Die MDR und IVDR sowie die ISO 13485:2016 formulieren ebenso wie die FDA klare Anforderungen an die Lieferantenbewertung, Lieferantenauswahl und Lieferantenüberwachung.

Dieser Artikel verschafft Ihnen nicht nur einen Überblick über die regulatorischen Anforderungen an das Lieferantenmanagement. Er gibt Tipps zur praxisnahen Umsetzung und verrät, wann ein Lieferantenaudit notwendig ist.

1. Grundlagen des Lieferantenmanagements

a) Beispiele für Lieferanten und gelieferte Produkte

Sobald Hersteller etwas nicht selbst entwickeln oder produzieren, sondern einkaufen, benötigen sie einen Lieferanten. Zu den Beispielen für extern bereitgestellte Produkte (Waren und Dienstleistungen) zählen:

  • Produktentwicklung
    Sie beauftragen, ein komplettes Medizinprodukt zu entwickeln.
  • Komponentenentwicklung
    Sie beauftragen, ein Teil eines Medizinprodukts zu entwickeln.
  • Kauf von Komponenten („Katalogware“)
    Sie nutzen ein „fertiges“ d. h. ein bereits bestehendes Produkt innerhalb Ihres Medizinprodukts.
  • Kauf oder Miete von Werkzeugen
    Sie kaufen oder mieten Produkte als Werkzeuge. Dazu zählt unter anderem externe Software as a Service z. B. ein Dokumentenmanagementsystem (hier ist zusätzliche die CSV zu beachten).
  • IT-Services
    Sie nutzen einen IT-Service wie das Hosting eines Servers und einen Cloud-Service. Hier wäre zu unterscheiden, ob dieser Service Teil Ihrer Produkte wird oder nicht.

b) Lieferantenbewertung, Lieferantenauswahl, Lieferantenüberwachung

Hersteller sollten zuerst Kriterien festlegen, anhand derer sie die potentiellen Lieferanten bewerten. Anschließend führen Sie diese Lieferantenbewertung durch. Auf Basis dieser Lieferantenbewertung wählen sie den / die geeignetsten Lieferanten aus (Lieferantenauswahl).

Abb. 1: Die Lieferantenbewertung, Lieferantenauswahl und Lieferantenüberwachung ist ein kontinuierlicher Prozess

Die Hersteller überwachen die Lieferanten fortlaufend z. B. im Rahmen von Wareneingangsprüfungen und Lieferantenaudits und bewerten die Lieferanten regelmäßig beispielsweise anhand der Auditergebnisse und der Qualität der gelieferten Produkte.

Die Kriterien, die man für die initiale Bewertung heranzieht, gleichen meist nicht den Kriterien für die fortlaufende Bewertung im Rahmen der Überwachung. Beispielsweise ist das Kriterium „Liefertreue“ bei der initialen Bewertung nicht messbar, da es noch keine Lieferung gab. Bei der fortlaufenden Bewertung wird die Liefertreue hingegen ein Kriterium sein.

2. Regulatorische Anforderungen an die Steuerung der Lieferanten

a) MDR und IVDR

Anforderungen an das QM-System

Die MDR und IVDR machen unmissverständlich klar, dass das Qualitätsmanagement „die Auswahl und Kontrolle von Zulieferern und Unterauftragnehmern“ regeln muss (MDR Artikel 10 (9) d) bzw. 10 (8) d) bei der IVDR).

Anforderungen an die Benannte Stelle des Herstellers

Die Benannte Stelle muss entscheiden, ob ein besonderes Audit des Lieferanten oder Unterauftragnehmers notwendig ist (Anhang VII 4.5.2.a, Anhang IX 2.3 und 3.3). Falls dies zutrifft, unterliegen sogar die Lieferanten („Zulieferer“) den unangekündigten Audits – „mindestens einmal alle fünf Jahre“ (Anhang IX 3.4).

Die Benannte Stelle ist verpflichtet, Audits beim Lieferanten durchzuführen, sofern die gelieferten Produkte erheblichen Einfluss auf die Konformität der Medizinprodukte haben und der Hersteller nicht nachweisen kann, dass er die Zulieferer ausreichend kontrolliert (Anhang VII 4.5.2 b)).

Anforderungen an die Technische Dokumentation

Die Hersteller müssen angeben, welche Lieferanten und Unterauftragnehmer bei der Entwicklung und Produktion beteiligt sind (MDR Anhang II, 3. c) bzw. IVDR Anhang II 3.2. b)).

b) ISO 13485 und ISO 9001

Die ISO 9001:2015 und ISO 13485:2016 stellen konkrete Forderungen an die Auswahl und Bewertung von externen Anbietern von beschafften Produkten (die ISO 13485:2016 definiert Produkte als Ergebnisse eines Prozesses und schließt Dienstleistungen in den Produktbegriff mit ein). Nach ISO 13485 müssen Hersteller…

  1. Kriterien für Lieferanten und die zu beschaffenden Produkte festlegen (Beispiele für Kriterien sind weiter unten genannt)
  2. Lieferanten gemäß dieser Kriterien beurteilen
  3. Lieferanten gemäß dieser Kriterien auswählen
  4. Lieferanten gemäß dieser Kriterien überwachen
  5. Lieferanten gemäß dieser Kriterien wiederbewerten

Beachten Sie: Diese Kriterien sind produktspezifisch festzulegen!

Die regulatorischen Anforderungen betreffen neben den Lieferanten auch die Produkte. Hersteller müssen…

  1. die Auswirkungen des beschafften Produkts auf die Sicherheit und Leistungsfähigkeit des Medizinprodukts analysieren
  2. verbundene Risiken adressieren
  3. Spezifikationen für die zu beschaffenden Produkte festlegen
  4. Anforderungen an Produkte, Qualifikation und Qualitätsmanagement des Lieferanten soweit angemessen benennen
  5. festlegen, mit welchen Verfahren, Prozessen und Werkzeugen die gelieferten Produkte zu prüfen sind
  6. die Produkte gemäß dieser Vorgaben prüfen

Die Norm besteht auch auf schriftlichen Qualitätsvereinbarungen:

Die Lenkungsmaßnahmen müssen in einem angemessenen Verhältnis zu dem damit verbundenen Risiko und der Fähigkeit der externen Parteien […] stehen [und] schriftliche Qualitätsvereinbarungen enthalten.

ISO 13485:2016 Kapitel 4.1.5

c) Vorgaben der ZLG

Weitere Vorgaben zur Lieferantenbewertung finden Sie in den Dokumenten der ZLG z. B. den Schriftstücken 3.9 B16 und 3.9 B17.

d) Vorgaben der NBOG

Beachten Sie: Die Notified Body Organization Group NBOG nennt in ihren NBOG’s Best Practice Guide 2010-1 das alleinige Verlassen auf 9001/13485-Zertifizierungen ausdrücklich als Beispiel mangelnder Kontrolle. Dieses Vorgehen sollte/müsste somit Lieferantenaudits der Benannten Stelle nach sich ziehen.

Der geringe Nutzen von Zertifikaten deckt sich mit den Erfahrungen Benannter Stellen bei diversen Audits: Selbst geschriebene, nicht akkreditierte, unseriöse Zertifikate sind letzten Endes leider nicht mehr als ein Zettel und bieten keine Verlässlichkeit.

Der bessere Ansatz besteht darin, eine gute Qualitätssicherungsvereinbarung (QSV) abzuschließen und ggf. Lieferantenaudits durchzuführen.

e) FDA: 21 CFR part 820

Nahezu identische Anforderungen wie die ISO 13485 nennt die FDA im 21 CFR part 820.50 „Purchasing Controls“. Dies ist z. B. eine Qualitätssicherungsvereinbarung:

Purchasing documents shall include, where possible, an agreement that the suppliers, contractors, and consultants agree to notify the manufacturer of changes in the product or service so that manufacturers may determine whether the changes may affect the quality of a finished device. 

FDA 21 CFR part 820.50

Die FDA betont, dass die Daten, die bei der Auswahl, Bewertung und Überwachung der Lieferanten und Produkte entstehen, der Dokumentenlenkung gemäß 21 CFR part 820.40 unterliegen.

3. Lieferantenbewertung praktisch umgesetzt

Wie Sie Ihre Lieferanten auswählen und bewerten, sollten Sie nicht für jeden Einzelfall neu entscheiden, sondern in einer Verfahrensanweisung zur Lieferantenauswahl und Lieferantenbewertung festlegen.

Lieferantenbewertung Lieferantenauswahl
Abb. 2: Die Maßnahmen bei der Steuerung der Lieferanten, wie die Lieferantenüberwachung und Lieferantenbewertung, sollten abhängig von spezifizierten Kriterien erfolgen

Diese Verfahrensanweisung muss – um die oben genannten Anforderungen zu erfüllen – Kriterien und Methoden für die Lieferantenbewertung und die Lieferantenauswahl bestimmen.

a) Schritt 1: Kriterien festlegen

Zu den Kriterien, die Sie berücksichtigen können, wenn Sie die Maßnahmen für die Bewertung und Auswahl Ihrer Lieferanten festlegen, zählen:

  • Entwickelt der Lieferant ein Medizinprodukt oder Teile/Komponenten dafür?
  • Stellt der Lieferant Dienstleistungen zur Verfügung, die Teil Ihres Produktes werden? Ein Beispiel wäre, ein Hosting-Dienstleister, mit dem Sie Ihre Software as a Service anbieten.
  • Ist Ihr Lieferant ISO 13485 zertifiziert?
  • Wie abhängig sind Sie vom Lieferanten? Gibt es alternative Lieferanten, Produkte oder Verfahren?
  • Gibt es bereits Erfahrungen mit dem Lieferanten zur Liefertreue und Qualität der gelieferten Produkte?
    Eine Google-Suche, die den Lieferanten mit Begriffen wie „Problem“ oder „unzuverlässig“ kombiniert, fördert manchmal neue Erkenntnisse zu Tage. Auch Produktbewertungen können hilfreich sein.
  • Ist das Produkt oder die Dienstleistung geschäftskritisch?
    Würde eine Nichterfüllung der Anforderungen zu Gesetzesverstößen, zur Verletzung der Datensicherheit, zum Verlust von Firmengeheimnissen, zum Verlust der Reputation oder zu finanziellen Nachteilen führen?

Falls das gelieferte Produkt Software ist oder enthält, sind weitere Kriterien für die Lieferantenbewertung denkbar:

  • Welche Sicherheitsklasse hat diese Software?
  • Geht es um SOUP bzw. OTS?
  • Enthält diese Software selbst SOUP?
  • Ist die Software ein Werkzeug oder ein Teil eines Produkts?
  • Handelt es sich um Kauf bzw. Miete oder um Entwicklung?

b) Schritt 2: Mögliche Maßnahmen auflisten

Ergreifen Sie abhängig von den Kriterien eine oder mehrere der folgenden Maßnahmen:

  • Qualitätssicherungsvereinbarung verhandeln
    • Von Ihrem Lieferanten einzuhaltende Normen
    • Liste Ihrer Verfahrensanweisungen, die Ihr Lieferant befolgen muss
    • Anzahl und Qualifikation des vom Lieferanten bereitzustellenden Personals
    • Einverständnis des Lieferanten mit Lieferantenaudits einschließlich Umfang und Frequenz
  • Ggf. Einschränkung möglicher Lieferanten auf solche, die ISO 13485 zertifiziert sind
  • Wareneingangskontrolle
    • Häufigkeit, Stichproben
    • Methoden z. B. Nachtesten, Sichtprüfung
  • Art und Umfang der dem Lieferanten bereitgestellten Dokumentation z. B.
    • Produktspezifikationen
    • Akzeptanzkriterien
    • Projektvorgaben wie Zeit und Budget
    • Qualitätssicherungsvereinbarung (s.o.)
  • Lieferantenaudit

c) Schritt 3: Maßnahmen und Kriterien einander zuordnen

Die eben genannten Methoden und Maßnahmen werden Sie sicher nicht für jeden Lieferanten anwenden. So dürfte ein Audit bei Ihrem Lieferanten für Bürozubehör ein wenig sinnvolles Unterfangen sein. Wenn Ihr Lieferant hingegen die Software für Ihr Medizinprodukt schreibt und nicht selbst ISO 13485 zertifiziert ist, wird ein Lieferantenaudit unverzichtbar sein.

Ein typisches Vorgehen, das zwar nicht gefordert, aber dennoch von den Benannten Stellen gerne gesehen ist (da in NBOG’s Best Practice Guide 2010-1 erwähnt), ist die risikobasierte Einteilung der Lieferanten in Kritische Lieferanten und Nicht-Kritische Lieferanten. Das Dokument der NBOG definiert Kritischer Lieferant folgendermaßen:

A critical supplier is a supplier delivering materials, components, or services that may influence the safety and performance of the device. 

NBOG BPG 2010-1 2.2

Im letzten Schritt legen Sie daher fest, welche Maßnahmen zur Lieferantenbewertung Sie bei welchen Kriterien anwenden. Da das Regelwerk sehr schnell unübersichtlich werden kann, können Sie die Maßnahmen gruppieren und verschiedene Typen von Lieferanten festlegen.

So könnte es einen Typ „hochkritische Lieferanten“ geben, mit denen Sie eine Qualitätssicherungsvereinbarung unterschreiben, die Audits, eine vollständige Wareneingangsprüfung und Personen einer bestimmten Qualifikationsstufe vorsehen.

Diesen Algorithmus zur Lieferantenbewertung können Sie tabellarisch, textuell oder als Flussdiagramm beschreiben.

4. Lieferantenaudits

Wie oben dargestellt, zählen die Lieferantenaudits zu den Maßnahmen, die Hersteller im Rahmen der initialen Lieferantenbewertung und/oder fortlaufenden Lieferantenüberwachung vornehmen können.

Ob und wann Lieferantenaudits stattfinden müssen, hängt u. a. von der Kritikalität der gelieferten Produkte sowie davon ab, ob die Lieferanten über ein eigenständiges QM-System verfügen.

In anderen Worten: Hersteller sollten ihre Lieferanten so gut wie möglich mit Vereinbarungen, Vorgaben und Prüfungen (beim Lieferanten oder Hersteller) lenken. Wenn die Prüfung der Produkte oder Prozesse keine ausreichende Gewissheit verschafft, ist ein Lieferantenaudit angesagt.

a) Lieferantenaudit: Wenn der Lieferant über kein eigenes QM-System verfügt

In diesem Fall erklären die Hersteller ihr eigenes Qualitätsmanagementsystem bzw. die darin formulierten Regeln für ihre Lieferanten als verpflichtend. D. h. sie schreiben dem Lieferanten die Prozesse vor bzw. erarbeiten gemeinsam mit ihm Vorgaben.

Dass sich die Lieferanten an diese Regeln halten, müssen die Hersteller überprüfen, abhängig von der Kritikalität der Produkte zum Beispiel durch Wareneingangskontrollen und ggf. zusätzlichen Lieferantenaudits. Im Rahmen eines solchen Audits kontrollieren die Hersteller beispielsweise, ob der Lieferant die Entwicklung oder Produktion gemäß den Herstellervorgaben dokumentiert.

Lieferantenaudit: Lieferant unter dem Dach des Hersteller QM-Systems
Abb. 3: Falls der Lieferant unter dem Dach des Hersteller QM-Systems arbeitet, sollte der Hersteller beim Lieferantenaudit die Konformität mit dem QM-System prüfen.

Die Hersteller selbst werden ebenfalls auditiert. Gemäß ISO 13485 müssen sich diese Audits durch Benannte Stellen auch auf die Lieferanten erstrecken, d. h. es kann durchaus sein, dass der Auditor der Benannten Stelle zum Lieferanten fährt.

Da die Komponentenhersteller und Entwicklungsdienstleister selbst keine Medizinprodukte in den Verkehr bringen, müssten sich diese überhaupt keinem Audit einer benannten Stelle unterziehen. Sie gestatten das meist nur deshalb, um den Forderungen ihrer Kunden, der Medizinproduktehersteller, gerecht zu werden.

b) Qualitätsmanagementsystem statt Lieferantenaudit

Um dieses „Ausufern“ des eigenen Audits auf die Lieferanten zu vermeiden, bevorzugen viele Hersteller solche Lieferanten, die über ein eigenes QM-System verfügen. In diesem Fall beschränkt sich normalerweise das Audit durch eine Benannte Stelle auf den Hersteller.

Lieferantenaudit: Lieferant hat eigenes QM-System
Abb. 4: Wenn der Lieferant über ein eigenes QM-System verfügt (nach ISO 13485:2016), kann sich der Hersteller darauf berufen

Für Hersteller von Medizinprodukten bieten sich bei der Lieferantenauswahl v. a. die Unternehmen an, die ein Zertifikat nach ISO 13485 und nicht (nur) eines nach ISO 9001 haben.

Die Zertifizierung alleine reicht aber nicht aus: Die Hersteller müssen sicherstellen, dass der „Scope“ des Dienstleister-Zertifikats die Prozesse umfasst, die für den Hersteller relevant sind.

Von einem zusätzlichen Lieferantenaudit soll aber auch bei dieser Variante nicht abgeraten werden. Solche Audits müssten aber als Bestandteil der Verträge zwischen Medizinproduktehersteller und Lieferant aufgenommen werden.

c) Welche Firmen man vom Lieferantenaudit ausnehmen kann

Die Konformitätsbewertungsverfahren beziehen sich auf die Entwicklung und Produktion von Medizinprodukten. D. h. immer dann, wenn Hersteller Komponenten für ihre Medizinprodukte entwickeln oder produzieren lassen, können diese Arbeitsschritte Gegenstand eines Lieferantenaudits werden.

Anders sieht es bei Komponenten aus, die nicht speziell für das Medizinprodukt entwickelt oder produziert werden wie Monitore (Bildschirme), Netzteile oder auch „off-the-shelf“ Softwarekomponenten. Hier würden die Hersteller im Rahmen des Risikomanagements sicherstellen, dass diese „Zukaufteile“ („Katalogware“) zu keinen inakzeptablen Risiken führen. Ein Lieferantenaudit würden Sie bei Lieferanten solcher Produkte nicht durchführen (dürfen).

Lesen Sie hier mehr zum Thema Audit.

5. Zusammenfassung

a) Lieferantenbewertung und Lieferantenauswahl

Hersteller müssen Lieferanten vor der Beauftragung bewerten und auswählen. Diese Auswahl muss anhand klarer Kriterien erfolgen.

Die Steuerung der Lieferanten d. h. die Lieferantenlenkung – dazu zählt insbesondere auch die Überwachung der Lieferanten – ist ein kontinuierlicher Prozess.

Die Wahl dieser Kriterien und die Intensität dieser Steuerung muss risikobasiert erfolgen.

b) Lieferantenaudits

Lieferantenaudits führt man bei Firmen durch, an die man einen Teil der eigenen Tätigkeiten, z. B. einen Teil der Entwicklung, ausgelagert hat. Man spricht hier oft von der „verlängerten Werkbank“. Dann muss das Audit nach den Regeln des QM-Systems des Herstellers (ISO 13485) erfolgen.

Dieses Audit können sich die Hersteller (Inverkehrbringer) ersparen, wenn der Entwicklungspartner selbst über ein ISO 13485 QM-System verfügt und dem Hersteller die entsprechende Dokumentation für das Produkt vorlegt. Das gleiche gilt für Audits durch die Benannte Stelle.

c) Fazit

Hersteller lagern zunehmend Tätigkeiten wie Entwicklung und Produktion ganz oder in Teilen aus. Die Regularien machen klar, dass dadurch die Tätigkeiten nicht einem Qualitätsmanagementsystem entzogen werden dürfen. Daher sind die Benannten Stellen verpflichtet ggf. auch die Lieferanten zu prüfen – u. U. im Rahmen unangekündigter Audits.

Somit sind die Hersteller gut beraten, Lieferanten auszuwählen und zu überwachen, mit denen sie ein durchgängiges Qualitätsmanagement und so die Konformität und Sicherheit der Produkte gewährleisten können.

Das Johner Institut unterstützt Hersteller und Lieferanten u. a. bei den folgenden Tätigkeiten:

  • MDR, IVDR, ISO 13485 und FDA-konforme Verfahrensanweisungen für die Bewertung, Auswahl und Überwachung von Lieferanten erstellen
  • Qualitätssicherungsvereinbarungen formulieren
  • Audits durch Hersteller und Benannte Stellen vorbereiten
  • Lieferantenaudits in Ihrem Namen durchführen
  • Korrektes Zusammenspiel der Tätigkeiten (z. B. Lieferantenüberwachung, Risikomanagement, Trendanalyse etc.) im Rahmen der Post-Market-Surveillance (zentrale Anforderung der MDR und IVDR) gewährleisten

Nehmen Sie gleich Kontakt mit uns auf!


Versionshistorie

  • 2025-01-08:
    • Redaktionelle Änderungen
    • Kapitel 3. c) erweitert um einen Absatz zu „Kritische Lieferanten“
    • Kapitel 4 präzisiert zur Durchführung von Lieferantenaudits
  • 2023-05-31: Redaktionelle Änderungen



Lifestyle