Zum Inhalt springen
FM-Connect Chat

Hallo! Ich bin Ihr FM-Connect Chat-Assistent. Wie kann ich Ihnen helfen?

FM-Solutionmaker: Gemeinsam Facility Management neu denken

OECD Gute Laborpraxis (GLP)

Facility Management: Security » Sicherheit » Normen » OECD Gute Laborpraxis (GLP)

OECD Gute Laborpraxis (GLP) im Facility Management

OECD Gute Laborpraxis (GLP) im Facility Management

Die Prinzipien der Guten Laborpraxis (GLP) sind ein international anerkanntes Qualitätssicherungssystem für nicht‑klinische Gesundheits‑ und Umweltsicherheitsstudien. In diesen Studien werden Test‑ und Kontrollsubstanzen unter kontrollierten Bedingungen untersucht, um Daten für Regulierungsentscheidungen zu gewinnen. Die US‑amerikanische Lebensmittel‑ und Arzneimittelbehörde (FDA) definiert GLP als ein „Qualitätssystem, das sich mit dem organisatorischen Ablauf und den Bedingungen befasst, unter denen nicht‑klinische Gesundheits‑ und Umwelt­studien geplant, durchgeführt, überwacht, dokumentiert, archiviert und berichtet werden“. Testeinrichtungen sind dabei als die Gesamtheit der Personen, Räumlichkeiten und funktionalen Einheiten zu verstehen, die für die Durchführung solcher Studien erforderlich sind. Die Managementebene einer Testeinrichtung (Test Facility Management) trägt gemäß den OECD‑Grundsätzen die formale Verantwortung für Organisation und Funktion der Einrichtung. Für Leiterinnen und Leiter des Facility Managements hat die Umsetzung der OECD‑Prinzipien der Guten Laborpraxis weitreichende Konsequenzen. GLP definiert ein umfassendes Qualitäts­system, das alle Aspekte von Studienplanung, Durchführung, Dokumentation und Berichterstattung abdeckt. Das Test Facility Management trägt die formale Verantwortung für die Organisation und Funktionsfähigkeit der Testeinrichtung und muss eine Vielzahl von Aufgaben erfüllen – von der Benennung des Studienleiters über die Bereitstellung geeigneter Ressourcen bis hin zur Implementierung eines unabhängigen Qualitätssicherungsprogramms. Hinzu kommen die Anforderungen an Infrastruktur, Geräte, SOPs und Archivierung.

Mit der Digitalisierung der Labore wächst die Bedeutung der IT‑Sicherheit. Das OECD‑Positionspapier zur GLP und IT‑Sicherheit weist darauf hin, dass elektronische Daten besondere Risiken bergen. Facility‑Manager*innen müssen deshalb physische Sicherheitsmaßnahmen (Zutrittskontrolle, Brandschutz), Netzwerk‑ und Plattformmanagement, Anti‑Virus‑ und Intrusion‑Detection‑Systeme, Authentifizierungsverfahren und ein strukturiertes Incident‑Management implementieren. Standardarbeitsanweisungen und Schulungen bilden die Grundlage für diese Maßnahmen.

Grundlagen der OECD‑GLP und Bedeutung für das Facility Management

GLP entstand in den 1970er‑Jahren als Antwort auf unzuverlässige Labor­studien und dient heute als weltweit harmonisiertes Regelwerk. Die oben zitierte Definition der FDA unterstreicht, dass GLP kein technisches Testverfahren ist, sondern ein umfassendes Qualitätssystem. In Europa werden die OECD‑Prinzipien durch Richtlinien wie die RL 2004/10/EG implementiert; in Deutschland ist das Bundesamt für Risikobewertung (BfR) für die GLP‑Bundesstelle zuständig. Aus Sicht des Facility Managements ist relevant, dass eine Testeinrichtung nicht nur der physische Ort ist, sondern alle operativen Einheiten umfasst, die zur Studien­durchführung beitragen. Dies betrifft Gebäude, technische Anlagen, Qualifikationen des Personals, Dokumentationssysteme und IT‑Infrastruktur. Facility‑Manager*innen tragen insofern Verantwortung für die Einhaltung der GLP‑Prinzipien, als sie die räumlichen, technischen und organisatorischen Rahmenbedingungen gestalten, die die Verlässlichkeit von Studienergebnissen sichern.

Die OECD‑Prinzipien betonen, dass das Test Facility Management die Autorität und formale Verantwortung für die Organisation und Funktionsfähigkeit der Testeinrichtung trägt. Es muss sicherstellen, dass qualifiziertes Personal, angemessene Räumlichkeiten, geeignete Geräte und Materialien sowie standardisierte Arbeitsanweisungen und ein Qualitäts­sicherungsprogramm vorhanden sind. Diese Anforderungen korrespondieren mit typischen Aufgabenbereichen des Facility Managements: Raum‑ und Flächenplanung, Bewirtschaftung technischer Anlagen, Personal­organisation und Dokumentationsmanagement. Eine klare Verankerung von GLP‑Verantwortlichkeiten in den Strukturen des Facility Managements ist daher unabdingbar.

Rollen und Verantwortlichkeiten innerhalb der Testeinrichtung

Ein zentrales Element der GLP ist die eindeutige Zuweisung von Rollen und Verantwortlichkeiten. Das Test Facility Management muss vor Beginn jeder Studie einen qualifizierten Studienleiterin (Study Director) benennen, der oder die als „einziger Verantwortlicher für die Durchführung der Studie“* fungiert.

Darüber hinaus sind folgende Aufgaben festgelegt:

  • Genehmigung des Studienplans: Der Studienplan muss vor Studienbeginn dokumentiert und vom Studienleiter genehmigt werden. Die Managementebene hat dafür zu sorgen, dass diese Genehmigung vorliegt

  • Bereitstellung des Studienplans für die Qualitätssicherung: Der genehmigte Studienplan muss der Qualitätssicherungs­einheit zur Verfügung stehen, damit Inspektionen geplant werden können.

  • Sicherstellung ausreichender Ressourcen: Die Leitung muss geeignete Ressourcen bereitstellen, um eine fristgerechte und ordnungsgemäße Durchführung der Studie zu gewährleisten.

Die Universität von Florida fasst die Aufgaben weiter zusammen: Das Test Facility Management benennt den Studienleiter, stellt eine unabhängige Qualitätssicherungs­einheit (QAU) bereit und gewährleistet, dass diese die Einhaltung der GLP überwacht. Es achtet darauf, dass Räumlichkeiten ausreichend dimensioniert und so gestaltet sind, dass Tätigkeiten voneinander getrennt werden, um Kreuzkontaminationen zu vermeiden. Technische Geräte müssen der Aufgabenstellung entsprechen, regelmäßig gewartet und kalibriert werden. Für alle routinemäßigen Verfahren sind schriftliche Standardarbeits­anweisungen (SOPs) erforderlich, und sämtliche Daten, Protokolle und Berichte müssen ordnungsgemäß archiviert werden. Diese Aufzählung macht deutlich, dass Facility Manager*innen als Bindeglied zwischen wissenschaftlicher Studie und Infrastruktur agieren: Sie koordinieren Personal, definieren Prozesse, überwachen Gebäude‑ und Gerätestatus und stellen die Einhaltung der Dokumentationspflichten sicher.

Normative Rahmenbedingungen und Schnittstellen zu anderen Standards

Die OECD‑GLP‑Prinzipien sind keine Insellösung; sie stehen in Wechselwirkung mit anderen Normen und regulatorischen Anforderungen. In vielen Ländern müssen GLP‑Studien sowohl die OECD‑Prinzipien als auch die Anforderungen der ISO/IEC 17025 erfüllen, die die Kompetenz von Prüflaboren hinsichtlich Prüf‑ und Kalibrierverfahren regelt. Die BfR‑Liste „OECD Documents on Good Laboratory Practice“ weist darauf hin, dass es Positionspapiere zur Beziehung zwischen GLP und ISO/IEC 17025 gibt sowie Leitlinien zur Peer Review der Histopathologie, zur Archivführung und zur Organisation von Multi‑Site‑Studien. Für Facility‑Manager*innen bedeutet dies, dass sie neben den GLP‑Prinzipien auch Anforderungen anderer Qualitäts‑ und Sicherheitsnormen berücksichtigen müssen. Ein integriertes Managementsystem, das GLP, ISO‑Normen, Arbeitsschutz und Datenschutz zusammendenkt, erleichtert die Compliance und reduziert Redundanzen. Beispielsweise können technische Wartungspläne so gestaltet werden, dass sie sowohl die Kalibrierungsanforderungen der ISO/IEC 17025 als auch die Instandhaltungs‑ und Sicherheitsanforderungen der GLP erfüllen.

Sicherheit im GLP‑Umfeld: physische und digitale Dimensionen

Die klassische GLP‑Regelung legte ursprünglich den Schwerpunkt auf physische Sicherheit (Zugangskontrolle zu Laborräumen, Schutz vor Kontamination, Brand‑ und Explosionsschutz). Mit der zunehmenden Digitalisierung der Labore hat sich eine zweite Dimension entwickelt: IT‑Sicherheit. Das OECD‑Positionspapier zur GLP und IT‑Sicherheit (Nr. 25) betont, dass die Generierung und Speicherung von GLP‑Daten in elektronischen Formaten spezifische Risiken mit sich bringt, darunter unbefugter Zugriff, Datenkorruption und Cyberangriffe. Obwohl das IT‑Management ausgelagert sein kann, bleibt die Verantwortung für die Einhaltung der GLP‑Vorgaben und die Integrität der Daten bei der Testeinrichtung.

Die Empfehlungen des Positionspapiers lassen sich in mehrere Maßnahmenbereiche gliedern:

Physische Sicherheit

Physische Sicherheitsmaßnahmen schützen Server, Datenträger und Netzwerktechnik vor unbefugtem Zugriff, Naturkatastrophen und anderen Bedrohungen. Zu den empfohlenen Maßnahmen zählen Zwei‑Faktor‑Authentifizierung, Schädlingsbekämpfung, Feuerlöschsysteme und Notfallpläne. Für Facility‑Manager*innen bedeutet dies, dass sie Zutrittskontrollsysteme (z. B. Chipkarten oder biometrische Verfahren) implementieren, Brandschutz‑ und Sprinkleranlagen warten und bauliche Schutzmaßnahmen (z. B. gegen Überschwemmung) vorhalten müssen. Auch die Notfallplanung – etwa Backup‑Standorte für Server – fällt in ihren Verantwortungsbereich.

Netzwerksicherheit und Systempflege

Ein robustes Firewall‑Konzept bildet die erste Verteidigungslinie zwischen internen Netzwerken und externen Angriffen; es sollte regelmäßig überprüft und an neue Bedrohungen angepasst werden. Ebenso wichtig ist das Schwachstellen‑ und Plattformmanagement, das die regelmäßige Aktualisierung von Betriebssystemen und Software vorsieht. Veraltete Plattformen müssen entweder aktualisiert oder vom Netz getrennt werden. Für Facility‑Manager*innen heißt das, dass sie eng mit IT‑Abteilungen zusammenarbeiten müssen, um Wartungsfenster zu koordinieren, Software‑Updates zu dokumentieren und eventuelle Downtimes in den Laborbetrieb zu integrieren. Mobiles Speichermaterial wie USB‑Sticks und externe Festplatten kann Schadsoftware einschleusen; daher ist eine strenge Kontrolle bidirektionaler Geräte erforderlich.

Erkennung und Prävention von Cyberbedrohungen

Aktuelle Anti‑Virus‑Software und Intrusion‑Detection‑Systeme sind unverzichtbar, um Bedrohungen in Echtzeit zu identifizieren und abzuwehren. Zudem sollten regelmäßige Penetrationstests durchgeführt werden, um Schwachstellen insbesondere in internetnahen Systemen aufzudecken und zu beheben. Für die Facility‑Leitung bedeutet dies, externe Sicherheits­experten zu beauftragen, Schwachstellenberichte zu bewerten und Maßnahmen umzusetzen – unter Wahrung der Integrität des laufenden Laborbetriebs.

Authentifizierung und Zugriffskontrollen

Die OECD‑Leitlinien empfehlen robuste Authentifizierungsverfahren wie Passwörter, Tokens oder biometrische Verfahren. Passwortregeln sollen Komplexität, Ablaufzeiten und Vertraulichkeit sicherstellen. Ferner sind verschlüsselte Kommunikationsprotokolle (VPN, HTTPS) bei Fernzugriffen auf GLP‑Systeme obligatorisch. Für Facility‑Manager*innen bedeutet dies, dass sie Zugriffskonzepte entwickeln, Berechtigungen regelhaft überprüfen und den Einsatz sicherer Verbindungswege gewährleisten. Die Verwaltung getrennter Netze für GLP‑relevante Systeme und Büro‑Netzwerke kann das Risiko zusätzlich reduzieren.

Vorfallmanagement und Back‑up‑Strategien

Ein effektives Incident‑Management erfordert, dass Sicherheitsvorfälle dokumentiert, untersucht und korrigiert werden. Gemäß den OECD‑Empfehlungen müssen Sicherungs­kopien (Back‑ups) risikobasiert, regelmäßig und an räumlich getrennten Orten durchgeführt werden. Ebenso wichtig ist das Testen der Wiederherstellungsverfahren, um im Ernstfall die Funktionsfähigkeit sicherzustellen. Facility‑Manager*innen sollten mit IT‑Verantwortlichen Notfallpläne erarbeiten, Zuständigkeiten festlegen und die Meldung von Sicherheitsverstößen an Behörden vorbereiten. Die Leitlinien betonen zudem, dass Standardarbeitsanweisungen nicht nur für Laborprozesse, sondern auch für IT‑Sicherheitsmaßnahmen verbindlich zu dokumentieren sind. Bei Datenverlust oder Hacking muss die nationale GLP‑Compliance‑Behörde informiert werden.

Integriertes Managementsystem

Facility‑Manager*innen sollten ein integriertes Managementsystem etablieren, das Qualitätsmanagement (GLP, ISO/IEC 17025), Arbeitsschutz, Informationssicherheit und Umweltschutz zusammenführt. Dieses System sollte alle relevanten SOPs, Schulungsdokumente, Wartungspläne und Notfallverfahren umfassen. Eine Verzahnung der Prozesse erleichtert die Ressourcenplanung und minimiert Reibungsverluste. Digitale Managementsysteme können hier unterstützen, müssen aber ihrerseits die genannten IT‑Sicherheitsstandards erfüllen.

Qualifizierung und Schulung

Die Qualifikation des Personals ist eine Grundvoraussetzung für GLP‑konformes Arbeiten. Neben fachlichen Qualifikationen müssen Mitarbeitende in den Bereichen Dokumentation, Qualitätssicherung, Arbeitssicherheit und IT‑Sicherheit geschult werden. Das Facility Management sollte Schulungspläne entwickeln, die regelmäßig evaluiert und aktualisiert werden. Zudem sollte es sicherstellen, dass Lebensläufe und Schulungsnachweise der Mitarbeitenden dokumentiert und aktuell gehalten werden.

Kommunikation und Schnittstellenmanagement

Da GLP‑Studien meist interdisziplinär sind, müssen die Schnittstellen zwischen Wissenschaft, Technik und Administration klar definiert werden. Facility‑Managerinnen fungieren dabei als Vermittlerinnen zwischen Studienleitung, Qualitäts­sicherung, IT‑Abteilung und Gebäudetechnik. Regelmäßige Kommunikation, z. B. in Form von interdisziplinären Arbeitsgruppen, unterstützt die frühzeitige Identifikation von Risiken und die kooperative Lösung von Problemen.

Kontinuierliche Verbesserung

Die OECD fordert nicht nur Einhaltung, sondern auch die laufende Verbesserung der Qualitätssysteme. Facility‑Manager*innen sollten daher Kennzahlen zur Überwachung ihrer Prozesse etablieren, interne Audits durchführen und Verbesserungsmaßnahmen ableiten. Externe Audits durch Behörden oder Zertifizierungsstellen bieten zusätzliche Impulse. Gerade im Bereich der IT‑Sicherheit erfordern sich wandelnde Bedrohungslagen eine stetige Anpassung der technischen und organisatorischen Maßnahmen.