GAMP 5 2nd Edition: Was sich für Ihre Computer System Validation ändert
GAMP 5 Second Edition modernisiert Computer System Validation: Critical Thinking, agile Lifecycles, Cloud und Lieferantensteuerung. Was Sie anpassen müssen.

GAMP 5 Second Edition (ISPE 2022) stärkt drei Leitprinzipien: Critical Thinking statt Test-Volumen, iterative und agile Lifecycle-Modelle sowie risikobasierte Steuerung von Cloud-Services und Lieferanten. Die Software-Kategorien 1 bis 5 bleiben strukturell erhalten, werden aber praktischer interpretiert. Für IT-Leiter und Business Process Owner bedeutet das: weniger redundante Dokumentation, mehr fachliche Beurteilung und ein klarerer Rahmen für moderne Software-Architekturen.
GAMP 5 ist seit 2008 der De-facto-Standard für Computer System Validation in regulierten Branchen. 14 Jahre später hat ISPE die zweite Auflage veröffentlicht — und damit kein kosmetisches Update geliefert, sondern eine methodische Modernisierung. Wer das Framework heute noch mit der Denkweise der ersten Auflage betreibt, bildet Cloud-Services, agile Entwicklung und kurze Release-Zyklen nur unzureichend ab. Was das für Ihr Validierungs-Framework konkret bedeutet, zeigt dieser Beitrag.
Was sich methodisch ändert — die drei Leitprinzipien der 2nd Edition
Die zweite Auflage von GAMP 5 ist Evolution, nicht Revolution. Die bekannten Strukturen — Software-Kategorien 1 bis 5, V-Modell als Referenz, ICH Q9 als Risikorahmen — bleiben tragfähig. Verändert hat sich die Denkweise dahinter. ISPE hat 2022 nicht den Leitfaden neu erfunden. Die Organisation hat ihn an eine Software-Realität angepasst, die es 2008 in dieser Form nicht gab.
Drei Leitprinzipien tragen die Modernisierung:
Erstes Leitprinzip: Critical Thinking als Methodik. Die erste Auflage hat Validierung primär über Dokumentations-Tiefe und Test-Volumen gesteuert. Die zweite Auflage stellt die fachliche Beurteilung in den Mittelpunkt. Nicht mehr „testen Sie alles”, sondern „bewerten Sie risikobasiert, dokumentieren Sie die Entscheidung, liefern Sie einen belastbaren Audit-Trail”. Das reduziert Aufwand — und erhöht die Aussagekraft der Validierung.
Zweites Leitprinzip: Iterative und agile Lifecycle-Modelle. Das V-Modell bleibt zulässig, ist aber nicht mehr Standard-Implikation. GAMP 5 Second Edition erkennt explizit an, dass moderne IT-Organisationen iterativ und agil arbeiten — und liefert den methodischen Rahmen, wie Validierungs-Aktivitäten in Sprints, Releases und Continuous-Delivery-Pipelines integriert werden.
Drittes Leitprinzip: Guidance für neue Software-Realitäten. Cloud, SaaS und kurze Release-Zyklen standen 2008 noch am Rand. Die zweite Auflage stärkt die risikobasierte Einordnung moderner Architekturen, Lieferantennachweise und iterativer Veränderungen.
Diese drei Prinzipien wirken zusammen. Wer Critical Thinking konsequent anwendet, kann iterativ arbeiten und moderne Cloud-Architekturen mit angemessenem Aufwand absichern. Die zweite Auflage schärft damit, was Validierung im Jahr 2026 leisten soll.
GAMP 5 1st vs 2nd Edition — die wichtigsten Unterschiede im Vergleich
Die folgende Tabelle zeigt die zentralen methodischen Verschiebungen zwischen erster und zweiter Auflage:
| Aspekt | GAMP 5 1st Edition (2008) | GAMP 5 2nd Edition (2022) |
|---|---|---|
| Methodik-Leitbild | V-Modell, sequenziell | Lifecycle, iterativ und agile-kompatibel |
| Risk Management | ICH Q9 als externer Referenzpunkt | ICH Q9(R1) integriert + Critical Thinking |
| Test-Philosophie | Volltestung als Standard-Reflex | Risikobasiert, CSA-aligned |
| Cloud und SaaS | Kaum behandelt | Eigenes Kapitel + Service-Provider-Guidance |
| Daten-Integrität | Bolt-on Anhang | Durchgängig integriert (ALCOA+) |
| Dokumentationstiefe | Umfangreich, prozedural | Wertschöpfungs-orientiert, schlank |
| Supplier-Assessment | Standard-Bewertung | Granular, abgestuft, knowledge-driven |
Die größte praktische Bewegung steckt nicht in einem einzelnen Punkt, sondern im Zusammenspiel: weniger Pflicht-Dokumentation, mehr Entscheidungs-Verantwortung, mehr Anschlussfähigkeit an moderne IT-Praxis. Wer die Tabelle als reine Änderungs-Liste liest, unterschätzt die Tragweite. Wer sie als methodische Neuausrichtung liest, erkennt: Ihr Validierungs-Framework darf schlanker werden — wenn die fachliche Substanz dahinter stimmt.
Critical Thinking statt Test-Volumen — wie weniger Doku mehr Compliance schafft
Critical Thinking ist der zentrale methodische Hebel der zweiten Auflage. Der Begriff klingt akademisch, hat aber eine sehr konkrete Bedeutung im Validierungs-Alltag: weg von der reflexhaften Volltestung, hin zur dokumentierten Bewertung, was getestet werden muss.
Ein Beispiel macht den Unterschied deutlich. Bei einer LIMS-Funktion „Probenstatus ändern” wird zuerst bewertet, welche Statuswechsel GxP-relevant sind, welche Lieferantennachweise verwertbar sind und welche Kombinationen im vorgesehenen Prozess auftreten. Daraus entsteht eine begründete Testtiefe statt einer pauschalen Volltestung.
Drei Konsequenzen ergeben sich für Ihre IT-Organisation:
Erstens: Verantwortung verschiebt sich zum Praktiker. Critical Thinking funktioniert nicht über Vorlagen. Es funktioniert über qualifizierte Mitarbeiter, die GxP-Relevanz beurteilen können. Das stellt Anforderungen an Schulung und Kompetenzprofile — und an die Bereitschaft, fachliche Beurteilung als legitimen Validierungs-Output anzuerkennen.
Zweitens: Die Auswahl braucht einen belastbaren Entscheidungspfad. Ihr Dossier muss zeigen, warum Sie genau diese Tests gewählt haben, welche Risiken sie adressieren und wie Lieferantennachweise einbezogen wurden. Umfang allein ersetzt diese Begründung nicht.
Drittens: Anschluss an FDA Computer Software Assurance wird möglich. Die FDA hat ihre finale CSA-Guidance im Februar 2026 revidiert und an der geänderten 21 CFR Part 820 Quality Management System Regulation (QMSR) ausgerichtet; diese Fassung ersetzt die Version vom September 2025. Sie gilt direkt für Software in der Medizinprodukteproduktion oder in Quality Management Systems und unterstützt risikobasierte Assurance. GAMP 5 Second Edition kann methodisch anschließen; eine GAMP-5-Umsetzung ist wegen der unterschiedlichen Scopes aber nicht automatisch CSA-konform.
Den risikobasierten Ansatz setzt DHC im Rahmen seiner selbst berichteten Bilanz aus 60+ validierten Systemen, 100 % Audit-Bestehensquote und null kritischen Findings ein. Entscheidend ist nicht weniger Dokumentation, sondern angemessene Evidenz ohne unbegründete Redundanz.
„Critical Thinking spart keine Compliance — es spart Redundanz.”
Iterative und agile Vorgehensmodelle — Validierung für DevOps-getriebene IT
Die zweite Auflage erkennt an, dass moderne IT-Organisationen iterativ arbeiten. Sprints, Continuous Delivery, DevOps-Pipelines sind 2026 keine Sonderfälle mehr, sondern Standard — auch in GxP-relevanten Bereichen. Die erste Auflage hatte für diese Arbeitsweise keine methodische Antwort. Die zweite Auflage liefert sie.
Was ändert sich praktisch? Drei Punkte:
Lifecycle-Modelle dürfen iterativ sein. Das V-Modell bleibt als Referenz, ist aber nicht mehr alternativlos. Iterative Modelle — Scrum, SAFe, Kanban — sind explizit zulässig, wenn die Validierungs-Aktivitäten an die Iteration angepasst werden. Konkret bedeutet das: jede Iteration enthält definierte Validierungs-Schritte, nicht eine große Validierungs-Phase am Ende.
Automatisierte Tests werden als Validierungs-Evidence anerkannt. Wenn Ihr DevOps-Team ohnehin Unit-Tests, Integration-Tests und End-to-End-Tests automatisiert ausführt, können diese Test-Ergebnisse — bei sauberer Konfiguration — als formale Validierungs-Evidence gelten. Voraussetzung: die Test-Umgebung ist qualifiziert, die Test-Skripte sind GxP-bewertet, die Ergebnisse sind reproduzierbar archiviert.
DevOps-Pipelines werden zum kontrollierten Change-Prozess. Eine CI/CD-Pipeline ist im Kern ein definierter Workflow mit Quality-Gates. GAMP 5 Second Edition erlaubt, eine solche Pipeline als formalen Change-Control-Prozess zu qualifizieren — was Release-Zyklen massiv verkürzt, ohne Compliance zu kompromittieren.
Was bleibt anspruchsvoll? Das Spannungsfeld zwischen Sprint-Geschwindigkeit und QA-Freigabe. Eine zwei-wöchige Iteration verträgt keine drei-wöchige QA-Freigabe-Schleife. Hier braucht es organisatorische Anpassungen: integrierte Validierungs-Rollen im Sprint-Team, klare Eskalations-Pfade, definierte Quality-Gates pro Release-Stufe. Die zweite Auflage liefert den methodischen Rahmen — die organisatorische Umsetzung bleibt Aufgabe Ihrer IT- und QA-Führung.
Für IT-Leiter, deren Entwicklungs- und Betriebs-Teams agil arbeiten, ist die zweite Auflage damit die ersehnte methodische Grundlage. Sie erspart die wiederkehrende Diskussion, ob agile Vorgehensweisen überhaupt mit GxP vereinbar sind. Die Antwort ist eindeutig: ja, mit der zweiten Auflage explizit dokumentiert.
Cloud und SaaS — was die 2nd Edition für neue Architekturen vorgibt
Die erste Auflage von GAMP 5 hat Cloud-Services nur am Rand behandelt. Die zweite Auflage ordnet moderne Service- und Lieferantenmodelle stärker in den risikobasierten Lebenszyklus ein. Das ist für IT-Organisationen mit Cloud-LIMS oder SaaS-Quality-Systemen besonders relevant.
Cloud und SaaS bekommen ein eigenes Kapitel. Die zweite Auflage erkennt an, dass die Validierung einer Cloud-Anwendung anderen Logiken folgt als die Validierung einer On-Premise-Installation. Sie werden den Cloud-Anbieter nicht qualifizieren — das macht keiner außer dem Anbieter selbst. Sie werden vielmehr die Bewertung des Anbieters dokumentieren, die geteilten Verantwortlichkeiten klären und die GxP-relevanten Konfigurationen Ihrer Instanz separat validieren.
In der Praxis braucht es ein klares Shared Responsibility Model: Welche Nachweise liefert der SaaS-Anbieter, welche Konfigurationen und Prozesse verantworten Sie selbst, und wie werden Änderungen bewertet? Diese Abgrenzung verhindert Doppelarbeit und schließt Verantwortungslücken.
Service-Provider-Bewertung wird granular. Die erste Auflage hatte eine Standard-Bewertung für Lieferanten. Die zweite Auflage differenziert: ein hyper-skalierter Cloud-Anbieter wird anders bewertet als ein nischenspezialisierter SaaS-Hersteller, ein zertifizierter Co-Location-Provider anders als ein interner IT-Dienstleister. Die abgestuften Bewertungsschemata reduzieren Aufwand bei etablierten Anbietern — und schärfen den Blick bei kritischen Komponenten.
KI-Systeme brauchen eine separate, einsatzspezifische Validierungsstrategie. GAMP 5 liefert risikobasierte Grundprinzipien, ersetzt aber nicht die Definition von Intended Use, Systemgrenze, Datenkontrollen, Akzeptanzkriterien, menschlicher Aufsicht und Monitoring. DHC behandelt diesen kommerziellen Scope ausschließlich in der KI-Systemvalidierung im GxP-Umfeld.
Praktische Konsequenz für Ihre IT-Architektur: Sie können Cloud-Plattformen und SaaS-Lösungen mit einer klareren risikobasierten Methodik absichern als noch unter einer rein dokumentengetriebenen Umsetzung. Anspruchsvoll bleibt die Abgrenzung zwischen Lieferanten- und Betreiberverantwortung.
Was Sie jetzt tun sollten — Anpassungen Ihres Validierungs-Frameworks
Die wichtigste Botschaft vorweg: ein vollständiger Umbau Ihres bestehenden CSV-Frameworks ist nicht notwendig. Die zweite Auflage ist evolutionär angelegt — bestehende Strukturen bleiben tragfähig. Was sich lohnt, sind gezielte Anpassungen an vier Stellen:
Erstens: CSV-Framework gegen 2nd-Edition-Prinzipien prüfen. Drei Leitfragen genügen für eine erste Bewertung. Ist Critical Thinking als Methodik in Ihren SOPs verankert — oder steuern Sie über Test-Volumen? Sind iterative Lifecycle-Modelle zulässig — oder erzwingt Ihr Framework das V-Modell? Gibt es Bewertungs-Vorlagen für Cloud-Service-Provider — oder behandeln Sie jede Cloud-Einführung als Einzelfall? Wer auf alle drei Fragen mit „nein” antwortet, hat das größte Optimierungspotenzial.
Zweitens: Test-Strategie modernisieren. Die Umstellung von Volltestung auf risikobasiertes Testing ist der schnellste Hebel mit der größten Wirkung. Sie reduziert Dokumentations-Volumen typischerweise um 40 bis 60 Prozent — bei gleicher oder besserer Audit-Belastbarkeit. Voraussetzung: dokumentierte Risikobewertungen, qualifizierte Praktiker, sauberer Audit-Trail der Test-Auswahl.
Drittens: Cloud- und SaaS-Bewertungs-Vorlagen einführen. Wer in den nächsten 18 Monaten Cloud-Lösungen oder SaaS-Plattformen einführt — und das tut praktisch jede Pharma- und Biotech-Organisation — profitiert direkt von einem abgestuften Bewertungs-Schema. Drei Bewertungs-Tiefen reichen: tier-1 für hyper-skalierte Anbieter mit etablierten Zertifizierungen, tier-2 für spezialisierte SaaS-Hersteller, tier-3 für kritische oder unzureichend etablierte Anbieter.
Viertens: Cloud- und Lieferantenmodell aktualisieren. Definieren Sie, welche Lieferantennachweise Sie nutzen, welche Konfigurationen Sie selbst prüfen und wie Releases, Abweichungen und Änderungen in Ihrem validierten Zustand gesteuert werden.
Diese vier Anpassungen lassen sich sequenziell oder parallel angehen. Realistisch ist ein Modernisierungs-Horizont von 6 bis 12 Monaten — abhängig von Größe Ihrer IT-Organisation und Anzahl betroffener Systeme. Das ist kein Crash-Programm, sondern ein strukturierter Übergang.
Häufige Fragen
Müssen wir unser bestehendes CSV-Framework komplett überarbeiten?
Nein. Die zweite Auflage ist eine gezielte Weiterentwicklung, kein Bruch. Bestehende Strukturen bleiben tragfähig. Angepasst werden Methodik, risikobasierte Teststrategie sowie Cloud- und Lieferantenbewertung. Ein vollständiger Umbau ist weder notwendig noch sinnvoll.
Ist GAMP 5 2nd Edition rechtlich verpflichtend?
Nein. GAMP 5 ist ein Leitfaden, kein Gesetz. Behörden wie FDA und EMA referenzieren GAMP jedoch als anerkannten Industriestandard. Wer abweicht, trägt die Begründungslast im Audit. Praktisch bedeutet das: die zweite Auflage ist nicht verpflichtend — aber jede Abweichung muss dokumentiert und fachlich vertretbar sein.
Wie verhalten sich GAMP 5 2nd Edition und FDA CSA zueinander?
Sie können sich ergänzen, sind aber nicht austauschbar. GAMP 5 ist breiter und unterstützt risikobasierte Validierung in verschiedenen GxP-Kontexten. FDA CSA hat einen definierten Scope für Software in der Medizinprodukteproduktion und in Quality Management Systems. Die Übereinstimmung muss gegen beide anwendbaren Referenzen belegt und darf nicht automatisch unterstellt werden.
Primärquellen
- ISPE: GAMP 5 Guide, Second Edition (Juli 2022)
- ICH: Q9(R1) Quality Risk Management, Step 4 (Januar 2023)
- FDA: Computer Software Assurance for Production and Quality Management System Software, revidierte Final Guidance (Februar 2026)
- Europäische Kommission: EU-GMP Annex 11 — Computerised Systems
- eCFR: 21 CFR Part 11 — Electronic Records; Electronic Signatures
- PIC/S: PI 041-1 — Good Practices for Data Management and Integrity (Juli 2021)
- ISPE: GAMP Guides und Good Practice Guides
Autor
Daniel Herrmann Consulting — Boutique-Beratung für GxP-Compliance und Computer System Validation in Pharma, Biotech und MedTech. 15+ Jahre Hands-on-Expertise. 60+ validierte Systeme. 100 % Audit-Bestehensquote. 0 kritische Findings.