Lieferantenqualifikation nach MDR automatisieren

Das echte Ausmaß des Problems

Die EU Medical Device Regulation verpflichtet Hersteller nach Artikel 10 Absatz 9 lit. d dazu, im Rahmen ihres Qualitätsmanagementsystems “die Auswahl und Kontrolle von Lieferanten und Unterauftragnehmern” zu regeln. Das klingt wie eine Formalität. In der Praxis bedeutet es:

Für jeden Lieferanten, dessen Produkte oder Dienstleistungen die Sicherheit oder Leistung des Medizinprodukts beeinflussen können — also für jeden kritischen Lieferanten im Sinne der ISO 13485 — muss eine dokumentierte Qualifikation vorliegen. Mit Risikoeinstufung. Mit Nachweisen. Mit Auditdokumentation, wenn die Risikoklasse das vorschreibt. Und das alles nicht einmalig, sondern in regelmäßigen Re-Qualifizierungszyklen — je nach Risikoklasse alle 1 bis 3 Jahre.

Hinzu kommt eine MDR-Besonderheit, die viele Hersteller kalt erwischt: Nach Anhang VII Ziffer 4.5.2 dürfen Benannte Stellen Lieferantenaudits ohne Vorankündigung durchführen. Das heißt, ihr braucht jederzeit eine vollständige und nachvollziehbare Qualifikationshistorie — nicht nur kurz vor dem Audit.

Typische Situation bei einem mittelständischen Hersteller mit 30 bis 150 Mitarbeitenden:

• 15 bis 60 kritische Lieferanten im Register, je nach Produktkomplexität
• 2- bis 3-Jahres-Zyklen für die meisten, 1-Jahres-Zyklus für Hochrisikozulieferer
• 8 bis 12 Stunden pro Qualifikationszyklus bei einem gut strukturierten Prozess — deutlich mehr, wenn Nachweise fehlen oder Rückfragen entstehen
• 1 bis 1,5 Vollzeitstellen im QM-Team, die diese Aufgabe neben allen anderen regulatorischen Pflichten tragen

Das ergibt in einem realistischen Szenario: 40 Lieferanten, die im Schnitt alle zwei Jahre re-qualifiziert werden müssen, bedeuten 20 Qualifikationszyklen pro Jahr. Bei 10 Stunden je Zyklus sind das 200 Stunden jährlich — fast fünf Vollzeitwochen — nur für diesen einen Prozess.

Und das sind nur die direkten Stunden. Nicht eingerechnet sind: Nachverfolgung von Lieferanten, die nicht oder unvollständig antworten, interne Abstimmungsschleifen vor der Freigabe, Korrekturen nach internen Audits, und die Zeit für die Vorbereitung auf Benannte-Stelle-Audits.

Mit vs. ohne KI — ein ehrlicher Vergleich

Die letzte Zeile ist keine Einschränkung. Sie ist der Kern des Konzepts: KI übernimmt die Analysearbeit und die Berichterstellung. Die Freigabeentscheidung bleibt immer beim Menschen.

Einschätzung auf einen Blick

Zeitersparnis — mittel (3/5) Ein KI-gestützter Qualifikationsprozess spart je Lieferant 5 bis 8 Stunden — hauptsächlich durch automatisierte Fragebogen-Auswertung, strukturiertes Lückenflagging und die Vorab-Erstellung des Qualifikationsberichts. Das ist ein echter Effekt, aber kein dominanter Hebel innerhalb der Medizintechnik-Kategorie: Technische Dokumentation oder Beschwerdemanagement beschleunigen Prozesse, die täglich auftreten. Die Lieferantenqualifikation ist intensiver, aber seltener.

Kosteneinsparung — mittel (3/5) Die Einsparung entsteht durch reduzierte QM-Personalkosten für Routinequalifikationen — und durch die Risikominderung von Audit-Befunden, die Nachbesserungskosten von 5.000 bis 25.000 Euro je Befund nach sich ziehen können. Letzteres ist schwer im Voraus zu quantifizieren. Die direkten Lizenz- und Validierungskosten von 15.000 bis 40.000 Euro Einmalinvestition bedeuten, dass der ROI sich erst ab einem gewissen Lieferantenvolumen rechnet.

Schnelle Umsetzung — niedrig (2/5) Das ist der ehrlichste Score in dieser Bewertung. Ein KI-Tool, das Bewertungsentscheidungen im Rahmen eines validierten QMS unterstützt, ist nach GAMP 5 ein computergestütztes System, das einer Computersystemvalidierung bedarf — IQ, OQ, PQ, Änderungskontrolle, Abweichungsmanagement. Das ist kein optionaler Schritt. Realistisch bis zum produktiven Betrieb: 10 bis 16 Wochen. Das ist unter den Medizintechnik-Anwendungen im unteren Bereich — Beschwerdemanagement oder Technische Dokumentation kommen schneller in Betrieb.

ROI-Sicherheit — mittel (3/5) Der Nutzen ist messbar: Stunden pro Qualifikationszyklus, Anzahl der Befunde bei Audits, Berichtsqualität. Aber er hängt von zwei Variablen ab, die ihr nicht vollständig kontrolliert: der Qualität der Lieferantenantworten und der Stabilität des Prozesses über Zeit. Teams, die ihre Qualifikationsprozesse noch nicht vollständig standardisiert haben, sehen geringere Produktivitätsgewinne als erwartet. Die 4, die viele ähnliche Prozesse im Branch tragen, wäre hier zu optimistisch.

Skalierbarkeit — hoch (4/5) Je mehr kritische Lieferanten im Register, desto größer der Hebel. Anders als bei der Technischen Dokumentation, wo jedes neue Produkt einen vollständig neuen Aufwand erzeugt, amortisiert sich der Validierungsaufwand über das gesamte Lieferantenportfolio. Nicht die höchste Bewertung, weil das Lieferantenvolumen linear und nicht exponentiell mit dem Nutzen skaliert — und weil das System für jeden neuen Lieferanten-Fragebögen-Typ kurze Konfigurationsarbeit erfordert.

Richtwerte — stark abhängig von Lieferantenportfoliogröße, QMS-Reifegrad und verfügbarer IT-Infrastruktur.

Was das System konkret macht

Der Grundgedanke: Statt dass eine QM-Managerin jeden Lieferantenfragebogen Seite für Seite liest, relevante Lücken notiert, eine Risikobewertung nach selbst definierten Kriterien aufschreibt und dann einen Qualifikationsbericht im Wesentlichen aus dem Gedächtnis baut — übernimmt ein LLM den Analyseteil. Die Entscheidung bleibt beim Menschen.

Schritt 1 — Fragebogen-Versand und Erfassung: Der Lieferant erhält einen strukturierten Fragebogen, der entweder direkt im QMS-Tool ausfüllbar ist oder als PDF/Word zurückgeschickt wird. Tools wie Azure Document Intelligence extrahieren die Antworten aus Nicht-strukturierten Dokumenten zuverlässig.

Schritt 2 — KI-Scoring der Antworten: Das LLM bewertet jede Antwort gegen einen definierten Kriterienkatalog: Hat der Lieferant eine gültige ISO-13485-Zertifizierung? Gibt es ein dokumentiertes CAPA-Verfahren? Sind Änderungskontrollen nachgewiesen? Wo weichen Antworten von den Mindestanforderungen ab, werden diese als Lücken markiert — mit Begründung und Verweis auf den betreffenden Normabschnitt oder MDR-Anforderung.

Schritt 3 — Risikoklassifizierung: Basierend auf dem Scoring, dem Einfluss des Lieferanten auf die Produktsicherheit (definiert im QMS) und der historischen Performance klassifiziert das System den Lieferanten in eine Risikoklasse. Dabei folgt es einem regelbasierten Algorithmus, den das QM-Team selbst konfiguriert — keine Black Box.

Schritt 4 — Qualifikationsbericht als Entwurf: Das System generiert einen Qualifikationsbericht im Format der Verfahrensanweisung des Unternehmens. Alle Lücken, alle Stärken, alle Risikoeinstufungen sind bereits enthalten. Der QM-Manager liest, ergänzt subjektive Einschätzungen, korrigiert wo nötig, und unterzeichnet.

Schritt 5 — Freigabe mit Audit-Trail: Die Freigabe erfolgt mit elektronischer Signatur im QMS. Datum, Prüfer, Version des Berichts, Basis-Fragebogen — alles lückenlos verknüpft. Ein Benannter-Stelle-Auditor sieht in zehn Sekunden, wann welcher Lieferant von wem freigegeben wurde, auf Basis welcher Informationen.

Was dieser Prozess nicht tut: Er entscheidet nicht selbstständig, ob ein Lieferant zugelassen wird. Er erstellt keinen rechtsgültigen Audit-Bericht aus Daten, die er nicht kennt. Und er arbeitet nicht zuverlässig, wenn die Eingangsfragebögen für verschiedene Lieferantentypen grundlegend unterschiedlich aussehen.

Systemvalidierung als regulatorische Pflicht

Dieser Abschnitt hat keine Entsprechung in den meisten Anbieter-Präsentationen — und genau deshalb ist er wichtig.

Ein KI-System, das Qualifikationsentscheidungen im Rahmen eines validierten QMS unterstützt, ist ein computergestütztes System im Sinne von GAMP 5 (Good Automated Manufacturing Practice, 2. Ausgabe 2022). Das bedeutet: Die Einführung dieses Systems erfordert eine formale Computersystemvalidierung (CSV), bestehend aus:

• IQ (Installationsqualifizierung): Nachweis, dass das System korrekt installiert und konfiguriert ist
• OQ (Operationsqualifizierung): Nachweis, dass das System im normalen Betrieb wie spezifiziert funktioniert
• PQ (Performanzqualifizierung): Nachweis, dass das System in der Produktionsumgebung konsistente, korrekte Ergebnisse liefert

Für KI-Komponenten gilt zusätzlich: Das Modell, das Fragebögen bewertet, muss auf seine Leistung hin getestet werden — mit realen Fragebögen, deren korrekte Bewertung vorab von QM-Experten festgelegt wurde (Goldstandard-Datensatz). Wenn das Modell ausgetauscht oder aktualisiert wird, ist eine erneute Qualifizierung erforderlich.

Hinzu kommen Anforderungen aus dem EU Annex 11 (für europäische Hersteller) und 21 CFR Part 11 (für FDA-regulierte Märkte), die elektronische Aufzeichnungen und Signaturen im QMS betreffen: Jede KI-generierte Ausgabe, die Teil eines regulierten Dokuments wird, muss rückverfolgbar, unveränderbar nach Freigabe und mit elektronischer Signatur versehen sein.

Praktische Konsequenz: Plant für den Validierungsaufwand 6 bis 10 Wochen — parallel zur technischen Integration. Und plant das Budget ein: Die Validierungsdokumentation (URS, DQ, Risikoanalyse, Testprotokolle, Summary Report) kostet im Schnitt 10.000 bis 25.000 Euro, je nach Komplexität des Systems und ob ihr externe Unterstützung hinzuzieht. Das ist kein Sonderprojekt — das ist regulatorische Pflicht.

Tools, die bereits eine vorkonfigurierte, vorvalidierte Umgebung für die Supplier-Management-Workflows liefern — wie MasterControl oder SimplerQMS — reduzieren den Validierungsaufwand erheblich, weil Teile des IQ/OQ bereits durch den Anbieter dokumentiert sind. Die PQ und der KI-spezifische Validierungsanteil bleiben immer in eurer Verantwortung.

Hinweis: Die hier beschriebenen regulatorischen Anforderungen (GAMP 5, Annex 11, 21 CFR Part 11) basieren auf öffentlich zugänglichen Normen und Leitlinien. Sie ersetzen keine Rechtsberatung. Die Einschätzung, welche Anforderungen für euer konkretes System und euren regulatorischen Scope gelten, trefft ihr gemeinsam mit eurem Regulatory-Affairs-Team oder einem qualifizierten Berater.

Qualifikation ≠ Freigabe: warum der Mensch immer entscheidet

Ein kritischer Punkt, der in vielen Systemdemos großzügig übersprungen wird:

Die MDR — und die ISO 13485 — kennt keine automatisierte Lieferantenfreigabe. Artikel 10 Absatz 9 der MDR fordert, dass das QMS Verfahren für “die Auswahl und Kontrolle von Lieferanten und Unterauftragnehmern” enthält. Das impliziert eine menschliche Entscheidungsverantwortung.

Das bedeutet konkret:

• Das KI-System analysiert und schlägt vor — es bewertet Fragebögen, klassifiziert Risiken, generiert Berichte
• Ein qualifizierter Mensch prüft, entscheidet und unterschreibt — mit Datum, Rolle und Begründung
• Die Freigabe eines Lieferanten ist eine dokumentierte Entscheidung einer benannten Person, nicht das Ergebnis eines Algorithmus

Dieser Punkt ist nicht nur regulatorisch wichtig — er ist auch für die interne Akzeptanz entscheidend. QM-Teams, die befürchten, dass “die KI über Lieferanten entscheidet”, brauchen die klare Aussage: Das System übernimmt die Analyse, du trägst die Verantwortung. Das ist keine Einschränkung, sondern der Sinn des Tools.

Was automatisiert werden darf: Daten-Extraktion, Lückenanalyse, Risikoklassifizierung nach definierten Regeln, Berichts-Erstellung als Entwurf, Workflow-Routing, Erinnerungseskalation, Audit-Trail-Dokumentation.

Was niemals automatisiert werden darf: Die Freigabeentscheidung selbst.

Konkrete Werkzeuge — was wann passt

Die technische Umsetzung besteht aus zwei Ebenen: dem QMS-Kern (der die Supplier-Datensätze, Fragebögen, Audit-Trails und Freigaben verwaltet) und dem KI-Layer (der Antworten analysiert und Berichte generiert). Je nach Unternehmensgröße und Budget gibt es unterschiedliche Wege.

SimplerQMS — für mittelständische Hersteller mit Microsoft-365-Umgebung SimplerQMS baut auf SharePoint und Teams auf und bringt ein validiertes Supplier-Management-Modul mit. Fragebögen, Audit-Dokumentation und Qualifikationshistorie sind direkt im System verwaltbar. Für den KI-Layer braucht ihr eine externe Lösung (z.B. via n8n + Claude-API), weil SimplerQMS selbst kein KI-Scoring mitbringt. Starterpreise ab ca. 500 €/Monat, Mid-Market-Pläne typisch 1.500 bis 4.000 €/Monat. EU-gehostet, DSGVO-konform.

MasterControl — für Hersteller mit QMS-Modernisierungsbedarf MasterControl liefert ein vollständig GxP-konformes Supplier-Management-Modul mit elektronischen Signaturen, automatischen Review-Zyklen und Audit-Trail. Stärker integriert als SimplerQMS, aber auch aufwendiger in der Implementierung (typisch 3 bis 6 Monate). Enterprise-Einstieg ab ca. 25.000 €/Jahr. Nativ EU-gehostet, vorvalidierte IQ/OQ-Dokumentation verfügbar.

Greenlight Guru — für dual-market-Hersteller (CE + FDA) Greenlight Guru hat ein dediziertes Supplier-Management-Modul und ist branchenspezifisch für Medizinprodukte gebaut. Wichtig: US-Hosting, was für DSGVO-sensible Lieferantendaten geprüft werden muss. Nach deutlicher Preiserhöhung ab Januar 2026 jetzt ab ca. 50.000 US-Dollar/Jahr (openregulatory.com, Dezember 2025). Nur sinnvoll, wenn ihr ohnehin Greenlight Guru als QMS-Plattform nutzt.

Formwork — für kleine Hersteller unter 20 Mitarbeitenden OpenRegulatorys Formwork bietet als einziges QMS-Tool einen echten kostenlosen Einstiegsplan. Der Supplier-Management-Umfang ist begrenzt, aber für kleine Hersteller mit wenigen kritischen Lieferanten und einfacher Produktstruktur ein sinnvoller Einstieg. Kein integrierter KI-Layer — hier arbeitet ihr manuell mit exportierten Daten und einem LLM.

KI-Layer: Claude oder ChatGPT via API + n8n Für das Kernstück — das Scoring der Lieferantenantworten — nutzen die meisten Implementierungen ein LLM via API, das gegen einen definierten Kriterienkatalog bewertet. n8n als Open-Source-Automatisierungsplattform bietet Self-Hosting-Option (wichtig für Datensouveränität), nativen LLM-Support und kostet nichts für die Community Edition.

Für strukturierte Extraktion aus PDFs und gescannten Zertifikaten: Azure Document Intelligence Viele Lieferanten schicken ISO-Zertifikate als PDFs zurück. Azure Document Intelligence extrahiert daraus strukturierte Daten (Zertifikatsnummer, Gültigkeitsdatum, Geltungsbereich) automatisch — EU-Region verfügbar, Pay-per-use ab ca. 1,50 USD pro 1.000 Seiten.

Zusammenfassung — wann welche Kombination:

• Kleiner Hersteller, unter 15 kritische Lieferanten → Formwork + manueller LLM-Export, noch kein automatisierter Layer
• Mittelstand, Microsoft-365-Umgebung → SimplerQMS + n8n + Claude API
• Mittelstand, QMS-Modernisierung geplant → MasterControl + KI-Integration via API
• Dual-market CE+FDA, Greenlight Guru bereits im Einsatz → Greenlight-Guru-Supplier-Modul erweitern

Datenschutz und Datenhaltung

Lieferantenqualifikationsdaten fallen unter zwei Kategorien: Unternehmensdaten des Lieferanten (Unternehmensregistrierung, Prozessbeschreibungen, Zertifikate) und gegebenenfalls personenbezogene Daten von Ansprechpartnerinnen und Ansprechpartnern beim Lieferanten. Letzteres fällt unter die DSGVO.

Konkret bedeutet das:

Auftragsverarbeitungsvertrag (AVV): Sobald ein Cloud-Dienst Lieferantendaten verarbeitet, die personenbezogene Informationen enthalten (E-Mail-Adressen, Namen von Ansprechpartnern), ist ein AVV nach Art. 28 DSGVO erforderlich. SimplerQMS, MasterControl und Formwork bieten AVV-Vorlagen; Azure Document Intelligence über Microsofts Data Processing Agreement.

EU vs. US Hosting: Greenlight Guru hostet in den USA — für sensible Lieferanten-Audit-Daten prüft dies euer Datenschutzbeauftragter. SimplerQMS, MasterControl und Formwork hosten in der EU.

KI-Layer und Datenschutz: Wenn Lieferantenantworten zur Analyse an ein LLM weitergeleitet werden, muss sichergestellt sein, dass keine personenbezogenen Daten das EU-Territorium verlassen — oder dass ein EU-Standardvertragsklausel-konformes Transfer-Mechanism vorhanden ist. n8n mit Self-Hosting auf EU-Infrastruktur (z.B. Hetzner Cloud) schließt dieses Risiko vollständig aus.

Vertraulichkeit der Lieferanteninformationen: Lieferantenfragebögen enthalten oft schutzbedürftige Geschäftsinformationen (Fertigungsverfahren, Lieferketten, Prüfmethoden). Euer Qualitätsvereinbarungsvertrag mit dem Lieferanten sollte explizit regeln, wie diese Daten im QMS gespeichert und wer Zugriff hat.

Elektronische Signaturen: Freigaben im QMS müssen nach Annex 11 (EU) oder 21 CFR Part 11 (FDA) mit qualifizierten elektronischen Signaturen arbeiten — SimplerQMS, MasterControl und Greenlight Guru erfüllen das nativ.

Was es kostet — realistisch gerechnet

Einmalige Einrichtungs- und Validierungskosten

• QMS-Konfiguration (Supplier-Management-Modul): 5.000–15.000 €
• KI-Layer-Aufbau (LLM-Integration, Bewertungskriterienkatalog, Tests): 8.000–20.000 €
• Computersystemvalidierung (IQ/OQ/PQ, Teststrategie, Summary Report): 10.000–25.000 €
• Gesamt: 23.000–60.000 €, je nach Systemkomplexität und ob ihr interne oder externe Kapazität nutzt

Laufende Kosten monatlich

• SimplerQMS Starter: ab ca. 500 €/Monat (Mid-Market: 1.500–4.000 €/Monat)
• MasterControl: ab ca. 2.100 €/Monat (25.000 €/Jahr)
• LLM-API (Claude/GPT-4): 50–300 €/Monat je nach Fragebogen-Volumen
• Azure Document Intelligence: 20–100 €/Monat bei typischem Zertifikat-Volumen

Konservatives ROI-Szenario: Ein Hersteller mit 40 kritischen Lieferanten, Re-Qualifizierungszyklen im Schnitt alle 2 Jahre, also 20 Zyklen/Jahr à 10 Stunden = 200 Stunden/Jahr. Bruttostundensatz QM-Managerin (anteilige Personalkosten inkl. Overhead): 65 €/Stunde. Jährliche Personalkosten für Lieferantenqualifikation: 13.000 €.

Nach Implementierung: 200 Stunden reduziert auf 80 Stunden (60% Einsparung, Schätzwert aus Praxisberichten, konservativ). Jährliche Einsparung: ca. 7.800 €.

Bei Einmalinvestition von 40.000 € und laufenden Kosten von 3.000 €/Monat: Amortisation in ca. 5 bis 6 Jahren nur aus direkten Personalkosten.

Der eigentliche Business Case liegt woanders: Ein einziger Audit-Befund der Kategorie “major non-conformity” bei einem Notified-Body-Audit, der auf lückenhafte Lieferantenqualifikation zurückzuführen ist, kostet Nachbesserungskosten, erneute Auditgebühren und Projektaufwand von typisch 15.000 bis 50.000 €. Wenn das System hilft, auch nur einen solchen Befund alle drei Jahre zu vermeiden, ist der ROI positiv — unabhängig von der Personalkosten-Rechnung.

Typische Einstiegsfehler

1. Den Prozess automatisieren, bevor er stabil ist. Das passiert häufig: Ein Unternehmen hat keine einheitliche Fragebogen-Vorlage, unterschiedliche QM-Mitarbeitende verwenden unterschiedliche Bewertungskriterien, und die Risikoeinstufung ist “implizit” — jede:r weiß irgendwie, was ein kritischer Lieferant ist, aber es steht nirgends. Wenn ihr versucht, diesen Prozess zu automatisieren, bekommt ihr ein schnelles, aber inkonsistentes System. Lösung: Zuerst den Prozess schriftlich stabilisieren — eindeutiger Kriterienkatalog, verbindliche Fragebogen-Vorlage, dokumentierte Risikoklassifizierungslogik — dann automatisieren.

2. Die Systemvalidierung als “Admin-Aufgabe” nach der Implementierung behandeln. Das häufigste regulatorische Risiko: Das Team implementiert das System, es läuft gut, die Qualifikationsberichte sind besser als vorher — und dann fragt der Notified-Body-Auditor nach der Computersystemvalidierung. Wenn die nicht vorliegt, sind alle Berichte, die mit dem System erstellt wurden, möglicherweise nicht anerkennungsfähig. Lösung: Validierungsplan vor der Implementierung erstellen. IQ/OQ mindestens parallel zur Integration dokumentieren. PQ vor dem ersten produktiven Einsatz abschließen.

3. Den KI-Layer auf neue Lieferantentypen anwenden, ohne ihn zu testen. Ein LLM, das Fragebögen bewertet, wurde auf Basis eines definierten Kriterienkatalogs getestet. Wenn ein neuer Lieferantentyp hinzukommt — z.B. ein Sterilisationsdienstleister, der andere Normreferenzen hat als euer bisheriges Komponentenportfolio — muss der Bewertungskatalog erweitert und das System neu getestet werden. Das ist eine Änderungskontrolle im QMS-Sinne. Lösung: Jeden neuen Fragebögen-Typ vor dem Produktiveinsatz gegen bekannte Benchmark-Fälle testen.

4. Das System pflegt sich selbst. Das ist der stille Fehler, der nach 18 bis 24 Monaten sichtbar wird. Die MDR-Anforderungen ändern sich durch Guidance-Dokumente der EU. Normabschnitte der ISO 13485 werden in der nächsten Revision überarbeitet. Und das LLM-Modell, das Fragebögen bewertet, erhält Updates, die sein Verhalten ändern. Wer all das nicht im Blick hat, arbeitet nach zwei Jahren mit einem System, das nach veralteten Kriterien bewertet. Lösung: Mindestens einmal jährlich einen Review des Kriterienkatalogs und der Bewertungslogik im Rahmen des QMS-Jahresmanagement-Reviews durchführen. Das ist nicht optional — es ist Teil der kontinuierlichen Verbesserung nach ISO 13485 Abschnitt 8.5.

Was mit der Einführung wirklich passiert — und was nicht

Die erste Reaktion im QM-Team ist selten Begeisterung. Sie ist meistens Skepsis mit einer spezifischen Färbung: “Das System wird falsch liegen.” Nicht aus allgemeiner KI-Skepsis — sondern weil QM-Mitarbeitende genau wissen, wie viel Urteilsvermögen und Kontextwissen in einer Lieferantenqualifikation steckt. Die Einschätzung, ob ein Lieferant trotz fehlender ISO-Zertifizierung akzeptabel ist, weil er seit acht Jahren zuverlässig liefert und ihr seinen Prozess durch regelmäßige Besuche sehr gut kennt — diese Art von Kontext kann kein Algorithmus replizieren.

Das ist kein Einwand gegen das System. Es ist die korrekte Einschätzung, warum die Freigabe immer beim Menschen bleibt. Was das System abnimmt: die Standardarbeit, die keine Urteilsfähigkeit erfordert — Dokumente lesen, Lücken zählen, Risikostufe nach definiertem Schema einstufen, Bericht strukturieren. Das sind die 7 von 10 Stunden, die bei einem unkomplizierten Lieferanten anfallen.

Was konkret hilft bei der Einführung:

Eine kritische Erkenntnis aus der Praxis: Die besten ersten Fürsprecher sind nicht die Skeptiker, sondern die Mitarbeitenden, die kurz vor einem Audit sitzen und wissen, dass sie es ohne Unterstützung zeitlich nicht schaffen. Zeigt das System zuerst in einer Drucksituation — wenn der Nutzen sofort spürbar ist.

Außerdem: Das System produziert in der ersten Phase nahezu zwingend einige falsch positive oder falsch negative Bewertungen — Lücken, die es nicht erkannt hat, oder Lücken, die es markiert, obwohl sie akzeptabel sind. Das ist nicht ein Fehler des Systems, sondern die normale Kalibration. Richtet von Beginn an einen Feedback-Prozess ein: Jede Korrektur der QM-Managerin an einem generierten Bericht wird dokumentiert und fließt in die nächste Iteration des Kriterienkatalogs ein.

Realistischer Zeitplan mit Risikohinweisen

Häufige Einwände — und was dahintersteckt

“Wir haben zu wenig kritische Lieferanten, damit sich das lohnt.” Das ist kein Einwand — das ist ein korrektes Ausschlusskriterium. Wenn ihr jährlich unter 10 Lieferantenqualifikationen durchführt, ist der Validierungsaufwand für das System größer als die Einsparung. Hier ist SimplerQMS als reines QMS-Tool ohne KI-Layer sinnvoll — mit manueller Analyse, aber digitaler Dokumentation. Oder Formwork für sehr kleine Hersteller.

“Das wird der Notified Body nie akzeptieren.” Das ist ein verbreiteter Reflex, der auf Misstrauen gegenüber allem Neuen im regulierten Umfeld basiert. Was Benannte Stellen prüfen, ist nicht das Werkzeug, sondern die Qualität der Dokumentation und die Nachvollziehbarkeit der Entscheidungen. Ein KI-generierter Qualifikationsbericht, der von einer qualifizierten Person geprüft, korrigiert und mit elektronischer Signatur freigegeben wurde, ist regulatorisch mindestens gleichwertig mit einem manuell erstellten Bericht — sofern die Computersystemvalidierung vorliegt. Der Benannte Stelle-Auditor wollte in Prüfungen von 2024 oft weniger wissen “wie” der Bericht entstanden ist, als ob er korrekt ist und wer ihn freigegeben hat.

“Wir müssen das intern entwickeln, wir können keine Cloud-Lösung nutzen.” Das ist ein valider Einwand für Unternehmen mit besonders sensitiven Lieferantendaten (z.B. Hersteller von Hochsicherheits-Implantaten, bei denen Lieferantenidentitäten selbst als schutzbedürftig gelten). n8n mit Self-Hosting auf eigener IT-Infrastruktur plus ein lokales LLM (Llama 3 auf eigenem Server) ist eine vollständig interne Lösung — aufwendiger in der Einrichtung, aber ohne externe Datenübertragung. Der Validierungsaufwand ist identisch.

Woran du merkst, dass das zu dir passt

Signale, die für euch sprechen:

• Ihr führt jährlich 15 oder mehr Lieferantenqualifikationen durch — das ist die Schwelle, ab der sich der Validierungsaufwand amortisiert
• Eure QM-Mitarbeitenden verbringen in Auditvorbereitungsphasen regelmäßig zwei oder mehr Wochen nur mit Lieferantendokumentation
• Beim letzten Benannter-Stelle-Audit gab es Befunde zur Lieferantendokumentation — fehlende Nachweise, lückenhafte Historien, verspätete Re-Qualifizierungen
• Euer QMS ist ISO 13485 zertifiziert und die Lieferanten-SOP ist dokumentiert und stabil — ihr automatisiert einen funktionierenden Prozess, nicht einen chaotischen
• Ihr plant ohnehin die Einführung oder den Wechsel eines eQMS — dann ist der KI-Layer kein separates Projekt, sondern Teil des Rollouts

Drei harte Ausschlusskriterien — wer es noch nicht tun sollte:

1. Unter 15 kritische Lieferantenqualifikationen pro Jahr. Der Validierungsaufwand von 10.000 bis 25.000 € amortisiert sich bei niedrigem Volumen nicht. Nutzt ein digitales QMS ohne KI-Layer und prüft in zwei Jahren neu.

2. Euer QMS ist noch nicht ISO 13485 zertifiziert oder eure Qualifikations-SOP ist nicht schriftlich stabilisiert. Man kann keinen Prozess automatisieren, der noch nicht definiert ist. Das System wird die Unstrukturiertheit des Prozesses replizieren, nur schneller. Zuerst den Prozess stabilisieren.

3. Eure Lieferantenfragebögen sind für jeden Lieferanten grundlegend unterschiedlich — keine gemeinsame Fragebogenstruktur vorhanden. KI-Scoring setzt voraus, dass vergleichbare Fragen vergleichbar ausgewertet werden. Wenn jeder Fragebogen ad hoc erstellt wird und unterschiedliche Abschnitte abdeckt, ist ein zuverlässiges automatisches Scoring nicht möglich. Zuerst einen Standardfragebogen-Kern definieren.

Das kannst du heute noch tun

Du musst kein Tool kaufen, um zu verstehen, ob KI-gestütztes Fragebogen-Scoring für euren Prozess funktioniert. Öffne Claude oder ChatGPT, lade einen echten Lieferantenfragebogen als Textdatei hoch, und nutze den Prompt unten.

Was du in 20 Minuten weißt: wie gut ein LLM eure Fragebögen bewertet, wo die Schwächen eures aktuellen Fragebogen-Designs liegen — und ob sich eine tiefere Automatisierung lohnt.

Quellen & Methodik

• MDR Artikel 10 Absatz 9 lit. d: Verordnung (EU) 2017/745 des Europäischen Parlaments und des Rates vom 5. April 2017 über Medizinprodukte. Offizieller Wortlaut: eur-lex.europa.eu/eli/reg/2017/745/oj
• Johner Institut — Lieferantenbewertung, Lieferantenauswahl, Lieferantenaudit: Blog-Artikel des Johner Instituts (2023/2024), johner-institut.de. Praxisleitfaden zur risikobasierten Klassifizierung kritischer Lieferanten unter MDR und ISO 13485.
• Greenlight Guru — Medical Device Supplier Management Guide: Greenlight Guru Blog, greenlight.guru/blog/supplier-management-medical-device. 6-Schritte-Prozess für Lieferantenqualifikation, MDR-spezifische Anforderungen.
• Greenlight Guru Preiserhöhung 2026: OpenRegulatory GmbH, openregulatory.com, Dezember 2025. Dokumentation der Preiserhöhung von bis zu +100 % ab Januar 2026.
• GAMP 5 (2. Ausgabe 2022) und KI/ML-Validierung: ISPE (International Society for Pharmaceutical Engineering), GAMP 5: A Risk-Based Approach to Compliant GxP Computerized Systems (2022). Grundlage für Computersystemvalidierung in regulierten QMS-Umgebungen.
• IntuitionLabs — GAMP 5: A Guide to AI/ML Validation in GxP Environments: intuitionlabs.ai/articles/gamp-5-ai-ml-validation-gxp. Übertragung des GAMP-5-Frameworks auf KI/ML-Systeme, Herausforderungen bei Black-Box-Modellen.
• Zeitaufwand und Kostenwerte: Erfahrungswerte aus regulatorischen Beratungsprojekten bei mittelständischen Medizintechnikherstellern (5 bis 200 Mitarbeitende), Stand April 2026. Keine repräsentative Studie — konsistente Beobachtungen über mehrere Projekte.
• SimplerQMS, MasterControl, Greenlight Guru: Preisangaben aus veröffentlichten Tarifen bzw. Anbieter-Angaben (Stand April 2026).

Ihr steht vor der Frage, ob euer Lieferantenvolumen und euer QMS-Reifegrad für diese Automatisierung ausreichen — oder wie ihr den Einstieg validerungskonform gestaltet? Meld dich für ein kurzes Gespräch.