• Startseite
  • Blog
  • Lieferantenqualifizierung von Cloud-Service-Providern im GxP-Umfeld

Lieferantenqualifizierung von Cloud-Service-Providern im GxP-Umfeld

27. Januar 2026

Neues Positionspapier von DSAG und SAP schafft Orientierung

Die Lieferantenqualifizierung von Cloud-Service-Providern im GxP-regulierten Umfeld stellt viele Unternehmen der Life-Sciences-Industrie vor große Herausforderungen. Unterschiedliche regulatorische Auslegungen, steigende Cloud-Nutzung und hohe Anforderungen an Patientensicherheit, Produktqualität und Datenintegrität sorgen für Unsicherheit in der Praxis.

Mit dem neuen gemeinsamen Positionspapier „Lieferantenqualifizierung von Cloud-Service-Providern für GxP-regulierte Industrien am Beispiel von SAP“ (Stand: November 2025) geben SAP und die DSAG eine klare, praxisnahe Orientierung. Ziel ist es, ein wirksames, risikobasiertes Lieferantenrisikomanagement für Cloud-Services zu etablieren und zugleich einen Dialog mit Regulatoren und Inspektoren anzustoßen.

Was bedeutet Lieferantenqualifizierung im GxP-Cloud-Kontext?

Unter Lieferantenqualifizierung im GxP-Umfeld versteht man die systematische, risikobasierte Bewertung, Überwachung und Dokumentation von Cloud-Service-Providern (z. B. SaaS, PaaS oder IaaS), um die Einhaltung regulatorischer Anforderungen sowie die Sicherheit von Patienten, Produkten und Daten sicherzustellen.

Das Positionspapier stellt klar:
Lieferantenqualifizierung ist zwingend erforderlich – ein Vor-Ort-Audit hingegen nicht automatisch.
Ob und in welcher Form Audits durchgeführt werden, soll konsequent aus der Risikobewertung abgeleitet werden.

Zentrale Aussagen des Positionspapiers

Risikobasierter Ansatz statt pauschaler Auditpflicht

SAP und DSAG betonen, dass internationale Regularien (u. a. EU-GMP-Leitfaden, Annex 11, AMWHV, GAMP 5) zwar eine Lieferantenqualifizierung fordern, die konkrete Ausgestaltung jedoch risikobasiert erfolgen muss. Entscheidend sind unter anderem:

  • GxP-Relevanz der ausgelagerten Aktivität
  • Einfluss auf Produktqualität, Patientensicherheit und Datenintegrität
  • Art des Cloud-Services (SaaS, PaaS, IaaS)
  • Erfahrung, Reifegrad und Marktstellung des Anbieters

Geteilte Verantwortung zwischen Unternehmen und Cloud-Anbieter

Auch wenn die regulatorische Verantwortung beim GxP-regulierten Unternehmen verbleibt, fordert das Positionspapier eine konsequente Umsetzung der „Shared Responsibility“. Cloud-Service-Provider sollen durch:

  • ein etabliertes Qualitätsmanagementsystem,
  • transparente Dokumentation und
  • standardisierte Nachweise

aktiv zur Risikominimierung beitragen. Diese Nachweise sollten stärker in die Lieferantenbewertung einfließen.

Differenzierte Audit-Strategien

Das Papier ordnet verschiedene Audit-Formen ein – vom einfachen Assessment über Fragebogen-basierte Prüfungen bis hin zu Gruppen- oder Vor-Ort-Audits. Der klare Fokus:
Audit-Aufwände sollen sich an tatsächlichen Risiken orientieren und nicht pauschal erfolgen.

Rolle von SOC2, C5 und SOC2+GxP

Ein wesentlicher Hebel zur Effizienzsteigerung liegt laut SAP und DSAG in der Nutzung standardisierter, unabhängiger Prüfberichte wie SOC2 oder C5.
Als zukunftsweisend wird die Weiterentwicklung zu SOC2+GxP-Berichten beschrieben. Ein SOC2+ Bericht kann um branchenspezifische Anforderungen wie GxP erweitert werden und damit Lücken z.B. bei den Themen Training, Qualifizierung und Verfahrensanweisungen schließen.

Zielbild: Strukturierter, effizienter Qualifizierungsprozess

Das Positionspapier beschreibt einen klar strukturierten Zielprozess – von der Kritikalitätsbewertung über die Sichtung verfügbarer Dokumentation und eine GAP-Analyse bis hin zu abgestuften Folgeschritten.

Dabei wird in dem anvisierten, neuen Prozess zur Lieferantenqualifizierung die Bewertung von zur Verfügung stehender Dokumentation (wie SOC2, C5-Reports) als Mitigation des Lieferantenrisikos vorgeschlagen. Eine eventuelle Lücke zwischen Lieferantendokumentation und Anforderungen des regulierten Unternehmens wird festgestellt und auf dieser Basis des verbleibenden Lieferantenrisikos wird über die Durchführung eines (Vor-Ort-) Audits entschieden.

Das Ergebnis: Umfassende und effektive Lieferantenqualifizierung von Cloud-Service-Providern bei gleichzeitiger Reduktion des Aufwands für notwendige Audits.

Jetzt Positionspapier herunterladen

Das vollständige Positionspapier liefert detaillierte Einblicke in:

  • regulatorische Grundlagen,
  • konkrete Bewertungs- und Entscheidungslogiken,
  • in das Zielbild: Künftiger Ablauf der Lieferantenqualifizierung,
  • Praxisbeispiele und empfohlene Prozessschritte.

➡️ Hier können Sie das Positionspapier herunterladen und im Detail nachlesen:

https://impulsant-dsag.de/formate/textbeitrag/lieferantenqualifizierung

DHC: Ihr Partner für GxP-konformes Lieferantenmanagement in der Cloud

1:1 Termin - Karsten SchulzFür Unternehmen bedeutet der vorgestellte Ansatz: Lieferantenqualifizierung, Cloud-Governance und Audit-Strategie müssen ganzheitlich gedacht werden.

Die DHC unterstützt Sie dabei, Cloud-Service-Provider risikobasiert, pragmatisch und inspektionsfest zu qualifizieren – von SOPs und Assessments über GAP-Analysen bis hin zur strategischen Nutzung von SOC2-, C5- oder SOC2+GxP-Nachweisen.

Gerne stehen wir Ihnen für ein unverbindliches Expertengespräch zur Verfügung, um Ihren konkreten Cloud-Use-Case und eine passende Vorgehensweise zu besprechen.

 

 

Kostenfreie Websession

Unsere Websessions sind ein kostenloser Service für Kunden und Interessenten der DHC.

Mehr erfahren
Newsletter

Erhalten Sie über unseren Newsletter regelmäßig
Informationen zu unseren Lösungen und Produkten.
Jetzt den Newsletter abonnieren

Vom Newsletter abmelden

Kompetenzen
Branchen
DHC Dr. Herterich & Consultants GmbH
DHC Consulting Deutschland
Landwehrplatz 6-7
D - 66111 Saarbrücken
Telefon: +49 681 93 666 0
Fax: +49 681 93 666 33
DHC AG
DHC Consulting Schweiz
Trafostrasse 1
CH - 8180 Bülach
Telefon: +41 44 500 888 7