Compliance-Management in deutschen Krankenhäusern
Das Thema Compliance hat bei Krankenhäusern bislang keine bedeutsame Rolle gespielt. In recht kurzer Zeit hat sich jedoch auch im Krankenhauswesen nicht zuletzt aufgrund gestiegenen Wettbewerbsdrucks und Regulierungsdichte ein tiefgreifender Paradigmenwechsel vollzogen, wodurch Compliance nunmehr auch in dieser Branche exponentiell an Bedeutung gewonnen hat und weiterhin gewinnt. Vor dem Hintergrund dieser Entwicklung werden im folgenden Beitrag typische krankenhausspezifische Compliance-Risiken beleuchtet und geeignete Maßnahmen bei der Einführung von Compliance-Strukturen im Krankenhaus aufgezeigt.
I. Einleitung
Compliance hat die deutschen Krankenhäuser erreicht. Erste Publikationen sind erschienen, Studien wurden gestaltet, Verhaltenskodizes einzelner Krankenhäuser finden sich im Internet; zudem – neben tauglichen Fortbildungsangeboten – zahlreiche Versprechen „schneller Lösungen“.
Die Branche benötigt, sucht und findet Orientierung. Zentrale Fragen indes scheinen nach wie vor ungeklärt:
- Was sind die Anlässe, dass Krankenhäuser zunehmend mit der Forderung der Einführung von Compliance konfrontiert werden, die originär von und für die (Groß-)Industrie entwickelt wurden?
- Welches sind die krankenhausspezifischen Compliance-Risiken? Wie werden diese vor ihrer Verwirklichung identifiziert und welche Maßstäbe gelten? Bedarf es eines eigenen „Kodex“, der den Besonderheiten des Krankenhauswesens Rechnung trägt?
- Auf welche Weise lassen sich passgenaue Compliance-Management-Systeme (CMS) etablieren? Können dazu bekannte Strukturen (etwa CIRS) nutzbar gemacht werden? Welches Personal ist erforderlich?
II. Notwendigkeit von Compliance-Strukturen im Krankenhaus
Im klassischen Ansatz wird bei der Frage nach der Notwendigkeit von Compliance auf die Definition in Ziff. 4.1.3 des Deutschen Corporate Governance Kodex abgehoben, wonach der Begriff der Compliance die Pflicht des Unternehmensvorstandes beschreibt, „für die Einhaltung der gesetzlichen Bestimmungen und der unternehmensinternen
Richtlinien zu sorgen und […] auf deren Beachtung durch die Konzernunternehmen“ hinzuwirken. Ergänzend wird auf die weiteren allgemeinen Rechtsgrundlagen hingewiesen, aus denen sich die Pflicht zur Einhaltung geltender Gesetze ergibt – etwa §§ 9, 30, 130 OWiG oder auch §§ 91, 93 AktG, 43 GmbHG.
Dies liefert die Basis für die Ermittlung branchen- und unternehmensspezifischer Rechtsgrundlagen, deren Durchbrechung den „Compliance-Fall“ kennzeichnen und auf die juristischen, wirtschaftlichen und sonstigen Folgen hinweisen lässt, die das Unternehmen und die Unternehmensverantwortlichen im Falle der sog. Non-Compliance treffen.
All dies gilt für Krankenhäuser natürlich gleichermaßen, worauf im Weiteren bei der Darstellung der krankenhausspezifischen Compliance-Risiken näher einzugehen ist. Es lässt aber die für eine notwendige Entwicklung effizienter und zugleich nachhaltiger Compliance-Strukturen im Krankenhaus nicht minder interessanten Fragen unbeantwortet, warum das Thema Compliance bei Krankenhäusern bislang keine bedeutsame Rolle gespielt hat – sieht man von den altbekannten Fragestellungen rund um die Zusammenarbeit mit der Arzneimittel- und Medizinprodukteindustrie einmal ab – und warum es nun an Bedeutung zunimmt.
1. Gründe für die zunächst zögerliche Entwicklung der Compliance im Krankenhauswesen
Das bis dato eher stiefmütterlich gefristete Dasein der Compliance im Krankenhauswesen erscheint umso erstaunlicher, da Krankenhäuser als Leistungserbringer nach dem 4. Kapitel des Fünften Buches des Sozialgesetzbuches (SGB V) der durch gesetzliche und untergesetzliche Normen, insbesondere der im Gesundheitswesen etablierten und immer mehr Rechtsraum greifenden gemeinsamen Selbstverwaltung, wohl am meisten regulierten Branche angehören; denn regelmäßig wird in einer derart hohen und zunehmenden Regulierungsdichte eine plausible Ursache für die Entwicklung eines Bedarfs an Compliance-Strukturen gesehen.
Eine Erklärung für die trotz hoher Regulierungsdichte lange zurückhaltende Entwicklung der Compliance könnte darin liegen, dass sich das Krankenhauswesen erst seit geraumer Zeit, genau betrachtet erst mit Einführung des DRG-Systems und der zunehmenden Öffnung der vielfältig ausgeprägten Grenzen zwischen dem ambulanten und dem stationären Leistungserbringungssektor seit Beginn des neuen Jahrtausends, zu einem „Krankenhausmarkt“ gewandelt hat, in den der Wettbewerb in sodann allerdings spürbarer Weise Einzug erhalten hat.
2. Gründe für die zunehmende Entwicklung von Compliance in Krankenhäusern
In recht kurzer Zeit haben sich bspw. Krankenhauskonzerne mit mehreren Dutzend Krankenhausstandorten in der gesamten Republik und einem zehnstelligen Jahresumsatz entwickelt, die einen hohen Privatisierungs- und Konsolidierungsdruck auf den zuvor durch öffentliche Träger und eher kleinteilige Strukturen geprägten Krankenhäuser erzeugen. Eine ähnliche Entwicklung hat in den Arztpraxen stattgefunden; die Einmannpraxis zählt zur aussterbenden Spezies. Zur gleichen Zeit propagieren Krankenkassen wie Gesundheitspolitik gleichermaßen eine zu hohe Anzahl von Krankenhausbetten und die Notwendigkeit von Kostensenkungsmaßnahmen. Dies beschreibt nur ansatzweise, wie tiefgreifend der Paradigmenwechsel im Krankenhauswesen sich vollzogen hat und unter welch enormen Wettbewerbs- und Wirtschaftlichkeitsdruck die Krankenhäuser heute stehen. Jüngst moniert der deutsche Ethikrat die hiermit einhergehenden Folgen. Dort aber wo ein hoher Wettbewerbsdruck herrscht, erweist sich die Einhaltung von Regeln erwiesenermaßen als schwieriger, die Implementierung von Compliance-Strukturen dementsprechend als umso notwendiger. Vor diesem Hintergrund – der zwischenzeitlich weiterhin gestiegenen Regulierungsdichte und dem weiterhin zunehmenden Wettbewerbsdruck – wundert es gerade nicht mehr, dass das Thema Compliance nunmehr exponentiell an Bedeutung gewonnen hat und weiterhin gewinnt.
Einige konkrete Anlässe sorgen für Übriges:
Öffentlichkeitswirksame staatsanwaltschaftliche Ermittlungsverfahren, die Etablierung von Schwerpunktstaatsanwaltschaften und besonderer Ermittlungseinheiten der Polizei für Delikte aus dem Bereich des Gesundheitswesens, die teils sehr massive Forderung zur Verschärfung der Strafbarkeit von Korruption im Gesundheitswesen und die entsprechende Gesetzesinitiative erzeugt bei den Entscheidungsträgern ein gerüttelt Maß an Respekt vor den denkbaren und wahrscheinlichen Folgen für das eigene Krankenhausunternehmen und – schlimmer noch empfunden – die eigene Person.
Die Problematik des Erwischtwerdens geht […] über die persönliche Betroffenheit der Täter hinaus: Stets findet sich ein Träger berechtigter Interessen, der beklagen darf, in welcher Weise seine Interessen durch das Unternehmen geschädigt wurden. Hiermit wird auf die i. d. R. sehr massiven Reputationsschäden hingewiesen, die mit „Compliance-Skandalen“ verbunden sein können. Man betrachte nur die Berichterstattung über den Hygieneskandal im Klinikum Mannheim und über seine Folgen; es wurde getitelt:
„Tiefer Rutsch in die roten Zahlen – der Skandal um verschmutztes OP-Besteck kommt das Uniklinikum Mannheim teuer zu stehen. Die Zahl der stationären Patienten sank 2015 um zehn Prozent, in der Bilanz fehlen rund 27 Millionen Euro“.
Ein (noch) seltener Fall, in dem ein Compliance-Skandal im Krankenhauswesen zu messbaren wirtschaftlichen Belastungen führte.
III. Typische Compliance-Risiken im Krankenhauswesen
In dem vorstehend zitierten Fall hat sich ein sehr spezifisches Compliance-Risiko des Krankenhauswesens realisiert, die Nichteinhaltung bestimmter medizinprodukterechtlicher Regelungen im Bereich der Hygiene. Die Compliance-Risiken im deutschen Krankenhauswesen sind insoweit allgemein ganz weitgehend nicht mit den typischen Compliance-Risiken zu vergleichen, wie sie in den vergangenen Jahrzehnten in der globalen Industrie sichtbar geworden sind. Dies findet seinen Grund zum einen sicher darin, dass Krankenhäuser keine Produkte herstellen und (weltweit) vertreiben, sondern Dienstleistungen innerhalb der Republik; auch müssen sich deutsche Krankenhäuser nicht von Geschäft zu Geschäft um öffentliche Aufträge bemühen. Die in der Industrie klassischen Compliance-Fälle im Zusammenhang mit Kartellrechts- und Antikorruptionsrechtsverstößen werden daher im deutschen Krankenhauswesen nicht anzutreffen sein, wenngleich das Kartellrecht und insbesondere das Antikorruptionsrecht auch im Krankenhauswesen – aber eben auch in spezifischer Art und Weise – eine Rolle spielen.
Die Risiken im Krankenhaussektor sind diffiziler, was nichts an ihrer Bedeutsamkeit für das Unternehmen und seine Entscheidungsträger ändert. Einen Überblick verschafft die nachstehende Darstellung.
Im Einzelnen:
1. Kooperationen mit der Industrie
Hiermit ist ein für das Gesundheitswesen klassisches Risikofeld angesprochen, die Zusammenarbeit der Krankenhäuser mit der Arzneimittel- und Medizinprodukteindustrie in den Bereichen Forschung und Entwicklung. Einige „Skandale“ sind der Öffentlichkeit bekannt, erinnert sei nur an den sog. „Herzklappenskandal“ aus dem Jahre 1994, in dessen Zuge ein angesehener Herzchirurg, ärztlicher Direktor eines Uniklinikums, im Jahre 2001 wegen Untreue und Vorteilsnahme für schuldig befunden und zur Zahlung von 200 000 Mark verurteilt wurde. Damals ging es um die Frage, ob die persönliche Vereinnahmung von Geldern eines Medizinprodukteherstellers auch dann strafbar ist, wenn die Gelder von dem Mediziner im Rahmen seiner Tätigkeit in der Universitätsklinik für die Forschung verwendet werden.
So war Anlass für die Gesetzesinitiative zur Regelung der Korruption im Gesundheitswesen §§ 299a und b StGB der Fall einer Pharmareferentin, die den von ihr betreuten niedergelassenen Vertragsärzten ein als Vortragshonorar getarntes Kickback auf die von den Ärzten getätigten Umsätze gewährt hat. Der Große Strafsenat beim Bundesgerichtshof hatte damals entschieden, dass die Ärzte weder Amtsträger noch Beauftragte der Krankenkassen und daher nicht nach dem geltenden Antikorruptionsrecht strafbar seien.
Neben solchen und – wie im „Herzklappenskandal“ – Fragen des sog. Drittmittelrechts, steht hier das Sponsoring, also die Finanzierung von Fortbildungsveranstaltungen durch die Industrie, die Hinzuziehung und Entlohnung von Ärzten als Studienleiter oder Prüfärzte zur Durchführung klinischer Studien und Anwendungsbeobachtungen der Industrie, die Hinzuziehung und Entlohnung von Ärzten als Referenten zu Veranstaltungen der Industrie im Raume, um nur die üblichen Formen der Zusammenarbeit zu nennen.
Die Risiken für Krankenhäuser und ihre Ärzte liegen vordringlich darin, im Rahmen solcher Kooperationen strafrechtliche oder berufsrechtliche Verbote zu missachten. In strafrechtlicher Hinsicht geht es insbesondere um die Korruptionsdelikte der §§ 299, 331, 332 StGB, seit Mitte 2016 auch der §§ 299a und b StGB. Im Mittelpunkt steht dabei die Frage nach der sog. Unrechtsvereinbarung: Zum einen müssen die Korruptionshandlung und die Ausübung der ärztlichen Tätigkeit inhaltlich miteinander verknüpft sein, zum anderen muss die Korruptionshandlung das noch hinnehmbare – sog. sozialadäquate – Maß überschritten haben.
Neben Ärzten und Krankenhäusern steht in diesem Risikobereich insbesondere die Industrie selbst unter kritischer Beobachtung. Ihre Verbände haben eine Reihe von Kodizes und Verhaltensempfehlungen geschaffen, auf die sich die Mitglieder im Rahmen einer Selbstverpflichtung verständigt haben. Hierin finden sich vier maßgebliche Prinzipien, die bei der Gestaltung und Durchführung von Kooperationen mit der Industrie beachtet werden sollten:
- Trennungsprinzip (Trennung zwischen Diensttätigkeit und Beschaffungsentscheidung),
- Transparenzprinzip (Offenlegung der Beziehung zwischen Arzt/K rankenhaus und Industrie),
- Dokumentationsprinzip (Schriftlichkeit der getroffenen Kooperationsvereinbarung),
- Äquivalenzprinzip (Angemessenheit zwischen Leistung und Gegenleistung).
2. Kooperationen mit Leistungserbringern
Bei der Kooperation mit Leistungserbringern, seien es andere Krankenhäuser, Ärzte/Vertragsärzte oder auch Heil- und Hilfsmittelerbringer, stehen eine Vielzahl von Regelungskomplexen im Raume. Öffentliche Kritik und hohe Relevanz für (Non)Compliance haben
Vereinbarungen erfahren, in denen das sog. Zuweiserentgeltverbot tangiert sein kann. Ursprünglich nur in den Regelungen der §§ 31, 33 der Musterberufsordnung für Ärzte kodifiziert, hat es zwischenzeitlich sowohl Eingang in das Leistungserbringungsrecht des fünften Buches des Sozialgesetzbuches (§§ 73 Abs. 7, 128 SGB V) als auch in das Krankenhausplanungsrecht erhalten (etwa: § 31a KHGG NRW). Kurz gesagt, darf sich der Arzt keine Vorteile im Zusammenhang mit der Überlassung von Patienten und Untersuchungsmaterial sowie für den Bezug von Arzneimitteln und Medizinprodukten verschaffen. Eben dies ist seit Mitte 2016 auch Inhalt der §§ 299a und b StGB zur Unterbindung der Korruption im Gesundheitswesen werden. Damit stehen Kooperationen jeglicher Art derzeit zur kritischen Revision. Krankenhäusern ist akut zu empfehlen, bestehende Kooperationsverträge mit anderen Leistungserbringern (für die Zusammenarbeit mit der Industrie gilt dies selbstredend auch) einer sorgfältigen Prüfung zu unterziehen (Vertrags-Due Diligence).
Nicht selten sind bei der Gestaltung solcher Kooperationen zudem Fragen der Arbeitnehmerüberlassung und/ oder der Sozialversicherungspflichtigkeit (z. B. beim Einsatz von sog. Honorarärzten) der in der Kooperation vorgesehenen Tätigkeiten des Personals tangiert. Die Anforderungen des Arbeitnehmerüberlassungsgesetzes haben eine deutliche Verschärfung erfahren, scheinselbständige Honorarärzte waren zwischenzeitlich Legion.
Ferner können das Vergaberecht und/ oder das Kartellrecht zu beachten sein.
3. Entgeltabrechnungen
Die Abrechnung der von Ärzten und Krankenhäusern erbrachten Leistungen stellt eine ebenfalls komplexe Regelungsmaterie dar, sei es für gesetzlich oder privat versicherte Patienten. Die Möglichkeit und die Höhe der Abrechnung können in vielerlei Hinsicht fraglich sein.
Die Erbringung von Leistungen für gesetzlich Versicherte setzt stets einen entsprechenden Status des Behandlers als zugelassener Leistungserbringer voraus, im Falle des Krankenhauses denjenigen eines Plankrankenhauses oder Krankenhauses mit Versorgungsvertrag (§ 108 SGB V), im Falle eines – etwa von einem zugelassenen Krankenhaus getragenen – Medizinischen Versorgungszentrums (MVZ) die Zulassung durch den Zulassungsausschuss bei der zuständigen Kassenärztlichen Vereinigung (§ 95 SGB V). Eine ohne den notwendigen Status erbrachte Leistung ist nicht abrechenbar, ihre Abrechnung stellt ohne weiteres einen Abrechnungsbetrug dar. Fragen des Zulassungsstatus sind insbesondere bei Krankenhaus-MVZ von Bedeutung, hier in Form der notwendigen Genehmigung der Anstellung der behandelnden Ärzte durch den Zulassungsausschuss; die fehlende Genehmigung hat bereits zu einem öffentlichkeitswirksamen und wirtschaftlich belastenden „Skandal“ geführt.
Die Höhe der Abrechnung hängt wiederum von der richtigen Anwendung der maßgeblichen Abrechnungsregularien ab. Krankenhäusern wird – meist von den Kostenträgern – immer wieder nachgesagt, sie würden systematisch Falschabrechnungen erstellen. Das erlaubte Rightcoding vom übermäßigen und ggf. strafrechtsrelevanten Upcoding zu unterscheiden, ist im Einzelfall diffizil, da es sich bei dem zugrundliegenden DRG-System um ein sog. lernendes System handelt, das zudem auch stetigen systematischen Änderungen unterliegt. Die Angreifbarkeit der Krankenhäuser im politischen wie insbesondere auch im rechtlichen Sinne, ist spürbar.
Bei der Erbringung separat abrechenbarer ärztlicher Leistungen – sei es auf der Basis einer persönlichen Ermächtigung nach dem EBM oder auf der Basis einer Wahlarztvereinbarung nach der GOÄ – sind die Beschränkungen der Delegation der Leistungen durch den Statusträger auf Dritte nach dem Grundsatz der persönlichen Leistungserbringung besonders relevant. Hier ist die Grenze zum Abrechnungsbetrug durchaus schnell überschritten. Auch macht sich hier in besonderem Maße bemerkbar, dass das, was einst als sozialadäquat angesehen wurde („das macht doch jeder so“) in einem zunehmend durch Wettbewerb und Regulierung geprägten Umfeld einer Veränderung unterliegt und „plötzlich“ in schmerzhafter Weise kritisch betrachtet wird.
4. Medizinische Leistungen
Zu den klassischen Risiken zählen sicherlich die Behandlungsfehler. Diese zu vermeiden, ist nicht nur Pflicht der Ärzte und nichtärztlichen Mitarbeiter im Medizinbetrieb Krankenhaus, sondern zwischenzeitlich etablierte Aufgabe des Risikomanagements. Wie aber der vorstehend erwähnte „Hygieneskandal“ zeigt, gibt es durchaus Schnittstellen zur Compliance. Jede fehlerhafte und schadenträchtige Behandlung birgt ein Compliance-Risiko, nicht nur – dann aber insbesondere – wenn dem Behandlungsfehler ein Organisationsverschulden zugrunde liegt.
5. Interne Organisation
Fehler in der internen Organisation eines Krankenhauses sind nicht nur dann Compliance-relevant, wenn sie einen Behandlungsschaden beim Patienten verursachen, sondern auch im Übrigen. Hier geht es Krankenhäusern nicht anders als anderen Unternehmen, wenngleich sie auch hier spezifischen Risiken ausgesetzt sind. Als Beispiele seien hier der Patientendatenschutz (Patientendaten zählen zu den besonders sensiblen Daten) und die Einhaltung von arbeitszeitrechtlichen Bestimmungen genannt; beides Bereiche, in denen das ein oder andere Krankenhaus bereits Problemsubjekt gewesen ist.
IV. Einführung von Compliance-Strukturen im Krankenhaus
Es scheint nahe zu liegen, Krankenhäuser auf die bekannten Überlegungen zu verweisen, wenn es um die Struktur von Compliance im Unternehmen, mithin um die Einführung eines CMS, geht. Typische Schlagworte etwa wären:
- IDW PS 980, COSO ERM, ISO 19 600
- „Vorbeugen, Erkennen, Reagieren“,
- „Three lines of defense“, „Tone from the top“
Die Liste einschlägiger Begriffe ließe sich fortsetzen. Wer im Thema Compliance ausgebildet ist, weiß dies einzuordnen und bestenfalls hiermit umzugehen, um zu angemessenen Ergebnissen im Unternehmen zu gelangen. Während aber die Notwendigkeit der Etablierung von Compliance-Strukturen im Krankenhaus nicht länger in Frage steht, sind die wenigsten Krankenhäuser bereits gewappnet. Insbesondere für diejenigen Krankenhäuser, die keinem größeren Konzern angehören und auf dort tatsächlich bereits etablierte Compliance-Strukturen zurückgreifen können, sind dies „böhmische Dörfer“. Sie benötigen einen praktikablen und effektiven Ansatz.
1. Wer kümmert sich um Compliance im Krankenhaus?
Dies beginnt bei der Frage, wer sich des Themas Compliance annehmen soll. Die Budgetierung einer Vollzeitkraft kommt meist – jedenfalls zu Beginn – nicht in Betracht, so dass die Funktion des Compliance-Beauftragten, Compliance Officers oder Compliance Managers häufig von einem Mitarbeiter im Krankenhaus zusätzlich übernommen werden muss. Nicht selten handelt es sich dabei um Mitarbeiter, die in ihrer angestammten Funktion – sei es als Justitiar, als Qualitätsmanager, als Risikomanager oder anderes – hochkompetent sind, nicht aber gleichermaßen im Thema Compliance. Umso wichtiger – und ohnehin für den Erfolg von Compliance unverzichtbar – ist, dass sie die Unterstützung der Unternehmensführung erfahren. Die Befassung mit Compliance im Unternehmen ist zu guten Teilen eine sensible kommunikative Aufgabe, denn die Förderung complianten Verhaltens braucht Akzeptanz. Anders herum: Compliance wird nicht selten mit skeptischem Blick begegnet. Viele Mitarbeiter empfinden die Tätigkeit eines Compliance-Beauftragten als Bevormundung und Kontrolle und sehen sich zur Pflichterfüllung angehalten; dies fordert Widerstand heraus. Die zur Überwindung dieser natürlichen menschlichen Reaktionen notwendige Akzeptanz ist schnell beschädigt, wenn von Seiten der Unternehmensführung die Compliance – etwa als notwendiges Übel – herabgesetzt wird, sei es auch ungewollt und unbemerkt.
2. Aneignung von Know-how
Eine der ersten Aufgaben bei der Strukturierung von Compliance besteht in der Aneignung entsprechenden Know-hows. Hierbei kristallisieren sich zunehmend Anbieter heraus, die die spezifischen Anforderungen des Krankenhausmarktes bereits berücksichtigen. Es geht hierbei um die Aneignung/Vermittlung folgender Grundkenntnisse:
- Typische Compliance-Risiken im Krankenhauswesen
- Analyse der Compliance-Risiken im eigenen Krankenhaus
- Bewertung der ermittelten Compliance-Risiken (Risikopotential) und daraus folgende Handlungsnotwendigkeiten (Compliance-Maßnahmen)
- Compliance-Maßnahmen (Werkzeuge)
- Erkennen und Managen akuter Krisensituationen (typische Non-Compliance-Situationen; Verhalten & Kommunikation)
- Systematisierung von Compliance-Strukturen (Vorbeugen/ Erkennen/ Reagieren; Etablierung von Compliance in den Klinikalltag)
3. Risikoanalyse: Erfahrungssammlung, Audits
Unumgänglich ist eine Analyse der Risiken im Krankenhausunternehmen. Vorstehend sind spezifische Risikofelder beschrieben, die eine erste Orientierung geben können, zu welchen Themen im Krankenhaus nach Bestand und Umfang von existierenden Risiken geforscht werden kann. Dabei werden sich abhängig von der betreffenden Einrichtung unterschiedliche Schwerpunkte kristallisieren und weitere, andere Risikofelder/- arten hinzutreten.
Ein guter gedanklicher Ausgangspunkt ist dabei erfahrungsgemäß die Annahme, dass schon bisher – wenngleich nicht unter der Überschrift „Compliance“ – mit bestehenden Risiken umgegangen wurde, etwa in der Rechtsabteilung, im Risikomanagement oder im Medizincontrolling. Es ist sinnvoll die Erfahrungen im Umgang mit bestehenden Risiken zu ermitteln und zu erfassen. Auf diese Weise entsteht schrittweise eine Risikolandkarte des Unternehmens. Darauf verzeichnete Risikofelder können sodann, am besten nach ihrem Risikopotential abgestuft, einer genaueren Prüfung unterzogen werden.
Ein probates Mittel hierbei ist die Durchführung von Audits. Dies bedeutet, dass bestimmte Risikofelder einer genauen Überprüfung unterzogen werden; bspw. die Zentralsterilisation auf die Einhaltung der medizinprodukterechtlichen Verfahrensstandards oder die Überprüfung der eingesetzten Medizinprodukte auf hinreichende Kennzeichnung und – etwa im Falle von Röntgenanlagen – auf Zulassung zum Betrieb. Durch solche Audits, d. h. strukturierte Prüfungen innerhalb bestimmter Risikofelder, kann die Risikoanalyse schrittweise erarbeitet werden. Audits haben insoweit den Vorteil eines abgrenzbaren Prüfungsspektrums und – wichtig für die Kommunikation ins Unternehmen – auch der Sichtbarmachung eines Erfolges. Die Erfahrung lehrt, dass Audits regelmäßig kleinere oder größere Mängel zu Tage treten lassen; diese können bewertet und abgestellt werden. Hierdurch kann der Nutzen einer erfolgreichen Compliance unterstrichen werden.
Der Compliance-Beauftragte kann diese Risikoermittlungsmaßnahmen selbst entwerfen und durchführen oder auf externe, teils bereits sehr versierte Anbieter im Krankenhausbereich zurückgreifen.
4. Vorbeugungsmaßnahmen einführen: Ombudsmann, Hotline & Co.
Risiken werden nicht nur dadurch sicht- und vermeidbar, dass man aktiv nach ihnen sucht; im Zweifel schaut man in die falsche Richtung und das Suchergebnis spiegelt ein fehlendes Risiko vor. Wie heißt es so schön: „You get what you mesure“.
Die „Messeinrichtung“ sollte daher möglichst offen gestaltet sein. Neben der aktiven Suche im Rahmen einer Risikoanalyse, hat es sich als praktikabel erwiesen, den Mitarbeitern des Krankenhauses – ggf. auch Externen – die Möglichkeit einzuräumen, auf Wunsch anonym Meldungen abzugeben über erkannte oder vermutete Compliance-Fälle (Hinweisgebersystem). Dieses Hinweisgebersystem kann in einer Hotline, einem Ansprechpartner (Ombudsmann) oder auch einer Emailadresse bestehen.
Wenngleich die Compliance vorrangig intern organisiert werden sollte, besteht bei der Einrichtung eines Hinweisgebersystems ein guter Grund für die Hinzuziehung eines externen Dienstleisters in Gestalt eines zur beruflichen Verschwiegenheit verpflichteten und im Falle strafrechtlicher Ermittlungen auch berechtigten Anwaltes (Strafverteidigers).
5. Maßnahmen bei akuten Compliance-Fällen: Compliance-Ausschuss
Parallel zur schrittweisen Ermittlung von Risiken und Einführung von Präventionsmaßnahmen kann es passieren, dass eine akute Krisensituation aufkommt, die die Compliance fordert. Es besteht also die Notwendigkeit, die Einbeziehung der Compliance in die Krisenbewältigung zu organisieren. Üblicherweise erfolgt dies so, dass hierzu ein Ausschuss unter Beteiligung der (jeweils notwendigen) Funktionsträger im Unternehmen (Justitiar, Personalleiter, Risikomanager, Medizincontroller, Geschäftsführer, ärztlicher Direktor, …) eingerichtet wird, der über die zu ergreifenden Maßnahmen angesichts eines gemeldeten Compliance-Falles entscheidet. Bei Bedarf kann externe Unterstützung hinzugezogen werden.
6. Systematisierung von Compliance
Von vorneherein sollte bei allen Schritten darauf geachtet werden, dass diese sich der notwendigen Systematisierung zuführen lassen können. Zu präventiven, erkennenden und reagierenden CMS gehört die Entwicklung krankenhausinterner Richtlinien und Verhaltensanweisungen im Hinblick auf typische Compliance-Risikofelder, also etwa die Zusammenarbeit mit der Industrie, die Kooperation mit anderen Leistungserbringern, den Patientendatenschutz, die Abrechnung und Berücksichtigung der Grundsatzes der persönlichen Leistungserbringung etc.
Zur Systematisierung zählen auch die Anbindung der Compliance an bestehende Abteilungen, insbesondere die Rechtsabteilung und die Interne Revision, aber auch das Qualitäts- und das Risikomanagement und das Medizincontrolling. Die regelmäßige Kontrolle und Überarbeitung der geschaffenen Strukturen verstehen sich von selbst.
Matthias Wallhäuser
Rechtsanwalt | Fachanwalt für Medizinrecht
Certified Compliance Officer (Univ.)