Anmelden
Pharma · MedTech · GxP · EU-MDR

Validierungsfähig.Auditierbar.GxP-konforme E-Mail.

SecureMail und SecureFiles für klinische Studien, EU-MDR-Hersteller-Kommunikation und Behördenkorrespondenz mit BfArM, PEI, EMA und FDA. Audit-Trail nach 21 CFR Part 11-Charakteristik, EU-Hosting auf ISO-27001-Infrastruktur, GAMP-5-konforme Validierungs-Vorlagen für CSV nach EU-GMP Annex 11.

Demo anfragenSecureMail im Detail
Auf einen BlickStand 2026

Audit-Trail, Aufbewahrung und CSV-Vorlagen als Default.

  • Studienakten an CRO per FTP, USB-Stick oder ZIP-mit-PasswortSecureFiles mit Audit-Trail pro Zugriff und Aufbewahrung pro Studie
  • Validierungs-Aufwand bei jedem Mail-Tool-WechselCSV-Vorlagen, IQ/OQ/PQ-Templates und Validierungs-Plan vorbereitet
  • Lieferanten-Phishing im PMS- und UDI-DatenstromMailGuard mit DMARC-, DKIM- und SPF-Prüfung im Hersteller-Posteingang
SecureMail für validierte Korrespondenz mit Behörden und Studienpartnern, SecureFiles für Studienakten, Trial Master File und Audit-Pakete. Audit-Trail nach 21 CFR Part 11-Charakteristik mit Zeitstempel, Identität und Aktion pro Zugriff. Aufbewahrung pro Studie oder Charge konfigurierbar bis 25 Jahre nach Studienende, EU-Hosting auf ISO-27001-Infrastruktur. CSV-Vorlagen für GAMP 5 Kategorie 4 und Validierungs-Plan nach EU-GMP Annex 11 vorbereitet, IQ/OQ/PQ-Templates inklusive.
Geeignet für Sie wenn:Pharma, MedTech, IVD, CROGxP-reguliertes UmfeldEU-MDR / IVDR Lieferkette
100 %
EU-Hosting auf ISO-27001-Infrastruktur
Part 11
Audit-Trail pro Zugriff
Annex 11
GAMP-5-Vorlagen für CSV
30 Min.
Setup je Tenant, Pilot je Studie

Regulatorische Anker für Pharma und MedTech

GxP-Leitlinien: GMP (EudraLex Vol. 4), GDP (2013/C 343/01), GCP (ICH E6 R3), GLPEU-GMP Annex 11 (Computerised Systems) und 21 CFR Part 11 (Electronic Records)AMG § 63b und § 67 Pharmakovigilanz, MPDG § 83 MeldepflichtenVerordnung (EU) 2017/745 (MDR), Verordnung (EU) 2017/746 (IVDR), Art. 32 DSGVO

Conbool unterstützt GxP-, MDR- und FDA-Anforderungen auf der Mail- und Datenebene. Die Computer-System-Validation (CSV) und die regulatorische Endbewertung bleiben Aufgabe des Sponsors, Herstellers oder QP. Conbool liefert die Validierungs-Vorlagen und den Audit-Trail.

Vier Bausteine für Life Sciences.

SecureMail für Behörden- und Studien-Korrespondenz, SecureFiles für Trial Master File und Akten-Pakete, MailGuard gegen Lieferanten-Phishing in der MDR-Lieferkette, Disclaimer für Pflichtangaben pro Marke und Standort.

SecureMail

SecureMail

Verschlüsselte Korrespondenz an EMA, BfArM, PEI, Swissmedic und FDA mit S/MIME oder Web-Reader für externe Empfänger ohne Zertifikat. Audit-Log nach Art. 30 DSGVO und 21 CFR Part 11-Charakteristik mit Zeitstempel und Identität pro Aktion.

SecureMail im Detail
SecureFiles

SecureFiles

Trial Master File, eCRF-Exports, SAE-Reports und Audit-Pakete als Empfänger-authentifizierte Direkt-Linie. Aufbewahrung pro Studie oder Charge bis zu 30 Jahre. Audit-Trail pro Download, jeder Zugriff signiert und nachvollziehbar.

SecureFiles im Detail
MailGuard

MailGuard

DMARC-, DKIM- und SPF-Prüfung gegen gefälschte Lieferanten- und CRO-Domains. Anhang-Sandboxing für unbekannte Office- und PDF-Dateien. BEC-Erkennung gegen CEO-Fraud im Einkauf und in der QP-Freigabe.

MailGuard im Detail
Disclaimer

Disclaimer

Pflichtangaben pro Marke, Tochter und Standort server-seitig in jede ausgehende Mail. Pflichtangaben nach § 5 TMG, Pharma-spezifische Hinweise und produkt-spezifische Disclaimer ohne Endpunkt-Add-in.

Disclaimer im Detail
Typische Workflows

Vier Szenarien aus Life Sciences.

Vom Prüfarzt bis zum FDA-Inspektor: vier Workflows, die im GxP-Alltag täglich vorkommen.

1

Klinische Studien E-Mail verschlüsselt an die CRO

Der Studienkoordinator schickt pseudonymisierte Patientendaten, eCRF-Exports und SAE-Reports an die CRO, den Prüfarzt oder das Data-Management. SecureFiles ersetzt FTP, USB und ZIP-mit-Passwort. Audit-Trail pro Zugriff, Aufbewahrung pro Studie bis 25 Jahre nach Studienende, kein Download auf Privatgeräte ohne Empfänger-Authentifizierung. Der Sponsor sieht im Audit-Log, wer wann welche Datei geöffnet hat.

2

Behördenkorrespondenz an BfArM, PEI und EMA

Der Regulatory-Affairs-Manager schickt verschlüsselte Mails an BfArM, PEI, Swissmedic, EMA oder die Benannte Stelle. SecureMail signiert per S/MIME, Empfangsbestätigung wird im Audit-Log dokumentiert. Pharmakovigilanz-Meldungen nach AMG § 63b und Stufenplan-Korrespondenz nach § 63 sind nachvollziehbar, der EU-QPPV kann jeden Schriftverkehr revisionssicher belegen.

3

EU-MDR Hersteller-Kommunikation in der Lieferkette

Der Wirtschaftsakteur sendet UDI-Daten, PMS-Reports, PSUR und CER-Updates an Importeure, Distributoren und Benannte Stelle. MailGuard blockiert gefälschte Lieferanten- und Distributor-Domains, die UDI-Datensätze, Konformitätserklärungen oder Chargennummern manipulieren wollen. Vorfall-Meldungen nach MPDG § 83 und MDR Art. 87 bleiben auditierbar.

4

FDA 21 CFR Part 11 E-Mail im US-Markt

Für US-Submissions an die FDA fordert 21 CFR Part 11 elektronische Signaturen mit Identitätsbindung und vollständigen Audit-Trail. SecureMail liefert S/MIME-Signatur mit Zertifikat, SecureFiles liefert Audit-Trail pro Aktion. Zeitstempel und Identität sind validierungsfähig dokumentiert, das Predicate-Rule-Mapping liegt beim Sponsor oder seinem QA-Team.

Architektur

Conbool als validierungsfähige Schicht vor Microsoft 365.

Conbool sitzt als MX- und Outbound-Schicht vor Microsoft 365. Pharma- und MedTech-Fachsysteme wie SAP S/4HANA Pharma, Veeva Vault, Medrio, IBM Clinical Development, MasterControl oder Oracle Argus Safety bleiben unverändert und müssen nicht neu validiert werden. Die Validierung läuft als separater CSV-Track parallel zur IT-Migration, der Validierungsstatus der Fachsysteme bleibt unberührt.

MX-Switch ohne Eingriff ins Fachsystem

Eingehender SMTP läuft über Conbool, Microsoft 365 bleibt das Backend. Veeva Vault, MasterControl, SAP S/4HANA Pharma, Medrio und IBM Clinical Development bleiben unverändert. Kein zusätzlicher CSV-Aufwand am validierten Fachsystem, der Risk-Footprint bleibt klein.

CSV-Schicht nach GAMP 5

GAMP-5-Kategorisierung als Kategorie 4 (konfigurierbare Software). Validierungs-Plan, User Requirement Specification, Risikoanalyse nach ICH Q9 und Konfigurations-Spezifikation vorbereitet.

Audit-Trail mit Zeitstempel

Audit-Trail pro Zugriff im Sinne von 21 CFR Part 11 § 11.10(e) und Annex 11 Abschnitt 9: Zeitstempel, Identität, Aktion. Unverändert und revisionssicher aufbewahrt, Export für FDA-Inspektor und QA verfügbar.

SIEM-Anschluss für QA und Compliance

Audit-Log per Syslog oder Standard-Connector ans Pharma-SIEM, Anbindung an QA-Trending, CAPA-Prozess und Deviation-Management. Threshold-Alerts für ungewöhnliche Zugriffsmuster auf Studiendaten.

Compliance-Mapping

GxP, EU-MDR und 21 CFR Part 11 technisch übersetzt.

GxP-Leitlinien, EU-GMP Annex 11, 21 CFR Part 11 und die EU-MDR formulieren Pflichten zu Datenintegrität nach ALCOA+, Nachvollziehbarkeit, elektronischen Signaturen mit Identitätsbindung und Lieferketten-Kontrolle inklusive UDI und PMS. Conbool deckt die Maßnahmen auf der Mail- und Datenebene, das Fachsystem im Sinne von Veeva, MasterControl oder SAP bleibt Sponsor- oder Hersteller-Verantwortung.

ALCOA+ Datenintegrität

Attributable, Legible, Contemporaneous, Original, Accurate plus Complete, Consistent, Enduring, Available. Audit-Trail pro Aktion erfüllt ALCOA+ auf der Mail- und Datenebene und ist als Nachweis im FDA- und EMA-Inspection-Readiness-Paket einsetzbar.

Aufbewahrung pro Studie und Charge

TMF-Aufbewahrung 25 Jahre nach ICH E6 R3, Pharmakovigilanz-Daten 10 Jahre nach AMG § 63b, MedTech-Akten bis 15 Jahre nach EU-MDR Art. 10 (8) und IVDR Art. 10 (8). Aufbewahrungs-Policy pro Studie, Indikation oder Produktklasse einstellbar.

Elektronische Signaturen nach Part 11

21 CFR Part 11 Subpart C fordert elektronische Signaturen mit Identitätsbindung und Manifestation. S/MIME-Signatur über Conbool SecureMail dokumentiert Identität, Zeitstempel und Bedeutung der Signatur (z. B. QP-Freigabe).

EU-MDR Lieferkette und UDI

EU-MDR Art. 13-16 verpflichten Wirtschaftsakteure zur Sorgfalt, Art. 27 zur UDI-Pflicht. MailGuard schützt UDI- und PMS-Korrespondenz vor Domain-Spoofing, BEC und CEO-Fraud im Einkauf und in der QP-Freigabe.

Migration

Pilot in einer Studie, dann Konzern-Rollout mit CSV-Track.

Pilot startet in einer Studie oder an einem Standort. Validierung läuft als paralleler CSV-Track mit URS, Risikoanalyse, IQ, OQ und PQ. Konzern-Rollout in Wellen über das Microsoft-365-Admin-Center, Group-Policies pro Tochter, Standort oder Studienkategorie. Altlösung läuft kontrolliert aus, der Wechsel ist im Change-Control-Prozess nach EU-GMP Annex 15 dokumentiert und auditierbar.

Pilot in einer Studie oder Tochter

Eine Phase-II-Studie, eine Produktlinie oder eine Tochtergesellschaft startet, der Rest des Konzerns bleibt unverändert. Ergebnisse und Lessons Learned aus dem Pilot fließen in die finale URS und Risikoanalyse.

CSV-Begleitung mit IQ/OQ/PQ

Installation Qualification, Operational Qualification und Performance Qualification mit vorbereiteten Templates nach GAMP 5 Kategorie 4. Traceability-Matrix von User Requirement zu Testschritt liegt vor.

Konzern-Rollout über Admin-Center

Outlook-Add-in (Classic, New, Web) für alle Office-Mitarbeitenden über das Microsoft-365-Admin-Center, Group-Policies pro Tochter, Standort oder Studienkategorie. Rollout in Wellen mit Change-Control je Phase.

Kontrollierter Auslauf der Altlösung

Bestehende SEG, S/MIME-Insellösung oder File-Server-Filter läuft parallel aus, Change-Control nach EU-GMP Annex 15. Validierungsstatus zwischen Alt- und Neu-System bleibt für QA-Audits und FDA-Inspektionen nachvollziehbar.

Häufige Fragen aus Pharma und MedTech

Wie deckt Conbool GxP-konforme E-Mail in der Praxis ab?
GxP umfasst GMP nach EudraLex Vol. 4, GDP nach 2013/C 343/01 und GCP nach ICH E6 R3. Conbool unterstützt diese auf der Mail- und Datenebene durch Audit-Trail mit Zeitstempel und Identität pro Aktion, Aufbewahrung pro Studie oder Charge und EU-Hosting auf ISO-27001-Infrastruktur. CSV nach GAMP 5 bleibt Aufgabe des Sponsors, Herstellers oder QP, Conbool liefert die Vorlagen für URS, Validierungs-Plan, Risikoanalyse nach ICH Q9, IQ, OQ und PQ. Periodic Review, Disaster Recovery und Change Control sind dokumentiert und auditierbar.
Wie ist der Bezug zu FDA 21 CFR Part 11 E-Mail für den US-Markt?
21 CFR Part 11 fordert Audit-Trail (§ 11.10(e)), elektronische Signaturen mit Identitätsbindung (Subpart C) und Datenintegrität. SecureMail liefert S/MIME-Signatur mit X.509-Zertifikat und Zeitstempel, SecureFiles liefert Audit-Trail pro Zugriff mit Aktion, Identität und Zeit. Die endgültige Compliance-Bewertung und das Predicate-Rule-Mapping bleiben bei Ihrem Validierungspartner oder QA-Team. Für FDA-Submissions per Gateway oder ESG sind die Audit-Trail-Exports im CSV- und PDF-Format vorbereitet, ebenso für 483-Warning-Letter-Follow-up.
Was bedeutet EU-GMP Annex 11 für unser Mail-System konkret?
Annex 11 fordert Validierung computergestützter Systeme, Risikomanagement nach ICH Q9, Change Control nach Annex 15 und Audit-Trail nach Abschnitt 9. Conbool wird typischerweise als GAMP-5-Kategorie 4 (konfigurierbare Software) eingestuft. Vorbereitet sind Validierungs-Plan, URS, funktionale Spezifikation, Konfigurations-Spezifikation, Risikoanalyse nach ICH Q9 und IQ/OQ/PQ-Templates. Periodic Review, Disaster Recovery, Backup-Strategie und Incident-Management sind dokumentiert und auditierbar.
Wie schützt Conbool EU-MDR Hersteller-Kommunikation in der Lieferkette?
Die EU-MDR verpflichtet Wirtschaftsakteure (Art. 13-16) und Hersteller zur Sorgfalt entlang der Lieferkette inklusive Post-Market Surveillance (Art. 83-86) und UDI-Pflicht (Art. 27). MailGuard prüft DMARC, DKIM und SPF eingehender Lieferanten- und Distributor-Mails und blockiert gefälschte Domains, die UDI-Daten, PMS-Reports oder Konformitätserklärungen manipulieren wollen. SecureFiles liefert Audit-Trail pro UDI- oder CER-Übergabe an die Benannte Stelle. IVDR-Anforderungen nach Verordnung (EU) 2017/746 werden analog abgedeckt, ebenso Vigilanz-Meldungen nach MPDG § 83.
Wie passt Conbool zu klinischen Studien mit mehreren CROs und Prüfzentren?
Conbool unterstützt Multi-Tenant-Setups oder einen zentralen Tenant mit getrennten Aufbewahrungs-Policies pro Studie, Indikation oder Sponsor. Trial Master File, eCRF-Exports, SAE-Reports und Monitoring-Visit-Berichte laufen pro Studie auditierbar. Studienverblindung und Sponsor-CRO-Trennung sind über Rollen und Zugriffs-Policies abbildbar. Pseudonymisierung der Patientendaten bleibt in der Verantwortung des Sponsors, Conbool dokumentiert die Übergabe revisionssicher.
Wie ist der Bezug zu AMG § 67 und Pharmakovigilanz für die auditierbare Kommunikation?
AMG § 67 regelt die Anzeigepflicht für Herstellung und Inverkehrbringen, § 63b regelt die Pharmakovigilanz-Meldungen und die Stellung des Stufenplanbeauftragten. SecureMail mit S/MIME oder Web-Reader stellt vertrauliche Kommunikation mit BfArM, PEI, Stufenplanbeauftragten und EU-QPPV sicher. ICSR-Meldungen über EudraVigilance bleiben unverändert, Conbool ergänzt für nicht-strukturierte Korrespondenz, Stufenplan-Anfragen, Behörden-Rückfragen und Anhänge mit PSUR-, RMP- oder Signal-Detection-Bezug. Jede Übergabe ist im Audit-Log nachweisbar.
Was kostet Conbool für Pharma und MedTech und wie läuft die Validierung?
Modular pro Funktion und pro Postfach, Konzern-Volumenrabatte verhandelbar. CSV-Vorlagen, GAMP-5-Validierungs-Plan, IQ/OQ/PQ-Templates und Audit-Trail-Templates sind inklusive. Pilot in einer Studie oder einem Standort startet typischerweise innerhalb von 30 Minuten, die volle CSV-Begleitung wird im Projekt-Plan zwischen QA, IT und Validierungspartner abgestimmt. Periodic Review und Re-Validation nach Major-Changes sind im Vertragsmodell vorgesehen. Konkrete Preise und Lizenz-Modell auf Anfrage.

Verwandte Lösungen

SEPPmail-Alternative

SaaS-SecureMail aus der EU, ohne Appliance-Pflege.

NIS-2 E-Mail-Verschlüsselung

S/MIME, PGP und Domain-Verschlüsselung nach NIS-2 angemessen.

NIS-2 E-Mail-Sicherheit

NIS-2-konforme E-Mail-Sicherheit mit Audit-Trail.

PDF-Verschlüsselung

Sensible PDFs verschlüsselt versenden, ohne Empfänger-Konto.

Secure Message Portal

Empfänger-Web-Reader für Schlüssel-lose Empfänger.

Verwandte Branchen

Conbool ist in benachbarten Branchen mit ähnlichem Compliance-Profil im Einsatz.

Krankenhaus & Klinik

Anwender-Seite: klinische Studien, Investigator-Sites und EU-MDR-Kommunikation.

Arztpraxis & MVZ

Niedergelassener Anwender mit gleichem § 203 StGB-Rahmen und Studien-Anbindung.

Automotive & Zulieferer

Industrie-Compliance-Schwester mit ISO-Audits und VDA-ähnlichen Lieferanten-Prozessen.

GxP-konforme E-Mail und auditierbare Datenübergabe für Pharma, MedTech und CRO.

Demo in 30 Minuten. Pilot in einer Studie oder einem Standort, ohne Eingriff in Veeva, MasterControl oder SAP. CSV-Vorlagen, IQ/OQ/PQ-Templates und Audit-Trail nach 21 CFR Part 11-Charakteristik inklusive.

Demo anfragenSecureMail im Detail

Quellen und Stand

Aussagen zu GxP basieren auf den jeweils geltenden Leitlinien: GMP nach EudraLex Vol. 4, GDP nach Leitlinie 2013/C 343/01, GCP nach ICH E6 R3. Aussagen zu EU-GMP Annex 11 basieren auf dem EU-Leitfaden für Gute Herstellungspraxis. Aussagen zu 21 CFR Part 11 basieren auf der jeweils geltenden Fassung der FDA-Verordnung (Title 21, Code of Federal Regulations, Part 11). Aussagen zur EU-MDR basieren auf der Verordnung (EU) 2017/745, Aussagen zur IVDR auf der Verordnung (EU) 2017/746. Aussagen zur Pharmakovigilanz basieren auf AMG §§ 63b und 67. Aussagen zur DSGVO basieren auf der Verordnung (EU) 2016/679, insbesondere Art. 30 und Art. 32. Stand 2026.

FDA ist eine Bezeichnung der US Food and Drug Administration. EMA, BfArM, PEI und Swissmedic sind Bezeichnungen der jeweiligen Behörden. GAMP 5 ist eine Veröffentlichung der ISPE. Veeva Vault ist eine Marke der Veeva Systems Inc. MasterControl ist eine Marke der MasterControl Inc. SAP und SAP S/4HANA sind Marken der SAP SE. Microsoft, Microsoft 365 und Outlook sind Marken der Microsoft Corporation. Conbool ist eine Marke der Conbool GmbH.