwand, prüfbarem Artefakt.
Listen Sie alle Felder in Probenahme, Auftrag, Bericht, Audit Trail auf, die personenbezogen sind.
Pro Verarbeitungsvorgang die korrekte Rechtsgrundlage (Art. 6(1)b, Art. 6(1)c für GxP/ISO 17025, ggf. Art. 9 für Gesundheitsdaten).
Verschlüsselung at-rest und in-transit, Pseudonymisierung, Zugriffsrollen, Backup-Strategie, Notfallplan.
Standardlöschfrist nach Zweckwegfall + Override durch gesetzliche Pflicht (z.B. 10 Jahre GxP). Im LIMS als Workflow konfiguriert.
Antworten extrahierbar, mit Artikel-Referenzen.
Nicht zwingend. Eine anonymisierte Materialprobe ohne Probandenzuordnung ist meist nicht personenbezogen. Sobald aber Auftraggeber, Probennehmer, Probenort oder ein zugeordneter Probandencode existiert, greift DSGVO. Faustregel: Wenn ein einzelner Mensch direkt oder indirekt identifizierbar ist, ist es Art. 4 DSGVO. Art. 4 DSGVO
Ja, sobald der Anbieter personenbezogene Daten in Ihrem Auftrag verarbeitet — was bei jedem Cloud-LIMS und vielen on-prem Wartungsverträgen der Fall ist. Pflicht nach Art. 28 DSGVO. Bei Laboros DACH liefern wir den AV-Vertrag als Standard mit; bei US-Cloud-LIMS prüfen Sie zusätzlich Schrems II. Art. 28 DSGVO
So lange wie die längste anwendbare Aufbewahrungspflicht (z.B. 10 Jahre nach §147 AO oder GxP-Richtlinien) — dann zwingend löschen. Die Rechtsgrundlage für die Speicherung ist Art. 6(1)c (gesetzliche Pflicht). Danach umzustellen auf Löschung nach Löschkonzept. Art. 6 DSGVO
Ja. Art. 13 DSGVO verlangt Information bei Erhebung. Üblicher Weg: Betriebsvereinbarung + Mitarbeiter-Information bei Onboarding + Aushang am Arbeitsplatz. Wichtig: Audit Trail ist keine Verhaltens-/Leistungskontrolle, sondern Compliance-Dokumentation — das sauber im Verarbeitungsverzeichnis trennen. Art. 13 DSGVO
Die Aufsichtsbehörde prüft Verarbeitungsverzeichnis, AV-Verträge, TOM-Liste, Löschkonzept, Mitarbeiterinformation. Der Aufwand-Unterschied: GxP/ISO 17025 prüft Daten-Lebenszyklus aus Qualitätssicht — DSGVO prüft denselben Lebenszyklus aus Betroffenenrechte-Sicht. Ein gutes LIMS liefert beide Sichten aus derselben Datenbasis. Art. 30 DSGVO
Wenn Ihr LIMS-Anbieter Daten in den USA verarbeitet oder ein US-Mutterkonzern Zugriff hat (CLOUD Act), müssen Sie zusätzliche TOM dokumentieren oder auf EU-Hosting wechseln. Risiko: Aufsichtsbehörde kann Datenverarbeitung untersagen. Laboros hostet ausschließlich in DE/EU, kein CLOUD-Act-Zugriff möglich. Art. 44 DSGVO
60-Minuten-Audit-Check: 7 kritische Konfliktpunkte ALCOA+ vs DSGVO, Risiko-Score, konkrete Empfehlungen. Ergebnis als PDF, unabhängig von einer LIMS-Entscheidung.
DSGVO-Audit-Check buchen60 Minuten · per Video · DACH-Datenschutzkanzlei optional zuschaltbar.