- Zielgruppe
- QM-Beauftragter, Einkaufsleiter, Regulatory Affairs — 15–200 MA
- Norm
- ISO 13485 §7.4.1 · §8.5.2 · ISO 14971
- Lesezeit
- ca. 10 Minuten
Qualifiziert.
Vor zwei Jahren.
Seitdem
keine Bewertung.
Die Erstbewertung liegt vor, der Lieferant steht auf der qualifizierten Liste — aber die letzte Neubewertung liegt drei Jahre zurück, der Auditbericht ist nirgends verknüpft, und die fünf Eingangsprüfungsbefunde des letzten Jahres sind in keine Bewertung eingeflossen. ISO 13485 §7.4.1 ist keine Einmalanforderung. Sie ist ein laufender Überwachungsauftrag. Vier Szenarien zeigen, wo das in kleinen und mittleren Betrieben regelmäßig scheitert.
ISO 13485 §7.4.1 wird in der Praxis oft als Zulassungsanforderung gelesen: Lieferant bewerten, freigeben, auf die Liste setzen — fertig. Was die Norm tatsächlich fordert, geht weiter: laufende Überwachung, periodische Neubewertung auf Basis tatsächlicher Qualitätsdaten und eine vollständige, verknüpfte Qualifizierungshistorie. Der Lieferantenstatus ist kein dauerhafter Freischein — er ist eine laufend gültige Aussage, die durch aktuelle Überwachungsergebnisse belegt sein muss.
In kleinen und mittleren Betrieben scheitert das selten am Willen. Es scheitert an der Infrastruktur: Auditberichte liegen in anderen Ordnern als die Lieferantenakten. Reklamationen werden abgewickelt, aber nicht dem Lieferanten zugeordnet. Die Neubewertung findet statt — auf Basis des letzten Jahres und eines subjektiven Eindrucks, nicht auf Basis aggregierter Qualitätsdaten. Und kritische Lieferanten stehen seit Jahren als "kritisch" auf der Liste, ohne dass je jemand dort auditiert hat.
Der Lieferantenstatus ist eine laufende Aussage — keine historische. Wer ihn nicht durch aktuell aggregierte Überwachungsdaten belegen kann, hat einen Listeneintrag — aber keine auditfähige Lieferantenqualifizierung.
Vier Muster aus der Audit-Praxis zeigen, wo §7.4.1 im laufenden Betrieb regelmäßig zu Befunden führt — und warum der häufigste Fehler nicht das Fehlen der Erstbewertung ist, sondern das Fehlen der Überwachungskontinuität danach.
Erstbewertung liegt vor. Datum: Oktober 2021. Seitdem: keine Folgebewertung.
ISO 13485 §7.4.1 verlangt nicht nur die Erstbewertung eines Lieferanten — sondern die laufende Überwachung und die periodische Neubewertung. Was in der Praxis fehlt: ein dokumentierter Überwachungszyklus, der definiert, wann und nach welchen Kriterien ein Lieferant neu bewertet wird. Die Erstbewertung ist ein Zulassungsdokument, keine dauerhafte Qualifizierung. Wer einen Lieferanten für kritische Komponenten über drei Jahre ohne Neubewertung betreibt, kann im Audit nicht belegen, dass der Lieferantenstatus noch gültig ist — auch wenn der Lieferant in dieser Zeit tadellos geliefert hat. Die Neubewertung ist nicht nur eine Kontrollmaßnahme. Sie ist die dokumentierte Entscheidung, dass dieser Lieferant weiterhin zugelassen ist.
Lieferantenaudit hat stattgefunden. Bericht liegt im Audit-Ordner. In der Lieferantenakte: kein Hinweis.
Ein kritischer Lieferant wird jährlich auditiert. Der Bericht liegt im Audit-Ordner — mit Datum, Findings, Maßnahmen, Freigabe. Was in der Lieferantenakte nicht verknüpft ist: dieser Bericht. Beim Audit will der Auditor die vollständige Qualifizierungsdokumentation sehen: Erstbewertung, Folgebewertungen, Auditberichte, Eingangsprüfungsbefunde, CAPAs. Wer diese Informationen in verschiedenen Systemen separat ablegt, präsentiert dem Auditor keinen Qualifizierungsstatus — sondern eine Schatzsuche. §7.4.1 verlangt, dass die Ergebnisse der Überwachung dokumentiert werden und die Grundlage für Statusentscheidungen bilden. Eine Entscheidung, die auf nicht-verknüpften Informationsfragmenten beruht, ist nicht nachvollziehbar begründet.
Lieferant für Klasse-IIb-Komponenten. Als "kritisch" klassifiziert. Audit-Spalte: leer.
In der Lieferantenliste steht der Eintrag mit Kritikalitätsstufe A — hochkritisch, sterile Einsatzkomponenten für ein Klasse-IIb-Gerät. Das Feld "letztes Audit" ist leer. Der Lieferant wurde qualifiziert, regelmäßig bewertet und kontinuierlich bestellt. Ein Lieferantenaudit hat nie stattgefunden. §7.4.1 schreibt nicht explizit vor, dass jeder kritische Lieferant auditiert werden muss — aber er verlangt, dass Art und Umfang der Überwachung dem Risiko der beschafften Produkte entsprechen. Wenn ein Hersteller selbst "kritisch" als Überwachungsstufe definiert und dann für genau diese Stufe kein Audit vorsieht, ist die eigene Kritikalitätsdefinition ohne operative Konsequenz. Im Audit ist das ein systemisches Finding: nicht ein fehlender Auditbericht, sondern ein Überwachungsprogramm, das die eigenen Anforderungen nicht erfüllt.
Neubewertung zum Jahresende. Drei Befunde, eine Reklamation, ein NCR: nicht eingeflossen.
Die Jahresneubewertung des Lieferanten findet statt. Ausgefüllt wird: Liefertreue "gut", Qualität "gut", Kommunikation "gut" — Gesamturteil: freigegeben für weiteres Jahr. Was nicht eingeflossen ist: die drei Eingangsprüfungsbefunde aus dem Frühjahr, die Reklamation vom Sommer und der offene NCR aus dem Herbst. Diese Informationen liegen in verschiedenen Systemen — Wareneingang, Reklamationsordner, CAPA-Liste — aber niemand hat sie zur Neubewertung zusammengeführt. §7.4.1 verlangt, dass die Ergebnisse der Lieferantenüberwachung die Grundlage der Neubewertung bilden. Eine Neubewertung, die auf subjektiver Einschätzung ohne aggregierte Qualitätsdaten beruht, ist kein Überwachungsergebnis — es ist ein Meinungsbild. Wenn der Auditor fragt, warum der Lieferant trotz dreier Befunde als "gut" eingestuft wurde, gibt es keine dokumentierte Antwort.
Alle vier Szenarien zeigen dasselbe strukturelle Muster: Die Erstqualifizierung hat stattgefunden, die Prozesse existieren — aber die Überwachungskontinuität fehlt. Auditberichte liegen nicht in der Lieferantenakte. Qualitätsdaten aus CAPA, Reklamation und Wareneingang fließen nicht in die Neubewertung ein. Kritikalitätsstufen existieren, ohne operative Konsequenz zu haben. Der Auditor findet nicht einen fehlenden Prozess — er findet ein System ohne Rückkopplungsschleifen.
Laufendes Lieferantenmanagement scheitert in kleinen Betrieben selten daran, dass keinerlei Prozesse vorhanden sind. Es scheitert daran, dass Erstbewertung, Überwachungsprogramm und Neubewertung als voneinander getrennte Vorgänge betrieben werden — ohne automatischen Informationsfluss und ohne definierte Eskalationsregeln. Drei strukturelle Muster zeigen, warum das System im Betrieb auseinanderfällt.
In vielen kleinen Betrieben ist die Lieferantenqualifizierung ein Einmalprozess: einmal bewertet, einmal freigegeben, dauerhaft zugelassen. Was §7.4.1 stattdessen fordert: ein Überwachungssystem, das den Lieferantenstatus als laufend gültigen Nachweis behandelt — mit definierten Überprüfungsintervallen, ereignisgesteuerten Neubewertungsauslösern (Abweichungen, Zertifikatsänderungen, Lieferantenwechsel interner Prozesse) und einem Mechanismus, der den Status als "überfällig" markiert, wenn die Bewertungsfrist abgelaufen ist. Wer Erstbewertung und Überwachung als ein einmaliges Ereignis behandelt, hat eine historische Momentaufnahme — kein Lieferantenmanagement.
Lieferantenaudit liegt im Audit-Ordner. Eingangsprüfungsbefunde liegen im Wareneingangsystem. Reklamationen liegen im Reklamationsordner. CAPAs liegen in der CAPA-Liste. Die Lieferantenakte verweist auf nichts davon. Wer im Audit den Qualifizierungsstatus eines Lieferanten belegen muss, braucht alle diese Informationen — zusammengeführt, mit Datum und Statusentscheidung. Ein Lieferantenmanagement, das aus Fragmenten in verschiedenen Systemen besteht, erzeugt keine belegbare Qualifizierungshistorie. Es erzeugt Verwaltungsaufwand bei jedem Audit, weil dieselbe Arbeit — Informationen zusammensuchen und zusammenführen — jedes Mal neu geleistet werden muss.
Das Überwachungsprogramm definiert Kritikalitätsstufen und Bewertungsfrequenzen. Was es nicht definiert: was passiert, wenn ein Lieferant trotz Kritikalitätsstufe A über zwei Jahre nicht auditiert wurde. Oder wenn die Neubewertung ergibt, dass ein Lieferant schlechter abschneidet als im Vorjahr. Oder wenn ein CAPA-Abschluss aussteht und die Jahresbewertung trotzdem durchläuft. Überwachungsprogramme ohne definierte Eskalationsregeln laufen nach Kalender — nicht nach Risiko. Der Auditor prüft nicht nur ob das Programm existiert, sondern ob es operative Konsequenzen hat.
Die Lösung liegt nicht in aufwändigeren Formularen, sondern in der strukturellen Verknüpfung der Prozesse: Qualitätsereignisse aus CAPA, Reklamation und Wareneingang dem Lieferanten zugeordnet, Auditberichte in der Lieferantenakte verankert, Kritikalitätsstufen mit definierten Überwachungsmaßnahmen verbunden. Wer diese Rückkopplungsschleifen operativ abbildet, hat ein Lieferantenmanagement — nicht eine Sammlung von Momentaufnahmen.
§7.4.1 liest sich kurz — die operative Konsequenz für das laufende Lieferantenmanagement ist weitreichend. Wer den Paragraphen nur als Erstqualifizierungsanforderung liest, übersieht die Überwachungs- und Neubewertungspflicht, die fehlende Verknüpfung mit dem CAPA- und Reklamationssystem und die Anforderung an eine vollständige, rückverfolgbare Qualifizierungshistorie.
Neubewertung und Statusentscheidung
§7.4.1 verlangt nicht nur die Erstbewertung — sondern die regelmäßige Überwachung und Neubewertung der Lieferanten. Die Frequenz und Tiefe der Überwachung müssen dem Risiko der beschafften Produkte entsprechen. Jede Neubewertung muss auf tatsächlichen Überwachungsdaten basieren: Eingangsprüfungsbefunde, Reklamationen, CAPAs, Liefertreue, Zertifikatsstatus. Das Ergebnis ist eine explizite Statusentscheidung — Bestätigung oder Änderung des Lieferantenstatus — die dokumentiert und freigegeben sein muss.
Vollständige Qualifizierungshistorie
Qualifizierte Lieferanten müssen auf einer kontrollierten Liste geführt werden. Die Liste allein ist nicht ausreichend — sie muss mit der Qualifizierungshistorie verknüpft sein: Erstbewertung, Folgebewertungen, Auditberichte, Überwachungsergebnisse, Statusentscheidungen. Ein Lieferant, der auf der Liste steht, ist als qualifiziert ausgewiesen — und diese Aussage muss durch die vollständige Dokumentationskette belegbar sein, nicht nur durch einen Listeneintrag mit Datum.
Überwachungstiefe nach Kritikalität
Der Kontrollumfang für Lieferanten — Bewertungstiefe, Auditfrequenz, Eingangsprüfungsumfang — muss dem Risiko der beschafften Produkte entsprechen. Diese Risikobasis stammt aus der Risikoanalyse des Herstellers: Welche Auswirkungen hat eine Abweichung bei diesem Lieferanten auf die Produktsicherheit und den Patienten? Wer Überwachungstiefe nach Aufwand oder Kalender definiert statt nach Risiko, hat kein risikobasiertes Lieferantenmanagement — unabhängig davon, welche Kritikalitätsstufen auf der Liste stehen.
Qualitätsdaten als Neubewertungsbasis
Reklamationen, Eingangsprüfungsbefunde und nicht-konforme Produktmeldungen sind nicht nur operative Ereignisse — sie sind Qualitätsdaten für die Lieferantenneubewertung. §7.4.1 koppelt die Neubewertungsentscheidung an die Überwachungsergebnisse. Wer diese Daten nicht systematisch dem Lieferanten zuordnet und zur Neubewertung aggregiert, verliert die Datenbasis — und damit die normative Grundlage für jede Statusentscheidung. Die Verbindung zwischen CAPA-System, Reklamationsmanagement und Lieferantenakte ist keine optionale Integration — sie ist die Voraussetzung für ein §7.4.1-konformes Überwachungssystem.
Wie häufig muss ein Lieferant nach ISO 13485 §7.4.1 neu bewertet werden?
§7.4.1 schreibt keine feste Frequenz vor — sie verlangt, dass die Überwachung dem Risiko der beschafften Produkte entspricht. In der Praxis hat sich ein Jahresrhythmus für kritische Lieferanten etabliert, mit ereignisgesteuerten Neubewertungen bei Abweichungen, Qualitätsproblemen, Zertifikatsänderungen oder Lieferantenwechsel interner Prozesse. Entscheidend ist, dass die Frequenz im Überwachungsprogramm dokumentiert und risikobegründet ist — und dass eine Neubewertung tatsächlich auf aktuellen Qualitätsdaten basiert, nicht nur auf der letzten Bewertung.
Muss jeder kritische Lieferant auditiert werden?
§7.4.1 schreibt kein obligatorisches Lieferantenaudit vor — sie verlangt, dass Art und Umfang der Überwachung dem Risiko entsprechen. Wenn ein Hersteller "kritische Lieferanten" als Kategorie definiert und diese Kategorie ein Audit als Überwachungsmaßnahme vorsieht, ist ein Audit für diese Lieferanten normativ erwartet. Wer die Kategorie definiert, aber das Audit nicht durchführt, hat ein Überwachungsprogramm, das die eigenen Anforderungen nicht erfüllt. Die Alternative: Kritikalitätsklasse redefinieren und die Überwachungstiefe entsprechend anpassen — aber das muss dokumentiert und begründet sein.
Was gehört in die Lieferantenakte — und wer ist verantwortlich für ihre Vollständigkeit?
§7.4.1 definiert keine Mindeststruktur für die Lieferantenakte — sie verlangt, dass die Ergebnisse der Lieferantenüberwachung dokumentiert werden und die Grundlage für Statusentscheidungen bilden. In der Praxis bedeutet das: Erstbewertung, alle Folgebewertungen, Auditberichte, Überwachungsergebnisse, CAPA-Verweise, Eingangsprüfungsbefunde, Reklamationsmeldungen mit Bezug zum Lieferanten und alle Statusentscheidungen. Verantwortlich ist meist die QM-Leitung — aber die Informationen kommen aus verschiedenen Prozessen. Wer diese Informationen nicht systematisch dem Lieferanten zuordnet, hat eine unvollständige Akte — auch wenn alle Dokumente irgendwo existieren.
Wie fließen Reklamationen und CAPA-Ereignisse in die Lieferantenbewertung ein?
Reklamationen und CAPA-Ereignisse, die auf Lieferantenabweichungen zurückgehen, sind Qualitätsdaten für die Neubewertung. §7.4.1 koppelt die Neubewertungsentscheidung an die Überwachungshistorie — das schließt alle für den Lieferanten relevanten Qualitätsereignisse ein. In der Praxis muss ein Mechanismus existieren, der sicherstellt, dass diese Ereignisse dem Lieferanten zugeordnet werden — nicht nur in der jeweiligen Prozessdokumentation abgelegt. Eine Neubewertung, die auf subjektiven Eindrücken statt auf aggregierten Qualitätsdaten beruht, ist kein normativer Überwachungsabschluss.
Was passiert wenn ein Lieferant bei der Neubewertung schlechter abschneidet als im Vorjahr?
Das Ergebnis der Neubewertung ist eine Statusentscheidung — nicht nur eine Punktzahl. Wenn ein Lieferant schlechter abschneidet, muss das Ergebnis bewertet werden: Bleibt der Status bestehen mit Maßnahmenplan? Wird der Status reduziert, etwa auf "bedingt freigegeben" mit erhöhter Eingangsprüftiefe? Wird eine CAPA ausgelöst? Wird der Lieferant vorübergehend gesperrt? Keine dieser Entscheidungen ist automatisch richtig — aber jede muss dokumentiert und begründet sein. Eine Neubewertung ohne operative Konsequenz bei negativem Ergebnis erfüllt den Überwachungskreislauf formal — und verfehlt ihn inhaltlich.
Lieferantenabweichung als CAPA-Auslöser: Wann ein Eingangsprüfungsbefund eine formale Korrekturmaßnahme nach §8.5.2 erfordert — und wie das Ergebnis in die Lieferantenneubewertung einfließt →
Reklamation · ISO 13485 §8.2.1 · §8.5Reklamationen als Lieferantensignal: Wie Kundenbeschwerden auf Lieferantenabweichungen zurückverfolgt werden — und warum die Verbindung zur Beanstandungshistorie entscheidend ist →
Änderungsmanagement · ISO 13485 §4.1.4 · §7.3.7Lieferantenwechsel als Änderungsauslöser: Wann ein neuer Lieferant für eine qualifizierte Komponente einen Change-Record und möglicherweise eine Revalidierung erfordert →
Internes Audit · Lieferantenaudit · ISO 13485 §8.2.4Lieferantenaudit als Teil des internen Audit-Programms: Wie §8.2.4 die Überwachung kritischer Lieferanten strukturiert — und welche Dokumentation der Auditor im Bericht erwartet →
Branchen-Lösung · Klasse III§7.4 in der Klasse-III-Praxis: Lieferantenwechsel, Revalidierungsauslöser und doppelte Freigabe bei Drug-Device →
Bewertet.
Verknüpft.
Aktuell.
Nachvollziehbar.
In einer Demo zeigen wir, wie QIMS das laufende Lieferantenmanagement nach §7.4.1 strukturiert abbildet — periodische Neubewertung mit aggregierten Qualitätsdaten, Auditberichte direkt in der Lieferantenakte verknüpft, Beanstandungshistorie aus CAPA und Reklamation automatisch dem Lieferanten zugeordnet, Kritikalitätsstufe mit definierten Überwachungsmaßnahmen verbunden.
Kein Pitch. Kein Abschlussgespräch nach dem Termin.