GxP Compliance in Microsoft 365

Microsoft 365 ist in regulierten Branchen längst als zentrale Plattform für die Zusammenarbeit etabliert. Gleichzeitig stellt sich die Frage, wie sich Kollaboration so gestalten lässt, dass GxP-Compliance-Anforderungen an Datenintegrität, Nachvollziehbarkeit und Governance zuverlässig eingehalten werden.

Microsoft 365 (M365) ist für viele Organisationen zur zentralen Plattform für die Zusammenarbeit geworden. Tools wie Microsoft Teams, SharePoint und OneDrive bilden den digitalen Arbeitsplatz – auch in regulierten Branchen wie Life Sciences, Pharma, MedTech oder im Gesundheitswesen.

In regulierten Umgebungen stellt sich damit eine zentrale Frage: Wie lässt sich Kollaboration so steuern, dass GxP-Anforderungen zuverlässig eingehalten werden?

Denn GxP („Good x Practice“) zielt darauf ab, Patientensicherheit, Produkt- und Prozessqualität sowie Datenintegrität sicherzustellen. Im Alltag wird das sehr konkret: Es geht darum, wer auf welche Inhalte zugreifen darf, welche Informationen als Records gelten, wie lange sie aufbewahrt werden müssen – und wie sich all das auch nach Änderungen, neuen Teams oder Systemanpassungen noch nachvollziehen lässt.

Dieser Beitrag ordnet die wichtigsten Aspekte ein und zeigt, worauf es im Microsoft-365-Umfeld ankommt – insbesondere im Zusammenspiel von Governance, Lifecycle- und Datenmanagement.

GxP ist ein Sammelbegriff für verschiedene „Good Practice“-Regelwerke, darunter:

• GMP (Good Manufacturing Practice)
• GCP (Good Clinical Practice)
• GLP (Good Laboratory Practice)
• GDP (Good Distribution Practice)

Gemeinsam ist ihnen das Ziel, Prozesse, Systeme und Daten so zu steuern, dass Qualität, Sicherheit und Integrität zuverlässig unterstützt werden.

Drei Prinzipien sind im M365-Kontext besonders relevant:

1. Intended Use & Risikobewertung
   Nicht jede Nutzung von Microsoft 365 ist automatisch GxP-kritisch. Entscheidend ist der konkrete Anwendungsfall und welche Auswirkungen Fehler oder Manipulationen auf Qualität, Sicherheit oder regulatorische Nachweise hätten.
2. Nachvollziehbarkeit
   In GxP-Kontexten muss belegt werden können, wer Inhalte erstellt, geändert, freigegeben oder gelöscht hat – und ob dies kontrolliert erfolgt ist.
3. Datenintegrität über den Lebenszyklus
   Datenintegrität ist keine rein technische Eigenschaft. Sie entsteht aus dem Zusammenspiel klar definierter Prozesse, Rollen, Kontrollen und dokumentierter Nachweise – insbesondere in kollaborativen Umgebungen.

Im Alltag zeigt sich die Umsetzung dieser Prinzipien an sehr konkreten Fragestellungen. Typische GxP-relevante Fragestellungen betreffen insbesondere:

• Zugriffe und Berechtigungen inkl. Reviews
• Änderungen und Protokollierung inkl. Audit-Readiness
• Records, Retention und Archivierung
• Standardisierung von Teams und SharePoint-Sites sowie deren Lifecycle
• Lifecycle-Management von Arbeitsräumen

Cloud-Plattformen wie Microsoft 365 bieten Vorteile wie Standardisierung, Skalierbarkeit und schnelle Verfügbarkeit. Gleichzeitig basiert das Modell auf „Software as a Service“: Der Anbieter betreibt die Plattform, während die Verantwortung für die Nutzung im regulierten Kontext weiterhin beim Unternehmen liegt.

Daraus ergibt sich in der Praxis ein Shared-Responsibility-Modell, das für die GxP-Compliance zentral ist.

Während der Anbieter Infrastruktur, Betrieb und Sicherheitsfunktionen bereitstellt, müssen Organisationen unter anderem die Lieferantenbewertung durchführen, den zulässigen M365-Einsatz definieren, Baseline-Konfigurationen und Governance-Regeln festlegen sowie Review-, Change-, Schulungs- und Dokumentationsprozesse etablieren.

Vor diesem Hintergrund stellt sich die Frage, wie sich diese Anforderungen im konkreten Betrieb umsetzen lassen.

Scope definieren: Welche M365-Anwendungen sind GxP-relevant?

Ein pragmatischer Einstieg beginnt mit der Frage, welche Anwendungsfälle tatsächlich GxP-relevant oder GxP-nah sind. Dabei geht es weniger um einzelne Tools als um Inhalte und Entscheidungen. Typische Beispiele sind:

• Qualitätssicherungsdokumente (z. B. SOP-Entwürfe oder Review-Prozesse)
• Validierungsdokumente, Testprotokolle oder Abweichungen
• Projektkommunikation mit Einfluss auf qualitätsrelevante Entscheidungen
• Zusammenarbeit mit externen Partnern wie CROs, Dienstleistern oder Auditoren

Entscheidend ist, welche Inhalte zusätzliche Kontrollen und nachvollziehbare Nachweise erfordern.

Shared Responsibility und Lieferanten-Nachweise

Im Cloud-Betrieb übernimmt der Anbieter die technische Basis und die Sicherheitsfunktionen, während Governance, Berechtigungen und Prozesse vom Unternehmen definiert und gesteuert werden müssen. Daraus ergeben sich unter anderem folgende Aufgaben:

• Durchführung einer Lieferantenbewertung (Supplier Assessment)
• Definition, welche M365-Dienste im jeweiligen Scope genutzt werden dürfen
• Festlegung von Baseline-Konfigurationen und Governance-Regeln
• Etablierung von Review- und Change-Prozessen

Identitäten, Rollen und Zugriffsrechte

Die Zugriffskontrolle ist einer der zentralen Hebel im GxP-Umfeld. In der Praxis bewährt sich ein klares Rollenmodell – etwa mit Owner-, Member- und Visitor-Rollen –, ergänzt durch definierte Regeln zur Vergabe von Verantwortlichkeiten. Wesentliche Maßnahmen sind:

• geregelte Genehmigungsprozesse für sensible Bereiche oder Berechtigungsänderungen
• regelmäßige Access Reviews mit nachvollziehbarer Dokumentation
• klare Leitplanken für interne und externe Freigaben, etwa hinsichtlich Links oder Laufzeiten

Gerade in stark kollaborativen Umgebungen reicht es nicht aus, Berechtigungen einmal zu vergeben. Sie müssen kontinuierlich überprüft und angepasst werden.

Externe Zusammenarbeit kontrolliert gestalten

Die Zusammenarbeit mit externen Partnern ist häufig notwendig, birgt jedoch zusätzliche Risiken.

In der Praxis bedeutet das, klar zu definieren, wer externe Gäste einladen darf, auf welche Bereiche sie Zugriff erhalten, ob diese Zugriffe zeitlich begrenzt sind und wie Verlängerungen, Entziehungen sowie die Dokumentation organisiert werden. Ohne solche Leitplanken bleiben Gastzugriffe häufig länger aktiv als notwendig oder Verantwortlichkeiten werden unklar.

Audit-Readiness als kontinuierlicher Prozess

Viele Systeme erzeugen Logs. Entscheidend ist jedoch, wie daraus belastbare Nachweise entstehen. In der Praxis hat sich eine Kombination aus klar definierten Review-Routinen, eindeutigen Verantwortlichkeiten, standardisierten Reports sowie der strukturierten Dokumentation von Abweichungen und Korrekturmaßnahmen bewährt. Ziel ist es, relevante Informationen nicht nur zu erfassen, sondern im Bedarfsfall schnell und nachvollziehbar bereitzustellen.

Change Management im Evergreen-Modell

In regulierten Umgebungen ist ein strukturiertes Change Management ein zentraler Bestandteil des Betriebs. Microsoft 365 wird kontinuierlich weiterentwickelt – Funktionen werden ergänzt, Sicherheitsmechanismen angepasst und Einstellungen verändert. Für Organisationen im GxP-Umfeld bedeutet das, Änderungen systematisch zu bewerten und – sofern relevant – in bestehende Prozesse zu integrieren. Ein praktikabler Ansatz besteht darin:

1. Änderungen regelmäßig zu identifizieren (z. B. über Release-Informationen, das Admin Center oder interne Beobachtungen)
2. die Relevanz für GxP-nahe Prozesse zu bewerten
3. Auswirkungen auf Rollen, Berechtigungen und Datenflüsse zu analysieren
4. geeignete Maßnahmen abzuleiten, beispielsweise in Form von Konfiguration, Schulung, Dokumentation oder Tests, und diese kontrolliert umzusetzen sowie nachvollziehbar zu dokumentieren

Darüber hinaus ist es sinnvoll, Änderungen nicht nur technisch zu erfassen, sondern auch inhaltlich einzuordnen. Ein strukturierter Überblick über neue oder geänderte Funktionen kann helfen, deren Relevanz für regulierte Arbeitsweisen systematisch zu bewerten. 

Ein möglicher Ansatz besteht darin, Änderungen gebündelt darzustellen und hinsichtlich ihrer Auswirkungen auf GxP-relevante Szenarien einzuordnen, etwa mithilfe von Lösungen wie dem M365 News Advisor. Dadurch wird das Evergreen-Modell der Cloud transparenter: Änderungen werden nicht nur technisch registriert, sondern können gezielt bewertet und – falls erforderlich – in bestehende Governance- und Validierungsprozesse integriert.

Beispiel: SharePoint- und Teams-Lifecycle im GxP-Kontext

Wenn Microsoft 365 im regulierten Umfeld eingesetzt wird, entscheidet der Alltag über die Wirksamkeit der GxP-Compliance: Wie entstehen Arbeitsräume, wie werden sie betrieben und wie werden sie beendet?

Genau hier setzt ein Lifecycle- und Datenmanagement-Ansatz an. Insbesondere bei Teams und SharePoint-Sites zeigt sich, wie wichtig klar definierte Prozesse für die Erstellung, Nutzung und Abschluss von Arbeitsräumen sind, um Datenintegrität, Nachvollziehbarkeit und kontrollierte Zugriffe über den gesamten Lebenszyklus hinweg sicherzustellen.

Die Wirksamkeit der GxP-Compliance zeigt sich im täglichen Betrieb. Ohne klare Regeln für den Lifecycle von Arbeitsräumen entstehen schnell Inkonsistenzen und Risiken. Typische Risiken ohne klare Governance zeigen sich insbesondere in folgenden Bereichen:

• ad hoc erstellte Teams und Sites
• unklare Verantwortlichkeiten
• dauerhaft aktive Gastzugänge ohne Review
• unkontrolliert wachsende Berechtigungen
• fehlende oder inkonsistente Aufbewahrungsregeln
• erschwerte Audit-Nachweise

Demgegenüber stehen strukturierte Governance-Ansätze, die genau diese Risiken adressieren:

• standardisierte Templates und Namenskonventionen
• kontrollierter Self-Service mit Genehmigungen
• definierter Gast- und Berechtigungs-Lifecycle
• regelmäßige Reviews
• Reporting und Monitoring

Wie sich diese Zusammenhänge im Alltag konkret auswirken, zeigt die folgende Gegenüberstellung:

GxP-taugliche Kollaboration in Microsoft 365 entsteht nicht durch einzelne Funktionen. Entscheidend ist das Zusammenspiel aus klar definiertem Scope, kontrollierten Zugriffen, nachvollziehbaren Reviews, einem durchgängigen Lifecycle-Modell sowie strukturiertem Daten- und Records-Management.

Gerade im dynamischen Cloud-Umfeld wird deutlich, wie wichtig Transparenz und Einordnung sind, um Änderungen systematisch bewerten und in bestehende Prozesse integrieren zu können.

NAVOO® ist ein Governance-Ansatz auf Basis von Microsoft 365. Die Lösung ist kein GxP-Zertifikat und ersetzt keine Validierung, kann jedoch dazu beitragen, definierte Governance-Regeln im operativen Betrieb konsistenter umzusetzen. Der Fokus liegt dabei insbesondere auf der praktischen Anwendung im Alltag: Während Richtlinien und Prozesse häufig definiert sind, besteht die Herausforderung in ihrer konsequenten Umsetzung über den gesamten Lifecycle hinweg.

Typische Unterstützungspunkte sind:

• standardisierte Provisionierung von Teams und SharePoint-Sites, etwa durch Templates, Namenskonventionen und klar definierte Verantwortlichkeiten
• strukturiertes Gast- und Berechtigungsmanagement über den gesamten Lifecycle hinweg, inklusive Einladung, Verlängerung und Entzug von Zugriffen sowie temporärer Rechte zur Umsetzung des Least-Privilege-Prinzips
• Lifecycle-Funktionen für Arbeitsräume, beispielsweise für Archivierung, Wiederherstellung oder regelbasiertes Entfernen
• Datenmanagement-Bausteine wie Duplikatsprüfungen und strukturierte Archivierungsansätze, etwa im Kontext von Lösungen wie NAVOO® Smart Archive
• Transparenz und Nachvollziehbarkeit durch Reporting, Monitoring und unterstützte Review-Prozesse zur Sicherstellung der Audit-Readiness

Wenn Microsoft 365 in einem GxP-nahen Kontext eingesetzt wird oder geplant ist, bietet sich eine strukturierte Standortbestimmung an. Dabei geht es insbesondere um die Frage, welche Use Cases im Scope liegen, welche Kontrollen bereits etabliert sind und an welchen Stellen standardisierte Prozesse oder nachvollziehbare Nachweise fehlen. Auf dieser Grundlage lässt sich auch beurteilen, ob und in welchem Umfang eine Governance-Erweiterung – etwa durch NAVOO® – sinnvoll sein kann.