← Alle Artikel
ComplianceGLPDSGVOAudit

Compliance-Software: Was ein Audit-Trail können muss

24.07.2025287 Wörter · 2 min Lesezeit

In regulierten Branchen wie Pharma, Medizintechnik oder Finanzdienstleistung ist Software nicht nur Werkzeug – sie ist Beweismittel. Ein lückenloser Audit-Trail ist keine Nice-to-have-Funktion, sondern Pflicht.

Was ist ein Audit-Trail?

Ein Audit-Trail dokumentiert alle Änderungen an Daten: Wer hat wann was geändert – und warum. Bei einer Prüfung muss nachvollziehbar sein, wie ein Datensatz zu seinem aktuellen Zustand kam.

Anforderungen im Detail

1. Unveränderbarkeit

Einmal geschriebene Log-Einträge dürfen nicht mehr geändert werden. Technisch bedeutet das:

  • Append-only Datenstrukturen
  • Kryptographische Verkettung (ähnlich Blockchain)
  • Schreibschutz auf Datenbankebene

2. Vollständigkeit

Jede Änderung muss erfasst werden – auch fehlgeschlagene Versuche und Löschungen. "Soft Deletes" statt echter Löschungen sind Standard.

3. Zeitstempel

Manipulationssichere Zeitstempel, idealerweise von einem Trusted Timestamp Server. Die Systemzeit des Clients reicht nicht.

4. Benutzeridentifikation

Eindeutige Zuordnung zu einer Person. Shared Accounts sind ein No-Go. Single Sign-On mit persönlichen Accounts ist Pflicht.

5. Lesbarkeit

Die Logs müssen auch in 10 Jahren noch lesbar sein. Proprietäre Formate vermeiden, Klartext oder standardisierte Formate bevorzugen.

Regulatorische Frameworks

GLP (Good Laboratory Practice)

In der Pharma-Forschung muss jede Datenänderung begründet werden. Das System muss "elektronische Unterschriften" unterstützen.

DSGVO Art. 30

Das Verzeichnis von Verarbeitungstätigkeiten erfordert Dokumentation aller Datenzugriffe.

ISO 27001

Der Standard fordert "Logging und Überwachung" als Kontrolle – mit konkreten Aufbewahrungsfristen.

Technische Umsetzung

Bei einem Projekt für Abbott haben wir eine GLP-konforme Plattform entwickelt:

  • Event Sourcing: Jede Änderung als unveränderliches Event
  • PostgreSQL: Mit Row-Level Security und Audit-Triggern
  • Camunda BPMN: Für dokumentierte Freigabeprozesse
  • Digitale Signaturen: Für kritische Aktionen

Das Ergebnis bestand die FDA-Prüfung ohne Beanstandungen.

Fazit

Compliance-Anforderungen in Software zu erfüllen, erfordert Planung von Anfang an. Nachträgliche Audit-Trail-Implementierung ist teuer und fehleranfällig. Sprechen Sie früh mit jemandem, der regulierte Branchen kennt.

Haben Sie weitere Fragen oder Anregungen?

Kontaktieren Sie uns gerne
← Alle ArtikelNach oben ↑