{"id":17183,"date":"2026-01-13T10:19:40","date_gmt":"2026-01-13T09:19:40","guid":{"rendered":"https:\/\/www.dhc-consulting.com\/ch\/?p=17183"},"modified":"2026-02-04T12:47:45","modified_gmt":"2026-02-04T11:47:45","slug":"annex-11-und-outsourcing-der-validierung","status":"publish","type":"post","link":"https:\/\/www.dhc-consulting.com\/ch\/blog\/annex-11-und-outsourcing-der-validierung\/","title":{"rendered":"Annex 11 in Bewegung: Wie das Outsourcing von Validierungsaktivit\u00e4ten effizient und compliant gelingt"},"content":{"rendered":"

Ein Beitrag aus der Reihe \u201eInsights der DHC GxPerts\u201c von Dr. Wolfgang Schumacher, DGQ-Fachauditor & ehemaliger Leiter Quality Computer Systems bei F. Hoffmann-La Roche und Anke Ziska, Practice Manager Managed Validation Services, DHC GmbH<\/em><\/strong><\/p>\n

Warum der neue Entwurf des Annex 11 ein Meilenstein ist<\/h3>\n

Mit der Ver\u00f6ffentlichung des \u00fcberarbeiteten Entwurfs f\u00fcr EU GMP Annex 11 im Juli 2025 erhalten regulierte Unternehmen deutlich konkretere und aktuellere Vorgaben f\u00fcr computergest\u00fctzte Systeme. Die Neufassung – neben Annex 11 auch erg\u00e4nzt durch das \u00fcberarbeitete Kapitel 4 (Dokumentation) und den komplett neuen EU GMP Annex 22 f\u00fcr KI-Systeme – reagiert auf einen zentralen Wandel bez\u00fcglich computergest\u00fctzter Systeme: Cloud-Anwendungen, SaaS-L\u00f6sungen, hybride IT-Landschaften, starke Systemintegration, agile Implementierung, k\u00fcnstliche Intelligenz und zunehmende Cyber-Risiken.
\nDer Entwurf des neuen Annex 11 umfasst nun 17 Hauptkapitel sowie ein Glossar und ist deutlich umfassender strukturiert als die bisherige Fassung. Neben der Vertiefung bestehender Themen wie System Requirements, Supplier & Service Management, Electronic Signatures und Audit Trails wurden mehrere neue eigenst\u00e4ndige Kapitel eingef\u00fchrt, darunter Identity & Access Management, Alarms, Security, Handling of Data, Periodic Review, Backup und Archivierung. Damit werden regulatorische Erwartungen nicht nur konkretisiert, sondern in weiten Teilen auch versch\u00e4rft.<\/p>\n

Inhaltlich vollzieht der Entwurf einen klaren Paradigmenwechsel weg von einer \u00fcberwiegend projektbezogenen Systemvalidierung hin zu einem ganzheitlichen Lifecycle- und Governance-Ansatz f\u00fcr computergest\u00fctzte Systeme. Regulatorische Konformit\u00e4t wird nicht mehr prim\u00e4r \u00fcber einmalige Qualifizierungs- und Testaktivit\u00e4ten definiert, sondern \u00fcber dauerhaft wirksame technische und organisatorische Kontrollmechanismen, die den sicheren und regelkonformen Betrieb \u00fcber den gesamten Lebenszyklus hinweg sicherstellen. Dazu z\u00e4hlen insbesondere verbindliche Anforderungen an Cybersecurity, etwa im Hinblick auf Schutzmassnahmen gegen unbefugten Zugriff, Schwachstellenmanagement und den Umgang mit sicherheitsrelevanten Ereignissen, ebenso wie ein klar geregeltes Identity- und Access-Management mit rollenbasierter Zugriffskontrolle, Segregation of Duties und dem konsequenten Verzicht auf geteilte Benutzerkonten.
\nParallel dazu werden Audit-Trail- und Datenintegrit\u00e4ts-Anforderungen deutlich konkretisiert. Alle GMP-relevanten Aktivit\u00e4ten m\u00fcssen vollst\u00e4ndig, nachvollziehbar und manipulationsgesch\u00fctzt dokumentiert sein, sodass \u00c4nderungen, L\u00f6schungen und Zugriffe jederzeit pr\u00fcfbar sind und regulatorische Erwartungen an Transparenz und Nachvollziehbarkeit erf\u00fcllt werden. Erg\u00e4nzend versch\u00e4rft der Entwurf die Anforderungen an ausgelagerte IT- und GxP-relevante Leistungen. Unternehmen bleiben ausdr\u00fccklich in der Verantwortung f\u00fcr die Compliance ihrer Systeme und m\u00fcssen Dienstleister risikobasiert qualifizieren, klare vertragliche Regelungen zu Verantwortlichkeiten, Service Levels und Berichtspflichten etablieren sowie sicherstellen, dass eine angemessene Unterst\u00fctzung bei Audits und Inspektionen gew\u00e4hrleistet ist.<\/p>\n

Systeme sind damit \u00fcber ihren gesamten Lebenszyklus hinweg regelm\u00e4ssig zu \u00fcberpr\u00fcfen und fortlaufend hinsichtlich Sicherheit, Datenintegrit\u00e4t, Backup, Archivierung und Konfigurationsmanagement zu bewerten. Ein validiertes System gilt nicht mehr als abgeschlossener Zustand, sondern als kontinuierlich gesteuerter und \u00fcberwachter Prozess.
\nF\u00fcr Unternehmen bedeutet das: Wer heute GxP-konform und modern arbeiten will, muss Validierung, Betrieb, Sicherheit und Dokumentation neu denken und deutlich integrierter, strukturierter und auf einem professionellen Governance-Niveau umsetzen.<\/p>\n

Aktuelle Herausforderungen im regulierten Umfeld: Digitalisierung und Cloud \u2013 mehr Dynamik, mehr Risiko<\/h3>\n

Die klassische, lokal installierte Softwarelandschaft ist l\u00e4ngst Vergangenheit. Heutige IT-Umgebungen sind gepr\u00e4gt von Cloud- und SaaS-Systemen, modularen Architekturen und h\u00e4ufigen Updates, insbesondere bei komplexen ERP-Systemen wie SAP S\/4HANA, sowie bei MES- und LIMS-Systemen. Jede \u00c4nderung, jedes Update kann Auswirkungen auf Validierung, Datenintegrit\u00e4t oder IT-Security haben.
\nZus\u00e4tzlich zur fortschreitenden Digitalisierung und dem Umzug auf neue Technologien steigen die regulatorischen Anforderungen: Die Erwartungen der \u00dcberwachungsbeh\u00f6rden an Datenintegrit\u00e4t, Cybersecurity, Dokumentation und Traceability wachsen kontinuierlich. All dies erfordert hochspezialisiertes IT- und CSV-Personal. Viele Unternehmen stehen jedoch vor einem Problem: internes Fachpersonal mit CSV-, Security- oder Cloud-Expertise ist knapp und kostenintensiv, Budgets f\u00fcr interne Validierung oft begrenzt, aber gleichzeitig steigt der Aufwand stetig.<\/p>\n

Warum klassische CSV-Teams an ihre Grenzen stossen<\/h3>\n