Foto: Fotolia/spotmatikphoto

Compliance im Krankenhaus

Ohne Risiken und Nebenwirkungen

Überall, wo Produkte und Dienstleistungen eingekauft werden, kann es zu Korruption kommen – auch in Krankenhäusern. PROTECTOR befragte zum Thema Compliance Jürgen Schreiber, Security Manager der Tiroler Landeskrankenanstalten (Tilak) GmbH.

PROTECTOR: Vor kurzem war in einschlägiger Fachliteratur noch zu lesen, dass Compliance im Gesundheitswesen keine Rolle spielt. Teilen Sie diese Ansicht?

Jürgen Schreiber: Nein, ich teile diese Ansicht nicht. Die Krankenanstalt als „Unternehmen Gesundheit“ ist ein kompliziertes Gebilde aus medizinisch-pflegerischen Tätigkeiten und Abläufen sowie Abrechnungs- und Finanzierungs-mechanismen. Das Krankenhaus als sicherer Hort für Patienten, Schutz und Sicherheit für die Menschen, Anlagen und Einrichtungen im Krankenhaus – das sind für mich zwei wichtige Schutzziele. Gerade deswegen sind eine stabile Vertrauenssituation und Aufrichtigkeit wichtige Grundpfeiler des täglichen Miteinanders.

Wie definieren Sie speziell im „Unternehmen Gesundheit“ den Begriff?

Compliance hat im Krankenhaus zwei Bedeutungen. Auf der medizinisch-pflegerischen Seite steht der Begriff für die „Mitarbeit“ der Patienten“ bei einer medizinischen Behandlung, zum Beispiel durch Einhalten von Verhaltensregeln.

Compliance im unternehmerischen Sinn dagegen bedeutet die Einhaltung von Gesetzen und Verordnungen sowie den internen Organisationsgrundsätzen, Richtlinien und des Verhaltenskodex.

Gesetzeskonformes Handeln sollte ja auch in Krankenhäusern selbstverständlich sein. Welche besonderen Risikobereiche sehen Sie hier?

Jede Krankenanstalt ist darauf bedacht, gesetzeskonform zu handeln. Insbesondere im Hinblick auf den Schutz und die Sicherheit von Patientendaten und als öffentlicher Auftraggeber bei der Ausschreibung und Vergabe von Dienstleistungen oder Bauaufträgen, aber auch bei der Beschaffung von Verbrauchs- und Anlagegütern oder Medizinprodukten und Arzneimitteln.

Typische Risikobereiche sind zum Beispiel die Abrechnung nicht indizierter oder medizinisch überflüssiger Leistungen, Bevorzugung von Patienten aufgrund einer „Zuwendung“ oder Nebentätigkeiten als „Prüfer“ von Arzneimitteln sowie die Annahme von „Einweiserprämien“.

Aber auch die Teilnahme an Kongressen und Veranstaltungen, die von der Industrie gesponsert sind, oder der Umgang mit Drittmitteln für Forschungszwecke können Risiken mit sich bringen.

Dann sollte doch aber am besten jedes Krankenhaus eine Compliance-Abteilung installieren.

Sie haben recht, das Bewusstsein für Risikomanagement und Compliance ist auch in den Krankenanstalten gestiegen, nicht zuletzt durch die Ereignisse und Vorfälle in der jüngsten Vergangenheit wie zum Beispiel Abrechnungsbetrug, Bevorzugung bei Organverpflanzung oder Handel mit Patientendaten.

Die Metapher „Vorbeugen ist besser als Heilen“ oder das gute Image sind sicherlich die Grundlagen dafür, dass in Krankenanstalten ein Corporate Compliance Management eingerichtet werden soll. Auf der anderen Seite gilt es, den Leitungs- und Aufsichtsorganen einer Krankenanstalt Werkzeuge an die Hand zu geben, die es möglich machen, den vom Gesetzgeber auferlegten Pflichten gerecht zu werden. Eine Vielzahl von Gesetzen und Regeln ist zu beachten, vom Medizinprodukte- oder Arzneimittelgesetz über das Gesetz gegen den unlauteren Wettbewerb bis zu verschiedenen Straftatbeständen im Strafrecht und anderen Rechtgrundlagen.

Die Falle des Organisationsverschuldens ist häufig nicht auf den ersten Blick sichtbar. Aber auch die Aufklärung und Sensibilisierung der Beschäftigten mit Blickrichtung „richtiges Verhalten“ als Schutz vor straf- und dienstrechtlichen Folgen sind hinreichende Gründe für eine Compliance-Abteilung.

In welchen Schritten sollte ein Krankenhaus vorgehen, um eine solche Abteilung aufzubauen?

Nachdem die Entscheidung auf der Führungs- beziehungsweise Leitungsebene gefallen ist, ein Corporate Compliance Management einzurichten, gilt es, eine interdisziplinäre Arbeitsgruppe aus allen Berufsgruppen zu bilden. Deren Aufgabe ist es, Prozesse zu beschreiben, Risiken zu identifizieren und geeignete Abwehrmechanismen zu entwickeln.

Bei all diesen Überlegungen muss der Mensch als Betroffener, aber auch als „Problem“, im Mittelpunkt stehen. Nicht zuletzt gilt es, ein Verfahren zu entwickeln, wie der „Verhaltenskodex“ den Beschäftigten aller Ebenen vermittelt wird. Denn nur dann, wenn ein stabiles Bewusstsein für Recht und Unrecht vorhanden ist und auch gelebt wird, hat das System eine Chance.

Nach erfolgreicher Einführung der Compliance-Organisation sind kontinuierliche Stichproben und Audits zur Prüfung der Wirksamkeit auf der einen und zur Erkennung von Schwachstellen oder Verstößen auf der anderen Seite notwendig. Die Audits sind auch ein wesentlicher Aspekt in Hinblick auf Abschreckung und stellen zudem ein zentrales Werkzeug der Aufsichts- und Kontrollpflichten der Krankenhausführung dar.

Auf welcher Ebene ist das Thema am besten angesiedelt?

Das Thema Corporate Compliance sollte in einer Stabstelle oder Stabsabteilung unterhalb der Geschäftsleitung beziehungsweise Kollegialen Führung angesiedelt werden. Der Corporate Compliance Officer berichtet direkt an die Geschäftsführung oder Kollegiale Führung. Die Geschäftsführung hat „nur“ eine Meta-Überwachung.

Wie holt man die Mitarbeiter am besten „mit ins Boot“, denn Compliance muss ja auch gelebt werden?

Wie bereits angesprochen, muss der Sinn und Zweck des Compliance Managements allen Beschäftigten einfach und verständlich übermittelt werden. Im Rahmen von Informationsveranstaltungen für die Belegschaft, auf Abteilungs- oder Stationsebene und durch die Präsenz im Intranet können die Mitarbeiter angesprochen und sensibilisiert werden.

Bei den Führungskräften gilt es, die Einsicht und Verantwortung für das eigene Tun zu stärken und gleichzeitig Unterstützung bei der Umsetzung der Compliance-Richtlinie anzubieten. Interaktive Workshops in interdisziplinären Kleingruppen sind sicherlich ein taugliches Mittel.

Nach der Einführung, also im täglichen Krankenhausleben, muss die Abteilung Compliance für die Anliegen und Informationen der Beschäftigten und Führungskräfte erreichbar sein und im Bedarfsfall „Quellenschutz“ garantieren.

Compliance-Beauftragte sind ja oft „Quereinsteiger“. Aus welcher Ecke sollte er im Krankenhaus am besten kommen?

Diese Frage lässt sich nicht so einfach beantworten. Der Themenbereich ist relativ umfangreich und differenziert, es geht vom Rechtswesen über Vertragsmanagement zu wirtschaftlichen Komponenten und weiter zu Medizinprodukten und Arzneimitteln. Der Corporate Compliance Officer oder besser gesagt das Corporate Compliance Team sollte daher neben juristischen und betriebswirtschaftlichen Know-how unabdingbar spezifisches Wissen über den Krankenhausbetrieb besitzen. Ermittlungstechnische und -taktische Kenntnisse und Erfahrung sind sicherlich hilfreich. Bei der Betrachtung dieser Fähigkeiten wird schnell deutlich, dass es sinnvoll ist, hier im Team zu arbeiten.

Zusammenarbeiten sollte die Compliance-Organisation unter anderem auch mit dem Risikomanagement, der Internen Revision und dem Corporate Security Management der Krankenanstalt.

Lassen sich in der Folge die Kosten für den Aufbau einer Compliance-Abteilung eigentlich beziffern?

Mir liegen zurzeit keine Kennzahlen vor. Die Kosten hängen jedoch sicherlich von der Größe und Art der Krankenanstalt sowie bereits etablierter Strukturen und in weiterer Folge von der personellen und materiellen Ausstattung der Corporate Compliance Organisation ab.

Was passiert, wenn ein Haus nicht „compliant“ ist? Wie schwer wiegt ein Reputationsverlust?

Sicherlich können materielle und immaterielle Schäden entstehen, wenn keine entsprechende Vorsorge getroffen wurde. Wenn keine Compliance-Organisation vorhanden ist und aufgrund dessen die Beschäftigten Recht und Unrecht nicht richtig abschätzen können oder wenn keine Normen beziehungsweise Erwartungen der Klinik definiert sind, kommt es möglicherweise zu Fehlverhalten. Genauso verhält es sich, wenn die Mitarbeiter unmotiviert sind oder Gelegenheiten zum unrechten Handeln vorfinden.

Wir haben seit Anfang 2009 eine entsprechende Richtlinie zur Sensibilisierung und Bewusstseinsstärkung der Beschäftigten. Diese Richtlinie beschreibt die wesentlichen Risiken und Gefahren.

Annabelle Schott-Lung

Hintergrund Die Tiroler Landeskrankenanstalten (Tilak) GmbH verfügt an fünf Standorten über ungefähr 2.500 Betten. Über 7.000 Mitarbeiter kümmerten sich 2011 um ungefähr 1,2 Millionen ambulante und 122.000 stationäre Patienten.
Foto: Thorben Wengert/Pixelio

Compliance im Unternehmen

Vertrauen schaffen

Das Thema Compliance betrifft mittlerweile alle Unternehmen und Institutionen gleich welcher Größe oder in welchen Bereichen agierend. International aufgestellte oder größere Unternehmen sind sicherlich mehr betroffen als Mittelständler. Jedoch ist auch bei mittelständischen Unternehmen, gerade durch die räumliche Nähe und zum Teil örtliche Verbundenheit zum potentiellen Auftraggeber, ein Risikopotential gegeben, was auch auf Krankenhäuser zutrifft.

Foto: Fotolia/flashpics

Kritische Infrastruktur Krankenhaus

Für die Krise gerüstet

Zu den kritischen Infrastrukturen gehören neben Energieversorger und Banken auch Krankenhäuser. Kritisch daher, weil bei ihrem Ausfall die öffentliche Sicherheit erheblich gestört würde. Mit welchen Krisenszenarien ein Krankenhaus zu rechnen hat und mit welchen Instrumenten diesen begegnet werden kann, wollte PROTECTOR & WIK von Jürgen Schreiber, Security Manager der Tirol Kliniken GmbH, wissen.

Foto: Tirol Kliniken 2015

Sicherheitsdienstleister im Krankenhaus

Nachholbedarf

Ein Krankenhaus gleicht infrastrukturell nicht selten einer kleinen Stadt. Prävention in Hinblick auf Datenschutz und Safety ist, nicht zuletzt aufgrund von einschlägigen gesetzlichen Vorgaben, gelebte Praxis. Doch wie sieht es mit Themen wie Kriminalprävention, Objekt- und Personenschutz aus?

Foto: Fotolia/adam121

IT-Sicherheit in Krankenhäusern

Netzwerksicherheit verbessern

Das Jahr der Ransomware-Attacken – so bezeichneten die Experten des McAfee Labs Threats Report 2016 das vergangene Jahr. Hierbei standen insbesondere Krankenhäuser im Fokus. Netzwerk-Recorder, die den Datenverkehr aufzeichnen, tragen zur Identifizierung und Behebung von Sicherheits- und Netzwerkleistungsproblemen bei.