GxP-Validierung für Business Central — Ein Praxisleitfaden

gxp · validierung · gamp5 · business-central26. März 2026

Die GxP-Validierung von Business Central ist ein strukturierter Engineering-Prozess — keine Compliance-Übung auf dem Papier. Für Unternehmen in der Pharma-, Kosmetik- oder Chemiefertigung ist ein validiertes ERP eine regulatorische Anforderung gemäß EU-GMP-Anhang 11 und FDA 21 CFR Part 11. Dieser Leitfaden beschreibt, wie dieser Prozess in der Praxis umzusetzen ist — basierend auf realen Implementierungserfahrungen.

Was GxP-Validierung für ein ERP-System bedeutet

Im regulierten Umfeld liefert die Validierung dokumentierte Nachweise, dass ein System konsistent das tut, wofür es ausgelegt ist. Für Business Central bedeutet das: Finanztransaktionen, Lagerbewegungen, Chargenverfolgung, Genehmigungsworkflows und elektronische Aufzeichnungen verhalten sich vorhersehbar, sind vor unbefugten Änderungen geschützt und erzeugen zuverlässige Audit-Trails.

GAMP 5 (Good Automated Manufacturing Practice, 5. Auflage) ist das international anerkannte Framework zur Klassifizierung und Validierung computergestützter Systeme. Business Central, einschließlich seiner Standardmodule und zertifizierten AppSource-Erweiterungen, wird typischerweise als Kategorie-4-System (konfigurierbare Software) eingestuft. Diese Klassifizierung bestimmt den Validierungsumfang: Das Produkt wird vom Hersteller qualifiziert; Ihre Organisation validiert die Konfiguration.

Der Validierungslebenszyklus

Eine korrekt abgegrenzte Validierung folgt vier Phasen.

Die Planungsphase erstellt das Validierungsstrategiedokument (VSD), definiert Systemgrenzen, identifiziert Risiken und weist Verantwortlichkeiten zu. Für Business Central umfasst die Systemgrenze typischerweise den BC-Mandanten, verbundene Integrationen (LIMS, QMS, WMS) und alle im Einsatz befindlichen Erweiterungen.

Die Spezifikationsphase erstellt die User Requirements Specification (URS) — ein in Geschäftssprache verfasstes Dokument, das beschreibt, was das System leisten muss. Die URS ist die Grundlage für alles Weitere. Typische URS-Themen für BC in der regulierten Fertigung: Chargen- und Losverfolgbarkeit, elektronische Genehmigungsworkflows mit Identitätsverifizierung, rollenbasierter Zugriff und vollständige Änderungshistorie.

Die Funktionale Spezifikation (FS) und, sofern erforderlich, die Design-Spezifikation (DS) übersetzen die URS in die Systemkonfiguration. Für BC-Standardfunktionalität substituiert die Herstellerdokumentation einen Großteil der FS. Für individuelle Erweiterungen und Integrationen entwickelt TrustFort projektspezifische FS-Dokumente.

Die Testphase — Installationsqualifizierung (IQ), Betriebsqualifizierung (OQ) und Leistungsqualifizierung (PQ) — liefert dokumentierte Nachweise, dass das System korrekt installiert ist, wie spezifiziert funktioniert und unter realen Geschäftsbedingungen zuverlässig arbeitet. Testprotokolle müssen vor Testbeginn erstellt werden. Abweichungen müssen dokumentiert, auf ihre Auswirkungen bewertet und vor dem Validierungsabschluss behoben werden.

Audit-Trail-Anforderungen

EU-GMP-Anhang 11 fordert, dass computergestützte Systeme einen vollständigen Audit-Trail aller GxP-relevanten Datenänderungen erstellen. Das Change Log von Business Central erfasst feldbezogene Änderungen an definierten Tabellen mit Benutzer, Zeitstempel, altem Wert und neuem Wert. Die Konfiguration des Change Logs für GxP-Konformität erfordert eine sorgfältige Umfangsdefinition: Welche Tabellen, welche Felder und welche Ereignisse sind relevant?

Der Audit-Trail muss vor Änderungen geschützt sein. In Business Central SaaS bietet die zugrunde liegende Azure-Infrastruktur physischen Schutz. Der logische Schutz — sicherstellen, dass Benutzer Log-Einträge weder ändern noch löschen können — erfordert geeignete Berechtigungssätze und muss in der Systembeschreibung dokumentiert sein.

Elektronische Signaturen und Zugriffskontrolle

Wenn Ihr Prozess elektronische Signaturen erfordert, unterstützt Business Central Genehmigungsworkflows mit identitätsverifizierten Autorisierungsschritten. Jede Genehmigung erfasst den genehmigenden Benutzer, seine Rolle, den Zeitstempel und den Genehmigungsgrund.

Die Zugriffskontrolle muss dem Prinzip der minimalen Berechtigung folgen. Jeder Benutzer sollte genau die Berechtigungen haben, die seine Rolle erfordert — nicht mehr. Eine Rollenmatrix, die jede Arbeitsfunktion und die erforderlichen BC-Berechtigungen definiert, ist Teil des Validierungspakets.

Das Validierungsdokumentationspaket

Ein vollständiges GxP-Validierungspaket für Business Central umfasst typischerweise: Validierungsstrategiedokument, Systembeschreibung, Risikobeurteilung, URS, Funktionale Spezifikation, IQ-/OQ-/PQ-Protokolle und ausgeführte Aufzeichnungen, Abweichungsprotokoll, Änderungskontrollverfahren und Validierungszusammenfassungsbericht.

Aufrechterhaltung des validierten Status

Jede Änderung an der BC-Konfiguration — neue Erweiterungen, geänderte Workflows, aktualisierte Berechtigungssätze, BC-Plattform-Updates — muss einen dokumentierten Änderungskontrollprozess durchlaufen. Business Central SaaS wird alle sechs Monate automatisch aktualisiert (Major Waves) und monatlich (Minor Updates). Vor der ersten Major Wave nach der Validierung sollte ein prospektives Update-Bewertungsverfahren eingerichtet sein.

Laden Sie den vollständigen GxP-Validierungsleitfaden für Business Central als PDF über den untenstehenden Link herunter.

Leitfaden herunterladen