Lieferantenqualifizierung von Cloud-Service-Providern für GxP-regulierte Industrien am Beispiel von SAP

Mit diesem Positionspapier richten sich SAP und DSAG an die Cloud-Service-Kund:innen der GxP-regulierten Industrien mit dem Ziel: Orientierung zum internen Lieferantenrisikomanagement geben und klar formulieren, wie künftige Lieferantenqualifizierungen wirksam umgesetzt werden sollten. Zugleich adressiert das Papier die Gemeinschaft der Regulator:innen und Inspektor:innen mit der Erwartung, dass diese zu der formulierten Position Stellung nehmen. Denn nur durch einen gemeinsamen Konsens zwischen Industrie und Aufsichtsbehörden lässt sich eine einheitliche, praxisnahe Vorgehensweise etablieren.

Stand: November 2025

Einleitung

Der Life-Sciences-Sektor, einschließlich der Pharma-, Biotech- und Medizinproduktebranche, befindet sich im rasanten digitalen Wandel. Diese Entwicklung eröffnet dem Sektor erhebliche Chancen, operativ effizienter zu werden, zu skalieren und Innovationen voranzutreiben – insbesondere durch den Einsatz von Cloud-Computing.

Gerade Innovationen im Bereich Life-Sciences zu fördern, ist in dem Zusammenhang bedeutend. Denn Innovationen haben das Potenzial, Gesundheit und Wohlbefinden von Menschen nachhaltig zu verbessern. Moderne Technologien beschleunigen erwiesenermaßen bereits heute die Entwicklung und Markteinführung neuer Therapien, Medikamente und Medizinprodukte.[1]

Für diese Innovationen gilt, dass sie einerseits mit einer wirksamen Regulierung einhergehen müssen, um Patientensicherheit, Produktqualität und Datenintegrität zu gewährleisten. Anderseits dürfen sie nicht von Vorschriften behindert werden – insbesondere dann nicht, wenn neue Ansätze nachweislich kein zusätzliches Risiko für Patient:innen darstellen. In diesem Gleichgewicht aus Regulierung und Innovationsfreiheit liegt der Schlüssel, um die Chancen der Digitalisierung und des Cloud-Computings voll auszuschöpfen und Fortschritte im Life-Sciences-Sektor zu erzielen.

Vor 28 Jahren führte die U.S. Food and Drug Administration (FDA) Rechtsvorschriften über elektronische Aufzeichnungen und elektronische Signaturen ein – die ersten Regelungen über IT-Systeme in regulierten Branchen. Seitdem versuchen die regulierten Industrien, mit der schnellen technologischen Entwicklung Schritt zu halten und sich dabei an Leitlinien zu orientieren, die auf den bestehenden Gesetzen basieren.

Hier treffen Gesetze, die in einer anderen Zeit und für eine andere Technologie geschrieben wurden, auf neueste, sich rasant entwickelnde Informationstechnologie. Obwohl es für die regulierten Industrien üblich ist, alte Gesetze neu auszulegen, sind die Fortschritte der IT in den letzten Jahrzehnten enorm.

Aus Sicht der SAP und ihrer GxP-regulierten (Good Practices) Kundenunternehmen, die unter dem Dach der Deutschsprachigen SAP-Anwendergruppe e. V. (DSAG) organisiert sind, hat dies zu einer stetig zunehmenden Unsicherheit geführt. Die Unternehmen wissen immer weniger, welche Anforderungen an IT-Systeme, die in Cloud-Umgebungen betrieben werden, tatsächlich gelten. Es braucht eine klare Anleitung, die die technischen und organisatorischen Anforderungen für den Cloud-Betrieb formuliert sowie gegebenenfalls notwendige Zertifizierungen benennt.

Von noch größerer Bedeutung ist jedoch eine Anleitung zum Management von Lieferanten, die cloudbasierte Software, Plattformen oder Infrastruktur für GxP-regulierte Unternehmen anbieten. In den vergangenen Jahren wurden die Anforderungen an das Management von diesen Cloud-Service-Anbietern sowohl von regulierten Unternehmen als auch von lokalen Regulierungsbehörden sehr unterschiedlich interpretiert.

Mit diesem Papier formulieren SAP und DSAG eine solche Anleitung, die eindeutig, verbindlich und praxistauglich sein soll – und die selbstverständlich der geltenden Gesetzgebung folgt. Sie soll außerdem zur Diskussion für die Weiterentwicklung der Regulierung verwendet werden oder zumindest Einfluss auf die Inspektionsvorschriften haben.

Denn: Die regulierten GxP-Industrien müssen mit dem Tempo des technologischen Fortschritts Schritt halten, um in zunehmend instabilen Märkten und in schwieriger globaler Unsicherheit konkurrieren zu können. Sie müssen Wachstumschancen nutzen können, für die der Einsatz von Cloud-Services unausweichlich ist. Und genau dafür brauchen sie klare regulatorische Leitlinien, die bürokratische Belastungen begrenzen, die ursprünglich von den Gesetzgebern nicht vorgesehen waren.

2. Zielgruppe und -setzung

Mit diesem Positionspapier richten sich SAP und DSAG an die Cloud-Service-Kund:innen der GxP-regulierten Industrien. Ziel ist es, Orientierung zum internen Lieferantenrisikomanagement zu geben und klar zu formulieren, wie künftige Lieferantenqualifizierungen wirksam umgesetzt werden sollten.

Zugleich adressiert das Papier auch die Gemeinschaft der Regulator:innen und Inspektor:innen mit der Erwartung, dass diese zu der formulierten Position Stellung nehmen. Denn nur durch einen gemeinsamen Konsens zwischen Industrie und Aufsichtsbehörden lässt sich eine einheitliche, praxisnahe Vorgehensweise etablieren.

Auf diese Weise sollen Vertrauen geschaffen, die Einhaltung von GxP-Anforderungen sichergestellt und gleichzeitig wiederkehrende Diskussionen über die Auslegung von Behördenvorgaben reduziert werden.

SAP und DSAG sprechen sich in diesem Zusammenhang deutlich für den risikobasierten Ansatz aus. Diese Art des Lieferantenmanagements gewährleistet Patienten- und Datensicherheit sowie die Produktqualität. So kann die Life-Sciences-Branche die Innovationspotenziale der SAP-Cloud-Services sicher nutzen.

Der im Folgenden vorgestellte Lösungsansatz bezieht sich auf SAP als Cloud-Service-Provider ebenso wie auf Anwender:innen von Cloud-Services in allen gängigen Deployment-Modellen (Public Cloud, Private Cloud, SaaS/PaaS/IaaS). Berücksichtigt werden dabei ausschließlich GxP-relevante Systeme. Der zugrunde gelegte Rechtsrahmen basiert im Wesentlichen auf den EU-GMP-Leitfäden. Diese enthalten umfassende Vorgaben zur Lieferantenqualifizierung durch die Anlehnung an die GAMP5-Best-Practice CFR Part 11, 21 CFR Part 820). Ein besonderer Schwerpunkt liegt darüber hinaus auf den Anforderungen deutscher Gesetze sowie deren praktischer Auslegung.

3. Status quo: Anforderungen an die Qualifizierung von Lieferanten

Um den aktuellen Rahmen und die Vielzahl regulatorischer Anforderungen zu verdeutlichen, werden im Folgenden zentrale Vorgaben zu Lieferantenqualifizierungen aus verschiedenen internationalen Regularien und Richtlinien zusammengefasst.

Diese Übersicht zeigt, dass die Grundprinzipien – Dokumentation, Risikoanalyse und Nachweis der Lieferantenkompetenz – überall vergleichbar sind, die konkrete Auslegung jedoch von Land zu Land und von Behörde zu Behörde variiert.

EU-GMP-Leitfaden: Dieser fordert in Kapitel 4 die umfassende Dokumentation von Audit-Protokollen und -Berichten sowie die zugehörigen Richtlinien, Verfahren und ergriffenen Maßnahmen. In Kapitel 7 wird betont, dass der pharmazeutische Qualitätssicherungsprozess des Auftraggebenden die Kontrolle und Überprüfung aller ausgelagerten Aktivitäten umfassen muss. Der Auftraggeber/die Auftraggeberin trägt die Verantwortung dafür, dass Prozesse zur Kontrolle dieser Aktivitäten vorhanden sind und die Prinzipien des Qualitätsrisikomanagements integriert werden. Vor der Auslagerung ist eine Bewertung der Rechtmäßigkeit, Eignung und Kompetenz des Auftragnehmenden erforderlich. Die Überprüfung ausgelagerter Tätigkeiten soll vertraglich festgehalten werden.

Annex 11: Dieser legt besonderen Fokus auf computergestützte Systeme und unterstreicht die Notwendigkeit formeller Vereinbarungen, die die Verantwortlichkeiten zwischen Auftraggeber:in und Auftragnehmer:in klar definieren. Der regulierte Nutzer/die regulierte Nutzerin muss sicherstellen, dass das System gemäß einem geeigneten Qualitätsmanagementsystem entwickelt wurde. Die Notwendigkeit eines Audits soll auf einer Risikobewertung basieren.

Abschließend sollte der Vertragsnehmer/die Vertragsnehmerin sich der Tatsache bewusst sein, dass ausgelagerte Tätigkeiten, einschließlich der Vertragsanalyse, von den zuständigen Behörden überprüft werden können.

Arzneimittelwirkstoffherstellungsverordnung (AMWHV) und Medicines and Healthcare products Regulatory Agency (MHRA) ‘GxP’ Data Integrity Guidance Definitions: Betrachtet man die lokalen Regularien, so fordert die deutsche AMWHV gemäß §11 Selbstinspektion und Lieferantenqualifizierung zwar ein Vor-Ort-Audit, jedoch ausschließlich in Bezug auf Ausgangsstoffe sowie primäre und sekundäre Verpackungsmaterialien, die in der Arzneimittelherstellung verwendet werden.

Die britische MHRA behandelt in ihrem GxP-Leitfaden und den Definitionen zur Datenintegrität das Thema IT-Lieferanten und Dienstleister ausführlicher. Hierbei werden explizit auch Cloud-Anbieter sowie virtuelle Dienste und Plattformen berücksichtigt. Neben technischen und vertraglichen Vereinbarungen hinsichtlich der Verantwortlichkeiten und des Datenzugriffs während der Aufbewahrungsfrist wird empfohlen, den Bedarf eines Audits auf Basis einer Risikoanalyse festzulegen.

Im OECD-Leitfaden Nummer 17 zur Anwendung von Grundsätzen der Guten Laborpraxis auf computergestützte Systeme, insbesondere in Abschnitt 1.6 „Lieferant“, sowie in der Ergänzung 1, Kapitel 5.3 „Implementierung einer Cloud-basierten Lösung in GLP“, wird ebenfalls die Bedeutung der Kompetenz und Zuverlässigkeit des Dienstanbieters bzw. Software-Herstellers hervorgehoben. Es wird allgemein empfohlen, basierend auf einer Risikoanalyse, ein Audit durchzuführen und den Dienstleister bzw. Software-Hersteller zu qualifizieren. Allerdings wird auch hier keine explizite Empfehlung für ein Vor-Ort-Audit ausgesprochen. Die dedizierte Ergänzung, die Infrastruktur von Cloud-Services in eine Inspektion miteinzubeziehen, ist allerdings einzigartig in GxP-Regularien.

In der PI 011-3 der PIC/S Guidance – Good Practices For Computerised Systems in Regulated “GxP” Environments wird ebenfalls verdeutlicht, dass Audits nicht zwingend vorgeschrieben sind, jedoch als „bewährte Praxis“ angesehen werden. Die Verantwortung für die Festlegung des Audit-Bedarfs, des Umfangs und der Standards liegt beim regulierten Benutzer/bei der regulierten Benutzer:in.

Abschließend sei auf das ZLG Votum V1100202 hingewiesen, das sich mit der Fragestellung beschäftigt, wie die Anforderung der AMWHV in §20 zur Aufbewahrung von Dokumenten bei elektronischen Dokumenten umzusetzen ist. Im Zusammenhang mit der Qualifizierung und dem fortlaufenden Monitoring wird auch hier klargestellt, dass die Notwendigkeit eines Vor-Ort-Audits auf Basis einer Risikobewertung zu entscheiden ist.

Auch für Medizinprodukte gelten Regelungen für Lieferanten und Audits. So findet sich im Artikel 10 Absatz 9 der Medizinprodukteverordnung[2] die Anforderung, dass ein adäquates Qualitätsmanagementsystem auch „das Ressourcenmanagement, einschließlich der Auswahl und Kontrolle von Zulieferern und Unterauftragnehmern“ abdecken muss. Auch im U.S. Pendant, 21 CFR Part 820[3], finden sich im §820.50 entsprechende Anforderungen zu „Purchasing Controls“.

In der Medizinprodukt-Zertifizierung ISO 13485 werden diese Anforderungen wie folgt gebündelt. Einerseits sollen klare, risikobasierte Beurteilungskriterien festgelegt werden. Andererseits muss eine angemessene Überwachung inklusive entsprechender Aufzeichnungen existieren. Nichteinhaltungen sind klar an Lieferanten zu kommunizieren.

Die genannten Anforderungen unterstreichen die Wichtigkeit einer gründlichen Lieferantenqualifizierung sowie die Relevanz einer umfassenden Dokumentation und Bewertung der ausgelagerten Tätigkeiten. Sie bilden die Grundlage für eine vertrauensvolle und regelkonforme Zusammenarbeit zwischen regulierten Unternehmen und ihren Dienstleistern.

3.1 Praxis der geteilten Verantwortung

In diesem Zusammenhang ist auch die Praxis der geteilten Verantwortung gemäß GAMP 5 Second Edition zu betonen, um darzustellen, wie beide Parteien – pharmazeutische Unternehmen und Cloud-Anbieter – gemeinsam zur Einhaltung der GxP-Vorschriften beitragen sollten.

Denn: Auch wenn die regulatorische Verantwortung bei den regulierten Unternehmen liegt, sollten Lieferanten ihren Teil erfüllen. Schließlich ist die enge Kooperation zwischen beiden Seiten essenziell, um sicherzustellen, dass geeignete computergestützte Systeme für regulierte Aktivitäten eingesetzt und regelkonform und kontrolliert betrieben werden. Hier gibt es in der Praxis noch Optimierungsbedarf.

Lieferanten sollten den Prozess daher durch ein eigenes Qualitätsmanagementsystem (QMS) unterstützen, das sicherstellt, dass ihre Software oder Services qualitätsgeprüft entwickelt und betrieben werden. Und indem sie relevante Dokumentationen, Nachweise und ihr Fachwissen bereitstellen (z.B. technische Spezifikationen, Testprotokolle, Zertifikate).

Für Unternehmen heißt das natürlich: Qualität und Vollständigkeit dieser Lieferantendokumentation vorab prüfen – um sie dann in die eigene Bewertung einfließen zu lassen. Der Vorteil davon: Sollte die Lieferantendokumentation Lücken oder Mängel aufweisen, kann das regulierte Unternehmen gezielte Nachprüfungen oder zusätzliche Tests durchführen (Verifizierungskontrollen) – anstatt alle Punkte von Grund auf selbst neu kontrollieren zu müssen.

Damit die Zusammenarbeit zwischen Unternehmen und Lieferanten reibungslos funktioniert, sollten Verantwortlichkeiten, Prozesse und bereitgestellte Leistungen klar definiert und in Verträgen – etwa in einem Service-Level-Agreement – festgehalten werden.

3.2 Entscheidungsgrundlage für Lieferantenaudit

Zusammengefasst zeigt sich, dass Lieferantenaudits in den regulatorischen Anforderungen im GxP-regulierten Umfeld keineswegs vorgeschrieben sind. Verschiedene Regularien und Leitlinien, wie der EU-GMP-Leitfaden, Annex 11, AMWHV, MHRA GxP-Leitfaden, OECD-Leitfaden und PIC/S Guidance, betonen zwar die Bedeutung einer Lieferantenqualifizierung und umfassenden Dokumentation, lassen jedoch offen, ob und in welchem Umfang ein Audit durchgeführt werden muss. Damit liegt die Entscheidung über die Notwendigkeit eines Audits, insbesondere eines Vor-Ort-Audits, beim regulierten Unternehmen – und sollte auf einer Risikobewertung basieren.

Dieses Vorgehen folgt dem oben erläuterten Grundgedanken der geteilten Verantwortung nach GAMP 5 Second Edition: Regulierte Unternehmen und Lieferanten arbeiten partnerschaftlich zusammen, um die Einhaltung der GxP-Vorschriften gemeinsam sicherzustellen.

3.3 Faktoren bei der Risikobewertung

In der stark regulierten Welt der Life-Sciences, in der die GxP-Standards angewandt werden, spielt das Risikomanagement eine entscheidende Rolle. Es trägt dazu bei, Qualität und Sicherheit von Produkten und Dienstleistungen zu gewährleisten.

GxP-regulierte Unternehmen sind verpflichtet, Standard-Operating-Procedures (Standardarbeitsanweisungen, SOPs) zu erstellen, in denen genau beschrieben ist, wie Lieferanten im Hinblick auf mögliche Risiken bewertet werden. Diese SOPs basieren auf den geltenden regulatorischen Vorgaben und sorgen dafür, dass die Bewertung systematisch und nachvollziehbar erfolgt.

Damit ist sichergestellt, dass bei der Auswahl und Überwachung von Lieferanten alle wichtigen Faktoren berücksichtigt werden, um die Integrität und Sicherheit des Endprodukts zu garantieren.

Bei der Bewertung von Lieferanten ist die Risikobewertung ein zentraler Bestandteil.

Bei der Risikobewertung werden typischerweise folgende Faktoren berücksichtigt:

• GxP-Relevanz oder Non-GxP: Die Klassifizierung der Lieferantenaktivität als GxP oder Non-GxP beeinflusst die Risikobewertung erheblich. GxP-Aktivitäten erfordern strengere Kontrollen und Überwachungen.
• Prozessnähe zum Endprodukt: Je unmittelbarer eine Dienstleistung oder ein Prozess das finale Produkt beeinflusst, desto höher ist das zuzuordnende Risiko. Diese Nähe bestimmt maßgeblich die kritische Bewertung des Dienstleisters.
• Risiko der ausgelagerten Aktivität: Die Art der ausgelagerten Dienstleistung (IaaS, PaaS, SaaS) und deren Einfluss auf die Patientensicherheit, Produktqualität und Datenintegrität sind entscheidende Faktoren. Dienstleistungen, die direkt die Patientensicherheit, Produktqualität und Datenintegrität betreffen, erfordern eine intensivere Überwachung.
• Vertrauen und Erfahrung: Die historische Zusammenarbeit, einschließlich dokumentierter Abweichungen, Vorfälle oder (positiver) Auditverläufe, beeinflusst das Vertrauen in die Leistungsfähigkeit und Zuverlässigkeit des Lieferanten.
• Organisationsgröße und Reifegrad des Unternehmens: Größere Unternehmen verfügen oft über etablierte Prozesse und Ressourcen, um Risiken effektiv zu managen.
• Marktdurchdringung und Anwenderbasis: Eine weit verbreitete Software-Lösung mit umfangreicher Nutzerbasis erhöht die Wahrscheinlichkeit, dass potenzielle Schwachstellen frühzeitig erkannt und adressiert werden. Dies kann die individuelle Risikoeinschätzung positiv beeinflussen.
• Monetäres Volumen: Das finanzielle Volumen der ausgelagerten Aktivität kann das Risiko erhöhen, insbesondere wenn es um kritische Dienstleistungen geht.
• Marktstellung und Abhängigkeit: Eine monopolartige oder marktbeherrschende Position des Anbieters kann das Risiko erhöhen, insbesondere bei begrenzter Verfügbarkeit alternativer Lösungen. Die Substituierbarkeit eines Dienstleisters sollte daher in die Risikobewertung einbezogen werden.

Wie bereits betont, besteht für die global agierende Life-Sciences-Industrie die Herausforderung, dass viele Behörden dieselben Regelwerke unterschiedlich auslegen und prüfen. In Deutschland orientieren sich Inspektionen dabei vor allem an den Vorgaben aus dem Annex 11 sowie an den Beschreibungen aus den ZLG-Votum-Dokumenten.

Dabei zeigt sich in der aktuellen Praxis ein deutlicher Unterschied zu den üblichen Risikoanalysen in der Life-Sciences-Industrie, wie etwa als Teil der Computer-System-Validierung oder Produktqualifizierung: Die Risikominderung durch eine standardisierte Dokumentation des Lieferanten fließt selten in die Entscheidung über die Art des Audits ein. Obwohl Lieferanten möglicherweise standardisierte Auditberichte und detaillierte Dokumentationen zu ihren Qualitätsmanagementprozessen bereitstellen, beeinflussen diese Dokumente bislang nicht die Entscheidung für oder gegen ein Audit bzw. ein Vor-Ort-Audit.

Hier fordern SAP und DSAG ein Umdenken: Das Risikomanagement in GxP-regulierten Unternehmen erfordert eine sorgfältige Bewertung der Lieferanten, um die Integrität und Sicherheit des Endprodukts zu gewährleisten. Daher sollte das Ergebnis auch berücksichtigt werden und über Notwendigkeit sowie Art und Weise der Durchführung von Lieferantenaudits entscheiden.

3.4 Die unterschiedlichen Audit-Arten

Die Konzeption eines Audits erfolgt in Unternehmen in der Regel auf Basis eines risikobasierten Ansatzes. Abhängig von der Risikobeurteilung gibt es verschiedene Arten von Lieferantenaudits.

Einfaches Assessment

Diese Art von Audit wird in der Regel auf Lieferanten mit geringem Risiko angewandt.

Es ist standardisiert, benötigt wenig Aufwand und basiert auf Zertifikaten und Berichten, die der Lieferant bereitstellt. Ziel ist es, einen Überblick über Qualitätsmanagementpraktiken, das Software-Lifecycle-Management, die unterstützenden/sicherheitstechnischen Prozesse sowie die Organisation und Erfahrung des Unternehmens zu bekommen.

Die Art von Bewertung liefert jedoch nur geringe Konfidenz, da keine tiefgehendePrüfung der Prozesse erfolgt und keine zusätzlichen Nachweise vom Lieferanten verlangt werden. Spezifische Anforderungen der Auditor:innen können dabei ebenfalls nicht berücksichtigt werden. Ein einfaches Assessment ersetzt daher kein vollständiges Audit.

Postalisches Audit

Dieser auf Fragebogen basierende Beurteilungsansatz wird in der Regel für Lieferanten mit mittlerem Risiko eingesetzt. Der Aufwand ist zwar höher im Vergleich zum einfachen Assessment, aber dennoch überschaubar. Anders als die erste Variante hat das postalische Audit eine höhere Aussagekraft, weil dem geprüften Unternehmen spezifische Fragen gestellt werden können.

Das Verfahren ist für Lieferanten jedoch nicht standardisierbar und es fehlen konkrete Nachweise.

Vor-Ort-Audit (oder virtuelles Online-Audit)

Dieses Verfahren findet in der Regel bei Lieferanten mit hohem Risiko Anwendung. Dabei besuchen Auditor:innen den Standort des Lieferanten persönlich – oder führen die Prüfung remote durch.

Diese Auditform eignet sich besonders, wenn komplexe Prozesse direkt beobachtet oder die Prüfung eine eingehende Verifizierung der Aktivitäten und Kontrollen erfordert. Die Auditor:innen gewinnen dabei Einblicke durch Beobachtungen, Interviews und Dokumentenprüfungen in Echtzeit.

Diese Art von Prüfung bietet Flexibilität sowohl für Auditor:innen als auch für Auditierte, da sie häufig nach einem komfortablen Zeitplan durchgeführt wird.

Der Nachteil ist jedoch, dass der Aufwand hoch, eine Standardisierung nicht möglich und darüber hinaus die Vergleichbarkeit von Audits schwierig ist. Zudem sind diese Vor-Ort-Audits kostspieliger und zeitaufwändiger als die vorher genannten (Stichwort Reisekosten).

Gruppenaudit

Ein Gruppenaudit hat den Vorteil, dass die Prüfung für gleich mehrere Unternehmen durchgeführt und auf deren Anforderungen abgestimmt werden kann. Alle nötigen Nachweise können vorgelegt und eingesehen werden. Ein weiteres Plus: Beauftragte Vertreter:innen oder Dienstleister, die das Audit gemäß der beauftragenden Unternehmen durchführen, kommen auf einmal zusammen. Damit ist der Aufwand für alle Beteiligten erheblich geringer als bei Einzelaudits, die durch die Unternehmen selbst vor Ort durchgeführt werden.

Herausfordernd können allerdings Abstimmung und Vorbereitung sein – etwa bei der Planung der Agenda oder der gemeinsamen Ergebnisdiskussion – da mehrere Personen beteiligt sind. Zudem ist noch nicht immer klar, wie Aufsichtsbehörden Gruppenaudits bewerten und ob sie diese in allen Fällen akzeptieren.

3.5 SOC2- und SOC2+-Berichte: Vorteile und Herausforderungen

Ein Cloud-Service-Provider (CSP) muss kompetent und zuverlässig sein, wenn er Software- oder IT-Dienste für regulierte Unternehmen anbietet. Denn: Auch wenn bestimmte Aufgaben an den Anbieter ausgelagert werden, bleibt die Verantwortung für die Validierung von Software-as-a-Service (SaaS) sowie die Qualifizierung von Infrastructure- (IaaS) und Platform-as-a-Service (PaaS)-Lösungen beim regulierten Unternehmen.

Das liegt daran, dass Software nur in ihrer konkreten Umgebung und für ihren jeweiligen Zweck validiert werden kann. Eine zusätzliche Herausforderung besteht darin, dass Cloud-Anbieter selbst nicht direkt der regulatorischen Aufsicht unterliegen. Zudem gibt es keine klaren technischen Vorgaben der Regulierungsbehörden, wie die Compliance im GxP-Umfeld sicherzustellen ist.

Ein Beispiel dafür liefert Anhang 11 zum EG-Leitfaden der Guten Herstellungspraxis (Rz. 4.5), der ein „geeignetes“ Qualitätsmanagementsystem (QMS) oder eine „angemessene“ Bewertung von Lieferanten fordert. Diese vagen Begriffe lassen Raum für Interpretationen und erschweren eine einheitliche Umsetzung.

Andere Branchen sind bereits weiter: Die EU hat mit dem Digital Operational Resilience Act[4] ein branchenspezifisches Regelwerk für Cybersicherheit, IKT-Risiken und digitale Resilienz im Finanzsektor etabliert. Seit Januar 2025 unterliegen kritische IKT-Drittdienstleister einer einheitlichen europäischen Aufsicht. Ein vergleichbarer Ansatz könnte auch im GxP-Umfeld helfen, Skalierbarkeit zu fördern, um Compliance-Kosten zu reduzieren, ohne die Qualität zu kompromittieren.

Auch andere Länder machen es vor: Frankreich geht mit der Hébergeurs de Données de Santé[5] ((HDS)-Zertifizierung) für Anbieter, die Gesundheitsdaten hosten, bereits in diese Richtung. Eine Lösung könnte ein GxP-Prüfsiegel oder eine Zertifizierung für Cloud-Service-Provider sein. In Deutschland ist dies allerdings nicht in Sicht.

Gemäß ZLG (Votum V1100202) ist ein Vor-Ort-Audit abhängig von der Risikobewertung. Doch welche Möglichkeiten haben Unternehmen in Deutschland, um bei einem hohen Risiko den Aufwand solcher Prüfungen zu minimieren?

Eine Risikobewertung von computergestützten Systemen im GMP-Umfeld muss anhand nachvollziehbarer Kriterien zeigen, wie sich Systeme auf Produktqualität und Patientensicherheit auswirken. Zwar fordert der ZLG-Leitfaden[6] für Inspektionen von computergestützten Systemen eine solche Bewertung in Form einer dokumentierten Verfahrensanweisung, macht aber keine konkreten Vorgaben zur inhaltlichen Ausgestaltung der Risikobewertung. Daher entscheidet jedes regulierte Unternehmen eigenständig, ob und in welchem Umfang ein Lieferantenaudit notwendig ist.

GAMP 5 Second Edition hingegen verweist auf ISO-27001-Zertifikate oder SOC2-Berichte (System and Organization Controls), die als anerkannte Nachweise für IT- und Datensicherheit gelten.

Die Diskussion um Lieferantenaudits ist vielschichtig: SOC2 als branchenunabhängige Weiterentwicklung darf gemäß ZLG-Leitfaden[7] für Inspektionen von computergestützten Systemen (Nr. 3-6) zur Qualifizierung von Lieferanten herangezogen werden. Der ZLG-Leitfaden (Nr. 4-19)[8] erwartet ein Vor-Ort-Audit, fordert es jedoch nicht zwingend. Ausdrücklich erlaubt ist die Erbringung von Vor-Ort-Audits durch einen Dienstleister (ZLG-Leitfaden, Nr. 3-7)[9]. Nicht abschließend geklärt werden kann hingegen, ob der Dienstleister vom regulierten Unternehmen oder, wie beim SOC2, vom Cloud-Service-Provider beauftragt werden muss. Unbestritten ermöglichen jedoch SOC2 eine unabhängige Kontrolle ausgelagerter Cloud-Dienste. Damit reduzieren sie die Notwendigkeit oder zumindest den Umfang von Vor-Ort-Audits.

Die Vorteile solcher Standards sind offensichtlich: SOC2 und C5 haben sich als De-Facto-Standards in der IT- und Cloud-Branche etabliert. Sie bieten Transparenz durch Beschreibung des internen Kontrollsystems und den Prüfungsumfang, Testhandlungen sowie Prüfungsergebnisse, die zum Prüfungsurteil führen. Solche ausführlichen Berichte sind explizit für die Lieferantenüberwachung angelegt und durch einen unabhängigen, haftbaren Wirtschaftsprüfer ausgestellt. Für den Dienstleister entstehen Skaleneffekte, da ein einziger Bericht an alle Kundenunternehmen verteilt werden kann. Damit stellen sie eine sinnvolle Alternative zu aufwändigen Einzelfall-Prüfungen dar. Dies scheint sowohl aus Sicht des Lieferanten als auch aus Sicht des regulierten Unternehmens erstrebenswert.

Wird ein unabhängiger Wirtschaftsprüfer durch den Cloud-Service-Provider beauftragt, ergibt sich zudem ein weiterer wichtiger Vorteil: Dem Datenschutz wird Rechnung getragen. Die Vertraulichkeit anderer Kundendaten (v.a. bei Multi-Tennant-Systemen) in der Cloud bleibt gewährleistet. Bei individuellen Lieferantenaudits wäre dies eine nicht zu vernachlässigende Herausforderung.

Allerdings bleiben weitere Herausforderungen:

• Mangelnde Anpassbarkeit: SOC2-Berichte sind standardisiert (basierend auf den Trust Services Criteria) und berücksichtigen möglicherweise nicht alle individuellen Bedürfnisse von regulierten Kundenunternehmen.
• Begrenzter Umfang: SOC2-Berichte konzentrieren sich auf die ausgelagerten „Managed Services“ in der Cloud und decken möglicherweise nicht alle Aspekte des gesamten Risikoumfelds des Kundenunternehmen ab. Regulierte Kundenunternehmen müssen möglicherweise auch andere Risikobereiche außerhalb des Umfangs des SOC2-Berichts bewerten.
• Abhängigkeit von der Expertise des Prüfers/der Prüferin: Die Qualität und Zuverlässigkeit des SOC2-Berichts hängen von der Kompetenz und Unabhängigkeit des Prüfenden ab. Regulierte Kundenunternehmen müssen sicherstellen, dass der Prüfende über die notwendige Fachkenntnis und Erfahrung bei der Bewertung von Cloud-Dienstleistern verfügt.
• Verzögerung: SOC2-Berichte werden typischerweise jährlich erstellt und decken einen gewissen Zeitraum ab. Erst danach liegt der Bericht vor.

3.6 Beispiel SAP: GxP-konforme Cloud-Dienste

Wie es als Cloud-Betreiber gelingt, von vornherein zur Risikominimierung beizutragen, zeigt SAP. Der Software-Konzern ist als Betreiber Kritischer Infrastrukturen mehrfach zertifiziert, unter anderem nach ISO 27001 (Informationssicherheit), ISO 9001 (Qualitätsmanagement) und ISO 22301 (Business Continuity Management). Den geforderten „Stand der Technik“ gemäß des IT-Sicherheitsgesetzes weist SAP dem Bundesamt für Sicherheit in der Informationstechnik (BSI) über dessen „Cloud Computing Compliance Criteria Catalogue“ (kurz: C5-Berichte) nach, die dem SOC2 sehr ähnlich sind.

Durch standardisierte Zertifikate und Attestation-Reports (SOC/C5) gelingt ein Nachweis über ein großes Spektrum an Prüfungsschwerpunkten, wie Vulnerability Management, Back-up & Recovery oder auch der logische & physische Zugriffsschutz. Zugegebenermaßen lässt sich nicht jedes Thema aus dem GxP-Bereich abdecken. Prominiente Beispiele sind GxP-Trainingsnachweise, Qualifizierungsnachweise oder interne Verfahrensanweisungen des CSP.

Abhilfe beim mangelnden Umfang und bei der Anpassungsfähigkeit schafft ein sogenannter SOC2+-Bericht. Ein SOC2+-Bericht baut auf dem Standard SOC2 auf, indem er die gleiche Struktur und Prüfmethodik verwendet, aber um zusätzliche, spezifische Compliance-Anforderungen erweitert wird (z.B. ISO, HITRUST, HIPAA). SOC2+, um branchenspezifische Anforderungen wie GxP erweitert, ermöglicht CSP, mit nur einem Audit mehrere regulatorische Vorgaben abzudecken. Ein SOC2+-Bericht um GxP-Anforderungen ergänzt, bestätigt, dass Cloud-Dienstleister diese Anforderungen in ihre Sicherheits- und Compliance-Kontrollen integriert haben. Ein SOC2+ mit GxP-Komponente reduziert mithin den Aufwand für Audits und beschleunigt die Lieferantenbewertung.

SAP hat seit mehr als fünf Jahren einen solchen Bericht im Private-Cloud-Umfeld im Angebot. Dieser schließt z.B. die Lücke bei den Themen Training, Qualifizierung, und Verfahrensanweisungen.

Neben den Zertifikaten und Attestation-Berichten (SOC, C5) stellt SAP zudem für GxP-regulierte Kundenunternehmen einen Vertragszusatz in Form eines Quality-Agreements mit zusätzlichen (Audit-)Rechten zur Verfügung, um verbleibende, residuale Risiken kundenindividuell zu vermeiden.

Bei Vorliegen von Zertifikaten und SOC-Berichten kann daher auf überzogene Back-to-Back-Vereinbarungen in Verträgen zwischen CSPs und reguliertem Unternehmen, verstärkt durch uneinheitliche Anforderungen globaler Märkte, verzichtet werden.

4. Position SAP und DSAG

Basierend auf der vorangegangenen Darstellung der Sachlage stellt sich für SAP und DSAG die Durchführung der Lieferantenqualifizierung am Beispiel von SAP wie folgt dar: Es braucht einmal eine Erweiterung der Risikobewertung als Vorbereitung der Lieferantenqualifizierung sowie einen iterativen Ablauf für die Durchführung der Lieferantenqualifizierung. Auf beide Bestandteile wird in den folgenden Abschnitten weiter eingegangen.

4.1 Anvisierte Risikobewertung

Die Risikobewertung in GxP-regulierten Unternehmen soll als kritischer Prozess sicherstellen, dass Lieferanten zuverlässig und kompetent sind. Sie sollte alle Maßnahmen berücksichtigen, mit denen Lieferanten Risiken verringern. Aus Sicht von SAP und DSAG werden diese risikominimierenden Maßnahmen aktuell jedoch nicht immer ausreichend einbezogen. Die folgenden Punkte zeigen, welche Aspekte bei einer umfassenden Risikobewertung berücksichtigt werden sollten.

• SOC2+-Reports: Diese Reports bieten eine umfassende Bewertung der Sicherheits-, Verfügbarkeits-, Verarbeitungsintegritäts-, Vertraulichkeits- und Datenschutzkontrollen eines Unternehmens. Ein SOC2+-Report könnte als Nachweis für die Implementierung effektiver GxP-Anforderungen dienen.
• GxP-spezifische Dokumentation: Dokumente wie Whitepapers, die GxP-Standards erläutern, bieten wertvolle Einblicke in die Einhaltung von Branchenstandards und sollten in die Risikobewertung einfließen.
• Dokumentation zu Security-Maßnahmen: Eine detaillierte Dokumentation der implementierten Sicherheitsmaßnahmen zeigt das Engagement des Lieferanten für den Schutz sensibler Daten und Systeme.
• Dokumentation zum Umgang mit personenbezogenen Daten: Diese Dokumentation ist entscheidend, um die Einhaltung von Datenschutzgesetzen wie der DSGVO zu gewährleisten.
• Standardisierte Zertifizierungen: Zertifizierungen wie ISO 9001 für Qualitätsmanagement und ISO 27001 für das Informationssicherheitsmanagement bieten standardisierte Nachweise für die Kompetenz und Zuverlässigkeit eines Lieferanten.
• Standardisiertes Reporting zu operativen Prozessen: Ein SOC2-Bericht bietet z.B. Einblick in die operativen Prozesse und deren Effektivität, was für die Risikobewertung von Bedeutung ist.

Die Risikobewertung in GxP-regulierten Unternehmen sollte die risikominimierenden Maßnahmen der Lieferanten stärker anerkennen.

So können Unternehmen durch die Implementierung umfassender risikominimierender Maßnahmen und die Verwendung bestehender Zertifikate von unabhängigen Prüforganisationen Vor-Ort-Audits deutlich reduzieren. Die Einbeziehung von SOC2, SOC2+(GxP)-Berichten, GxP-spezifischen Dokumentationen, Sicherheitsmaßnahmen, Zertifizierungen und standardisierten Reports kann zusätzlich dazu beitragen, die tatsächlichen Risiken besser zu verstehen. Sodass diese z.B. „nur“ im Rahmen von Gruppenaudits beleuchtet werden müssen.

4.2 Zielbild: Künftiger Ablauf der Lieferantenqualifizierung

Die Lieferantenqualifizierung von Cloud-Service-Providern für GxP-regulierte Industrien erfordert einen strukturierten und durchdachten Ansatz, um sicherzustellen, dass alle regulatorischen Anforderungen erfüllt und potenzielle Risiken minimiert werden.

Dieses Kapitel beschreibt das Verfahren, das aus Sicht der DSAG für die Lieferantenqualifizierung – am Beispiel von SAP als Cloud-Service-Provider – angewendet werden sollte. Das Verfahren ist in mehrere Schritte unterteilt, die im Folgenden aufgelistet werden. Je nach Verlauf ist es möglich, dass nicht alle Schritte durchgeführt werden müssen (ein Vorteil im Vergleich zur aktuell gängigen Lieferantenbewertung). Die Kriterien für den Ausstieg aus dem Verfahren sind am Ende des jeweiligen Schrittes beschrieben.

Prozessschritt 1: Bewertung der Kritikalität der ausgelagerten Aktivität aus Sicht des Kundenunternehmens

Zunächst geht es darum, die Risiken der ausgelagerten Aktivität aus Sicht des eigenen Unternehmens einzuschätzen, um zu entscheiden, wie sorgfältig sie kontrolliert werden muss.

Prozessschritt 2: Sichtung der öffentlichen/zur Verfügung gestellten Dokumentation

Diese Phase des Lösungsansatzes umfasst die Sichtung der öffentlich verfügbaren oder von SAP bereitgestellten Dokumentation. Diese Dokumente bieten Einblicke in die Compliance-Maßnahmen und Sicherheitsstandards des Providers und sind entscheidend für die erste Bewertung.

• GxP-Info-Package (SAP übergreifend): Ein Informationspaket, das übergreifende SAP-Prozesse für GxP-regulierte Industrien umfasst. Es kann durch den SAP-Ansprechpartner (Account Executive) angefordert werden.
• GxP-Whitepaper (produktspezifisch, falls verfügbar): Produktspezifische Whitepapers, die detaillierte Informationen über die Einhaltung von GxP-Anforderungen bieten. Alle Whitepapers sind im SAP Trust Center oder der entsprechenden Produktseite auf help.sap.com zu finden.
• SOC2-Bericht (produktspezifisch): Ein SOC2-Bericht, der die Kontrollen und Sicherheitsmaßnahmen des Produkts dokumentiert.
• Andere Zertifikate (ISO9001/27001): Zertifikate, die die Einhaltung von internationalen Standards für Qualitätsmanagementsysteme und Informationssicherheitsmanagementsysteme nachweisen.
• Dokumentation zu Security-Maßnahmen: Dokumentation, die die implementierten Sicherheitsmaßnahmen beschreibt.
• Dokumentation zum Umgang mit personenbezogenen Daten: Dokumentation, die die Maßnahmen zum Schutz und zur Verarbeitung personenbezogener Daten umfasst.
• Weitere Dokumente: Die spezifisch für die angestrebte Lösung oder den geplanten Anwendungsfall sind.

Falls aufgrund geringer Kritikalität der Lösung oder aufgrund der offensichtlich ausreichend verfügbaren öffentlichen/bereitgestellten Dokumentation kein weiterer Handlungsbedarf gesehen wird, kann nach diesem Schritt bereits eine einfache Dokumentation des Vorgehens angelegt und die Qualifizierung abgeschlossen werden. Eine GAP-Analyse wird allerdings empfohlen, um sicherzustellen, dass keine entscheidenden Themen außer Acht gelassen wurden und dies auch Inspektor:innen nachgewiesen werden kann.

Prozessschritt 3: GAP-Analyse

Die dritte Phase besteht aus der Durchführung einer GAP-Analyse, um festzustellen, welche spezifischen Anforderungen des Assessments durch die Sichtung öffentlicher/zur Verfügung gestellter Dokumentation nicht erfüllt werden konnten.

Diese Analyse identifiziert Lücken und potenzielle Risiken, die adressiert werden müssen, um die Compliance zu gewährleisten. Diese GAPs sind kundenspezifisch und können je nach System und Implementierung unterschiedlich relevant sein. Die hier aufgeführten Beispiele für solche Lücken sollen verständlich machen, um welche Arten von Lücken es sich hier handeln kann.

• Grundsätzliche Lücken: Bei der Verwendung von einer verfügbaren Dokumentation können je nach Vorgaben der internen SOPs zur Lieferantenqualifizierung grundsätzliche Anforderungen nicht erfüllt sein. Zum Beispiel:
  • Evidenz: Bereitstellung von Beweisen für die Durchführung von Tests und Überprüfungen.
  • GxP-Training: Nachweis, dass Wirtschaftsprüfer:innen/Auditor:innen in GxP geschult sind.
  • Detailtiefe der Tests: Nachvollziehbarkeit, mit welcher Detailtiefe die Tests durchgeführt wurden.
  • Abdeckung der Tests: Abdeckung aller relevanten Bereiche durch die durchgeführten Tests.
  • Umfang der Tests: Feststellung, welcher Umfang für die Überprüfung in Betracht gezogen wurde.
• Spezifische thematische Lücken: Darüber hinaus kann es spezifische thematische Lücken geben, die durch eine standardisierte Dokumentation ohne GxP-Bezug ungeklärt bleiben. Zum Beispiel:
  • GxP-Training: Schulung der Mitarbeiter:innen in Bezug auf GxP-Anforderungen.
  • Qualifizierungsdokumentation: Dokumentation zur Qualifizierung der Systeme und Prozesse.
  • GxP-Features (Audit-Trail/E-Signature): Implementierung und Dokumentation von GxP-spezifischen Funktionen wie Audit-Trails und elektronischen Signaturen.
  • Tätigkeitsbeschreibungen: Klare Definition der Rollen und Verantwortlichkeiten.
  • Traceability: Nachvollziehbarkeit der Implementierung und Änderungen.
  • GxP-spezifische Vertragsregelungen: Spezifische Vertragsbedingungen, wie z.B. Aufbewahrungsfristen und Zugang für Inspektor:innen.
  • Documented Testing with evidences: Dokumentation von Tests mit Nachweisen.
  • Klare Definition von Release-Zyklen/Patch-Arten: Definition und Dokumentation von Release-Zyklen und Patch-Arten.
  • Cloud-Exit-Strategy: Informationen und Vertragsklauseln zur Unterstützung einer Cloud-Exit-Strategy.

Wenn in diesem Schritt keine GAPs identifiziert wurden, wird das Assessment dokumentiert und das Audit abgeschlossen.

Prozessschritt 4-7: GAPs adressieren und Folgeschritte daraus ableiten

Die nächsten Phasen umfassen die Adressierung der identifizierten GAPs. Dies kann durch verschiedene Maßnahmen erfolgen, abhängig von der Schwere der Lücken und den verbleibenden Risiken.

1. Lieferantenbewertung mit Feststellung aus dem GAP-Assessment und Akzeptanz der bestehenden/verbleibenden Risiken: Wurde aufgrund fehlender Kritikalität oder Nicht-Vorhandensein von GAPs das Vorgehen in den vorherigen Schritten beendet, sollte es durch die adäquate Dokumentation der Ergebnisse des GAP-Assessments und Akzeptanz der verbleibenden Risiken festgehalten werden.
2. Geringes/mittleres Restrisiko wird festgestellt: Wird durch die GAP-Analyse ein geringes bis mittleres Restrisiko aufgrund von nicht-akzeptablen GAPs festgestellt, sollte ein postalischer Fragebogen zur Behandlung von Lücken verwendet werden.
   • (1) Versand eines Fragebogens zur Adressierung der identifizierten GAPs an den SAP-Ansprechpartner/die SAP-Ansprechpartnerin (Account Executive).
   • (2) Überprüfung der erhaltenen Antworten.
   • (3) Keine/unkritische GAPs übrig -> Audit wird dokumentiert und abgeschlossen (siehe 1.)
   • (4) Kritische GAPs -> Wenn kritische GAPs identifiziert werden, ist ein Audit-Report erforderlich.
3. Größeres Restrisiko wird festgestellt oder postalischer Fragebogen nicht ausreichend: Wurde in der GAP-Analyse ein größeres Restrisiko festgestellt oder verblieben nicht akzeptable GAPs aus dem postalischen Fragebogen, dann wird üblicherweise ein Auditbericht erforderlich. Folgende Möglichkeiten gibt es dafür:
   • (1) Gruppenaudit: Wenn möglich, sollten GAPs zusammen mit anderen Firmen in einem Gruppenaudit adressiert werden, um den Aufwand für die auditierenden Firmen sowie die betroffenen SAP-Einheiten zu limitieren. Die Durchführung des Audits kann durch entsandte Vertreter:innen oder beauftragte Dienstleister erfolgen. In einem Gruppenauditbericht sollten alle GAPs als geschlossen dokumentiert oder aber entsprechende Feststellungen notiert werden. SAP stellt diesen Bericht anschließend im Rahmen der Verträge mit der auditierenden Gruppe zu Verfügung. Um die Akzeptanz eines so entstandenen Audit-Berichts zu garantieren, sollte mindestens die Beteiligung an der Planung des Auditumfangs sowie an der Besprechung der Feststellungen nachweisbar sein.
   • (2) Etablierung von SOC2+GxP-Reporting durch SAP: Wenn SAP im Austausch mit ihren Kundenunternehmen feststellt, dass für einen bestimmten Teil ihrer Produkte immer wiederkehrende Lücken adressiert werden sollten, bietet sich die Verwendung von SOC2+GxP-Reports an. Wie beschrieben, bieten SOC2-Reports die Möglichkeit, weitere Compliance-Themen in einer definierten Struktur aufzunehmen. Ein aktuelles Beispiel für einen solchen Report ist für SAP Enterprise Cloud Services verfügbar. Dieser Ansatz bietet grundsätzlich die Möglichkeit, alle identifizierten Lücken standardisiert und mit regelmäßiger, detaillierter Überprüfung für alle Kundenunternehmen eines Produktes zu behandeln. Auch wäre eine kontinuierliche Verbesserung zum Beispiel in Zusammenarbeit mit der DSAG denkbar. Die Grundvoraussetzung, solche Berichte zu etablieren, ist allerdings die regulatorische Akzeptanz. Diese könnte zum Beispiel durch GxP-Kompetenznachweise der Prüfer geschaffen werden. Auch eine Integration in den Gruppenaudit-Ansatz könnte die Akzeptanz gewährleisten.
   • (3) Individuelles Audit: Falls keiner der vorangegangenen Schritte die festgestellten Lücken adressieren konnte, muss ein individuelles Audit in Betracht gezogen werden. Dies kann zum Beispiel auch gerechtfertigt sein, wenn ein Vorfall entstanden ist, der SAP mit einbezieht oder wenn eine konkrete Behördenanforderung dazu vorliegt. Dazu sollte allerdings klar sein, dass SAP derzeit nur für ausgewählte Produkte ein individuelles Auditrecht anbietet. Falls erwartet wird, dass dieses Recht benötigt wird, um die Anforderungen an das Lieferanten-Management zu erfüllen, dann sollte dies beim Vertragsschluss zwingend beachtet werden.

Durch diesen strukturierten Ansatz kann aus Sicht der DSAG sichergestellt werden, dass die Lieferantenqualifizierung von Cloud-Service-Providern für GxP-regulierte Industrien umfassend und effektiv durchgeführt wird, um regulatorische Anforderungen zu erfüllen und mögliche Risiken zu minimieren. Gleichzeitig wird der Aufwand für notwendige Audits auf ein notwendiges Minimum reduziert.

5. Fazit

Durch das beschriebene Vorgehen, erhalten SAPs GxP-regulierte Kundenunternehmen, die Cloud-Services beziehen wollen, einen klaren, nachvollziehbaren Ansatz, um ihr Lieferantenmanagement für SAP aufzusetzen.

Dieser Ansatz basiert auf geltenden Gesetzen, Regularien – etwa 21 CFR Part 11, EU GMP – und deren anerkannten Auslegungen (z.B. GAMP5).

Nach wie vor zeigt sich in der Praxis, dass die Verwendung von Zertifizierungen, die nicht ISO9001 oder ISO27001 sind, insbesondere der Einsatz von SOC2- und C5-Berichten, von Inspektor:innen teils kritisch gesehen wird. Da diese Berichte jedoch ein zentrales Element des beschriebenen Ansatzes darstellen, ist eine klare Positionierung seitens der Behörden wünschenswert.

Das vorliegende Positionspapier richtet sich daher ausdrücklich auch an Regulator:innen und Inspektor:innen mit dem Appell, die Weiterentwicklung der GxP-Fähigkeit von SOC2-Berichten aktiv zu unterstützen – anstatt eines der wichtigsten Compliance-Werkzeuge der Cloud-Service-Provider aufgrund des fehlenden Fokus auf die Life-Sciences-Industrie infrage zu stellen.

Die Erweiterung von SOC2-Berichten zu SOC2+GxP-Berichten bietet genau das, was die Industrie an Klarheit benötigt, um die Innovationen, die Cloud-Service-Provider wie SAP ermöglichen, in sicherer, transparenter und vertrauenswürdiger Weise verwenden zu können.

Und das ist schlussendlich das Ziel: ein gemeinsamer, verbindlicher und praxisnaher Konsens zwischen Industrie, Aufsichtsbehörden und Lieferanten darüber, wie Lieferantenmanagement und -qualifizierung künftig einheitlich, effizient und rechtssicher gestaltet werden können.

Quellenverzeichnis

• Agence du numérique en santé: HDS – Certification Hébergeur de Données de Santé, https://esante.gouv.fr/produits-services/hds, zuletzt abgerufen: 06.10.2025, 21:05 Uhr
• Deloitte: 2025 Life Sciences Outlook, https://www.deloitte.com/us/en/insights/industry/health-care/life-sciences-and-health-care-industry-outlooks/2025-life-sciences-executive-outlook.html, zuletzt abgerufen: 01.09.2025, 20:00 Uhr
• European Insurance and Occupational Pensions Authority: Digital Operational Resilience Act (DORA), https://www.eiopa.europa.eu/digital-operational-resilience-act-dora_en, zuletzt abgerufen: 06.10.2025, 21:02 Uhr
• European Union: EUR-Lex, Regulation – 2017/745 – EN – Medical Device Regulation, https://eur-lex.europa.eu/eli/reg/2017/745/oj/eng, zuletzt abgerufen: 11.09.2025, 23:24 Uhr
• ISPE, Pharmaceutical Engineering: When Speed to Market Counts, https://ispe.org/pharmaceutical-engineering/ispeak/when-speed-market-counts, zuletzt abgerufen: 01.09.2025, 20:00 Uhr
• Zentralstelle der Länder für Gesundheitsschutz bei Arzneimitteln und Medizinprodukten (ZLG): Überwachung computergestützter Systeme, https://www.zlg.de/index.php?eID=dumpFile&t=f&f=2601&token=587fd3625e2d3b9ad2956f334ef67bdd913123eb, zuletzt abgerufen: 06.10.2025, 21:27 Uhr

Impressum

Wir weisen ausdrücklich darauf hin, dass das vorliegende Dokument nicht jeglichen Regelungsbedarf sämtlicher DSAG-Mitglieder in allen Geschäftsszenarien antizipieren und abdecken kann. Insofern müssen die angesprochenen Themen und Anregungen naturgemäß unvollständig bleiben. Die DSAG und die beteiligten Autoren können bezüglich der Vollständigkeit und Erfolgsgeeignetheit der Anregungen keine Verantwortung übernehmen.

Die vorliegende Publikation ist urheberrechtlich geschützt (Copyright).

Alle Rechte liegen, soweit nicht ausdrücklich anders gekennzeichnet, bei:

Deutschsprachige SAP® Anwendergruppe e.V.
Altrottstraße 34 a
69190 Walldorf | Deutschland
Telefon +49 6227 35809-58
Telefax +49 6227 35809-59
E-Mail info@dsag.de
dsag.de

Jedwede unerlaubte Verwendung ist nicht gestattet. Dies gilt insbesondere für die Vervielfältigung, Bearbeitung, Verbreitung, Übersetzung oder die Verwendung in elektronischen Systemen/digitalen Medien.

© Copyright 2025 DSAG e.V.

[1] Siehe Deloitte: 2025 Life Sciences Outlook, https://www.deloitte.com/us/en/insights/industry/health-care/life-sciences-and-health-care-industry-outlooks/2025-life-sciences-executive-outlook.html, zuletzt abgerufen: 01.09.2025, 20:00 Uhr oder ISPE, Pharmaceutical Engineering: When Speed to Market Counts, https://ispe.org/pharmaceutical-engineering/ispeak/when-speed-market-counts zuletzt abgerufen: 01.09.2025, 20:00 Uhr

[2] Siehe European Union: EUR-Lex, Regulation – 2017/745 – EN – Medical Device Regulation, https://eur-lex.europa.eu/eli/reg/2017/745/oj/eng, zuletzt abgerufen: 11.09.2025, 23:24 Uhr

[3] Siehe Code of Federal Regulations: 21 CFR Part 820, Quality System Regulation, https://www.ecfr.gov/current/title-21/chapter-I/subchapter-H/part-820, zuletzt abgerufen: 11.09.2025, 23:27 Uhr

[4] Siehe European Insurance and Occupational Pensions Authority: Digital Operational Resilience Act (DORA), https://www.eiopa.europa.eu/digital-operational-resilience-act-dora_en, zuletzt abgerufen: 06.10.2025, 21:02 Uhr

[5] Siehe Agence du numérique en santé: HDS – Certification Hébergeur de Données de Santé, https://esante.gouv.fr/produits-services/hds, zuletzt abgerufen: 06.10.2025, 21:05 Uhr

[6] Siehe Zentralstelle der Länder für Gesundheitsschutz bei Arzneimitteln und Medizinprodukten (ZLG): Überwachung computergestützter Systeme,https://www.zlg.de/index.php?eID=dumpFile&t=f&f=2601&token=587fd3625e2d3b9ad2956f334ef67bdd913123eb, zuletzt abgerufen: 06.10.2025, 21:27 Uhr

[7] Siehe Zentralstelle der Länder für Gesundheitsschutz bei Arzneimitteln und Medizinprodukten (ZLG): Überwachung computergestützter Systeme, https://www.zlg.de/index.php?eID=dumpFile&t=f&f=2601&token=587fd3625e2d3b9ad2956f334ef67bdd913123eb, zuletzt abgerufen: 06.10.2025, 21:27 Uhr

[8] Siehe ebd.

[9] Siehe ebd.