ALCOA+-Prinzipien und Business Central — Datenintegrität im regulierten ERP

datenintegrität · gxp · alcoa26. März 2026

Datenintegritätsmängel gehören zu den am häufigsten zitierten Befunden in FDA-Warnschreiben und EU-GMP-Inspektionsberichten. Das ALCOA+-Framework ist der praktische Standard, den Regulierungsbehörden verwenden, um zu bewerten, ob Daten in computergestützten Systemen die Integritätsanforderungen regulierter Umgebungen erfüllen. Für Organisationen, die Business Central in der Pharma-, Kosmetik- oder Chemiefertigung betreiben, ist das Verständnis der ALCOA+-Prinzipien eine Voraussetzung für eine belastbare Systemvalidierung.

Was ALCOA+ bedeutet

ALCOA ist das ursprüngliche Akronym: Attributable (zuordenbar), Legible (lesbar), Contemporaneous (zeitgleich), Original, Accurate (genau). Das Pluszeichen erweitert dies um: Complete (vollständig), Consistent (konsistent), Enduring (dauerhaft), Available (verfügbar). Jeder Begriff beschreibt eine Eigenschaft, die GxP-Daten während ihres gesamten Lebenszyklus aufweisen müssen — von der Ersterfassung bis zur Archivierung und Abrufbarkeit.

Dies sind keine angestrebten Prinzipien. Es sind operationalisierte Anforderungen, die Inspektoren anhand spezifischer Systemverhaltensweisen bewerten. Ein System, das diese Eigenschaften nicht nachweist, schafft Inspektionsrisiken — unabhängig davon, wie gut die zugrunde liegenden Geschäftsprozesse gemanagt werden.

Zuordenbar (Attributable)

Jede Dateneingabe und Änderung muss auf die Person zurückgeführt werden können, die sie vorgenommen hat. In Business Central wird die Zuordnung durch die Entra-ID-Authentifizierung gewährleistet. Gemeinsam genutzte Logins sind ein direkter Verstoß gegen die Zuordenbarkeitspflicht — Inspektoren prüfen dies gezielt. Das BC-Berechtigungsmodell muss individuelle Konten ohne gemeinsame oder generische Zugangsdaten durchsetzen.

Das Change Log erfasst zugeordnete Änderungen auf Feldebene. Die Konfiguration muss sicherstellen, dass alle Tabellen und Felder mit GxP-relevanten Daten im Change-Log-Überwachungsbereich enthalten sind.

Lesbar (Legible)

Aufzeichnungen müssen während ihrer gesamten Aufbewahrungsfrist lesbar sein. In Business Central SaaS bedeutet das, dass archivierte Aufzeichnungen über die BC-Oberfläche zugänglich und lesbar bleiben, ohne dass spezielle Werkzeuge erforderlich sind.

Zeitgleich (Contemporaneous)

Daten müssen zum Zeitpunkt der Aktivität aufgezeichnet werden. Business Central unterstützt die zeitgleiche Erfassung durch Echtzeit-Transaktionsbuchungen. Jeder Prozess, der eine manuelle Übertragung von Daten aus einer Papierquelle in BC beinhaltet, schafft eine Zeitgleichheitslücke.

Original

Der erste Datensatz einer Transaktion ist der Original-Datensatz. In Business Central können gebuchte Transaktionen nicht gelöscht werden — nur durch eine nachfolgende Korrekturbuchung berichtigt. Dies bewahrt den Original-Datensatz. Das Change Log erfasst Korrekturen.

Genau (Accurate)

Aufzeichnungen müssen das Geschehene korrekt wiedergeben. Die Genauigkeit in Business Central wird durch Validierungsregeln, Pflichtfeldanforderungen und Genehmigungsworkflows unterstützt, die das Buchen ohne erforderliche Informationen verhindern.

Vollständig, Konsistent, Dauerhaft, Verfügbar

Vollständig bedeutet, dass alle erforderlichen Datenelemente vorhanden sind — durchgesetzt durch Pflichtfeldkonfiguration. Konsistent bedeutet einheitliche Aufzeichnung über alle Einträge hinweg. Dauerhaft bedeutet, dass Aufzeichnungen für die erforderliche Aufbewahrungsdauer erhalten bleiben. Verfügbar bedeutet, dass autorisierte Nutzer Aufzeichnungen innerhalb eines angemessenen Zeitrahmens abrufen können.

Häufige Datenintegritätslücken in Business Central

Die häufigsten ALCOA+-Lücken in BC-Implementierungen in regulierten Umgebungen sind: Change Log nicht für alle relevanten Tabellen konfiguriert; Berechtigungssätze, die gemeinsame Logins oder generische Konten erlauben; fehlendes dokumentiertes Datenaufbewahrungs- und Archivierungsverfahren; Genehmigungsworkflows, die eine Umgehung durch Systemadministratoren ermöglichen; und fehlende Konfigurationsdokumentation, die BC-Einstellungen mit ALCOA+-Anforderungen verknüpft.

ALCOA+ als Inspektionsnachweisrahmen

Bei der Vorbereitung auf eine Inspektion bietet ALCOA+ einen strukturierten Rahmen für den Aufbau des Nachweispakets. Für jedes ALCOA+-Prinzip sollte das Nachweispaket folgendes zeigen: Welche BC-Konfigurationskontrollen die Anforderung erfüllen, wie diese Kontrollen validiert wurden und wie die laufende Konformität durch Änderungskontrolle und periodische Überprüfung aufrechterhalten wird.

Laden Sie den vollständigen ALCOA+- und Business-Central-Datenintegritätsleitfaden als PDF über den untenstehenden Link herunter.