Regulatorischer Druck

Regulatory pressure

EU GMP Annex 22 ist in Konsultation. Unvalidierte KI-Systeme in GxP-Prozessen sind ab Inkrafttreten ein direktes Audit-Risiko — unabhängig vom Nutzungsumfang.

EU GMP Annex 22 is in consultation. Unvalidated AI systems in GxP processes become a direct audit finding upon entry into force — regardless of usage scope.

Wettbewerbsdruck

Competitive pressure

Wettbewerber setzen KI bereits in Dokumentation, Abweichungsklassifizierung und Regulatory Intelligence ein. Wer wartet, verliert einen Vorsprung, den er nicht aufholt.

Competitors already use AI in documentation, deviation classification, and regulatory intelligence. Those who wait fall behind in ways that are hard to recover from.

Unkontrollierter Wildwuchs

Ungoverned internal use

Ohne Policy und Validierungsrahmen entstehen unkontrollierte KI-Piloten in einzelnen Teams — mit einer Datenlage, die kein Auditor akzeptiert.

Without policy and a validation framework, ungoverned AI pilots emerge in individual teams — creating a data situation no auditor will accept.

Regulatorischer Status

Jetzt handeln sichert Vorlaufzeit — nach Inkrafttreten bleibt keine Übergangsphase für laufende Systeme.

Acting now secures lead time — after entry into force, there is no transition period for running systems.

AUSLÖSER

Behördeninspektion oder internes Audit

Regulatory inspection or internal audit

BEFUND

KI-System im GxP-Prozess — nicht validiert, kein Audit-Trail

AI system in GxP process — not validated, no audit trail

Use-Case-Assessment

Use-case assessment

Welche KI-Systeme sind GxP-relevant? Welche nicht?

Which AI systems are GxP-relevant? Which are not?

Risikoklassifizierung

Risk classification

GAMP5-Kategorie, Entscheidungstiefe, Auswirkungsanalyse

GAMP5 category, decision depth, impact analysis

Validierungsplan

Validation plan

Teststrategie, Datenqualität, Explainability-Konzept

Test strategy, data quality, explainability concept

Implementierung & Test

Implementation & test

IQ/OQ/PQ, Bias-Tests, Audit-Trail-Aufbau

IQ/OQ/PQ, bias tests, audit trail setup

Monitoring & Review

Monitoring & review

Drift-Erkennung, Periodische Überprüfung, Revalidierung

Drift detection, periodic review, revalidation

01

Wann darf ich KI überhaupt einsetzen?

When am I even allowed to use AI?

Erst wenn der Nachweis geführt ist, dass Risiken bekannt, bewertet und durch geeignete Maßnahmen beherrschbar sind. Das ist keine Absichtserklärung — das ist ein auditierbarer Nachweis, der vor dem Einsatz vorliegen muss.

Only once proof is provided that risks are known, assessed, and controllable through appropriate measures. This is not a declaration of intent — it is an auditable proof that must exist before deployment.

02

Unter welchen Bedingungen ist der Einsatz vertretbar?

Under what conditions is deployment defensible?

KI darf keine qualitätsbestimmende Entscheidung selbst treffen. Der Human-in-the-Loop-Ansatz muss technisch erzwungen und nachvollziehbar sein — nicht durch interne Vereinbarung, die im Betrieb umgangen werden kann.

AI must not make quality-determining decisions on its own. The human-in-the-loop approach must be technically enforced and traceable — not through internal agreements that can be bypassed in operation.

03

Wie weise ich das nach?

How do I prove it?

Durch Prozessgestaltung, die den Nachweis strukturell erzeugt — nicht durch retrospektive Dokumentation eines bereits laufenden Systems. Der Prozess wird validiert, nicht das Modell.

Through process design that structurally produces the proof — not through retrospective documentation of an already running system. The process is validated, not the model.

Prozess vor System vor KI

Process before system before AI

Erst muss der Prozess vollständig verstanden und spezifiziert sein. Dann das System, das ihn umsetzt. Erst dann kommt KI — als Element innerhalb eines bereits validierten Schritts, nicht als Treiber der Prozessgestaltung.

First, the process must be fully understood and specified. Then the system that implements it. Only then does AI come — as an element within an already validated step, not as the driver of process design.

HITL technisch erzwingen, nicht vereinbaren

Enforce HITL technically, not by agreement

Ein Human-in-the-Loop, der auf Vereinbarungen basiert, die im Betrieb unterlaufen werden können, ist kein HITL. Er muss technisch erzwungen und im Audit-Trail nachvollziehbar sein — wer hat wann welche KI-Ausgabe gesehen, bewertet und freigegeben.

A human-in-the-loop based on agreements that can be bypassed in operation is not HITL. It must be technically enforced and traceable in the audit trail — who saw, evaluated, and approved which AI output, and when.

Die Qualität der Grundlagen entscheidet

The quality of foundations is decisive

Klare Rollen und Verantwortlichkeiten in der Organisation. Vollständige, konsistente Dokumentation. Sind diese Grundlagen nicht belastbar, gilt: Garbage in, garbage out — unabhängig davon, wie gut die KI-Architektur ist. Das ist das häufig unterschätzte Hauptproblem.

Clear roles and responsibilities in the organisation. Complete, consistent documentation. If these foundations are not solid: garbage in, garbage out — regardless of how good the AI architecture is. This is the most frequently underestimated core problem.

Camunda als Governance-Tool

Camunda as governance tool

Validated by Design braucht ein Tool, das Prozesslogik, HITL-Gates und Nachweisstrategie technisch implementiert und versioniert. Camunda ist nicht eine Option unter vielen — es ist das Tool, das diese Governance implementierbar und vor dem Auditor nachweisbar macht.

Validated by Design requires a tool that technically implements and versions process logic, HITL gates, and evidence strategy. Camunda is not one option among many — it is the tool that makes this governance implementable and provable before an auditor.