• Startseite
  • Blog
  • GxP-Friendly Audit für Ledidi Trials – SaaS-Plattform für regulierte klinische Studien erfolgreich bewertet

GxP-Friendly Audit für Ledidi Trials – SaaS-Plattform für regulierte klinische Studien erfolgreich bewertet

23. März 2026

Die regulatorische Bewertung von SaaS-Plattformen, die für GxP-relevante Prozesse eingesetzt werden sollen, sind von hoher Bedeutung. Insbesondere bei cloudbasierten Lösungen stehen Themen wie Datenintegrität, elektronische Signaturen, IT-Sicherheit und Lieferantenqualifizierung im Fokus.

Im Rahmen eines unabhängigen GxP-Friendly Audits wurde die SaaS-Plattform Ledidi Trials durch DHC Dr. Herterich & Consultants umfassend bewertet. Ziel war die strukturierte, transparente und risikobasierte Beurteilung der regulatorischen Eignung für den Einsatz in GxP-regulierten klinischen Studien.

Was ist ein GxP Friendly Audit?

Ein GxP Friendly Audit ist ein unabhängiges, vorbereitendes Audit ohne formale Inspektionsfunktion.

Es dient der:

  • Bewertung der regulatorischen Reife eines Systems oder SaaS-Anbieters
  • Identifikation möglicher Compliance-Risiken und – optional – Aufzeigen von Handlungsempfehlungen
  • Unterstützung der risikobasierten Lieferantenqualifizierung (Supplier Qualification)
  • Vorbereitung auf Kundenaudits oder Behördeninspektionen

Im Gegensatz zu klassischen Lieferantenaudits steht hier die unterstützende, strukturierte Analyse der GxP-Readiness im Vordergrund.

Gerade für SaaS-Anbieter im regulierten Umfeld ist ein Friendly Audit ein strategisches Instrument in Hinblick auf die GxP Compliance.

Über Ledidi und Ledidi Trials

Ledidi ist ein Technologieunternehmen mit Fokus auf digitale Lösungen für datengetriebene klinische Forschung. Ziel ist es, Sponsoren, CROs und Studienteams durch moderne Softwareansätze eine effizientere Studienplanung, -durchführung und -auswertung zu ermöglichen.

Mit Ledidi Trials bietet das Unternehmen eine SaaS-basierte Plattform zur Unterstützung klinischer Studienprozesse. Schwerpunkte sind:

  • strukturierte Datenverarbeitung
  • kollaborative Arbeitsprozesse
  • Transparenz zwischen Studienbeteiligten
  • digitale Unterstützung regulatorischer Anforderungen

Die Lösung ist für den Einsatz in regulierten klinischen Forschungsumgebungen konzipiert und wird kontinuierlich weiterentwickelt, um aktuellen regulatorischen und industriellen Anforderungen gerecht zu werden.

 

Auditansatz und regulatorischer Rahmen

Das Audit wurde als unabhängiges, risikobasiertes GxP-Friendly Audit durchgeführt und orientierte sich an internationalen regulatorischen Anforderungen und Leitlinien, darunter:

  • FDA 21 CFR Part 11 (Elektronische Aufzeichnungen und elektronische Signaturen)
  • ICH GCP E6(R3)
  • ISPE GAMP 5 (risikobasierter Ansatz für computergestützte Systeme)

Der Fokus lag auf einer lieferantenseitigen Bewertung der:

  • Angemessenheit des Qualitätsmanagementsystems
  • Wirksamkeit der Entwicklungs- und Kontrollmechanismen
  • Eignung der Betriebsprozesse
  • Eignung für den Einsatz in GxP-regulierten klinischen Studien

 

Umfang des GxP-Audits für die SaaS-Plattform

Das Audit umfasste folgende zentrale Prüfbereiche:

Qualitätsmanagementsystem (QMS)

  • Struktur und Dokumentation
  • Rollen- und Verantwortlichkeitsmodelle
  • CAPA- und Änderungsmanagement

Software Development Lifecycle (SDLC)

  • Entwicklungsprozesse
  • agile Methoden und Dokumentation
  • Traceability und Nachvollziehbarkeit

Release- und Change-Management

  • formalisierte Freigabeprozesse
  • kontrollierte Versionsverwaltung
  • Impact- und Risikoanalysen

SaaS-Betrieb und IT-Sicherheit

  • Zugriffskontrollen
  • rollenbasierte Berechtigungen
  • elektronische Signaturen
  • Datensicherheitsmaßnahmen

Datenintegrität und Business Continuity

  • Backup-Strategien
  • Disaster Recovery
  • Business Continuity Management
  • Audit Trails
  • Sicherstellung von ALCOA+-Prinzipien

 

Ergebnis des Audits

Das unabhängige Friendly Audit bestätigte, dass Ledidi Trials ein umfassendes und strukturiertes Qualitätssystem implementiert hat.

Der abschließende Auditbericht enthält keine offenen Abweichungen und bestätigt die grundsätzliche Einsatzbereitschaft der Plattform für GxP-regulierte klinische Studien.

 

Nutzung der Audit-Ergebnisse für die Lieferantenqualifizierung

Die Audit-Ergebnisse können von Sponsoren und CROs im Rahmen der risikobasierten Supplier Qualification nach ISPE GAMP 5 genutzt werden.

Wichtig:

Die Verantwortung für die Systemvalidierung und den bestimmungsgemäßen Einsatz verbleibt jederzeit bei der regulierten Organisation.

Ein GxP-Friendly Audit unterstützt jedoch maßgeblich bei:

  • Reduzierung von Qualifizierungsaufwand
  • Erhöhung der Transparenz gegenüber Sponsoren
  • Beschleunigung von Vertrags- und Auswahlprozessen
  • Stärkung der Compliance-Position

 

Warum sind GxP-Friendly Audits für SaaS-Anbieter strategisch wichtig?

Cloud- und SaaS-Lösungen im Life-Sciences-Umfeld unterliegen besonderen regulatorischen Anforderungen.

Herausforderungen sind u. a.:

  • Verantwortungsteilung zwischen Anbieter und regulierter Organisation
  • Validierung von cloudbasierten Systemen
  • Sicherstellung von Datenintegrität
  • Auditierbarkeit agiler Entwicklungsprozesse
  • regulatorische Erwartungen an elektronische Systeme

Ein unabhängiges GxP-Audit schafft hier:

  • regulatorische Transparenz
  • Vertrauen bei Kunden
  • strukturierte Compliance-Nachweise
  • Wettbewerbsvorteile im regulierten Markt

 

GxP-Audit für SaaS-Anbieter im regulierten Umfeld

1:1 Termin - Karsten SchulzPlanen Sie den Einsatz einer SaaS-Lösung in GxP-regulierten Prozessen? Oder möchten Sie als Softwareanbieter Ihre regulatorische Reife strukturiert bewerten lassen?

DHC Dr. Herterich & Consultants unterstützt Sie bei:

  • GxP-Friendly Audits
  • Lieferantenqualifizierung (Supplier Qualification)
  • CSV- und CSA-Strategien
  • regulatorischen Bewertungen cloudbasierter Systeme
  • Compliance-Optimierung für digitale Plattformen

Vereinbaren Sie gerne ein unverbindliches Expertengespräch.

 

FAQs: GxP-Friendly Audit für SaaS-Plattformen

Was ist ein „GxP‑Friendly Audit“ für SaaS‑Plattformen – und wie unterscheidet es sich von einem klassischen Supplier-/IT‑Audit?

Ein GxP‑Friendly Audit ist ein risikobasiertes, SaaS‑taugliches Lieferanten-/Plattform‑Audit, das gezielt die Controls prüft, die für GxP‑Compliance und Auditierbarkeit entscheidend sind (z. B. Datenintegrität, Zugriffskontrollen, Change/Release, Incident/DR). Es berücksichtigt dabei die Cloud-Realität (Multi‑Tenant, Standardprodukt, häufige Releases, begrenzte individuelle Audit‑Zugänge).

Unterschiede zum klassischen Audit:

  • Shared Responsibility im Fokus: Klarer Zuschnitt, was der SaaS‑Provider verantwortet und was der Kunde organisatorisch/prozessual sicherstellen muss.
  • Evidenz pragmatisch: Nutzt realistische SaaS‑Nachweise (z. B. SOC/ISO, Trust‑Center‑Artefakte) statt „On‑Prem“-Artefakte zu erwarten, die SaaS oft nicht liefern kann.
  • GxP‑Impact statt Vollabdeckung: Prüft bevorzugt GxP‑kritische Bereiche statt „alles, was theoretisch möglich ist“.
  • Entscheidungsorientiert: Liefert eine Go/No‑Go‑fähige Bewertung inkl. Auflagen und Maßnahmenplan.

Welche Regularien und Leitlinien adressiert ein GxP‑Friendly SaaS‑Audit typischerweise?

Ein GxP‑Friendly Audit „mapped“ die SaaS‑Controls typischerweise auf die regulatorischen Erwartungen rund um Computerized Systems und Datenintegrität. Häufige Referenzen sind:

  • EU GMP inkl. Annex 11: Erwartungen an Betrieb, Sicherheit, Datenintegrität, Audit Trails, Lieferantensteuerung, Changes.
  • GAMP 5: Leitlinie für risikobasiertes Vorgehen, Supplier Assessment, angemessene Verifikation/Validierung.
  • FDA 21 CFR Part 11 (falls relevant): Anforderungen an elektronische Records und elektronische Signaturen.
  • Data Integrity (ALCOA+) als Leitprinzip: Nachvollziehbarkeit, Vollständigkeit, Unveränderbarkeit, Verfügbarkeit.

Wichtig für Entscheider:
Nicht jede SaaS‑Nutzung ist automatisch „Part‑11‑kritisch“. Relevanz hängt stark davon ab, ob die Plattform GxP‑Records erzeugt/verwaltet und ob elektronische Signaturen eingesetzt werden.

Welche Prüfschwerpunkte sind bei einem GxP‑Friendly Audit für SaaS am wichtigsten?

Die wichtigsten Prüfschwerpunkte sind die Controls, die direkt die Datenintegrität, Compliance‑Nachvollziehbarkeit und Betriebssicherheit beeinflussen:

Audit Trail & Datenintegrität

  • Ist der Audit Trail vollständig (wer/was/wann/warum), aktivierbar/konfigurierbar, schutzfähig und auswertbar?
  • Können Records/Audit Trails exportiert und für Audits langfristig genutzt werden

Identity & Access Management (IAM)

  • Rollen-/Berechtigungskonzept (RBAC), Least Privilege, Admin‑Kontrollen
  • MFA/SSO, User Lifecycle (Joiner/Mover/Leaver), Rezertifizierungen

Change- & Release‑Management (SaaS‑Updatefähigkeit)

  • Wie werden Changes getestet, freigegeben und kommuniziert?
  • Gibt es Impact‑Bewertungen, Release Notes, ggf. Feature‑Toggles/konfigurierbare Funktionen?

Backup/Restore & Business Continuity / Disaster Recovery

  • Definierte RPO/RTO, Restore‑Tests, Nachweise über DR‑Übungen
  • Verfügbarkeit & Wiederherstellbarkeit GxP‑kritischer Daten

Incident-, Problem- & Vulnerability‑Management

  • Meldeprozesse, SLAs, RCA, CAPA‑Mechanismen
  • Patch‑/Vulnerability‑Handling, Security Monitoring

Ergänzend oft entscheidend: Datenlokation/Subprocessor‑Transparenz, Logging/Monitoring, Schnittstellen & Integrationen, Konfigurationskontrolle.

Welche Evidenzen/Nachweise werden in einem GxP‑Friendly Audit für SaaS akzeptiert?

Akzeptierte Evidenzen sind typischerweise standardisierte, auditierte Nachweise und prozessuale Artefakte, die die Wirksamkeit der Controls belegen, z. B.:

  • SOC 2 Type II (inkl. Scope/Zeitraum und getestete Controls)
  • ISO 27001 Zertifizierung (plus relevante Anhänge/Scope, ggf. Statement of Applicability)
  • Trust Center / Compliance Portal (Policies, Prozessbeschreibungen, Kontrollübersichten)
  • SDLC-/Change‑Prozessnachweise (Release Notes, Change‑Workflows, Testzusammenfassungen)
  • BCP/DR‑Nachweise (DR‑Testberichte, Ergebnisse, Verbesserungsmaßnahmen)
  • Incident-/Security‑Nachweise (Prozess, Ticket-/RCA‑Beispiele in anonymisierter Form)
  • Subprocessor‑Listen & Data Processing Agreements (DPA), Datenfluss-/Architekturübersichten

Kann ein GxP‑Friendly Audit die Validierung (CSV/CSA) ersetzen?

Ein GxP‑Friendly Audit ersetzt eine kundeninterne Validierung in der Regel nicht vollständig, kann sie aber deutlich verschlanken und beschleunigen.

Was das Audit typischerweise leistet:

  • Verifiziert die Provider‑Controls (z. B. Security, Ops, SDLC) als belastbare Basis für Supplier Qualification
  • Liefert Input für CSA/CSV‑Scope: Was kann man als „Supplier Evidence“ übernehmen, was muss der Kunde selbst testen?
  • Erstellt eine Shared Responsibility Matrix, die klare Kundenmaßnahmen ableitet (SOPs, Rollenmodell, Periodic Review, Konfigurationskontrolle)
Kostenfreie Websession

Unsere Websessions sind ein kostenloser Service für Kunden und Interessenten der DHC.

Mehr erfahren
Newsletter

Erhalten Sie über unseren Newsletter regelmäßig
Informationen zu unseren Lösungen und Produkten.
Jetzt den Newsletter abonnieren

Vom Newsletter abmelden

Kompetenzen
Branchen
DHC Dr. Herterich & Consultants GmbH
DHC Consulting Deutschland
Landwehrplatz 6-7
D - 66111 Saarbrücken
Telefon: +49 681 93 666 0
Fax: +49 681 93 666 33
DHC AG
DHC Consulting Schweiz
Trafostrasse 1
CH - 8180 Bülach
Telefon: +41 44 500 888 7