GAMP 5 2nd Edition: Was sich für Ihre Computer System Validation ändert

GAMP 5 Second Edition (ISPE 2022) löst das starre V-Modell-Denken der ersten Auflage ab und etabliert drei Leitprinzipien: Critical Thinking statt Test-Volumen, iterative und agile Lifecycle-Modelle, sowie eine dedizierte Guidance für Cloud-Services, SaaS und KI/ML-Systeme. Die Software-Kategorien 1 bis 5 bleiben strukturell erhalten, werden aber praktischer interpretiert. Für IT-Leiter und Business Process Owner bedeutet das: weniger redundante Dokumentation, mehr fachliche Beurteilung, ein klarer Rahmen für moderne Software-Architekturen.

GAMP 5 ist seit 2008 der De-facto-Standard für Computer System Validation in regulierten Branchen. 14 Jahre später hat ISPE die zweite Auflage veröffentlicht — und damit kein kosmetisches Update geliefert, sondern eine methodische Modernisierung. Wer das Framework heute noch mit der Denkweise der ersten Auflage betreibt, validiert gegen ein Software-Verständnis, das es so nicht mehr gibt: Cloud, agile Entwicklung, KI-Komponenten. Die zweite Auflage zieht nach. Was das für Ihr Validierungs-Framework konkret bedeutet — und welche Anpassungen sich lohnen, welche nicht — zeigt dieser Beitrag.

Was sich grundsätzlich ändert — die drei Leitprinzipien der 2nd Edition

Die zweite Auflage von GAMP 5 ist Evolution, nicht Revolution. Die bekannten Strukturen — Software-Kategorien 1 bis 5, V-Modell als Referenz, ICH Q9 als Risikorahmen — bleiben tragfähig. Verändert hat sich die Denkweise dahinter. ISPE hat 2022 nicht den Leitfaden neu erfunden. Die Organisation hat ihn an eine Software-Realität angepasst, die es 2008 in dieser Form nicht gab.

Drei Leitprinzipien tragen die Modernisierung:

Erstes Leitprinzip: Critical Thinking als Methodik. Die erste Auflage hat Validierung primär über Dokumentations-Tiefe und Test-Volumen gesteuert. Die zweite Auflage stellt die fachliche Beurteilung in den Mittelpunkt. Nicht mehr „testen Sie alles”, sondern „bewerten Sie risikobasiert, dokumentieren Sie die Entscheidung, liefern Sie einen belastbaren Audit-Trail”. Das reduziert Aufwand — und erhöht die Aussagekraft der Validierung.

Zweites Leitprinzip: Iterative und agile Lifecycle-Modelle. Das V-Modell bleibt zulässig, ist aber nicht mehr Standard-Implikation. GAMP 5 Second Edition erkennt explizit an, dass moderne IT-Organisationen iterativ und agil arbeiten — und liefert den methodischen Rahmen, wie Validierungs-Aktivitäten in Sprints, Releases und Continuous-Delivery-Pipelines integriert werden.

Drittes Leitprinzip: Guidance für neue Software-Realitäten. Cloud, SaaS, KI/ML — Themen, die 2008 entweder nicht existierten oder am Rand standen, bekommen in der zweiten Auflage strukturierte Leitlinien. Wer heute eine Cloud-LIMS validiert oder ein KI-gestütztes Quality-System einführt, findet erstmals eine methodische Grundlage im GAMP-Standard.

Diese drei Prinzipien wirken zusammen. Wer Critical Thinking konsequent anwendet, kann iterativ arbeiten. Wer iterativ arbeitet, validiert moderne Cloud- und KI-Architekturen mit angemessenem Aufwand. Die zweite Auflage ist damit weniger ein Update — und mehr ein Reframe, was Validierung im Jahr 2026 leisten soll.

GAMP 5 1st vs 2nd Edition — die wichtigsten Unterschiede im Vergleich

Die folgende Tabelle zeigt die zentralen methodischen Verschiebungen zwischen erster und zweiter Auflage:

Aspekt	GAMP 5 1st Edition (2008)	GAMP 5 2nd Edition (2022)
Methodik-Leitbild	V-Modell, sequenziell	Lifecycle, iterativ und agile-kompatibel
Risk Management	ICH Q9 als externer Referenzpunkt	ICH Q9(R1) integriert + Critical Thinking
Test-Philosophie	Volltestung als Standard-Reflex	Risikobasiert, CSA-aligned
Cloud und SaaS	Kaum behandelt	Eigenes Kapitel + Service-Provider-Guidance
KI und ML	Nicht abgedeckt	Erstmals explizit adressiert
Daten-Integrität	Bolt-on Anhang	Durchgängig integriert (ALCOA+)
Dokumentationstiefe	Umfangreich, prozedural	Wertschöpfungs-orientiert, schlank
Supplier-Assessment	Standard-Bewertung	Granular, abgestuft, knowledge-driven

Die größte praktische Bewegung steckt nicht in einem einzelnen Punkt, sondern im Zusammenspiel: weniger Pflicht-Dokumentation, mehr Entscheidungs-Verantwortung, mehr Anschlussfähigkeit an moderne IT-Praxis. Wer die Tabelle als reine Änderungs-Liste liest, unterschätzt die Tragweite. Wer sie als methodische Neuausrichtung liest, erkennt: Ihr Validierungs-Framework darf schlanker werden — wenn die fachliche Substanz dahinter stimmt.

Critical Thinking statt Test-Volumen — wie weniger Doku mehr Compliance schafft

Critical Thinking ist der zentrale methodische Hebel der zweiten Auflage. Der Begriff klingt akademisch, hat aber eine sehr konkrete Bedeutung im Validierungs-Alltag: weg von der reflexhaften Volltestung, hin zur dokumentierten Bewertung, was getestet werden muss.

Ein Beispiel macht den Unterschied deutlich. Eine LIMS-Funktion „Probenstatus ändern” lässt sich nach erster Auflage mit 30 Test-Skripten validieren, die jeden möglichen Statuswechsel durchlaufen. Nach zweiter Auflage erfolgt zuerst eine Risikobewertung: Welche Statuswechsel sind GxP-relevant? Welche werden vom Lieferanten bereits qualifiziert? Welche Kombinationen sind realistisch produktiv? Das Ergebnis sind oft 8 bis 12 fokussierte Test-Skripte — bei gleicher oder höherer Audit-Belastbarkeit.

Drei Konsequenzen ergeben sich für Ihre IT-Organisation:

Erstens: Verantwortung verschiebt sich zum Praktiker. Critical Thinking funktioniert nicht über Vorlagen. Es funktioniert über qualifizierte Mitarbeiter, die GxP-Relevanz beurteilen können. Das stellt Anforderungen an Schulung und Kompetenzprofile — und an die Bereitschaft, fachliche Beurteilung als legitimen Validierungs-Output anzuerkennen.

Zweitens: Auditoren fragen anders. Die Frage „haben Sie alles getestet?” wird seltener. Die Frage „warum haben Sie genau diese Tests gewählt, und wie haben Sie diese Auswahl dokumentiert?” wird häufiger. Wer auf die zweite Frage keine belastbare Antwort hat, scheitert — egal wie umfangreich die Test-Dokumentation ist.

Drittens: Anschluss an FDA Computer Software Assurance entsteht automatisch. Die FDA hat 2024 mit ihrer CSA Final Guidance die gleiche Bewegung vollzogen wie ISPE bei GAMP 5: weg von Test-Volumen, hin zu risikobasierter Bewertung. Wer GAMP 5 Second Edition konsequent anwendet, validiert automatisch CSA-kompatibel. Das ist keine zufällige Konvergenz — beide Standards reagieren auf dieselbe Software-Realität.

In über 60 Validierungsprojekten haben wir den Critical-Thinking-Ansatz konsequent angewendet. Das Ergebnis: deutlich reduzierte Dokumentations-Volumina bei 100 % Audit-Bestehensquote und null kritischen Findings. Critical Thinking spart keine Compliance — es spart Redundanz.

„Critical Thinking spart keine Compliance — es spart Redundanz.”

Iterative und agile Vorgehensmodelle — Validierung für DevOps-getriebene IT

Die zweite Auflage erkennt an, dass moderne IT-Organisationen iterativ arbeiten. Sprints, Continuous Delivery, DevOps-Pipelines sind 2026 keine Sonderfälle mehr, sondern Standard — auch in GxP-relevanten Bereichen. Die erste Auflage hatte für diese Arbeitsweise keine methodische Antwort. Die zweite Auflage liefert sie.

Was ändert sich praktisch? Drei Punkte:

Lifecycle-Modelle dürfen iterativ sein. Das V-Modell bleibt als Referenz, ist aber nicht mehr alternativlos. Iterative Modelle — Scrum, SAFe, Kanban — sind explizit zulässig, wenn die Validierungs-Aktivitäten an die Iteration angepasst werden. Konkret bedeutet das: jede Iteration enthält definierte Validierungs-Schritte, nicht eine große Validierungs-Phase am Ende.

Automatisierte Tests werden als Validierungs-Evidence anerkannt. Wenn Ihr DevOps-Team ohnehin Unit-Tests, Integration-Tests und End-to-End-Tests automatisiert ausführt, können diese Test-Ergebnisse — bei sauberer Konfiguration — als formale Validierungs-Evidence gelten. Voraussetzung: die Test-Umgebung ist qualifiziert, die Test-Skripte sind GxP-bewertet, die Ergebnisse sind reproduzierbar archiviert.

DevOps-Pipelines werden zum kontrollierten Change-Prozess. Eine CI/CD-Pipeline ist im Kern ein definierter Workflow mit Quality-Gates. GAMP 5 Second Edition erlaubt, eine solche Pipeline als formalen Change-Control-Prozess zu qualifizieren — was Release-Zyklen massiv verkürzt, ohne Compliance zu kompromittieren.

Was bleibt anspruchsvoll? Das Spannungsfeld zwischen Sprint-Geschwindigkeit und QA-Freigabe. Eine zwei-wöchige Iteration verträgt keine drei-wöchige QA-Freigabe-Schleife. Hier braucht es organisatorische Anpassungen: integrierte Validierungs-Rollen im Sprint-Team, klare Eskalations-Pfade, definierte Quality-Gates pro Release-Stufe. Die zweite Auflage liefert den methodischen Rahmen — die organisatorische Umsetzung bleibt Aufgabe Ihrer IT- und QA-Führung.

Für IT-Leiter, deren Entwicklungs- und Betriebs-Teams agil arbeiten, ist die zweite Auflage damit die ersehnte methodische Grundlage. Sie erspart die wiederkehrende Diskussion, ob agile Vorgehensweisen überhaupt mit GxP vereinbar sind. Die Antwort ist eindeutig: ja, mit der zweiten Auflage explizit dokumentiert.

Cloud, SaaS und KI/ML — was die 2nd Edition für neue Architekturen vorgibt

Die erste Auflage von GAMP 5 hat Cloud-Services am Rand erwähnt. KI und Machine Learning kamen überhaupt nicht vor. Die zweite Auflage schließt diese Lücken systematisch — und das ist für IT-Organisationen, die heute Cloud-LIMS, SaaS-Quality-Systeme oder KI-gestützte Analytik einführen, der praktisch relevanteste Teil des Updates.

Cloud und SaaS bekommen ein eigenes Kapitel. Die zweite Auflage erkennt an, dass die Validierung einer Cloud-Anwendung anderen Logiken folgt als die Validierung einer On-Premise-Installation. Sie werden den Cloud-Anbieter nicht qualifizieren — das macht keiner außer dem Anbieter selbst. Sie werden vielmehr die Bewertung des Anbieters dokumentieren, die geteilten Verantwortlichkeiten klären und die GxP-relevanten Konfigurationen Ihrer Instanz separat validieren.

Das Stichwort heißt Shared Responsibility Model — und es ist erstmals in einem GAMP-Standard explizit anerkannt. Praktisch bedeutet das: weniger Doppelarbeit zwischen Ihnen und Ihrem SaaS-Anbieter, mehr Klarheit über die eigene Pflichtenlinie.

Service-Provider-Bewertung wird granular. Die erste Auflage hatte eine Standard-Bewertung für Lieferanten. Die zweite Auflage differenziert: ein hyper-skalierter Cloud-Anbieter wird anders bewertet als ein nischenspezialisierter SaaS-Hersteller, ein zertifizierter Co-Location-Provider anders als ein interner IT-Dienstleister. Die abgestuften Bewertungsschemata reduzieren Aufwand bei etablierten Anbietern — und schärfen den Blick bei kritischen Komponenten.

KI und Machine Learning werden erstmals adressiert. Die zweite Auflage anerkennt, dass KI-Systeme andere Validierungs-Logiken brauchen als deterministische Software. Ein Modell, dessen Ausgabe sich mit jedem Retraining ändern kann, lässt sich nicht über statische Test-Skripte validieren. ISPE liefert hier methodische Leitplanken: probabilistische Test-Ansätze, kontinuierliche Modell-Überwachung, Akzeptanzkriterien für Modell-Drift, dokumentierte Trainingsdaten-Provenienz.

Das ist kein vollständiges KI-Validierungs-Handbuch — daran arbeitet die Industrie noch. Aber es ist die erste belastbare methodische Grundlage in einem anerkannten GxP-Leitfaden. Wer KI-Komponenten in regulierten Bereichen einführt, hat damit zum ersten Mal einen Rahmen, den auch Auditoren akzeptieren.

Praktische Konsequenz für Ihre IT-Architektur: Sie können Cloud-Plattformen, SaaS-Lösungen und KI-Komponenten 2026 mit deutlich klarerer methodischer Basis validieren als noch vor drei Jahren. Was das nicht bedeutet: dass die Validierung trivial wird. Anspruchsvoll bleibt sie. Aber sie ist erstmals strukturiert möglich — und nicht mehr Auslegungs-Streit zwischen IT, QA und Auditor.

Was Sie jetzt tun sollten — Anpassungen Ihres Validierungs-Frameworks

Die wichtigste Botschaft vorweg: ein vollständiger Umbau Ihres bestehenden CSV-Frameworks ist nicht notwendig. Die zweite Auflage ist evolutionär angelegt — bestehende Strukturen bleiben tragfähig. Was sich lohnt, sind gezielte Anpassungen an vier Stellen:

Erstens: CSV-Framework gegen 2nd-Edition-Prinzipien prüfen. Drei Leitfragen genügen für eine erste Bewertung. Ist Critical Thinking als Methodik in Ihren SOPs verankert — oder steuern Sie über Test-Volumen? Sind iterative Lifecycle-Modelle zulässig — oder erzwingt Ihr Framework das V-Modell? Gibt es Bewertungs-Vorlagen für Cloud-Service-Provider — oder behandeln Sie jede Cloud-Einführung als Einzelfall? Wer auf alle drei Fragen mit „nein” antwortet, hat das größte Optimierungspotenzial.

Zweitens: Test-Strategie modernisieren. Die Umstellung von Volltestung auf risikobasiertes Testing ist der schnellste Hebel mit der größten Wirkung. Sie reduziert Dokumentations-Volumen typischerweise um 40 bis 60 Prozent — bei gleicher oder besserer Audit-Belastbarkeit. Voraussetzung: dokumentierte Risikobewertungen, qualifizierte Praktiker, sauberer Audit-Trail der Test-Auswahl.

Drittens: Cloud- und SaaS-Bewertungs-Vorlagen einführen. Wer in den nächsten 18 Monaten Cloud-Lösungen oder SaaS-Plattformen einführt — und das tut praktisch jede Pharma- und Biotech-Organisation — profitiert direkt von einem abgestuften Bewertungs-Schema. Drei Bewertungs-Tiefen reichen: tier-1 für hyper-skalierte Anbieter mit etablierten Zertifizierungen, tier-2 für spezialisierte SaaS-Hersteller, tier-3 für kritische oder unzureichend etablierte Anbieter.

Viertens: KI-Validierungs-Konzept entwickeln — wenn relevant. Wenn in Ihrer Roadmap für 2026 oder 2027 KI-gestützte GxP-Anwendungen vorgesehen sind, beginnen Sie jetzt mit dem methodischen Setup. Die zweite Auflage liefert den Rahmen; die organisatorische Umsetzung benötigt Zeit. Wer das Konzept erst entwickelt, wenn das erste KI-System eingeführt werden soll, verliert Monate.

Diese vier Anpassungen lassen sich sequenziell oder parallel angehen. Realistisch ist ein Modernisierungs-Horizont von 6 bis 12 Monaten — abhängig von Größe Ihrer IT-Organisation und Anzahl betroffener Systeme. Das ist kein Crash-Programm, sondern ein strukturierter Übergang.

Häufige Fragen

Müssen wir unser bestehendes CSV-Framework komplett überarbeiten?

Nein. Die zweite Auflage ist evolutionär, nicht revolutionär. Bestehende Strukturen bleiben tragfähig. Angepasst werden Methodik (Critical Thinking statt Test-Volumen), Test-Strategie (risikobasiert) und Cloud- bzw. Lieferanten-Bewertung. Ein vollständiger Umbau ist weder notwendig noch sinnvoll.

Ist GAMP 5 2nd Edition rechtlich verpflichtend?

Nein. GAMP 5 ist ein Leitfaden, kein Gesetz. Behörden wie FDA und EMA referenzieren GAMP jedoch als anerkannten Industriestandard. Wer abweicht, trägt die Begründungslast im Audit. Praktisch bedeutet das: die zweite Auflage ist nicht verpflichtend — aber jede Abweichung muss dokumentiert und fachlich vertretbar sein.

Wie verhalten sich GAMP 5 2nd Edition und FDA CSA zueinander?

Komplementär. Beide lösen sich vom Test-Volumen-Denken und betonen Critical Thinking. CSA ist FDA-spezifisch, GAMP 5 international gültig. Wer beides nutzt, validiert konsistent — denn die methodischen Prinzipien sind nahezu identisch. Ein CSA-aligned Validierungs-Setup erfüllt automatisch zentrale Anforderungen der zweiten GAMP-Auflage.

Quellen

• ISPE GAMP 5: A Risk-Based Approach to Compliant GxP Computerized Systems, Second Edition (Juli 2022)
• ICH Q9(R1) Quality Risk Management (Step 4, Januar 2023)
• FDA Computer Software Assurance for Production and Quality System Software — Final Guidance (September 2022)
• EU-GMP Annex 11: Computerised Systems
• 21 CFR Part 11: Electronic Records; Electronic Signatures
• PIC/S PI 041-1 Good Practices for Data Management and Integrity in Regulated GMP/GDP Environments (Juli 2021)
• ISPE GAMP Good Practice Guides (IT Infrastructure · Records & Data Integrity · Operation of GxP Computerized Systems)

---

Autor

Daniel Herrmann Consulting — Boutique-Beratung für GxP-Compliance und Computer System Validation in Pharma, Biotech und MedTech. 15+ Jahre Hands-on-Expertise. 60+ validierte Systeme. 100 % Audit-Bestehensquote. 0 kritische Findings.