Standard Operating Procedures

Regulatorik und GxP-Compliance

Speziell EMA oder FDA-regulierte Unternehmen müssen strengste Vorschriften und Standards einhalten, die maßgeblichen Einfluss auf Prozesse und SOP`s haben, um die Compliance-Konformität sicherzustellen.

Die Finanzmärkte reagieren äußerst sensibel auf geopolitische Krisen. Immer häufiger wird aber auch der Regulierungssdruck auf Unternehmen in der Kritikalität gleichwertig zu Klimakatastrophen wie zum Beispiel Hurrikans, Vulkanausbrüche oder Überschwemmungen genannt.

Zunehmender Regulierungsdruck trifft auf chronischen Fachkräftemangel

Gerade für mittelständische Unternehmen ist die Einhaltung zunehmender regulatorischer Anforderungen in Ermangelung von juristischem Spezialwissen oder personell dünn besetzten Organisationsbereichen der „Regulatory Affairs“ ein zunehmendes Problem. Praxisberichte zeigen, dass viele Maßnahmen dazu nur mit einigen Jahren Verzögerung umgesetzt werden. Und kaum wurde mit viel Aufwand zum Beispiel die Datenschutz Grundverordnung (DSGVO) etabliert, sind schon neue Regelungen wieder gültig. So zum Beispiel das Lieferkettensorgfaltspflichtgesetz, der Digital Services Act oder die EU-Richtlinie NIS-2 zur Cybersecurity.  Und die Geschwindigkeit für die Inkraftsetzung neuer Regularien ist hoch: So werden in dem noch jungen Anwendungsgebiet der generativen Künstlichen Intelligenz bereits fortgeschrittene Vorarbeiten zu einem EU AI Act öffentlich. Regulatorischen Auflagen betreffen aber auch die Geschäftsbeziehungen zwischen Unternehmen in deren Lieferketten. Einfach formuliert: Wer nicht mitmacht, scheidet als Zulieferer aus. Dazu ein Beispiel:

Auf Basis der etwas allgemeineren und zertifizierbaren ISO 27001 hat der VDA die TISAX® (Trusted Information Security Assessment Exchange) als Prüf- und Austauschverfahren für Informationssicherheit in der Automobilindustrie entwickelt (TISAX – Wikipedia). Inzwischen setzen Automobilhersteller in ihrer Zulieferpyramide bis auf die dritte Stufe der Lieferkette ein erfolgreiches TISAX-Assessment voraus. Dieses wird von allen VDA-Mitgliedern und Fahrzeugherstellern wie z.B. Audi, Volkswagen oder BMW anerkannt und gefordert.

Normen sind Eckpfeiler des regulatorischen Handelns

Normen sind u.A. Industriestandards, Richtlinien, Regeln und Anforderungen zur Wahrung von Qualität, Sicherheit und Einheitlichkeit. Besonders gängige Normen sind:

  • ISO 9001: Qualitätsmanagement
  • ISO 14001: Umweltmanagement
  • ISO 27001: Informationssicherheit

Branchenspezifisch ist die ISO 13485 zu nennen, die mehr auf die Produktsicherheit und -wirksamkeit abzielt und insbesondere für das Design und Herstellung von Medizinprodukten relevant ist. Hinter den o.a. Normen verbergen sich eine Vielzahl von Anforderungen. Für Unternehmen ist deren Koordination, Bewältigung und vor allem die Zertifizierungen dazu eine komplexe Aufgabe. Mit der Lektüre der papierbasierten Verlagspublikation ist es nicht getan. Für deren Umsetzung werden inzwischen auch Softwaresysteme eingesetzt. Deren wesentliche Funktionen sind:

  • Normenerhebung und -beschreibung: Einfache Abbildung der Normen sowie effiziente Verwaltung in einer eigenen Ablagestruktur,
  • Untergliederung von Normen in Kapitel und Unterkapitel entsprechend der Dokumentenstruktur,
  • Verknüpfung der Normenkapitel mit Prozessen und Dokumenten,
  • Sicherstellung der Normenkonformität durch Audits,
  • Erstellung von Auditplänen inkl. Verknüpfung relevanter Normen,
  • Normenkonforme Audit Checklisten,
  • Audits, in denen Prozesse und Dokumente anhand von Anforderungskatalogen evaluiert werden können,
  • Life Cycle Management der Normenkonformität, die den aktuellen Stand der Normen wiedergeben und die Vollständigkeit der Zuordnung aller Prozesse, bzw. Dokumente überwachen,
  • Updatefunktionen, die ein bequemes Aktualisieren der Normen per Knopfdruck ermöglichen.

Ein Perspektivenwechsel vom Aufbau der normativen Qualitätswelt in Unternehmen ist der Blick auf die Normenkonformität, d.h. die Überprüfung durch internationale Behörden. Dazu eine kurze Geschichte:

Vor einigen Jahren hatte der Verfasser einen Termin bei einem Pharmakonzern in der Schweiz. Die Besprechungszimmer waren im obersten Stockwerk. Begleitet von weiteren Sicherheitsprüfungen ging es dann vorbei an den Büros der Vorstandsmitglieder. Während auf dem Flur vorher noch launig Höflichkeiten ausgetauscht wurden, wechselten die Gastgeber plötzlich in einen ehrfurchtsvollen Flüsterton. Dieser Bürotrakt, direkt neben dem Topmanagement, war für die FDA reserviert. Diese drei Buchstaben waren offensichtlich von hoher Relevanz.

Die regulatorische Dreifaltigkeit in den LifeSciences – FDA, GxP und 21 CFR Part 11

Die U.S. Food and Drug Administration, kurz FDA, kontrolliert die Sicherheit und Wirksamkeit von in den USA zugelassenen Arzneimitteln der Human- und Tiermedizin, biologischer Produkte, von MedizinproduktenLebensmitteln, strahlenemittierenden Geräten, Tabakprodukten und Kosmetik. Die FDA beschäftigt deutlich mehr als 10.000 Mitarbeitende. Das Pendant dazu, die Europäische Arzneimittel Agentur beschäftigt weniger als 1.000 Mitarbeitende. Wie bereits oben expliziert, kommt der Qualitätssicherung und hier stellvertretend für die LifeSciences die pharmazeutische Herstellung eine hohe Bedeutung zu. Dafür gibt es Richtlinien, zusammengefasst als “Gute Herstellpraxis bzw. Good Manufacturing Practice” Current Good Manufacturing Practice (cGMP) Regulations | FDA. Und da diese nicht nur die Herstellung, sondern auch andere Unternehmensbereiche betreffen hat sich die Kurzform GxP durchgesetzt.

Ein GxP-konformes Qualitätsmanagementsystem umfasst das Dokumentenmanagement für Standardanweisungen und den hier bereits vorgestellten Aspekten der Lebenszyklusprozesse von SOPs, deren Versionierung und Datenintegrität. Weitere Elemente sind:

Der Code of Federal Regulations (CFR) der FDA enthält in Titel 21 den Bereich Lebensmittel und Medikamente. Im Part 11 werden neben allgemeinen Kriterien wie Umfang, Implementierung und Definitionen die Anforderungen an elektronische Aufzeichnungen und Signaturen festgelegt (eCFR: 21 CFR Part 11 — Electronic Records; Electronic Signatures). Part 11 beschreibt im Grunde die alternative Verwendung von digitalen SOP-Lösungen anstatt papierbasierter Prozesse. Dazu nachfolgend eine Übersicht des Johner Instituts.

21CRFPart11: FDA Anforderungen und Compliance

Nur wenn 21 CFR Part 11 eingehalten wird und nur wenn alle GxP-Anforderungen berücksichtigt sind, können Mängelberichte (Form 483) oder gar eine Abmahnung durch einen Warning Letter von der FDA verhindert werden. Eine Verletzung der Vorgaben kann empfindliche Strafen bis zum Vermarktungsverbot nach sich ziehen oder mit Sanktionen geahndet werden. Letztendlich kann eine Abweichung im schlimmsten Falle Menschenleben kosten. Gerade wenn es um die Patientensicherheit geht, sollten Standardanweisungen eben nicht auf Zuruf oder in parallelen Informationswelten erfolgen, sondern am Ende immer den Vorgaben der Regulatorik folgen.

Wissenswertes | News | Aktuelles