Aufbewahrungspflichten gemäß ISO 13485: Alles, was Sie wissen müssen

Überblick: Bedeutung der Aufbewahrungspflichten gemäß ISO 13485

Aufbewahrungspflichten gemäß ISO 13485 sind weit mehr als eine lästige Formalität – sie sind das Rückgrat für Transparenz, Nachvollziehbarkeit und Rechtssicherheit im Qualitätsmanagement von Medizinprodukteherstellern. Die Norm verlangt nicht nur, dass Dokumente und Aufzeichnungen erstellt werden, sondern auch, dass sie systematisch, nachvollziehbar und über definierte Zeiträume hinweg aufbewahrt werden. Wer hier nachlässig ist, riskiert im Ernstfall nicht nur ein Bußgeld, sondern auch den Verlust der Marktzulassung oder massive Reputationsschäden.

Die eigentliche Bedeutung dieser Aufbewahrungspflichten liegt darin, dass sie eine lückenlose Rückverfolgbarkeit ermöglichen – und zwar nicht nur für Behörden, sondern auch für das eigene Unternehmen. So kann im Schadensfall oder bei einer Rückrufaktion schnell und zweifelsfrei belegt werden, wie ein Produkt entwickelt, hergestellt und geprüft wurde. Das schafft nicht nur Vertrauen bei den Aufsichtsbehörden, sondern auch bei Kunden und Partnern.

Bemerkenswert ist, dass die ISO 13485 in diesem Punkt international Maßstäbe setzt: Sie harmonisiert die Anforderungen an die Dokumentation und deren Aufbewahrung über Ländergrenzen hinweg. Gerade für Unternehmen, die global agieren, ist das ein entscheidender Vorteil – denn unterschiedliche nationale Regelungen werden so in ein einheitliches System überführt. Das erleichtert nicht nur Audits, sondern reduziert auch das Risiko von Compliance-Lücken, die durch Missverständnisse zwischen verschiedenen Rechtssystemen entstehen könnten.

Unterm Strich: Die Bedeutung der Aufbewahrungspflichten nach ISO 13485 erschöpft sich nicht im bloßen „Abheften“ von Dokumenten. Sie ist ein aktiver Schutzmechanismus für Unternehmen, der Qualität, Sicherheit und Marktzugang langfristig absichert – und das in einer Welt, in der Nachweise und Transparenz immer wichtiger werden.

Kernanforderungen der ISO 13485 an das Dokumentenmanagement

ISO 13485 verlangt von Unternehmen, ein dokumentiertes Verfahren zur Kontrolle und Lenkung von Aufzeichnungen zu etablieren. Im Zentrum steht dabei, dass jede relevante Information – von Prüfberichten bis hin zu Änderungsprotokollen – eindeutig identifizierbar, auffindbar und gegen Verlust oder Manipulation geschützt ist. Klingt erstmal logisch, ist aber in der Praxis oft ein echtes Minenfeld, wenn Prozesse nicht sauber definiert sind.

• Nachvollziehbarkeit: Jede Änderung an Dokumenten muss lückenlos dokumentiert werden. Wer hat wann was geändert? Diese Frage muss jederzeit beantwortbar sein.
• Zugriffskontrolle: Nur autorisierte Personen dürfen Dokumente einsehen, bearbeiten oder löschen. Unbefugter Zugriff ist ein absolutes No-Go.
• Integrität und Lesbarkeit: Dokumente müssen über die gesamte Aufbewahrungsdauer lesbar und unverändert bleiben. Verblasste Ausdrucke oder korrumpierte Dateien? Keine Chance.
• Festlegung von Aufbewahrungsfristen: Die Fristen müssen für jede Dokumentenart klar definiert und dokumentiert sein. „Irgendwann mal wegwerfen“ reicht nicht.
• Gelenkte Vernichtung: Nach Ablauf der Frist müssen Dokumente so vernichtet werden, dass keine vertraulichen Informationen zurückbleiben. Datenschutz lässt grüßen.

Ein oft unterschätzter Punkt: Die ISO 13485 verlangt, dass diese Anforderungen nicht nur für Papierdokumente, sondern auch für elektronische Aufzeichnungen gelten. Das bedeutet, digitale Systeme müssen genauso sicher und nachvollziehbar funktionieren wie der klassische Aktenschrank. Wer hier nachlässig ist, bekommt spätestens beim Audit unangenehme Fragen gestellt.

Pro- und Contra-Tabelle: Aufbewahrungspflichten nach ISO 13485 im Überblick

Dokumentationsklassen und typische Dokumentenarten mit Aufbewahrungsfristen

ISO 13485 unterscheidet verschiedene Dokumentationsklassen, die jeweils eigene Aufbewahrungsfristen und Anforderungen mitbringen. Ein kurzer Blick auf die wichtigsten Typen und deren typische Fristen zeigt, wie unterschiedlich die Anforderungen ausfallen können – und warum ein pauschaler Ansatz selten funktioniert.

• Technische Dokumentation: Dazu zählen Unterlagen wie Risikomanagementakten, Design- und Entwicklungsdokumente, klinische Bewertungen und Gebrauchsanweisungen. Die Aufbewahrungsfrist liegt meist bei mindestens 5 Jahren nach Herstellung des letzten Produkts dieser Serie, bei Implantaten oft sogar 15 Jahre.
• Konformitätserklärungen und Zertifikate: Diese Nachweise über die Einhaltung regulatorischer Anforderungen müssen in der Regel ebenso 5 Jahre (bzw. 15 Jahre bei Implantaten) nach dem letzten Produkt aufbewahrt werden.
• Qualitätsmanagement-System-Dokumente: Prozessbeschreibungen, SOPs, Management-Reviews und Auditberichte fallen in diese Kategorie. Die Fristen variieren, sind aber häufig an die Produktfristen gekoppelt.
• Produktions- und Prüfaufzeichnungen: Fertigungsprotokolle, Prüfberichte und Rückverfolgbarkeitslisten müssen so lange aufbewahrt werden, wie das Produkt im Markt ist, plus die jeweilige Nachfrist laut Norm.
• Lieferanten- und Beschaffungsunterlagen: Verträge, Freigaben und Bewertungen von Lieferanten sind für die Dauer der Geschäftsbeziehung und meist darüber hinaus zu archivieren.
• Schulungsnachweise: Dokumente zu Mitarbeiterschulungen und Qualifikationen sollten mindestens so lange aufbewahrt werden, wie die jeweilige Person im Unternehmen tätig ist, oft auch länger.

Die genaue Frist hängt immer von der Produktart, dem Markt und spezifischen gesetzlichen Vorgaben ab. Wer hier auf Nummer sicher gehen will, dokumentiert die Fristen in einer eigenen SOP und passt sie regelmäßig an neue regulatorische Entwicklungen an.

Regulatorische Fristen: Was fordert die ISO 13485 und wie setzen Sie das konkret um?

Die ISO 13485 selbst gibt keine starren Zeiträume für die Aufbewahrung vor, sondern fordert, dass Unternehmen regulatorische und kundenspezifische Anforderungen identifizieren und umsetzen. Das bedeutet: Die konkrete Frist richtet sich immer nach den geltenden Gesetzen und den Anforderungen der jeweiligen Märkte, in denen das Produkt vertrieben wird.

In der Praxis orientieren sich viele Hersteller an folgenden Vorgaben:

• EU-Markt: Die Medical Device Regulation (MDR) verlangt für die technische Dokumentation und Konformitätserklärungen eine Aufbewahrung von mindestens 10 Jahren nach dem letzten Inverkehrbringen, bei Implantaten sogar 15 Jahre.
• USA: Die FDA fordert, dass relevante Aufzeichnungen mindestens 2 Jahre nach dem letzten Vertrieb oder bis zum Ablaufdatum des Produkts aufbewahrt werden – je nachdem, was länger ist.
• Weitere Märkte: Länder wie Kanada, Australien oder Japan haben eigene, teils abweichende Fristen. Ein Abgleich mit lokalen Regularien ist zwingend erforderlich.

So setzen Sie das konkret um:

• Analyse: Prüfen Sie alle relevanten Märkte und Produktarten auf spezifische Fristen.
• Dokumentation: Halten Sie die Fristen für jede Dokumentenart in einer verbindlichen SOP fest.
• Überwachung: Implementieren Sie ein System, das automatisch an ablaufende Fristen erinnert und Verantwortlichkeiten klar zuweist.
• Audit-Tauglichkeit: Stellen Sie sicher, dass Fristen und deren Einhaltung im Auditfall jederzeit nachweisbar sind.

Wer international tätig ist, sollte regelmäßig die regulatorischen Entwicklungen verfolgen und das eigene System flexibel anpassen. Einmal festgelegte Fristen sind kein Selbstläufer – sie brauchen Pflege und Kontrolle.

Beispiel aus der Praxis: Aufbewahrungsfristen technischer Dokumentation eines Medizinprodukts

Ein Praxisbeispiel: Ein mittelständischer Hersteller bringt ein neues, nicht resorbierbares Implantat auf den europäischen Markt. Die technische Dokumentation umfasst unter anderem die vollständige Risikomanagementakte, klinische Bewertungen, Entwicklungsprotokolle, Gebrauchsanweisungen und Prüfzertifikate.

Nach MDR und in Abstimmung mit ISO 13485 muss das Unternehmen sämtliche technische Unterlagen mindestens 15 Jahre nach dem letzten Inverkehrbringen des Produkts aufbewahren. Die Frist beginnt nicht mit der Erstzulassung, sondern mit dem Datum, an dem das letzte Exemplar des Implantats in Verkehr gebracht wurde. Das kann im Alltag zu überraschend langen Archivierungszeiten führen, besonders wenn ein Produkt viele Jahre produziert wird.

• Fallstrick Lebenszyklus: Wird ein Implantat zehn Jahre lang hergestellt, verlängert sich die Aufbewahrungsfrist um weitere 15 Jahre ab dem letzten Produktionsdatum. So kann die technische Dokumentation für einzelne Produkte insgesamt 25 Jahre oder länger archiviert werden müssen.
• Praktische Umsetzung: Der Hersteller legt eine SOP an, in der für jedes Produkt die Aufbewahrungsfrist klar dokumentiert ist. Ein digitales Archivierungssystem sorgt dafür, dass Dokumente revisionssicher gespeichert und Fristen automatisch überwacht werden.
• Audit-Vorbereitung: Für Audits werden regelmäßig Stichproben gezogen, um die lückenlose Nachvollziehbarkeit der technischen Dokumentation nachzuweisen. Fehlerhafte oder fehlende Unterlagen führen im schlimmsten Fall zum Verlust der CE-Kennzeichnung.

Gerade bei langlebigen Medizinprodukten ist es also entscheidend, die Aufbewahrungsfristen nicht zu unterschätzen und organisatorisch wie technisch optimal abzusichern.

Lebenszyklus von Dokumenten: Von der Erstellung bis zur sicheren Vernichtung

Der Lebenszyklus von Dokumenten im Kontext der ISO 13485 ist mehr als nur ein simples „Ablage-auf-Zeit“-Prinzip. Es geht um eine kontrollierte Abfolge von Schritten, die von der ersten Erstellung bis zur endgültigen, sicheren Vernichtung reichen – und jeder Abschnitt bringt eigene Fallstricke mit sich.

• Erstellung: Dokumente entstehen häufig in digitaler Form, oft im Rahmen von Entwicklungsprojekten oder Routineprozessen. Hier ist es entscheidend, dass jede Version eindeutig gekennzeichnet und autorisiert wird. Wer das nicht sauber trennt, riskiert Versionschaos und Nachweislücken.
• Freigabe und Lenkung: Nach der Erstellung folgt die formale Freigabe. Verantwortliche Personen müssen eindeutig benannt und deren Freigaben nachvollziehbar dokumentiert werden. Nur so bleibt die Kontrolle über den Informationsfluss erhalten.
• Aktive Nutzung: Während der Produktlebensdauer werden Dokumente regelmäßig herangezogen, aktualisiert oder ergänzt. Jede Änderung muss dabei protokolliert werden – und zwar so, dass auch Jahre später noch klar ist, wer was wann und warum geändert hat.
• Archivierung: Nach Abschluss der aktiven Phase wandern Dokumente ins Archiv. Die Anforderungen: dauerhafte Lesbarkeit, Schutz vor Manipulation und ein klar geregelter Zugriff. Hier zeigt sich, ob das System wirklich robust ist oder nur auf dem Papier existiert.
• Sichere Vernichtung: Nach Ablauf der Aufbewahrungsfrist müssen Dokumente so vernichtet werden, dass keine vertraulichen Informationen rekonstruiert werden können. Das gilt für Papier wie für digitale Daten – Stichwort: Datenschutz und Schutz von Geschäftsgeheimnissen.

Jeder dieser Schritte verlangt Sorgfalt, klare Verantwortlichkeiten und dokumentierte Verfahren. Wer den Lebenszyklus im Griff hat, erspart sich später viel Ärger – und kann im Auditfall gelassen bleiben.

Best Practices für ein sicheres und normkonformes Record Management

Best Practices für ein sicheres und normkonformes Record Management sind heute mehr als reine Routine – sie sind das Fundament für Vertrauen und Compliance. Es gibt einige bewährte Ansätze, die in der Praxis den Unterschied machen und Unternehmen vor bösen Überraschungen schützen.

• Digitale Archivierung mit Audit-Trail: Setzen Sie auf ein elektronisches Dokumentenmanagementsystem, das jede Änderung automatisch protokolliert. So lassen sich auch nach Jahren alle Bearbeitungsschritte lückenlos nachvollziehen.
• Regelmäßige Schulungen: Schulen Sie Mitarbeitende gezielt im Umgang mit Dokumentenlenkung und Aufbewahrungspflichten. Nur wer die Anforderungen versteht, kann sie auch im Alltag sicher umsetzen.
• Notfall- und Backup-Konzepte: Sorgen Sie für regelmäßige Backups und testen Sie die Wiederherstellung im Ernstfall. Ein Datenverlust ist kein Kavaliersdelikt, sondern kann existenzbedrohend sein.
• Systematische Fristenüberwachung: Implementieren Sie Erinnerungsfunktionen oder Fristenkalender, die Verantwortliche rechtzeitig auf auslaufende Aufbewahrungsfristen hinweisen.
• Stichproben und interne Audits: Führen Sie interne Überprüfungen durch, um Schwachstellen frühzeitig zu erkennen. So lassen sich Lücken schließen, bevor ein externer Auditor sie findet.
• Vertraulichkeit durch Zugriffsmanagement: Richten Sie rollenbasierte Zugriffsrechte ein, damit nur befugte Personen auf sensible Dokumente zugreifen können.
• Dokumentenklassifizierung: Ordnen Sie Dokumente nach Risikoklassen oder Vertraulichkeitsstufen, um gezielt Schutzmaßnahmen zu steuern.

Mit diesen Best Practices wird Record Management nicht zum Stolperstein, sondern zum echten Wettbewerbsvorteil – und zwar ganz ohne bürokratischen Overkill.

Empfohlene Maßnahmen für die dauerhafte Einhaltung der Aufbewahrungspflichten

Für die dauerhafte Einhaltung der Aufbewahrungspflichten nach ISO 13485 braucht es mehr als ein einmalig aufgesetztes System. Entscheidend ist, dass Prozesse regelmäßig überprüft, an neue regulatorische Entwicklungen angepasst und im Alltag konsequent gelebt werden. Hier ein paar gezielte Maßnahmen, die sich in der Praxis bewährt haben:

• Regelmäßige Gap-Analysen: Prüfen Sie mindestens jährlich, ob Ihr Dokumentenmanagement noch alle aktuellen gesetzlichen und normativen Anforderungen abdeckt. So erkennen Sie Lücken, bevor sie zum Problem werden.
• Change-Management für regulatorische Updates: Richten Sie einen festen Prozess ein, um Änderungen von Gesetzen, Normen oder Marktanforderungen systematisch zu erfassen und in Ihre SOPs und Arbeitsanweisungen zu überführen.
• Verantwortlichkeiten klar festlegen: Benennen Sie explizit Verantwortliche für die Überwachung und Umsetzung der Aufbewahrungspflichten. Eine eindeutige Zuordnung verhindert das berühmte „Niemand fühlt sich zuständig“-Phänomen.
• Dokumentierte Kontrollmechanismen: Führen Sie regelmäßige, dokumentierte Kontrollen durch – zum Beispiel Checklisten oder Freigabeprotokolle – um die Einhaltung der Fristen nachzuweisen.
• Kommunikation und Sensibilisierung: Informieren Sie Mitarbeitende proaktiv über neue Anforderungen oder geänderte Fristen. Ein kurzer Newsletter oder gezielte Updates im Intranet reichen oft schon aus, um das Bewusstsein hochzuhalten.
• Kooperation mit externen Experten: Ziehen Sie bei Unsicherheiten spezialisierte Berater oder Behörden hinzu, um komplexe Einzelfälle rechtssicher zu klären. Gerade bei internationalen Produkten kann das entscheidend sein.

Wer diese Maßnahmen verankert, macht aus Aufbewahrungspflichten keine lästige Pflicht, sondern einen aktiven Teil der eigenen Qualitätskultur.

Typische Fehler und wie Sie diese vermeiden

Typische Fehler bei der Umsetzung der Aufbewahrungspflichten nach ISO 13485 sind oft subtil, aber mitunter folgenreich. Viele Unternehmen tappen in Fallen, die auf den ersten Blick banal wirken, aber im Audit oder bei Behördenanfragen richtig teuer werden können.

• Unklare Versionierung: Häufig werden alte und neue Dokumentenversionen nicht eindeutig unterschieden. Das führt dazu, dass im Ernstfall niemand weiß, welche Fassung gültig ist. Abhilfe schafft ein konsistentes Versionsmanagement mit klaren Regeln für Nummerierung und Archivierung.
• Fehlende Dokumentation von Löschprozessen: Es wird zwar gelöscht, aber nicht dokumentiert, wann, wie und von wem. Das ist ein klassischer Stolperstein bei der Nachweisführung. Ein standardisiertes Löschprotokoll, das revisionssicher abgelegt wird, verhindert hier Ärger.
• Unzureichende Kontrolle bei ausgelagerten Dienstleistungen: Wird die Archivierung an externe Dienstleister vergeben, fehlt oft die Überwachung der Einhaltung aller Vorgaben. Regelmäßige Audits und vertraglich fixierte Qualitätsanforderungen sind hier Pflicht.
• Unvollständige Migration bei Systemwechseln: Beim Umstieg auf neue IT-Systeme gehen mitunter wichtige Alt-Dokumente verloren oder werden nicht vollständig übertragen. Ein detaillierter Migrationsplan mit Testläufen und Abnahmeprotokollen schützt vor Datenverlust.
• Missachtung länderspezifischer Fristen: Gerade international tätige Unternehmen übersehen oft, dass einzelne Märkte abweichende oder zusätzliche Aufbewahrungsanforderungen haben. Eine zentrale Übersicht über alle relevanten Fristen pro Markt ist hier Gold wert.

Wer diese Fehlerquellen kennt und gezielt adressiert, spart sich nicht nur Nerven, sondern schützt das Unternehmen auch vor echten Compliance-Risiken.

Fazit: So stellen Sie Audit-Sicherheit und Compliance dauerhaft sicher

Audit-Sicherheit und Compliance sind kein Zufallsprodukt, sondern das Ergebnis konsequenter Systematik und ständiger Weiterentwicklung. Wer sich nicht auf Routinen ausruht, sondern aktiv nach Optimierungspotenzial sucht, verschafft sich einen echten Vorsprung – und das nicht nur im Auditfall.

• Setzen Sie auf regelmäßige Selbstinspektionen, die gezielt Schwachstellen im Dokumentenmanagement aufdecken. Externe Audits sind wichtig, aber interne Prüfungen bringen oft die entscheidenden Details ans Licht.
• Nutzen Sie digitale Tools zur automatisierten Fristenüberwachung und Berichterstellung. So lassen sich Fehlerquellen minimieren und der Nachweis der Einhaltung wird zum Kinderspiel.
• Integrieren Sie Lessons Learned aus vergangenen Audits oder Vorfällen in Ihre Prozesse. Ein lebendiges Qualitätsmanagement wächst mit jeder Erfahrung und macht Sie resilient gegenüber neuen Herausforderungen.
• Stellen Sie sicher, dass Ihr System flexibel genug ist, um auf regulatorische Änderungen oder neue Produkttypen schnell reagieren zu können. Starre Strukturen sind selten auditfest.

Am Ende zählt, dass Sie nicht nur auf dem Papier, sondern auch im Alltag Compliance leben – mit klaren Prozessen, technischer Unterstützung und einer Unternehmenskultur, die Qualität als gemeinsames Ziel versteht.

FAQ zu Dokumentenmanagement und Aufbewahrungsfristen nach ISO 13485