kostenloses Erstgespräch
Back to all insights

ERP und GxP: Was wirklich validiert werden muss?

Die Implementierung eines ERP-Systems in einem Life-Sciences-Unternehmen ist nie nur ein IT-Projekt. Sobald Sie sich in einem regulierten Umfeld bewegen – sei es Pharma, Biotechnologie oder Medizintechnik – stellt sich unmittelbar die Frage: Wie stellen wir sicher, dass unser ERP-System GxP-konform ist?

Doch genau hier beginnt häufig die Unsicherheit. Muss das gesamte ERP validiert werden? Reicht eine Risikoanalyse? Welche Module sind tatsächlich GxP-relevant? Und wo investieren Unternehmen unnötig Zeit und Budget?

In diesem Artikel klären wir strukturiert und praxisnah, was bei ERP-Systemen im GxP-Umfeld wirklich validiert werden muss – und was nicht. Ziel ist es, Ihnen Orientierung zu geben und typische Fehlannahmen zu vermeiden.

Was bedeutet GxP im Kontext von ERP?

GxP steht für „Good x Practice“ und umfasst regulatorische Anforderungen wie:

  • GMP (Good Manufacturing Practice)
  • GDP (Good Distribution Practice)
  • GLP (Good Laboratory Practice)
  • GCP (Good Clinical Practice)

Rechtliche Grundlagen finden sich unter anderem in:

  • EU-GMP-Leitfaden
  • 21 CFR Part 11
  • EU Annex 11

Im Kern geht es darum, Patientensicherheit, Datenintegrität und Produktqualität sicherzustellen. Sobald ein computergestütztes System direkten oder indirekten Einfluss auf diese Bereiche hat, wird es validierungspflichtig.

Und hier kommt ERP ins Spiel.

Ist ein ERP-System automatisch GxP-relevant?

Die klare Antwort: Nein.

Ein ERP-System wie beispielsweise Microsoft Dynamics 365 Finance oder SAP S/4HANA ist nicht per se GxP-pflichtig.

Entscheidend ist nicht das System selbst, sondern die Nutzung im konkreten Unternehmenskontext.

Ein ERP wird GxP-relevant, wenn es:

  • Herstellprozesse steuert oder dokumentiert
  • Qualitätsdaten speichert
  • Chargenrückverfolgbarkeit sicherstellt
  • Freigabeprozesse abbildet
  • regulatorisch relevante Reports generiert

Anders gesagt: Nicht das ERP wird validiert – sondern die GxP-relevanten Prozesse innerhalb des ERP.

Was wirklich validiert werden muss

Lassen Sie uns das systematisch betrachten.

1. GxP-relevante Geschäftsprozesse

Validiert werden müssen alle Prozesse, die:

  • Produktqualität beeinflussen
  • regulatorisch relevante Daten erzeugen
  • Chargen- oder Seriennummern verwalten
  • Freigaben dokumentieren
  • elektronische Signaturen enthalten

Typische ERP-Bereiche mit hoher GxP-Relevanz:

  • Qualitätsmanagement (QM)
  • Produktionssteuerung
  • Chargenmanagement
  • Lager- und Distributionsprozesse
  • Reklamations- und CAPA-Management
  • Dokumentierte Freigaben

Reine Finanzbuchhaltung oder HR-Prozesse sind in der Regel nicht GxP-kritisch, solange sie keinen direkten Einfluss auf Produktqualität oder regulatorische Dokumentation haben.

2. Konfigurationen mit regulatorischer Wirkung

Viele Unternehmen unterschätzen diesen Punkt.

Standard-ERP-Systeme sind generisch. Erst durch Customizing, Workflows und Erweiterungen entsteht GxP-Relevanz.

Beispiele:

  • Validierungsregeln bei Wareneingang
  • Automatisierte Freigabeworkflows
  • Batch-Status-Logik
  • Systemgesteuerte Sperrmechanismen
  • Audit-Trail-Konfigurationen

Hier gilt:
Je stärker individualisiert, desto höher der Validierungsaufwand.

3. Schnittstellen zu anderen GxP-Systemen

Ein ERP ist selten isoliert.

Es integriert sich typischerweise mit:

  • LIMS
  • MES
  • QMS-Systemen
  • Dokumentenmanagementsystemen

Sobald Daten automatisiert zwischen Systemen ausgetauscht werden, muss sichergestellt sein, dass:

  • keine Daten verloren gehen
  • keine Manipulation möglich ist
  • Audit Trails konsistent sind

Die Schnittstelle selbst kann damit validierungspflichtig sein.

4. Elektronische Signaturen und Audit Trails

Wenn Ihr ERP elektronische Freigaben abbildet, greifen regulatorische Anforderungen wie 21 CFR Part 11.

Das bedeutet:

  • eindeutige Benutzeridentifikation
  • Rollen- und Rechtekonzept
  • nicht manipulierbare Audit Trails
  • vollständige Nachvollziehbarkeit

Fehlt einer dieser Bausteine, besteht ein Compliance-Risiko.

Was typischerweise NICHT validiert werden muss

Hier entsteht oft unnötiger Aufwand.

Nicht validierungspflichtig sind in der Regel:

  • Rein finanzielle Buchungen
  • Controlling-Reports ohne regulatorische Relevanz
  • Marketing- oder CRM-Funktionalitäten
  • HR-Module
  • Business Intelligence-Auswertungen ohne GxP-Bezug

Das bedeutet nicht, dass diese Bereiche keine Qualitätssicherung benötigen – aber sie unterliegen nicht denselben regulatorischen Anforderungen.

Der richtige Ansatz: Risiko-basierte Validierung

Moderne Regulierung folgt einem klaren Prinzip: Risk-Based Approach.

Statt „alles zu testen“, wird bewertet:

  1. Welche Prozesse beeinflussen Produktqualität?
  2. Welche Daten sind regulatorisch relevant?
  3. Welche Risiken entstehen bei Systemfehlern?
  4. Wie hoch ist die Eintrittswahrscheinlichkeit?

Nur dort, wo ein echtes Risiko besteht, wird umfassend validiert.

Dieser Ansatz reduziert Aufwand signifikant – ohne Compliance zu gefährden.

CSV vs. CSA – Ein Paradigmenwechsel

Traditionell wurde mit Computer System Validation (CSV) gearbeitet: umfangreiche Dokumentation, seitenlange Testskripte, hohe Formalität.

Die FDA propagiert zunehmend Computer Software Assurance (CSA).

Der Unterschied:

CSVCSA
DokumentationsfokusRisikofokus
Formale TestskripteKritische Denkweise
Vollständige TestabdeckungKritische Testabdeckung
Hoher DokumentationsaufwandEffizienzorientierter Ansatz

Für ERP-Projekte bedeutet das:
Weniger „Papierproduktion“, mehr gezielte Risikobetrachtung.

Typische Fehler in ERP-GxP-Projekten

Aus Projekterfahrung lassen sich wiederkehrende Muster erkennen:

1. Das gesamte ERP wird pauschal als GxP eingestuft

→ unnötiger Testaufwand, lange Projektlaufzeiten

2. Zu späte Einbindung der QA

→ Nacharbeiten kurz vor Go-Live

3. Fehlende klare GxP-Abgrenzung

→ Unsicherheit im Projektteam

4. Übermäßige Individualisierung

→ Explodierender Validierungsumfang

Gerade bei Systemen wie Microsoft Dynamics 365 Supply Chain Management empfiehlt sich eine Template-Strategie, bei der GxP-relevante Kernprozesse standardisiert und sauber dokumentiert werden.

Ein pragmatisches Vorgehensmodell für ERP-GxP-Projekte

Ein bewährter Ablauf sieht wie folgt aus:

1. GxP Impact Assessment

Welche Module und Prozesse sind betroffen?

2. Risikoanalyse (z. B. FMEA)

Bewertung der potenziellen Auswirkungen auf Produktqualität.

3. Definition des Validierungsumfangs

Klare Abgrenzung zwischen GxP und Non-GxP.

4. Teststrategie

  • User Acceptance Tests für GxP-Prozesse
  • Exploratives Testing bei geringem Risiko

5. Dokumentation

  • Validierungsplan
  • Risikoanalyse
  • Testprotokolle
  • Traceability Matrix

6. Go-Live & Hypercare

Überwachung kritischer Prozesse nach Produktivstart.

Cloud-ERP und GxP – Was ändert sich?

Mit SaaS-Lösungen verschiebt sich die Verantwortung.

Der Anbieter verantwortet:

  • Infrastruktur
  • Systemverfügbarkeit
  • Basissicherheit

Das Unternehmen bleibt verantwortlich für:

  • Prozesskonfiguration
  • Rollen- und Rechtekonzept
  • Datenintegrität
  • Validierung der eigenen Nutzung

Cloud bedeutet also nicht „keine Validierung“ – sondern klare Verantwortungsabgrenzung.

Fazit: Validieren Sie intelligent, nicht maximal

Die wichtigste Erkenntnis lautet:

Nicht das ERP-System ist GxP-pflichtig – sondern dessen Nutzung im regulatorischen Kontext.

Wer pauschal „alles validiert“, verschwendet Budget.
Wer zu wenig validiert, riskiert Audit Findings.

Der richtige Weg liegt dazwischen:

  • Risiko-basiert
  • Prozess-orientiert
  • Klar abgegrenzt
  • Dokumentiert, aber pragmatisch

Gerade in Transformationsprojekten bietet eine saubere GxP-Strategie enorme Vorteile:

  • Schnellere Implementierung
  • Klarer Scope
  • Weniger Audit-Risiko
  • Höhere Akzeptanz im Unternehmen

ERP und GxP stehen nicht im Widerspruch.
Im Gegenteil: Ein richtig konfiguriertes und validiertes ERP-System schafft Transparenz, Datenintegrität und Prozesssicherheit – also genau das, was regulatorische Anforderungen fordern.

More Insights