„Jeder ist ein Compliance Manager“

Im Gespräch mit Andreas Heiden, Leitung Stabsstelle Interne Revision und Compliance, Compliance Officer des Universitätsklinikums Bonn

Wo innerhalb des Managements ist in Ihrem Haus das Compliance Management angesiedelt? Ist es zentral oder dezentral organisiert?

Das Compliance Office als zentrale Funktion ist Teil der Stabsstelle „Interne Revision & Compliance“. Die Stabsstelle ist direkt beim Vorstand angesiedelt, was die Unabhängigkeit und den hohen Stellenwert von Compliance am Universitätsklinikum Bonn unterstreicht. Die Verantwortung für das Compliance Management insgesamt verteilt sich aber über das gesamte Klinikum. Letztlich gilt „Jeder ist ein Compliance Manager“ und in seiner Funktion verantwortlich für die Einhaltung von Gesetzen und internen Regelungen. Hier gilt es, auch bereits vorhandene Tools zu nutzen, um zum Beispiel Fehlentwicklungen frühzeitig zu identifizieren und gegensteuern zu können.

Wie viele Mitarbeiter umfasst das Compliance Management in Ihrem Haus?

In der zentralen Stabsstelle sind aktuell zwei Mitarbeiter mit dem Compliance Management befasst, wobei der Vorstand bereits eine weitere Stelle genehmigt hat. Natürlich ist Compliance aber auch in vielen anderen Bereichen im Klinikum verankert. Denken Sie nur an Bereiche wie Datenschutz, Informationssicherheit, Arbeitsschutz etc.

Seit wann haben Sie ein CMS-System installiert?

Ich habe die Funktion des Compliance Officers zusätzlich zu meiner Funktion als Leiter der Internen Revision 2021 übernommen. Seitdem entwickeln wir das Compliance Management System am Universitätsklinikum Bonn stetig weiter. Wir haben hier ein klares Zielbild, welches insbesondere die Aspekte „Vorbeugen“, „Erkennen“ und „Reagieren“ beinhaltet. Einen sehr hohen Stellenwert hat dabei auch die Compliance-Kultur, die sich bei uns zum Beispiel auch durch unseren Code of Conduct ausdrückt, den wir mit dem Vorstand in 2023 erstmals formuliert haben und der das Leitbild des Klinikums ergänzt.

Ein Compliance Management System ist, auch aufgrund der sich stetig wandelnden regulatorischen Anforderungen, aber zum Beispiel auch aufgrund interner organisatorischen Änderungen, nie „fertig“. Es lebt und muss laufend angepasst werden.

Welches sind derzeit die größten Herausforderungen in Sachen Compliance?

Wir gehen regelmäßig mit sensiblen Patientendaten um, insofern sind hier sicher Themen wie Informations- und IT-Sicherheit und auch Datenschutz zu nennen. Hierfür haben wir am Klinikum schon seit Jahren entsprechende Beauftragte benannt, die sich mit ihrem Bereich operativ um diese Themen kümmern. In unserer Compliance-, aber auch in unserer Revisionsfunktion unterstützt unsere Stabsstelle hier regelmäßig, beispielsweise durch Audits in den verschiedenen Kliniken.

Herausfordernd sind aber auch die stetig steigenden regulatorischen Anforderungen. Nehmen Sie nur die verschiedenen Richtlinien und Gesetze zu Nachhaltigkeitsthemen, wie das Lieferkettensorgfaltspflichtengesetz („LkSG“), die Corporate Sustainability Reporting Directive („CSRD“) oder auch die EU-Entwaldungs-Verordnung („EUDR“). Hier sind teils die Fragen der Anwendbarkeit bzw. der konkreten Umsetzung der Anforderungen noch nicht wirklich geklärt. Oder nehmen Sie die Diskussion zur europäischen Lieferketten-Richtlinie („CSDDD“). Inwieweit sich hier noch rechtzeitig Erleichterungen oder Änderungen hinsichtlich der Berichtspflicht nach dem deutschen LkSG ergeben werden, ist offen.

Dies sind alles Fragen, mit denen man sich als Organisation insgesamt beschäftigen muss. Als Compliance-Funktion können Sie diese alleine nicht bedienen. Daher arbeiten wir hier zum Beispiel eng mit dem Einkauf und auch mit unserer neu geschaffenen Stabsstelle Nachhaltigkeit zusammen.

Ein weiteres Thema, welches uns zukünftig alle noch viel mehr beschäftigen und betreffen wird, ist das Thema „Künstliche Intelligenz“. Tools wie „ChatGPT“ nutzt heutzutage fast jeder privat, aber auch als Unternehmen und insbesondere als Klinikum müssen Sie sich mit dem Thema und den konkreten Anforderungen aus dem EU-AI-Act auseinandersetzen. Hier gibt es sowohl Chancen als auch Risiken. Auch hier unterstützen wir als Compliance Funktion die jeweiligen Fachabteilungen beratend.

Welche Geschäftsbereiche sind aus Ihrer Sicht besonders „Compliance-sensibel“?

Im Prinzip alle Bereiche, in denen es gesetzliche Vorgaben gibt, also praktisch alle. In der Vergangenheit hätte man hier wahrscheinlich als Erstes den Einkauf genannt. Hier sind wir aber, was klassische Compliance-Themen wie „Korruptionsprävention“ und auch „Vergaberecht“ betrifft, organisatorisch und prozessual gut aufgestellt. Potenzielle Interessenkonflikte spielen aber natürlich immer eine Rolle, beispielsweise in Bereichen, die in Kontakt mit Medizintechnik oder Pharmalieferanten stehen. Hier haben wir aber klare interne Regelungen.

Die Themen „Datenschutz“ und „Informationssicherheit“ ziehen sich hingegen durch die gesamte Organisation. Hier ist letztlich jeder verantwortlich, weshalb hier vor allem die regelmäßige Sensibilisierung der Mitarbeitenden und die Erhöhung der Awareness hilft.

Ist Ihr Haus auf die NIS2-Richtlinie bzw. NIS2UmsuCG vorbereitet, die die Anforderungen an Compliance verschärfen?

Als sogenannter „KRITIS-Betreiber“ sind wir bereits seit 2017 dazu verpflichtet, alle Systeme und Prozesse, die zur Erbringung der kritischen Dienstleistung „Krankenversorgung“ maßgeblich sind, nach Stand der Technik abzusichern. Hierfür zeichnet operativ unser Informationssicherheitsbeauftragter verantwortlich. Am Universitätsklinikum Bonn wird der branchenspezifische Sicherheitsstandard für die medizinische Versorgung umgesetzt. Ein Nachweis der Umsetzung erfolgt seit 2019 alle zwei Jahre mittels eines Sicherheits- bzw. KRITIS-Audits durch einen qualifizierten, unabhängigen Dritten. Mit dem NIS2UmsuCG erweitert sich der Anwendungsbereich auf die Forschung – dies bedeutet eine Registrierungs- und Meldepflicht unserer Forschungsanlagen sowie die Umsetzung von Sicherheitsmaßnahmen analog zum Bereich der kritischen Dienstleistung. Aufgrund der gemeinsamen Verantwortung im Bereich der Forschung arbeiten wir hierzu mit der Informationssicherheit der Universität Bonn zusammen und unterstützen hier perspektivisch beim Aufbau eines Informationssicherheitsmanagementsystems, eines Risikomanagements und anderen Strukturen. Insofern sehen wir uns bereits jetzt sehr gut auf die die NIS2-Richtlinie/NIS2UmsuCG vorbereitet.

Die Regelungsflut mit immer neuen gesetzlichen Reformvorschlägen auf Bundes- und Landesebene wird nicht kleiner. Haben sich die Themen der Compliance mit der aktuellen Krankenhausreform geändert?

Zumindest indirekt wird sich die Krankenhausreform auch auf Compliance-Themen im weiteren Sinne auswirken. Die Finanzierung wird sich ändern und Fallpauschalen werden zum Teil durch Vorhaltevergütungen ersetzt. Es besteht dann eine Nachweispflicht hinsichtlich der Qualitätskriterien und Leistungsgruppen. Hierfür gilt es, entsprechende Reporting-Strukturen aufzubauen. Die Verantwortung liegt hier operativ aber in den Fachabteilungen und im Controlling, die sich natürlich schon seit Langem intensiv mit diesen Dingen befassen. Auch die Ambulantisierung wird zu Änderungen in den Prozessen führen, welche auch wieder zu Implikationen bezüglich der Compliance führen können.

Haben die Krisen der vergangenen Jahre die Schwerpunkte des Compliance Managements verschoben?

Spätestens seit der Corona-Krise hat sich die Art, wie wir heute zusammenarbeiten, deutlich verändert. Das Thema „Homeoffice“ bzw. „mobiles Arbeiten“ ist heute – insbesondere im administrativen Bereich – nicht mehr wegzudenken. Hierdurch haben sich zwangsläufig auch Änderungen in den Prozessen und auch in Kontrollen ergeben. Vieles wurde digitaler. Dies hat viele Unternehmen auch vor Herausforderungen gestellt. So müssen IT-Sicherheit und Datenschutz ja auch bei einem Remote-Zugriff sichergestellt sein.

Auch das Thema „Lieferketten“ ist stark in den Fokus gerückt. Zum einen aus dem Gesichtspunkt der Versorgungssicherheit und zum anderen auch im Hinblick auf die Lieferketten-Compliance. Das Thema LkSG und ESG-Compliance hatte ich ja bereits genannt. Geopolitische Spannungen können sich hier unmittelbar auf die erforderliche Risikobewertung auswirken. Zusätzlich rücken zunehmend auch außenwirtschaftliche Aspekte, wie Sanktions- und Exportkontrollen, in den Fokus.

Ist die derzeit oft benutze Forderung nach „Resilienz“ oder „Kriegstauglichkeit“ relevant in Bezug auf Compliance?

Ja, in jedem Fall. Als Uniklinikum zählen wir zur kritischen Infrastruktur des Landes, weshalb für uns gesetzliche Regelungen zu Resilienzmaßnahmen gelten, die NIS2-Richtlinie hatten Sie ja schon angesprochen. Deswegen betreiben wir auch einen erheblichen Aufwand, zum Beispiel bezüglich der Informations- und IT-Sicherheit. Dass auch Krankenhäuser schon Opfer von Cyberattacken geworden sind, ist ja bekannt. Die Gefahr ist also absolut real, und dem wirken wir bestmöglich entgegen. Dies umfasst auch physische Sicherungsmaßnahmen, wie Zutrittsschutz oder Notstromversorgung sowie Notfallpläne.

Das Gespräch führte Katrin Rüter, Chefredakteurin das Krankenhaus