21 CFR Part 11 leicht gemacht: Audit Trails und E‑Signatures in LIMS und ELN

By /

Papier bremst Sie aus; Aufsichtsbehörden akzeptieren keine Vermutungen. So machen Sie 21 CFR Part 11 für sich nutzbar – damit Ihr LIMS und ELN Daten liefern, denen Sie vertrauen, die Sie verteidigen und nutzen können.

Executive Summary

  • 21 CFR Part 11 definiert Regeln für vertrauenswürdige elektronische Aufzeichnungen und elektronische Signaturen in regulierten Laboren.
  • Konzentrieren Sie sich auf zwei Pfeiler: Audit Trails (wer hat was, wann und warum getan) und Electronic Signatures (Identität, Absicht und Verknüpfung).
  • Wenden Sie ALCOA/ALCOA+ an, damit Daten über ihren gesamten Lebenszyklus zuordenbar, korrekt und verfügbar bleiben.
  • Konfigurieren Sie Ihr LIMS/ELN von Anfang an für Zugriffskontrolle, Validierung, Audit Trails, Electronic Signatures und Records Management.
  • Der Vorteil: schnellere Reviews, weniger Beanstandungen bei Inspektionen und klare Rückverfolgbarkeit vom Sample bis zur Entscheidung.

Mit dem Überblick geklärt, gehen wir in die Laborpraxis.

Was 21 CFR Part 11 abdeckt – und warum es im Labor zählt

Part 11 gilt, wenn Sie elektronische Aufzeichnungen und elektronische Signaturen nutzen, um FDA‑Aufbewahrungsvorgaben zu erfüllen. Sobald Sie sich zur Durchführung regulierter Arbeiten auf die elektronische Version stützen, ist Part 11 relevant – inklusive der Daten in Ihrem LIMS und ELN.

Richtig umgesetzt senkt Part 11 das Inspektionsrisiko und beschleunigt Reviews. Zeitstempel, Signaturbedeutung und Versionierung liegen gebündelt vor. Sehen Sie es als Qualitäts‑Enabler, nicht als IT‑Checkbox. Ziel ist es, elektronische Aufzeichnungen End‑to‑End so vertrauenswürdig zu machen wie Papier.

Mit dem geklärten Umfang betrachten wir die täglichen Kontrollen.

Audit Trails: Der Black‑Box‑Recorder des Labors

Der Audit Trail ist die Black Box für Ihr LIMS und ELN: ein sicherer, computergenerierter, mit Zeitstempel versehener Log, der festhält, wer was, wann und warum getan hat. Part 11 erwartet Audit Trails, die Erstellen‑/Ändern‑/Löschen‑Aktionen erfassen, ohne vorherige Informationen zu verbergen. Sie werden so lange aufbewahrt wie der zugehörige Datensatz.

Was ein guter Audit Trail erfasst

  • Wer: der eindeutige Benutzer, der die Aktion ausgeführt hat.
  • Was: die Aktion – erstellen, ändern, löschen, freigeben, ungültig erklären oder aufheben.
  • Wann: exaktes Datum und Uhrzeit von einer validierten, synchronisierten Uhr.
  • Vorher und nachher: vorheriger und neuer Wert für kritische Felder.
  • Warum: ein Änderungsgrund, wenn Daten oder Status angepasst werden.
  • Wo: das Modul oder die Instrumenten‑Integration, die das Ereignis erzeugte.

Praktisches Beispiel: QC‑HPLC‑Freigabetest

Ein Analyst zeichnet ein Chromatogramm im ELN auf und importiert Peak‑Ergebnisse ins LIMS. Das System erzwingt Pflichtfelder wie Charge, Lot und Methodenversion. Jede Re‑Integration verlangt einen Grund. Der Audit Trail protokolliert ursprüngliche und angepasste Integrationsparameter, Benutzer und Zeitstempel. Ein Reviewer prüft die komplette Historie, bevor er eine Electronic Signature zur Freigabe setzt.

Audit Trails für Menschen nutzbar machen – nicht nur für Inspektoren

Audit Trails sollten leicht nach Sample, Test, Benutzer oder Datum durchsuchbar und filterbar sein. Heben Sie High‑Impact‑Ereignisse wie Löschungen oder Spezifikationsänderungen hervor. Verankern Sie die Routineprüfung in SOPs, damit QC‑Leitung und QA frühzeitig Ausnahmen sehen. Halten Sie den Audit Trail schreibgeschützt und richten Sie die Aufbewahrung an den unterstützten Datensatz aus.

Als Nächstes: Freigaben mit klarer Identität und Absicht absichern.

Electronic Signatures: Einfach, stark und eindeutig

Electronic Signatures sind mehr als eingetippte Namen. Jede Signatur muss einer Person eindeutig zugeordnet, an eine verifizierte Identität gebunden und gegen Missbrauch geschützt sein. Signaturen müssen Name des Unterzeichners, Datum/Uhrzeit und die Bedeutung der Signatur zeigen (z. B. approve, review, verify, author). Die Signatur muss dauerhaft mit dem Datensatz verknüpft sein und darf nicht auf andere Datensätze kopierbar sein.

Was eine konforme Electronic Signature ausmacht

  • Zwei unterschiedliche Faktoren für Sign‑on oder Signatur (z. B. Benutzername + Passwort plus Einmalkode, wenn die Sitzung nicht kontinuierlich ist).
  • Klare Bedeutung zum Zeitpunkt der Signatur, etwa „Ich genehmige dieses Ergebnis gegen Spezifikation v3.“
  • Identitätsprüfung vor der Vergabe von Zugängen und Eindeutigkeit pro Person.
  • Dauerhafte Verknüpfung mit dem signierten Datensatz – sichtbar am Bildschirm und im Ausdruck.

Praktisches Beispiel: R&D‑ELN‑Protokollfreigabe

Eine Wissenschaftlerin finalisiert ein Protokoll und leitet es zur Freigabe weiter. Die freigebende Person authentifiziert sich mit Benutzername und Passwort und bestätigt mit einem Einmalkode. Das System protokolliert Name, Datum/Uhrzeit und die Bedeutung „Protokoll für die Durchführung freigegeben“, verknüpft mit genau dieser Protokollversion. Jede spätere Änderung erzeugt eine neue Version und erfordert eine neue Freigabe. Der Audit Trail erfasst Unterschiede und Begründung.

Mit den Signaturen unter Kontrolle verankern Sie den Alltag in soliden Data‑Integrity‑Gewohnheiten.

ALCOA: Die einfache Regel für verlässliche Daten

ALCOA steht für Attributable, Legible, Contemporaneous, Original, Accurate. Viele Labore erweitern zu ALCOA+ mit Complete, Consistent, Enduring, Available. Diese Prinzipien leiten Prüfer bei der Bewertung Ihrer LIMS‑ und ELN‑Daten. Ein Part‑11‑fähiges System unterstützt ALCOA durch eindeutige Benutzerzuordnung, lesbare Formate, Zeitstempel, Erhalt der Originale und validierte Berechnungen.

ALCOA in LIMS/ELN greifbar machen

  • Attributable: jeder Eintrag zeigt, wer ihn erstellt hat; keine geteilten Accounts.
  • Legible: Aufzeichnungen sind für Inspektionen und Ausdrucke gut lesbar.
  • Contemporaneous: Einträge werden zeitnah erfasst; Uhren sind synchronisiert.
  • Original: Rohdaten bleiben erhalten; True Copies sind gekennzeichnet.
  • Accurate: Berechnungen und Stammdaten sind validiert und kontrolliert.
  • Complete: Wiederholungen, OOS‑Versuche und abgebrochene Läufe sind enthalten.
  • Consistent: Templates und Methoden sind standardisiert und versioniert.
  • Enduring: Speicherung, Backup und Archiv schützen Aufzeichnungen über die Zeit.
  • Available: QA und Inspektoren können ohne IT‑Hilfe zugreifen.

Nun übersetzen wir die Vorschriften in überprüfbare Funktionen.

21 CFR Part 11 auf konkrete LIMS/ELN‑Funktionen abbilden

Nutzen Sie die folgende Tabelle, um Erwartungen in praktische Fähigkeiten bei Konfiguration oder Anbieterauswahl zu übertragen.

Regulatory Expectation Practical Capability To Verify
Access and Identity Nur benannte User‑IDs; keine generischen Logins. Rollenbasierter Zugriff nach Aufgaben. Periodische Zugriffsprüfungen.
System Validation Risiko‑basierte Validierung mit Fokus auf High‑Impact‑Workflows (Ergebniserfassung, Berechnungen, Review, Freigabe). Vendor‑Doku plus nutzerspezifische Tests.
Audit Trails Für regulierte Aufzeichnungen aktiviert. Erfassen von Erstellen/Ändern/Löschen, Vorher/Nachher‑Werten und Änderungsgründen. Schreibgeschützt und mit dem Datensatz aufbewahrt.
Electronic Signatures Zwei‑Schritt‑Verifikation, wenn Sitzungen nicht kontinuierlich sind. Signaturbedeutung beim Signieren anzeigen. Manifestation am Bildschirm und im Ausdruck. Unumkehrbare Verknüpfung mit dem Datensatz.
Records Management Menschlich lesbare Ansichten, exportierbare True Copies (z. B. PDF plus maschinenlesbare Daten). Versionskontrolle für Methoden, Spezifikationen, Templates und Reports.
Instruments and Integrations Kontrollierte Datenflüsse von Instrumenten zu LIMS/ELN. Metadaten‑Erfassung (wer/wann/Methode/Version/Instrument‑ID). File‑Integrity‑Checks, wo möglich.
Training and Procedures Trainingsnachweise für Benutzer. SOPs, die definieren, wann zu signieren ist, wie Audit Trails zu prüfen sind und wie Daten korrekt verbessert werden.

So sieht das im Laboralltag aus.

Drei praxisnahe Mini‑Szenarien

QC‑Freigabetest in einem Pharmawerk

Die Chargenfreigabe basiert auf Potenz‑ und Reinheitsergebnissen im LIMS. Das LIMS erzwingt Versionsführung der Spezifikationen, verlangt Gründe für Ungültigerklärungen und setzt Reviewer‑ und QA‑Electronic Signatures mit klarer Bedeutung ein. Die Freigabezeit sinkt um einen Tag, weil QA Audit Trails und Signaturen remote prüfen kann. Geteilte Accounts werden eliminiert – wiederkehrende Findings verschwinden.

Frühphasige Bioprozess‑Entwicklung im ELN

Prozesswissenschaftler dokumentieren Experimente und brauchen Nachverfolgbarkeit über Methodenänderungen hinweg. ELN‑Templates erzwingen Pflichtfelder; jede Änderung eines kritischen Parameters verlangt einen Grund, versioniert das Protokoll und triggert eine neue Freigabe. Tech Transfer beschleunigt sich, weil empfangende Teams „approved protocol v2.3“ als tatsächlich ausgeführt ansehen.

Klinisches Probenmanagement in einem Zentrallabor

Tausende Samples bewegen sich täglich, die Chain‑of‑Custody muss klar sein. LIMS protokolliert jede Custody‑Änderung als Audit‑Trail‑Event mit Benutzer, Zeitstempel und Standort. Ergebnisse erfordern mehrere E‑Signaturen; die zweite Sign‑off erscheint erst nach bestandenen Datenchecks. Custody‑Streitpunkte verschwinden, Sponsoren erhalten auf Abruf inspektionsreife Logs.

Als Nächstes: typische Fallen vermeiden, die Teams bremsen und Beobachtungen auslösen.

Häufige Fallstricke – und wie Sie sie vermeiden

  • Audit Trails nur in einem Modul aktivieren. Weiten Sie sie auf Methoden, Spezifikationen und Stammdaten aus.
  • Gemeinsame oder generische Accounts zulassen. Erzwingen Sie benannte Accounts und – risikobasiert – Multi‑Factor Authentication.
  • Backups mit Archiven verwechseln. Backups stellen Systeme wieder her; Archive bewahren lesbare Aufzeichnungen langfristig.
  • Unklare Signaturbedeutungen verwenden. Verlangen Sie klare, kontrollierte Bedeutungen, die im Datensatz erscheinen.
  • Audit Trails erzeugen, aber nie prüfen. Definieren und dokumentieren Sie einen regelmäßigen Review‑Rhythmus.
  • „Schatten“-Spreadsheets betreiben. Unterstellen Sie sie dem Change‑Control mit Audit Trail oder bringen Sie die Logik ins LIMS/ELN.

Jetzt alles mit einem pragmatischen Plan verbinden.

Eine einfache Implementation Roadmap für LIMS/ELN

1) Scope definieren: identifizieren Sie, welche Aufzeichnungen in Ihren Workflows Part‑11‑relevant sind.
2) Gap‑Assessment: vergleichen Sie System und SOPs mit Anforderungen an Audit Trail, Electronic Signature und ALCOA+.
3) Controls konfigurieren: Audit Trails aktivieren, Signaturbedeutungen standardisieren sowie Rollen und Sitzungsregeln setzen.
4) Identity härten: eindeutige Accounts, starke Passwörter und – wo nötig – MFA verlangen.
5) Verfahren dokumentieren: SOPs für Datenerfassung, Review, Change Control und Signaturen aktualisieren.
6) Validate: risiko‑basiert für High‑Impact‑Workflows validieren; Evidenz und Traceability sichern.
7) Train: Nutzer schulen, wann sie Daten erfassen, signieren und Audit Trails prüfen; Kompetenz bewerten.
8) Operate und monitor: Audit Trails routinemäßig prüfen; Ausnahme‑Alerts nutzen; Zugriffe periodisch reviewen.
9) Retain und archivieren: Aufbewahrung von Aufzeichnung und Audit Trail ausrichten; menschenlesbare Exporte sicherstellen.
10) Improve: Abweichungen und CAPAs nutzen, um Konfigurationen und Schulungen zu stärken.

Wenn Inspektoren kommen, zählt der Nachweis – nicht das Versprechen.

Was Inspektoren typischerweise sehen wollen

Seien Sie bereit, Audit Trails zu zeigen, die Erstellen/Ändern/Löschen mit Zeitstempeln und Vorher/Nachher‑Werten erfassen und die Benutzer nicht ändern können. Zeigen Sie einen signierten Datensatz mit ausgeschriebenem Namen, Datum/Uhrzeit und Bedeutung – sichtbar am Bildschirm und im Ausdruck – und untrennbar mit dem Datensatz verlinkt. Legen Sie SOPs für Electronic Signatures, Identitätsprüfung und Ihre Signature‑Certification‑Statement vor, plus Validierungs‑ und Trainingsnachweise für kritische Workflows.

Als Nächstes die Frage der Bereitstellung.

Cloud oder On‑Prem? Beides kann konform sein

Part 11 schreibt nicht vor, wo Ihr LIMS/ELN läuft. Cloud und On‑Prem funktionieren beide, wenn Sie Lieferanten qualifizieren, Verantwortlichkeiten für Sicherheit und Validierung definieren und Zugriff, Audit‑Trail‑Aufbewahrung und Export kontrollieren. Stimmen Sie Data Residency und Verschlüsselung mit Ihren Richtlinien und Kundenerwartungen ab.

Und ja – das liefert messbaren Business‑Nutzen.

Den Business‑Nutzen quantifizieren

Teams geben Chargen und Studienmeilensteine schneller frei, weil Daten, Signaturen und Audit Trails zusammen sichtbar sind. Das Inspektionsrisiko sinkt, Nacharbeit schrumpft, und „Was hat sich geändert?“ wird zur Zwei‑Minuten‑Prüfung statt zur Zwei‑Stunden‑Suche. Die Zusammenarbeit verbessert sich, weil Reviewer überall mit vollem Kontext freigeben können.

Klärung einiger häufig gestellter Fragen.

Häufige Fragen in einfacher Sprache

Brauchen wir biometrische Signaturen? Nein. Nicht‑biometrische E‑Signatures sind zulässig, wenn Sie mindestens zwei unterschiedliche Komponenten mit geeigneten Kontrollen verwenden.

Können wir weiterhin drucken? Ja, aber wenn Sie sich zur Durchführung der Arbeit auf die elektronische Aufzeichnung stützen, müssen diese Aufzeichnung und ihre Signaturen Part 11 erfüllen.

Müssen wir alles audit‑trailen? Nutzen Sie einen risikobasierten Ansatz. Audit Trails werden überall erwartet, wo Benutzer regulierte Aufzeichnungen erstellen, ändern oder löschen.

Zum Dranbleiben hilft diese kurze Checkliste.

Eine kurze Checkliste zum Kopieren

  • Benannte Accounts und rollenbasierter Zugriff sind durchgesetzt.
  • Audit Trails decken Ergebnisse, Methoden/Spezifikationen, Stammdaten und Freigaben ab.
  • Audit Trails erfassen Wer, Was, Wann, Vorher/Nachher‑Werte und Änderungsgründe.
  • Electronic Signatures zeigen Name, Datum/Uhrzeit und Bedeutung und sind dauerhaft mit dem Datensatz verknüpft.
  • Die Anwendung von Signaturen nutzt Zugangsdaten und Sitzungs‑Kontrollen im Einklang mit dem Risiko.
  • Menschlich lesbare Exporte enthalten Signatur‑ und Audit‑Trail‑Kontext.
  • SOPs definieren, wann zu signieren ist und wie Audit Trails zu prüfen sind; Reviewer sind geschult.
  • Validierungs‑Evidenz existiert für hochriskante Workflows und Reports.
  • Aufzeichnungen und Audit Trails werden für die geforderte Dauer aufbewahrt.

Wichtige Punkte: Wann LIMS, ELN oder beides

  • Wählen Sie LIMS, wenn Ihr Schwerpunkt auf strukturiertem Sample‑Management, Spezifikationen, kontrollierten Workflows und Chargen‑ oder Studienfreigabe unter 21 CFR Part 11 liegt.
  • Wählen Sie ELN, wenn Ihr Fokus auf Versuchsdesign, flexibler Dokumentation und Zusammenarbeit in R&D mit versionierten Protokollen und Freigaben liegt.
  • Wählen Sie beides, wenn R&D‑Ergebnisse in regulierte Tests einfließen oder wenn Tech Transfer lückenlose Traceability vom Experiment bis zur Routine‑Methode verlangt. Die Integration von LIMS und ELN liefert End‑to‑End Audit Trails, konsistente Electronic Signatures und ALCOA‑fähige Aufzeichnungen, die 21 CFR Part 11 über den gesamten Lebenszyklus erfüllen.

Wie wir helfen können

Bei EVOBYTE konzipieren, konfigurieren und validieren wir LIMS‑ und ELN‑Lösungen, die 21 CFR Part 11 unkompliziert machen – von Audit Trails und Electronic Signatures bis zu ALCOA‑ausgerichteten Workflows und Data Analytics. Planen Sie eine neue Implementierung oder möchten Sie Lücken in einem bestehenden System schließen? Wir unterstützen Sie gern. Kontakt: info@evo-byte.com

Hinweis: Dieser Artikel dient allgemeinen Informationen und ist keine Rechtsberatung. Stimmen Sie Vorgehen stets mit Ihrer Quality‑Unit und den für Sie geltenden Regularien ab.

Referenzen

  • 21 CFR Part 11 — Electronic Records; Electronic Signatures (CFR‑Text): https://www.law.cornell.edu/cfr/text/21/11
  • FDA Guidance for Industry: Part 11, Electronic Records; Electronic Signatures — Scope and Application: https://www.fda.gov/regulatory-information/search-fda-guidance-documents/part-11-electronic-records-electronic-signatures-scope-and-application
  • FDA: Data Integrity and Compliance With Drug CGMP — Questions and Answers: https://www.fda.gov/regulatory-information/search-fda-guidance-documents/data-integrity-and-compliance-drug-cgmp-questions-and-answers
  • MHRA: GxP Data Integrity Guidance: https://www.gov.uk/government/publications/guidance-on-gxp-data-integrity

Leave a Comment