Die Datenintegrität ist eine unverzichtbare Säule eines jeden GxP-Systems (Good Practices, insbesondere GMP, GLP, GCP), denn nur mit zuverlässigen, nachvollziehbaren und manipulationssicheren Daten können Produktsicherheit, Produktqualität und regulatorische Compliance sichergestellt werden. Fehlerhafte oder manipulierte Daten gefährden nicht nur Zulassungsprozesse und regulatorische Freigaben, sondern letztlich auch die Patientensicherheit und das Vertrauen in die pharmazeutische Industrie.
In jüngster Zeit haben Aufsichtsbehörden (FDA, EMA, PIC/S, MHRA, Swissmedic etc.) verstärkt darauf hingewiesen, dass Datenintegritätsverstöße zu schwerwiegenden Konsequenzen führen: Rückrufaktionen, Import- und Vertriebseinschränkungen, Form 483 / Warning Letters, Produktionsstopps, umfangreiche Korrektur- und Präventionsaufwände sowie Imageschäden [z. B. 41 Warning Letters allein 2016](astrixinc.com).
Dieser Artikel wendet sich an Fachleute aus Pharma- und Biotechunternehmen, die bereits über GxP-Grundkenntnisse verfügen und ihr Verständnis hinsichtlich der praktischen Umsetzung von Datenintegrität vertiefen möchten. Es folgt eine umfassende Darstellung der Schlüsselprinzipien, des Lifecycle-Ansatzes, praxisnaher Fallbeispiele und Handlungsempfehlungen.
Der FDA-Leitfaden „Data Integrity and Compliance with CGMP“ definiert Datenintegrität als die Vollständigkeit, Konsistenz und Genauigkeit von Daten über ihren gesamten Lebenszyklus hinweg.(U.S. Food and Drug Administration) In der Praxis wird das Akronym ALCOA (Attributable, Legible, Contemporaneous, Original, Accurate) oft verwendet, ergänzt um weitere Attribute – zunehmend als ALCOA+ / ALCOA++ / ALCOA-Plus-Prinzipien bezeichnet (z. B. Complete, Consistent, Enduring, Available, manchmal auch „+ / ++“ für zusätzliche Aspekte).(GMP Compliance)
Ein effizient implementiertes Datenintegritätskonzept dient mehreren Zielen:
Entscheidungsgrundlage: Nur mit verlässlichen Daten können Qualitätsentscheidungen, Freigaben, Abweichungsanalysen und CAPA-Maßnahmen fundiert getroffen werden.
Regulatorisches Vertrauen: Behörden verlassen sich auf die Echtheit und Nachvollziehbarkeit der übermittelten Daten.
Patientensicherheit und Produktsicherheit: Fehlerhafte Daten können zur Zulassung mangelhafter Produkte führen oder Rückrufe verzögern bzw. verhindern.
Finanzielle Risiken: Kosten durch Rückrufe, Nacharbeit, Inspektionen, Verzögerungen, Produktionsstopps und Reputationsverlust.
Die FDA hat mit ihrem „Data Integrity and Compliance with Drug CGMP – Q&A“ (2018) ihre Haltung klargestellt. Dort werden Anforderungen an Audit Trails, Metadaten, Zugangskontrollen, systematische Überprüfung von Änderungsprotokollen sowie das Verbot gemeinsam genutzter Login-Konten erläutert.(U.S. Food and Drug Administration) Weitere neuere Entwürfe adressieren spezifisch Datenintegritätsaspekte in Bioverfügbarkeits- oder Bioäquivalenzstudien.(Morgan Lewis) Warnbriefe im GMP-Umfeld enthalten zunehmend explizite Mängel in der Datenintegrität.(astrixinc.com)
Des Weiteren ist für elektronische Aufzeichnungen und Unterschriften 21 CFR Part 11 relevant, welche Kriterien festlegt, unter denen elektronische Aufzeichnungen und Signaturen gleichwertig mit Papierakten akzeptiert werden.(Wikipedia) Regelungen zu Validierung, Audit Trails, Sicherheit und Nachvollziehbarkeit fließen in diesen Rahmen ein.
In Europa wird die Datenintegrität primär über den EU-GMP-Leitfaden (EudraLex Volume 4, insbesondere Kapitel 4 zur Dokumentation, Annex 11 zu computergestützten Systemen) und ergänzende Q&A-Dokumente der EMA behandelt.(European Medicines Agency (EMA)) Die EMA betont, dass Datenintegrität als „Schlüssel zum Gesundheitsschutz“ gilt, da durch Daten überprüft wird, ob ein Produkt qualitativ einwandfrei ist.(European Medicines Agency (EMA)) Das PIC/S-Dokument „Good Practices for Data Management and Integrity in regulated GMP/GDP environments (PI 041-1)“ ergänzt mit konkreten Anforderungen und Best Practices.(picscheme.org) Zudem werden laufend Q&A-Dokumente und Interpretationen veröffentlicht, etwa zu Outsourcing, Cloud-Systemen und Dokumentationsanforderungen.(European Medicines Agency (EMA)) Die EMA ist aktuell dabei, Kapitel 4 des GMP-Leitfadens zu überarbeiten, was neue Anforderungen bzgl. Datenintegrität, Outsourcing und Dokumentationspflichten einbringen könnte.(GMP Compliance)
National ist die Swissmedic für die Schweiz zuständig; dort gelten grundsätzlich die gleichen Anforderungen wie in der EU (über Harmonisierung), mit der Erwartung, dass Unternehmen Datenintegrität robust umsetzen. Weitere Behörden wie die MHRA (UK) haben eigene GxP Data Integrity Guidance veröffentlicht und berichten regelmäßig über kritische Trends.(PharmTech) Auch WHO-Richtlinien sehen Datenintegrität als integralen Bestandteil der Qualitätskontrolle und -sicherung in pharmazeutischer Fertigung. (WHO Guidelines werden in diversen Literaturwerken und GMP-Fachkreisen referenziert.)
Nachfolgend werden die zentralen Attribute eines datenintegren Systems detailliert beleuchtet:
Jede Dateneingabe oder -änderung muss eindeutig auf eine Person (oder System) zurückgeführt werden können – idealerweise mit Zeitstempel, Benutzer-ID und Funktion.
Bei manuellen Einträgen bedeutet dies: Unterschrift, Datum, ggf. Uhrzeit, Position oder Rolle.
Bei elektronischen Systemen: klare Benutzeranmeldung (kein Shared-Login), erzwungene Passwortrichtlinien, Rollen- und Rechtemanagement.
Änderungen müssen über Audit Trails nachvollziehbar
sein – wer hat wann und warum was geändert.
Dies verhindert z. B. das sogenannte „Backdating“ oder
das nachträgliche Ändern von Rohdaten ohne
Dokumentation.
Daten müssen lesbar und verständlich sein.
Bei handschriftlichen Aufzeichnungen: klare, dauerhafte Schrift, keine Bleistiftnotizen, keine Durchstreichungen ohne Angabe.
Bei elektronischen Daten: klare Struktur, eindeutige Formatierung, reproduzierbare Ansichten – auch bei Exporten.
Metadaten (z. B. Zeitstempel, Änderungsnotizen) müssen erhalten bleiben und lesbar sein.
Daten müssen während der Tätigkeit oder unmittelbar danach erfasst werden, nicht erst später.
Ein häufiges Defizit ist, dass ein Prüfingenieur Ergebnisse zunächst notiert, dann später ins System überträgt – das öffnet Tür und Tor für Fehler und Manipulation.
Der FDA-Leitfaden verlangt, dass Dateneingaben möglichst zeitnah erfolgen und dass Verzögerungen begründet und dokumentiert sein müssen.(U.S. Food and Drug Administration)
Die Datenquelle (Rohdaten) oder eine verifizierte (authentische) Kopie ist zu bewahren.
Bei Messgeräten oder Analysesystemen: Ausgabe von Rohdaten (z. B. chromatographische Rohkurven) muss erhalten bleiben.
Bei Papierunterlagen: Originale oder zertifizierte Kopien, niemals nur Abschriften.
Beispiel: Ein HPLC-System darf die originalen Rohchromatogramme nicht löschen oder überschreiben – Änderungen müssen protokolliert werden.
Die Daten müssen korrekt, plausibel und überprüfbar sein.
Eingabefehler, Rundungsfehler oder Umrechungsfehler sind zu vermeiden, durch Plausibilitätsprüfungen bzw. Validierung.
Prüfmethoden und Algorithmen (z. B. Kalibrierung) müssen verifiziert werden, und Abweichungen dokumentiert und untersucht werden.
Cross-Checks, Peer Review oder automatisierte Validierungen helfen, Fehler zu erkennen.
Ausgehend von ALCOA haben sich in der Praxis zusätzliche Eigenschaften etabliert:
| Zusatzprinzip | Bedeutung / Anforderung |
|---|---|
| Complete (vollständig) | Alle Rohdaten, Metadaten, Änderungsprotokolle und Berechnungen müssen enthalten sein; nichts darf ausgespart sein. |
| Consistent | Konsistenz über Versionen, Überarbeitungen und Formate hinweg – keine widersprüchlichen Versionen. |
| Enduring / Enduringness | Daten müssen über die gesamte erforderliche Aufbewahrungsdauer lesbar bzw. verfügbar bleiben. |
| Available / Accessibility | Daten müssen während dieses Zeitraums zugänglich sein – z. B. bei Audits oder Inspektionen. |
| Plus (++): Purpose, Traceability etc. | Manche Interpretationen betonen zusätzlich Zweckbindung, Transparenz, Rückverfolgbarkeit über System-Grenzen etc.(GMP Compliance) |
Diese erweiterten Prinzipien helfen dabei, auch moderne Risiken (z. B. Datenmigration, Systemwechsel, Cloud-Nutzung) adäquat zu adressieren.
Datenintegrität ist nicht auf einzelne Systeme beschränkt, sondern muss entlang des gesamten Datenlebenszyklus sichergestellt werden:
Erfassung / Generierung: z. B. analytische Messung, manuelle Einträge, Messgeräte.
Verarbeitung / Umwandlung: z. B. Berechnungen, Formeln, Datenkonvertierung.
Speicherung / Archivierung (interim und langfristig): Datenbanken, Filesysteme, Backups, Archivsysteme.
Abruf / Nutzung: Reports, Review, Freigaben, Datenexport.
Änderung / Revision: Änderungsprozesse, Versionierung, Change Control.
Sicherung / Schutz: Zugriffskontrollen, Backup- und Disaster-Recovery-Maßnahmen, Verschlüsselung, Integritätsprüfungen.
Aufbewahrung / Archivierung (Retention): Dauer der Datenverfügbarkeit, Migrationsstrategien bei Systemwechseln.
Entsorgung / Löschung: Daten löschen oder anonymisieren gemäß Richtlinien, unter Beachtung regulatorischer Anforderungen.
Bei jedem Schritt sind Risiken zu identifizieren (Risk Assessment), Kontrollmaßnahmen zu implementieren und eine durchgängige Nachvollziehbarkeit (Audit Trail, Protokollierung) sicherzustellen.
Ein praktischer Ansatz ist das Risikobasierte Datenintegritätsmanagement (Data Integrity Risk Management), bei dem Systeme, Daten und Prozesse nach ihrem Einfluss auf die Produktqualität und Patientensicherheit priorisiert werden (kritische vs. nicht-kritische Daten) – dieses Konzept wird u. a. im PIC/S-Leitfaden betont.(picscheme.org)
Typische Ursachen für Datenintegritätsprobleme umfassen:
Gemeinsame Logins / Shared Accounts: Mitarbeiter nutzen denselben Zugang ohne individuelle Zurechenbarkeit.
Manuelle Nachtragungen / verspätete Eingaben: Daten werden erst später übertragen, mit Risiko für Fehler oder Manipulation.
Unzureichende Audit Trails / fehlende Überwachung: Änderungen werden nicht protokolliert oder kontrolliert.
Automatisches Überschreiben von Rohdaten: Bei Geräten, die Standardmäßig alte Daten löschen.
Fehlerhafte Datenmigration / Konvertierung: Bei Systemwechseln Datenverluste oder Inkonsistenzen.
Fehlende Backups oder schlechte Archivierung: Daten gehen verloren, sind nicht abrufbar.
Fehlende oder schlechte Change Control / Korrekturanmerkungen: Änderungen werden nicht sachgerecht dokumentiert.
Unzureichendes Benutzer- und Rechtemanagement: Zu weitreichende Rechte, insbesondere Edit-/Delete-Rechte.
Lückenhafte Schulung / Qualitätskultur: Mitarbeiter sind sich der Risiken nicht bewusst; Druck, Ergebnisse „schönzurechnen“.
Outsourcing-Risiken: Bei externen Laboren fehlt die Kontrolle über deren Datenintegritätssysteme.
Ein Beispiel aus der Literatur: Temperatur- und Feuchtigkeitsdaten von Lagerräumen oder Kühlketten – viele Firmen speichern nur zusammengefasste Mittelwerte statt der vollständigen Rohdaten. Werden dann einzelne Ausreißer „weggelassen“, betrifft dies die Integrität.(leading-minds-network.com)
Ein weiteres häufiges Versagen: „Cherry-Picking“ von Laborergebnissen, d.h. nur positive Resultate werden gemeldet, während negative oder abweichende Messungen unterdrückt oder gelöscht werden.(leading-minds-network.com)
Im Jahr 2024 hat die FDA zwei chinesische Labore schwer sanktioniert (Mid-Link Testing und Suzhou Institute) wegen systematischer Fälschungen, Kopieren und Datenmanipulation im Kontext von Zulassungsstudien (z. B. Tierversuche).(U.S. Food and Drug Administration) Die FDA erklärte, dass alle Daten dieser Labore vorerst ungültig seien, bis eine vollständige Aufklärung erfolge.
In der Vergangenheit wurden auch zahlreiche GMP-Warnbriefe (Warning Letters) in der pharmazeutischen Industrie erteilt, in denen Datenintegritätsdefizite eine zentrale Rolle spielten. In manchen Fällen mussten Unternehmen ganze Produktlinien zurückrufen oder Importgenehmigungen entzogen werden.(astrixinc.com)
Beispiel: Ein Inspektor stellt fest, dass in einem HPLC-System der digitale Audit Trail deaktiviert war und Ergebnisse nachträglich überschrieben wurden – ohne jede Logdatei oder Änderungsprotokoll. In der Antwort musste das Unternehmen nicht nur Ursachenanalyse, CAPA, Systemüberarbeitung und erneute Validierung nachweisen, sondern auch Teile der analytischen Daten neu erheben, was zu erheblichen Verzögerungen und finanziellen Mehrkosten führte.
Angenommen eine Firma migriert von einem alten Labor-Informations-Management-System (LIMS) in eine moderne Cloud-basierte Lösung. Während der Migration werden CSV-Exporte und Importe erstellt. Wenn Metadaten (z. B. Änderungsvermerke, Audit-Trail-Historie, Zeitstempel) nicht vollständig mitübertragen oder übersetzt werden, entsteht ein Integritätsbruch. So kann ein Datensatz aussehen wie aus neuer Quelle, obwohl er bearbeitet oder anonymisiert ist. Wenn dies nicht erkannt wird, kann ein Audit oder Inspektion zu erheblichen Beanstandungen führen.
Ein weiteres Problem: Cloud-Dienste, bei denen Backups oder Replikationen asynchron und ohne konsistente Sperrmechanismen erfolgen, können zu Dateninkonsistenzen zwischen Primär- und Sekundärsystemen führen – z. B. unterschiedliche Versionen desselben Datensatzes.
Viele moderne Analysegeräte (z. B. Spektrometer, Chromatographen, FTIR) generieren dynamische Datensätze, die nach Analyseprozess (Neuverarbeitung, Glättung etc.) aktualisiert werden. Wenn das System nicht korrekt so konfiguriert ist, dass jede Modifikation protokolliert wird (mit Audit-Trail), oder wenn nachträgliche Änderungen möglich sind, besteht Gefahr der Datenverfälschung. Die FDA verlangt explizit, dass jede Änderung, auch nachträgliche Verarbeitung, nachvollziehbar bleibt.(U.S. Food and Drug Administration)
Ein praktischer Fehlerfall: Ein Nutzer hebt in einem Spektrometer-Datenfile peinlich unpassende Peaks auf – löscht sie oder glättet sie ohne nachvollziehbaren Kommentar. Da Audits nicht vollständig geprüft wurden, bleibt dies unentdeckt und es entsteht ein signifikanter Gewichtsfehler in der quantitativen Analyse mit Einfluss auf die Produktqualität.
Top-Down-Verpflichtung: Management muss klar machen, dass Datenintegrität ein strategisches Ziel ist. Gemäß EMA ist die Verantwortung für Datenintegrität in der Qualitätspolitik und Organisationsstruktur fest zu verankern.(rx-360.org)
Policy & Standard Operating Procedures (SOPs): Eine explizite Datenintegritätspolitik sollte definiert sein, mit klaren Anforderungen an papierbasierte wie elektronische Systeme.
Risikomanagement: System-, Prozess- und Datenrisiken sind zu bewerten (z. B. mittels FMEA), und geeignete Kontrollen zu implementieren (z. B. für kritische Daten).
Schulungen & Bewusstseinsbildung: Regelmäßige Schulungen, Szenariotraining („Was, wenn ich ein Ergebnis korrigieren müsste?“), Sensibilisierung für Konsequenzen von Datenmanipulation.
Qualitätsüberwachung / interne Audits: Datenintegrität muss Bestandteil der QM-Audits sein, inklusive periodic Review von Audit Trails, Datenmigrationen, Systemwechseln.
CAPA-Prozesse: Jede Abweichung von Datenintegritätsanforderungen muss in CAPA-System integriert werden.
Jedes computergestützte System mit GxP-Daten muss ordnungsgemäß validiert werden (Validierungsplan, Funktionale Spezifikationen, Testprotokolle, Abnahme, Wartung).
Rollen- und Berechtigungsmanagement: Nur autorisierte Rollen dürfen Daten lesen, schreiben, ändern, löschen.
Audit Trails: System muss automatisch Protokolle aller Änderungen führen (wer, wann, was, vorherige Werte). Audit-Trail-Daten dürfen nicht manipulierbar sein.
Systemintegrität prüfen: Checksummen, Hash-Funktionen, Datenintegritätstests, Alarmmechanismen bei Unregelmäßigkeiten.
Backup-Management & Wiederherstellungsstrategie: Regelmäßige Sicherungen, isolierte Archivsysteme, Verifikation von Backups.
Zeitstempel-Synchronisation: Alle Systeme müssen auf eine zuverlässige, gesicherte Zeitquelle (z. B. NTP-Server) synchronisiert werden, damit Zeitdaten konsistent sind.
Schnittstellenkontrollen (Interface Management): Wenn Daten zwischen Systemen (z. B. MES → LIMS → ERP) übertragen werden, müssen Schnittstellen validiert, protokolliert und geprüft sein.
Datenverschlüsselung / Zugriffsschutz: Insbesondere bei Cloud- oder extern gehosteten Systemen sind Verschlüsselung, Intrusion Detection, Netzwerksegmentierung relevant.
Segregation of Duties (Trennung der Funktionen): Verantwortlichkeiten für Datenerzeugung, Prüfung, Freigabe sollten organisatorisch getrennt sein, um Interessenkonflikte zu vermeiden.
Periodic Review / Data Review: Regelmäßige Überprüfung von Audit Trails, Änderungsprotokollen, Systemberichten durch qualifiziertes Personal.
Change Control und Revision: Jede Änderung am Datenerzeugungssystem muss über Change Control, Impact Assessment und Re-Validierung gesteuert werden.
Trendanalysen / KPI-Monitoring: Monitoring von Anomalien, Ausreißern, unplausiblen Verteilungen; Alarmmechanismen bei Abweichungen.
Trend-Audit-Trail-Analyse: Automatisierte Analyse von Audit Trail-Statistiken, z. B. ungewöhnlich viele Änderungen oder Löschvorgänge.
Inspektionsbereitschaft / Audit-Trail-Verfügbarkeit: Systeme müssen so gestaltet sein, dass Behörden jederzeit direkten Zugang zu Audit-Trail und Rohdaten haben (z. B. durch Exportfunktionen).
Kontinuierliche Verbesserung: Erkenntnisse aus Abweichungen, Audits und Inspektionen müssen in Verbesserungsprozesse überführt werden.
Vertragliche Vereinbarungen: Verträge mit externen Dienstleistern (z. B. Analyselabore, CROs) müssen klare Anforderungen an Datenintegrität enthalten (z. B. Audit-Trails, Zugriff, Metadaten, Systemvalidierung).
Qualifizierung von Dienstleistern: Vorab-Audit, technische Due Diligence, Inspektionshistorie.
Remote-Audit / Datenzugriff: Vereinbarte Möglichkeiten, Audit Trails und Originaldaten einzusehen oder zu exportieren.
Kontrolle von Sub-Contractoren: Sicherstellen, dass auch rückgelagerte Lieferanten die gleichen Standards einhalten.
Monitoring und Performance KPIs: SLAs zur Datenintegrität, Stichprobenprüfungen und Follow-up-Audits.
Robustes regulatorisches Standing: Weniger Inspektionsmängel, schnellere Zulassungsprozesse, höhere Akzeptanz.
Verlässliche Entscheidungsprozesse: Qualitätsteams können sich auf Daten verlassen, weniger Reklamationen, bessere Prozessoptimierung.
Risikoreduktion: Frühes Erkennen von Anomalien und Betrug verhindert schwerwiegende Folgen.
Wettbewerbsvorteil / Reputationsgewinn: Firmen mit Reputation für saubere Dokumentation sind vertrauenswürdiger.
Langfristige Kosteneinsparung: Trotz anfänglicher Investitionen können Kosten durch Rückrufe, Inspektionen, Retrospektiven reduziert werden.
Investitionsbedarf: Validierungskosten, Systemumbauten, Schulungen, Audit-Infrastruktur erfordern signifikante Ressourcen.
Legacy-Systeme und Altdaten: Insbesondere bei älteren Systemen oder historischer Daten müssen Übergangsstrategien entwickelt werden.
Change-Management und Widerstand: Mitarbeiter müssen Gewohnheiten ändern; Druck („wir machen schnell“) kann zu Umgehungen verleiten.
Komplexität im Multi-System-Umfeld: Datenflüsse über MES, LIMS, ERP, Instrumentensoftware, Laborgeräte usw. erschweren konsistentes Integritätsmanagement.
Cloud-Modelle und Outsourcing: Verantwortungsteilung und Transparenz über Datenhaltung im Rechenzentrum, Verschlüsselung, Datenschutz.
Migration und Systemwechsel: Datenverlust, Inkonsistenzen und Metadatenverlust sind hohe Risiken.
Kompromisse bei Timelines: Insbesondere in Zulassungs- oder Prozessvalidierungsphasen kann Druck entstehen, Datenintegritätskontrollen zu minimieren – dies erhöht das Risiko.
Die Herausforderung liegt also darin, Qualität, Integrität und Time-to-Market in Einklang zu bringen. Es ist eine strategische Entscheidung, ausreichende Ressourcen für Datenintegrität frühzeitig zu investieren, um spätere Kosten und Verzögerungen zu vermeiden.
Status-Analyse / Gap Assessment
Identifikation aller Systeme und Prozesse mit GxP-Relevanz
Bewertung gegen ALCOA+ und regulatorische Anforderungen
Risikoklassifizierung (kritisch vs. weniger kritisch)
Risikobasierte Priorisierung und Maßnahmenplanung
Fokus auf Hochrisikobereiche (z. B. QC-Labore, GMP-Messsysteme, Schnittstellen)
Definition von Kontrollen, technischen Maßnahmen und Schulungsbedarf
Entwicklung einer zentralen Datenintegrität-Policy
Definition von Verantwortlichkeiten
Vorgaben für klassische wie elektronische Systeme
Eskalationsmechanismen bei Verstößen
Systemvalidierung / Neu- oder Umgestaltung von Systemen
Planung mit dedizierten Anforderungen zur Datenintegrität
Integration von Audit Trails, Rollen- und Rechtemanagement, Zeitstempel-Synchronisation
Testfälle für Änderungsprotokolle, Schnittstellen, negative Szenarien
Migration und Datenübernahme
Sorgfältige Planung, Mapping und Verifikation der Metadaten
Parallelbetrieb und Plausibilitätsvergleiche
Dokumentierte Abgleichs- und Verifikationsprozesse
Schulung & Qualifizierung der Mitarbeiter
Prozess- und Systemschulungen
Fallbasierte Trainings, Sensibilisierung für Integritätsrisiken
E-Learning, Tests und Auffrischungen
Betreiben, Überwachen und Review
Implementierung von KPI-Monitoring und Audit-Trail-Überwachung
Regelmäßige Audits, interne Reviews
Trendanalysen, Anomalie-Detektion, automatisierte Alerts
CAPA und kontinuierliche Verbesserung
Jede Abweichung wird systematisch untersucht
Ursachenanalyse, Umsetzung von Korrektur- und Präventivmaßnahmen
Lessons Learned in Policy/Prozesse einfließen lassen
Inspektionsvorbereitung und Compliance-Readiness
Periodische Mock-Inspektionen bzgl. Datenintegrität
Verfügbarkeit von Audit Trails, Exportfunktionen, Zugriffskontrolle
Dokumentierte Nachweise und Routinen zur Offenlegung gegenüber Behörden
Innovation & Weiterentwicklung
Einsatz von automatisierter Audit-Trail-Analyse (z. B. KI-basierte Anomaliedetektion)
Einsatz von Blockchain-Mechanismen zur zusätzlichen Verifikation
Cloud-native Lösungen mit integriertem Datenintegritätslayer
Ein Unternehmen fertigt ein aseptisch abgefülltes Biologikum. Der QC-Bereich nutzt ein bestehendes chromatographisches System, bei dem bisher ausschließlich finale Reportwerte exportiert und in ein Excel-Dokument übernommen wurden (ohne Rohchromatogramme oder Audit Trails verfügbar). In einem Gap Assessment wird erkannt: fehlende Rohdatenspeicherung, fehlende Audit Trails, manuelle Nachtragung. Die Maßnahme: Migration auf ein integriertes LIMS-System, das Rohdaten speichert, Audit Trails aktiviert und automatische Schnittstellen zum MES ermöglicht. Zusammenarbeit mit dem Qualitäts-IT-Team und striktes Change Control ermöglichte die Umsetzung innerhalb eines Quartals, ohne dass die Produktionslinie gestört wurde.
In einem Arzneimittellager werden Temperaturen und Feuchtigkeit über Sensorik protokolliert. Ursprünglich war nur eine tägliche Durchschnittsansicht gesichert – Ausgangsdaten wurden nicht archiviert. Bei einer Inspektion wird die Abwesenheit der Rohdaten beanstandet. Lösung: Installation eines neuen Environmental Monitoring Systems (EMS), das sekundengenaue Messwerte speichert, Datenredundanz und Alarmfunktionen bietet, Audit Trails für Sensorauslesungen und -änderungen protokolliert und regelmäßige Export-/Review-Routinen vorsieht. Dadurch wurde die Datenintegrität gesichert — und das Unternehmen konnte Beispielberichte für spätere Audits bereitstellen.
Eine Firma lagert die Bioanalytik an ein externes GLP-Labor aus. Der Vertrag definiert, dass alle Rohdaten, Audit Trails, Metadaten und Originaldateien dem Auftraggeber zur Verfügung stehen müssen. Bei einem Zwischenaudit entdeckt der Auftraggeber, dass das Labor nur PDF-Auszüge übermittelt, aber keine Rohdatendateien. Der Vertrag sah vor, dass das Auftraggeberaudit jederzeit Zugriff auf das System erhält, weshalb das Labor zur vollständigen Datenoffenlegung verpflichtet wurde. In der Folge wurde der Vertrag angepasst und das Labor technisch ausgerüstet, um vollumfängliche Datenbereitstellung zu gewährleisten.
Initialkosten: Erwerb oder Anpassung von Systemen, Validierungsaufwand, Schnittstellenentwicklung
Schulungskosten: Erstellung von Trainingsmaterialien, Durchführung von Workshops
Audit- und Überwachungsaufwand: zusätzlicher Personalbedarf für Reviews, Monitoring
Remediation / Behebungsmaßnahmen bei Feststellung von Abweichungen
Potenzielle Kosten bei Non-Compliance: Rückrufaktionen, Produktionsstopps, Strafzahlungen, Rücknahme von Importgenehmigungen, Umsatzeinbußen, Reputationsschäden
Die Investition in ein robustes Datenintegritätssystem ist oft gering im Vergleich zu den Kosten eines Compliance-Verstoßes – z. B.:
Ein produktbezogener Rückruf kann Millionen kosten.
Verzögerte Zulassung oder Importstopps führen zu Opportunitätsverlusten.
Wiederholte Inspektionen erfordern zusätzlichen Personal- und Ressourcenaufwand.
Reputationsverlust kann zu langfristigem Vertrauensverlust gegenüber Kunden, Behörden und Investoren führen.
Letztlich ist die Kostenfalle eines Datenintegritätsversagens typischerweise bedeutend höher als eine frühzeitige Investition in Prävention.
Überarbeitung von Kapitel 4 (EU GMP): Der Entwurf bringt strengere Vorgaben für Dokumentation, Outsourcing und Datenintegrität.(GMP Compliance)
Fortschritte bei Technologieeinsatz: KI-basierte Audit Trail Analyse, Blockchain-Mechanismen für Unveränderlichkeit, automatisierte Anomalieerkennung.
FDA-Fokus auf Testlabore und CROs: Die FDA richtet verstärkt Augenmerk auf Datenintegrität in Drittlaboren und Testdienstleistern.(raps.org)
Cloud- und SaaS-Plattformen, verbunden mit robustem Datenintegritäts-Framework, werden zunehmend akzeptiert, sofern die Anbieter Transparenz und Validierung gewährleisten.
Harmonisierung und neue Leitlinien: Weiterentwicklung von PIC/S- und WHO-Leitlinien, mögliche neue spezielle Guidelines für datenintensive Technologien (z. B. Multiomics, Big Data in Biopharma).
Regulatorische Maßnahmen dagegen: Die Behörden publizieren vermehrt Warnbriefe, GMP-Non-Compliance Reports und veröffentlichen Defizittrends in Sachen Datenintegrität.(GMP Compliance)
Datenintegrität ist essenziell für Produktsicherheit, regulatorische Compliance und Patientenschutz.
Das ALCOA-Plus-Prinzip bildet das Rückgrat: Attributable, Legible, Contemporaneous, Original, Accurate, ergänzt um Complete, Consistent, Enduring, Available.
Datenintegritätsanforderungen gelten entlang des gesamten Datenlebenszyklus, von Erfassung über Verarbeitung bis zur Archivierung und Löschung.
Risikobasierte Ansätze helfen, Ressourcen sinnvoll zu fokussieren (kritische Systeme, Schnittstellen, Outsourcing).
Technische Kontrollen (Audit Trails, Rechte, Systemvalidierung, Zeitstempel) und Organisationsmaßnahmen (Policy, Schulung, CAPA, Governance) müssen Hand in Hand gehen.
Outsourcing erfordert transparente, vertraglich verankerte Datenzugriffe und Auditrechte.
Die Investitionen in Datenintegrität sind im Verhältnis zu den Risiken eines Versagens gering – sie sind strategisch und operativ unverzichtbar.
Aktuelle Trends in Regulatorik, Cloud-Lösungen und KI-basierter Analyse sollten früh integriert werden, um zukünftige Compliance-Anforderungen zu antizipieren.
Ich freue mich, diesen Artikel mit weiterführenden Fallanalysen, Checklisten oder interaktiven Assessments zu ergänzen – sag mir einfach Bescheid.
FDA. (2016). Data Integrity and Compliance With CGMP Guidance for Industry. Abgerufen am 04.10.2025, von https://www.fda.gov/files/drugs/published/Data-Integrity-and-Compliance-With-Current-Good-Manufacturing-Practice-Guidance-for-Industry.pdf (U.S. Food and Drug Administration)
FDA. (2018). Data Integrity and Compliance With Drug CGMP – Questions and Answers Guidance for Industry. Abgerufen von https://www.fda.gov/media/119267/download (U.S. Food and Drug Administration)
PIC/S. (2021). Good Practices for Data Management and Integrity in Regulated GMP/GDP Environments (PI 041-1). Abgerufen am 04.10.2025. (picscheme.org)
EMA. (2025). Guidance on Good Manufacturing Practice and Good Distribution Practice – Questions & Answers. Abgerufen von https://www.ema.europa.eu/en/human-regulatory-overview/research-development/compliance-research-development/good-manufacturing-practice/guidance-good-manufacturing-practice-good-distribution-practice-questions-answers (European Medicines Agency (EMA))
EMA. (n.d.). Data integrity: key to public health protection. Abgerufen von https://www.ema.europa.eu/en/news/data-integrity-key-public-health-protection (European Medicines Agency (EMA))
GMP-Compliance / Rx-360. (2016). DATA INTEGRITY (EMA – August 2016). Abgerufen von https://rx-360.org/wp-content/uploads/2018/08/2016-EMA-QA.pdf (rx-360.org)
PharmTech. (n.d.). Data Integrity Expectations of EU GMP Inspectors. Abgerufen am 04.10.2025. (PharmTech)
GMP-Compliance. (n.d.). Data Integrity – two new documents from PIC/S and EMA. Abgerufen am 04.10.2025. (GMP Compliance)
GMP-Compliance. (n.d.). EMA: Chapter 4 – new Requirements for GMP Documentation? Abgerufen am 04.10.2025. (GMP Compliance)
Astrix Inc. (n.d.). What the FDA Guidance on Data Integrity Means for Your Lab. Abgerufen von https://www.astrixinc.com/blog/fda-guidance-for-data-integrity/ (astrixinc.com)
FDA. (n.d.). Data Integrity for In Vivo Bioavailability and Bioequivalence Studies. Abgerufen von https://www.fda.gov/regulatory-information/search-fda-guidance-documents/data-integrity-in-vivo-bioavailability-and-bioequivalence-studies (U.S. Food and Drug Administration)
RAPS. (2024). FDA turns attention to data integrity lapses at testing sites. Abgerufen von https://www.raps.org/news-and-articles/news-articles/2024/4/fda-turns-attention-to-data-integrity-lapses-at-te (raps.org)
Reuters. (2024). US FDA sends warning letters to two Chinese firms for violating lab practices. Abgerufen von https://www.reuters.com/business/healthcare-pharmaceuticals/us-fda-sends-warning-letters-two-chinese-firms-violating-lab-practices-2024-09-11/ (Reuters)
GMP-Compliance. (n.d.). EMA publishes several GMP Non Compliance Reports. Abgerufen am 04.10.2025. (GMP Compliance)
GMP-Compliance. (2025). Data Integrity violations and ineffective Quality systems. Abgerufen am 04.10.2025. (GMP Compliance)
Wikipedia. (n.d.). Good documentation practice. Abgerufen von https://en.wikipedia.org/wiki/Good_documentation_practice (Wikipedia)
Wikipedia. (n.d.). Title 21 CFR Part 11. Abgerufen von https://en.wikipedia.org/wiki/Title_21_CFR_Part_11 (Wikipedia)