Im Gespräch mit Dr. jur. Tobias Weimer, Fachanwalt für Medizinrecht, M.A., zertifizierter Compliance Officer, Kanzlei Dr. Weimer, Medizinrecht/Strafrecht, Mülheim an der Ruhr

Welches sind aus Ihrer Sicht die wesentlichen Risikofelder des Compliance-Managements?

Compliance-Management bedeutet zunächst eine eigene Compliance-Organisation –abhängig von Art, Größe und Organisation des Unternehmens – einzurichten, die die Qualität und Komplexität der entsprechenden gesetzlichen wie hausinternen Vorschriften berücksichtigt, die einzuhalten sind. Dazu bietet sich ein Compliance Management System (CMS) an, dass zwischen Compliance-Kultur, -Zielen, -Risiken, -Programm, -Organisation, -Kommunikation und letztlich Überwachung und -Prüfung differenziert und damit einen sogenannten PDCA-Zyklus (Plan-Do-Check-Act) abbildet. Dabei ist immer wieder festzustellen, dass der PDCA-Zyklus nicht geschlossen ist. Oftmals besteht ein sogenanntes check-act Defizit. Es gibt viele Verfahrens- und Dienstanweisungen, aber die Kenntnis- und Wissensverschaffung sowie die Überprüfung kommen im Alltag zu kurz. Darüber hinaus sind die Kenntnis und das Wissen von gesetzlichen Regeln eine große Herausforderung für die Mitarbeiter im Krankenhaus. Die Regelungsflut an gesetzlichen Reformvorschlägen auf Bundes- und Landesebene lässt die Einrichtungen an ihre Grenzen stoßen. Grundvorrausetzung für eine lebende Compliance-Organisation ist aber ein aktuelles Rechtskataster, das zumindest die maßgeblichen Pflichten und damit Verhaltensweisen abbildet. Schon daran fehlt es oft. Aus diesem Grund erarbeiten wir gerade ein digitales, smartes Rechtskataster, sodass die Excel-Tabelle in den Einrichtungen Geschichte wird.   

Wo sollte Compliance bzw. der Compliance-Beauftragte im Management einer Klinik angesiedelt sein?

Hier gibt es keine klare und eindeutige Empfehlung. Es kommt entscheidend auf die Größe und die bisherige Struktur der Einrichtung an. Der Compliance Beauftragte sollte aber juristisch kompetent sein und über Management Skills verfügen. Platt formuliert: Begriffe wie Swot-Analyse oder der PDCA-Zyklus sollten keine Fremdwörter sein.    

Wie grenzen Sie Compliance von anderen Feldern, etwa der Rechtsabteilung, des Risikomanagements, ab?

Die Bereiche Recht, Risikomanagement und Qualitätsmanagement sind eng miteinander verwandt, haben aber unterschiedliche Schwerpunkte und Aufgabenbereiche. Das Compliance Management dient eben dem Aufbau, der Implementierung und Kontrolle von Compliance. Dazu unterstützt die Rechtsabteilung, wie das RM als auch QM. Tatsächlich ist zum Beispiel das Qualitätsmanagement im Krankenhaus ein wichtiges Management-System, das mit einem CMS verknüpft sein sollte. Dabei ist bei der Verknüpfung darauf zu achten, dass es sich u.a. um gleichartige Dokumentationssysteme, bekannte Steuerungs- und Kontrollfunktionen, Systembewertungen im Management-Review und einen risikobasierten Anwendungsansatz handelt. So können sinnvolle und kosteneffiziente Verknüpfungen hergestellt werden. Der risikobasierte Anwendungsansatz erfordert aber zwingend eine Risikoanalyse, so dass das Risikomanagement ins Spiel kommt. Die Risikoanalyse setzt aber die Kenntnis und das Wissen gesetzes- und regelkonformen Verhaltens voraus. Hier kommen der Rechtsabteilung als auch die Fachbereiche wie Medizinprodukte, Hygiene, Reinigung eine erhebliche Rolle zu. Identifikation von Compliance Risiken bedeutet deshalb auch und gerade Wissens- und Informationsmanagement zwischen den Fachbereichen.

Welche Geschäftsbereiche sind aus Ihrer Sicht besonders „Compliance-sensibel“?

Wir identifizieren zunächst die Bausteine des CMS selbst (siehe oben) als besonders sensibel. Darüber hinaus B2B-Prozesse, Leistungserbringung und Abrechnung, Hygiene, Medizinprodukte, Arbeits- und Sozialrecht, Vertragsmanagement, Korruptionsprävention. Besonders wichtig und aktuell ist aber die IT-Sicherheit und der Datenschutz. Im Jahr 2022 betrugen die durchschnittlichen Kosten eines Datenlecks im Gesundheitssektor rund 10,1 Mio. US-Dollar. Im Jahr 2023 belief sich der Anteil der deutschen Unternehmen, die mindestens einen Cyberangriff erlebt haben, dem Statistikportal Statista zufolge auf 58 %.

Dabei sind die Einrichtungen im Zeitraum 2024 bis 2026 verpflichtet, die grundlegenden Sicherheitsanforderungen der NIS2 als EU-Direktive für Betreiber kritischer Infrastrukturen zu beachten und umzusetzen. Dabei trägt die Geschäftsleitung eine direkte Verantwortung für die Cybersicherheitsstrategie. Bei Sicherheitsvorfällen müssen Kliniken diese unverzüglich melden - innerhalb von 24 bis 72 Stunden. Dies erfordert etablierte Compliance-Prozesse und Meldewege.

Sind Hinweisgebersysteme in Kliniken bereits verbreitet? Wie funktionieren sie, haben sie sich bewährt?

Die Umsetzung der EU-Whistleblower-Richtlinie (EU) 2019/1937 vom 16. Dezember 2019 durch das Hinweisgeberschutzgesetz erfolgte bereits zum 2. Juli 2023. Danach sind die Kliniken zur Implementierung eines internen Hinweisgebersystem mit Mindestvorgaben nach den §§ 12-18 HinSchG verpflichtet. Nach unseren Erfahrungen wurde das „Ob“ eines Hinweisgebersystems weitgehend umgesetzt. Das „Wie“ im Praxisalltag dürfte die eigentliche Herausforderung sein. So hat eine Prüfung und Dokumentation der eingehenden Meldungen zu erfolgen, die Vertraulichkeit sowie der Datenschutz muss beachtet werden. Eine Eingangsbestätigung innerhalb von sieben Tagen und die Mitteilung der ergriffenen Folgemaßnahmen innerhalb von drei Monaten erfordert auch hier eine gewisse Routine in den Prozessen. 

Wie sind die Abläufe etwa im Falle eines Korruptionsverdachts?

Die Abläufe im Falle eines Korruptionsverdachts hängen davon ab, ob dieser zunächst hausintern aufgetreten ist oder bereits die Öffentlichkeit erreicht hat. Hausintern können wir mit Ruhe und Sorgfalt dem Verdacht mit Hilfe der Risikoanalyse nachgehen und hoffentlich ausräumen. Welcher Vorwurf steht konkret im Raum, wurden Richtlinien, Branchenkodexe missachtet, erhärtet sich also der Verdacht? Auch das präventive Aufstellen eines Kriseninterventionsplans ist anzuraten. Ist der Fall bereits in der Öffentlichkeit und sogar bei der Staatsanwaltschaft, so ist eine zielgenaue Krisenintervention durch Beauftragung geübter Krisen- und Kommunikationsmanager das Mittel der Wahl. Wir arbeiten hier mit einer professionellen Agentur zusammen. Im Übrigen ist gekonnte Strafverteidigung angesagt.  

Wie können Kliniken sicherstellen, dass alle Mitarbeitenden Anweisungen zur Compliance tatsächlich gelesen sowie verstanden haben und im Alltag umsetzen?

Die Mittel sind vielschichtig. Im Alltag kommen Ad-hoc-Berichte über Non-Compliance, Hotline, Beschwerden, Whistleblower und Hinweisgebersysteme, Informelle Diskussionen, Arbeitssitzungen, Stichproben- und Integritätsprüfungen, Mitarbeiterbefragungen und der der Ansatz des „management by walking around“ in Betracht, um Missstände in Bezug auf das tatsächliche Leben von Compliance-Regeln zu identifizieren. Eine besonders sinnvolle Vorgehensweise ist aber, die Mitarbeiterbefragung zu standardisieren. Wir haben dazu den Compliance Excellence Scan entwickelt. Mit Hilfe eines standardisierten digitalen Fragenkatalogs zu den Compliance-sensiblen Geschäftsbereichen wird das Wissen und die Kenntnis der Mitarbeiter über rechtliche Rahmenbedingungen aber auch hausinterne Strukturen über eine Plattform abgefragt. Mitarbeiter können auf die Fragen antworten, und der Compliance Excellence Scan errechnet das mögliche Risiko und notwendige Handlungsfelder aus den Antworten. Das mögliche Risiko durch Non-Compliance der Mitarbeiter wird visualisiert mittels eines Ampelsystems und einem Spinnendiagramm. So ganz nebenbei wird damit auch die Kenntnis und das Wissen um die einschlägigen Regelwerke abgefragt und notwendiger Nachschulungsbedarf identifiziert.           

Gibt es regelmäßige Schulungen hierzu?

Neben unseren Schulungen bietet die Deutsche Krankenhaus Institut GmbH (DKI) zum Thema Compliance-Management im Krankenhaus jährlich mehrere Schulungen für die Mitarbeiter der Kliniken an. Abgerundet wird dieser Bereich mit weiteren Seminaren zum Thema: Tatort Krankenhaus und Gewalt im Krankenhaus. Zudem werden zahlreiche weitere Seminare zu Compliance-sensiblen Geschäftsbereichen wie zum Beispiel Nachhaltigkeit, Datenschutz und IT-Sicherheit angeboten. 

Das Gespräch führte Katrin Rüter, Chefredakteurin das Krankenhaus