Baselmagazin Tagesbericht Deutsch
BaselMagazin.ch Baselmagazin Tagesbericht
Blog Lokal Politik Technik Welt Wirtschaft

21 CFR Part 11: Unterschiede zu GMP und EU Annex 11

Thomas Davies Thompson • 2026-07-09 • Gepruft von Mia Schneider

Wenn Sie in einem regulierten Umfeld arbeiten, kennen Sie das Gefühl: Ein neues System soll eingeführt werden, und plötzlich steht die Frage im Raum, ob es den FDA-Anforderungen genügt. 21 CFR Part 11 ist die entscheidende US-Verordnung für elektronische Aufzeichnungen und Signaturen – dieser Leitfaden zeigt die Unterschiede zu GMP und EU Annex 11 sowie eine praktische Compliance-Checkliste.

„Die FDA betont, dass Part 11 auf elektronische Aufzeichnungen angewendet wird, die erstellt, geändert, gepflegt, archiviert, abgerufen oder übermittelt werden.” — FDA Leitlinie zu Part 11 (2003)

„Part 11 definiert Kriterien, unter denen elektronische Aufzeichnungen und Signaturen als vertrauenswürdig gelten.” — Wikipedia (Title 21 CFR Part 11)

Offizielle Bezeichnung: 21 CFR Part 11 – Electronic Records; Electronic Signatures ·
Inkrafttreten: 1997 ·
Zuständige Behörde: U.S. Food and Drug Administration (FDA) ·
Anwendungsbereich: Elektronische Aufzeichnungen und Signaturen unter FDA-Vorschriften ·
Letzte Leitlinien-Aktualisierung: 2003 (FDA Guidance for Industry)

Kurzüberblick

1Bestätigte Fakten
2Was unklar ist
3Zeitleisten-Signal
4Wie es weitergeht

Wofür steht 21 CFR Part 11?

Was bedeutet CFR?

CFR steht für Code of Federal Regulations – das jährlich aktualisierte Regelwerk der US-Bundesregierung. Titel 21 umfasst Vorschriften zu Lebensmitteln und Arzneimitteln, die von der FDA durchgesetzt werden. 21 CFR Part 11 ist ein spezifischer Abschnitt innerhalb dieses Titels (Wikipedia (US-Regelwerk)).

Kernaussage: Unternehmen, die elektronische Aufzeichnungen unter FDA-Kontrolle führen, müssen die technischen Vorgaben von Part 11 umsetzen – sonst drohen Inspektionsmängel.

Was regelt 21 CFR Part 11 genau?

Die Verordnung legt Kriterien fest, unter denen die FDA elektronische Aufzeichnungen und elektronische Signaturen als vertrauenswürdig, zuverlässig und rechtlich gleichwertig mit Papierdokumenten und handschriftlichen Unterschriften betrachtet. Sie gilt für Aufzeichnungen, die anstelle von Papierdokumenten erstellt, geändert, archiviert oder übermittelt werden (Wikipedia (US-Bundesregelung)). In der Praxis wird Part 11 häufig als “record-and-signature-centric” beschrieben (Complere eQMS (Compliance-Softwareanbieter)).

  • Elektronische Aufzeichnungen: Systeme müssen sicherstellen, dass Daten nicht unbemerkt verändert werden können
  • Elektronische Signaturen: Jede Signatur muss eindeutig einer Person zugeordnet und nicht wiederverwendbar sein (IDBS (Life-Sciences-Softwareanbieter))
  • Audit-Trails: Sichere, computergenerierte, zeitgestempelte Aufzeichnungen aller Änderungen sind Pflicht (IDBS (Life-Sciences-Softwareanbieter))

Das bedeutet: Ohne lückenlose Audit-Trails und eindeutige Signaturzuordnung ist eine FDA-konforme elektronische Prozessführung nicht möglich.

Wer muss 21 CFR Part 11 einhalten?

Die Verordnung gilt für alle FDA-regulierten Bereiche – nicht nur für pharmazeutische Hersteller, sondern auch für klinische Studien, Medizinprodukte, Biologika und Lebensmittelbetriebe. Jedes Unternehmen, das unter FDA-Vorschrift elektronische Aufzeichnungen führt oder elektronische Signaturen verwendet, muss die Anforderungen von Part 11 erfüllen (Cooley (US-Wirtschaftskanzlei)).

Die Krux

Für Unternehmen, die sowohl in den USA als auch in der EU tätig sind, entsteht ein doppelter Aufwand: Sie müssen sowohl 21 CFR Part 11 als auch EU Annex 11 erfüllen, da eine gegenseitige formelle Anerkennung der beiden Regelwerke nicht existiert.

Die Konsequenz: Wer global agiert, muss die strengeren Anforderungen beider Systeme parallel dokumentieren.

Was ist der Unterschied zwischen 21 CFR Part 11 und GMP?

Wie hängen GMP und 21 CFR Part 11 zusammen?

GMP (Good Manufacturing Practice) ist ein umfassendes Qualitätssicherungssystem, das die gesamte Produktion betrifft – von der Rohstoffeingangskontrolle bis zur Auslieferung. 21 CFR Part 11 ergänzt GMP um spezifische Anforderungen für elektronische Aufzeichnungen und Signaturen. Während GMP primär für Hersteller gilt, erstreckt sich Part 11 auf alle FDA-regulierten Bereiche, einschließlich klinischer Studien und Medizinprodukte.

Welche zusätzlichen Anforderungen stellt Part 11?

  • Validierung: Systeme müssen nachweisen, dass sie genau, zuverlässig und konsistent arbeiten
  • Audit-Trail: Jede Änderung an Aufzeichnungen muss automatisch mit Zeitstempel und Benutzer-ID protokolliert werden
  • Zugriffskontrollen: Nur autorisierte Personen dürfen auf Systeme zugreifen (IDBS (Life-Sciences-Softwareanbieter))
  • Passwortrichtlinien: Regelmäßige Passwortänderungen, Mindestlängen und Sperrung nach Fehlversuchen sind vorgeschrieben

Gilt Part 11 nur für pharmazeutische Hersteller?

Nein. Die FDA stellt klar, dass Part 11 bei klinischen Untersuchungen bereits beim Eintrag eines elektronischen Datensatzes in das EDC-System des Sponsors bewertet wird (Cooley (US-Wirtschaftskanzlei)). Auch Hersteller von Medizinprodukten, Biologika und Lebensmittelbetriebe fallen unter den Anwendungsbereich.

Das Muster: Während GMP den Rahmen setzt, schreibt Part 11 die technischen und organisatorischen Mittel vor, mit denen elektronische Prozesse rechtskonform abgebildet werden. Ohne Part 11 wäre ein papierloses GMP-System in den USA rechtlich nicht durchsetzbar.

Was ist der Unterschied zwischen FDA 21 CFR Part 11 und EU Annex 11?

Was ist EU GMP Annex 11?

EU Annex 11 ist die europäische Entsprechung für computergestützte Systeme in der GMP-Umgebung. Sie ist eine Ergänzung zum EU-GMP-Leitfaden und behandelt computergestützte Systeme, die Teil GMP-regulierter Aktivitäten sind (Europäische Kommission (DG Health)). Annex 11 ist stärker auf den gesamten Lebenszyklus computergestützter Systeme ausgerichtet als nur auf Aufzeichnungen und Signaturen (Europäische Kommission (Gesundheitsbehörde)).

Welche Gemeinsamkeiten bestehen?

  • Beide fordern die Validierung computergestützter Systeme
  • Beide verlangen Audit-Trails und sichere elektronische Signaturen
  • Beide schreiben Zugriffskontrollen und Schulungen vor

Welche wesentlichen Abweichungen gibt es?

Die grundlegende Differenz: Während Part 11 detaillierte technische Spezifikationen vorgibt, setzt Annex 11 auf einen prinzipienbasierten Ansatz. Fünf Unterschiede, ein Muster:

Aspekt 21 CFR Part 11 (USA) EU GMP Annex 11 (EU)
Regulierungsansatz Vorschreibend, detaillierte technische Regeln Prinzipienbasiert, Risikobewertung im Fokus
Anwendungsbereich Elektronische Aufzeichnungen und Signaturen (Wikipedia (US-Regelwerk)) Alle computergestützten Systeme in GMP-Umgebung (Europäische Kommission (DG Health))
Validierung Explizite Validierungspflicht mit Nachweisanforderungen Risikobasierte Validierung, orientiert an GMP-Risiken (IDBS (Life-Sciences-Softwareanbieter))
Audit-Trail Sicherer, computergenerierter, zeitgestempelter Audit-Trail für Aufzeichnungen (IDBS (Life-Sciences-Softwareanbieter)) Audit-Trail für Änderungen an relevanten Daten, abhängig vom Risiko
Elektronische Signaturen Eindeutige Zuordnung, nicht wiederverwendbar, mehrstufige Authentifizierung möglich Elektronische Signaturen sind zulässig, aber weniger detailliert spezifiziert

Der Trade-off: Unternehmen, die in beiden Regionen tätig sind, müssen beide Anforderungen erfüllen – der eine Ansatz ist nicht automatisch anerkennungsfähig. Die 2025 eingeleitete Revision von Annex 11 durch die EU-Kommission (Europäische Kommission (Gesundheitsbehörde)) könnte die Anforderungen noch weiter angleichen oder divergieren lassen.

Praktische Konsequenz: Internationale Unternehmen müssen ihre Compliance-Strategie auf die strengere Teilmenge beider Standards ausrichten – das bedeutet technische Part-11-Vorgaben mit risikobasierter Annex-11-Dokumentation kombinieren.

Was umfasst die 21 CFR Part 11-Compliance-Checkliste?

Welche grundlegenden Anforderungen müssen erfüllt sein?

Sechs Bereiche, ein Prüfschema:

Anforderung Beschreibung Dokumentationsnachweis
Systemvalidierung Nachweis, dass das System genau, zuverlässig und konsistent arbeitet Validierungsprotokoll, Testfälle, Abnahmeprotokoll
Audit-Trail Automatische Protokollierung aller Änderungen mit Zeitstempel und Benutzer-ID Audit-Trail-Konfiguration, Testnachweis
Zugriffskontrollen Personenbezogene Anmeldung, Rollenkonzepte, Sperrung bei Inaktivität Berechtigungskonzept, User-Management-Richtlinie
Passwortrichtlinien Mindestlänge, Sonderzeichen, regelmäßige Änderung, Sperrung nach Fehlversuchen Passwortrichtlinie, Systemkonfiguration
Elektronische Signaturen Eindeutige Zuordnung, nicht wiederverwendbar, mit zwei Identifikatoren Signaturrichtlinie, Testprotokoll
Schulungen Alle Benutzer müssen in der Nutzung des Systems geschult sein Schulungsnachweise, SOPs

Die Implikation: Die Checkliste dient als Audit-Vorbereitung – fehlt einer der Nachweise, drohen FDA-Mängel.

Schritte zur Implementierung eines konformen Systems

  1. Bestandsaufnahme: Identifizieren Sie alle Systeme, die elektronische Aufzeichnungen oder Signaturen verwenden
  2. Risikobewertung: Bewerten Sie das Risiko jedes Systems für die Patientensicherheit und Produktqualität
  3. Validierung planen: Erstellen Sie einen Validierungsplan mit Testfällen für jede Anforderung
  4. Passwort- und Zugriffsrichtlinien implementieren: Richten Sie personenbezogene Konten und Rollen ein
  5. Audit-Trail aktivieren: Stellen Sie sicher, dass alle Änderungen aufgezeichnet werden
  6. Elektronische Signaturen konfigurieren: Prüfen Sie, ob die Signatur eindeutig zuordenbar ist
  7. Schulungen durchführen: Schulen Sie alle Benutzer in den neuen Prozessen
  8. Regelmäßige Überprüfungen planen: Führen Sie jährliche Audits durch, um die Compliance aufrechtzuerhalten

Häufige Fehler bei der Umsetzung

  • Fehlende Dokumentation: Die FDA erwartet, dass Unternehmen über dokumentierte Richtlinien und SOPs verfügen
  • Unzureichende Validierung: Viele Unternehmen validieren nur die Software, nicht aber den gesamten Prozess
  • Vernachlässigung des Audit-Trails: Ohne lückenlose Protokollierung ist eine Compliance nicht nachweisbar
  • Keine regelmäßige Überprüfung: Einmalige Validierung reicht nicht – Systemänderungen erfordern eine erneute Bewertung
Was zu beachten ist

Für europäische Unternehmen, die in den US-Markt expandieren: Die FDA prüft nicht nur die Systeme selbst, sondern auch die dokumentierten Prozesse und SOPs. Ohne eine vollständige Dokumentenlandschaft bleibt jedes System nicht compliant.

Was ist das EU-Äquivalent zu 21 CFR Part 11?

Gibt es eine direkte Übersetzung?

Es gibt keine eins-zu-eins-Entsprechung. Die EU verwendet Annex 11 für GMP und die EudraLex-Vorschriften für computergestützte Systeme (ECA Academy (GMP-Sachverständige)). Während Part 11 ein eigenständiger Teil des US-Bundesrechts ist, ist Annex 11 eine ergänzende Leitlinie zum EU-GMP-Leitfaden.

Wie unterscheiden sich die Rechtsrahmen?

  • Rechtsnatur: Part 11 ist eine bindende FDA-Verordnung, Annex 11 ist eine Leitlinie mit Empfehlungscharakter
  • Anwendungsbereich: Part 11 gilt für alle FDA-regulierten Bereiche, Annex 11 nur für GMP-regulierte Aktivitäten (Europäische Kommission (DG Health))
  • Detailgrad: Part 11 gibt technische Spezifikationen vor, Annex 11 setzt auf Risikobewertung und Prinzipien

Welche Auswirkungen haben die Unterschiede auf internationale Unternehmen?

Die EU-Kommission leitete 2025 eine Stakeholder-Konsultation ein, um Annex 11 zu überarbeiten (Europäische Kommission (Gesundheitsbehörde)). Die überarbeitete Fassung soll erweiterte Anforderungen an das Lifecycle-Management computergestützter Systeme und Quality Risk Management festlegen (Europäische Kommission (Gesundheitsbehörde)). Für internationale Unternehmen bedeutet das: Sie müssen beide Systeme parallel implementieren und dokumentieren.

Die Implikation: Während die USA mit Part 11 einen detaillierten, technischen Rahmen schaffen, priorisiert die EU einen risikobasierten, prozessorientierten Ansatz. Unternehmen mit Aktivitäten in beiden Regionen sollten ihre Compliance-Strategie so aufbauen, dass sie die strengere Anforderung jeder Kategorie erfüllen – das bedeutet in der Praxis: die technischen Spezifikationen von Part 11 mit der risikobasierten Dokumentation von Annex 11 kombinieren.

Fazit

21 CFR Part 11 ist kein statisches Regelwerk, sondern ein lebendiger Standard, der sich durch FDA-Guidances und EU-Entwicklungen ständig weiterentwickelt. Die FDA finalisierte im Oktober 2024 eine Guidance zur Nutzung elektronischer Systeme in klinischen Prüfungen (Cooley (US-Wirtschaftskanzlei)), und die EU arbeitet an einer Revision von Annex 11. Für europäische Hersteller, die in den US-Markt exportieren, ist die Entscheidung klar: Sie müssen beide Standards parallel implementieren, dokumentieren und regelmäßig auditieren – oder das Risiko eingehen, dass ihre elektronischen Aufzeichnungen von der FDA nicht anerkannt werden.

Verwandte Beiträge: Per- und polyfluorierte Alkylverbindungen (PFAS) – was wichtig ist · Was ist ein RSS-Reader? Einfach erklärt & beste Reader 2026

Häufig gestellte Fragen

Gilt 21 CFR Part 11 auch für papierbasierte Aufzeichnungen?

Nein, die Verordnung gilt ausschließlich für elektronische Aufzeichnungen und Signaturen. Papierbasierte Aufzeichnungen fallen unter die allgemeinen FDA-Aufbewahrungsvorschriften.

Müssen elektronische Signaturen biometrisch sein?

Nein, biometrische Signaturen sind eine Option, aber nicht vorgeschrieben. Die FDA akzeptiert auch Kombinationen aus Benutzername und Passwort, sofern die Signatur eindeutig zuordenbar und nicht wiederverwendbar ist.

Was passiert bei Nichteinhaltung von 21 CFR Part 11?

Die FDA kann bei Inspektionen Mängel feststellen (483er-Bericht), Warnschreiben ausstellen und im Extremfall die Marktzulassung von Produkten aussetzen oder zurückziehen. Die finanziellen Folgen können existenzbedrohend sein.

Wie oft muss die Compliance überprüft werden?

Die FDA schreibt keine festen Intervalle vor, empfiehlt aber regelmäßige interne Audits und erneute Validierungen bei Systemänderungen. In der Praxis bewähren sich jährliche Überprüfungen.

Ist 21 CFR Part 11 weltweit anwendbar?

Formell gilt die Verordnung nur in den USA. Da jedoch viele Länder FDA-Standards übernehmen, wird Part 11 faktisch oft als internationaler Referenzstandard verwendet.

Welche Software ist 21 CFR Part 11-konform?

Es gibt keine offizielle Zertifizierung. Software wird als konform betrachtet, wenn sie die Anforderungen erfüllt – dazu gehören Validierung, Audit-Trail, Zugriffskontrollen und elektronische Signaturen. Lassen Sie sich vom Anbieter die Konformität schriftlich bestätigen.

Was ist der Unterschied zwischen elektronischer Signatur und digitaler Signatur im Kontext von Part 11?

Eine elektronische Signatur ist ein elektronisches Zeichen, das die Identität des Unterzeichners bestätigt. Eine digitale Signatur ist eine technisch spezifischere Form, die auf Kryptografie basiert und zusätzliche Sicherheit bietet. Die FDA akzeptiert beide, sofern die Anforderungen an Eindeutigkeit und Nicht-Wiederverwendbarkeit erfüllt sind.



Thomas Davies Thompson

Uber den Autor

Thomas Davies Thompson

Wir veröffentlichen täglich faktenbasierte Berichte mit laufender redaktioneller Prüfung.