RFID-Pflicht in der Pharma-Logistik: was Falsified Medicines Directive verlangt

Die Falsified Medicines Directive ist keine Etikettenfrage, sondern eine Architekturentscheidung über die gesamte Pharma-Lieferkette.

Wer die Richtlinie 2011/62/EU und die delegierte Verordnung 2016/161 als reine Aufgabe der Verpackungsabteilung liest, hat sie nicht verstanden. Sie greift in die IT-Landschaft des Herstellers ein, sie greift in die Prozesse des Großhandels ein, sie greift in die Software der Apotheke ein, und sie greift in die physische Sicherung der Lager und Umschlagpunkte ein. Boswau + Knauer beobachtet diese Verschiebung aus der Position des Herstellers von Sicherheitstechnologie für Industrie und Logistik. Was an den Verifikationsknoten passiert, ist nur die sichtbare Seite. Die unsichtbare Seite ist die Kette aus Standorten, an denen serialisierte Ware physisch bewegt, gelagert, kommissioniert und übergeben wird. Genau dort entscheidet sich, ob die regulatorische Architektur trägt oder ob sie an der Schnittstelle zur Realität bricht.

Die folgenden Abschnitte ordnen die regulatorische Lage ein, beschreiben die technische Logik der Serialisierung, prüfen die Rolle von RFID neben Data Matrix, untersuchen die physische Absicherung der Standorte, beschreiben die Schnittstelle zwischen Hersteller und Logistiker, und ziehen die Konsequenzen für die Investitionsplanung.

Der regulatorische Rahmen und seine Logik

Die Richtlinie 2011/62/EU, im deutschen Sprachgebrauch als Falsified Medicines Directive bekannt, ist die europäische Antwort auf eine Entwicklung, die in den späten 2000er Jahren ernste Ausmaße angenommen hat. Gefälschte Arzneimittel sind nicht in den klassischen Schmuggelpfaden geblieben, sondern in die legale Lieferkette eingedrungen. Über Parallelimporte, über Großhandelsstufen mit unklarer Herkunftsdokumentation, über Onlineapotheken mit schwacher Aufsicht. Die Antwort der europäischen Gesetzgebung war strukturell. Sie hat nicht einzelne Vorgänge verboten, sondern eine Verifikationsarchitektur eingezogen, die jede Packung verschreibungspflichtiger Arzneimittel in einen geschlossenen Kreislauf zwingt.

Die delegierte Verordnung 2016/161 hat diese Architektur konkretisiert. Seit dem 9. Februar 2019 muss jede verschreibungspflichtige Arzneimittelpackung in den meisten europäischen Märkten zwei Sicherheitsmerkmale tragen. Erstens ein individuelles Erkennungsmerkmal, kodiert in einem zweidimensionalen Data-Matrix-Code, das einen eindeutigen Produktcode, eine Seriennummer, eine Chargenbezeichnung und ein Verfalldatum trägt. Zweitens eine Vorrichtung gegen Manipulation, eine sichtbare Veränderung der Packung beim Öffnen, die in der Praxis als Tamper-Evident-Feature bezeichnet wird. Beide Merkmale sind nicht alternativ, sondern kumulativ.

Die Verifikation läuft über ein zweistufiges Datenbanksystem. Der Hersteller lädt die Seriennummern in den europäischen Hub, das European Medicines Verification System, von dort werden sie in die nationalen Datenbanken weitergeleitet. In Deutschland ist die nationale Datenbank securPharm, betrieben in einer Konstellation aus ABDA, BAH, BPI, Pro Generika und PHAGRO. Die Apotheke prüft im Moment der Abgabe an den Patienten, ob die Seriennummer im System aktiv und nicht bereits ausgebucht ist. Diese Prüfung dauert Bruchteile einer Sekunde, sie ist aber der einzige Moment, in dem die regulatorische Architektur sich an der physischen Packung berührt. Alles, was davor liegt, ist Vorbereitung. Alles, was danach kommt, ist Dokumentation.

Wer die Verordnung ernst nimmt, sieht, dass sie nicht nur ein Verifikationsregime ist, sondern eine Datenarchitektur. Sie zwingt jeden Beteiligten in der Kette, seine Prozesse so zu führen, dass die Daten in jedem Moment mit der physischen Ware übereinstimmen. Diese Anforderung ist nicht trivial. Sie scheitert in der Praxis selten an der Datenbank, sondern an den Übergängen zwischen Standorten, an den Verladungen, an den Übernahmen in den Großhandelslagern. Genau dort beginnt das Feld, in dem Sicherheitstechnologie greift.

Serialisierung als technischer Vorgang

Serialisierung im Sinne der FMD ist die Ausstattung jeder Einzelpackung mit einer eindeutigen Identität. Diese Identität besteht aus vier Datenelementen, die im Data-Matrix-Code zusammengeführt sind. Der Produktcode in der GTIN-Form nach den Standards von GS1 identifiziert das Produkt. Die Seriennummer, eine alphanumerische Folge von bis zu 20 Zeichen, identifiziert die einzelne Packung. Die Chargenbezeichnung verbindet die Packung mit ihrer Produktion. Das Verfalldatum schließt den Kreis zur pharmazeutischen Verantwortung. In Deutschland kommt die Pharmazentralnummer als nationale Ergänzung hinzu.

Die technische Umsetzung verlangt vom Hersteller eine Linienarchitektur, die nicht nur druckt, sondern in jeder Sekunde weiß, welche Seriennummer auf welche Packung gedruckt wurde. Diese Anforderung führt zu einer Hierarchie aus Linien-, Standort- und Unternehmensebene. Auf der Linienebene laufen Kameras, die jeden Code nach dem Druck verifizieren. Auf der Standortebene werden die Daten in einem Standort-Server konsolidiert. Auf der Unternehmensebene werden sie in das ERP-System überführt und von dort an den europäischen Hub übergeben. Wer in dieser Hierarchie eine Stufe schwach baut, hat ein System, das in Stresssituationen versagt. Stress entsteht typischerweise bei Chargenwechseln, bei Linienstörungen, bei kurzfristigen Umstellungen auf andere Märkte.

Die Aggregation ist die zweite Stufe der Serialisierung. Sie verbindet Einzelpackungen zu Bündeln, Bündel zu Kartons, Kartons zu Paletten. Diese Hierarchie ist in der Verordnung nicht zwingend vorgeschrieben, sie ist aber in der Praxis fast unverzichtbar, weil ohne sie der Großhandel die Verifikation nicht effizient leisten kann. Wer einen Karton mit fünfzig Packungen scannen will, ohne aggregiert zu sein, muss fünfzig Einzelscans durchführen. Wer aggregiert hat, scannt einen einzigen Code und weiß, welche fünfzig Seriennummern darin enthalten sind. Diese Effizienzfrage wird in der Logistik zur Wirtschaftlichkeitsfrage.

Die Serialisierung berührt damit Bereiche, die in einem klassischen Pharmaunternehmen oft getrennt organisiert sind. Produktion, IT, Logistik, Qualitätssicherung, Regulatory Affairs. Wer die Serialisierung als Projekt einer einzelnen Abteilung führt, baut sie ein zweites Mal, wenn die erste Version im Auditgespräch durchfällt. Wer sie als gemeinsame Architektur baut, hat ein System, das auch die nächste regulatorische Welle aufnimmt. Die nächste Welle wird voraussichtlich in der Anbindung an Track-and-Trace-Anforderungen außereuropäischer Märkte liegen, etwa an die DSCSA-Anforderungen der USA oder an die Vorgaben Saudi-Arabiens, Russlands und der Türkei.

RFID neben Data Matrix

Die FMD schreibt den Data-Matrix-Code vor. Sie schreibt RFID nicht vor. Diese Unterscheidung ist wichtig, weil im Marktdialog häufig der Eindruck entsteht, RFID sei eine regulatorische Pflicht. Das ist es nicht. RFID ist eine Ergänzung, die in der Logistik eingesetzt wird, wo der Data-Matrix-Code an seine Grenzen kommt. Diese Grenzen liegen typischerweise dort, wo Sichtverbindung fehlt, wo Geschwindigkeit zählt, wo Massenscans durchgeführt werden müssen, wo Umgebungsbedingungen optische Erkennung erschweren.

In der Pharmalogistik hat RFID in den letzten Jahren an Bedeutung gewonnen, weil die Wertdichte der Sendungen gestiegen ist. Eine Palette mit Onkologika oder Biologika kann einen Wert im sechs- bis siebenstelligen Bereich tragen. Wer solche Werte bewegt, will mehr als einen Strichcode am Karton. Er will einen Tag, der ohne Sichtkontakt gelesen wird, der den Status der Palette in Echtzeit an ein Lagerverwaltungssystem meldet, der bei unerlaubter Bewegung einen Alarm auslöst. Diese Funktionalität ist mit Data Matrix allein nicht zu erreichen.

Die Kombination aus Data Matrix auf der Einzelpackung und RFID auf der Aggregationsebene ist in vielen Lieferketten heute der Standard. Sie verbindet die regulatorische Verifikation mit der logistischen Steuerung. Boswau + Knauer beobachtet, dass die physische Absicherung der RFID-Lesepunkte zu einer eigenen Disziplin geworden ist. Ein Lesepunkt am Tor eines Hochregallagers, der zuverlässig erkennt, welche Tags ein- und ausgelagert werden, ist nur dann wirksam, wenn er nicht umgangen werden kann. Wer eine Palette an dem Lesepunkt vorbei bewegt, hat eine Lücke in der Kette. Diese Lücke ist nicht regulatorisch, sondern operativ. Sie schließt sich nur durch eine Kombination aus Sensorik, Videoanalyse und kontrollierten Wegen. Genau in dieser Schnittstelle bewegen sich unsere Sicherheitsplattformen.

Es ist außerdem zu beachten, dass RFID-Implementierungen in der Pharma-Lieferkette anderen Anforderungen genügen müssen als in der Konsumgüterlogistik. Die Tags dürfen den Arzneimittelinhalt nicht beeinflussen, sie müssen mit den Kühlketten kompatibel sein, sie müssen unter den Bedingungen der Sterilverpackung funktionieren, und sie müssen mit den ATMP-Anforderungen für Zell- und Gentherapien zusammenpassen. Wer diese Anforderungen unterschätzt, baut ein System, das im Pilotbetrieb gut aussieht und im Serienbetrieb scheitert.

Die physische Seite der Lieferkette

Die FMD adressiert die Datenarchitektur. Sie adressiert nicht die physische Sicherheit der Standorte, an denen die Daten erzeugt und verarbeitet werden. Diese Lücke ist nicht ein Versäumnis der Verordnung, sondern eine Folge ihrer Logik. Die Verordnung geht davon aus, dass jeder Beteiligte seine eigene Sorgfaltspflicht erfüllt. Diese Annahme ist rechtlich sauber. Sie ist operativ unvollständig.

Pharmaproduktionsstätten, Großhandelslager und Distributionszentren sind Hochwertziele. Die Wertdichte pro Quadratmeter Lagerfläche ist in der Pharmalogistik so hoch wie in wenigen anderen Branchen. Dazu kommt, dass das Risiko nicht nur in Diebstahl liegt. Es liegt auch in Manipulation, in Tausch, in Rückführung von zurückgegebener Ware in den legalen Kreislauf. Wer ein Pharmalager sichert, sichert nicht nur Material, sondern die Integrität der Lieferkette. Ein einzelner Vorfall, in dem manipulierte Ware in den Kreislauf eindringt, kann das Vertrauen in eine Marke für Jahre beschädigen und Rückrufkosten in zweistelliger Millionenhöhe auslösen.

Die Anforderungen an die physische Sicherung dieser Standorte sind in mehreren Quellen niedergelegt. Die Good Distribution Practice der EU-Kommission, die Leitlinien der EMA, die Empfehlungen des BSI für KRITIS-relevante Bereiche, die Vorgaben des GDV für Versicherbarkeit, die Anforderungen des VdS für anerkannte Sicherheitsanlagen. Diese Quellen sind nicht in einem einzigen Dokument zusammengeführt, sie ergeben aber in ihrer Summe ein klares Bild. Pharmastandorte verlangen eine Zugangskontrolle, die jeden Eintritt dokumentiert. Sie verlangen eine Videoüberwachung, die nicht nur aufzeichnet, sondern erkennt. Sie verlangen eine Sensorik, die unerlaubte Bewegung außerhalb der Geschäftszeiten meldet. Sie verlangen eine Reaktionskette, die innerhalb von Minuten greift.

Wer eine solche Architektur baut, kommt nicht mit klassischen Bausteinen aus. Wachpersonal allein deckt nicht die Fläche, die ein modernes Distributionszentrum hat. Stationäre Kameras allein decken nicht die Bewegungspunkte, die sich mit jeder Umrüstung verschieben. Eine zentrale Leitstelle allein deckt nicht die Reaktionszeit, die in einem KRITIS-relevanten Umfeld notwendig ist. Aus dieser Lage entstehen die Anwendungsfelder, in denen Sicherheitsroboter, mobile Videotürme und KI-gestützte Videoanalyse ihre Stärke ausspielen. Sie ergänzen das Personal, sie erweitern die Reichweite der Leitstelle, sie liefern die Dokumentation, die im Auditgespräch zählt. Das im Werk Boswau + Knauer veröffentlichte Buch Vom Bau zur Sicherheitstechnologie beschreibt die zugrunde liegende Architektur ausführlicher und ordnet sie in die Entwicklung des Unternehmens ein.

Hersteller, Großhandel, Apotheke

Die FMD definiert drei Hauptakteure in der Kette. Der Hersteller speist die Seriennummern ein. Der Großhandel führt risikobasierte Verifikationen durch. Die Apotheke bucht im Moment der Abgabe aus. Jeder dieser Akteure hat eigene Verpflichtungen, und jeder hat eigene Sicherheitsanforderungen.

Der Hersteller trägt die größte Last, weil er die Daten erzeugt. Er muss die Linien serialisieren, er muss die Aggregation steuern, er muss die Datenströme an das EMVS senden, er muss die Rückmeldungen verarbeiten, er muss bei Verdachtsfällen reagieren. Hinzu kommen die physischen Anforderungen an die Produktionsstandorte selbst. Wer eine Tablettenpresse betreibt, die in einer Schicht Material im siebenstelligen Wert produziert, hat einen Standort, der die gleichen Anforderungen erfüllt wie ein KRITIS-Objekt im Energiebereich. Zugangskontrolle, Videoüberwachung, Sensorik, Reaktionskette. Die Zuständigkeit liegt nicht beim Werkschutz allein, sondern in einer integrierten Sicherheitsarchitektur, die mit den GMP-Anforderungen der Produktion zusammenpasst.

Der Großhandel ist die Stufe, an der die meisten Verifikationen stattfinden. Nach Artikel 20 der Verordnung 2016/161 muss der Großhandel Arzneimittel verifizieren, die er von Dritten erhält, die nicht der Originalhersteller oder ein Inhaber der Zulassung sind. Diese risikobasierte Logik ist sinnvoll, sie verschiebt aber den operativen Aufwand in den Großhandel. Ein modernes Distributionszentrum mit hundert Toren und tausend Bewegungen pro Stunde verifiziert nicht von Hand. Es verifiziert über automatisierte Lesepunkte, über Aggregationscodes, über Datenströme, die in Echtzeit mit dem nationalen System abgeglichen werden. An jedem dieser Lesepunkte ist die physische Absicherung der Schlüssel zur Integrität. Wer den Lesepunkt umgehen kann, umgeht die Verifikation.

Die Apotheke ist die letzte Stufe vor dem Patienten. Sie hat die regulatorisch kürzeste, aber rechtlich schärfste Verpflichtung. Sie muss im Moment der Abgabe verifizieren, und sie muss bei einem negativen Befund den Vorgang abbrechen. Diese Verpflichtung ist im Apothekenalltag selten ein Problem, weil die Quote auffälliger Befunde sehr niedrig ist. Sie wird zum Problem, wenn das System nicht erreichbar ist, wenn Notdienste laufen, wenn besondere Versorgungssituationen entstehen. Die Verordnung sieht Ausnahmen vor, sie verlangt aber eine nachgelagerte Verifikation. Auch diese nachgelagerte Verifikation ist nur dann sauber, wenn die Apotheke die Vorgänge dokumentiert hat.

Zwischen diesen drei Akteuren bewegt sich die Logistik. Sie ist in der Verordnung nicht eigens adressiert, weil sie rechtlich Teil des Großhandels oder ein Dienstleister desselben ist. Operativ ist sie die Achse, an der die meisten Risiken entstehen. Verladung, Transport, Übergabe, Zwischenlagerung. An jedem dieser Punkte muss die Sicherheitsarchitektur greifen. Wer hier spart, spart an der schwächsten Stelle der Kette.

Was die Investitionsplanung ändert

Die FMD hat in der ersten Welle nach 2019 vor allem zu Investitionen in Drucktechnik, Kameratechnik, IT-Anbindung und Datenbankstrukturen geführt. Die zweite Welle, die seit etwa 2022 beobachtbar ist, betrifft die physische Absicherung der Standorte und die Integration der RFID-Ebene in die bestehende Architektur. Wer in dieser zweiten Welle investiert, steht vor einer anderen Frage als in der ersten. Es geht nicht mehr darum, eine regulatorische Pflicht zu erfüllen, sondern darum, eine Investition wirtschaftlich zu rechtfertigen.

Die Wirtschaftlichkeit ergibt sich aus drei Größen. Erstens aus der Reduktion direkter Verluste durch Diebstahl, Manipulation und Schwund, die in der Pharmalogistik in einer Größenordnung liegen, die selten offen kommuniziert wird, die aber in den Nachkalkulationen sichtbar ist. Zweitens aus der Reduktion der Folgekosten bei Rückrufen und regulatorischen Verfahren, die ein einziger Manipulationsvorfall auslösen kann. Drittens aus der Verbesserung der Verhandlungsposition gegenüber Versicherern, die zunehmend dokumentierte Sicherheitsarchitekturen verlangen, bevor sie hohe Lagerwerte zu vertretbaren Prämien versichern.

Wer in dieser Lage investiert, denkt nicht in einzelnen Geräten, sondern in einer Plattform, die mit der Lieferkette mitwächst. Eine Plattform, die heute ein Distributionszentrum sichert, sichert in zwei Jahren das nächste, in vier Jahren die mobile Verladestation, in sechs Jahren die Anbindung an externe Logistiker. Diese Skalierbarkeit ist nicht Marketing, sondern Konstruktionsentscheidung. Sie wird vor der ersten Installation getroffen oder sie wird nicht getroffen.

Was bleibt

Die Falsified Medicines Directive ist eine regulatorische Antwort auf ein reales Problem, und sie funktioniert. Die Quote auffälliger Verifikationsbefunde liegt im niedrigen Promillebereich, was als Beleg für die Wirksamkeit der Architektur gelesen werden kann. Sie hat aber eine Annahme, die nicht von selbst trägt. Sie geht davon aus, dass die physische Lieferkette so abgesichert ist, dass die Daten und die Ware in jedem Moment übereinstimmen. Diese Annahme wird in den Distributionszentren, in den Verladepunkten, in den Zwischenlagern und an den Außenflächen der Standorte täglich auf die Probe gestellt.

Wer in der Pharma-Logistik Verantwortung trägt, prüft deshalb nicht nur die Anbindung an securPharm und an das EMVS, sondern die physische Architektur der eigenen Standorte. Er prüft die Zugangskontrolle, die Videoüberwachung, die Sensorik, die Reaktionskette und die Dokumentation. Er prüft, ob die Lesepunkte umgangen werden können, ob die Wege kontrolliert sind, ob die Außenflächen abgedeckt sind. Wer diese Prüfung nicht durchgeführt hat, kann sie in einem strukturierten Audit nachholen. Boswau + Knauer bietet diese Prüfung in einem Format an, das drei bis fünf Tage vor Ort umfasst und am Ende einen schriftlichen Bericht liefert, der mit oder ohne uns weiterverwertbar ist. Wer zuerst das Gespräch sucht, findet uns für eine sechzigminütige vertrauliche Einschätzung, die ohne Folgekosten bleibt. Was danach folgt, ist die Entscheidung des Operators.

Häufige Fragen

Was schreibt die FMD vor?

Die Falsified Medicines Directive und die delegierte Verordnung 2016/161 schreiben für die meisten verschreibungspflichtigen Arzneimittel zwei Sicherheitsmerkmale vor. Erstens ein individuelles Erkennungsmerkmal in Form eines zweidimensionalen Data-Matrix-Codes mit Produktcode, Seriennummer, Charge und Verfalldatum. Zweitens eine Vorrichtung gegen Manipulation, die beim Öffnen sichtbar wird. Die Verifikation läuft über das European Medicines Verification System und die nationalen Datenbanken, in Deutschland securPharm. Die Apotheke bucht im Moment der Abgabe aus. Die Verordnung gilt seit dem 9. Februar 2019 in den meisten europäischen Märkten.

Welche Hersteller sind betroffen?

Betroffen sind alle Hersteller verschreibungspflichtiger Arzneimittel, die in den europäischen Markt liefern, mit wenigen explizit gelisteten Ausnahmen. Bestimmte rezeptfreie Arzneimittel sind ebenfalls erfasst, etwa Omeprazol in bestimmten Stärken. Lohnhersteller und Co-Packer fallen in den Pflichtenkreis ihrer Auftraggeber, müssen aber technisch die Serialisierung leisten. Parallelimporteure tragen besondere Verpflichtungen, weil sie die Sicherheitsmerkmale neu aufbringen müssen. Auch außereuropäische Hersteller, die in die EU exportieren, sind betroffen und müssen ihre Linien an die europäischen Anforderungen anpassen, was in der Praxis erhebliche IT-Investitionen ausgelöst hat.

Wie wird der Code verifiziert?

Die Verifikation erfolgt durch Abgleich der gescannten Seriennummer mit der nationalen Datenbank. Der Hersteller lädt die Seriennummern in das europäische Hub-System, von dort werden sie in die nationalen Datenbanken verteilt. Apotheken und Großhändler senden im Moment des Scans eine Anfrage an die nationale Datenbank, die innerhalb von Sekundenbruchteilen Status und Plausibilität zurückmeldet. Ist die Nummer aktiv und nicht bereits ausgebucht, wird der Vorgang freigegeben. Ist sie auffällig, wird der Vorgang unterbrochen und an die zuständige Stelle gemeldet. Die Architektur ist auf Geschwindigkeit ausgelegt, damit sie den Apothekenalltag nicht stört.

Wer kontrolliert die Einhaltung?

Die Aufsicht liegt bei den nationalen Arzneimittelbehörden, in Deutschland beim Bundesinstitut für Arzneimittel und Medizinprodukte und beim Paul-Ehrlich-Institut, ergänzt durch die zuständigen Landesbehörden für die Inspektionen vor Ort. Die European Medicines Agency koordiniert auf europäischer Ebene. Die nationalen Verifikationsorganisationen, in Deutschland securPharm, betreiben die technische Infrastruktur, sind aber keine Aufsichtsbehörden. Verstöße können zu Vertriebsuntersagungen, Rückrufen und in schweren Fällen zu strafrechtlicher Verfolgung führen. Die GDP-Inspektionen prüfen in zunehmendem Maß auch die physische Sicherheit der Standorte, was den Bogen zur operativen Architektur schließt.