Zum Hauptinhalt springen
Audit · Lieferantenmanagement
Zielgruppe
QM-Leiterin, Einkauf, Geschäftsführung
Norm
ISO 13485 §7.4.1 · EU-MDR 2017/745
Lesezeit
ca. 10 Minuten

Lieferanten­bewertung:
was Auditoren
wirklich
prüfen.

ISO 13485 §7.4.1 verlangt eine dokumentierte Bewertung externer Lieferanten kritischer Komponenten und Dienstleistungen. Was das für einen kleinen Hersteller konkret bedeutet, welche Lieferanten wirklich kritisch sind — und warum Excel-Listen beim dritten Überwachungsaudit scheitern.

Was die Norm verlangt ISO 13485 §7.4.1

ISO 13485 §7.4.1 ist einer der Abschnitte, der auf dem Papier kurz und überschaubar wirkt, im Audit aber regelmäßig zu Findings führt. Die Norm verlangt, dass der Hersteller seine Lieferanten und Subunternehmer auf Basis ihrer Fähigkeit auswählt, Anforderungen zu erfüllen — risikobasiert, abhängig vom Einfluss des Lieferanten auf die Produktkonformität.

Was die Norm nicht verlangt: eine aufwändige Lieferanten-Audit-Bürokratie für jeden Verpackungskarton-Lieferanten. Der risikobasierte Ansatz ist eine Erleichterung — wenn man ihn richtig versteht und konsequent anwendet.

01 Dokumentierte Auswahlkriterien

Bevor ein Lieferant eingesetzt wird, müssen Kriterien schriftlich festliegen, nach denen entschieden wird, ob er qualifiziert ist. Kein freies Ermessen — ein dokumentiertes Verfahren.

02 Risikobasierte Einordnung

Nicht alle Lieferanten sind gleich. Die Tiefe der Qualifikation und Bewertung richtet sich danach, wie kritisch der gelieferte Artikel für Produktsicherheit und -konformität ist.

03 Periodische Neubewertung

Wer einmal qualifiziert wurde, ist nicht für immer qualifiziert. §7.4.1 verlangt regelmäßige Bewertungen für kritische Lieferanten — mit dokumentiertem Ergebnis.

04 Dokumentierte Reaktion auf Abweichungen

Wenn ein kritischer Lieferant eine Anforderung nicht erfüllt, muss der Hersteller das dokumentiert bewerten und reagieren. Nicht als freie Textnote — als strukturierter Prozess.

Kritisch vs. nicht-kritisch Die Unterscheidung, die zählt

ISO 13485 gibt keine exakte Liste vor, aber der Maßstab ist klar: Ein Lieferant ist kritisch, wenn sein Beitrag einen direkten Einfluss auf die Sicherheit, Konformität oder Leistung des Medizinprodukts hat. Die Entscheidung „kritisch" vs. „nicht-kritisch" muss dokumentiert sein — nicht im Kopf der QM-Leiterin, sondern als Eintrag, der beim Audit vorgelegt werden kann.

Kritisch
  • Sterilisationsdienstleister (EN ISO 11135)
  • Lieferanten von Sterilitätsbarrieren / Sterilverpackungen
  • Hersteller sicherheitsrelevanter Komponenten (Steckverbinder für Aktive Implantate)
  • Rohmaterial mit Patientenkontakt (Biokompatibilitätspflicht)
  • Kalibrierdienstleister mit ISO/IEC 17025-Pflicht
  • Subunternehmer für kritische Fertigungsschritte
Anforderung

Dokumentierte Erst-Qualifikation + periodische Leistungsbewertung (typisch: 12-monatiger Zyklus)

Nicht-kritisch
  • Büromaterial, interne Verbrauchsmittel
  • Transport-Außenverpackung (nicht Sterilbarriere)
  • IT-Dienstleister ohne QM-System-Zugriff
  • Normteile ohne sicherheitsrelevante Funktion (Normschrauben, Standard-Kabel)
Anforderung

Eintrag im Lieferantenverzeichnis mit dokumentierter Begründung genügt

Grauzone — individuelle Bewertung erforderlich
Lohnfertigung für unkritische KomponentenReinraum-ReinigungsdienstleisterExterne Prüflabore für StandardtestsKonfektionierung von Verpackungsmaterial

Für Grauzone-Lieferanten gilt: Die Entscheidung, als nicht-kritisch einzustufen, braucht eine kurze Begründung im Lieferantenverzeichnis. Fehlt die Begründung, ist das dieselbe Audit-Angriffsfläche wie ein fehlender Eintrag.

Bewertungsschema 5 Achsen für kritische Lieferanten

ISO 13485 §7.4.1 schreibt keine konkrete Bewertungsmethode vor. Was es braucht: ein nachvollziehbares Schema, das dokumentiert angewendet wird. Das folgende 5-Achsen-Schema deckt die Punkte ab, die Auditoren bei der Lieferantenbeurteilung typischerweise sehen wollen — und ist für kleine Betriebe ohne dedizierten Einkauf in einem halben Tag umsetzbar.

01
Lieferqualität

Anteil fehlerfreier Wareneingänge / Leistungserbringungen in den letzten 12 Monaten. Beanstandungsquote aus Eingangsprüfungen.

02
Termintreue

Einhaltung vereinbarter Liefertermine bei kritischen Bestellungen. Relevant besonders bei Produktionsversorgung mit engem Zeitfenster.

03
Reaktionsverhalten

Schnelligkeit und Strukturiertheit der Reaktion auf Reklamationen und Abweichungsmeldungen. Hat der Lieferant eine CAPA eingeleitet?

04
Zertifizierungsstatus

Sind regulatorisch relevante Zertifizierungen aktuell (ISO 13485, ISO/IEC 17025, EN ISO 11135)? Datum des letzten Audits / Rezertifizierungszyklus.

05
CAPA-Qualität

Falls eine Korrekturmaßnahme eingeleitet wurde: Hat sie das Problem dauerhaft gelöst? Wirksamkeitsnachweis vorhanden?

Bewertungsrhythmus

12-monatiger Regelzyklus für alle kritischen Lieferanten, anlassbezogene Zwischenbewertung nach Vorfällen oder Reklamationen. Für Dienstleister mit regulatorisch festgeschriebener externer Zertifizierung (Sterilisation nach EN ISO 11135, Kalibrierung nach ISO/IEC 17025) liegt der Rhythmus oft bereits durch die Zertifizierungszyklen vor — das Protokoll des externen Audits ist der Nachweis, keine parallele interne Bewertung nötig.

Was Auditoren prüfen Typische Prüfpunkte im Audit

„Zeigen Sie mir Ihr Lieferantenverzeichnis und die Einstufung."

Der Auditor will sehen, dass eine strukturierte Liste existiert, die kritische von unkritischen Lieferanten trennt — und dass die Einstufung begründet ist. Keine implizite Unterscheidung, kein „das wissen wir intern".

„Wie haben Sie diesen Lieferanten qualifiziert?"

Für kritische Lieferanten wird nach dem initialen Qualifikationsnachweis gefragt. Nicht nach der Aussage „wir kennen die seit zehn Jahren", sondern nach dem dokumentierten Kriterium der Ersteignungsbeurteilung.

„Wann haben Sie diesen kritischen Lieferanten zuletzt bewertet?"

Fehlende Bewertung für einen als kritisch eingestuften Lieferanten ist ein Finding. Der Auditor prüft, ob der Bewertungszyklus eingehalten wurde und ob das Ergebnis dokumentiert ist.

„Diese Reklamation hatte Lieferantenbezug — was ist damit passiert?"

Wenn im Reklamationslog Auffälligkeiten auf Lieferantenqualität hinweisen, prüft der Auditor: Ist das in die Lieferantenbewertung eingeflossen? Oder laufen Reklamationsbearbeitung und Lieferantenbewertung als strukturell getrennte Prozesse?

„Was tun Sie, wenn ein Lieferant Ihre Anforderungen nicht erfüllt?"

§7.4.1 verlangt dokumentierte Maßnahmen bei Lieferanten-Abweichungen. Der Auditor prüft: Gibt es einen definierten Prozess? Und ist er dokumentiert angewendet worden — oder bleibt Abweichungsreaktionen im Tagesgeschäft-Modus?

Drei Praxis-Beispiele Aus dem Werkstatt-Alltag
01

Sterilisationsdienstleister ohne aktuelles Requalifizierungsprotokoll

Ausgangslage

Klasse-IIa-Hersteller, Einmalprodukte, externer Sterilisationsdienstleister seit Jahren im Einsatz.

Beim Überwachungsaudit fragt der Auditor nach dem aktuellen Qualifizierungsprotokoll (Produktfamilien-Qualifikation nach EN ISO 11135). Das vorgelegte Protokoll ist vier Jahre alt. Zwischenzeitlich wurde eine neue Produktgröße eingeführt — für die liegt keine Requalifizierung vor.

Finding

Finding: Lieferantenqualifikation für den sicherheitsrelevantesten Dienstleister abgelaufen. CAPA erforderlich, betroffene Produkte gesperrt bis Nachqualifizierung abgeschlossen.

02

Steckverbinder-Lieferantenwechsel ohne dokumentierte Qualifikation

Ausgangslage

Klasse-IIb-Hersteller aktiver Implantate, Lieferantenwechsel unter Zeitdruck wegen Lieferengpass.

Einkauf entscheidet für neuen Steckverbinder-Lieferanten mit Automotive-Referenzen. Qualifikation für den Medizinbereich wird intern als „offensichtlich ausreichend" eingestuft. Beim MDR-Re-Audit durch die Benannte Stelle: keine dokumentierte Qualifikation für den medizintechnischen Einsatz, kein Spezifikationsvergleich, kein Änderungsmanagement-Nachweis.

Finding

Major-Finding. Benannte Stelle suspendiert Bewertung. Ergebnis: drei Monate Produktionsstillstand für betroffene Produktlinien, bis Qualifikation vollständig nachgeholt.

03

Abgelaufenes Akkreditierungszertifikat des Kalibrierdienstleisters

Ausgangslage

Diagnostiksystem-Hersteller, externes Kalibrierlabor mit DAkkS-Akkreditierung nach ISO/IEC 17025.

Im internen Audit (Q3) stellt die Prüferin fest: das Akkreditierungszertifikat des Labors ist seit drei Monaten abgelaufen. Kein interner Kontrollmechanismus hatte das erkannt — Zertifikatsverfallsdaten wurden nicht aktiv verwaltet.

Finding

Finding im internen Audit. Kalibrierprotokolle der abgelaufenen Periode müssen rückwirkend bewertet werden. Vier Prüfmittel müssen nachkalibriert werden, davon zwei mit potenziellen Auswirkungen auf frühere Messergebnisse.

Warum Excel-Listen scheitern

Die Lieferantenbewertung in Excel scheitert nicht am ersten Tag. Sie scheitert im zweiten oder dritten Jahr — nicht weil die Daten falsch wären, sondern weil das System passiv ist: Es hält Information vor, wenn jemand sie pflegt und abfragt. Auditoren finden nicht die Fälle, in denen das funktioniert hat — sie finden die Lücken, die entstanden sind, wenn es mal nicht funktioniert hat.

Personenwechsel

Die QM-Leitung hat gewechselt. Wer wann welche Lieferanten bewertet, welche Kriterien dabei galten, wer für welche Zertifikatsverfallsdaten zuständig war — das ist im Kopf der Vorgängerin. Nicht im System.

Neue Lieferanten ohne Einstufungsprozess

Der Einkauf bindet einen neuen kritischen Komponentenlieferanten direkt ein. Das Lieferantenverzeichnis wird nicht aktualisiert, weil der Prozess nicht konsequent durch alle Beteiligten geht. Beim nächsten Audit: Lieferant im System, aber keine Qualifikation.

Entkoppelte Prozesse

Die Reklamation über den Verpackungslieferanten wird in der Reklamationstabelle bearbeitet. Die Lieferantenbewertung liegt in einer anderen Datei. Niemand zieht die Verbindung — bis der Auditor fragt.

Still ablaufende Fristen

Die letzte Bewertung des Sterilisationsdienstleisters war vor 18 Monaten. Das steht in der Zelle. Aber kein Mechanismus macht es sichtbar, wenn niemand hinschaut — kein Alarm, kein Block, keine Eskalation.

Was du heute tun kannst 6 konkrete Schritte
1
Lieferantenverzeichnis mit Kritikalitätseinstufung anlegen

Jeden Lieferanten auflisten: Name, gelieferter Artikel oder Dienstleistung, Kritikalität (kritisch / nicht-kritisch), kurze Begründung. Drei Spalten, sofort umsetzbar.

2
Bewertungsrhythmus schriftlich festlegen

In die Verfahrensanweisung oder das Lieferantenmanagement-Dokument: 12-monatiger Zyklus für kritische Lieferanten, anlassbezogene Zwischenbewertung nach Vorfällen.

3
Zertifikatsverfallsdaten erfassen

Für alle Lieferanten mit regulatorisch vorgeschriebener Zertifizierung: Ablaufdatum und zuständige Person in eine Übersicht. Wer prüft wann — nicht wer es zufällig bemerkt.

4
Verbindung Reklamation → Lieferantenbewertung dokumentieren

Im Reklamationsprozess explizit: „Lieferantenbezug vorhanden? → Eintrag in Lieferantenbewertung." Nicht als Option, als Pflichtschritt.

5
Qualifikationsnachweise für kritische Lieferanten prüfen

Jetzt, nicht vor dem nächsten Audit: Liegt für jeden kritischen Lieferanten eine dokumentierte Qualifikation vor? Gilt das Protokoll noch für den aktuellen Produktumfang — oder gab es Änderungen (neue Produkte, neue Größen, neue Anforderungen)?

6
CAPA-Verknüpfung für Lieferanten-Abweichungen einrichten

Jede Abweichung mit Lieferantenbezug, die über eine Einzelreklamation hinausgeht: strukturierter CAPA-Eintrag mit Verantwortlichkeit, Maßnahme und dokumentiertem Abschluss. Keine freie Textnote.

Weiterführende Ressourcen
Audit · Klasse IIa/IIb

Was Auditoren bei Klasse IIa und IIb wirklich prüfen →

Vigilanz · MDR Art. 87

MDR-Meldepflicht: Was ist wirklich ein meldepflichtiger Vorfall? →

Risikomanagement · ISO 14971

Risikomanagement nach ISO 14971: was kleine Hersteller wirklich brauchen →

Demo anfragen

Lieferanten­bewertung
auditfest
aufsetzen.

In einer Demo zeigen wir, wie sich kritische Lieferanten im QIMS-Kontext verwalten lassen — Qualifikationsstatus, Bewertungszyklen, Verbindung zu Reklamationen und CAPA.

Kein Pitch. Kein Abschlussgespräch nach dem Termin.

Demo anfragen → Alle Ressourcen