Vendor Qualification SaaS/Cloud GxP: Audit, QA und Monitoring

Vendor Qualification für SaaS/Cloud GxP: Wie Lieferanten auditiert, qualifiziert und gesteuert werden

In der Cloud ist der Anbieter nicht „nur ein IT-Vendor“: Er ist ein integraler Bestandteil deines Qualitätssystems.

Deshalb gilt:

  • die Lieferantenqualifizierung ist nicht nur „Best Practice“, sondern eine regulatorische und operative Anforderung,
  • und sie muss über die Zeit fortgeführt werden: Ein heute qualifizierter Vendor kann morgen ein Risiko darstellen, wenn sich Plattform, Release-Prozesse oder Sicherheitsmanagement ändern.

Die Guideline bringt es auf den Punkt: Die Qualifizierung von Cloud-/SaaS-Anbietern ist unverzichtbar; das Vendor Management umfasst Initialbewertung, Qualifizierungsaudit, Quality Agreement und kontinuierliches Monitoring (SLA, Zertifizierungen, periodische Audits).

Schritt für Schritt: Ein Vendor-Qualification-Prozess, der in der Inspektion standhält

Schritt 1 — Initialbewertung (Vendor Assessment)

Ziel: Verstehen, ob es sinnvoll ist, Zeit (und Geld) in die Qualifizierung zu investieren.

Zu erfassen:

  • Service-Überblick (SaaS? Multi-Tenant? Data Residency?)
  • GxP-Impact und Prozesskritikalität
  • verfügbare Evidenzen (Zertifizierungen, SOC-Reports, Security-Policies, SDLC)

Output:

  • Vendor-Risikobewertung / Kritikalität
  • Entscheidung „Audit ja/nein“ und Audittiefe

Schritt 2 — Qualifizierungsaudit (On-Site oder Remote)

Ein wirksames Audit ist kein IT-Fragebogen.

Ein Cloud-/SaaS-Audit im GxP-Umfeld sollte mindestens abdecken:

  • QMS des Anbieters
  • Softwareentwicklung / SDLC
  • Infrastrukturmanagement
  • Informationssicherheit
  • Backup / Disaster Recovery
  • Part-11- / Data-Integrity-Compliance
  • regulatorische Kompetenz des Anbieters

Praxis-Tipp aus dem Audit-Room:
Immer konkrete Beispiele verlangen („Zeigen Sie uns, wie Sie X handhaben“) und Evidenzen einfordern, nicht nur Aussagen.

Schritt 3 — Quality Agreement (QA) + SLA + Anhänge

Das Quality Agreement ist die vertragliche Übersetzung der Compliance.

Zwingende Schlüssel-Klauseln:

  • Rollen und Verantwortlichkeiten (verknüpft mit dem Shared-Responsibility-Modell)
  • Change-Management (Benachrichtigungen, Freigaben, Mindestinformationen)
  • Datenmanagement (Eigentum, Schutz, Rückgabe, Export)
  • Audit-Recht
  • Umgang mit Nichtkonformitäten: Meldung signifikanter Abweichungen

Schritt 4 — Kontrollierter Go-Live (Vendor als Stakeholder der Validierung)

Ein häufiger Fehler ist hier zu vermeiden: gegen den Vendor zu validieren statt mit dem Vendor.

Best Practices:

  • bereits im Validation Plan definieren, wie Vendor-Evidenzen genutzt werden
  • Eskalationswege festlegen (Incident, Change, RCA)
  • Umgang mit Sandbox-/Testumgebungen klar regeln

Schritt 5 — Kontinuierliches Monitoring (der fast immer fehlende Teil)

In der Cloud ist Qualifizierung kein Ereignis, sondern ein laufender Prozess.

Zu überwachen:

  • SLA- und Performance-Trends
  • Change-Notifications und Qualität der Release Notes
  • Incidents, RCA und Reaktionszeiten
  • aktuelle Zertifizierungen / SOC-Reports
  • periodische Audits / Vendor-Review-Meetings

Die Guideline empfiehlt, den Anbieter in Change- und Incident-Prozesse zu integrieren:
Jede kommunizierte Änderung muss in das interne Change Control eingehen; jeder signifikante Incident ist als Deviation/CAPA zu behandeln – häufig mit Vendor-RCA als zu bewertender und zu archivierende Evidenz.

Sonderfall: Wie man Hyperscaler (IaaS) ohne direktes Audit „qualifiziert“

In der Praxis auditieren viele Unternehmen Hyperscaler nicht direkt, sondern stützen sich auf:

  • Third-Party-Reports (SOC)
  • Zertifizierungen (ISO etc.)
  • Compliance-Dokumentation und Standardkontrollen

Der Schlüssel ist eine risikobasierte und dokumentierte Begründung:
„Warum ist das in unserem Kontext ausreichend?“

Red Flags (wenn du sie siehst: stoppen oder stark mitigieren)

  • keine klare Erklärung von SDLC, Change- und Release-Management
  • kein robuster Incident-/RCA-Prozess
  • keine überprüfbaren Evidenzen (nur „trust me“)
  • Ablehnung von Mindestklauseln (Audit-Recht, Change-Notification, Data-Export)

Für operative Checklisten (Vendor Assessment, Audit-Fokus, QA-Klauseln) und einen vollständigen Ansatz zur Qualifizierung von Cloud-/SaaS-Anbietern im GxP-Umfeld findest du die Guideline SaaS & Cloud Validation: guida all’implementazione GxP auf guidegxp.com.

Zurück zum Blog

Suchst du etwas Bestimmtes?