11163 Compliance im Management – Rechtssicherheit und Risikominimierung im Gesundheitswesen

Die „Vogel-Strauß-Taktik” ist existenziell bedrohlich – Unternehmensleitungen von Krankenhäusern und Kliniken haben die Bedeutung und die Pflicht zur Einführung eines Compliance-Management-Systems zur Vermeidung von Regelverstößen und zur Abwendung von Unternehmensschäden noch nicht hinreichend realisiert. Viel zu wenige Verantwortliche an der Unternehmensspitze folgen dem proaktiven Motto „agieren statt reagieren”! Der Handlungsdruck steigt mit der weiter zunehmenden Flut an Regulatorik im Gesundheitswesen; man denke nur an die Regeln zum Lieferkettensorgfaltspflichtengesetz, zur Nachhaltigkeit und zur IT-Sicherheit. Da den Überblick zu behalten ist herausfordernd. Ein ordnungsgemäßes Compliance-Management bietet Schutz des Unternehmens sowie Selbstschutz der Leitungsorgane. Exemplarisch werden Projektbeispiele eines Krankenhausträgers herangezogen, der unter anderem seine Beschaffungsorganisation unter Compliancegesichtspunkten auf den Prüfstand gestellt hat. Es wird deutlich, dass präventives Handeln immer Vorrang haben muss vor reaktiver Schadensbewältigung.

Reputationsverlust vorbeugen
Seit einigen Jahren werden Verstöße von Unternehmen, ihren Organen und Mitarbeitern gegen Gesetze oder ethische Normen verstärkt in der Öffentlichkeit diskutiert und sehr kritisch bewertet. Teilweise wurde die Reputation der betroffenen Unternehmen durch die aufgedeckten Gesetzes- und Regelverstöße nachhaltig geschädigt. Diese Entwicklung betrifft auch Führungsspitzen von Krankenhäusern und Kliniken. Ein berühmtes Beispiel ist der ehemalige Geschäftsführer der Universitätsmedizin Mannheim, der zu zwei Jahren Freiheitsstrafe wegen Non-Compliance im Bereich der Aufbereitung von Sterilgütern verurteilt wurde [1], oder auch der ehemalige Geschäftsführer des Klinikums Ingolstadt, der sich in seiner Zelle das Leben nahm, in der er wegen des Verdachts der Untreue, Bestechlichkeit und Vorteilsnahme saß [2]. Vor diesem Hintergrund gewinnt die grundsätzliche und systematische Verbesserung der Compliance für Krankenhausträger immer mehr an Bedeutung.

Rechtliche und auch existenzielle Notsituationen
Korruptionsfälle, Schmiergeld- und Hygieneskandale, unentdeckte Geschäftsrisiken durch Non-Compliance und/oder nicht vorhandene Regelungen bringen Geschäftsführungen und Vorstände in rechtliche und auch existenzielle Notsituationen. Die Geschehnisse der Vergangenheit beweisen: Compliance-Management kostet Geld, keine Compliance kostet weitaus mehr. Dabei gibt es wie so oft kein Erkenntnisproblem, sondern vielmehr ein Umsetzungsproblem. Die Finanzsorgen in der Krankenhauslandschaft der jüngsten Vergangenheit tragen sein Übriges dazu bei, dass Compliance in der Umsetzung eher als ein Randthema auf der Agenda der To-dos bewertet wird. Dabei bietet ein CMS die Adlerperspektive, die es braucht, um einen sinnvollen Umgang mit Risiken zu gewährleisten.

Compliance
Unter Compliance ist die Einhaltung aller gesetzlichen Bestimmungen und unternehmensinternen Richtlinien, also Regeltreue und Regelkonformität, zu verstehen (siehe auch Deutscher Corporate Governance Kodex Ziffer 4.1.3 [3] oder auch IDW PS 980 Ziffer 2.5 [4]).

CMS
Ein Compliance-Management-System (CMS) umfasst alle Maßnahmen, die das regelkonforme und ordnungsgemäße Verhalten der in einem Unternehmen tätigen Organe, Organmitglieder und Mitarbeiter im Hinblick auf gesetzliche, vertragliche und unternehmenseigene Regelungen sicherstellen sollen (siehe auch Ziffer 2.6 IDW PS 980).

Mittels eines derartigen CMS begegnen die Geschäftsführungen, die Mitarbeiter medizinischer Einrichtungen und auch die technologische Industrie, ihre Leitungsorgane und Mitarbeiter sowie niedergelassene Ärzte den vielfältigen rechtlichen Restriktionen und Fallstricken im Rahmen ihres Tätigkeitsfelds. Während Compliance in Bereichen wie IT, Hygiene und Medizinproduktesicherheit in spezialgesetzlichen Normen wie der KRINKO-Empfehlung, MDR, MPDG, MPBetreibV, IfSchG etc. ihren Ausgangspunkt nimmt, steht im Bereich der Beschaffung insbesondere die Einkaufsentscheidung unter dem Blickwinkel der Korruptionsgefahr im Fokus. Zudem birgt das Vergaberecht zahlreiche Risiken, die es zu vermeiden gilt. Dabei hilft ordnungsgemäße Organisation.

Keine Gesetze verletzen
Unternehmensleitungen müssen deshalb dafür Sorge tragen, dass ihr Unternehmen so organisiert und beaufsichtigt wird, dass keine Gesetze verletzt werden (Legalitätspflicht). Sie trifft weiter eine allgemeine Überwachungspflicht, für die ein Kontrollsystem installiert wird, das geeignet ist, bestandsgefährdende Entwicklungen frühzeitig zu erkennen und zu verhindern (Legalitätskontrollpflicht). Das Management kommt seiner Organisationspflicht nur nach, wenn es ein auf Risikokontrolle und Schadensprävention angelegtes Compliance-Management-System implementiert.

Der vollständige Verzicht auf ein CMS sowie die halbherzige Einrichtung eines nicht nachhaltig effektiven CMS können nach gefestigter Rechtsprechung per se schon eine Pflichtverletzung bedeuten. Dies kann zivilrechtlich Schadensersatzansprüche des Unternehmens gegen die Geschäftsleitung sowie Geldbußen begründen, wenn es zu Gesetzesverletzungen kommt. Zu betonen ist, dass diese Konsequenzen für die Unternehmensleitung nicht nur Aktiengesellschaften treffen, sondern 1:1 auf die GmbH übertragbar sind.

Mit der einmaligen Einrichtung eines CMS ist es allerdings nicht getan; Vorstand und Geschäftsführer sind verpflichtet, Geeignetheit und Funktionsfähigkeit des CMS fortlaufend zu überwachen und sicherzustellen.

Kodexe, Empfehlungen und Co.
In der Praxis sind schon in der Vergangenheit sogenannte Empfehlungen und Standpunkte veröffentlicht worden, um eine gewisse Selbstreglementierung und Risikoprävention zu erreichen. Exemplarisch sei an dieser Stelle der Kodex Medizinprodukte [5] des Bundesverbands Medizintechnologie e. V. (BVMed) genannt. Dieser hilft z. B. bei Umsatzgeschäften mittels der bekannten Prinzipien von Trennung, Transparenz, Dokumentation und Äquivalenz die rechtlichen Rahmenbedingungen einzuhalten.

Vorhandene Maßnahmen nutzen
Um die Einhaltung der notwendigen Organisations- und Aufsichtspflichten umfassend sicherzustellen, erscheint es demnach sinnvoll, die bereits im Unternehmen vorhandenen Maßnahmen zur Einhaltung von Compliance zu nutzen. Im Sinne eines ganzheitlichen und systematischen Vorgehens sollten diese Maßnahmen gebündelt, strukturiert und im Rahmen eines Integrierten Managementsystems ergänzt und zusammengefasst werden. Unter dem Dach der Corporate Governance (Grundsätze der Unternehmensführung), die den Ordnungsrahmen für die Leitung und Überwachung eines Unternehmens bildet, entsteht so ein integriertes Managementsystem, das neben dem Baustein CM in der Regel ein Qualitätsmanagement, klinisches Risikomanagement und ein Managementsystem für Sicherheit und Gesundheit bei der Arbeit (SGA-MS) etc. umfasst (s. Abb. 1).

Top down
Ausgangspunkt ist ein klares Bekenntnis der Geschäftsführung und des Aufsichtsrats. Die Leitungsorgane von Krankenhäusern und Kliniken tragen eine umfassende Verantwortung für die Menschen, die sich ihnen anvertrauen, die Mitarbeiter, die Partner und die Öffentlichkeit. Es ist daher wichtig, ein klares Zeichen zu setzen, CMS als Teil des Unternehmensleitbilds zu verstehen. Die Verantwortlichkeit für die Compliancepraxis liegt bei der Unternehmensleitung. Die erfolgreiche Umsetzung jedoch erfordert eine allgegenwärtige Identifikation und ein Verständnis im Tagesgeschäft. Die Schaffung der Stelle eines „Complianceverantwortlichen” an sich ist kein Garant für die geforderte Angemessenheit und Wirksamkeit. Eine angemessene Complianceorganisation ist immer Chefsache und muss geregelt sein, will sie nachhaltige Wirksamkeit entfalten. Daher empfehlen wir die Erkenntnis: Compliance ist Chefsache und nicht delegierbar!