Dieser Lieferantenqualitätszusatz (der „SQA”) Wird von und zwischen eingegeben SG Systems, LLC, eine Gesellschaft mit beschränkter Haftung, die nach den Gesetzen des Staates Texas gegründet wurde und besteht, mit Hauptsitz in 6944 Meadowbriar Lane, Dallas, TX 75230 („Provider) und die natürliche oder juristische Person, die den Rahmenvertrag für Anbieterdienstleistungen abgeschlossen hat („Durch den").

Zweck. Diese SQA definiert den Rahmen für die operative Qualitätskontrolle und die Verantwortlichkeiten, die die regulierte Nutzung der Software und Dienstleistungen des Anbieters durch den Kunden unterstützen, einschließlich der Erwartungen in Bezug auf Änderungskontrolle, Umgang mit Vorfällen/Qualitätsproblemen, Unterstützung bei Audits, Validierungsunterstützungsdienste (sofern erworben) und Bereitstellungsverantwortlichkeiten für gehostete Dienste im Vergleich zu On-Premise-Installationen.

Für wen das ist. Diese Lieferantenqualitätsvereinbarung wird in der Regel von Kunden angefordert, die den GMP/GxP-Richtlinien unterliegen (z. B. pharmazeutische Hersteller und Unternehmen mit regulierten Lieferketten). Kunden, die nicht regulierten Branchen angehören, benötigen üblicherweise keine Lieferantenqualitätsvereinbarung.

Eingliederung. Diese SQA soll in den Rahmenvertrag des Anbieters (den „Rahmenvertrag für Dienstleistungen“) aufgenommen werden und diesem unterliegen.MSA”) befindet sich in https://sgsystemsglobal.com/master-services-agreement/Großgeschriebene Begriffe, die in dieser SQA nicht definiert sind, haben die in der MSA angegebenen Bedeutungen.

Keine Duplikate. Sofern bestimmte Themen bereits im Rahmen des MSA geregelt sind (z. B. Vertraulichkeit, Haftungsbeschränkung, Gebühren und allgemeine Sicherheitsverpflichtungen), verweist diese SQA den Leser auf die entsprechenden Abschnitte des MSA, anstatt sie erneut zu formulieren.

1.1 Verhältnis zum MSA. Diese Lieferantenqualifizierungsvereinbarung (SQA) ergänzt die Rahmenvereinbarung (MSA) für regulierte/GxP-Konten und dient der Unterstützung der Lieferantenqualifizierung und der Erfüllung der Auditvorgaben. Die Geschäftsbedingungen, Lizenzbestimmungen, Vertraulichkeit, Datenschutz, geistiges Eigentum, Gewährleistungsausschlüsse, Haftungsfreistellungen, Haftungsbeschränkungen und Streitbeilegung sind in der Rahmenvereinbarung geregelt (siehe beispielsweise §§ 12–18 der Rahmenvereinbarung).

1.2 Wann diese SQA Anwendung findet. Diese SQA gilt nur, wenn sie in einem unterzeichneten Bestellformular / unterzeichneten Angebot oder einem von beiden Parteien unterzeichneten schriftlichen Nachtrag erwähnt wird.

1.3 Rangfolge. Im Falle eines Konflikts gilt folgende Reihenfolge:

• (1) Bestellformular / Unterzeichnetes Angebot (für Umfang, Ergebnisse, Bereitstellungsoptionen und kommerzielle Auswahlmöglichkeiten wie z. B. SLA-Stufe);
• (2) Diese SQA (für regulierte qualitätsbezogene operative Verpflichtungen und regulierte Kontounterstützungsstrukturen); und
• (3) Die MSA (für alle anderen Bedingungen, einschließlich des rechtlichen/wirtschaftlichen Rahmens).

1.4 Keine Ausweitung der Haftung. Nichts in dieser SQA erweitert die Haftung des Anbieters über die in der MSA festgelegten Haftungsbeschränkungen und Haftungsausschlüsse hinaus (siehe MSA §§15–17).

2.1 Geltungsbereich. Diese SQA gilt für die vom Kunden im Rahmen des MSA und des entsprechenden Bestellformulars/unterzeichneten Angebots erworbene Provider-Software und -Dienstleistungen, einschließlich (soweit zutreffend) gehosteter Dienste, Unterstützung bei der Installation vor Ort und Supportleistungen für regulierte Konten.

2.2 Nicht im Geltungsbereich. Der Kunde bleibt verantwortlich für sein Qualitätssystem, seine Standardarbeitsanweisungen, die Definitionen des Verwendungszwecks, die Prozessgestaltung, die Anwenderschulung und die Durchführung/Genehmigung der Validierung innerhalb seiner Umgebung (siehe MSA §7.2 und §10).

2.3 Grenze zwischen gehosteten und lokalen Lösungen. Die Einsatzverantwortlichkeiten hängen von dem im jeweiligen Bestellformular / unterzeichneten Angebot ausgewählten Einsatz ab:

• Gehostete Dienste. Der Anbieter ist für den Betrieb der gehosteten Dienste gemäß der gewählten Service-Level-Vereinbarung (SLA) und den geltenden Anforderungen der Rahmenvereinbarung (MSA) verantwortlich (siehe MSA §4.2, §9 und §11). Der Kunde bleibt für seine regulierten Prozesskontrollen, Zugriffssteuerungsentscheidungen und Validierungen innerhalb seines Qualitätsmanagementsystems (QMS) verantwortlich.
• Installation vor Ort. Der Kunde ist für die Infrastruktur, Sicherheit, Datensicherung und Notfallwiederherstellung der On-Premise-Umgebung verantwortlich, sofern nichts anderes schriftlich vereinbart ist (siehe MSA §4.3 und §9.4). Der Anbieter stellt softwareorientierten Support und Dokumentation gemäß MSA und den erworbenen Dienstleistungen bereit.

3.1 „Reguliertes Konto“ bezeichnet eine Kundeninteraktion, bei der der Kunde Lieferantenqualifizierungsnachweise und/oder formale Lieferantenvereinbarungen benötigt, die den GxP-Erwartungen entsprechen.

3.2 „Qualitätsproblem“ bezeichnet ein vermutetes oder bestätigtes Problem, das sich auf GxP-relevantes Verhalten, Datenintegrität, Rückverfolgbarkeit, Prüfbarkeit, Verfügbarkeit regulierter Vorgänge oder dokumentierte Systemkontrollen auswirken kann.

3.3 „Qualitätsveranstaltung“ bedeutet, dass ein Qualitätsproblem bestätigt oder zur formellen Untersuchung und dokumentierten Behebung eskaliert wurde, einschließlich gegebenenfalls Korrektur- und/oder Präventivmaßnahmen.

3.4 „Validierungsdienste“ bezeichnet bezahlte professionelle Dienstleistungen, die Validierungsaktivitäten des Kunden unterstützen, wie z. B. Unterstützung bei der IQ/OQ-Prüfung und/oder Durchführung von UAT, sofern diese ausdrücklich in einem Bestellformular / unterzeichneten Angebot erworben und festgelegt wurden (siehe MSA §3 und §7.4).

3.5 „SLA-Stufe“ bezeichnet die im jeweiligen Bestellformular / unterzeichneten Angebot festgelegte Auswahl des Servicelevels (falls vorhanden), die die Verfügbarkeits- und Wiederherstellungsziele für gehostete Dienste definiert (siehe MSA §11).

3.6 „Gehostete Umgebung“ bezeichnet die für Hosted Services ausgewählte Cloud-Hosting-Umgebung, wie beispielsweise AWS, Microsoft Azure oder einen anderen einvernehmlich vereinbarten Anbieter, wie im jeweiligen Bestellformular / unterzeichneten Angebot angegeben.

4.1 Primärer Kanal für vermutete Qualitätsprobleme. Der Kunde muss vermutete Qualitätsprobleme dem Anbietersupport melden unter: support@sgsystemsglobal.com.

4.2 Ticketing und Rückverfolgbarkeit („geschlossener Kreislauf“). Der Standardprozess des Anbieters für die Annahme und den Abschluss von Problemen ist wie folgt:

• Aufnahme: Die E-Mail des Kunden an den Support wird als Fall im Kundensupportsystem (Salesforce) des Anbieters protokolliert und erhält eine Fallkennung.
• Engineering-Tracking: Wenn technische Arbeiten erforderlich sind, erstellt und verknüpft der Anbieter einen entsprechenden Arbeitseintrag im Entwicklungsverfolgungssystem des Anbieters (Jira).
• Lösung und Abschluss: Der Anbieter protokolliert Lösungsnotizen, Versionsverweise (falls zutreffend) und den Abschlussstatus im Supportfall und schließt so den Kreislauf für die Nachvollziehbarkeit.

4.3 Reaktionsziele. Bei gehosteten Diensten richten sich Reaktions- und Lösungsziele nach der Service-Level-Vereinbarung (SLA) des Rahmenvertrags (siehe MSA §11.4). Bei On-Premise-Installationen wird der Anbieter wirtschaftlich angemessene Anstrengungen unternehmen, um gemäß dem Supportmodell im jeweiligen Bestellformular/unterzeichneten Angebot und im Rahmen des Rahmenvertrags (siehe MSA §11.2) zu reagieren.

4.4 Eskalation durch den Kunden. Wenn der Verdacht besteht, dass ein Qualitätsproblem Auswirkungen auf regulierte Aufzeichnungen, Prüfprotokolle oder das Verhalten der Systemsteuerung hat, sollte der Kunde Folgendes angeben:Mögliche Auswirkungen auf GxP / DatenintegritätBitte geben Sie dies in der Betreffzeile an, um eine ordnungsgemäße Priorisierung zu ermöglichen.

5.1 Prinzip der geteilten Verantwortung. Die Einhaltung der Vorschriften ist eine gemeinsame Verantwortung. Der Anbieter unterstützt die vorschriftenkonforme Nutzung durch Softwarekontrollen, Dokumentation und (sofern erworben) Validierungsdienstleistungen. Der Kunde bleibt verantwortlich für die bestimmungsgemäße Verwendung, Konfigurationsentscheidungen, Verfahrenskontrollen, Schulungen sowie die Durchführung und Genehmigung von Validierungen im Rahmen seines Qualitätssystems (siehe MSA §7.2 und §10).

5.2 Praktische Verantwortungsaufteilung.

5.3 Vertraulichkeit und Datenrechte. Eigentumsrechte, Vertraulichkeit und datenschutzrechtliche Verarbeitung von Kundendaten werden durch den MSA geregelt (siehe MSA §12, einschließlich §12.3–§12.5, und gegebenenfalls DPA).

6.1 Basisunterstützung (inklusive). Während eines aktiven Abonnements bietet der Anbieter angemessene Unterstützung bei Fragen zum Systemverhalten und zur Konfiguration und stellt im Rahmen der normalen Leistungserbringung eine Standarddokumentation und Versionshinweise zur Verfügung (siehe MSA §7.4 und §2.23).

6.2 Enterprise / kostenpflichtige Validierungsdienste. Für regulierte Konten bietet der Anbieter kostenpflichtige Validierungsdienste an, die Folgendes umfassen können:

• IQ/OQ-Unterstützung: Vorlagenpakete und angemessene Fernunterstützung, die auf die Ausführung durch den Kunden in dessen Umgebung abgestimmt sind;
• Unterstützung bei der Durchführung von Benutzertests: Planungsunterstützung, Koordinierung des Testzyklus, Priorisierung von Problemen/Koordinierung von Wiederholungstests (gemäß Leistungsumfang);
• Regulierte Go-Live-Unterstützung: Strukturierte Unterstützung bei der Umstellung, abgestimmt auf den geplanten Validierungs-/Go-Live-Ansatz des Kunden.

6.3 Wie Validierungsdienste erworben werden. Validierungsdienste sind nicht enthalten Standardmäßig. Sie werden typischerweise angeboten für Unternehmen Aufträge werden im jeweiligen Auftragsformular / unterzeichneten Angebot als zusätzliche kostenpflichtige professionelle Dienstleistungen preislich und inhaltlich aufgeführt (siehe MSA §3 und §3.6).

6.4 Der Kunde behält die Verantwortung. Der Kunde bleibt für die endgültige Validierungsstrategie, die Durchführung, die Überprüfung, die Genehmigung und die laufenden periodischen Überprüfungsentscheidungen innerhalb des Qualitätssystems des Kunden verantwortlich (siehe MSA §7.2 und §10.1).

7.1 Unabhängige Beurteilung. Das System des Anbieters wurde von einer unabhängigen Stelle begutachtet. Dr. Bob McDowall zur Abstimmung mit technischen Kontrollen, die üblicherweise damit verbunden sind 21 CFR Teil 11 Erwartungen.

7.2 Zugang zu den Bewertungsunterlagen (Geheimhaltungsvereinbarung erforderlich). Auf Kundenwunsch kann der Anbieter die Bewertungsdokumentation für interne Lieferantenqualifizierungs- und Auditzwecke des Kunden zur Verfügung stellen, vorausgesetzt:

• Der Kunde hat die Geheimhaltungsvereinbarung (NDA) des Anbieters unterzeichnet (oder die Parteien haben eine für den Anbieter akzeptable Geheimhaltungsvereinbarung getroffen);
• Der Kunde verfügt über ein aktives und einwandfreies Abonnement; und
• Der Kunde erklärt sich damit einverstanden, dass es sich bei der Dokumentation um vertrauliche Informationen handelt und dass diese gemäß den Vertraulichkeitsbestimmungen des MSA behandelt werden (siehe MSA §12).

7.3 Wichtige Einschränkung. Das Vorliegen einer unabhängigen Bewertung unterstützt die Lieferantenqualifizierungsaktivitäten des Kunden, ersetzt aber nicht dessen Validierungsverantwortung oder die Bestimmung des Verwendungszwecks (siehe MSA §7.2 und §10.1).

8.1 Kontrollierte Updates. Der Anbieter verwaltet Softwareaktualisierungen im Rahmen eines kontrollierten Änderungsverfahrens, das für regulierte Umgebungen geeignet ist. Die maßgeblichen Bestimmungen zur Änderungskontrolle finden Sie im Abschnitt „Änderungsmanagement und Aktualisierungen“ des MSA (siehe MSA §8).

8.2 Bereitstellung gehosteter Dienste. Bei gehosteten Diensten kontrolliert der Anbieter den Zeitpunkt der Bereitstellung und gibt im Einklang mit dem MSA (siehe MSA §8.1) eine Vorankündigung für größere Aktualisierungen, mit Ausnahme von Sicherheitsupdates im Notfall (siehe MSA §8.4).

8.3 Lokale Bereitstellung. Bei On-Premise-Installationen bestimmt der Kunde, wann Updates in seinen Umgebungen bereitgestellt werden. Der Anbieter stellt Versionshinweise und angemessene Unterstützung zur Verfügung, um den Kunden bei der Evaluierung und dem Testen zu unterstützen (siehe MSA §8.2 und §8.3).

8.4 Versionsdokumentation. Die Versionshinweise der Anbieter werden wesentliche Änderungen ausweisen und gegebenenfalls Validierungsüberlegungen für Änderungen enthalten, die sich auf Prüfprotokolle, Zugriffskontrollen oder regulierte Arbeitsabläufe auswirken können (siehe MSA §8.3 und §7.4).

9.1 Aufnahme und Triage. Vermutete Qualitätsprobleme werden gemeldet über support@sgsystemsglobal.comDer Anbieter wird die Anfragen priorisieren, bei Bedarf klärende Informationen anfordern und den Schweregrad anhand des im SLA/Supportmodell festgelegten Supportansatzes klassifizieren (siehe MSA §11.4 für gehostete Dienste).

9.2 Untersuchung und Dokumentation. Bei bestätigten Qualitätsereignissen dokumentiert der Anbieter die Untersuchungsnotizen, die beitragenden Faktoren und den Status der Behebung im verknüpften Salesforce-Fall und Jira-Arbeitselement (sofern zutreffend).

9.3 Korrektur- und Vorbeugemaßnahmen. Soweit angemessen und gerechtfertigt, wird der Anbieter Korrekturmaßnahmen (Fehlerbehebungen/Patches/Prozessänderungen) und Präventivmaßnahmen zur Reduzierung des Wiederholungsrisikos umsetzen. Der Umfang der Untersuchung und Dokumentation kann je nach Schweregrad und Auswirkungen variieren.

9.4 Kundenseitige Steuerungselemente. Der Kunde ist für sein eigenes Abweichungsmanagement, Änderungsmanagement und seine Folgenabschätzungsaktivitäten im Rahmen seines Qualitätsmanagementsystems verantwortlich. Der Anbieter wird den Kunden bei Informationsanfragen, die für die Bewertung des Kunden erforderlich sind, im Rahmen des Zumutbaren unterstützen, vorbehaltlich der Vertraulichkeit und der Bestimmungen des Rahmenvertrags (siehe Rahmenvertrag § 7.2, § 7.5 und § 12).

10.1 Auswahl der gehosteten Umgebung. Bei gehosteten Diensten kann der Kunde die gehostete Umgebung (z. B. AWS, Microsoft Azure oder einen anderen einvernehmlich vereinbarten Anbieter) gemäß dem jeweiligen Bestellformular / unterzeichneten Angebot auswählen.

10.2 Die Ziele für Disaster Recovery und Wiederherstellung hängen von der SLA-Stufe ab. Bei gehosteten Diensten werden die Ziele der Notfallwiederherstellung und -wiederherstellung (einschließlich RTO/RPO, sofern zutreffend) durch die folgenden Bestimmungen geregelt: SLA-Stufe ausgewählt im Bestellformular / Unterzeichneten Angebot und den MSA-SLA-Bedingungen (siehe MSA §11.5 und §11.9).

10.3 Sicherheit und Reaktion auf Sicherheitsvorfälle. Die Sicherheitsverpflichtungen des Anbieters und die Maßnahmen zur Reaktion auf Sicherheitsvorfälle bei gehosteten Diensten sind im Rahmenvertrag (MSA) geregelt (siehe MSA §9, insbesondere §9.2). Bei On-Premise-Installationen ist der Kunde für die Infrastruktursicherheit und die entsprechenden Schutzmaßnahmen verantwortlich (siehe MSA §9.4).

10.4 Geplante Wartungsarbeiten und Ausschlüsse. Die Verfügbarkeit der gehosteten Dienste und die SLA-Ausschlüsse werden im MSA beschrieben (siehe MSA §11.10).

11.1 Grundsatz der Unterstützung von Audits. Der Anbieter wird im Rahmen der Vertraulichkeit und einer angemessenen Zeiteinteilung angemessen mit den Audits des Kunden in Bezug auf die Softwarekontrollen und, im Falle von gehosteten Diensten, die entsprechenden Servicebereitstellungs-/Sicherheitsaufzeichnungen zusammenarbeiten (siehe MSA §7.5 und §12).

11.2 Auditansatz (standardmäßig effizient). Um Störungen zu minimieren und sensible Sicherheitsinformationen zu schützen, unterstützt der Anbieter die Lieferantenqualifizierung in der Regel durch:

• Standarddokumentation des Anbieters (z. B. Versionshinweise und Kontrollübersichten);
• Antworten auf den Fragebogen; und
• Fokussierte Diskussionen, die sich auf die Systemgrenzen und die anwendbaren Kontrollmechanismen beschränken.

11.3 Unterstützung bei der Inspektion. Wenn der Kunde dem Anbieter mitteilt, dass er einer behördlichen Prüfung unterzogen wird, die möglicherweise die Software/Dienstleistungen des Anbieters betrifft, wird der Anbieter im Rahmen des wirtschaftlich Zumutbaren Informationsanfragen zu den vom Anbieter kontrollierten Komponenten unterstützen, vorbehaltlich der Vertraulichkeit und der Rahmenvereinbarung.

11.4 Gebühren für außerordentliche Anträge. Wünscht der Kunde eine umfassende Beteiligung am Audit, eine kundenspezifische Dokumentation, Aktivitäten vor Ort oder Arbeiten, die über eine angemessene Kooperation hinausgehen, können dafür zusätzliche Gebühren und eine schriftliche Vereinbarung erforderlich sein (im Einklang mit dem Modell für professionelle Dienstleistungen in MSA §3 und §7.4).

12.1 Datenschutzrechte und Vertraulichkeit. Eigentumsrechte an Kundendaten, Vertraulichkeit und Unterstützung bei der Standardexportabwicklung werden durch den MSA (siehe MSA §12.3–§12.5) und gegebenenfalls anwendbare Datenschutzvereinbarungen (siehe MSA §12.4) geregelt.

12.2 Nachvertragliche Kopie der SQL-Datenbank (regulierte Konten). Bei regulierten Konten, die unter diese SQA fallen, kann der Kunde nach Beendigung oder Ablauf des jeweiligen Abonnements aus beliebigem Grund eine Kopie der SQL-Datenbank anfordern, die seiner Produktionsumgebung zugeordnet ist. Der Anbieter stellt dem Kunden die Kopie der SQL-Datenbank zur Verfügung. innerhalb von dreißig (30) Tagen der Kündigung, vorausgesetzt:

• Der Kunde reicht die Anfrage schriftlich ein bei support@sgsystemsglobal.com (oder einem anderen dafür vorgesehenen Supportkanal);
• Alle unstrittigen fälligen Beträge sind bezahlt; und
• Die Anfrage ist innerhalb der Systemgrenzen technisch durchführbar und erfordert vom Anbieter keine Offenlegung von Daten anderer Kunden oder vertraulichen Anbieterinformationen.

12.3 Format und Lieferung. Der Anbieter liefert die SQL-Datenbankkopie mit einer wirtschaftlich angemessenen und für die sichere Übertragung geeigneten Methode. Benötigt der Kunde ein spezielles Exportformat, eine Transformation oder zusätzliche Datenextraktionen über die Standard-Datenbankkopie hinaus, können hierfür zusätzliche Gebühren und eine schriftliche Vereinbarung erforderlich sein.

12.4 Gehostetes Abruffenster. Jegliche zusätzlichen Fristen für die Datenwiederherstellung und -löschung nach Vertragsbeendigung für gehostete Dienste sind im Rahmenvertrag (MSA) geregelt (siehe MSA §5.4). Dieser Abschnitt des Service Quality Agreements (SQA) stellt ein kontospezifisches Leistungsmerkmal (eine Kopie der SQL-Datenbank) bereit und erweitert die Supportverpflichtungen nach Vertragsbeendigung nicht.

13.1 Hosting-Anbieter. Die gehosteten Dienste werden über einen externen Cloud-Hosting-Anbieter in der ausgewählten gehosteten Umgebung bereitgestellt, wie im Bestellformular / unterzeichneten Angebot angegeben.

13.2 Unterauftragnehmer und Dritte. Die Nutzung von Unterauftragnehmern und Drittanbietern durch den Anbieter, einschließlich der datenschutzrechtlichen Verpflichtungen, wird durch den MSA und (soweit anwendbar) den DPA geregelt (siehe MSA §12.4).

13.3 Flow-down. Der Anbieter wird wirtschaftlich angemessene Anstrengungen unternehmen, um sicherzustellen, dass die entsprechenden Verpflichtungen gemäß den üblichen Lieferantenmanagementpraktiken des Anbieters an die jeweiligen Drittparteien weitergegeben werden, die mit der Erbringung der gehosteten Dienste beauftragt sind.

14.1 Laufzeit. Diese SQA tritt in Kraft, sobald sie durch Bezugnahme in ein Bestellformular / einen unterzeichneten Vorschlag (oder einen ausgeführten Nachtrag) aufgenommen wird, und bleibt für die Laufzeit des/der jeweiligen Abonnements/Abonnements gültig, sofern sie nicht vorher gemäß der MSA beendet wird.

14.2 Änderungen. Jegliche Änderungen an diesem SQA müssen schriftlich erfolgen und von beiden Parteien unterzeichnet werden, entsprechend den MSA-Änderungsvorschriften (siehe MSA §18.9).

14.2.1 Dokumentversion. Dieses HTML-SQA-Dokument ist die Provider-Dokumentversion 1.10 und gültig ab dem 20. April 2026. Der Versionsblock und das Änderungsprotokoll in diesem Dokument dienen der Dokumentenkontrolle und als Referenz.

14.3 Hilfreiche MSA-Querverweise.

• Regulierungs- und gemeinsame Verantwortung: MSA §7 und §10
• Änderungskontrolle & Aktualisierungen: MSA §8
• Sicherheits- und Vorfallsreaktion: MSA §9
• SLA (Gehostete Dienste): MSA §11
• Vertraulichkeit & Kundendaten: MSA §12
• Laufzeit/Kündigung & Abruf gehosteter Daten: MSA §5
• Professionelle Dienstleistungen / Onboarding: MSA §3

14.4-Kontakt. Bei Qualitätsproblemen, vermuteten Bedenken hinsichtlich der Datenintegrität oder Anfragen zu regulierten Konten im Rahmen dieser SQA wenden Sie sich bitte an: support@sgsystemsglobal.com.