by: bulePosted on:

Lieferantenbewertung – Lieferantenauswahl – Lieferantenaudit

MDR und IVDR sowie die ISO 13485:2016 formulieren ebenso wie die FDA klare Anforderungen an die Lieferantenbewertung, Lieferantenauswahl und Lieferantenüberwachung.

Dieser Artikel verschafft Ihnen einen Überblick über die regulatorischen Anforderungen an das Lieferantenmanagement. Er gibt zudem Tipps zur praxisnahen Umsetzung und verrät, wann ein Lieferantenaudit notwendig ist.

1. Grundlagen des Lieferantenmanagements

a) Beispiele für Lieferanten und gelieferte Produkte

Sobald Hersteller etwas nicht selbst entwickeln oder produzieren, sondern einkaufen, benötigen sie einen Lieferanten. Zu den Beispielen für extern bereitgestellte Produkte (Waren und Dienstleistungen) zählen:

  • Produktentwicklung
    Der Hersteller beauftragt, ein komplettes Medizinprodukt zu entwickeln.
  • Komponentenentwicklung
    Der Hersteller beauftragt, einen Teil eines Medizinprodukts zu entwickeln.
  • Kauf von Komponenten („Katalogware“)
    Der Hersteller nutzt ein „fertiges“, d. h. ein bereits bestehendes Produkt innerhalb seines Medizinprodukts.
  • Kauf oder Miete von Werkzeugen
    Der Hersteller kauft oder mietet Produkte als Werkzeuge. Dazu zählt unter anderem „Software as a Service“, z. B. ein Dokumentenmanagementsystem (hier ist zusätzlich die CSV zu beachten).
  • IT-Services
    Der Hersteller nutzt einen IT-Service, z. B. das Hosting eines Servers oder einen Cloud-Service. Hier ist zu unterscheiden, ob dieser Service Teil seiner Produkte wird oder nicht.

b) Lieferantenbewertung, Lieferantenauswahl, Lieferantenüberwachung

Hersteller sollten zuerst Kriterien festlegen, anhand derer sie die potenziellen Lieferanten bewerten. Anschließend führen Sie diese Lieferantenbewertung durch. Auf Basis dieser Lieferantenbewertung wählen sie den oder die geeignetsten Lieferanten aus (Lieferantenauswahl).

Abb. 1: Die Lieferantenbewertung, Lieferantenauswahl und Lieferantenüberwachung ist ein kontinuierlicher Prozess.

Die Hersteller überwachen die Lieferanten fortlaufend, z. B. im Rahmen von Wareneingangsprüfungen und Lieferantenaudits. Sie bewerten die Lieferanten regelmäßig, etwa anhand der Auditergebnisse und der Qualität der gelieferten Produkte.

Die Kriterien, die man für die initiale Bewertung heranzieht, gleichen meist nicht den Kriterien für die fortlaufende Bewertung im Rahmen der Überwachung. Beispielsweise ist das Kriterium „Liefertreue“ bei der initialen Bewertung nicht messbar, da es noch keine Lieferung gab. Bei der fortlaufenden Bewertung wird die Liefertreue hingegen ein Kriterium sein.

2. Regulatorische Anforderungen an die Steuerung der Lieferanten

a) MDR und IVDR

Anforderungen an das QM-System

MDR und IVDR machen unmissverständlich klar, dass das Qualitätsmanagement „die Auswahl und Kontrolle von Zulieferern und Unterauftragnehmern“ regeln muss (MDR Artikel 10 (9) d) bzw. 10 (8) d) bei der IVDR).

Anforderungen an die Benannte Stelle des Herstellers

Die Benannte Stelle muss entscheiden, ob ein besonderes Audit des Lieferanten oder Unterauftragnehmers notwendig ist (Anhang VII 4.5.2.a, Anhang IX 2.3 und 3.3). Falls dies zutrifft, unterliegen sogar die Lieferanten („Zulieferer“) den unangekündigten Audits – „mindestens einmal alle fünf Jahre“ (Anhang IX 3.4).

Die Benannte Stelle ist verpflichtet, Audits beim Lieferanten durchzuführen, sofern die gelieferten Produkte erheblichen Einfluss auf die Konformität der Medizinprodukte haben und der Hersteller nicht nachweisen kann, dass er die Zulieferer ausreichend kontrolliert (Anhang VII 4.5.2 b)).

Anforderungen an die Technische Dokumentation

Die Hersteller müssen angeben, welche Lieferanten und Unterauftragnehmer bei der Entwicklung und Produktion beteiligt sind (MDR Anhang II, 3. c) bzw. IVDR Anhang II 3.2. b)).

b) ISO 13485 und ISO 9001

Die ISO 9001:2015 und die ISO 13485:2016 stellen konkrete Forderungen an die Auswahl und Bewertung von externen Anbietern von beschafften Produkten. (Die ISO 13485:2016 definiert Produkte als Ergebnisse eines Prozesses und schließt Dienstleistungen in den Produktbegriff mit ein). Nach ISO 13485 müssen Hersteller

  1. Kriterien für Lieferanten und die zu beschaffenden Produkte festlegen (Beispiele für Kriterien sind weiter unten genannt),
  2. Lieferanten gemäß diesen Kriterien beurteilen,
  3. Lieferanten gemäß diesen Kriterien auswählen,
  4. Lieferanten gemäß diesen Kriterien überwachen,
  5. Lieferanten gemäß diesen Kriterien bewerten.

Beachten Sie: Diese Kriterien sind produktspezifisch festzulegen!

Die regulatorischen Anforderungen betreffen neben den Lieferanten auch die Produkte. Hersteller müssen

  1. die Auswirkungen des beschafften Produkts auf die Sicherheit und Leistungsfähigkeit des Medizinprodukts analysieren,
  2. verbundene Risiken adressieren,
  3. Spezifikationen für die zu beschaffenden Produkte festlegen,
  4. Anforderungen an Produkte, Qualifikation und Qualitätsmanagement des Lieferanten soweit angemessen benennen,
  5. festlegen, mit welchen Verfahren, Prozessen und Werkzeugen die gelieferten Produkte zu prüfen sind und
  6. die Produkte gemäß diesen Vorgaben prüfen.

Die Norm besteht auf schriftlichen Qualitätsvereinbarungen:

Die Lenkungsmaßnahmen müssen in einem angemessenen Verhältnis zu dem damit verbundenen Risiko und der Fähigkeit der externen Parteien […] stehen [und] schriftliche Qualitätsvereinbarungen enthalten.

ISO 13485:2016 Kapitel 4.1.5

c) Vorgaben der ZLG

Weitere Vorgaben zur Lieferantenbewertung finden Sie in den Dokumenten der ZLG, z. B. den Schriftstücken 3.9 B16 und 3.9 B17.

d) Vorgaben der NBOG

Beachten Sie: Die Notified Body Organization Group (NBOG) nennt in ihren NBOG’s Best Practice Guide 2010-1 das alleinige Verlassen auf 9001/13485-Zertifizierungen ausdrücklich als Beispiel mangelnder Kontrolle. Dieses Vorgehen sollte/müsste somit Lieferantenaudits der Benannten Stelle nach sich ziehen.

Der geringe Nutzen von Zertifikaten deckt sich mit den Erfahrungen Benannter Stellen bei diversen Audits: Selbst geschriebene, nicht akkreditierte, unseriöse Zertifikate sind letzten Endes leider nicht mehr als ein Zettel und bieten keine Verlässlichkeit.

Der bessere Ansatz besteht darin, eine gute Qualitätssicherungsvereinbarung (QSV) abzuschließen und ggf. Lieferantenaudits durchzuführen.

e) FDA: 21 CFR part 820

Nahezu identische Anforderungen wie die ISO 13485 nennt die FDA im 21 CFR part 820.50 „Purchasing Controls“. Dies ist z. B. eine Qualitätssicherungsvereinbarung:

Purchasing documents shall include, where possible, an agreement that the suppliers, contractors, and consultants agree to notify the manufacturer of changes in the product or service so that manufacturers may determine whether the changes may affect the quality of a finished device. 

FDA 21 CFR part 820.50

Die FDA betont, dass die Daten, die bei der Auswahl, Bewertung und Überwachung der Lieferanten und Produkte entstehen, der Dokumentenlenkung gemäß 21 CFR part 820.40 unterliegen.

f) IMDRF

Das IMDRF hat im Mai 2026 einen Entwurf für eine „Guidance on the Control of Products and Services Obtained from Suppliers“ veröffentlicht.  Diese Guidance soll dabei helfen, die entsprechenden Anforderungen der ISO 13485, ISO 9001 und ISO 14971 zu erfüllen. Geben Sie dem IMDRF während der Kommentierungsphase gerne Feedback.

3. Lieferantenbewertung praktisch umgesetzt

Wie Sie Ihre Lieferanten auswählen und bewerten, sollten Sie nicht für jeden Einzelfall neu entscheiden, sondern in einer Verfahrensanweisung zur Lieferantenauswahl und Lieferantenbewertung festlegen.

Lieferantenbewertung Lieferantenauswahl
Abb. 2: Die Maßnahmen bei der Steuerung der Lieferanten, wie die Lieferantenüberwachung und Lieferantenbewertung, sollten abhängig von spezifizierten Kriterien erfolgen.

Diese Verfahrensanweisung muss – um die oben genannten Anforderungen zu erfüllen – Kriterien und Methoden für die Lieferantenbewertung und die Lieferantenauswahl bestimmen.

a) Schritt 1: Kriterien festlegen

Wenn Sie die Maßnahmen für die Bewertung und Auswahl Ihrer Lieferanten festlegen, zählen zu den Kriterien, die Sie berücksichtigen können:

  • Entwickelt der Lieferant ein Medizinprodukt oder Teile/Komponenten dafür?
  • Stellt der Lieferant Dienstleistungen zur Verfügung, die Teil Ihres Produkts werden? Ein Beispiel wäre ein Hosting-Dienstleister, mit dem Sie Ihre Software as a Service anbieten.
  • Ist Ihr Lieferant ISO 13485 zertifiziert?
  • Wie abhängig sind Sie vom Lieferanten? Gibt es alternative Lieferanten, Produkte oder Verfahren?
  • Gibt es bereits Erfahrungen mit dem Lieferanten zur Liefertreue und zur Qualität der gelieferten Produkte?
    Eine Google-Suche, die den Lieferanten mit Begriffen wie „Problem“ oder „unzuverlässig“ kombiniert, fördert manchmal neue Erkenntnisse zutage. Auch Produktbewertungen können hilfreich sein.
  • Ist das Produkt oder die Dienstleistung geschäftskritisch?
    Würde eine Nichterfüllung der Anforderungen zu Gesetzesverstößen, zur Verletzung der Datensicherheit, zum Verlust von Firmengeheimnissen, zum Verlust der Reputation oder zu finanziellen Nachteilen führen?

Falls das gelieferte Produkt Software ist oder enthält, sind weitere Kriterien für die Lieferantenbewertung denkbar:

  • Welche Sicherheitsklasse hat diese Software?
  • Geht es um SOUP bzw. OTS?
  • Enthält diese Software selbst SOUP?
  • Ist die Software ein Werkzeug oder ein Teil eines Produkts?
  • Handelt es sich um Kauf bzw. Miete oder um Entwicklung?

b) Schritt 2: Mögliche Maßnahmen auflisten

Ergreifen Sie abhängig von den Kriterien eine oder mehrere der folgenden Maßnahmen:

  • Qualitätssicherungsvereinbarung verhandeln
    • Von Ihrem Lieferanten einzuhaltende Normen
    • Liste Ihrer Verfahrensanweisungen, die Ihr Lieferant befolgen muss
    • Anzahl und Qualifikation des vom Lieferanten bereitzustellenden Personals
    • Einverständnis des Lieferanten mit Lieferantenaudits einschließlich Umfang und Frequenz
  • Ggf. Einschränkung möglicher Lieferanten auf solche, die ISO-13485-zertifiziert sind
  • Wareneingangskontrolle
    • Häufigkeit, Stichproben
    • Methoden: z. B. Nachtesten, Sichtprüfung
  • Art und Umfang der dem Lieferanten bereitgestellten Dokumentation, z. B.
    • Produktspezifikationen
    • Akzeptanzkriterien
    • Projektvorgaben wie Zeit und Budget
    • Qualitätssicherungsvereinbarung (s. o.)
  • Lieferantenaudit

c) Schritt 3: Maßnahmen und Kriterien einander zuordnen

Die eben genannten Methoden und Maßnahmen werden Sie sicher nicht für jeden Lieferanten anwenden. So dürfte ein Audit bei Ihrem Lieferanten für Bürozubehör ein wenig sinnvolles Unterfangen sein. Wenn Ihr Lieferant hingegen die Software für Ihr Medizinprodukt schreibt und nicht selbst ISO-13485-zertifiziert ist, wird ein Lieferantenaudit unverzichtbar sein.

Ein typisches Vorgehen, das zwar nicht gefordert, aber dennoch von den Benannten Stellen gerne gesehen ist (da in NBOG’s Best Practice Guide 2010-1 erwähnt), ist die risikobasierte Einteilung der Lieferanten in kritische Lieferanten und nichtkritische Lieferanten. Das Dokument der NBOG definiert kritischer Lieferant folgendermaßen:

A critical supplier is a supplier delivering materials, components, or services that may influence the safety and performance of the device. 

NBOG BPG 2010-1 2.2

Im letzten Schritt legen Sie daher fest, welche Maßnahmen zur Lieferantenbewertung Sie bei welchen Kriterien anwenden. Da das Regelwerk schnell unübersichtlich werden kann, können Sie die Maßnahmen gruppieren und verschiedene Typen von Lieferanten festlegen.

So könnte es einen Typ „hochkritische Lieferanten“ geben, mit denen Sie eine Qualitätssicherungsvereinbarung unterschreiben, die Audits, eine vollständige Wareneingangsprüfung und Personen einer bestimmten Qualifikationsstufe vorsehen.

Diesen Algorithmus zur Lieferantenbewertung können Sie tabellarisch, textuell oder als Flussdiagramm beschreiben.

4. Lieferantenaudits

Wie oben dargestellt, zählen die Lieferantenaudits zu den Maßnahmen, die Hersteller im Rahmen der initialen Lieferantenbewertung und/oder fortlaufenden Lieferantenüberwachung vornehmen können.

Ob und wann Lieferantenaudits stattfinden müssen, hängt u. a. von der Kritikalität der gelieferten Produkte ab sowie davon, ob die Lieferanten über ein eigenständiges QM-System verfügen.

Mit anderen Worten: Hersteller sollten ihre Lieferanten so gut wie möglich mit Vereinbarungen, Vorgaben und Prüfungen (beim Lieferanten oder Hersteller) lenken. Wenn die Prüfung der Produkte oder Prozesse keine ausreichende Gewissheit verschafft, ist ein Lieferantenaudit angesagt.

a) Lieferantenaudit: Wenn der Lieferant nicht über ein eigenes QM-System verfügt

In diesem Fall erklären die Hersteller ihr eigenes Qualitätsmanagementsystem bzw. die darin formulierten Regeln für ihre Lieferanten als verpflichtend. Sie schreiben dem Lieferanten die Prozesse vor bzw. erarbeiten gemeinsam mit ihm Vorgaben.

Dass sich die Lieferanten an diese Regeln halten, müssen die Hersteller überprüfen; abhängig von der Kritikalität der Produkte zum Beispiel durch Wareneingangskontrollen und ggf. zusätzlichen Lieferantenaudits. Im Rahmen eines solchen Audits kontrollieren die Hersteller etwa, ob der Lieferant die Entwicklung oder Produktion gemäß den Herstellervorgaben dokumentiert.

Lieferantenaudit: Lieferant unter dem Dach des Hersteller QM-Systems
Abb. 3: Falls der Lieferant unter dem Dach des QM-Systems des Herstellers arbeitet, sollte dieser beim Lieferantenaudit die Konformität mit dem QM-System prüfen.

Die Hersteller selbst werden ebenfalls auditiert. Gemäß ISO 13485 müssen sich diese Audits durch Benannte Stellen auch auf die Lieferanten erstrecken. Es kann also sein, dass der Auditor der Benannten Stelle zum Lieferanten fährt.

Da die Komponentenhersteller und Entwicklungsdienstleister selbst keine Medizinprodukte in den Verkehr bringen, müssten sich diese nicht einem Audit einer Benannten Stelle unterziehen. Sie gestatten das meist nur deshalb, um den Forderungen ihrer Kunden, der Medizinproduktehersteller, gerecht zu werden.

b) Qualitätsmanagementsystem statt Lieferantenaudit

Um dieses „Ausufern“ des eigenen Audits auf die Lieferanten zu vermeiden, bevorzugen viele Hersteller solche Lieferanten, die über ein eigenes QM-System verfügen. In diesem Fall beschränkt sich das Audit durch eine Benannte Stelle normalerweise auf den Hersteller.

Lieferantenaudit: Lieferant hat eigenes QM-System
Abb. 4: Wenn der Lieferant über ein eigenes QM-System verfügt (nach ISO 13485:2016), kann sich der Hersteller darauf berufen.

Für Hersteller von Medizinprodukten bieten sich bei der Lieferantenauswahl v. a. diejenigen Unternehmen an, die ein Zertifikat nach ISO 13485 und nicht (nur) eines nach ISO 9001 haben.

Die Zertifizierung alleine reicht aber nicht aus: Die Hersteller müssen sicherstellen, dass der „Scope“ des Dienstleister-Zertifikats die Prozesse umfasst, die für den Hersteller relevant sind.

Von einem zusätzlichen Lieferantenaudit soll aber auch bei dieser Variante nicht abgeraten werden. Solche Audits müssten aber als Bestandteil der Verträge zwischen Medizinprodukteherstellern und Lieferanten aufgenommen werden.

c) Welche Firmen man vom Lieferantenaudit ausnehmen kann

Die Konformitätsbewertungsverfahren beziehen sich auf die Entwicklung und Produktion von Medizinprodukten. Immer dann, wenn Hersteller Komponenten für ihre Medizinprodukte entwickeln oder produzieren lassen, können diese Arbeitsschritte Gegenstand eines Lieferantenaudits werden.

Anders sieht es bei Komponenten aus, die nicht speziell für das Medizinprodukt entwickelt oder produziert werden, z. B. Monitore (Bildschirme), Netzteile oder auch „off-the-shelf“ Softwarekomponenten. Hier würden die Hersteller im Rahmen des Risikomanagements sicherstellen, dass diese „Zukaufteile“ (Katalogware) zu keinen inakzeptablen Risiken führen. Ein Lieferantenaudit würden sie bei Lieferanten solcher Produkte nicht durchführen (dürfen).

Lesen Sie hier mehr zum Thema Audit.

5. Zusammenfassung

a) Lieferantenbewertung und Lieferantenauswahl

  • Hersteller müssen Lieferanten vor der Beauftragung bewerten und auswählen. Diese Auswahl muss anhand klarer Kriterien erfolgen.
  • Die Steuerung der Lieferanten, d. h. die Lieferantenlenkung – dazu zählt insbesondere auch die Überwachung der Lieferanten – ist ein kontinuierlicher Prozess.
  • Die Wahl dieser Kriterien und die Intensität dieser Steuerung müssen risikobasiert erfolgen.

b) Lieferantenaudits

  • Lieferantenaudits führt man bei Firmen durch, an die man einen Teil der eigenen Tätigkeiten ausgelagert hat, z. B. einen Teil der Entwicklung. Man spricht hier oft von der „verlängerten Werkbank“. Dann muss das Audit nach den Regeln des QM-Systems des Herstellers (ISO 13485) erfolgen.
  • Dieses Audit können sich die Hersteller (Inverkehrbringer) ersparen, wenn der Entwicklungspartner selbst über ein QM-System nach ISO 13485 verfügt und dem Hersteller die entsprechende Dokumentation für das Produkt vorlegt. Das Gleiche gilt für Audits durch die Benannte Stelle.

c) Fazit

Hersteller lagern zunehmend Tätigkeiten wie Entwicklung und Produktion aus, entweder ganz oder in Teilen. Die Regularien machen klar, dass dadurch die Tätigkeiten nicht einem Qualitätsmanagementsystem entzogen werden dürfen. Daher sind die Benannten Stellen verpflichtet, ggf. auch die Lieferanten zu prüfen – u. U. im Rahmen unangekündigter Audits.

Somit sind die Hersteller gut beraten, Lieferanten auszuwählen und zu überwachen, mit denen sie ein durchgängiges Qualitätsmanagement und folglich die Konformität und Sicherheit der Produkte gewährleisten können.

Das Johner Institut unterstützt Hersteller und Lieferanten u. a. bei den folgenden Tätigkeiten:

  • Verfahrensanweisungen für die Bewertung, Auswahl und Überwachung von Lieferanten erstellen, die konform sind mit MDR, IVDR, ISO13485 und FDA
  • Qualitätssicherungsvereinbarungen formulieren
  • Audits durch Hersteller und Benannte Stellen vorbereiten
  • Lieferantenaudits im Namen des Herstellers durchführen
  • Korrektes Zusammenspiel der Tätigkeiten (z. B. Lieferantenüberwachung, Risikomanagement, Trendanalyse etc.) im Rahmen der Post-Market-Surveillance (zentrale Anforderung von MDR und IVDR) gewährleisten
  • Übernahme der Rolle des externen QM-Beauftragten

Nehmen Sie gleich Kontakt mit uns auf!

Versionshistorie

  • 2026-05-14: Abschnitt 2. f) ergänzt
  • 2025-01-08:
    • Redaktionelle Änderungen
    • Kapitel 3. c) erweitert um einen Absatz zu „kritische Lieferanten“
    • Kapitel 4 präzisiert zur Durchführung von Lieferantenaudits
  • 2023-05-31: Redaktionelle Änderungen

PakarPBN

A Private Blog Network (PBN) is a collection of websites that are controlled by a single individual or organization and used primarily to build backlinks to a “money site” in order to influence its ranking in search engines such as Google. The core idea behind a PBN is based on the importance of backlinks in Google’s ranking algorithm. Since Google views backlinks as signals of authority and trust, some website owners attempt to artificially create these signals through a controlled network of sites.

In a typical PBN setup, the owner acquires expired or aged domains that already have existing authority, backlinks, and history. These domains are rebuilt with new content and hosted separately, often using different IP addresses, hosting providers, themes, and ownership details to make them appear unrelated. Within the content published on these sites, links are strategically placed that point to the main website the owner wants to rank higher. By doing this, the owner attempts to pass link equity (also known as “link juice”) from the PBN sites to the target website.

The purpose of a PBN is to give the impression that the target website is naturally earning links from multiple independent sources. If done effectively, this can temporarily improve keyword rankings, increase organic visibility, and drive more traffic from search results.

Jasa Backlink

Download Anime Batch

Leave a Reply

Your email address will not be published. Required fields are marked *