Elektronisches Laborbuch (ELN)

Ein elektronisches Laborbuch (Electronic Lab Notebook, ELN) ist ein webbasiertes Dokumentationssystem, in dem Forschende Experimente, Protokolle, Versuchsergebnisse, hochgeladene Dateien und Versionsstände strukturiert erfassen. Es löst das physische Laborbuch ab und ergänzt klassische Forschungsdatenmanagement-Werkzeuge (FDM-Repositorien, Dataverse-Instanzen) am Anfang der Datenkette. ELN-Lösungen werden im Hochschulkontext häufig als Self-Hosted- Open-Source-Software auf eigener Infrastruktur betrieben – etwa eLabFTW oder Chemotion; daneben gibt es kommerzielle Cloud-Anbieter wie Benchling oder LabArchives, die für eine öffentliche Hochschule mit Sitz in Sachsen-Anhalt eine separate Drittlandsprüfung erfordern (siehe Themenseite Drittlandstransfer).

Charakteristisch für die meisten ELN-Implementierungen ist das Konzept der Unverfälschbarkeit der Aufzeichnung: Einträge können nicht gelöscht werden; Korrekturen werden in neuen Versionen abgelegt; Zeitstempel und Autorenzuordnung sind systemseitig fixiert. Diese Designentscheidung entspricht dem Charakter eines klassischen Laborbuchs, in dem keine Seiten entfernt werden dürfen, und ist Voraussetzung für die wissenschaftliche Nachvollziehbarkeit nach den DFG-Leitlinien zur guten wissenschaftlichen Praxis (insbesondere Leitlinie 17 mit der 10-Jahres-Aufbewahrungsfrist primärer Forschungsdaten). Datenschutzrechtlich erzeugt sie das Spannungsfeld, dem der Abschnitt „Forschungsprivileg und Löschkonzept" gewidmet ist. DFG-Leitlinien zur guten wissenschaftlichen Praxis (2019, Leitlinie 17); FAIR-Data-Prinzipien (Wilkinson et al., 2016)

ELN-Lösungen verarbeiten typischerweise vier Kategorien personenbezogener Daten, die getrennt zu bewerten sind:

Art. 4 Nr. 1 DSGVO; Art. 9 Abs. 1 DSGVO

Hochschulen sind öffentliche Körperschaften des jeweiligen Landes (in Sachsen-Anhalt: § 54 HSG LSA). Art. 6 Abs. 1 lit. f DSGVO scheidet daher als Rechtsgrundlage aus (Art. 6 Abs. 1 UAbs. 2 DSGVO). Die infrage kommenden Rechtsgrundlagen variieren je nach betroffener Personengruppe:

Art. 6 Abs. 1 lit. b und lit. e, Art. 6 Abs. 1 UAbs. 2, Art. 7 Abs. 4, Art. 89 DSGVO; ErwGr 43 DSGVO; §§ 3, 23, 54 HSG LSA; § 27 DSAG LSA

Die konzeptionelle Unverfälschbarkeit eines ELN steht in Spannung zum Löschungsanspruch nach Art. 17 DSGVO. Drei Datenkategorien sind hier sauber zu trennen:

1. Experimentdaten – Forschungsprivileg Art. 17 Abs. 3 lit. d DSGVO bestimmt, dass das Recht auf Löschung nicht besteht, soweit die Verarbeitung zu im öffentlichen Interesse liegenden Forschungszwecken erforderlich ist und die Löschung deren Verwirklichung voraussichtlich unmöglich macht oder ernsthaft beeinträchtigt. Diese Voraussetzungen dürften für Experimentdaten in einem ELN regelmäßig erfüllt sein: Die Verarbeitung dient unmittelbar Forschungszwecken (§§ 3, 23 HSG LSA i. V. m. § 27 DSAG LSA); das Entfernen einzelner Einträge oder der Autorenzuordnung dürfte die Reproduzierbarkeit beeinträchtigen; die wissenschaftsrechtlichen bzw. GWP-bezogenen Aufbewahrungspflichten – etwa die zehnjährige Frist nach DFG-Leitlinie 17 – sind im Rahmen der Erforderlichkeits- und Löschprüfung zu berücksichtigen und können dazu führen, dass ein Löschanspruch nach Art. 17 Abs. 3 lit. d DSGVO nicht greift. Die systemseitige Nichtlöschbarkeit ist insoweit nicht technischer Mangel, sondern bewusste Designentscheidung zur Sicherung wissenschaftlicher Integrität.
2. Account- und Profildaten – differenzierte Behandlung Wenn ein Nutzeraccount mindestens einem Experiment zugeordnet ist, ist die vollständige Löschung in vielen ELN-Implementierungen technisch nicht möglich, ohne manuell in die Datenbank einzugreifen. Üblich ist daher ein Modell aus Deaktivierung und Archivierung: Der Account wird durch den Team-Admin nach Ausscheiden des Beschäftigten archiviert; die Verbindung zum Experimenteintrag bleibt zur Wahrung der wissenschaftlichen Integrität bestehen. Eine automatische Archivierung nach einer definierten Inaktivitätsfrist (in der Praxis erscheinen 12 Monate als angemessen) ist nach hier vertretener Auffassung der saubere Weg.
3. Logdaten – uneingeschränkter Löschungsanspruch Login-Zeitstempel, IP-Adressen und sonstige Protokollierungsdaten dienen der Systemintegrität, nicht dem Forschungszweck. Das Forschungsprivileg ist hier nicht einschlägig; die allgemeinen Regeln nach Art. 5 Abs. 1 lit. e und Art. 17 DSGVO greifen unmittelbar. Eine Aufbewahrungsfrist von 7 Tagen für Logfiles mit Personenbezug, getrennt vom Backup gehalten, dürfte als angemessen anzusehen sein.

Einschränkung übriger Betroffenenrechte

Über § 27 Abs. 5 DSAG LSA i. V. m. Art. 89 Abs. 2 DSGVO können auch die Rechte auf Auskunft (Art. 15), Berichtigung (Art. 16), Einschränkung (Art. 18) und Widerspruch (Art. 21) eingeschränkt werden, soweit deren Inanspruchnahme die Verwirklichung der Forschungszwecke voraussichtlich unmöglich macht oder ernsthaft beeinträchtigt und der Ausschluss für die Zweckerfüllung notwendig ist. § 27 Abs. 5 S. 2 DSAG LSA verlangt die Dokumentation der Abwägung – diese gehört in das Verarbeitungsverzeichnis und in die Datenschutzhinweise nach Art. 13 DSGVO.

Art. 5 Abs. 1 lit. e, Art. 13, Art. 15, 16, 17 Abs. 3 lit. d, Art. 18, 21, Art. 89 Abs. 2 DSGVO; § 27 Abs. 1, Abs. 4, Abs. 5 DSAG LSA; DFG-Leitlinie 17 zur guten wissenschaftlichen Praxis

ELN-Implementierungen erfassen systembedingt Aktivitätsdaten einzelner Beschäftigter (welche Einträge wann erstellt oder bearbeitet wurden, Versionsdiffs, Zeitstempel). Damit ist die objektive Eignung zur Verhaltens- und Leistungskontrolle gegeben. Maßgeblich ist nach gefestigter Rechtsprechung gerade die objektive Eignung, nicht die subjektive Absicht der Dienststelle (vgl. BAG, Beschluss v. 08. März 2022 – 1 ABR 20/21 zu Microsoft 365). Für öffentliche Stellen Sachsen-Anhalts sind dabei zwei Mitbestimmungstatbestände gleichzeitig einschlägig:

• § 69 Nr. 1 PersVG LSA („Einführung, Anwendung, wesentliche Änderung oder wesentliche Erweiterung von automatisierten Verfahren zur Verarbeitung personenbezogener Daten der Angehörigen der Dienststelle"): Ein ELN ist ein automatisiertes Verfahren im Sinne dieser Vorschrift, sobald Stamm-, Nutzungs- und Aktivitätsdaten Beschäftigter verarbeitet werden.
• § 69 Nr. 2 PersVG LSA („Einführung, Anwendung, wesentliche Änderung oder wesentliche Erweiterung von technischen Einrichtungen, die geeignet sind, das Verhalten oder die Leistung der Angehörigen der Dienststelle zu überwachen"): Greift wegen der systemischen Aktivitätsprotokollierung.

§ 69 Nr. 1 und Nr. 2 PersVG LSA; § 87 Abs. 1 Nr. 6 BetrVG; § 80 Abs. 1 Nr. 21 BPersVG; BAG, Beschluss v. 08.03.2022 – 1 ABR 20/21 (Microsoft 365)

Nach Art. 35 Abs. 1 DSGVO ist eine Datenschutz-Folgenabschätzung erforderlich, wenn eine Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Die Working-Party-Leitlinie WP 248 rev. 01 nennt neun Kriterien; treffen mindestens zwei zu, ist eine DSFA grundsätzlich durchzuführen. Für ein universitätsweites ELN ergibt sich ein typisches Bild:

Mit zwei sicher erfüllten Schwellwertkriterien (systematische Überwachung, umfangreiche Verarbeitung) ist die Durchführung einer DSFA nach hier vertretener Auffassung nicht nur empfehlenswert, sondern nach Art. 35 Abs. 1 DSGVO geboten. Vertiefte Darstellung mit Schwellwert-Prüfraster auf der Themenseite DSFA.

Art. 35 DSGVO; WP 248 rev. 01 (Art.-29-Datenschutzgruppe); DSK-Liste der DSFA-pflichtigen Verarbeitungen

Die TOM-Schicht entscheidet darüber, ob die Rechtsgrundlage in der Praxis trägt. Für ein ELN-System auf eigener Infrastruktur sind aus meiner Sicht folgende Maßnahmen das Standardpaket:

• Self-Hosted-Betrieb auf hochschuleigener Infrastruktur: Vermeidet Drittlandsfragen und behält die Datenhoheit. Kommerzielle Cloud-ELN erfordern eine eigene TIA-Prüfung.
• Identity-Provider-Anbindung (Shibboleth/IdM): Datenminimierung der übertragenen Attribute prüfen – nicht jedes Attribut (Affiliation, Statusgruppe) ist für ein ELN zwingend.
• Containerisierung (rootless): Z. B. mit Podman; mit aktivem NoNewPrivileges-Flag; Geheimnisverwaltung über native Container-Mechanismen, keine Klartextpasswörter in Konfigurationen.
• TLS-Verschlüsselung in transit: AES-256, mindestens TLS 1.2; HSTS aktivieren.
• Verschlüsselung at-rest: Volumen-, Datenbank- und Anwendungsserver-Ebene. Bei Verzicht (z. B. wegen Storage-Deduplikation) muss die Risikobewertung in der DSFA dokumentiert sein – ein bloßer Hinweis auf Betriebspraktikabilität reicht nicht.
• Rollenkonzept: Sysadmin, Team-Admin, Nutzer; API-Keys erben die Rechte des jeweiligen Users; nur Admin-Nutzer dürfen Admin-Keys erzeugen.
• Backup-Konzept: Verschlüsselte SQL-Dumps, definierte Aufbewahrungsdauer (in der Praxis 30 Tage), Backup-Integritätstests, Wiederherstellungstests; Backups bleiben innerhalb der Hochschulinfrastruktur.
• Logdaten-Management: Logfiles mit personenbezogenen Daten getrennt vom Backup; kurze Aufbewahrungsfrist (in der Praxis 7 Tage); kein automatischer Export ins SIEM ohne explizite Zweckbindung.
• API-Governance: Audit-Log für API-Key-Erstellung und -Nutzung; Rate-Limiting; klar definierte und versionierte Endpunkt-Pfade.

Art. 25, 32 DSGVO; SDM v3.1a der DSK; BSI IT-Grundschutz CON.1, CON.3, OPS.1.1.5

1. Einwilligung als Rechtsgrundlage gewählt: Im Beschäftigungsverhältnis und im hochschulischen Über-/Unterordnungsverhältnis trägt die Einwilligung regelmäßig nicht. Korrekter Pfad: Art. 6 Abs. 1 lit. e DSGVO i. V. m. der Aufgabennorm, flankiert durch § 27 DSAG LSA.
2. Mitbestimmung erst zum Rollout angesprochen: § 69 Nr. 1 und Nr. 2 PersVG LSA setzen schon bei der Einführung an. Pilotphasen ohne Beteiligung der Personalvertretung erscheinen riskant.
3. Löschkonzept fehlt oder ist nicht differenziert: Eine pauschale „Aufbewahrungsfrist 10 Jahre" für alle Datenkategorien greift zu kurz. Experiment-, Account- und Logdaten müssen getrennt betrachtet werden.
4. Verschlüsselung at-rest verzichtet, ohne dies in der DSFA zu dokumentieren: Dies dürfte regelmäßig als Abweichung vom Stand der Technik nach Art. 32 Abs. 1 lit. a DSGVO anzusehen sein und gehört in die Risikobewertung.
5. API ohne Dienstvereinbarung: Über REST-APIs sind automatisierte personenbezogene Datenabzüge möglich – das verschärft die Überwachungsproblematik und sollte in der Dienstvereinbarung adressiert sein.
6. Probandendaten in der allgemeinen Instanz: Besondere Datenkategorien (Art. 9 DSGVO) gehören nicht in ein allgemeines ELN ohne separate DSFA. Klare Hinweise an die Forschenden sind erforderlich.
7. Externe Kooperationspartner ohne Rollenklärung: Wer ist Verantwortlicher, wer Auftragsverarbeiter, wann liegt gemeinsame Verantwortlichkeit vor? Die Klärung gehört vor den Vertragsschluss, nicht danach.
8. Datenschutzhinweise unterschlagen Einschränkung der Betroffenenrechte: Wenn § 27 Abs. 5 DSAG LSA in Anspruch genommen wird, gehört dies transparent in die Datenschutzhinweise nach Art. 13 DSGVO. Die Dokumentationspflicht aus § 27 Abs. 5 S. 2 DSAG LSA bleibt davon unberührt.