Lieferantenqualifizierung von Cloud-Service-Providern im GxP-Umfeld
Die Lieferantenqualifizierung von Cloud-Service-Providern im GxP-regulierten Umfeld stellt viele Unternehmen der Life-Sciences-Industrie vor grosse Herausforderungen. Unterschiedliche regulatorische Auslegungen, steigende Cloud-Nutzung und hohe Anforderungen an Patientensicherheit, Produktqualität und Datenintegrität sorgen für Unsicherheit in der Praxis.
Neues Positionspapier von DSAG und SAP schafft Orientierung
Mit dem neuen gemeinsamen Positionspapier „Lieferantenqualifizierung von Cloud-Service-Providern für GxP-regulierte Industrien am Beispiel von SAP“ (Stand: November 2025) geben SAP und die DSAG eine klare, praxisnahe Orientierung. Ziel ist es, ein wirksames, risikobasiertes Lieferantenrisikomanagement für Cloud-Services zu etablieren und zugleich einen Dialog mit Regulatoren und Inspektoren anzustossen.
Was bedeutet Lieferantenqualifizierung im GxP-Cloud-Kontext?
Unter Lieferantenqualifizierung im GxP-Umfeld versteht man die systematische, risikobasierte Bewertung, Überwachung und Dokumentation von Cloud-Service-Providern (z. B. SaaS, PaaS oder IaaS), um die Einhaltung regulatorischer Anforderungen sowie die Sicherheit von Patienten, Produkten und Daten sicherzustellen.
Das Positionspapier stellt klar:
Lieferantenqualifizierung ist zwingend erforderlich – ein Vor-Ort-Audit hingegen nicht automatisch.
Ob und in welcher Form Audits durchgeführt werden, soll konsequent aus der Risikobewertung abgeleitet werden.
Zentrale Aussagen des Positionspapiers:
Risikobasierter Ansatz statt pauschaler Auditpflicht
SAP und DSAG betonen, dass internationale Regularien (u. a. EU-GMP-Leitfaden, Annex 11, AMWHV, GAMP 5) zwar eine Lieferantenqualifizierung fordern, die konkrete Ausgestaltung jedoch risikobasiert erfolgen muss. Entscheidend sind unter anderem:
- GxP-Relevanz der ausgelagerten Aktivität
- Einfluss auf Produktqualität, Patientensicherheit und Datenintegrität
- Art des Cloud-Services (SaaS, PaaS, IaaS)
- Erfahrung, Reifegrad und Marktstellung des Anbieters
Geteilte Verantwortung zwischen Unternehmen und Cloud-Anbieter
Auch wenn die regulatorische Verantwortung beim GxP-regulierten Unternehmen verbleibt, fordert das Positionspapier eine konsequente Umsetzung der „Shared Responsibility“. Cloud-Service-Provider sollen durch:
- ein etabliertes Qualitätsmanagementsystem,
- transparente Dokumentation und
- standardisierte Nachweise
aktiv zur Risikominimierung beitragen. Diese Nachweise sollten stärker in die Lieferantenbewertung einfliessen.
Differenzierte Audit-Strategien
Das Papier ordnet verschiedene Audit-Formen ein – vom einfachen Assessment über Fragebogen-basierte Prüfungen bis hin zu Gruppen- oder Vor-Ort-Audits. Der klare Fokus:
Audit-Aufwände sollen sich an tatsächlichen Risiken orientieren und nicht pauschal erfolgen.
Rolle von SOC2, C5 und SOC2+GxP
Ein wesentlicher Hebel zur Effizienzsteigerung liegt laut SAP und DSAG in der Nutzung standardisierter, unabhängiger Prüfberichte wie SOC2 oder C5.
Als zukunftsweisend wird die Weiterentwicklung zu SOC2+GxP-Berichten beschrieben. Ein SOC2+ Bericht kann um branchenspezifische Anforderungen wie GxP erweitert werden und damit Lücken z.B. bei den Themen Training, Qualifizierung und Verfahrensanweisungen schliessen.
Zielbild: Strukturierter, effizienter Qualifizierungsprozess
Das Positionspapier beschreibt einen klar strukturierten Zielprozess – von der Kritikalitätsbewertung über die Sichtung verfügbarer Dokumentation und eine GAP-Analyse bis hin zu abgestuften Folgeschritten.
Dabei wird in dem anvisierten, neuen Prozess zur Lieferantenqualifizierung die Bewertung von zur Verfügung stehender Dokumentation (wie SOC2, C5-Reports) als Mitigation des Lieferantenrisikos vorgeschlagen. Eine eventuelle Lücke zwischen Lieferantendokumentation und Anforderungen des regulierten Unternehmens wird festgestellt und auf dieser Basis des verbleibenden Lieferantenrisikos wird über die Durchführung eines (Vor-Ort-) Audits entschieden.
Das Ergebnis: Umfassende und effektive Lieferantenqualifizierung von Cloud-Service-Providern bei gleichzeitiger Reduktion des Aufwands für notwendige Audits.
Jetzt Positionspapier herunterladen
Das vollständige Positionspapier liefert detaillierte Einblicke in:
- regulatorische Grundlagen,
- konkrete Bewertungs- und Entscheidungslogiken,
- in das Zielbild: Künftiger Ablauf der Lieferantenqualifizierung,
- Praxisbeispiele und empfohlene Prozessschritte.
➡️ Hier können Sie das Positionspapier herunterladen und im Detail nachlesen:
https://impulsant-dsag.de/formate/textbeitrag/lieferantenqualifizierung
Cloud-Service-Provider im GxP-Umfeld
Lassen Sie uns gemeinsam prüfen, wie Sie Cloud-Service-Provider im GxP-Umfeld risikobasiert, effizient und inspektionsfest qualifizieren können?
Häufige Fragen zur GxP-Lieferantenqualifizierung von Cloud-Service-Providern
Was bedeutet Lieferantenqualifizierung im GxP-Cloud-Umfeld konkret?
Ist bei jedem Cloud-Anbieter ein Vor-Ort-Audit erforderlich?
Nein. Das gemeinsame Positionspapier von SAP und DSAG stellt klar: Lieferantenqualifizierung ist zwingend, ein Vor-Ort-Audit jedoch nur dann sinnvoll, wenn es das Ergebnis der Risikobewertung erfordert.
Welche Rolle spielen SOC2-, C5- und SOC2+GxP-Berichte?
Standardisierte Prüfberichte wie SOC2 und C5 liefern unabhängige Nachweise zur Sicherheits- und Compliance-Reife eines Providers und können Auditaufwände deutlich reduzieren. SOC2+GxP erweitert diesen Ansatz um branchenspezifische GxP-Anforderungen.
Wie sieht der empfohlene Zielprozess zur Lieferantenqualifizierung aus?
Zunächst erfolgt eine Kritikalitätsbewertung des Services, anschliessend die Sichtung vorhandener Nachweise (z. B. SOC2, C5) und eine GAP-Analyse. Auf Basis des verbleibenden Restrisikos wird entschieden, ob zusätzliche Massnahmen wie ein (Vor-Ort-)Audit notwendig sind.