Vendor Qualification SaaS/Cloud GxP: Audit, QA und Monitoring
Teilen

Vendor Qualification für SaaS/Cloud GxP: Wie Lieferanten auditiert, qualifiziert und gesteuert werden
In der Cloud ist der Anbieter nicht „nur ein IT-Vendor“: Er ist ein integraler Bestandteil deines Qualitätssystems.
Deshalb gilt:
- die Lieferantenqualifizierung ist nicht nur „Best Practice“, sondern eine regulatorische und operative Anforderung,
- und sie muss über die Zeit fortgeführt werden: Ein heute qualifizierter Vendor kann morgen ein Risiko darstellen, wenn sich Plattform, Release-Prozesse oder Sicherheitsmanagement ändern.
Die Guideline bringt es auf den Punkt: Die Qualifizierung von Cloud-/SaaS-Anbietern ist unverzichtbar; das Vendor Management umfasst Initialbewertung, Qualifizierungsaudit, Quality Agreement und kontinuierliches Monitoring (SLA, Zertifizierungen, periodische Audits).
Schritt für Schritt: Ein Vendor-Qualification-Prozess, der in der Inspektion standhält
Schritt 1 — Initialbewertung (Vendor Assessment)
Ziel: Verstehen, ob es sinnvoll ist, Zeit (und Geld) in die Qualifizierung zu investieren.
Zu erfassen:
- Service-Überblick (SaaS? Multi-Tenant? Data Residency?)
- GxP-Impact und Prozesskritikalität
- verfügbare Evidenzen (Zertifizierungen, SOC-Reports, Security-Policies, SDLC)
Output:
- Vendor-Risikobewertung / Kritikalität
- Entscheidung „Audit ja/nein“ und Audittiefe
Schritt 2 — Qualifizierungsaudit (On-Site oder Remote)
Ein wirksames Audit ist kein IT-Fragebogen.
Ein Cloud-/SaaS-Audit im GxP-Umfeld sollte mindestens abdecken:
- QMS des Anbieters
- Softwareentwicklung / SDLC
- Infrastrukturmanagement
- Informationssicherheit
- Backup / Disaster Recovery
- Part-11- / Data-Integrity-Compliance
- regulatorische Kompetenz des Anbieters
Praxis-Tipp aus dem Audit-Room:
Immer konkrete Beispiele verlangen („Zeigen Sie uns, wie Sie X handhaben“) und Evidenzen einfordern, nicht nur Aussagen.
Schritt 3 — Quality Agreement (QA) + SLA + Anhänge
Das Quality Agreement ist die vertragliche Übersetzung der Compliance.
Zwingende Schlüssel-Klauseln:
- Rollen und Verantwortlichkeiten (verknüpft mit dem Shared-Responsibility-Modell)
- Change-Management (Benachrichtigungen, Freigaben, Mindestinformationen)
- Datenmanagement (Eigentum, Schutz, Rückgabe, Export)
- Audit-Recht
- Umgang mit Nichtkonformitäten: Meldung signifikanter Abweichungen
Schritt 4 — Kontrollierter Go-Live (Vendor als Stakeholder der Validierung)
Ein häufiger Fehler ist hier zu vermeiden: gegen den Vendor zu validieren statt mit dem Vendor.
Best Practices:
- bereits im Validation Plan definieren, wie Vendor-Evidenzen genutzt werden
- Eskalationswege festlegen (Incident, Change, RCA)
- Umgang mit Sandbox-/Testumgebungen klar regeln
Schritt 5 — Kontinuierliches Monitoring (der fast immer fehlende Teil)
In der Cloud ist Qualifizierung kein Ereignis, sondern ein laufender Prozess.
Zu überwachen:
- SLA- und Performance-Trends
- Change-Notifications und Qualität der Release Notes
- Incidents, RCA und Reaktionszeiten
- aktuelle Zertifizierungen / SOC-Reports
- periodische Audits / Vendor-Review-Meetings
Die Guideline empfiehlt, den Anbieter in Change- und Incident-Prozesse zu integrieren:
Jede kommunizierte Änderung muss in das interne Change Control eingehen; jeder signifikante Incident ist als Deviation/CAPA zu behandeln – häufig mit Vendor-RCA als zu bewertender und zu archivierende Evidenz.
Sonderfall: Wie man Hyperscaler (IaaS) ohne direktes Audit „qualifiziert“
In der Praxis auditieren viele Unternehmen Hyperscaler nicht direkt, sondern stützen sich auf:
- Third-Party-Reports (SOC)
- Zertifizierungen (ISO etc.)
- Compliance-Dokumentation und Standardkontrollen
Der Schlüssel ist eine risikobasierte und dokumentierte Begründung:
„Warum ist das in unserem Kontext ausreichend?“
Red Flags (wenn du sie siehst: stoppen oder stark mitigieren)
- keine klare Erklärung von SDLC, Change- und Release-Management
- kein robuster Incident-/RCA-Prozess
- keine überprüfbaren Evidenzen (nur „trust me“)
- Ablehnung von Mindestklauseln (Audit-Recht, Change-Notification, Data-Export)
Für operative Checklisten (Vendor Assessment, Audit-Fokus, QA-Klauseln) und einen vollständigen Ansatz zur Qualifizierung von Cloud-/SaaS-Anbietern im GxP-Umfeld findest du die Guideline „SaaS & Cloud Validation: guida all’implementazione GxP“ auf guidegxp.com.
