QM-Jahresbericht für Medizinprodukte automatisieren

Das echte Ausmaß des Problems

Der QM-Jahresbericht ist kein optionaler Bürokratieakt. ISO 13485 § 5.6 schreibt das Management Review als Pflicht vor, und MDR Artikel 10(9) verlangt darüber hinaus, dass das Qualitätsmanagementsystem dokumentiert und aufrechterhalten wird. Für Hersteller von Klasse-IIa- und Klasse-IIb-Produkten — also dem Großteil aktiver Medizintechnikunternehmen — prüft der Notified Body diesen Bericht bei jedem Überwachungsaudit.

Das Problem ist kein Mangel an Daten. Das Problem ist, dass die Daten überall verteilt sind.

ISO 13485 § 5.6.2 listet zwölf Pflicht-Inputs auf, die jedes Management Review abdecken muss:

• Kundenfeedback und Beschwerden
• Meldungen an Behörden (Vigilanz)
• Interne Audits
• Externe Audits und Zertifizierungsaudits
• Prozess- und Produktüberwachung
• Korrektur- und Vorbeugemaßnahmen (CAPA)
• Maßnahmen aus dem letzten Management Review
• Änderungen, die das QMS beeinflussen könnten
• Verbesserungsempfehlungen
• Lieferantenqualifikation und -überwachung
• Neue regulatorische Anforderungen
• Personalveränderungen in qualitätsrelevanten Rollen

In einem typischen Mittelstandsunternehmen liegen diese Daten in vier bis acht verschiedenen Systemen: dem eQMS, einem separaten Excel-CAPA-Tracker, Audit-Berichten als PDF-Ablage, dem ERP-System für Produktionsabweichungen, dem CRM oder Ticket-System für Beschwerden und einer SharePoint-Sammlung für Lieferantendokumente.

Laut ComplianceQuest — einem der großen eQMS-Anbieter — verbringen QM-Teams in Life-Sciences-Unternehmen bis zu 80 Prozent der Audit-Vorbereitungszeit mit manuellem Datensammeln und -konsolidieren. Für den QM-Jahresbericht gilt Ähnliches: Wer keine integrierte Datenstruktur hat, arbeitet drei bis vier Wochen — für ein Dokument, das inhaltlich zu einem großen Teil Routine ist.

Mit vs. ohne KI — ein ehrlicher Vergleich

Die Zeitersparnis entsteht hauptsächlich aus drei Mechanismen: automatische Datenaggregation aus dem eQMS, KI-gestützte Zusammenfassung langer Berichte (Audit-Findings, CAPA-Beschreibungen), und vorausgefüllte Berichtsvorlagen, die nach dem ISO-13485-§-5.6-Gerüst strukturiert sind. Die menschliche QM-Leiterin prüft, interpretiert und unterschreibt — sie schreibt nicht mehr die erste Version.

Einschätzung auf einen Blick

Zeitersparnis — sehr hoch (5/5) Die Einsparung von drei Wochen auf zwei Tage ist in dieser Kategorie das stärkste Argument. Im gesamten Medizintechnik-Bereich gibt es kaum einen Anwendungsfall mit einem so konzentrierten Einzel-Zeitblock, der jedes Jahr wiederkehrt und sich fast vollständig auf Datenaggregation reduzieren lässt. Anders als bei der Erstellung technischer Dokumentation oder der Risikoanalyse nach ISO 14971, die kreatives Urteil erfordern, ist der größte Teil des Management Reviews reine Synthese vorhandener Daten.

Kosteneinsparung — niedrig (2/5) Das Tool kostet Geld — und spart kein direktes Geld, sondern Zeit. Da QM-Leiterinnen nicht nach Bericht-Einheit abgerechnet werden, ist der direkte Kostenersatz schwer zu isolieren. Der Nutzen ist real (drei Wochen Vollzeitaufwand einer Fachkraft), aber er erscheint im Haushalt nicht als direkte Linie. SimplerQMS kostet ab ca. 500 €/Monat, Greenlight Guru ab ca. 25.000 USD/Jahr. Das sind echte laufende Kosten, denen keine direkte Ausgabenreduktion gegenübersteht.

Schnelle Umsetzung — mittel (3/5) Zehn bis sechzehn Wochen bis zum ersten automatisierten Berichtsentwurf ist keine kurze Anlaufzeit. Die Herausforderung ist nicht die KI selbst, sondern die Datenstruktur: Wer heute mit Excel-CAPA und PDF-Audit-Berichten arbeitet, muss zuerst die Grundstruktur in ein eQMS überführen, bevor die Aggregation automatisierbar ist. Für Unternehmen, die bereits ein eQMS mit strukturierten Daten betreiben, halbiert sich diese Zeitspanne.

ROI-Sicherheit — hoch (4/5) Der Nutzen ist nach dem ersten Jahresbericht klar messbar: Wie viele Tage hat die Erstellung gedauert? Welche Daten waren beim ersten Durchlauf unvollständig? Das macht diesen Anwendungsfall deutlich überprüfbarer als viele andere KI-Einsätze, bei denen der ROI diffus bleibt. Nicht 5/5 wegen der Anlaufphase: Im ersten Jahr kostet die Implementierung mehr Zeit als sie spart.

Skalierbarkeit — mittel (3/5) Ein eingerichtetes System lässt sich auf weitere Produkte, Produktlinien und Standorte ausweiten — aber nicht ohne Zusatzaufwand. Jede neue Produktlinie bringt eigene Datenpfade mit. Gegenüber reinen Software-Anwendungen (wo Skalierbarkeit nahezu kostenlos kommt) ist das ein echter Unterschied.

Richtwerte — stark abhängig von Unternehmensgröße, vorhandener QMS-Infrastruktur und Datendisziplin.

ISO 13485 § 5.6: Welche Inputs KI automatisch aggregiert

Das Management Review ist keine freie Berichtsform. ISO 13485 § 5.6.2 schreibt zwölf Pflicht-Inputs vor — und jeder kommt aus einem anderen Teil des Unternehmens. Genau das macht die manuelle Erstellung so aufwändig und die KI-gestützte Aggregation so wirksam.

Hier ist, welche Inputs sich in der Praxis gut automatisieren lassen und welche weiterhin menschliches Urteil brauchen:

Gut automatisierbar — strukturierte Daten:

• CAPA-Status und -Trends: Anzahl offener CAPAs, Abschlussquote, Überfälligkeiten, Wiederholungsfehler. Direkt aus dem eQMS aggregierbar. KI kann Trendkurven erstellen und Ausreißer markieren.
• Beschwerde-Auswertung: Anzahl und Kategorisierung nach Produkt, Schweregrad, Herkunft. Die Automatisierung des Beschwerdemanagements ist ein eigener Themenbereich — wer das System dort schon eingerichtet hat, erhält die Daten für den Jahresbericht fast gratis.
• Audit-Findings-Zusammenfassung: Befunde aus internen Audits lassen sich per KI zu Trend-Aussagen zusammenfassen. “3 von 5 internen Audits 2024 hatten Findings im Bereich Schulungsnachweis” ist eine Aussage, die KI aus Rohdaten generieren kann.
• Post-Market Surveillance Kennzahlen: Beschwerderate je Stück, Vigilanz-Meldungen, Marktbeobachtungsdaten. Wenn der PMS-Bericht bereits existiert, ist dieser Input als Zusammenfassung direkt verfügbar.
• Lieferantenbewertungsergebnisse: Wenn die Lieferantenqualifikation digital dokumentiert ist, kann KI Scorecards und Audit-Ergebnisse aggregieren.

Weniger automatisierbar — Urteil erforderlich:

• Bewertung der QMS-Wirksamkeit: Ob das System “wirksam” ist, ist eine Interpretation. KI kann Indikatoren liefern, aber die Bewertung unterschreibt die QM-Leiterin.
• Ressourcenbedarf für Verbesserungen: Was das Unternehmen im nächsten Jahr investieren sollte, ist eine strategische Entscheidung — keine Datenaggregation.
• Neue regulatorische Anforderungen: Welche Normen-Updates 2025 relevant wurden, erfordert fachliche Einschätzung, nicht nur Recherche.

Wichtige Erkenntnis aus der Praxis: Die Grenze zwischen “automatisierbar” und “Urteil erforderlich” hängt direkt von der Datenqualität ab. Wenn CAPAs im eQMS unvollständig beschrieben oder falsch kategorisiert sind, generiert KI eine plausibel klingende, aber sachlich falsche Zusammenfassung. Garbage in, garbage out — nur überzeugender formuliert.

Was das System konkret macht

Der technische Ansatz kombiniert zwei Mechanismen: strukturierte Datenabfrage aus dem eQMS (über API oder Export) und Generative KI für die Textgenerierung und Zusammenfassung.

Schritt 1 — Datenaggregation: Das System zieht Rohdaten aus dem eQMS (CAPA, Beschwerden, Audit-Ergebnisse, Prozessmetriken) für den definierten Berichtszeitraum. Je nach Tool geschieht das über integrierte Report-Builder-Funktionen oder über einen Export, den ein LLM dann verarbeitet.

Schritt 2 — Strukturierte Analyse: Das System ordnet die Daten den Pflicht-Inputs nach § 5.6.2 zu und generiert für jeden Input eine strukturierte Zusammenfassung: Was war der Istzustand? Welche Auffälligkeiten gab es? Was hat sich im Vergleich zum Vorjahr verändert?

Schritt 3 — Berichtsentwurf: KI generiert den Berichtstext in der spezifizierten Struktur. Das Ergebnis ist kein fertiger, unterschriebener Bericht — es ist ein Entwurf, der alle Pflicht-Inputs abdeckt, Lücken als Platzhalter markiert und dem Berichtsverfasser zeigt, wo noch menschliches Urteil fehlt.

Schritt 4 — Review und Freigabe: Die QM-Leiterin prüft den Entwurf Abschnitt für Abschnitt. Sie korrigiert Fehlinterpretationen, ergänzt Kontext, der nur ihr bekannt ist, und bewertet, was die Daten bedeuten. Dann unterschreibt sie — und das Dokument gilt als ihr Werk, nicht als KI-Output.

Was KI nicht tut: Sie bewertet nicht, ob das QMS “wirksam” ist. Sie entscheidet nicht, welche Verbesserungsmaßnahmen priorisiert werden. Sie kann nicht einschätzen, ob ein Anstieg der Beschwerderate auf eine veränderte Meldedisziplin oder auf ein echtes Produktproblem zurückzuführen ist. Diese Urteile bleiben menschlich.

Konkrete Werkzeuge — was wann passt

Die Wahl des richtigen Werkzeugs hängt davon ab, wo eure Daten heute stehen und welchen Teil des Prozesses ihr zuerst automatisieren wollt.

Greenlight Guru — wenn ihr ein medizintechnik-spezifisches eQMS wollt Greenlight Guru hat alle Module, die ein ISO-13485-Management-Review braucht, auf einer Plattform: Beschwerdemanagement, CAPA, Audit-Management, Design Controls, Risikoregister. Der integrierte Report-Builder zieht Daten aus allen Modulen und strukturiert sie nach den Pflicht-Inputs. Einschränkung: Kein deutsches Interface, US-Hosting — für Unternehmen mit DSGVO-sensibler Produktdokumentation kritisch. Preis: ca. 25.000–35.000 USD/Jahr.

SimplerQMS — wenn ihr auf Microsoft 365 aufbaut SimplerQMS baut auf SharePoint und Teams auf — die Oberfläche ist für Teams mit M365-Umgebung sofort vertraut. Es bietet CAPA-Management, Abweichungsverfolgung, Schulungsmanagement und Dokumentenlenkung, mit EU-Hosting und ISO-13485-konformen Prozessvorlagen. Schnelle Implementierung (typisch 4–8 Wochen), gutes Preis-Leistungs-Verhältnis für kleine bis mittelgroße Hersteller. Ab ca. 500 €/Monat.

MasterControl — wenn ihr eine etablierte Enterprise-Lösung braucht MasterControl deckt alle GxP-relevanten QMS-Module ab und hat EU-Hosting. Es ist gut für Unternehmen geeignet, die bereits stark reguliert sind und eine validierte Plattform mit längerer Implementierungszeit (3–6 Monate) akzeptieren. Stärken: Dokumentensteuerung, CAPA, Schulungsmanagement, automatische Review-Zyklen. Einstieg ab ca. 25.000 €/Jahr.

ChatGPT oder Claude als Ergänzung — wenn ihr bereits ein eQMS habt Wer Daten aus dem eQMS exportieren kann, kann sie einem LLM zur Zusammenfassung geben. Das ist kein Ersatz für integriertes QMS-Reporting, aber ein pragmatischer erster Schritt. Ihr ladet den CAPA-Export, die Audit-Findings und die Beschwerde-Statistik als CSV oder PDF hoch und lasst das Modell die Pflicht-Inputs nach § 5.6.2 zusammenfassen. Ergebnis: Ein strukturierter Entwurf in Stunden statt Wochen. Limitation: Manueller Daten-Upload bleibt, kein automatisierter Datenfluss.

Microsoft 365 Copilot — wenn alles in SharePoint liegt Für Unternehmen, die ihr QMS in SharePoint-Ordnern, Word-Dokumenten und Excel-Tabellen führen, kann M365 Copilot über alle diese Quellen suchen und zusammenfassen. Kein eQMS-Ersatz, aber eine nützliche Brücke für den Übergangszeitraum. Ca. 30 €/Person/Monat zusätzlich zur M365-Lizenz.

Zusammenfassung: Wann welcher Ansatz

• Medizintechnik-spezifisches eQMS von Null → Greenlight Guru oder SimplerQMS
• Bereits M365-Umgebung → SimplerQMS oder M365 Copilot als Einstieg
• Enterprise-Anforderungen, validiertes System → MasterControl
• Kein eQMS-Budget, Daten manuell exportierbar → ChatGPT oder Claude als Interimlösung
• Regulierungsintensive Umgebung mit allen Daten auf einer Plattform → Veeva Vault (ab sehr großen Einheiten)

Was Notified Bodies akzeptieren — und was nicht

Dieser Punkt verdient eine ehrliche Einschätzung, weil er in der Praxis zu Missverständnissen führt.

Was Notified Bodies beim Management Review prüfen: Beim Überwachungsaudit nach ISO 13485 prüft der Auditor, ob das Management Review (a) alle Pflicht-Inputs abdeckt, (b) zu dokumentierten Outputs führt (Entscheidungen, Ressourcenzuteilungen, Maßnahmen) und (c) von der Leitung des Unternehmens durchgeführt wurde.

Was Notified Bodies nicht prüfen: Ob der Bericht manuell oder KI-gestützt erstellt wurde. Die regulatorischen Anforderungen binden das Ergebnis, nicht das Werkzeug. Ein KI-generierter Berichtsentwurf, der von der verantwortlichen Person geprüft und freigegeben wurde, ist regulatorisch genauso gültig wie ein manuell erstellter Bericht.

Konkrete Probleme beim Audit:

• Ein Bericht, der zwar alle Inputs enthält, aber keine klaren Outputs hat (Entscheidungen, Maßnahmen) — das ist ein Befund, unabhängig davon, wer den Bericht erstellt hat
• Ein Bericht, dessen Daten nicht mit dem eQMS übereinstimmen — das fällt bei Cross-Checks auf
• Ein Bericht, bei dem nicht erkennbar ist, wer die inhaltliche Verantwortung trägt — fehlende Freigabe, fehlende Unterzeichnung

Praxistipp: Wenn ihr KI für die Berichtserstellung nutzt, ist es ratsam, den Review- und Freigabeprozess noch sorgfältiger zu dokumentieren als beim manuellen Prozess. Nicht weil Auditoren KI misstrauen, sondern weil ihr damit demonstriert, dass das menschliche Urteil nicht durch den KI-Entwurf ersetzt wurde — sondern durch ihn vorbereitet wurde.

Haftung und Unterschrift: Das letzte Wort liegt beim QM-Verantwortlichen

Das ist kein bürokratischer Hinweis — es ist das strukturelle Kernprinzip, um das herum dieser Anwendungsfall aufgebaut ist.

Der QM-Jahresbericht ist ein regulatorisches Dokument. Er belegt gegenüber dem Notified Body, dass das Unternehmen sein QMS aktiv überwacht und kontinuierlich verbessert. Die Unterschrift darunter ist keine Formalität — sie ist die persönliche Bestätigung der QM-Verantwortlichen Person (QP), dass die Bewertung korrekt und vollständig ist.

KI kann diesen Bericht nicht unterschreiben. Nicht weil es technisch unmöglich wäre, sondern weil die regulatorische Verantwortung an eine natürliche Person gebunden ist, die für die Richtigkeit der Inhalte einsteht.

Was das konkret bedeutet: Ein KI-System, das aus dem eQMS Daten aggregiert und einen strukturierten Entwurf erzeugt, übernimmt die Datenarbeit — aber nicht die Interpretationsverantwortung. Die QM-Leiterin muss jeden Abschnitt prüfen und fragen: Ist diese Zusammenfassung sachlich korrekt? Deckt sie alle relevanten Ereignisse des Jahres ab? Fehlt etwas, das nur ich weiß?

Das ist keine Arbeit, die sich eliminieren lässt. Aber es ist eine andere, schnellere Arbeit: Prüfen statt Schreiben, Beurteilen statt Recherchieren.

Praktische Dokumentationsempfehlung: Halte im Bericht oder in einer begleitenden Notiz fest, welche Datenquellen für den KI-generierten Entwurf verwendet wurden und wer den Review durchgeführt hat. Das schützt bei Rückfragen und macht den Prozess transparent — für interne Revisionen genauso wie für Audits.

Datenschutz und Datenhaltung

QM-Daten für Medizinprodukte sind regulatorisch sensibel, aber nach DSGVO oft weniger problematisch als auf den ersten Blick — weil Beschwerdedaten und CAPA-Einträge meist keine direkte Patientenidentifikation enthalten.

Was typischerweise in QM-Berichten steckt:

• Aggregierte Beschwerdezahlen (ohne Patientendaten)
• CAPA-Beschreibungen (Produktfehler, keine Personendaten)
• Audit-Ergebnisse (Unternehmensprozesse)
• PMS-Kennzahlen (Produktstatistiken)

Wenn Beschwerdedaten Patientenberichte enthalten (z. B. aus Krankenhaus-Meldungen), ist besonderes Augenmerk nötig: Diese dürfen nicht unredaktiert an externe KI-Dienste übergeben werden.

Empfehlungen nach Tool-Typ:

• Greenlight Guru: US-Hosting — prüft, ob die zu verarbeitenden Daten EU-Schutzstandards erfordern. Für rein interne Produktdaten oft unkritisch, für Daten mit Patientenbezug mit dem Datenschutzbeauftragten klären.
• SimplerQMS: EU-Hosting (Dänemark/EU-Region), DSGVO-konform, AVV verfügbar. Empfehlung für deutsche Hersteller.
• MasterControl: EU-Hosting, GxP-validiert, AVV nach Art. 28 DSGVO verfügbar.
• ChatGPT/Claude als Ergänzungstool: Nur mit anonymisierten oder aggregierten Daten verwenden. Keine Patientenberichte, keine personenbezogenen Beschwerdedaten in Prompts. Enterprise-Versionen (ChatGPT Enterprise, Claude via AWS Bedrock) bieten AVV und keine Trainingsnutzung.

Zum Verarbeitungsvertrag (AVV): Jeder Anbieter, der Daten für euch verarbeitet, braucht einen AVV nach Art. 28 DSGVO. Für eQMS-Anbieter ist das Standard — aber aktiv anfordern und unterzeichnen, nicht nur als Checkbox behandeln. Euer Datenschutzbeauftragter sollte den AVV kennen, bevor ihr mit produktivem Betrieb beginnt.

Was es kostet — realistisch gerechnet

Einmalige Einrichtungskosten

• eQMS-Implementierung (falls noch kein System vorhanden): 10.000–40.000 € je nach Komplexität und Anbieter
• Datenmigration bestehender CAPA- und Audit-Daten: 5.000–15.000 € (extern) oder 4–8 Wochen intern
• Konfiguration der Reporting-Vorlagen nach § 5.6: 2.000–8.000 € (Beratung oder intern)

Laufende Kosten (monatlich)

• SimplerQMS: ab ca. 500 €/Monat
• Greenlight Guru: ab ca. 2.100 USD/Monat (25.000 USD/Jahr)
• MasterControl: ab ca. 2.100 €/Monat (25.000 €/Jahr)
• ChatGPT Enterprise oder Claude (ergänzend): 30–100 €/Person/Monat
• M365 Copilot (ergänzend): ca. 30 €/Person/Monat

Konservativer ROI — was du dagegen rechnen kannst Eine QM-Leiterin oder ein QM-Leiter kostet das Unternehmen inkl. Nebenkosten typisch 60–90 € brutto je Stunde. Drei Wochen Vollzeitaufwand (120 Stunden) entsprechen 7.200–10.800 € pro Jahr — nur für den Jahresbericht. Hinzu kommen Ausfall-Opportunitätskosten, weil während dieser drei Wochen andere QM-Aufgaben liegen bleiben.

Bei einer Einsparung von 90 Prozent der Kompilierungszeit (120 Stunden → 12 Stunden) amortisiert sich ein System wie SimplerQMS innerhalb von sechs bis achtzehn Monaten — abhängig davon, ob ein eQMS bereits vorhanden ist oder von Grund auf eingerichtet werden muss. Im ersten Jahr rechnet sich das selten; ab dem zweiten Jahr ist der Break-even typischerweise erreicht.

Ehrliche Warnung: Wer noch kein eQMS hat und eines einrichten muss, hat in Jahr 1 erhebliche Einrichtungskosten. Der ROI des KI-gestützten Berichts allein rechtfertigt diese Investition nicht — sie lohnt sich nur, wenn das eQMS den QM-Gesamtprozess verbessert. Den Jahresbericht als alleinigen Treiber zu nehmen, ist ein schwaches Argument.

Vier typische Einstiegsfehler

1. Das eQMS einführen, bevor die Datenstruktur steht. Der häufigste Fehler: Ein Unternehmen kauft ein eQMS, migriert die bestehenden Excel-Dokumente unverändert hinein und erwartet automatisierte Berichte. Das Ergebnis ist ein teures System mit denselben Datenproblemen wie vorher — nur digital verpackt. Lösung: Vor der Migration mindestens zwei Wochen Zeit nehmen, um Datenpfade zu definieren. Wie werden CAPAs kategorisiert? Welche Pflichtfelder müssen ausgefüllt sein? Ohne diese Struktur kann KI keine sinnvollen Berichte generieren.

2. Erwarten, dass KI die Bewertung übernimmt. Ein KI-generierter Abschnitt “Die CAPA-Abschlussquote sank von 87 % auf 71 %” ist eine Aussage. Was sie bedeutet — ob 71 % akzeptabel ist, ob die fehlenden 29 % ein Systemrisiko darstellen, ob eine Ressourcenfrage dahintersteckt — ist eine Bewertung, die menschliches Urteil braucht. Wer den KI-Entwurf ungeprüft als Bericht einreicht, unterschreibt ein Dokument, das er nicht verstanden hat. Das ist ein regulatorisches Risiko.

3. Das Wartungsproblem ignorieren. Ein eQMS, das nach der Implementierung nicht aktiv gepflegt wird, liefert nach 18–24 Monaten unzuverlässige Berichte. CAPA-Einträge, die nicht abgeschlossen wurden, weil niemand zuständig ist. Audit-Befunde, die als “offen” stehen, weil der Folge-Status nie aktualisiert wurde. Beschwerdedaten, die nur in einem Parallelsystem erfasst sind. Der QM-Jahresbericht ist so gut wie die Daten, aus denen er stammt. Wer niemanden benennt, der die Datenpflege im eQMS verantwortet, produziert ein plausibel aussehendes Dokument mit strukturellen Lücken.

4. Das System ohne Pilotlauf produktiv schalten. Das System zu früh, ohne ersten Pilotlauf, produktiv schalten. Der klügste erste Schritt: Mit dem letzten Jahresbericht als Testfall beginnen. Zieht das System die Daten für das Vorjahr, und stimmt der automatisch generierte Entwurf mit dem manuell erstellten Bericht überein? Wo gibt es Abweichungen? Was haben die Daten nicht abgedeckt? Dieses Feedback ist Gold — und kostet euch einen Nachmittag, nicht ein Quartal.

Was mit der Einführung wirklich passiert — und was nicht

Die QM-Leiterin ist nicht das Hindernis. In den meisten Fällen ist sie die stärkste Fürsprecherin — weil sie genau weiß, wie viel Aufwand sie heute in den Bericht steckt.

Die Widerstände kommen woanders her.

“Das System braucht valide Daten, aber unsere Daten sind nicht valide.” Das ist die ehrlichste Rückmeldung, die man in der Einführungsphase hören kann. Fast jedes Unternehmen, das heute manuell berichtet, hat Datenprobleme: CAPAs ohne Abschlussdatum, Audit-Befunde ohne zugewiesene Maßnahmen, Beschwerdekategorien, die inkonsistent verwendet werden. Lösung: Die Datenqualitätsprobleme explizit als Teil des Einführungsprojekts behandeln, nicht als vorgelagerte Aufgabe “wenn das erledigt ist”. Denn “wenn das erledigt ist” kommt nicht von allein.

“Die Geschäftsführung will einen Bericht, keinen Prozess.” Das Management sieht das fertige 40-Seiten-Dokument — aber nicht die drei Wochen, die die QM-Leiterin dafür aufgewendet hat. Um Ressourcen für eine Systemeinführung zu bekommen, hilft eine einfache Rechnung: Wie viel kostet drei Wochen QM-Leiterin-Zeit in Euro pro Jahr? Was könnte sie in dieser Zeit alternativ tun? Konkrete Opportunitätskosten öffnen Budget-Gespräche.

“Wir machen das nächstes Jahr.” Der QM-Jahresbericht kommt immer am Ende des Jahres. Wenn das Projekt nicht bis Oktober abgeschlossen ist, läuft das Jahr manuell durch — und das Projekt wartet auf nächstes Jahr. Dieser Zyklus wiederholt sich. Wer mit der Einführung beginnen will, muss spätestens im ersten Quartal starten, um bis Oktober einen Piloten zu haben.

Was konkret hilft:

• Den letzten Jahresbericht als Referenzdatensatz für die Systemkonfiguration verwenden
• Pilottest mit dem Vorjahresbericht machen, bevor das System für das laufende Jahr eingesetzt wird
• Eine klare Verantwortlichkeit für die Datenpflege im eQMS benennen — und diese Person vor dem Go-Live einbinden

Realistischer Zeitplan mit Risikohinweisen

Wichtig für regulierte Umgebungen: Die eQMS-Software muss nach GAMP5 oder einer vergleichbaren Methodik validiert sein, bevor sie für regulatorisch relevante Daten produktiv eingesetzt wird. SimplerQMS und MasterControl liefern vorvalidierte Installationsqualifikations-Dokumente — das reduziert den Aufwand, eliminiert ihn aber nicht. Plane mindestens zwei bis vier Wochen Validierungsaufwand explizit ein.

Häufige Einwände — und was dahintersteckt

“Wir haben ein eQMS, aber es generiert keine Berichte automatisch.” Das ist kein eQMS-Problem — das ist ein Konfigurationsproblem. Die meisten modernen eQMS-Plattformen haben Report-Builder-Funktionen, die deutlich mehr können als genutzt wird. Bevor ihr ein neues System einführt, lohnt sich eine Stunde mit dem Anbieter-Support: “Zeigt uns, wie wir aus dem System einen Entwurf für das ISO-13485-Management-Review generieren.” In vielen Fällen ist die Funktion vorhanden, aber nie eingerichtet worden.

“KI-generierte Berichte werden vom Notified Body nicht akzeptiert.” Diese Befürchtung ist verbreitet, aber nicht zutreffend. ISO 13485 und MDR binden das Ergebnis, nicht das Erstellungswerkzeug. Ein KI-generierter Entwurf, der von der verantwortlichen Person geprüft und freigegeben wurde, ist regulatorisch gleichwertig mit einem manuell erstellten Bericht. Was Notified Bodies ablehnen, sind unvollständige Berichte, fehlende Outputs und nicht nachweisbare Reviews — unabhängig davon, wer oder was den Entwurf erstellt hat.

“Unsere Daten sind zu sensibel für Cloud-Systeme.” Das ist ein legitimer Einwand, kein Vorwand. Aber er erfordert eine differenzierte Antwort. Wer ein eQMS on-premise betreiben muss, hat weniger Optionen — die meisten modernen eQMS-Anbieter sind Cloud-first. MasterControl bietet eine Private-Cloud-Option, bei der Daten ausschließlich im dedizierten Mandanten der Firma liegen. Für Unternehmen mit extrem strengen Hosting-Anforderungen bleibt die Frage, ob eine KI-gestützte Aggregation mit einem Hybrid-Ansatz (eQMS on-premise, KI-Drafting im abgeschirmten Bereich mit anonymisierten Daten) machbar ist.

Woran du merkst, dass das zu dir passt

• Der QM-Jahresbericht kostet euch mehr als drei Wochen QM-Kapazität — und in dieser Zeit liegt alles andere still
• Ihr habt mehr als 20 CAPA-Einträge, Beschwerden oder Audit-Befunde pro Jahr — erst ab diesem Volumen ist Aggregation sinnvoll automatisierbar
• Daten liegen in verschiedenen Systemen, aber grundsätzlich digital — irgendein eQMS, ein Ticket-System, eine Audit-Ablage
• Euer Notified Body hat beim letzten Audit nach vollständigerer Dokumentation der Management-Review-Inputs gefragt — das ist ein direktes Signal, dass Struktur fehlt
• Ihr seid ISO 13485 zertifiziert oder strebt die Zertifizierung an — ohne diese Anforderung ist der Use Case überflüssig
• Es gibt eine Person, die für das eQMS und die Datenpflege dauerhaft zuständig ist — ein System ohne Eigentümer produziert nach 12 Monaten Müll

Wann es sich (noch) nicht lohnt — drei harte Ausschlusskriterien:

1. Ihr führt euer QMS vollständig in Word und Excel. Bevor KI etwas aggregieren kann, braucht es strukturierte, maschinenlesbare Daten. Der erste Schritt ist nicht KI — der erste Schritt ist ein eQMS. Die Einführung des eQMS kostet Zeit und Geld; den Jahresbericht schneller zu machen ist dabei ein Nebeneffekt, kein Hauptargument.

2. Ihr habt weniger als 10 CAPA-Ereignisse und 5 Beschwerden pro Jahr. Bei diesem Volumen ist der manuelle Management Review in zwei bis drei Tagen erledigt. Die Einrichtungskosten überwiegen die Einsparung bei weitem. Das System skaliert nach oben, nicht nach unten — für kleine, wenig ereignisreiche Unternehmen ist der Nutzen marginal.

3. Keine Person ist dauerhaft für die QM-Datenpflege zuständig. Ein KI-gestützter Bericht ist so gut wie die Daten, aus denen er kommt. Wenn niemand sicherstellt, dass CAPAs vollständig abgeschlossen, Audit-Befunde zeitnah dokumentiert und Beschwerden konsistent kategorisiert werden, produziert das System einen plausibel wirkenden Bericht, der sachliche Lücken hat. Das ist schlimmer als kein System — weil die Lücken weniger auffallen.

Das kannst du heute noch tun

Den Testlauf für 30 Minuten: Öffne deinen letzten QM-Jahresbericht und die zwölf Pflicht-Inputs nach ISO 13485 § 5.6.2. Für welche dieser Inputs hattest du die Daten sofort parat — und für welche musstest du sie suchen, exportieren oder bei jemandem anfragen? Diese Liste zeigt dir genau, welche Datenpfade heute das Hauptproblem sind.

Für einen ersten KI-gestützten Entwurfstest brauchst du kein eQMS. Exportiere eure CAPA-Übersicht, die Beschwerde-Statistik und die Audit-Findings-Zusammenfassung in Textform und gib sie zusammen mit dem folgenden Prompt in ChatGPT oder Claude ein:

Quellen & Methodik

• ISO 13485:2016, Abschnitt 5.6 (Management Review): Internationale Norm, aktuelle Fassung. Grundlage für alle Pflicht-Input-Anforderungen in diesem Beitrag.
• MDR Artikel 10(9) (Qualitätsmanagementsystem): EU-Medizinprodukte-Verordnung 2017/745, aktuelle Fassung. Anforderungen an das QMS von Medizinprodukte-Herstellern.
• Scilife, “AI in Quality Management: Here’s How a QARA Expert Uses It” (2024, scilife.io): Practitioner-Bericht über KI-Einsatz in Qualitätsprozessen in Life Sciences; Risiken von Halluzinationen und Validierungspflichten.
• ComplianceQuest, Medical Device QMS-Dokumentation (2024, compliancequest.com): Anbieterquelle; Angabe “bis zu 80 % Einsparung bei Audit-Vorbereitungszeit” als Vendor-Claim einzustufen.
• Hardcore QMS, “Management Review ISO 13485” (hardcoreqms.com): Practitioner-Ressource; Auflistung der zwölf Pflicht-Inputs nach § 5.6.2 mit Erläuterungen.
• SimplerQMS Preise und Produktinformationen (simplerqms.com): Ab 500 €/Monat für Starter-Pläne, Stand April 2026. EU-Hosting bestätigt.
• Greenlight Guru Preisangaben: Markübliche Einschätzung 25.000–35.000 USD/Jahr (Einstieg); keine öffentliche Preisliste; bestätigt durch Capterra-Reviews und G2-Crowd-Berichte.
• Johner Institut, QMS-Ressourcen (johner-institut.de): Führende unabhängige Ressource für ISO-13485-Compliance im deutschsprachigen Raum; Einordnung regulatorischer Anforderungen.

Du willst wissen, ob euer aktuelles eQMS für automatisierte Jahresberichte ausreicht — oder was der realistische erste Schritt für euren Kontext wäre? Meld dich — das klären wir gemeinsam in einem kurzen Gespräch.