Die zunehmende Digitalisierung macht die IT in Unternehmen zu einem zentralen Akteur. Doch mit wachsender Bedeutung wächst auch das Risiko: Wo sich IT-Abteilungen von den Fachbereichen lösen und beginnen, Prozesse nach technischer Logik umzuformen, droht das Gleichgewicht zwischen Business und Technologie zu kippen.
Gerade in regulierten Industrien wie Pharma und Medizintechnik zeigen Annex 11 und 21 CFR Part 11, dass genau dieses Ungleichgewicht nicht nur organisatorisch, sondern auch regulatorisch gefährlich ist.
Annex 11 – IT im Auftrag des Geschäfts
Der europäische Annex 11 zu den GMP-Guidelines definiert die Grundsätze für den Einsatz computerisierter Systeme. Sein Anliegen ist klar: Die Verantwortung bleibt bei der Fachabteilung, nicht bei der IT.
Besonders deutlich wird dies in Abschnitt 3.1 “Suppliers and Service Providers”:
“The competence and reliability of a supplier are key factors when selecting a product or service. The need for an audit should be based on a risk assessment.
IT departments should be considered analogous.”
(EU GMP Annex 11, January 2011, Section 3.1)
Diese Formulierung ist von großer Tragweite. Sie verlangt, dass die eigene IT wie ein externer Dienstleister betrachtet wird – mit klaren Verantwortlichkeiten, dokumentierten Anforderungen und überprüfbarer Leistung.
Damit wird verhindert, dass die IT die Fachbereiche übersteuert oder technische Lösungen durchsetzt, die am Prozess vorbeigehen.
Annex 11 ist somit ein Schutzmechanismus gegen eine IT, die ihre Daseinsberechtigung in Gestaltung statt in Unterstützung sucht.
IT follows BussinesAuch die US-amerikanische FDA verfolgt mit 21 CFR Part 11 ein ähnliches Ziel, wenn auch aus einer anderen Perspektive: Sie formuliert Anforderungen an elektronische Aufzeichnungen und Unterschriften, um die Integrität, Authentizität und Nachvollziehbarkeit von Daten sicherzustellen.
Wie Urs Müller in seinem Artikel „21 CFR Part 11: Ein überinterpretiertes Gesetz?“ (2024) erläutert, wurde Part 11 lange Zeit als bürokratisches Monster missverstanden. Viele Unternehmen reagierten mit übertriebenen Papierprozessen oder teuren Signaturdiensten, um auf der sicheren Seite zu sein.
Part 11 soll digitale Prozesse ermöglichen, nicht verhindern.
Die Anforderungen sind pragmatisch:
Damit fordert Part 11 keine perfekte Technologie, sondern verantwortungsbewusste Organisation. Compliance entsteht nicht durch Software, sondern durch klare Rollen, dokumentierte Abläufe und nachvollziehbare Entscheidungen.
Quelle: Urs Müller, „21 CFR Part 11: Ein überinterpretiertes Gesetz?“, veröffentlicht am 6. August 2024.
Zusammenfassung und Einordnung durch den Autor dieser Seite.
Sowohl Annex 11 als auch Part 11 machen deutlich:
IT ist kein Selbstzweck. Sie dient der Sicherstellung von Qualität, Nachvollziehbarkeit und Vertrauen.
Wenn die IT die Fachbereiche dominiert oder Prozesse aus technischer Bequemlichkeit verändert, verletzt sie nicht nur Governance-Prinzipien – sie riskiert auch regulatorische Verstöße.
In diesem Sinne sind Annex 11 und Part 11 mehr als Compliance-Dokumente.
Sie sind Leitbilder für gesunde Unternehmensführung in der digitalen Transformation:
Was auf den ersten Blick wie Bürokratie wirkt, ist in Wahrheit ein Schutzprinzip:
Regulierung zwingt Unternehmen, die Verantwortung dort zu belassen, wo sie hingehört – im Business.
Eine IT, die sich in die Rolle des Steuermanns begibt, verliert den Kompass; eine IT, die als verlässlicher Partner und Dienstleister agiert, trägt dagegen entscheidend zum Erfolg des Unternehmens bei.
Oder zugespitzt formuliert:
Annex 11 und Part 11 schreiben fest, was gute Governance ohnehin verlangt – IT follows business.