Bewertungs‑ und Qualifizierungsdatenbank für Fremdfirmen‑Dienstleister
Die Auftraggeberin – ein global agierendes, mehrstufig produzierendes Industrieunternehmen mit mehreren regulierten sowie nicht‑regulierten Fertigungsstandorten – sieht sich mit einer stetig wachsenden Zahl externer Dienstleistungs‑ und Werkvertragsfirmen konfrontiert. Die Leistungen dieser Fremdfirmen reichen von klassischen Instandhaltungstätigkeiten über Reinigungs‑, Logistik‑ und Facility‑Management‑Services bis hin zu hochkritischen Arbeiten an produktberührenden Anlagen im GMP‑geregelten Umfeld. Bislang erfolgt die Qualifizierung, Bewertung und Re‑Zertifizierung dieser Partner dezentral in heterogenen Systemen (u. a. Excel‑Tabellen, SharePoint‑Listen, ERP‑Module). Dieses Flickwerk führt zu Inkonsistenzen, erhöhtem Audit‑Risiko, erschwerter Trendanalyse und einer fehlenden konzernweiten Transparenz. Insbesondere im GMP‑regulierten Teil der Organisation können Lieferanten‑ und Dienstleisterqualifizierungen gemäß EU‑GMP‑Leitfaden, Annex 15 sowie 21 CFR §211.84 (Testing and approval or rejection of components, drug product containers, and closures) nicht vollständig lückenlos nachgewiesen werden.
Ziel ist daher die Einführung einer ganzheitlichen Bewertungsdatenbank, die alle Fremdfirmen über ihren gesamten Lebenszyklus hinweg – vom Erstkontakt bis zur ggf. sanktionierten Abmeldung – digital erfasst, risikobasiert bewertet, GMP‑konform dokumentiert und über standardisierte Schnittstellen in die Systemlandschaft des Unternehmens integriert. Mit der hier dargelegten, bewusst breit angelegten Vision einer Bewertungsdatenbank für Fremdfirmen hebt die Auftraggeberin den Prozess der Lieferanten‑ und Dienstleisterqualifizierung auf ein neues, wissenschaftlich fundiertes Niveau. Die Kombination aus GMP‑Konformität, tiefer Prozessintegration und stringentem Risikomanagement soll nicht nur die regulatorische Belastbarkeit erhöhen, sondern zugleich einen markanten Wettbewerbsvorteil schaffen. Dieses Lastenheft bildet die verbindliche Basis für die Auswahl eines geeigneten Lösungspartners, dessen Produkt in gleicher Weise technologische Exzellenz wie regulatorische Reife unter Beweis stellt.
Die Bewertungsdatenbank soll nicht lediglich ein weiteres IT‑Tool sein, sondern als unternehmensweite Governance‑Plattform fungieren.
Im Mittelpunkt stehen:
die nachhaltige Reduzierung regulatorischer Risiken (FDA‑, EMA‑, TGA‑Audits etc.),
die Steigerung von Anlageneffizienz und Produktsicherheit durch jederzeit verfügbare, valide Fremdfirmenbewertungen,
die konsistente Anwendung einheitlicher Bewertungskriterien, die sich an ISO 9001, ISO 19443 (nuclear supply chain), aber vor allem an GxP‑Vorgaben orientieren,
die signifikante Entlastung der Fachbereiche durch automatische Workflows, reminder‑gestützte Re‑Zertifizierungszyklen und revisionssichere Archivierung.
Darüber hinaus wird erwartet, dass das System mittels aggregierter Key Performance Indicators (KPIs) – etwa OTIF‑Quote, CAPA‑Durchlaufzeit, Audit‑Findings‑Klassen – strategische Einkaufs‑ und Make‑or‑Buy‑Entscheidungen datenbasiert unterstützt.
Geltungsbereich des Lastenhefts
Der Gegenstand dieses Lastenhefts umfasst ausschließlich die fachlichen und regulatorischen Anforderungen sowie die erwarteten Leistungseigenschaften des zukünftigen Systems aus Sicht der Auftraggeberin. Es legt bewusst keine konkrete Implementierungs‑ oder Technologiearchitektur fest, definiert jedoch die Randbedingungen, innerhalb derer ein Anbieter eine adäquate Lösung entwickeln muss.
Die folgenden Werke, Regelwerke und internen Policies sind als verbindliche Referenzdokumente zu berücksichtigen:
EU‑GMP‑Guide (Part I & II, Annex 8 und 15)
ICH Q9 (Quality Risk Management)
GAMP 5 „A Risk‑Based Approach to Compliant GxP Computerized Systems“
ISO 27001 (Informationssicherheitsmanagement)
Unternehmens‑Qualitätsrichtlinie „QA‑07 Lieferantenmanagement und Fremdfirmen“
Die Bewertungsdatenbank muss – gewissermaßen als digitaler Zwilling des gesamten Fremdfirmen‑Ökosystems – drei zentrale Funktionsstränge nahtlos verweben:
Stammdatenerhebung und ‑pflege: Sobald eine Fachabteilung den Bedarf an einer neuen Fremdfirma identifiziert, wird ein digitaler „Qualification‑Track“ eröffnet. Dieser beginnt mit der Anlage eines Lieferanten‑Stammdatensatzes, der sowohl klassische kaufmännische Angaben (Firmierung, USt‑IdNr., Versicherungsnachweise) als auch GMP‑relevante Parameter (z. B. aktuelles gültiges ISO‑9001‑ oder -13485‑Zertifikat, Audit‑Historie, Hygienemanagement‑Nachweise) enthält. Ein obligatorisches Vier‑Augen‑Prinzip stellt sicher, dass Stammdaten erst nach Freigabe durch einen qualifizierten QA‑Sachverständigen in den produktiven Datenbestand überführt werden.
Risikobasierte Bewertung und Klassifizierung: Die Datenbank muss ein konfigurierbares Scoring‑Modell bereitstellen, das nach ICH Q9 ein kombiniertes Risiko‑ und Performance‑Rating generiert. Hierbei gehen u. a. Kritikalität der Tätigkeit (z. B. Eingriff in sterile Umgebung vs. Gartenpflege), Standort‑Sicherheitsstufe, Komplexität der Leistung, historische CAPA‑Dichte und Audit‑Trajektorien in die Berechnung ein. Die algorithmische Logik wird transparent versioniert, sodass Änderungen (z. B. gewichtete Anpassung bei neuen regulatorischen Leitlinien) nachvollziehbar bleiben.
Lebenszyklus‑Gestaltung, Monitoring und Eskalation: Nach erfolgreicher Erstqualifizierung tritt die Fremdfirma in einen zyklischen Überwachungsmodus ein. Periodische Selbstbewertungen, automatisierte KPI‑Abgleiche mit ERP‑‑Auftragsdaten sowie optional IoT‑gestützte On‑Site‑Checks (z. B. digitale Arbeitserlaubnissysteme) aktualisieren das Risikoprofil. Bei Abweichungen jenseits definierter Schwellwerte löst das System eine Eskalationskaskade aus: Sofortmeldung an den Fachbereich, CAPA‑Verfolgung mit Fristen, ggf. temporäre Sperrung im ERP. Jede Eskalation endet in einem abschließenden Wirksamkeits‑Review, um den PDCA‑Kreis (Plan‑Do‑Check‑Act) vollständig zu schließen.
Nicht‑funktionale Anforderungen
Das Datenbanksystem soll im GxP‑kritischen Umfeld als Category 4‑System nach GAMP 5 klassifiziert werden. Daraus folgen die nachstehenden qualitativen Eigenschaften, die hier bewusst in fließendem Text statt in staccatoartigen Bullet‑Points ausgeführt sind:
Die Verfügbarkeit des Systems darf in Summe aller geplanten und ungeplanten Ausfälle die Marke von 99,5 % pro Kalenderjahr nicht unterschreiten, da sonst die Integrität von Batch‑Freigabeprozessen innerhalb der GMP‑Standorte gefährdet wäre. Gleichzeitig muss die Performance so beschaffen sein, dass selbst bei einer Datenmenge von einer Million Bewertungssätzen und einem gleichzeitigen Zugriff durch bis zu 1 000 authentifizierte Nutzerinnen und Nutzer die Antwortzeit für komplexe Suchen und Filterabfragen stets unter drei Sekunden bleibt.
Darüber hinaus verpflichtet sich der künftige Anbieter, den Schutz personenbezogener Daten gemäß EU‑DSGVO sowie die Vertraulichkeit und Integrität klassifizierter Betriebsmittelinformationen gemäß ISO 27001 Annex A sicherzustellen. Ein nachweisliches Zero‑Knowledge‑Verschlüsselungskonzept ist ebenso vorzulegen wie ein redundantes Backup‑ und Restore‑Verfahren, das einen Recovery Point Objective (RPO) von maximal vier Stunden garantiert.
Systemumgebung und Schnittstellen
Die Auftraggeberin betreibt eine heterogene IT‑Landschaft mit SAP S/4HANA als führendem ERP‑System, einem Manufacturing Execution System (MES) im GMP‑Bereich sowie mehreren lokalen CMMS‑Instanzen.
Die Bewertungsdatenbank muss diese Umgebung respektieren und über standardisierte, bidirektionale Schnittstellen verfügen:
Ein REST‑basierter Serviceaustausch für Echtzeit‑Synchronisation kritischer Statusflags (z. B. „Supplier Blocked“ in SAP).
Ein CSV‑/XML‑Bulk‑Upload‑Endpoint für initiale Datenmigrationen und Massenupdates.
Ein OIDC‑ oder SAML‑kompatibles Authentifizierungsverfahren zur nahtlosen Integration in das Single‑Sign‑On‑Ökosystem des Unternehmens.
Besondere Beachtung verdient die GMP‑relevante Audit‑Trail‑Funktion: Jede Änderung an Stammdaten, Risikoeinstufungen oder Score‑Parametern muss mit Benutzerkennung, Zeitstempel, Vor‑ und Nachwert protokolliert und unveränderbar abgelegt werden.
Validierungs‑ und Qualifizierungsrahmen
Aus Sicht der Auftraggeberin ist vor der Produktionseinführung ein vollständiger Validierungszyklus nach GAMP 5 vorzunehmen; dieser umfasst URS‑, FS‑, DS‑, IQ‑, OQ‑ und PQ‑Dokumente. Der Anbieter hat hierzu ein nachvollziehbares V‑Modell vorzulegen, in dem Testfälle, Traceability‑Matrix, Deviation‑Management und Change‑Control‑Verfahren definiert sind. Die Validierungsdokumentation wird durch die eigene QA‑Abteilung auditiert. Erst nach erfolgreicher PQ darf das System produktiv geschaltet werden.
Ein Projekt gilt als erfolgreich abgeschlossen, wenn:
mindestens 95 % aller aktiven Fremdfirmen in der Datenbank gemäß neuem Datenmodell erfasst sind,
während eines externen GMP‑Audits keine kritische oder schwerwiegende Abweichung im Bereich Fremdfirmenmanagement festgestellt wird,
der Betriebsrat in Hinblick auf Datenschutz und Arbeitnehmerrechte seine Zustimmung erteilt hat.
Die Auftraggeberin behält sich vor, ein dreimonatiges Parallelbetrieb‑Szenario zu fordern, um Datenqualität und Prozessstabilität empirisch nachzuweisen.
Zukunftssicherheit und Weiterentwicklung
Obwohl dieses Lastenheft die aktuellen Bedarfe adressiert, ist das System visionär als lebendes Gefäß zu verstehen. Es muss skalierbar sein, um künftige Regulatorik – etwa Annex 1‑Revisionen oder ESG‑Berichtspflichten entlang der Lieferkette – aufnehmen zu können. Ebenso denkbar ist die Anbindung von Smart‑Contracts zur automatisierten Zahlungsverifikation bei KPI‑Erfüllung sowie der Einsatz von Machine‑Learning‑Modellen, die Frühwarnindikatoren für potenzielle Non‑Compliance generieren.
