Wie stellen Pharmaunternehmen sicher, dass ihre digitalen Systeme bei einer Inspektion lückenlos bestehen, ohne Ressourcen in überbordende Dokumentation zu versenken? Zwischen steigendem Digitalisierungsdruck und wachsender regulatorischer Komplexität spielt die Computersystemvalidierung (CSV) eine Schlüsselrolle. Dieser Leitfaden erklärt die wichtigsten Standards, Phasen und Anforderungen der CSV in der Pharmaindustrie und zeigt, wie der osapiens HUB for Maintenance Unternehmen bei der CSV-konformen Instandhaltung unterstützt.

Das Thema kurz und kompakt

• Patientensicherheit und Datenintegrität: Die Computersystemvalidierung stellt sicher, dass computergestützte Systeme in der Pharmaproduktion zuverlässig, nachvollziehbar und regelkonform arbeiten.
• Regulatorische Grundlage: GAMP 5, FDA 21 CFR Part 11 und EU-GMP Annex 11 bilden das regulatorische Fundament jeder Computersystemvalidierung. Wer international produziert, muss alle drei kennen.
• Risikobasiert statt maximal: Nicht jedes System erfordert denselben Aufwand. Die GAMP-5-Klassifizierung bestimmt, wie umfangreich die Validierung ausfällt. Das spart Ressourcen und hält die Compliance verhältnismäßig.
• CMMS-Compliance mit dem osapiens HUB: Instandhaltungssoftware in der Pharma muss validiert sein. Der osapiens HUB for Maintenance unterstützt diesen Prozess mit Audit Trails, elektronischen Signaturen und lückenloser Dokumentation.

Was ist Computersystemvalidierung (CSV)?

Die Computersystemvalidierung (CSV) ist ein strukturiertes, dokumentiertes Verfahren, das nachweist, dass ein IT-System aus Hardware und Software zuverlässig, konsistent und regelkonform funktioniert. In der Pharmaindustrie verfolgt die CSV drei zentrale Ziele: Patientensicherheit, Produktqualität und Datenintegrität. Damit bildet sie die Grundlage für jede GxP-Compliance.

Für Pharmaunternehmen ist CSV keine freiwillige Maßnahme, sondern eine regulatorische Pflicht. Ob ein System diese Anforderungen erfüllt, wird anhand der sogenannten ALCOA+-Prinzipien bewertet. Daten müssen demnach zuordenbar (Attributable), lesbar (Legible), zeitnah erfasst (Contemporaneous), im Original vorliegend (Original) und korrekt (Accurate) sein. 

CSV vs. CSA: Was ist der Unterschied?

CSV (Computerized System Validation) ist der traditionelle Ansatz zur Validierung von IT-Systemen in regulierten Branchen. Dabei wird durch umfangreiche Dokumentation und strukturierte Tests nachgewiesen, dass ein System wie vorgesehen funktioniert und regulatorische Anforderungen erfüllt.

CSA (Computer Software Assurance) ist ein moderner, risikobasierter Ansatz. Statt möglichst viel zu dokumentieren, liegt der Fokus darauf, kritische Funktionen gezielt zu testen und Risiken für Produktqualität und Patientensicherheit zu minimieren.

Beide Konzepte verfolgen dasselbe Ziel: die Sicherstellung von Datenintegrität, Systemzuverlässigkeit und Compliance. CSA ist dabei kein Ersatz für CSV, sondern eine Weiterentwicklung, die vor allem im FDA-regulierten Umfeld an Bedeutung gewinnt. 

Welche Systeme müssen in der Pharmaindustrie validiert werden?

Der Grundsatz ist einfach: Jedes computergestützte System, das GxP-relevante Daten erzeugt, verarbeitet oder speichert, muss validiert werden. Gleiches gilt für Systeme, die qualitätsrelevante Prozesse steuern. Sobald ein System Einfluss auf Produktqualität, Patientensicherheit oder Datenintegrität hat, führt kein Weg an der Computersystemvalidierung vorbei.

Typische Systeme, die in der Pharmaindustrie validiert werden müssen:

• CMMS (Instandhaltungssoftware) für Wartungsdaten und Prüfberichte
• ERP-Systeme (z. B. SAP) zur Steuerung von Produktions- und Geschäftsprozessen
• MES (Manufacturing Execution Systems) zur Überwachung der Herstellung
• LIMS (Laborinformationsmanagementsysteme) für analytische Daten
• QMS (Qualitätsmanagementsysteme) für Abweichungen und CAPAs
• SCADA/HMI (Prozessleitsysteme) zur Anlagensteuerung
• DMS (Dokumentenmanagementsysteme) für revisionssichere Dokumentation
• Wäge- und Dosiersysteme für produktionskritische Messungen

Die wichtigsten regulatorischen Anforderungen für CSV in der Pharmaindustrie

Drei zentrale Regelwerke bilden das Fundament der Computersystemvalidierung in der Pharma. Obwohl sie unterschiedliche Schwerpunkte setzen, verfolgen alle dasselbe Ziel: sicherstellen, dass computergestützte Systeme zuverlässig, nachvollziehbar und konform arbeiten. Für Unternehmen, die international produzieren oder vertreiben, ist die Kenntnis aller drei Standards unverzichtbar.

GAMP 5

GAMP 5 (Good Automated Manufacturing Practice) ist ein internationales Rahmenwerk der ISPE. Es ist kein Gesetz, hat sich aber als De-facto-Industriestandard für die CSV in der Pharmaindustrie etabliert. Die Kernprinzipien umfassen einen risikobasierten Ansatz, ein Lebenszyklusmodell und das V-Modell für die strukturierte Implementierung.

Zentrales Klassifizierungsinstrument sind die Softwarekategorien. Sie bestimmen, wie hoch der Validierungsaufwand für ein System ausfällt. 

CMMS-Lösungen wie der osapiens HUB for Maintenance fallen typischerweise in Kategorie 4 (konfigurierbare Standardsoftware). Der Validierungsaufwand ist dabei mittelhoch: Systemdokumentation, Konfigurationsnachweise und strukturierte Tests sind erforderlich. osapiens begleitet Pharmaunternehmen aktiv bei diesem Prozess und stellt die notwendigen Validierungsunterlagen bereit.

FDA 21 CFR Part 11

Der US-amerikanische Standard regelt den Umgang mit elektronischen Aufzeichnungen und Signaturen. Er ist besonders relevant für Pharmaunternehmen mit Bezug zum US-Markt oder bei FDA-Inspektionen. Die Kernforderungen umfassen:

• Lückenlose Audit Trails für alle Datenänderungen
• Strenge Zugriffskontrollen und Benutzerauthentifizierung
• Schutz vor Datenmanipulation
• Elektronische Signaturen als rechtsgültiger Ersatz für handschriftliche Unterschriften

Ein Praxisbeispiel: Wird eine Wartungsmaßnahme an GMP-kritischem Equipment im CMMS freigegeben, muss die elektronische Signatur den Anforderungen von 21 CFR Part 11 entsprechen.

EU-GMP-Leitfaden Annex 11

Annex 11 ist das europäische Pendant, veröffentlicht als Teil des GMP-Leitfadens der EMA. Er gilt für alle Unternehmen, die in der EU pharmazeutisch produzieren oder vertreiben. Die Schwerpunkte liegen auf:

• Risikomanagement über den gesamten Systemlebenszyklus
• Lieferantenqualifizierung: Softwareanbieter müssen nachweisen, dass ihre Qualitätsstandards die Anforderungen der Kunden-QA erfüllen
• Periodische Überprüfung validierter Systeme
• Durchgängige Datenintegrität nach ALCOA+-Prinzipien

Besonders der Aspekt der Lieferantenverantwortung ist für die Auswahl von Softwaresystemen entscheidend: Anbieter müssen transparent belegen, dass ihre Lösung die regulatorischen Vorgaben unterstützt.

CSV Pharma planen: Die Phasen im Überblick

Die Computersystemvalidierung ist kein einmaliges Projekt, sondern ein durchgängiger Lebenszyklus-Ansatz. Die vier Phasen orientieren sich am V-Modell aus GAMP 5: Die linke Seite des V beschreibt die Spezifikation (was soll das System leisten?), die rechte Seite die Verifizierung und Qualifizierung (tut es das auch?). Jede Spezifikationsebene hat eine korrespondierende Teststufe, sodass Anforderungen und Prüfungen systematisch verknüpft sind.

Phase 1: Planung und Risikoanalyse

Der Validierungsplan ist das zentrale Dokument dieser Phase. Er definiert Umfang, Verantwortlichkeiten, Zeitplan und Akzeptanzkriterien für die gesamte Validierung. Parallel erfolgt die Systemklassifizierung nach den GAMP-5-Kategorien, um den Validierungsaufwand angemessen zu bestimmen.

Anschließend wird eine Risikoanalyse durchgeführt, beispielsweise mittels FMEA (Failure Mode and Effects Analysis). Dabei wird bewertet, welche Funktionen GxP-kritisch sind und welche Auswirkungen ein Fehler auf Patientensicherheit, Produktqualität oder Datenintegrität hätte. 

Achtung: Eine Fehlklassifizierung führt entweder zu Übervalidierung mit unnötiger Ressourcenverschwendung oder zu Untervalidierung mit ernsthaftem Compliance-Risiko.

Phase 2: Spezifikation und Design

In dieser Phase wird schriftlich festgehalten, was das System leisten muss und wie es das technisch umsetzt. Die User Requirements Specification (URS) beschreibt die Anforderungen aus Nutzersicht, die Functional Specification (FS) die technische Umsetzung. Beide Dokumente müssen von QA, IT und Fachbereich freigegeben werden. Wichtig ist außerdem, dass jede Anforderung einem konkreten Test zugeordnet werden kann. Das stellt die sogenannte Rückverfolgbarkeitsmatrix sicher.

Ein Praxisbeispiel: Eine typische URS-Anforderung für ein CMMS lautet, dass jede abgeschlossene Wartung mit Zeitstempel und Benutzerkennung dokumentiert wird. 

Im osapiens HUB ist das standardmäßig erfüllt: Wartungsaufträge werden automatisch mit allen relevanten Informationen gespeichert, ohne manuellen Mehraufwand. 

Phase 3: Qualifizierung und Tests

Die Qualifizierung erfolgt in drei aufeinander aufbauenden Stufen: Installationsqualifizierung (IQ), Funktionsqualifizierung (OQ) und Performance Qualification (PQ). Jede Stufe beantwortet eine spezifische Frage zum System.

Wichtig: Alle Tests müssen lückenlos dokumentiert werden. Abweichungen erfordern CAPAs (Corrective and Preventive Actions), bevor das System freigegeben werden kann.

Phase 4: Betrieb, Änderung und Re-Validierung

Die Validierung endet nicht mit der Inbetriebnahme. Im laufenden Betrieb sind drei Kernelemente entscheidend, um den validierten Zustand dauerhaft aufrechtzuerhalten:

• Change Control: Jede Änderung am System, ob Updates, Konfigurationsänderungen oder Patches, muss bewertet, genehmigt und dokumentiert werden. Besonders relevant ist das bei SaaS-Lösungen mit regelmäßigen Release-Zyklen.
• Periodische Überprüfung: Regelmäßige Reviews stellen sicher, dass das System weiterhin den validierten Zustand erfüllt und keine schleichenden Abweichungen entstanden sind. Ein strukturierter Maintenance Audit kann diesen Prozess unterstützen.
• Re-Validierung: Bei signifikanten Änderungen, etwa einem größeren Software-Update oder einer Änderung der Systemarchitektur, muss eine erneute Qualifizierung erfolgen.

Der Trend in der Branche geht dabei zunehmend in Richtung Continuous Validation: Statt starrer periodischer Zyklen wird der Validierungsstatus kontinuierlich überwacht und bei Bedarf angepasst. Das spart Ressourcen und hält die Compliance aktuell.

CSV und Instandhaltung: Warum Ihr CMMS validiert sein muss

In der Pharmaproduktion ist das CMMS das digitale Rückgrat der Anlagensicherheit. Jede Wartung an GMP-kritischen Maschinen wird hier dokumentiert. Bei einer Inspektion müssen Sie beweisen, dass diese Daten integer, nachvollziehbar und manipulationssicher sind. Ohne Validierung steht Ihre gesamte Wartungshistorie auf wackeligem Fundament. Im schlimmsten Fall werden Inspektoren sämtliche Wartungsnachweise anzweifeln.

Konkret muss ein CSV-konformes CMMS folgende Anforderungen erfüllen:

• Lückenloser Audit Trail für alle Dateneingaben und Änderungen
• Elektronische Signaturen bei Freigaben gemäß FDA 21 CFR Part 11
• Rollenbasierte Zugriffskontrollen zum Schutz vor unbefugten Änderungen
• Revisionssichere Dokumentation aller Wartungsmaßnahmen
• Nachvollziehbare Change-Control-Prozesse bei Software-Updates

osapiens HUB for Maintenance wurde speziell als CMMS-Lösung für GxP-regulierte Umgebungen entwickelt, um Ihre Compliance-Risiken zu minimieren und Audits gelassen entgegenzublicken.

osapiens HUB als CMMS für CSV-konforme Instandhaltung

Pharmaunternehmen brauchen ein CMMS, das nicht nur Wartungsprozesse effizient organisiert, sondern auch die strengen Anforderungen der Computersystemvalidierung erfüllt. Der osapiens HUB for Maintenance wurde als SaaS-Lösung genau für diese Anforderungen entwickelt und unterstützt Unternehmen dabei, Compliance und operative Effizienz zu vereinen.

Die zentralen Funktionen mit direktem Bezug zur CSV:

• Audit Trails für lückenlose Nachvollziehbarkeit aller Aktivitäten und Datenänderungen
• Elektronische Signaturen für Wartungsfreigaben gemäß 21 CFR Part 11
• Rollenbasierte Zugriffskontrollen zum Schutz sensibler GxP-Daten
• Digitale Checklisten und strukturierte Dokumentation für revisionssichere Wartungsnachweise
• SAP-zertifizierte Integration für durchgängige Datenkonsistenz zwischen CMMS und ERP
• Echtzeit-Analysen: Durch die Anbindung an Power BI werden komplexe Daten in unternehmensweite Berichterstattung und präzises KPI-Tracking verwandelt.
• Mobile App für Techniker, die Dokumentation direkt vor Ort ermöglicht

Als Cloud-basierte Lösung bietet der osapiens HUB regelmäßige Updates und unterstützt gleichzeitig den Change-Control-Prozess, damit Ihr validierter Zustand erhalten bleibt. Darüber hinaus begleitet osapiens Pharmaunternehmen bei der initialen Validierung, sodass Sie den Einstieg in die CSV-konforme Instandhaltung effizient gestalten können.

Fazit: Effiziente Instandhaltung und CSV-Compliance mit osapiens

Computersystemvalidierung in der Pharmaindustrie ist keine Option, sondern regulatorische Pflicht. Das gilt für ERP, LIMS und QMS genauso wie für Ihre Instandhaltungssoftware. Wer das ignoriert, riskiert bei der nächsten Inspektion mehr als nur eine Abweichung.

Dabei muss CSV kein Bremsklotz sein. Mit einem risikobasierten Ansatz und dem richtigen CMMS wird Compliance planbar, verhältnismäßig und dauerhaft aufrechterhalten. Lückenlose Dokumentation, sichere Prozesse und gelassene Audits sind das Ergebnis.

Der osapiens HUB for Maintenance wurde genau dafür entwickelt: als CMMS, das regulatorische Anforderungen nicht nachträglich erfüllt, sondern von Grund auf mitdenkt. Für Pharmaunternehmen, die Instandhaltung und CSV-Compliance nicht als Gegensätze, sondern als zwei Seiten derselben Medaille verstehen.

FAQ

Muss ich als Pharmaunternehmen mein CMMS validieren?

Ja. Sobald Ihr CMMS Wartungsdaten für GMP-kritische Anlagen verwaltet, ist es ein GxP-relevantes System und muss validiert werden. Das ist keine Ermessensfrage, sondern eine regulatorische Pflicht nach EU-GMP Annex 11 und FDA 21 CFR Part 11. Der osapiens HUB for Maintenance wurde speziell für den Einsatz in regulierten Umgebungen entwickelt und unterstützt Sie dabei, diesen Anforderungen von Anfang an gerecht zu werden.

Wie funktioniert Computersystemvalidierung in der Pharmaindustrie?

CSV folgt einem strukturierten Lebenszyklus in vier Phasen: Planung und Risikoanalyse, Spezifikation, Qualifizierung (IQ, OQ, PQ) und laufender Betrieb mit Change Control. Wie aufwendig die Validierung ausfällt, hängt von der GAMP-5-Klassifizierung und der Kritikalität des Systems ab. Als konfigurierbare Standardsoftware begleitet osapiens Sie aktiv durch den Validierungsprozess und stellt die notwendige Systemdokumentation bereit.

Welche Vorschriften gelten für die Computersystemvalidierung?

Drei Regelwerke sind entscheidend: GAMP 5 als internationaler Industriestandard, EU-GMP Annex 11 für Unternehmen, die in der EU produzieren oder vertreiben, sowie FDA 21 CFR Part 11 für den Umgang mit elektronischen Aufzeichnungen und Signaturen im US-Kontext. Der osapiens HUB for Maintenance unterstützt die Anforderungen aller drei Standards, mit Audit Trails, elektronischen Signaturen und rollenbasierten Zugriffskontrollen.

Wie oft muss eine Computersystemvalidierung wiederholt werden?

Eine feste gesetzliche Frist gibt es nicht. In der Praxis haben sich jedoch folgende Orientierungswerte etabliert: Periodische Reviews werden typischerweise jährlich oder alle zwei Jahre durchgeführt. Eine vollständige Re-Validierung ist bei signifikanten Änderungen erforderlich, etwa nach größeren Software-Updates, Konfigurationsänderungen oder Änderungen der Systemarchitektur. Kleinere Anpassungen werden über den Change-Control-Prozess bewertet und müssen nicht zwingend eine vollständige Re-Validierung auslösen.