Die DIN EN ISO/IEC 27001 und die DIN EN ISO/IEC 27002 sind zentrale Normen für das Management der Informationssicherheit. Während ISO 27001 die Anforderungen an ein Informationssicherheits-Managementsystem (ISMS) definiert, liefert ISO 27002 einen Leitfaden zu den Maßnahmen und Kontrollen zur Sicherstellung der Informationssicherheit.

DIN EN ISO IEC 27001 – Grundlegende Anforderungen

Die ISO/IEC 27001 ist eine Norm, die sich auf die Einrichtung, Umsetzung, Aufrechterhaltung und kontinuierliche Verbesserung eines ISMS konzentriert. Sie legt einen systematischen Ansatz für den Schutz von Informationen vor, indem Risiken identifiziert und geeignete Sicherheitsmaßnahmen implementiert werden.

Hauptanforderungen der ISO IEC 27001:

Kontext der Organisation:

• Analyse interner und externer Faktoren, die die Informationssicherheit beeinflussen.
• Festlegung des Anwendungsbereichs des ISMS.

Führung:

• Engagement der obersten Leitung und klare Verantwortung für Informationssicherheit.
• Erstellung einer Informationssicherheitspolitik.
• Risikomanagement: Identifikation, Bewertung und Behandlung von Informationssicherheitsrisiken.
• Erstellung eines Risikobehandlungsplans.
• Bereitstellung von Ressourcen, Schulungen und Sensibilisierung für Informationssicherheit.
• Effektive interne und externe Kommunikation.
• Pflege der Dokumentation und Nachweise.
• Implementierung von Maßnahmen aus dem Risikobehandlungsplan.
• Steuerung von Prozessen und externen Dienstleistern.
• Regelmäßige Überwachung der Informationssicherheitsmaßnahmen.
• Durchführung von internen Audits.
• Managementbewertung.
• Korrekturmaßnahmen zur Behebung von Schwachstellen.
• Kontinuierliche Verbesserung des ISMS.

Planung:

Unterstützung:

Betrieb:

Bewertung der Leistung:

Verbesserung:

DIN EN ISO/IEC 27002 – Leitfaden für Maßnahmen

Die ISO/IEC 27002 bietet detaillierte Anleitungen und Best Practices für die Implementierung der in ISO IEC 27001 definierten Sicherheitsmaßnahmen. Sie enthält einen Katalog von Kontrollmaßnahmen, die Organisationen zur Risikobehandlung nutzen können.

Hauptthemen der ISO 27002:

Informationssicherheitsrichtlinien:

• Erstellung und Kommunikation klarer Sicherheitsrichtlinien.

Organisatorische Sicherheit:

• Definition von Rollen und Verantwortlichkeiten für die Informationssicherheit.
• Einbindung von Sicherheit in Projekte und Prozesse.
• Schulung und Sensibilisierung der Mitarbeiter.
• Sicherstellung der Integrität durch Hintergrundprüfungen.
• Identifikation und Klassifikation von Informationen und IT-Systemen.
• Schutz vor unbefugtem Zugriff und Verlust.
• Regeln und Verfahren zur Begrenzung des Zugriffs auf Informationen.
• Verwaltung von Benutzerrechten und Authentifizierung.
• Schutz sensibler Daten durch Verschlüsselung und Schlüsselmanagement.
• Schutz der Infrastruktur und physischer Standorte vor unbefugtem Zugriff.
• Überwachung und Schutz von IT-Systemen.
• Umgang mit Änderungen und Vorfällen.
• Schutz von Datenübertragungen und Netzwerken.
• Sicherheit in der Zusammenarbeit mit Partnern.
• Steuerung von Sicherheitsanforderungen bei Drittanbietern.
• Erkennung, Meldung und Behandlung von Sicherheitsvorfällen.
• Verbesserung auf Basis von Vorfallanalysen.
• Planung und Vorbereitung auf Notfälle und Ausfälle.
• Sicherstellung des Geschäftsbetriebs bei Sicherheitsvorfällen.
• Berücksichtigung gesetzlicher und regulatorischer Anforderungen.
• Sicherstellung der Einhaltung vertraglicher Verpflichtungen.

Sicherheitsmaßnahmen für Personen:

Vermögenswerte (Assets):

Zugangskontrolle:

Kryptografie:

Physische und umgebungsbezogene Sicherheit:

Betriebssicherheit:

Kommunikationssicherheit:

Lieferantenmanagement:

Informationssicherheitsvorfälle:

Kontinuitätsmanagement:

Einhaltung von Vorschriften:

Zusammenarbeit von ISO IEC 27001 und ISO IEC 27002

• ISO IEC 27001: Bietet einen Rahmen für die Einführung und Verwaltung eines ISMS und legt Anforderungen fest.
• ISO IEC 27002: Unterstützt ISO IEC 27001 durch detaillierte Empfehlungen zur Umsetzung der Sicherheitsmaßnahmen.

Vorteile der Umsetzung:

• Erhöhte Sicherheit: Schutz sensibler Daten und IT-Systeme
• Schutz sensibler Daten:
  • Die ISO IEC 27001 sorgt dafür, dass Informationen – unabhängig von ihrer Form (digital, physisch oder verbal) – geschützt werden.
  • Vertraulichkeit wird durch Maßnahmen wie Zugangskontrollen und Verschlüsselung gewährleistet.
  • Beispiele:
    • Verschlüsselung von Daten während der Übertragung und Speicherung.
    • Begrenzung des Zugriffs auf sensible Informationen durch Rollen- und Rechtekonzepte.

Schutz der IT-Systeme:

• Die Norm unterstützt Unternehmen dabei, Systeme vor internen und externen Bedrohungen zu schützen:
  • Abwehr von Cyberangriffen durch Firewalls, Intrusion Detection Systems (IDS) und regelmäßige Sicherheitsupdates.
  • Absicherung von Endgeräten, Netzwerken und Servern.
  • Maßnahmen gegen physische Bedrohungen, z. B. unbefugten Zugang zu Serverräumen.
• Systeme werden regelmäßig überprüft und getestet, um Schwachstellen zu identifizieren.
• Durch kontinuierliche Überwachung und präventive Maßnahmen werden Risiken minimiert, z. B.:
  • Schulung von Mitarbeitern im Umgang mit Phishing-Angriffen.
  • Einführung eines Notfallplans zur schnellen Reaktion bei Sicherheitsvorfällen.

Sicherheitsvorfälle verhindern:

• Die ISO/IEC 27001 verlangt die Durchführung einer Risikoanalyse:
  • Identifikation: Welche Gefahren bestehen für die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen?
  • Bewertung: Wie wahrscheinlich sind die Risiken, und welche Auswirkungen haben sie?
  • Behandlung: Welche Maßnahmen können diese Risiken minimieren oder vermeiden?
• Die Norm gibt vor, geeignete Kontrollen und Sicherheitsmaßnahmen zu implementieren, z. B.:
  • Sicherstellung von Backup- und Wiederherstellungssystemen.
  • Regelmäßige Penetrationstests, um Schwachstellen in der IT-Infrastruktur zu erkennen und zu beheben.
  • Einführung strengerer Passwortregeln und Zwei-Faktor-Authentifizierung.
• Risiken werden kontinuierlich überwacht und angepasst, um auf neue Bedrohungen, wie Cyberangriffe oder technologische Entwicklungen, zu reagieren.

Risikominimierung: Systematische Identifikation und Behandlung von Risiken

• Unternehmen müssen sicherstellen, dass ihre Informationsverarbeitung den Anforderungen geltender Gesetze entspricht, z. B.:
  • DSGVO (Datenschutz-Grundverordnung): Schutz personenbezogener Daten und Sicherstellung der Datenminimierung.
  • Telekommunikationsgesetz (TKG): Schutz sensibler Kommunikationsdaten.
  • Branchen- oder regionsspezifische Vorschriften (z. B. HIPAA in den USA oder PCI-DSS im Finanzsektor).

ISO/IEC 27001 fordert die Dokumentation aller Sicherheitsmaßnahmen, um die Einhaltung von Vorschriften nachzuweisen.

Regelmäßige Audits und Prüfungen stellen sicher, dass Compliance kontinuierlich gewährleistet ist.

Durch die Einhaltung regulatorischer Anforderungen werden Bußgelder, Strafen oder Haftungsfälle vermieden.

Risikomanagementprozess:

Zertifizierte Unternehmen zeigen, dass sie höchste Standards für den Schutz von Kundendaten einhalten.

Dies ist besonders wichtig für Branchen, in denen Datenschutz und Informationssicherheit zentrale Themen sind (z. B. Finanzsektor, Gesundheitswesen).

Geschäftspartner sehen ISO/IEC 27001-zertifizierte Organisationen als verlässliche und professionelle Partner, die Sicherheitsrisiken proaktiv angehen.

Das Sicherheitsbewusstsein der Mitarbeiter wird durch Schulungen und klare Vorgaben gestärkt, was das Vertrauen in interne Prozesse erhöht.

Ein zertifiziertes ISMS unterstreicht das Engagement eines Unternehmens für Sicherheit und Nachhaltigkeit und verbessert das Markenimage.

Maßnahmen zur Risikominderung:

Viele Kunden und Partner verlangen von ihren Lieferanten den Nachweis eines effektiven ISMS, insbesondere in sicherheitskritischen Branchen.

Unternehmen mit ISO 27001-Zertifizierung werden bevorzugt, da sie als vertrauenswürdig und zuverlässig gelten.

In einigen Ländern und Branchen ist die Zertifizierung Voraussetzung, um an Ausschreibungen teilzunehmen oder Geschäfte abzuschließen (z. B. öffentliche Aufträge oder internationale Geschäftspartnerschaften).

Die Zertifizierung zeigt potenziellen Kunden und Partnern, dass das Unternehmen professionell arbeitet und sich aktiv mit Informationssicherheitsrisiken auseinandersetzt.

Durch kontinuierliche Verbesserung und Anpassung des ISMS bleiben Unternehmen flexibel und können auf neue Sicherheitsanforderungen und technologische Entwicklungen reagieren.

Fortlaufende Überwachung:

Compliance: Erfüllung gesetzlicher und regulatorischer Anforderungen (z. B. DSGVO)

Gesetzliche Vorgaben:

Regelkonformität nachweisbar machen:

Verminderung rechtlicher Risiken:

Vertrauenssteigerung: Demonstration von Professionalität und Verantwortungsbewusstsein

Kundenvertrauen:

Geschäftspartner:

Mitarbeitersensibilisierung:

Öffentliches Image:

Wettbewerbsvorteil: Zertifizierungen nach ISO IEC 27001 verbessern die Marktposition

Erfüllung von Kundenanforderungen:

Marktzugang:

Abgrenzung vom Wettbewerb:

Langfristige Wettbewerbsfähigkeit:

Die Umsetzung der ISO/IEC 27001 bietet somit nicht nur technischen Schutz vor Bedrohungen, sondern stärkt auch das Vertrauen von Kunden, Partnern und der Öffentlichkeit und ermöglicht Unternehmen, sich langfristig am Markt erfolgreich zu positionieren.

Die Kombination aus ISO 27001 und ISO 27002 bietet eine umfassende Grundlage, um Informationssicherheitsmanagement strukturiert und effizient umzusetzen.

Ein Beispiel zur Umsetzung finden Sie in unserem Shop. Die Normen finden Sie bei DINMEDIA.

 

Ein guter Zertifizierer im Qualitätsmanagement sollte mehrere wesentliche Kriterien erfüllen, um sicherzustellen, dass die Zertifizierung zuverlässig, vertrauenswürdig und zielführend ist. Hier sind die wichtigsten Kriterien: 

1. Akkreditierung

• Akkreditierung durch eine anerkannte Stelle: Das Unternehmen sollte von einer nationalen oder internationalen Akkreditierungsstelle anerkannt sein (z.B. DAkkS in Deutschland oder ISO/IEC 17021). Diese Akkreditierung stellt sicher, dass der Zertifizierer strenge Qualitätsstandards erfüllt.
• Akkreditierungsbereich: Der Zertifizierer sollte auf das betreffende Qualitätsmanagementsystem (z.B. ISO 9001) spezialisiert und für diesen Bereich akkreditiert sein.

2. Expertise und Erfahrung

• Fachliche Qualifikation der Auditoren: Die Auditoren des Zertifizierers sollten fundierte Kenntnisse und Erfahrungen im Bereich Qualitätsmanagement sowie spezifische Branchenkenntnisse besitzen. Sie sollten regelmäßig geschult werden, um mit den neuesten Normen und Best Practices vertraut zu bleiben.
• Branchenspezifische Expertise: Ein gutes Unternehmen sollte Erfahrungen in der spezifischen Branche des Unternehmens haben, da dies hilft, die relevanten Anforderungen und Herausforderungen besser zu verstehen.

3. Unabhängigkeit und Objektivität

• Unabhängigkeit: Das Unternehmen sollte unabhängig von den zu zertifizierenden Unternehmen sein, um Interessenskonflikte zu vermeiden. Dies gewährleistet eine objektive und unparteiische Bewertung.
• Objektivität der Audits: Der Zertifizierer sollte in der Lage sein, das Qualitätsmanagementsystem objektiv und ohne Bevorzugung eines Unternehmens zu bewerten.

4. Reputation und Vertrauen

• Markenbekanntheit und Vertrauen: Ein guter Zertifizierer hat eine solide Reputation und wird von der Industrie und den relevanten Stakeholdern als vertrauenswürdig angesehen.
• Referenzen und Erfahrungsberichte: Bewertungen und Erfahrungen anderer Unternehmen, die den Zertifizierer bereits genutzt haben, können hilfreich sein, um die Qualität des Dienstes einzuschätzen.

5. Transparente und faire Vorgehensweise

• Klar definierte Zertifizierungsprozesse: Das Unternehmen sollte klare, nachvollziehbare Prozesse und Zeitrahmen für die Zertifizierung bieten. Der Prozess sollte transparent und gut dokumentiert sein.
• Faire Preisgestaltung: Die Kosten für die Zertifizierung sollten marktüblich und transparent sein. Es sollte keine versteckten Kosten geben.

6. Kontinuierliche Verbesserung und Nachverfolgung

• Wiederkehrende Audits: Ein guter Zertifizierer bietet regelmäßige Überwachungs- und Rezertifizierungs-Audits an, um sicherzustellen, dass das Qualitätsmanagementsystem weiterhin den Normen entspricht.
• Unterstützung bei der Verbesserung: Das Unternehmen sollte nicht nur die Einhaltung von Standards prüfen, sondern auch konstruktive Verbesserungsvorschläge und Empfehlungen für die Weiterentwicklung des Systems geben.

7. Kundensupport und Kommunikation

• Gute Erreichbarkeit und Support: Das Unternehmen sollte eine gute Kommunikation und Erreichbarkeit bieten, um Fragen oder Unklarheiten während des Zertifizierungsprozesses zu klären.
• Klare Rückmeldungen: Nach den Audits sollte der Zertifizierer klare und umfassende Rückmeldungen sowie Berichte liefern, die auf den auditieren Ergebnissen basieren.

8. Internationale Anerkennung

• Gültigkeit der Zertifikate: Wenn das Unternehmen international tätig ist, sollte der Zertifizierer international anerkannt sein, damit die Zertifizierung auch international anerkannt wird.
• Kompatibilität mit internationalen Standards: Der Zertifizierer sollte in der Lage sein, Zertifizierungen nach internationalen Standards wie ISO 9001, ISO 14001 oder ISO 27001 anzubieten.

Fazit

Die Auswahl eines guten Zertifizierers im Qualitätsmanagement ist entscheidend für den Erfolg des Zertifizierungsprozesses und für die Qualität des Systems, das schließlich zertifiziert wird. Der Zertifizierer sollte also akkreditiert, kompetent und zuverlässig sein, um die Anforderungen des Unternehmens zu erfüllen und die Qualität des Managementsystems objektiv zu beurteilen.

Es empfiehlt sich außerdem, die Referenzen und Qualifikationen der Zertifizierungsgesellschaft oder des Auditors sorgfältig zu prüfen. Eine Liste der akkreditierten Zertifizierungsstellen finden Sie auf der Website www.dakks.de

Die DAkkS akkreditiert Unternehmen, somit treffen die Anforderungen hier nicht zu. Akkreditierungsvorlagen finden Sie hier.

 

Recherche nach akkreditierten Unternehmen

• Besuche die Website der Deutschen Akkreditierungsstelle (DAkkS):
  • Hier findest du eine Liste akkreditierter Zertifizierungsstellen. Die DAkkS garantiert, dass diese Stellen nach internationalen Standards geprüft sind.
  • Website: www.dakks.de
• Filtere nach Zertifizierungstypen:
• Wähle in der DAkkS-Datenbank die passende Norm (z. B. ISO 9001).
• Filtere nach deinem Bundesland, falls du eine regionale Stelle bevorzugst.

Bitte vergleichen Sie

• Referenzen und Erfahrung: Überprüfe, ob der Zertifizierer Erfahrung in deiner Branche hat. Viele veröffentlichen Fallstudien oder Referenzen.
• Angebot einholen: Fordere Angebote von mehreren Zertifizierern an. Berücksichtige dabei:
  • Kostenstruktur (Auditkosten, Reisekosten, zusätzliche Dienstleistungen)
  • Flexibilität bei Terminen
  • Qualität der Beratung und Betreuung
• Reputation: Lies Kundenbewertungen und Erfahrungsberichte. Achte auf die Zuverlässigkeit und Professionalität.

Die Dauer der Zertifizierung bzw. der Weg dorthin ist vom jeweiligen Unternehmen abhängig.
Folgende Faktoren können sich auf die Dauer auswirken:

• Mitarbeiteranzahl bzw. Größe des Unternehmens
• Mitarbeit der einzelnen Personen
• Kentnissstand über die jeweilige ISO-Norm oder den jeweiligen Standard
• Unterstützungsgrad durch einen Berater
• Umfang der Dokumentation
• Normausschlüsse
• Grundsätzlich können Sie bei einer Unternehmensgröße von ca 25-50 Mitarbeitern und der Zertifizierung nach der DIN EN ISO 9001:2015 mit einer Dauer von 1- 5 Monaten rechnen.
• in speziellen Branchen wie Medizinprodukte oder Akkreditierungen sind es fast immer über 6 Monate.

Vorgehen bei einer Zertifizierung

Die Zertifizierung eines Qualitätsmanagementsystems (QMS) nach einer Norm wie ISO 9001 erfordert ein systematisches Vorgehen. Hier sind die Schritte, die Sie typischerweise befolgen sollten:

1. Vorbereitung

• Zielsetzung: Definieren Sie die Ziele der Zertifizierung und den gewünschten Nutzen.
• Schulung: Schulen Sie Ihre Mitarbeiter über die Anforderungen der Norm und das QMS.
• Ressourcen bereitstellen: Stellen Sie sicher, dass ausreichend Ressourcen (Zeit, Personal, Budget) zur Verfügung stehen.

2. Ist-Analyse

• Führen Sie eine Bestandsaufnahme Ihres aktuellen Qualitätsmanagementsystems durch.
• Identifizieren Sie Lücken zwischen dem bestehenden System und den Anforderungen der Norm.

3. Planung

• Erstellen Sie einen Aktionsplan zur Schließung der identifizierten Lücken.
• Legen Sie Verantwortlichkeiten und Fristen fest.

4. Implementierung

• Setzen Sie die erforderlichen Änderungen um, um das QMS an die Norm anzupassen.
• Dokumentieren Sie alle Prozesse, Verfahren und Richtlinien gemäß den Anforderungen.

5. Schulung und Sensibilisierung

• Schulen Sie alle Mitarbeiter im neuen QMS und sensibilisieren Sie sie für die Bedeutung von Qualität.
• Stellen Sie sicher, dass alle Mitarbeiter ihre Rollen im QM-System verstehen.

6. Interne Audits

• Führen Sie interne Audits durch, um die Wirksamkeit des QMS zu überprüfen.
• Identifizieren Sie Verbesserungspotenziale und dokumentieren Sie Abweichungen.

7. Managementbewertung

• Organisieren Sie eine Managementbewertung des QMS, um dessen Leistung zu bewerten und strategische Entscheidungen zu treffen.
• Dokumentieren Sie die Ergebnisse und beschließen Sie gegebenenfalls Maßnahmen zur Verbesserung.

8. Korrekturmaßnahmen

• Beheben Sie identifizierte Mängel aus internen Audits oder der Managementbewertung.
• Implementieren Sie Korrektur- und Vorbeugemaßnahmen.

9. Zertifizierungsaudit

• Wählen Sie eine akkreditierte Zertifizierungsstelle aus.
• Planen Sie das Zertifizierungsaudit mit der gewählten Stelle.
• Bereiten Sie sich auf das Audit vor, indem Sie die Nachweise bereithalten.

Warum muss man die ISO 13485 umsetzen, wenn man Inverkehrbringer nach MDR 2017/745 ist?

Die Umsetzung der ISO 13485 ist zwar nicht direkt zwingend durch die MDR (Medical Device Regulation, EU 2017/745) vorgeschrieben, aber in der Praxis nahezu unverzichtbar, da sie eine zentrale Grundlage für die Einhaltung der MDR-Anforderungen darstellt. Konkret ergeben sich folgende Gründe dafür:

1. Qualitätsmanagementsystem (QMS) als Kernanforderung

Die MDR fordert explizit ein Qualitätsmanagementsystem zur Sicherstellung der Übereinstimmung der Produkte mit den gesetzlichen Vorgaben (Anhang IX und X der MDR). ISO 13485 bietet eine international anerkannte, harmonisierte Grundlage für ein solches QMS, das speziell für Medizinprodukte entwickelt wurde.

2. Erfüllung der gesetzlichen Vermutungswirkung

Die ISO 13485 gilt als harmonisierte Norm für die MDR. Durch Anwendung der ISO 13485 wird eine sogenannte „Vermutungswirkung“ („presumption of conformity“) erzeugt. Das bedeutet:

• Wer die ISO 13485 erfüllt, erfüllt automatisch bestimmte MDR-Anforderungen, insbesondere die an das Qualitätsmanagement.
• Dies erleichtert die Konformitätsbewertung durch benannte Stellen und vereinfacht den Nachweis gegenüber Behörden.

3. Marktzugang und Akzeptanz

• Benannte Stellen erwarten von Herstellern grundsätzlich die Umsetzung der ISO 13485, da dies einen bewährten Standard und nachvollziehbare Prozesse sicherstellt.
• Kunden und Handelspartner setzen ebenfalls oft ISO-13485-Zertifizierungen voraus.

4. Risiko- und Prozessmanagement

Die ISO 13485 enthält Vorgaben, die unmittelbar zur Erfüllung von MDR-Anforderungen beitragen, insbesondere hinsichtlich:

• Risikomanagement (Verknüpfung mit ISO 14971)
• Post-Market Surveillance (PMS)
• Korrektive und präventive Maßnahmen (CAPA)
• Lieferantenmanagement
• Dokumentation und Rückverfolgbarkeit

5. Praktische Umsetzungshilfe

Die MDR enthält zwar detaillierte rechtliche Anforderungen, gibt aber kaum spezifische Hinweise zur praktischen Umsetzung. Die ISO 13485 hingegen bietet konkrete, operativ umsetzbare Vorgaben, die Herstellern helfen, die MDR systematisch umzusetzen.

An welchen Stellen hat die MDR Anforderungen an ein Managementsystem?

1. Artikel 10 – Allgemeine Pflichten der Hersteller

Absatz 9:
Der Hersteller muss ein Qualitätsmanagementsystem einführen, dokumentieren, anwenden, aufrechterhalten und kontinuierlich verbessern.
Das QMS muss alle Teile und Elemente des Unternehmens betreffen, die mit der Qualität der Produkte in Zusammenhang stehen.

Enthalten sein müssen z. B.:

• Eine klare Unternehmensstruktur und Zuständigkeiten
• Prozesse zur Risikobewertung und -kontrolle
• Technische Dokumentation
• Produktüberwachung nach dem Inverkehrbringen
• CAPA-Prozesse (Corrective and Preventive Actions)

2. Anhang IX – Konformitätsbewertung nach dem Qualitätssicherungssystem

Dieser Anhang beschreibt, wie ein vollständiges QMS Bestandteil des Konformitätsbewertungsverfahrens ist.
Benannte Stellen prüfen das QMS im Detail.

Das QMS muss laut Anhang IX u. a. folgende Prozesse umfassen:

• Design- und Entwicklungssteuerung
• Lieferanten- und Beschaffungsmanagement
• Herstellungsprozesse
• Prüfverfahren
• Rückverfolgbarkeit
• Überwachung nach dem Inverkehrbringen

3. Anhang XI – Konformitätsbewertung auf Basis der Produktprüfung

Auch wenn hier primär Produktprüfungen im Fokus stehen, kann ein geeignetes QMS trotzdem erforderlich sein – insbesondere zur Dokumentation und zur Unterstützung der PMS/PMCF-Prozesse.

4. Artikel 52 – Konformitätsbewertungsverfahren

Hersteller müssen im Rahmen der Konformitätsbewertung nachweisen, dass ein QMS vorhanden ist, insbesondere bei Produkten der Klassen IIa, IIb und III.

5. Artikel 83 bis 86 – Überwachung nach dem Inverkehrbringen (PMS)

Ein funktionierendes QMS muss auch die Prozesse für:

• PMS (Post-Market Surveillance)
• PMCF (Post-Market Clinical Follow-up)
• Vigilanz und Trendberichterstattung

beinhalten.

Hier ist das QMS nach MDR gefragt:

MDR-Abschnitt	Thema	QMS-Anforderung
Art. 10 (9)	Pflichten des Herstellers	Direkt verpflichtend
Anhang IX	QMS-basierte Konformitätsbewertung	Kernbestandteil
Anhang XI	Produktprüfung	Unterstützend notwendig
Art. 52	Konformitätsbewertung allgemein	Nachweispflicht
Art. 83–86	PMS, Vigilanz, PMCF	QMS muss Prozesse abbilden

Unterm Strich:

Obwohl die MDR nicht explizit verlangt, die ISO 13485 zu implementieren, ist es praktisch unumgänglich, dies zu tun. Die Norm bietet Herstellern eine bewährte Struktur, reduziert Risiken bei der Zertifizierung und macht die Einhaltung der komplexen MDR-Anforderungen wesentlich einfacher und nachvollziehbarer.

Unsere Vorlagen helfen. Die MDR kann man sich bei der EU Herunterladen.

 

Die Kosten für eine Qualitätsmanagementberatung (QM-Beratung)

können stark variieren und hängen von mehreren Faktoren ab, darunter:

1. Umfang der Beratung: Je nachdem, ob Sie eine vollständige Implementierung eines Qualitätsmanagementsystems, eine spezifische Schulung oder nur eine Überprüfung bestehender Prozesse wünschen, können die Kosten unterschiedlich sein.
2. Beratungsunternehmen: Die Preise können je nach Größe und Reputation des Beratungsunternehmens variieren. Größere, etablierte Firmen verlangen in der Regel höhere Honorare als kleinere oder weniger bekannte Anbieter.
3. Dauer der Beratung: Die Anzahl der benötigten Beratungstage oder -stunden hat einen direkten Einfluss auf die Gesamtkosten. Einige Beratungen werden auf Stundenbasis abgerechnet, während andere Pauschalpreise für bestimmte Projekte anbieten.
4. Branche und Komplexität: In bestimmten Branchen (z.B. Medizintechnik, Automobilindustrie) können die Anforderungen an das Qualitätsmanagement komplexer sein, was zu höheren Beratungskosten führen kann.
5. Regionale Unterschiede: Die Preise können auch regional unterschiedlich sein, abhängig von den Lebenshaltungskosten und dem Wettbewerb in Ihrer Region.

Preisrahmen

• Stundenhonorare: Diese liegen typischerweise zwischen 80 und 200 Euro pro Stunde. Da sind wir weit unten zu finden.
• Pauschalangebote: Für ein komplettes QM-System kann die Beratung zwischen 5.000 und 20.000 Euro kosten, abhängig vom Umfang und der Komplexität des Projekts. Das ist aus unserer Sicht unseriös.
• Schulungen: Schulungen im Bereich Qualitätsmanagement kosten oft zwischen 300 und 1.500 Euro pro Teilnehmer, je nach Thema und Dauer. Wir haben nur Tagessätze und das ist sind 850.-€.

Was kann bei einer Beratung schief gehen?

Bei einer Beratung können verschiedene Probleme auftreten, die den Erfolg beeinträchtigen. Hier sind einige häufige Fallstricke, die in einer Beratung schiefgehen können:

1. Unklare Zielsetzung

• Problem: Keine klaren Ziele oder Erwartungen seitens des Kunden oder Beraters.
• Folge: Beide Seiten arbeiten aneinander vorbei, und die Ergebnisse sind unbefriedigend.
• Beispiel: Ein Unternehmen bittet um Unterstützung bei der Digitalisierung, formuliert jedoch keine konkreten Ziele. Der Berater arbeitet an einer neuen IT-Infrastruktur, während der Kunde eigentlich eine Automatisierung der Produktionsprozesse erwartet hätte.

2. Fehlende Kommunikation

• Problem: Missverständnisse aufgrund unklarer oder unzureichender Kommunikation in der QM-Beratung.
• Folge: Wichtige Informationen werden übersehen, und Lösungen passen nicht zu den Bedürfnissen des Kunden.
• Beispiel: Der Berater erstellt eine Strategie zur Kostenreduzierung, ohne die Abteilungsleiter einzubeziehen. Diese erfahren erst im Nachhinein davon und sind frustriert, da wichtige Details ihrer Prozesse nicht berücksichtigt wurden.

3. Mangel an Vorbereitung

• Problem: Der Berater hat sich nicht genügend auf die spezifischen Anforderungen oder die Branche des Kunden vorbereitet.
• Folge: Vorschläge wirken unpassend oder oberflächlich.
• Beispiel: Der Berater schlägt vor, einen bestimmten Softwareanbieter einzusetzen, ohne zu wissen, dass das Unternehmen bereits ein langfristiges Lizenzabkommen mit einem anderen Anbieter hat. Der Vorschlag wird daher als unbrauchbar abgetan.

4. Unrealistische Erwartungen

• Problem: Der Kunde erwartet schnelle oder unmögliche Ergebnisse.
• Folge: Enttäuschung, selbst wenn die QM-Beratung wertvolle Lösungen bietet.
• Beispiel: Ein Kunde erwartet, dass der Berater die Mitarbeiterzufriedenheit innerhalb eines Monats drastisch verbessert. Der Berater stimmt zu, obwohl er weiß, dass kulturelle Veränderungen Zeit brauchen. Die Erwartungen werden nicht erfüllt, und die QM-Beratung wird abgebrochen.

5. Fehlende Empathie

• Problem: Der Berater ignoriert die Perspektive oder Kultur des Kundenunternehmens.
• Folge: Empfehlungen sind nicht praktikabel oder werden abgelehnt.
• Beispiel: Ein Berater aus einem stark leistungsorientierten Umfeld empfiehlt einem familiengeführten Unternehmen drastische Maßnahmen zur Umsetzung des QM-Systems. Die Empfehlungen stoßen auf Widerstand, da sie nicht zur wertebasierten Unternehmenskultur passen.

6. Zu starrer Ansatz

• Problem: Der Berater verwendet eine standardisierte Lösung ohne Rücksicht auf die individuelle Situation des Kunden.
• Folge: Die Lösung hat keinen nachhaltigen Nutzen.
• Beispiel: Ein Berater nutzt ein Standardtool zur Prozessoptimierung, ohne die spezifischen Herausforderungen des Unternehmens zu analysieren. Die vorgeschlagenen Maßnahmen passen nicht zu den tatsächlichen Arbeitsabläufen und werden nicht umgesetzt.

7. Widerstand gegen Veränderung

• Problem: Mitarbeiter oder Führungskräfte lehnen die vorgeschlagenen Änderungen ab.
• Folge: Die Umsetzung scheitert trotz guter Ideen.
• Beispiel: Ein Produktionsleiter ignoriert die Vorschläge der QM-Beratung, da er fürchtet, dass die vorgeschlagenen Automatisierungen zu Entlassungen führen könnten. Die Änderungen werden nicht umgesetzt, obwohl sie langfristig Vorteile bringen würden.

8. Fokus auf Symptome statt Ursachen

• Problem: Die QM-Beratung konzentriert sich auf oberflächliche Probleme und nicht auf die zugrunde liegenden Ursachen.
• Folge: Probleme treten später erneut auf.
• Beispiel: Ein Berater empfiehlt neue Prozesse, um den Umsatz zu steigern, ohne zu erkennen, dass die eigentliche Ursache schlechte Produktqualität ist. Die Maßnahme verpufft, da das Kernproblem ungelöst bleibt.

9. Kostenüberschreitung

• Problem: Die QM-Beratung dauert länger oder kostet mehr als geplant.
• Folge: Der Kunde verliert das Vertrauen in den Berater.
• Beispiel: Ein Berater verspricht, ein QM-System in drei Monaten zu implementieren, doch Verzögerungen durch unvorhergesehene Komplexität führen zu erheblichen Mehrkosten. Der Kunde fühlt sich über den Tisch gezogen.

10. Keine Nachverfolgung

• Problem: Nach der QM-Beratung fehlt ein Follow-up, um die Umsetzung der Lösungen zu unterstützen.
• Folge: Empfohlene Maßnahmen werden nicht effektiv realisiert.
• Beispiel: Nach einer Strategieentwicklung verlässt der Berater das Projekt, ohne eine Roadmap zur Umsetzung zu erstellen. Das Unternehmen gerät ins Stocken und setzt die Maßnahmen nur teilweise um.

Lösungsansatz:

• Klare Zielvereinbarungen im Vorfeld.
• Offene Kommunikation während der gesamten QM-Beratung.
• Regelmäßige Überprüfungen und Anpassungen der Strategie.
• Fokus auf den Kunden und seine individuellen Bedürfnisse.

Unterm Strich:

Es ist ratsam, mehrere Angebote von verschiedenen Beratungsunternehmen einzuholen und diese zu vergleichen. Achten Sie dabei nicht nur auf den Preis, sondern auch auf die Erfahrung des Beraters sowie auf Referenzen aus ähnlichen Projekten.

Wir wollen Chaos vermeiden!

 

Das Anbieten hochwertiger Produkte wird in sämtlichen Branchen als ein entscheidender Wettbewerbsfaktor angesehen. Insbesondere bestimmte Sektoren profitieren erheblich von einem professionellen und genau entwickelten Qualitätsmanagement-System. In allen Bereichen, in denen es um Lebensmittel oder medizinische Produkte geht, sind eine herausragende Qualität und eine sorgfältig geplante Qualitätssicherung von größter Bedeutung. In Branchen, die sich um solche Produkte und Prozesse drehen, stehen Qualitätsmanagement und die Einhaltung vorgeschriebener Normen auch für Sicherheit.

Wir bieten Ihnen eine umfassende Spezialisierung auf die spezifischen Anforderungen, die ein solides und zuverlässiges Qualitätsmanagementsystem für Medizinprodukte erfordert. Unsere Expertise stellt sicher, dass Ihre Produkte den höchsten Qualitätsstandards entsprechen und alle regulatorischen Anforderungen erfüllt werden. Zögern Sie nicht, sich jetzt von unseren erfahrenen Fachleuten beraten zu lassen!

Eine Medizinprodukte-Beratung ist von hoher Bedeutung

Wenn Ihr Unternehmen in der Herstellung, dem Vertrieb oder der Vermarktung von Medizinprodukten tätig ist, sind Sie verpflichtet, äußerst hohe Standards in Bezug auf Qualität und Sicherheit einzuhalten. Diese Standards sind unerlässlich, um Ihnen die Produktion, Bearbeitung und den Handel mit diesen Medizinprodukten zu ermöglichen. Der Schutz der Patienten sowie der Nutzer von Medizinprodukten steht immer an erster Stelle. Diese hohen Anforderungen sind durch spezifische Verordnungen und Normen festgelegt. Als Grundlage hierfür dienen die MDR 745/2017 sowie die ISO 13485. Eine Zertifizierung oder Zulassung, die diesen Normen und Standards entspricht, bietet sowohl Ihnen als auch Ihren Kunden Sicherheit und Gewährleistung.

MDR 745/2017 und ISO 13485 – Vertrauen durch Umsetzung

Die MDR 745/2017 stellt die aktuell gültige Medizinprodukteverordnung der Europäischen Union dar. Diese Verordnung sorgt dafür, dass Medizinprodukte, einschließlich aktiver implantierbarer medizinischer Geräte, eine exzellente Qualität und hohe Sicherheit aufweisen. Aus diesem Grund ist es unerlässlich, dass das Qualitätsmanagement Ihrer entwickelten Medizinprodukte im Einklang mit diesen Vorschriften erfolgt. Die spezifischen Anforderungen sind unter anderem im Artikel 10 der MDR 2017/745 detailliert beschrieben. Wir realisieren es durch eine Medizinprodukte-Beratung.

Die Anforderungen der MDR umfassen:

• Umsetzen von Regulierungsvorschriften und Bestimmungen
• Bestimmen und Einhalten der Konformitätsbewertungsverfahren
• Anforderungen an die Dokumentation von Medizinprodukten, deren Sicherheit, klinische Leistung und der Nachverfolgung
• Risikomanagement nach DIN EN SIO 14971
• Umsetzung von grundlegenden Sicherheits- und Leistungsfaktoren
• klinische Bewertung und klinische Nachbeobachtung
• umfassende Kontrollmechanismen

Ein effektives Qualitätsmanagementsystem (QM-System) sowie die passende QM-Dokumentation sind für Sie als Unternehmer oder Führungskraft in Ihrem Betrieb von entscheidender Bedeutung. Am besten erreichen Sie dies durch die konsequente Einhaltung und Implementierung der Norm DIN EN ISO 13485. Diese Norm bietet Ihnen einen klaren Rahmen und hilft Ihnen dabei, die Qualität Ihrer Prozesse und Produkte kontinuierlich zu verbessern und sicherzustellen. Indem Sie sich strikt an die Vorgaben halten, können Sie die Effizienz Ihrer Abläufe steigern und die Kundenzufriedenheit nachhaltig sichern.

Die DIN EN ISO 13485 ist eine weltweit anerkannte Norm, die es ermöglicht, Qualitätsmanagement-Systeme für Medizinprodukthersteller auf professionelle und präzise Weise umzusetzen. Es besteht eine gesetzliche Verpflichtung zur Anwendung der ISO 13485. Eine Zertifizierung durch benannte Stellen ist nur durch die Einhaltung dieser Norm möglich. Auch Regierungsbehörden nutzen diese Norm als Grundlage für ihre Prüfungen. Sie dient nicht nur dem Schutz der Patienten, sondern auch als wichtiger Wettbewerbsfaktor, den Unternehmen nutzen sollten, um sich auf dem Markt zu differenzieren. Insbesondere durch Audits von Fachleuten gemäß der ISO 13485 schafft man ein solides Fundament für ein Qualitätsmanagementsystem, das zur Optimierung von Prozessen und Produkten beiträgt.

Lassen Sie Ihr Unternehmen zertifizieren, schaffen Sie Vertrauen und einen Marktzugang!

Die MDR 745/2017 sowie die DIN EN ISO 13485 sind entscheidend, um die Qualität und Sicherheit von Medizinprodukten sicherzustellen. Eine Zertifizierung gemäß diesen Normen verleiht Ihnen ein anerkanntes Gütesiegel, das das Vertrauen Ihrer Kunden in Ihre Produkte und Dienstleistungen erheblich steigert. Wir bieten umfassende Unterstützung bei der Zulassung gemäß MDR 745/2017 und der Zertifizierung nach DIN EN ISO 13485 – kontaktieren Sie uns jetzt für eine Medizinprodukte-Beratung!

Zertifizierung nach DIN EN ISO 13485 – Unterstützung vom QM-Profi

Eine erfolgreiche Zertifizierung gemäß der ISO-Norm kann durch intensives Einarbeiten und eigenständiges Umsetzen der Anforderungen erreicht werden – hierfür stehen Ihnen unsere Handbücher zur Verfügung, die von dem erfahrenen QM-Experten Klaus Seiler, MSc. in Qualitätsmanagement, entwickelt und verfasst wurden. Seit 1997 führen wir Medizinprodukte-Beratungen durch Die optimalen Ergebnisse erzielen Sie jedoch, wenn Sie sich umfassend von einem erfahrenen Experten für Qualitätsmanagement im Bereich Medizinprodukte-Beratung beraten und unterstützen lassen. Nur auf diese Weise gewährleisten Sie eine individuell angepasste Implementierung Ihres Qualitätsmanagementsystems.

Unsere Medizinprodukte-Beratung ist ganz nach Bedarf und gewährleistet:

• Beratung durch den Experten
• Schulungen
• IST-Aufnahme
• Aktionstage
• Erstellung der Dokumentation
• Klassifizierungen der Medizinprodukte nach Klasse I, Is, Ir, IM, IIa, IIb oder III
• Definieren von Zielen und Maßnahmen
• Internes Audit als Vorbereitung des Prüfaudits
• Prüfung der Zertifizierungsfähigkeit
• Laufende Betreuung

Qualitätsmanagement Medizinprodukte: Beratung durch den Experten

Dank der umfassenden Expertise und langjährigen Erfahrung eines QM-Spezialisten wird das Qualitätsmanagementsystem Ihres Unternehmens auf eine solide Grundlage gestellt, die für Hersteller von Medizinprodukten unerlässlich ist. Bei QMKontakt.de sind wir Ihr spezialisierter Partner für sämtliche Belange rund um Qualitätsmanagementsysteme für Medizinproduktehersteller gemäß DIN EN ISO 13485. Darüber hinaus übernehmen wir die Planung und Umsetzung der Akkreditierung von Prüflaboren nach ISO 17025 oder bieten Unterstützung bei der Zertifizierung nach unterschiedlichen Standards.

1. Schulung

Die Schulung und Einweisung der Führungskräfte sowie der mit dem Projekt betrauten Personen umfasst eine Einführung in die relevante Norm sowie eine Erläuterung der weiteren Anforderungen und Nachweispflichten. In der grundlegenden Schulung zur Norm, werden praxisnahe Beispiele aus Ihrem Unternehmen verwendet, was es erleichtert, die abstrakten Normvorgaben zu verstehen und einen schnellen Zugang zum Thema Qualitätsmanagement zu finden.

2. IST-Aufnahme / Maßnahmenplan

Im Rahmen der IST-Aufnahme werden die Aufbauorganisation, die Integration der unterschiedlichen Tätigkeitsbereiche sowie der aktuelle Stand der Aktivitäten im Qualitätsmanagement erfasst. Zudem erfolgt eine Analyse und Festlegung der Kernprozesse in Ihrem Unternehmen. Auf Basis der Ergebnisse der IST-Aufnahme wird ein Maßnahmenplan erstellt, der als Leitfaden für die Implementierung Ihres Managementsystems dient. Anschließend wird die weitere Vorgehensweise erörtert und offene Fragen werden geklärt. Anhand der Ergebnisse bestimmen Sie den weiteren Beratungsablauf.

3. Erstellung der QM-Dokumentation

Variante I: Auf Grundlage des Maßnahmenplans und der Prozesslandschaft wird die QM-Dokumentation erstellt. Dazu gehört das umfassende Qualitätsmanagementhandbuch mit acht Kapiteln sowie die erforderlichen Prozessverfahrensanweisungen, Arbeitsanweisungen und Nachweisformulare.

Variante II: Gerne übernehmen wir die Erstellung der Qualitätsmanagementdokumentation für Sie, einschließlich aller notwendigen Prozessanweisungen, Arbeitsanweisungen und weiterer relevanter Dokumente. Grundlage bildet die Leistungsbeschreibung und zuvor gefundene regelungen.

4. Doku-Check (Variante I)

Der Doku-Check beinhaltet die Prüfung der Inhalte Ihres erstellten QM-Systems hinsichtlich ihrer Umsetzbarkeit sowie die Identifikation erforderlicher Anpassungen.

5. Übergabe / Aktionstag (Variante II)

Die Übergabe Ihres Managementsystems erfolgt vier Wochen vor dem internen Audit, begleitet von einer Einweisung vor Ort. Notwendige Anpassungen können direkt vorgenommen werden. Sollten keine offenen Fragen oder Anliegen bestehen und keine Unterstützung von uns erforderlich sein, kann dieser Termin entfallen. In diesem Fall erhalten Sie Ihre Dokumentation in digitaler Form.

6. Internes Audit

Das interne Audit wird nach der Implementierung des Managementsystems gemäß den Anforderungen der Norm DIN EN ISO 19011 (interne Audits) durchgeführt. Die Einhaltung der Norm wird in der abschließenden Bewertung im Auditbericht dokumentiert. Das interne Audit ermöglicht die Feststellung des Reifegrads des implementierten QM-Systems. Der schriftliche Auditbericht wird von unserem Lead-Auditor, Herrn Klaus Seiler, erstellt. Hier endet in der Regel der Beratungsablauf. Manchmal sind wir auch bei den externen Audits zuegegen.

7. Auswahl Zertifizierer (optional)

Die Zertifizierung wird durch eine von der DAkkS akkreditierte Zertifizierungsstelle durchgeführt. QMKontakt.de unterstützt Sie gerne bei der Suche und Auswahl des geeigneten Zertifizierers.

8. Förderung

Es gibt eine Vielzahl von Förderungen, die Ihnen bei der Einführung oder Weiterentwicklung eines Qualitätsmanagementsystems helfen erleichtern. Es ist immer wichtig, ausreichend Beratung in Anspruch zu nehmen.

Förderung für kleine und mittlere Unternehmen durch Unternehmensberatungen:
In diesem Programm werden allgemeine Beratungen und spezielle Beratungen zu Technologie- und Innovation, Außenwirtschaft, Qualitätsmanagement, Kooperation, Mitarbeiterbeteiligung und im Vorfeld eines Rating gefördert. Darüber hinaus werden u. a. Umweltschutz- und Arbeitsschutzberatungen, Beratungen von Unternehmerinnen oder Migranten/-innen zur Unternehmensführung sowie Beratungen von Unternehmen zur Fachkräftegewinnung und -sicherung durch demokrafieorientierte Personalkonzepte gefördert. Weiterführende Informationen erhalten Sie bei dem BAFA.

Ein Auszug aus der Internetseite der BAFA;

Die Förderrichtlinie gilt für alle ab dem 1. Januar 2023 gestellten Zuschussanträge. Innerhalb der Geltungsdauer der Förderrichtlinie (bis 31. Dezember 2026) kann jedes förderberechtigte Unternehmen maximal fünf in sich abgeschlossene Beratungen gefördert bekommen, jedoch nicht mehr als zwei pro Jahr. Ausschlaggebend ist hierbei der Zeitpunkt der Antragstellung.

Die Antragstellung, die Einreichung des Verwendungsnachweises (Antragstellung bis 19.08.2024) bzw. des Verwendungsnachweises (Antragstellung ab 20.08.2024) sowie das Hochladen zusätzlicher Unterlagen (Upload-Bereich) ist über das jeweilige Online-Portal möglich.

Bei der Beantragung der Förderleistung ist die Leistungsbeschreibung ein wichtiger Bestandteil.

Service und Grundsätze unseres Unternehmens

• Wir betrachten unsere Beratungsleistung / den Beratungsablauf als „Hilfe zur Selbsthilfe“. Der Know-how-Transfer zwischen uns und Ihrem Unternehmen erfolgt gezielt, damit Sie Ihr Managementsystem eigenständig und effektiv nutzen können.
• In Zukunft haben Sie einen externen Fachmann an Ihrer Seite. Viele unserer Kunden wenden sich regelmäßig mit aktuellen Qualitätsfragen an uns. Dieser Service steht Ihnen ebenfalls zur Verfügung und ist größtenteils kostenlos.
• Bei Fragen zur Qualität und der Kommunikation mit dem Zertifizierer unterstützen wir Sie gerne.

Der Beratungsablauf kann jederzeit individuell angepasst werden.

Warum ein QM-Handbuch? Die Kernbotschaft

Ein QM-Handbuch ist die einzige, freigegebene Referenz dafür, wie ein Unternehmen Qualität sicherstellt: wer was wann wie warum tut. Es bündelt Strategie, Prozesse, Rollen, Kennzahlen und Nachweise – und macht Qualität reproduzierbar, auditierbar und skalierbar.

 

Strategische Argumente

Ausrichtung & Fokus:

Verbindet Unternehmensziele mit Prozessen und Kennzahlen. Alle arbeiten auf dieselben Qualitäts- und Geschäftsergebnisse hin (OTD, Reklamationsquote, Marge).

Skalierbarkeit & Wachstum:

Sauber dokumentierte Kernprozesse sind die Grundlage für neue Produkte, Standorte, Dienstleister oder M&A-Integration.

Marktzugang & Wettbewerb:

Viele Kunden und Ausschreibungen verlangen ein nachweisbares QM-System; ein Handbuch vereinfacht die Lieferantenvorqualifizierung.

Wissenskapital:

Kritisches Prozesswissen bleibt im Unternehmen (Onboarding, Vertretung, Fluktuation).

Regulatorik & Normen

Nachweis der Konformität:

Strukturiert die Erfüllung von Norm- und Gesetzespflichten (z. B. ISO 9001; für MedTech: ISO 13485/MDR; für Energiemanagement: ISO 50001).

Audit-Readiness:

Auditoren suchen Kohärenz: Politik → Prozesse → Aufzeichnungen → Kennzahlen. Das Handbuch liefert diese „rote Linie“ auf einen Blick.

Lieferketten-Sicherheit:

Kunden erwarten kontrollierte Prozesse (Risikomanagement, Rückverfolgbarkeit, Änderungssteuerung). Das Handbuch zeigt: „Wir haben’s im Griff.“

Operative Exzellenz

Prozessklarheit & Rollen:

Verbindliche Abläufe, Verantwortungen (RACI), Schnittstellen — weniger Reibung, schnellere Entscheidungen.

Fehlervermeidung:

Standardisierte Arbeitsanweisungen (SOPs) senken Variabilität, reduzieren Nacharbeit/Schrott und CAPA-Last.

Änderungsmanagement:

Gesteuerte Änderungen (DCR/ECR/ECN) verhindern Chaos und Feldprobleme.

Digital anschlussfähig:

Basis für eQMS/DMS, Workflows, Formulare, automatisierte Freigaben.

Wirtschaftlicher Nutzen (Business Case)

Cost of Poor Quality (COPQ) senken:

Weniger Nacharbeit, Ausschuss, Reklamationen, Feldservice – direkte Ergebniswirkung.

Planbare Audits:

Geringere Auditzeit und weniger Findings bedeuten weniger Nacharbeit und schnelleres „Green Light“ bei Kunden.

Schnelleres Onboarding:

Kürzere Einarbeitungszeiten; geringere Abhängigkeit von Einzelpersonen.

Bessere Forecasts:

Reife Prozesse → stabilere Durchlaufzeiten → verlässlichere Liefertreue.

Daumenregeln:

• 10–30 % weniger Reklamationen in 12 Monaten durch saubere SOP-Einführung
• 20–40 % schnellere Audit-Durchläufe dank klarer Nachweisstruktur
• 15–25 % kürzere Einarbeitungszeit durch standardisierte Rollen/Prozesse (Branchen- und Reifegradabhängig – mit Ist-Daten belegbar)

Risiko & Compliance

Systematische Risiken im Griff:

Prozess- und Produkt-Risiken (FMEA), Lieferanten- und IT-Risiken werden dokumentiert, bewertet, mitigiert.

Kontinuität:

Notfall-/Vertretungsregelungen und Lenkung dokumentierter Informationen sichern Betrieb auch bei Ausfällen.

Rechts- & Vertragskonformität:

Reduziert Haftungsrisiken durch klare Anforderungen, Freigaben und Rückverfolgbarkeit.

Kunden & Markt

Vertrauen & Zufriedenheit:

Konsistente Qualität → bessere Bewertungen, geringere Kulanzkosten, längere Vertragslaufzeiten.

Beweisführung bei Eskalationen:

Saubere Nachweise (DHR/DMR, Prüfpläne, Abweichungen, CAPA) beschleunigen Ursachenanalyse und Einigung.

Kultur & Zusammenarbeit

Gemeinsame Sprache:

Einheitliche Begriffe/Definitionen reduzieren Missverständnisse zwischen Entwicklung, Produktion, Vertrieb, Service.

KVP verankern:

Regelkreise (Management-Bewertung, interne Audits, Kennzahlen-Reviews) machen Verbesserungen messbar und dauerhaft.

Ownership statt Bürokratie:

Klare Verantwortungen schaffen Handlungsspielraum mit Leitplanken.

Energie & Nachhaltigkeit

ISO 50001-Synergie:

QM-Handbuch kann Prozesse zu Energiezielen, Messkonzepten und Maßnahmenlenkung integrieren → nachweisbare Effizienzgewinne.

ESG-Berichte:

Strukturiertes Vorgehen erleichtert belastbare Nachhaltigkeitskennzahlen.

Internationalisierung

Standort-Harmonisierung:

Einheitlicher globaler Prozessrahmen mit lokaler Ausprägung (Annexes, Übersetzungen).

Audit-Synergien:

Gemeinsame Core-Doku reduziert Mehrfachaufwand.

 

Einwände antizipieren & entkräften

„Zu viel Bürokratie.“ → Lean-Dokumentation: Nur was Wert schafft und auditiert wird. Flussdiagramme, RACI, Checklisten statt Textwüsten.

„Kostet Zeit.“ → Zeit jetzt spart Zeit später: Weniger Eskalationen, schnellere Audits, weniger Nacharbeit.

„Wir machen das doch schon.“ → Gut! Das Handbuch konserviert Best Practices, schließt Lücken, macht sie reproduzierbar.

„Niemand liest das.“ → Rollenbasierte, aufgabennahe Doku im DMS/eQMS, verlinkt in Tools (ERP/MES/PLM); Suchfunktion & kurze One-Point-Lessons.

 

Empfohlene Struktur (kurz & praxistauglich)

Qualitätspolitik & Ziele (inkl. Kennzahlen)

Geltungsbereich, Begriffe, Rollen/RACI

Prozesslandkarte

Prozessbeschreibungen (Zweck, Input/Output, Risiken/Chancen, KPIs, Schnittstellen)

Dokumenten- & Aufzeichnungslenkung (DMS/eQMS-Regeln)

Risikomanagement & Änderungssteuerung

Lieferantenmanagement (Bewertung, Freigabe, Überwachung)

Entwicklung/Design Control (falls relevant)

Produktion & Prüfungen (IQ/OQ/PQ, SPC, Prüfmittel)

Abweichungen, CAPA, Reklamationen

Interne Audits & Managementbewertung

Schulung & Kompetenzmanagement

(Optional) Energie- & Nachhaltigkeitsprozesse

Anlagen/Referenzen (Formblätter, Checklisten, SOP-Register)

 

Kennzahlen, die überzeugen

• Kunde/Markt: Reklamationsquote, On-Time-Delivery
• Prozess: Durchlaufzeit, Nacharbeitsquote, First Pass Yield
• Compliance: Interne/Externe Audit-Findings, CAPA-Durchlaufzeit
• Wirtschaft: Garantiekosten
• Organisation: Einarbeitungsdauer

 

Qualitätsmanagement – neu gedacht.

Persönlich. Praxisnah. Wirksam.

In einer Welt, in der Normen und Regularien ständig wachsen, braucht Qualität mehr als nur Dokumentation – sie braucht Haltung, Struktur und Klarheit. Genau hier setzt QM Kontakt an: Wir machen Qualitätsmanagement zu einem echten Erfolgsfaktor für Ihr Unternehmen.

Ob Start-up, Mittelstand oder etablierter Marktführer – wir unterstützen Sie dabei, Ihre Prozesse zu verstehen, zu vereinfachen und so zu gestalten, dass sie effizient, normkonform und zukunftssicher sind. Statt trockener Handbücher liefern wir klare Konzepte, digitale Werkzeuge und praxisorientierte Lösungen, die im Alltag funktionieren.

Unsere Stärke liegt im persönlichen Austausch. Wir hören zu, stellen die richtigen Fragen und entwickeln mit Ihnen gemeinsam ein QM-System, das wirklich zu Ihrer Organisation passt – maßgeschneidert, transparent und audit­sicher.

Von der Einführung nach ISO 9001 bis hin zur Integration komplexer Anforderungen aus MDR, ISO 13485, ISO 14001, ISO 17024, ISO 17025; ISO 17065, ISO 27001, ISO 45001, oder ISO 50001: Wir begleiten Sie Schritt für Schritt – von der Analyse über die Umsetzung bis zur erfolgreichen Zertifizierung.

Weil Qualität kein Zufall ist, sondern das Ergebnis klarer Prozesse, motivierter Menschen und einer Vision, die funktioniert.
Lassen Sie uns gemeinsam Ihr Qualitätsmanagement neu denken – modern, digital und mit echtem Mehrwert.

Unser Wirkungsbereich ist 

Unsere Spezialisierungen:

• Medizinproduktehersteller, Produktion und Dienstleister nach den Standards DIN EN ISO 13485, DIN EN ISO 14971 und MDR 2017/745
• Industrie- und Dienstleistungsunternehmen DIN EN ISO 9001 und 14001
• Akkreditierungen gemäß DIN EN ISO IEC 17025, 17024 und 17065
• Weitere Normen wie DIN EN ISO 27001 (ISMS), DIN EN ISO 45001 (SGA), DIN EN ISO 50001 (EMS) & DIN EN ISO 22000/22002

Was kann bei der Akkreditierung schief gehen?

Eine Akkreditierung ist ein komplexer Prozess, bei dem verschiedene Aspekte eines Unternehmens, einer Organisation oder einer Prüfstelle bewertet werden. Es gibt mehrere potenzielle Herausforderungen und Fehlerquellen, die während der Akkreditierung auftreten können. Hier sind die häufigsten Probleme:

In Deutschland ist die Akkreditierungsstelle die DAkkS.de

 

 

 

1. Unzureichende Vorbereitung

- Fehlende oder unvollständige Dokumentation.
- Unklare oder inkonsistente Prozesse und Verfahren.
- Mangelnde Schulung der Mitarbeiter in Bezug auf die Anforderungen der Akkreditierungsnorm.

2. Nichtkonformität mit Normanforderungen

- Abweichungen von den Anforderungen der relevanten Normen (z. B. ISO/IEC 17025, ISO 15189).
- Lücken in der Implementierung eines Qualitätsmanagementsystems.
- Fehler bei der Einhaltung gesetzlicher oder regulatorischer Vorgaben.

3. Fehlende oder mangelhafte interne Audits

- Unzureichende Überprüfung und Validierung der eigenen Prozesse.
- Mangel an wirksamen Korrektur- und Vorbeugungsmaßnahmen.
- Fehlerhafte oder oberflächliche Berichterstattung in internen Audits.

4. Unzureichende Managementbeteiligung

- Fehlendes Engagement oder Unterstützung durch die Leitungsebene.
- Unklare Verantwortlichkeiten oder mangelnde Ressourcenzuweisung.
- Verzögerungen bei Entscheidungen oder der Umsetzung von Verbesserungsmaßnahmen.

5. Kommunikationsprobleme

- Mangelhafte Kommunikation zwischen Mitarbeitern, Abteilungen und externen Auditoren.
- Missverständnisse über die Anforderungen der Akkreditierungsstelle.

6. Technische Mängel

- Veraltete oder fehlerhafte Ausrüstung und Geräte.
- Unzureichende Kalibrierung und Wartung.
- Fehlerhafte Durchführung von Prüfungen oder Messungen.

7. Zeitmanagement

- Versäumnis, Deadlines für die Vorbereitung und Einreichung von Unterlagen einzuhalten.
- Verzögerungen bei der Behebung festgestellter Nichtkonformitäten.

8. Mängel in der Rückverfolgbarkeit

- Unzureichende Dokumentation, die die Rückverfolgbarkeit von Messungen, Ergebnissen oder Entscheidungen ermöglicht.
- Fehlerhafte Probenkennzeichnung oder Datenaufzeichnung.

9. Kulturelle oder organisatorische Barrieren

- Widerstand gegen Veränderungen innerhalb des Teams.
- Unzureichendes Verständnis für die Bedeutung der Akkreditierung.

10. Missverständnisse mit der Akkreditierungsstelle

- Falsches Verständnis der Anforderungen oder Erwartungen der Akkreditierungsstelle.
- Unklare oder unvollständige Antworten auf Rückfragen der Auditoren.

11. Korrekturmaßnahmen unzureichend

- Maßnahmen zur Behebung von Mängeln oder Abweichungen werden nicht wirksam umgesetzt.
- Wiederholte Feststellungen von denselben Fehlern bei Folgebewertungen.

So können Sie Probleme vermeiden:

1. Frühzeitige Vorbereitung: Setzen Sie klare Ziele und erstellen Sie einen detaillierten Plan

- Ziele definieren: Klären Sie, was Sie mit der Akkreditierung erreichen möchten (z. B. Marktzugang, Qualitätsnachweis, Kundenvertrauen). Diese Ziele sollten spezifisch, messbar, erreichbar, relevant und zeitgebunden (SMART) sein.
- Anforderungen verstehen: Analysieren Sie die relevanten Normen, Richtlinien und Anforderungen der Akkreditierungsstelle. Stellen Sie sicher, dass alle Beteiligten diese vollständig verstehen.
- Zeitplan erstellen: Erstellen Sie einen detaillierten Projektplan mit klaren Meilensteinen und Deadlines für jede Phase, z. B. Dokumentationserstellung, Implementierung, interne Audits und Akkreditierungsprüfung.
- Ressourcen bereitstellen: Identifizieren Sie die benötigten Ressourcen (Mitarbeiter, Budget, Werkzeuge) und stellen Sie sicher, dass diese verfügbar sind.
- Projektverantwortliche benennen: Ernennen Sie eine verantwortliche Person oder ein Team, das die Akkreditierung koordiniert und Fortschritte überwacht.

2. Qualitätssicherung: Führen Sie interne Audits durch, um Schwachstellen zu identifizieren

- Auditprogramm entwickeln: Legen Sie fest, wie häufig und in welchen Bereichen interne Audits durchgeführt werden sollen. Diese sollten alle Aspekte der relevanten Norm abdecken.
- Kompetente Auditoren einsetzen: Stellen Sie sicher, dass die internen Auditoren geschult und unabhängig von den zu prüfenden Prozessen sind.
- Checklisten verwenden: Nutzen Sie strukturierte Checklisten, um sicherzustellen, dass keine wichtigen Punkte übersehen werden.
- Nichtkonformitäten dokumentieren: Erfassen Sie alle festgestellten Abweichungen und potenziellen Risiken detailliert.
- Maßnahmen ableiten und verfolgen: Entwickeln Sie spezifische Korrekturmaßnahmen zur Behebung von Schwachstellen und überprüfen Sie deren Wirksamkeit regelmäßig.
- Lernprozess fördern: Nutzen Sie die Ergebnisse der internen Audits, um Prozesse kontinuierlich zu verbessern.
- Dokumentation erstellen: Nutzen Sie eine Vorlage von unserem Verlag.

3. Schulungen: Schulen Sie Ihre Mitarbeiter regelmäßig in Normanforderungen und Prozessen

- Schulungsbedarfsanalyse: Analysieren Sie, welche Kenntnisse und Fähigkeiten die Mitarbeiter für ihre Aufgaben in Bezug auf die Akkreditierung benötigen.
- Regelmäßige Schulungsprogramme: Führen Sie Schulungen zu Themen wie Normanforderungen, Qualitätsmanagement, Prozessverbesserung und Auditvorbereitung durch.
- Praktische Übungen: Ergänzen Sie theoretische Schulungen mit praktischen Übungen, z. B. durch simulierte Audits oder Fallstudien.
- Schulungsnachweise führen: Dokumentieren Sie, welche Mitarbeiter geschult wurden und welche Themen behandelt wurden. Dies kann während der Akkreditierung als Nachweis dienen.
- Feedback einholen: Sammeln Sie Rückmeldungen der Teilnehmer, um Schulungsprogramme zu verbessern und an aktuelle Bedürfnisse anzupassen.

4. Kommunikation: Stellen Sie sicher, dass alle Beteiligten regelmäßig informiert und eingebunden werden

- Informationsfluss etablieren: Richten Sie Kommunikationskanäle ein, z. B. regelmäßige Meetings, Newsletter oder eine zentrale Informationsplattform.
- Transparenz fördern: Informieren Sie alle Beteiligten frühzeitig über Anforderungen, Fortschritte und Herausforderungen im Akkreditierungsprozess.
- Feedback ermöglichen: Schaffen Sie Möglichkeiten für Mitarbeiter, Fragen zu stellen und Feedback zu geben. Dies fördert das Engagement und hilft, Missverständnisse zu vermeiden.
- Verantwortlichkeiten klären: Kommunizieren Sie klar, wer für welche Aufgaben verantwortlich ist, um Verzögerungen und Konflikte zu minimieren.
- Motivation stärken: Betonen Sie den Nutzen der Akkreditierung für die Organisation und die einzelnen Mitarbeiter, um deren Engagement zu fördern.

5. Zusammenarbeit mit Experten: Ziehen Sie ggf. externe Berater hinzu, um die Akkreditierungsanforderungen besser zu verstehen

- Geeignete Berater auswählen: Wählen Sie Experten aus, die über nachweisliche Erfahrung in der Vorbereitung auf Akkreditierungen und Kenntnisse der relevanten Normen verfügen.
- Kosten-Nutzen-Analyse: Bewerten Sie den Mehrwert eines Beraters im Verhältnis zu den Kosten. Ein Berater kann helfen, Fehler zu vermeiden, die teurer sein könnten als die Beratung selbst.
- Gemeinsame Planung: Arbeiten Sie eng mit dem Berater zusammen, um Schwachstellen zu identifizieren und effektive Maßnahmen zu entwickeln.
- Wissenstransfer sicherstellen: Nutzen Sie die Zusammenarbeit mit dem Experten, um intern Wissen aufzubauen und langfristig unabhängiger zu werden.
- Praxiserfahrung nutzen: Externe Berater bringen oft wertvolle Best Practices und Beispiele aus anderen Organisationen mit, die Ihnen helfen können, Ihren Prozess zu optimieren.

Eine strukturierte Herangehensweise in diesen Bereichen legt den Grundstein für eine erfolgreiche Akkreditierung und minimiert das Risiko, an typischen Herausforderungen zu scheitern.

Durch eine sorgfältige Planung und ein systematisches Vorgehen können viele dieser Risiken minimiert werden.