... ist eine Kunst, die niemand kann
Einer dieser Bereiche ist seit langem der Datenschutz, der spätestens seit dem Jahr 2018 mit dem "Scharfmachen" der Datenschutzgrundverordnung (DSGVO) in aller Munde ist und mit den horrenden Strafandrohungen für so manches graue Haar bei Unternehmensverantwortlichen gesorgt hat. Gut, bislang ist es in der Praxis nicht so dramatisch verlaufen und hohe Strafen waren seltene Ausnahmen.
Im Labor beziehungsweise beim Betrieb von Laborinformationssystemen (LIMS) war man hier ohnehin vergleichsweise wenig exponiert, wenn man z.B. an Onlineshops oder Ähnliches denkt. Bei LIMS betreffen die "personenbezogenen Daten" vor allem namentlich bekannte Personen von Kunden, mehr aber noch die eigenen Mitarbeiter. Die DSGVO schreibt - kurz zusammengefasst - vor allem vor, dass solche personenbezogenen Daten nur dann erfasst werden dürfen, wenn sie unbedingt notwendig sind und nach Ende dieser Notwendigkeit sofort gelöscht bzw. anonymisiert werden müssen.
Gerade (aber natürlich nicht nur) im Labor stehen diese Regeln aber weitgehend im Widerspruch zu Qualitäts- und Sicherheitsbestrebungen, die vielfach auch in rechtlichen Normen verankert sind. So zum Beispiel sieht das Konzept des "Audit Trails" vor, dass man auch noch nach langer Zeit das Zustandekommen der Daten im LIMS nachvollziehen können muss. Also zum Beispiel, wer, wann und aus welchem Grund einen Messwert erfasst bzw. geändert hat. Gleichzeitig fordert die DSGVO, dass zumindest das "wer" nur solange wie absolut notwendig gespeichert werden darf - ein klassisches Dilemma. Je nach Bereich gibt es vielfach unterschiedliche Mindestzeiträume, die man als Verantwortlicher erst einmal kennen muss.
Neben diesen Aufzeichnungen zum Laborbetrieb existieren aber - weniger bekannt, aber vielleicht noch kritischer - auch personenbezogene Daten innerhalb des LIMS bzw. Informationssystems ganz allgemein. Um Software- oder Datenbankprobleme leichter nachvollziehen (und lösen) zu können, ist es sehr hilfreich, alle Fehlermeldungen und andere Informationen nicht nur kurz am Bildschirm anzuzeigen, sondern auch in einer Protokolldatei oder Ähnlichem zu speichern. Damit lassen sich die jedem LIMS-Entwickler wohlbekannten Probleme (User X bekommt eine Fehlermeldung, klickt sie aber einfach weg, ohne sie überhaupt zu lesen - und beschwert sich wenig später, dass das LIMS Daten "verschlampt" hat) gut vermeiden.
Allerdings sind solche Datensätze - zumindest, wenn Datum/Zeit und Mitarbeiter mitgespeichert werden, was in der Praxis für eventuelle Rückfragen notwendig ist - zweifellos als personenbezogene Daten anzusehen. Schlimmer noch, man könnte solche Daten auch durchaus zu Ungunsten der Mitarbeiter auswerten, zum Beispiel um herauszufinden, welche Labormitarbeiter sich besonders geschickt anstellen - oder aber das Gegenteil.
Bei unserem Laborinformationssystem "uniLIME" werden diese Daten jedenfalls standardmäßig nicht gespeichert und die Funktion nur auf ausdrücklichen Wunsch (und Verantwortung) des Kunden aktiviert.
