Warum der neue Entwurf des Annex 11 ein Meilenstein ist

Mit der Veröffentlichung des überarbeiteten Entwurfs für EU GMP Annex 11 im Juli 2025 erhalten regulierte Unternehmen deutlich konkretere und aktuellere Vorgaben für computergestützte Systeme. Die Neufassung – neben Annex 11 auch ergänzt durch das überarbeitete Kapitel 4 (Dokumentation) und den komplett neuen EU GMP Annex 22 für KI-Systeme – reagiert auf einen zentralen Wandel bezüglich computergestützter Systeme: Cloud-Anwendungen, SaaS-Lösungen, hybride IT-Landschaften, starke Systemintegration, agile Implementierung, künstliche Intelligenz und zunehmende Cyber-Risiken.
Der Entwurf des neuen Annex 11 umfasst nun 17 Hauptkapitel sowie ein Glossar und ist deutlich umfassender strukturiert als die bisherige Fassung. Neben der Vertiefung bestehender Themen wie System Requirements, Supplier & Service Management, Electronic Signatures und Audit Trails wurden mehrere neue eigenständige Kapitel eingeführt, darunter Identity & Access Management, Alarms, Security, Handling of Data, Periodic Review, Backup und Archivierung. Damit werden regulatorische Erwartungen nicht nur konkretisiert, sondern in weiten Teilen auch verschärft.

Inhaltlich vollzieht der Entwurf einen klaren Paradigmenwechsel weg von einer überwiegend projektbezogenen Systemvalidierung hin zu einem ganzheitlichen Lifecycle- und Governance-Ansatz für computergestützte Systeme. Regulatorische Konformität wird nicht mehr primär über einmalige Qualifizierungs- und Testaktivitäten definiert, sondern über dauerhaft wirksame technische und organisatorische Kontrollmechanismen, die den sicheren und regelkonformen Betrieb über den gesamten Lebenszyklus hinweg sicherstellen. Dazu zählen insbesondere verbindliche Anforderungen an Cybersecurity, etwa im Hinblick auf Schutzmaßnahmen gegen unbefugten Zugriff, Schwachstellenmanagement und den Umgang mit sicherheitsrelevanten Ereignissen, ebenso wie ein klar geregeltes Identity- und Access-Management mit rollenbasierter Zugriffskontrolle, Segregation of Duties und dem konsequenten Verzicht auf geteilte Benutzerkonten.
Parallel dazu werden Audit-Trail- und Datenintegritäts -Anforderungen deutlich konkretisiert. Alle GMP-relevanten Aktivitäten müssen vollständig, nachvollziehbar und manipulationsgeschützt dokumentiert sein, sodass Änderungen, Löschungen und Zugriffe jederzeit prüfbar sind und regulatorische Erwartungen an Transparenz und Nachvollziehbarkeit erfüllt werden. Ergänzend verschärft der Entwurf die Anforderungen an ausgelagerte IT- und GxP-relevante Leistungen. Unternehmen bleiben ausdrücklich in der Verantwortung für die Compliance ihrer Systeme und müssen Dienstleister risikobasiert qualifizieren, klare vertragliche Regelungen zu Verantwortlichkeiten, Service Levels und Berichtspflichten etablieren sowie sicherstellen, dass eine angemessene Unterstützung bei Audits und Inspektionen gewährleistet ist.

Systeme sind damit über ihren gesamten Lebenszyklus hinweg regelmäßig zu überprüfen und fortlaufend hinsichtlich Sicherheit, Datenintegrität, Backup, Archivierung und Konfigurationsmanagement zu bewerten. Ein validiertes System gilt nicht mehr als abgeschlossener Zustand, sondern als kontinuierlich gesteuerter und überwachter Prozess.
Für Unternehmen bedeutet das: Wer heute GxP-konform und modern arbeiten will, muss Validierung, Betrieb, Sicherheit und Dokumentation neu denken und deutlich integrierter, strukturierter und auf einem professionellen Governance-Niveau umsetzen.

Aktuelle Herausforderungen im regulierten Umfeld: Digitalisierung und Cloud – mehr Dynamik, mehr Risiko

Die klassische, lokal installierte Softwarelandschaft ist längst Vergangenheit. Heutige IT-Umgebungen sind geprägt von Cloud- und SaaS-Systemen, modularen Architekturen und häufigen Updates, insbesondere bei komplexen ERP-Systemen wie SAP S/4HANA, sowie bei MES- und LIMS-Systemen. Jede Änderung, jedes Update kann Auswirkungen auf Validierung, Datenintegrität oder IT-Security haben.
Zusätzlich zur fortschreitenden Digitalisierung und dem Umzug auf neue Technologien steigen die regulatorischen Anforderungen: Die Erwartungen der Überwachungsbehörden an Datenintegrität, Cybersecurity, Dokumentation und Traceability wachsen kontinuierlich. All dies erfordert hochspezialisiertes IT- und CSV-Personal. Viele Unternehmen stehen jedoch vor einem Problem: internes Fachpersonal mit CSV-, Security- oder Cloud-Expertise ist knapp und kostenintensiv, Budgets für interne Validierung oft begrenzt, aber gleichzeitig steigt der Aufwand stetig.

Warum klassische CSV-Teams an ihre Grenzen stoßen

• Validierung ist nicht nur ein einmaliges Projekt, sondern ein kontinuierlicher Prozess über den gesamten Systemlebenszyklus, der hohe und wiederkehrende Aufwände generiert.
• Compliance-Anforderungen (Audit Trails, Zugriffskontrollen, Security, dokumentierte Prozesse) wachsen stetig und erfordern daher langjährige CSV-Erfahrung und Kenntnisse der aktuell geltenden Regularien.
• Interdisziplinäre Anforderungen wie Datenintegrität, IT-Security, Cloud-Compliance, Lifecycle-Management, Lieferanten- und Dienstleistersteuerung erfordern Spezialwissen bzw. Fachexperten.

Das führt dazu, dass viele regulierte Unternehmen heute aufgrund begrenzter Kapazitäten und fehlendem Know-how nicht mehr in der Lage sind, alle Anforderungen intern zu stemmen – zumindest nicht ohne hohen Aufwand oder dem zunehmenden Risiko durch regulatorische Abweichungen.

Outsourcing: Warum und wie ausgelagerte CSV-Aktivitäten jetzt sinnvoll sind

Angesichts der zunehmenden technischen und regulatorischen Komplexität sowie der beschriebenen unternehmensinternen Kapazitäts- und Kompetenzgrenzen wird deutlich, dass klassische CSV-Organisationsmodelle in vielen Unternehmen an ihre Grenzen stoßen. Outsourcing von CSV-Aktivitäten wird damit weniger zur Ausnahme, sondern zunehmend zu einem strategischen Baustein, um Compliance, Qualität und Kosteneffizienz langfristig sicherzustellen – vorausgesetzt, es wird professionell gesteuert und organisiert. Der neue Annex-11-Entwurf unterstreicht dabei, dass Unternehmen auch bei ausgelagerten Aufgaben weiterhin die volle Verantwortung für Compliance, Governance und regulatorische Anforderungen tragen. Dienstleister müssen fachlich qualifiziert sein, vertraglich eindeutig eingebunden werden und nachweislich die regulatorischen Anforderungen erfüllen.
Ein korrekt konzipiertes Outsourcing-Modell kann helfen:

• Kompetenz- und Ressourcen-Lücken zu schließen – z. B. für Lifecycle-Management von Validierungsdokumenten, Umsetzung von Anforderungen zu Audit Trail, Datenintegrität oder IT Security, Durchführung von Periodic Reviews oder als Cloud-Expertise.
• Kontinuität und Stabilität zu sichern – mit einem festen, erfahrenen Dienstleister und einem klar definierten Ansprechpartner statt nicht transparenter und wechselnder mehrstufiger Subunternehmerstrukturen.
• Compliance und Audit-Readiness zu gewährleisten — mit klaren Verantwortlichkeiten, Verträgen, SLAs, nachvollziehbarer Dokumentation, transparenter Steuerung, KPIs und Auditunterstützung.
• Kosten kalkulierbar und beherrschbar zu machen — durch standardisierte Services statt unregelmäßiger intern aufgebauter CSV-Projekte.

Gerade für kleinere und mittelständische Unternehmen, die nicht über große interne CSV-Abteilungen verfügen, sind diese Vorteile nicht zu unterschätzen. Aber auch große Unternehmen profitieren: Durch Entlastung interner Ressourcen, Reduktion von Fehlerrisiken, kalkulierbarer Kosten und professionelle Governance.

Outsourcing von Periodic Review als Paradebeispiel

Besonders deutlich wird der Nutzen von Outsourcing beim Periodic Review: Ein Prozess, der gemäß dem neuen Annex 11 deutlich komplexer, umfangreicher und mit höheren Anforderungen an die Überprüfung verbunden ist als früher.
Ein korrekter Periodic Review umfasst heute weit mehr als eine reine Funktionsprüfung des Systems und beinhaltet unter anderem:

• Risikobewertung und Security-Analyse, um potenzielle Schwachstellen und Bedrohungen zu identifizieren
• Überprüfung von Audit Trails und System-Logs auf Vollständigkeit und Nachvollziehbarkeit aller GMP-relevanten Aktivitäten
• Kontrolle von Zugriffsrechten, Rollen und Berechtigungen, einschließlich Segregation of Duties
• Bewertung der Systemkonfiguration, Monitoring-, Backup- und Restore-Prozesse auf Wirksamkeit und Compliance
• Überprüfung der Change-, Incident- und CAPA-Historie, um dokumentierte Abweichungen und Korrekturmaßnahmen nachzuhalten
• Kontrolle von Berechtigungskonzepten, CSV-bezogenen Arbeitsanweisungen und Prozeduren sowie den Trainingsstatus der Systemnutzer
• Dokumentation und Reporting in auditfähiger Form, um regulatorische Anforderungen jederzeit nachweisen zu können

Diese Vielzahl an Anforderungen machen den Periodic Review zu einer kontinuierlichen Aufgabe, die intern oft schwer konsistent und dauerhaft zu managen ist. Ein Outsourcing bietet hier deutliche Vorteile.

DHC Validation as a Service: So sieht modernes Outsourcing aus

Mit einem strukturierten Outsourcing-Modell wie DHC Validation as a Service (VaaS) lassen sich die Herausforderungen des neuen Annex 11 effizient adressieren. DHC übernimmt dabei sowohl einmalige als auch wiederkehrende Aufgaben und punktuelle Spezialthemen:

1. Analyse & Setup-Aktivitäten für die Service-Transition
   Dazu gehören Gap- und Risiko-Analysen, Reviews von CSV-Frameworks und Validierungsvorgehen sowie Analysen der Systemlandschaft und Tool-Chain.
2. Kontinuierliche Aktivitäten
   Wiederkehrende Tätigkeiten wie Change Management, Periodic Reviews, System Lifecycle-Dokumentation, Testing, Reporting sowie Lieferantenqualifizierungen und Auditunterstützung werden systematisch und zuverlässig umgesetzt.
3.  Punktuelle und bedarfsorientierte Unterstützung
   Spezialthemen wie Berechtigungskonzepte, Datenintegrität, Audit Trails, Erstellung oder Überarbeitung von SOPs und Infrastrukturqualifizierungen werden gezielt unterstützt.

Durch die strukturierte, kontinuierliche und auditfähige Umsetzung aller Aufgaben wird ein nachhaltiger Lifecycle-Prozess etabliert, der Compliance, Sicherheit und Effizienz dauerhaft sicherstellt. Der DHC VaaS sorgt dafür, dass alle Schritte nachvollziehbar dokumentiert sind, Verantwortlichkeiten klar geregelt werden und regulatorische Anforderungen jederzeit erfüllt werden.

Strategischer Vorteil für Unternehmen

Wer jetzt handelt, kann den Annex 11 nicht nur als regulatorische Verpflichtung sehen, sondern als strategischen Treiber für digitale Reife, Compliance-Sicherheit und Betriebseffizienz bei dem Outsourcing – wie DHC Validation as a Service (VaaS)- ein sinnvolles strategisches Instrument ist:

• Compliance-Risiken sind minimiert.
• Interne Ressourcen werden entlastet und können sich auf Kernaufgaben konzentrieren.
• Systeme werden sicher und zukunftsfähig betrieben – unabhängig von personeller Fluktuation oder Projektspitzen.
• Dokumentation, Reports und Governance sind dauerhaft gewährleistet.
• Behördeninspektionen und Audits durch Kunden werden aktiv durch erfahrene DHC Experten unterstützt.

Outsourcing von CSV-Aktivitäten mit hoher Qualität und klarer Steuerung – wie DHC Validation as a Service (VaaS) – wird damit nicht nur zur Option, sondern zur Notwendigkeit.