Skip to main content
Leitfäden·8 Min. Lesezeit·

21 CFR Part 11 und Materialzeugnisse: Compliance-Anforderungen erklärt

Kurze Antwort

Quick Answer

21 CFR Part 11 schreibt vor, dass elektronische Aufzeichnungen, die in der FDA-regulierten Herstellung verwendet werden – einschließlich Materialprüfzeugnisse –, spezifische Standards für Authentizität, Integrität und Vertraulichkeit erfüllen müssen. Für Materialzeugnisse bedeutet dies konforme elektronische Unterschriften, Audit-Trails für jede Datensatzänderung, Zugriffskontrollen und validierte Systeme. Nichteinhaltung führt zu regulatorischem Risiko bei FDA-Inspektionen.

Wenn Ihre Organisation Anlagen für die pharmazeutische oder Biotechnologieherstellung fertigt – Druckbehälter, Bioreaktoren, Rohrsysteme, Prozessanlagen – unterliegen Ihre Kunden der FDA-Aufsicht. Diese Aufsicht erstreckt sich auf die Dokumentationspraktiken ihrer Anlagenlieferanten, insbesondere wenn Materialnachweise in den Chargenprotokoll- oder Anlagenqualifizierungsunterlagen enthalten sind.

Das Verständnis, wo 21 CFR Part 11 auf Ihr Materialzeugnis-Managementsystem anwendbar ist, ist nicht optional. Es beeinflusst, wie Sie jedes Qualitätsdokument, das in eine FDA-regulierte Lieferkette eingeht, erfassen, speichern, genehmigen und übermitteln.


Was ist 21 CFR Part 11?

Titel 21 des Code of Federal Regulations, Part 11, ist die FDA-Vorschrift, die die Bedingungen festlegt, unter denen elektronische Aufzeichnungen und elektronische Unterschriften als gleichwertig mit Papieraufzeichnungen und handgeschriebenen Unterschriften angesehen werden.

Sie wurde 1997 eingeführt, um den Übergang von papierbasierten Qualitätssystemen zu elektronischen Systemen zu ermöglichen – stellt jedoch strenge Anforderungen, um sicherzustellen, dass elektronische Aufzeichnungen nicht manipuliert, gefälscht oder falsch zugeordnet werden können.

21 CFR Part 11 gilt, wenn:

  • Die Aufzeichnung durch andere FDA-Vorschriften erforderlich ist (z. B. cGMP gemäß 21 CFR Parts 210/211)
  • Die Organisation beschließt, elektronische Aufzeichnungen anstelle von Papier zu verwenden

Für das Materialzeugnis-Management bei der Herstellung pharmazeutischer Anlagen wird die Vorschrift relevant, wenn Zeugnisse als Teil des Dokumentationssystems des regulierten Herstellers elektronisch aufbewahrt und unterzeichnet werden.


Welche Materialzeugnis-Aufzeichnungen betrifft 21 CFR Part 11?

Nicht jedes Zeugnis in Ihrem System unterliegt Part 11 – nur solche, die:

  1. Erforderliche Aufzeichnungen unter anderen FDA-Vorschriften sind – zum Beispiel Materialrückverfolgbarkeitsaufzeichnungen für Anlagen, die in Einrichtungen betrieben werden, die unter 21 CFR Part 211 (Current Good Manufacturing Practice für Arzneimittel) fallen

  2. Aufzeichnungen, die in das Qualitätssystem eines Kunden einbezogen werden – wenn Ihr MTC oder CoC Teil eines Device History Record (DHR), Batch Manufacturing Record (BMR) oder Anlagenqualifizierungspakets (IQ/OQ/PQ) wird

  3. Elektronisch unterzeichnete Aufzeichnungen in einem regulierten Kontext – wenn ein Qualitätsmanager oder autorisierter Genehmiger ein Zeugnis elektronisch unterzeichnet und diese Unterschrift das Dokument der Aufzeichnung ist

Materialzeugnisse für standardmäßige strukturelle oder nicht prozessberührende Anwendungen in einer Pharmaanlage lösen möglicherweise Part 11 nicht aus. Für druckhaltende Komponenten, produktberührende Oberflächen und Anlagen in validierten Prozessen muss die Frage jedoch ausdrücklich adressiert werden.


Zentrale Anforderungen von 21 CFR Part 11 für Zeugnismanagementsysteme

Elektronische Aufzeichnungen (§11.10)

Zugriffskontrollen (§11.10(d)): Das System muss den Zugriff auf autorisierte Benutzer beschränken. Für das Zeugnismanagement bedeutet dies rollenbasierte Berechtigungen – wer bestimmte Zeugnisdatensätze erstellen, ändern, genehmigen und einsehen kann – die auf Anwendungsebene durchgesetzt werden und nicht auf gemeinsam genutzten Anmeldedaten beruhen.

Audit-Trail (§11.10(e)): Das System muss einen computergenerierten, mit Datum und Uhrzeit versehenen Audit-Trail erstellen, der aufzeichnet, wann Einträge erstellt, geändert oder gelöscht werden. Der ursprüngliche Eintrag muss erhalten bleiben. Diese Anforderung bedeutet, dass das nachträgliche Bearbeiten eines genehmigten Zeugnisses – zum Beispiel das Ändern eines Chemiewertes – ohne Erstellung eines nachverfolgbaren Änderungsdatensatzes nicht gestattet ist.

Aufzeichnungsintegrität und Lesbarkeit über die gesamte Aufbewahrungsdauer (§11.10(b)): Aufzeichnungen müssen während der gesamten erforderlichen Aufbewahrungsfrist in einem für Menschen lesbaren Format abrufbar sein. Für pharmazeutische Anlagen mit einem Produktlebenszyklus von 20+ Jahren bedeutet dies, dass Ihr System und Speicherformat für die gesamte Dauer zugänglich bleiben müssen.

Operationelle Systemprüfungen (§11.10(f)): Das System muss die Sequenzierung durchsetzen – die Genehmigung darf nicht vor dem Eingang erfolgen, ein zweistufiger Genehmiger darf nicht unterzeichnen, bevor eine erstrangige Prüfung abgeschlossen ist.

Berechtigungsprüfungen (§11.10(g)): Nur autorisierte Personen dürfen die für ihre Rolle verfügbaren Systemfunktionen nutzen. Ein Junior-Inspektor sollte nicht die Möglichkeit haben, eine Genehmigung des Qualitätsmanagers durchzuführen.

Elektronische Unterschriften (§11.50, §11.100, §11.200)

Wenn Zeugnisse elektronisch unterzeichnet werden:

  • Jede elektronische Unterschrift muss einer einzelnen Person eindeutig zugeordnet und darf nicht wiederverwendet oder neu zugewiesen werden
  • Der unterzeichnete Datensatz muss den vollständigen Namen des Unterzeichners, Datum und Uhrzeit sowie die Bedeutung der Unterschrift anzeigen (z. B. „Genehmigt durch Qualitätsmanager")
  • Das Unterzeichnen muss zwei verschiedene Identifizierungskomponenten erfordern (typischerweise Benutzername/Passwort) oder eine einzige biometrische Komponente verwenden
  • Elektronische Unterschriften müssen mit ihren jeweiligen Datensätzen verknüpft sein – sie dürfen nicht kopiert, extrahiert und fälschlicherweise auf andere Datensätze angewendet werden

Nicht-biometrische elektronische Unterschriften (§11.200(a)): Müssen mindestens zwei verschiedene Identifizierungskomponenten verwenden. Eine gängige Umsetzung: Der Genehmiger meldet sich einmal pro Sitzung an (Authentifizierung) und gibt sein Passwort zum Zeitpunkt der Unterzeichnung erneut ein (Re-Authentifizierung als zweite Komponente).


Anforderungen an die Systemvalidierung

21 CFR Part 11 wird häufig mit FDA-Leitlinien zur Computersystemvalidierung (CSV) im GAMP-Rahmenwerk kombiniert. Ihre Zeugnismanagementsoftware muss validiert werden, um zu belegen, dass sie ihre beabsichtigten Funktionen konsistent erfüllt.

Für ein Zeugnismanagementsystem umfasst die Validierung typischerweise:

  • Installationsqualifizierung (IQ) – das System ist korrekt und in einer bekannten Konfiguration installiert
  • Betriebsqualifizierung (OQ) – das System führt alle erforderlichen Funktionen korrekt aus (Genehmigungsworkflow, Audit-Trail, Zugangskontrolle)
  • Leistungsqualifizierung (PQ) – das System führt unter realen Betriebsbedingungen konsistent durch

Ein vom Hersteller bereitgestelltes Validierungspaket beseitigt nicht die Validierungsverantwortung Ihrer Organisation, reduziert den Aufwand jedoch erheblich. Fragen Sie bei der Evaluierung von Zeugnismanagementsoftware für eine regulierte Umgebung ausdrücklich nach dem Validierungsdokumentationspaket (IQ/OQ/PQ-Vorlagen, Risikobewertung, Testskripte).


Praktische Auswirkungen auf Ihren Zeugnisgenehmigungs-Workflow

Für Hersteller, die in die pharmazeutische Produktion liefern, verändert die Part-11-Compliance den Zeugnisgenehmigungs-Workflow in mehrfacher konkreter Hinsicht:

StandardpraxisPart-11-Anforderung
E-Mail-Genehmigung („sieht gut aus")Nicht konform – keine eindeutige ID, kein Zeitstempel im Datensatz
Gemeinsam genutzte Anmeldedaten für GenehmigungenNicht konform – Unterschriften müssen einer einzelnen Person eindeutig zugeordnet sein
Überschreiben eines abgelehnten ZeugnissesNicht konform – der ursprüngliche Datensatz muss erhalten bleiben
PDF auf einem freigegebenen LaufwerkKann konform sein, wenn Zugriffskontrollen und Audit-Trail dokumentiert sind
Papierunterschrift mit ScanKonform für Papieraufzeichnungen; bei Scan muss der Scan die Anforderungen an die Integrität elektronischer Aufzeichnungen erfüllen

Was Sie Ihren Zeugnismanagementsoftware-Anbieter fragen sollten

  1. Erstellt das System einen computergenerierten Audit-Trail für jede Erstellung, Änderung und Löschung von Datensätzen?
  2. Sind Audit-Trail-Datensätze vor Änderungen durch Benutzer einschließlich Administratoren geschützt?
  3. Erfordert der elektronische Unterschriftsmechanismus zwei verschiedene Identifizierungskomponenten?
  4. Ist das System validiert, und ist ein Validierungspaket verfügbar?
  5. Unterstützt das System rollenbasierte Zugangskontrolle mit konfigurierbaren Berechtigungsstufen?
  6. Wie handhabt das System die Aufbewahrung von Datensätzen, die 20+ Jahre lang zugänglich sein müssen?

TestCert ist mit diesen Anforderungen im Blick konzipiert – mit konformen elektronischen Unterschriften, unveränderlichen Audit-Trails, rollenbasierter Zugangskontrolle und Dokumentation zur Unterstützung von Validierungsaktivitäten in regulierten Umgebungen.


Gilt 21 CFR Part 11 automatisch für alle Hersteller, die an Pharmaunternehmen liefern?

Nicht automatisch. Part 11 gilt für Aufzeichnungen, die durch FDA-Vorschriften erforderlich sind. Wenn Ihre Zeugnisse Teil einer regulierten Aufzeichnung werden – in Anlagenqualifizierung, Chargenprotokoll oder einem Device History Record einbezogen –, fließen die anwendbaren Anforderungen durch zu Ihrem System. Die Qualitätsvereinbarung Ihres pharmazeutischen Kunden gibt in der Regel an, welche Compliance von Lieferanten erwartet wird. Prüfen Sie diese Anforderungen sorgfältig und pflegen Sie Nachweise über den Compliance-Stand Ihres Systems.

Ist ein PDF-Zeugnis, das mit Adobe Acrobat unterzeichnet wurde, für 21 CFR Part 11 ausreichend?

Ein PDF mit einer zertifikatbasierten digitalen Unterschrift von Adobe kann konform sein, wenn die Unterschriftsinfrastruktur die Part-11-Anforderungen für Einzigartigkeit, Nichtabstreitbarkeit und Verknüpfung mit dem Datensatz erfüllt. Die umfassenderen Systemanforderungen – Audit-Trail für den gesamten Zeugnis-Lebenszyklus, Zugriffskontrollen, Aufbewahrung – müssen jedoch auch durch den umgebenden Workflow erfüllt werden. Eine PDF-Unterschrift allein, ohne ein konformes Aufzeichnungsmanagementsystem, ist im Allgemeinen nicht ausreichend.

Wie lange müssen Materialzeugnisse gemäß FDA-Vorschriften aufbewahrt werden?

Es gibt keine einheitliche FDA-vorgeschriebene Aufbewahrungsfrist für Materialzeugnisse. Aufbewahrungsanforderungen ergeben sich aus der spezifischen Vorschrift, die die Aufzeichnung erfordert. Gemäß 21 CFR Part 211 müssen Chargenprotokolle mindestens ein Jahr nach dem Verfallsdatum der Arzneimittelcharge oder ein Jahr nach der FDA-Genehmigung der Charge aufbewahrt werden. Für Anlagenqualifizierungsaufzeichnungen wenden viele Organisationen die Lebensdauer der Anlage zuzüglich einer behördlichen Frist an. Konsultieren Sie für Ihre spezifische Situation Ihr Qualitätsteam und rechtliche Berater.

Gelten Part-11-Anforderungen für Zeugnisse, die von Lieferanten empfangen werden, oder nur für unsere eigenen Aufzeichnungen?

Part 11 gilt für das Aufzeichnungssystem Ihrer Organisation. Wenn Sie ein Zeugnis von einem Lieferanten empfangen und es in Ihre Aufzeichnungen einbeziehen – durch Scannen, Hochladen oder Referenzierung in einem Genehmigungsworkflow –, muss die Aufzeichnung in Ihrem System Part 11 erfüllen, wenn diese Aufzeichnung der FDA-Aufsicht unterliegt. Das ursprüngliche Ausstellungssystem des Lieferanten ist die Compliance-Angelegenheit des Lieferanten; Ihr Eingangs- und Speichersystem ist Ihre.

Was ist der Unterschied zwischen 21 CFR Part 11 und EU GMP Annex 11?

Beide regulieren elektronische Aufzeichnungen und Unterschriften in der pharmazeutischen Herstellung, gelten jedoch in verschiedenen Rechtsordnungen. 21 CFR Part 11 ist die US-FDA-Vorschrift; EU GMP Annex 11 deckt computergestützte Systeme ab, die in der GMP-regulierten Herstellung in der Europäischen Union eingesetzt werden. Sie teilen viele Grundsätze – Audit-Trails, Zugriffskontrollen, Validierung –, unterscheiden sich jedoch in spezifischen technischen Anforderungen und dem Durchsetzungsansatz. Organisationen, die in beide Märkte liefern, müssen beide Rahmenwerke berücksichtigen.

Ready to automate your certificate workflow?

Try TestCert free

Verwandte Leitfäden