ISO 13485 Personnel-Klausel 6.2 entscheidet MedTech-Audits — wie Hires regelkonform vetten

Situation: MedTech-Hersteller in DACH und EU operieren in einem Regulierungsdreieck aus ISO 13485:2016 (Quality Management System for Medical Devices), EU 2017/745 (Medical Device Regulation, MDR) und — bei US-Markt-Zugang — 21 CFR Part 820 (FDA Quality System Regulation). Alle drei Regelwerke verlangen explizit nachweisbare Personalkompetenz und dokumentierte Eignungsprüfung. Komplikation: Während Quality-Manager und Regulatory-Affairs-Direktoren die Schulungsdokumentation nach Eintritt typischerweise sauber führen, fehlt in vielen MedTech-Häusern die Eintrittsdokumentation — also der Nachweis, dass die für Klassifikation IIa, IIb oder III relevanten Mitarbeiter vor Aufgabenübernahme tatsächlich qualifiziert waren. Im Notified-Body-Audit (BSI, TÜV Süd, TÜV Rheinland, DEKRA, Dare!!) und im FDA-Inspection-Workflow ist das eine wiederkehrende Beanstandung. Resolution: ISO 13485 Klausel 6.2 (Human Resources) lässt sich nur durch strukturiertes, dokumentiertes Personnel-Vetting beim Eintritt belastbar erfüllen. Wir zeigen, wie MedTech-Quality-Funktion und HR die Klausel-Anforderungen MDR-konform und DSGVO-konform operationalisieren — und welche Vetting-Tiefen je Rollen-Klassifikation angemessen sind. Hauptbehauptung: ISO 13485:2016 Klausel 6.2 ist nicht durch Schulungsnachweise allein erfüllbar. Sie verlangt eine vor-Eintritts-Eignungsprüfung mit reproduzierbarer Methodik, dokumentierter DSGVO-Rechtsgrundlage und auditfähiger Aufbewahrung — sonst sind MDR-Konformitätserklärung und FDA-510(k)-Status auf Sand gebaut.

1. ISO 13485:2016 Klausel 6.2 verlangt mehr als Schulungslisten

Die Norm DIN EN ISO 13485:2016 „Medizinprodukte — Qualitätsmanagementsysteme — Anforderungen für regulatorische Zwecke" ist über die Internationale Organisation für Normung beziehbar: ISO 13485:2016 — Medical devices — Quality management systems. Klausel 6.2 (Human Resources) verlangt vom Hersteller, dass alle Personen, die Tätigkeiten ausführen, die die Produktqualität beeinflussen, „auf der Grundlage angemessener Ausbildung, Schulung, Fertigkeiten und Erfahrung kompetent sein" müssen. Klausel 6.2.2 verlangt explizit die Dokumentation: Verfahren zur Feststellung der erforderlichen Kompetenz, Bereitstellung der Schulung, Bewertung der Wirksamkeit und Bewahrung der Aufzeichnungen.

Die Subtilität — und der Auditfehler-Klassiker: Klausel 6.2 setzt zwingend bei der Eignungsfeststellung an, nicht erst bei der Schulung. Die Reihenfolge ist nicht optional. „Schulungsbasierte Kompetenzherstellung" ist nur dann valide, wenn die Ausgangs-Qualifikation des Mitarbeiters dokumentiert und bei Eintritt geprüft wurde. Audit-Findings „6.2.1 — Competence not demonstrated prior to task assignment" sind in den jährlichen Notified-Body-Berichten der Top-5-Benannten-Stellen die häufigste personalbezogene Major-Non-Conformity (Quelle: konsolidierte Public-Statements der Notified Bodies aus EU NANDO Database; NANDO — Notified and Designated Organisations).

Konkret heißt das für MedTech-HR: Wer einen Production-Operator für Klasse-III-Produktion einstellt, muss vor Aufgabenübernahme dokumentiert haben, dass dieser Operator durch Vorbeschäftigung, formale Qualifikation oder dokumentierte interne Vorbereitung tatsächlich für die Aufgabe geeignet ist. Die spätere Schulung am Arbeitsplatz baut darauf auf — sie ersetzt sie nicht.

2. MDR Artikel 10 und 15 verlängern die Personnel-Pflichten in das Hersteller-Pflichtenheft

Die EU-Verordnung 2017/745 (Medical Device Regulation, MDR) ergänzt ISO 13485 nicht — sie geht in Personnel-Aspekten teils darüber hinaus. MDR-Artikel 10 (Allgemeine Pflichten der Hersteller) und MDR-Artikel 15 (Person responsible for regulatory compliance, PRRC) etablieren konkrete personelle Anforderungen, die im Notified-Body-Audit nachweispflichtig sind. Volltext: EU 2017/745 — Medical Device Regulation (EUR-Lex).

MDR-Artikel 15 verlangt die Benennung mindestens einer „für die Einhaltung der Regulierungsvorschriften verantwortlichen Person" (PRRC) mit nachgewiesener formaler Qualifikation oder dokumentierter Berufserfahrung. Die Anforderungen sind hart: entweder Hochschulabschluss in einem relevanten Fachbereich plus mindestens ein Jahr Berufserfahrung in regulatorischen Angelegenheiten oder Qualitätsmanagement bei Medizinprodukten — oder vier Jahre Berufserfahrung in regulatorischen Angelegenheiten oder Qualitätsmanagement bei Medizinprodukten ohne Hochschulabschluss.

Die HR-Pointe: PRRC-Hires werden im Notified-Body-Audit namentlich geprüft. Wenn die PRRC-Qualifikation nicht durch dokumentierte Vorbeschäftigungsprüfung belegt ist — wenn der Lebenslauf also nicht durch Indicium oder einen vergleichbaren Background-Check-Provider verifiziert wurde — entsteht eine Audit-Lücke mit unmittelbarer Wirkung auf MDR-Konformitätserklärung und CE-Kennzeichnungs-Status.

In ICP-7-Mandaten sehen wir wiederholt PRRC-Lebensläufe mit unverifizierten Berufserfahrungen — etwa „4 Jahre Quality Manager bei Hersteller X". Bei strukturierter Verifikation stellt sich in Einzelfällen heraus, dass die behauptete Position so nicht bestand oder die Dauer geringer war. Im Auditfall ist das eine kritische Beanstandung mit Folge auf Marktzulassung.

3. 21 CFR Part 820 — wer in die USA exportiert, braucht US-Standard-konformes Vetting

MedTech-Hersteller mit US-Markt-Aktivität unterliegen zusätzlich der FDA Quality System Regulation (21 CFR Part 820). Die US-Behörde harmonisiert Part 820 schrittweise mit ISO 13485 — der finale Quality Management System Regulation Final Rule wurde im Februar 2024 veröffentlicht und tritt bis 2026 in Kraft. Quelle: FDA — Quality System (QS) Regulation/Medical Device Current Good Manufacturing Practices (CGMP).

21 CFR 820.25 (Personnel) verlangt, dass „each manufacturer shall have sufficient personnel with the necessary education, background, training, and experience". Die FDA-Inspection-Praxis (Form 483 Observations) zeigt, dass Personnel-Findings 2023 etwa 8 Prozent aller Beanstandungen in MedTech-Inspections ausmachten — laut FDA Inspection Observations Annual Report 2023 (FDA-Webportal Inspection Classification).

Die operative Konsequenz für DACH-MedTech-Hersteller mit US-Geschäft: Das Personnel-Vetting muss zwei Standards zugleich genügen — DSGVO-konform für die EU-Datenverarbeitung und 21-CFR-820.25-konform für die FDA-Audit-Standpunkt. Indicium verarbeitet Personnel-Data nach Art. 28 DSGVO ausschließlich auf EU-Servern und liefert Berichte in einem Format, das in FDA-Inspections als „Quality Records" nach 21 CFR 820.180 anerkennungsfähig ist. Mehr zur Methodik unter Indicium MedTech-Personnel-Compliance.

4. Risikoklassifikation MDR-Klassen versus Vetting-Tiefe

Die MDR unterscheidet vier Risikoklassen — Klasse I, IIa, IIb und III — mit aufsteigendem Patienten-Risiko und entsprechend aufsteigender regulatorischer Anforderung. Aus diesem Klassifikations-Schema lässt sich für MedTech-HR ein Vetting-Tiefen-Modell ableiten:

Klasse-I-Hires (geringes Risiko, z.B. Stethoskope, einfache OP-Bekleidung). Standard-Vetting: Lebenslauf-Verifikation, Strafregister, formale Qualifikationsnachweise. Tiefe wie für vergleichbare Industrie-Hires. Klasse-IIa-Hires (mittleres Risiko, z.B. Hörgeräte, einige Diagnostika). Erweitertes Vetting: zusätzlich strukturierte Vorbeschäftigungs-Referenzen, Adverse-Media-Screening, ggf. Berufsverbands-Recherche. Klasse-IIb- und Klasse-III-Hires (hohes bis höchstes Risiko, z.B. Beatmungsgeräte, Implantate, Stents). Tiefes Vetting: zusätzlich Sanktionslisten-Abgleich, dokumentierte Disziplinar-Recherche bei Vorarbeitgebern (soweit DSGVO-zulässig), erweiterte Adverse-Media-Suche über mehrere Sprachräume. PRRC-Hires (MDR-Artikel 15) — unabhängig von Risikoklasse. Höchste Vetting-Tiefe: dazu zwingend formale Qualifikations-Verifikation (Hochschulabschluss durch direkte Bestätigung der ausstellenden Hochschule oder durch hochschuleigene Prüfportale), dokumentierte Berufserfahrungs-Verifikation, PRRC-Qualifikationsmatrix nach MDR-Artikel 15 Abs. 1.

Diese Klassifikation muss in einer Vetting-Policy dokumentiert sein — und die Policy muss durch Geschäftsleitung freigegeben sein. „Wir vetten halt nach Gefühl" ist im Audit keine Verteidigung. Notified Bodies erwarten dokumentierte Klassifikation als Element des QMS nach ISO 13485 Klausel 4.2.4 (Control of records).

5. DSGVO-Rechtsgrundlage je Vetting-Schritt — die operative Verteidigungslinie

MedTech-Hersteller in der EU stehen vor dem Spannungsverhältnis zwischen MDR-Pflicht zu nachweisbarer Personalkompetenz und DSGVO-Pflicht zu Datenminimierung. Der Konflikt ist scheinbar — er löst sich durch dokumentierte, schritt-individuelle Rechtsgrundlagen auf.

Lebenslauf-Verifikation und Vorbeschäftigungs-Referenzen: Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung) und Art. 88 DSGVO i.V.m. § 26 BDSG (Beschäftigungskontext). Quelle: BDSG § 26. Strafregisterauszug: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse aus Aufsichtspflichten und ISO 13485-Konformität), bei besonderen Kategorien zusätzlich Art. 9 DSGVO. Erforderlichkeitsprüfung dokumentiert je Stelle. Sanktionslisten-Abgleich: Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung aus EU-Sanktionsverordnungen, etwa EU 2580/2001) — bei MedTech-Hires in regulatorisch sensiblen Funktionen. Adverse-Media-Screening: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse aus § 130 OWiG-Aufsichtspflicht und ISO 13485-Klausel-6.2-Erfüllung), strenge Verhältnismäßigkeitsprüfung, dokumentierte Suchquellen. PRRC-Qualifikations-Verifikation (MDR Artikel 15): Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung aus MDR Artikel 15 Abs. 6) — die MDR selbst macht die Verifikation rechtlich erforderlich, nicht nur opportun.

Drei bis fünf dokumentierte Rechtsgrundlagen je Vetting-Vorgang — das ist die Tiefe, die einer Datenschutzbehörden-Anfrage und einem Notified-Body-Audit gleichermaßen standhält. Die EU-Datenschutz-Grundverordnung im Volltext: Verordnung (EU) 2016/679 (DSGVO, EUR-Lex).

6. Continuous-Monitoring-Komponente — was ISO 13485 Klausel 6.2.1 Satz 3 implizit verlangt

ISO 13485 Klausel 6.2.1 verlangt die Aufrechterhaltung der Kompetenz, nicht nur deren initiale Feststellung. In der Audit-Praxis interpretieren Notified Bodies das zunehmend als Pflicht zu Continuous-Monitoring — also zur fortlaufenden Eignungsprüfung über die gesamte Beschäftigungsdauer.

Konkret: Adverse-Media-Hits gegen einen PRRC oder einen Klasse-III-Production-Manager nach Eintritt sind QMS-relevant. Sanktionslisten-Treffer durch geänderte EU-Sanktionsverordnungen sind QMS-relevant. Disziplinarische Vorfälle, die regulatorische Eignung infrage stellen, sind QMS-relevant. Der MedTech-Hersteller muss durch dokumentierten Prozess sicherstellen, dass diese Veränderungen erfasst und bewertet werden — sonst ist die Klausel-6.2-Aufrechterhaltung formal nicht erfüllt.

In MedTech-Mandaten von Indicium konfigurieren wir das Continuous Monitoring quartalsweise oder semi-annuell für PRRC, Klasse-III-Funktionen und MDR-Schlüsselrollen. Der Monitoring-Bericht ist in das QMS einbezogen und stellt eine Quality Record nach ISO 13485 Klausel 4.2.4 dar — auditfest. Mehr zur Methodik unter Indicium DSGVO-konformer Pre-Employment-Background-Check.

7. Notified-Body-Audit-Vorbereitung — die Frage-Antwort-Logik in der Praxis

Aus den Audit-Berichten der DACH-Notified-Bodies (TÜV Süd, TÜV Rheinland, DEKRA Certification GmbH, BSI Group Deutschland) zeichnen sich konkrete Frage-Cluster ab, die im personellen Audit-Strang gestellt werden. Das hilft Quality-Managern und Regulatory-Direktoren bei der Audit-Vorbereitung.

Frage-Cluster A — Eintritts-Eignung: „Zeigen Sie uns für die letzten fünf Production-Operator-Hires in Klasse-III-Produktion die dokumentierte Eignungsfeststellung vor Aufgabenübernahme." Antwort verlangt: Vetting-Bericht plus Qualifikations-Matrix plus Schulungs-Erfolgs-Nachweis je Person. Frage-Cluster B — PRRC-Qualifikation: „Wie ist die formale Qualifikation Ihrer PRRC nach MDR Artikel 15 verifiziert worden? Zeigen Sie uns die Hochschul-Direktbestätigung." Antwort verlangt: dokumentierte Universitäts-Direktbestätigung, nicht Lebenslauf-Selbstauskunft. Frage-Cluster C — Continuous-Monitoring: „Wie reagiert das Unternehmen auf Veränderungen im personellen Eignungs-Profil bestehender Mitarbeiter — etwa Sanktions-Listen-Änderungen, Adverse-Media-Hits oder gerichtliche Vorgänge?" Antwort verlangt: dokumentierten Continuous-Monitoring-Prozess plus Eskalationsregelung. Frage-Cluster D — DSGVO-Konformität: „Welche Rechtsgrundlagen nutzen Sie je Vetting-Schritt? Wie ist die Erforderlichkeit dokumentiert?" Antwort verlangt: Rechtsgrundlagen-Matrix plus Verhältnismäßigkeits-Begründung je Datenkategorie. Frage-Cluster E — Vendor-Management des Vetting-Providers: „Wenn Sie externe Background-Check-Provider nutzen — wie ist die DSGVO-Auftragsverarbeitung dokumentiert? Wo werden die Daten gehalten? Welche Sub-Auftragsverarbeiter werden eingesetzt?" Antwort verlangt: Art.-28-DSGVO-Vereinbarung plus Datenfluss-Dokumentation plus Sub-Auftragsverarbeiter-Liste.

In der Indicium-Praxis sehen wir, dass Pharma- und MedTech-Quality-Funktionen, die diese fünf Frage-Cluster vorab durchsimulieren und mit dokumentiertem Material vorbereiten, Notified-Body-Audits ohne Major-Non-Conformities im personellen Strang abschließen. Wer es nicht vorbereitet hat, riskiert Findings, die das gesamte CE-Zertifikat in Verzögerung oder Eingeschränktheit bringen können.

8. EU-IVDR-Spezifika — was In-vitro-Diagnostika-Hersteller zusätzlich brauchen

Hersteller von In-vitro-Diagnostika unterliegen seit 2022 der EU-Verordnung 2017/746 (IVDR) — nicht der MDR. Volltext: EU 2017/746 — In Vitro Diagnostic Medical Devices Regulation (EUR-Lex). Personnel-Anforderungen sind weitgehend parallel zur MDR ausgestaltet — IVDR Artikel 15 etabliert ein PRRC-Pendant mit identischen Qualifikations-Mindestanforderungen.

Spezifisch für IVDR-Hires: Klasse-D-IVD-Produkte (höchste Risikoklasse, etwa HIV-Tests, SARS-CoV-2-PCR mit hohem Pandemie-Bezug) erfordern besondere Tiefe in der Personnel-Compliance. EU-Referenzlaboratorien-Audits prüfen die personellen Strukturen explizit. Hersteller im IVDR-Klasse-D-Segment sollten ihr Personnel-Vetting-Modell expliziter dokumentieren als MDR-Hersteller in vergleichbaren Klassen — die Audit-Frequenz ist tendenziell höher.

9. Pflichten-Synthese für MedTech-Quality-Funktion und HR

Aus ISO 13485 Klausel 6.2, MDR-Artikel 10 und 15, 21 CFR Part 820.25 sowie DSGVO Art. 6/9/26 BDSG folgt ein integriertes Pflichtenheft, das in jedem MedTech-Hersteller-QMS verankert sein sollte:

• Vetting-Policy mit dokumentierter Risikoklassifikation je Rollen-Familie und je MDR-Klassen-Beitrag.

• Vetting-Tiefen-Modell mit definierten Mindestquellen je Stufe und je MDR-Klasse.

• PRRC-spezifischer Vetting-Workflow mit formaler Qualifikations-Direktverifikation.

• DSGVO-Rechtsgrundlagen-Matrix je Vetting-Schritt, mit Aufbewahrungs- und Löschkonzept.

• Continuous-Monitoring-Prozess für korruptions- und qualifikationsexponierte Rollen, dokumentiert im QMS.

• Externe Vetting-Provider mit DSGVO-Auftragsverarbeitung nach Art. 28 DSGVO und EU-Server-Datenhaltung.

• Audit-Trail-Aufbewahrung für Notified-Body- und FDA-Inspections-Bedarf.

Pharma-Quality-Manager und MedTech-Regulatory-Direktoren, die diese sieben Bausteine implementiert haben, sind im nächsten Notified-Body-Recertification-Audit, der nächsten FDA-Inspection und der nächsten LDA- oder kantonalen Aufsichtsprüfung verteidigungsfähig. Wer sie nicht implementiert hat, exponiert MDR-Konformitätserklärung und CE-Kennzeichnungsstatus auf operativem Niveau.

Indicium für MedTech-Personnel-Compliance

Indicium dokumentiert § 299 StGB-konformes Personnel-Vetting für Außendienst, R&D und C-Suite — automatisch und BfArM-Inspection-ready. Discovery-Call mit Co-Founder Mabon Hein: https://meetings-eu1.hubspot.com/mabonh/indicium-discovery-30-min.