Der Begriff "Compliance" stammt aus dem Englischen und bedeutet wörtlich "Einhaltung" oder "Befolgung". Er hat seinen Ursprung im lateinischen Wort "complere", was "vollständig erfüllen" oder "ausfüllen" bedeutet. Daher bezieht sich "Compliance" im modernen rechtlichen Sprachgebrauch auf die Einhaltung von Gesetzen, Vorschriften, Richtlinien und ethischen Standards.
Compliance versteht sich in einem Rechtsstaat also von selbst und gilt für sämtliche Organisationen jeder Größe und Branche, ganz besonders Einrichtungen im Kirchen- und Gesundheitswesen wie Altenheime, Krankenhäuser oder Kitas.
Rechtliche Pflicht zur Compliance
Rechtlich findet sich diese allgemeine Compliance-(Organisations-)Pflicht etwa in § 43 GmbHG und § 93 AktG, die jeweils die Unternehmensleitung zur sorgfältigen Unternehmensführung verpflichten. Auch das Ordnungswidrigkeitenrecht (OWiG) sichert diese Pflicht ab. Nach § 130 OWiG müssen Betriebsinhaber die erforderlichen Aufsichtsmaßnahmen treffen, um Zuwiderhandlungen gegen sie treffende Pflichten zu verhindern. Daraus kann sich die Pflicht zur Einrichtung eines Compliance-Management-Systems (CMS – siehe unten) ergeben, wenn besondere Risikopotenziale im Unternehmen ersichtlich sind.
Das bedeutet für Führungskräfte aber auch, nicht für jede unternehmerische Entscheidung persönlich haftbar gemacht werden zu können, solange sie im Rahmen der gesetzlichen Vorgaben und im besten Interesse des Unternehmens handeln. Sie müssen aber sorgfältig prüfen, ob einzelne Compliance-Maßnahmen oder ein ganzes CMS umzusetzen sind. Das hängt im Wesentlichen von folgenden Kriterien ab.
- Erforderliche Aufsichtsmaßnahmen: Umfang der Maßnahmen zur Einhaltung der Rechtsordnung
- Unternehmensmerkmale: Art, Größe, Struktur und Branche des Betriebs
- Umsetzbarkeit: Praktische Durchführbarkeit der Überwachung
- Regelungsumfang: Vielfalt und Bedeutung der zu beachtenden Vorschriften
- Rechtsverletzungsrisiko: Gefahr von Rechtsverstößen
- Vergangene Verstöße: Art und Häufigkeit früherer Verletzungen
Typische Compliance-Risiken im Gesundheitswesen
Zu den typischen Compliance-Risiken, die eine Organisationen im Gesundheits- und Gemeinnützigkeitswesen beachten muss.
- Nichteinhaltung von Aufsichtsanforderungen / gesetzlichen Vorgaben:
Unzureichende Erfüllung der Anforderungen von Aufsichtsbehörden und fehlende Anpassung an neue gesetzliche Vorgaben. Gerade gesetzliche Vorgaben zur verpflichtenden Einführung einzelner Komponenten eines CMS nehmen zu. Das gilt z. B. aktuell für die Einhaltung von (kommenden) Vorgaben zur Cybersicherheit oder Meldesystemen.- Einführung einer internen Meldestelle nach dem Hinweisgeberschutzgesetz (HinSchG) für Organisationen ab 50 Beschäftigten
- Umsetzung des Lieferkettensorgfaltspflichtengesetzes (LkSG) inklusive Risikoanalyse, Präventionsmaßnahmen und Beschwerdeverfahren für Unternehmen ab 1.000 Beschäftigten
- Einführung einer Beschwerdestelle nach dem allgemeinen Gleichbehandlungsgesetz (AGG) grds. für alle Organisationen
- Umsetzung des kommenden NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG) grds. für Organisationen mit mindestens 50 Mitarbeitern oder einem Jahresumsatz bzw. einer Jahresbilanzsumme von über 10 Mio. €. mit strengeren Regeln zur Informationssicherheit, zum Risikomanagement und zu Meldepflichten bei Cybervorfällen, regelmäßigen Penetrationstests und der Absicherung von Lieferketten.
- Verstöße gegen Datenschutzgesetze (DSGVO):
Unsachgemäßer Umgang mit Patientendaten und unzureichende Datensicherheitsmaßnahmen. - Nichteinhaltung von medizinischen Standards:
Verletzung von Vorschriften und Standards, wie z.B. dem Infektionsschutzgesetz (IfSG) und dem Medizinproduktegesetz (MPG). - Verstöße gegen Arbeitsrecht:
Missachtung arbeitsrechtlicher Vorschriften, z.B. von Arbeitszeitregelungen. - Abrechnungsbetrug:
Falsche Abrechnungen gegenüber Krankenkassen und anderen Kostenträgern. - Interessenkonflikte und Korruption:
Annahme von Vorteilen durch medizinisches Personal im Zusammenhang mit der Verschreibung von Medikamenten oder der Beschaffung von medizinischen Geräten. Unethische Entscheidungen aufgrund von persönlichen Interessen oder finanziellen Anreizen. - Missachtung von Patientenrechten:
Unzureichende Information und Einwilligung von Patienten bei medizinischen Eingriffen und sonstigen Gesundheits-Leistungen. - Mangelnde Hygiene und Infektionskontrolle:
Nichteinhaltung von Hygienevorschriften, was zu Infektionen und Ausbrüchen führen kann. - Unzureichende Dokumentation:
Fehlende oder ungenaue Dokumentation medizinischer Verfahren und Patientendaten. - IT-Sicherheitslücken:
Unzureichende Sicherheitsmaßnahmen, die zu Datenverlust oder Cyberangriffen führen können. - Diskriminierung und Ungleichbehandlung:
Ungleiche Behandlung von Patienten oder Mitarbeitern aufgrund von Geschlecht, Alter, ethnischer Herkunft oder anderen persönlichen Merkmalen.
Compliance-Management-System: Essenzielles Instrument der Selbstkontrolle von Organisationen
Um die dazugehörigen immer komplexer werdenden rechtlichen Anforderungen einhalten zu können, wird es immer notwendiger, einen systematischen Ansatz zu wählen.
Ein Compliance-Management-System (CMS) ist eine systematische Struktur, die dafür sorgt, dass alle relevanten gesetzlichen, regulatorischen und internen Vorschriften bestmöglich eingehalten werden (können). Ein effektives CMS umfasst mehrere Komponenten, die ineinandergreifen; neben einer Compliance-Kultur als Basis etwa Richtlinien und Verfahren, Schulungen, Überprüfungs- und Kontrollmaßnahmen, Meldesysteme etc.
Es dient als Rahmen zur Identifikation, Bewertung und Steuerung von Compliance-Risiken und zur Förderung einer Kultur der Rechtstreue und Integrität innerhalb der Organisation und schützt nicht nur vor rechtlichen Konsequenzen – insbesondere Haftungsfälle, sondern stärkt auch das Vertrauen von Kunden, Geschäftspartnern und Mitarbeitern.
- Rechtssicherheit und Haftungsvermeidung
Ein CMS hilft, sicherzustellen, dass das Unternehmen alle relevanten Gesetze, Vorschriften und internen Richtlinien einhält. Dies reduziert das Risiko von rechtlichen Verstößen und den damit verbundenen Sanktionen.
Durch die Implementierung eines CMS können Unternehmen und deren Führungskräfte ihre Haftung im Falle von Rechtsverstößen verringern, da sie nachweisen können, dass sie angemessene Maßnahmen zur Einhaltung der Vorschriften ergriffen haben. - Risikomanagement
Ein CMS ermöglicht die systematische Identifikation und Bewertung von Compliance-Risiken (Früherkennung), sodass frühzeitig geeignete Maßnahmen ergriffen werden können.
Durch die kontinuierliche Überwachung und Kontrolle von Compliance-Risiken können Unternehmen potenzielle Schäden und Verluste vermeiden. - Betriebs- und Prozesseffizienz
Klare Richtlinien und Verfahren, die im Rahmen eines CMS entwickelt werden, führen zu effizienteren und reibungsloseren Arbeitsabläufen. Durch die Vermeidung von Rechtsverstößen und die damit verbundenen Bußgelder und Schadensersatzforderungen können erhebliche Kosten eingespart werden. - Vertrauensbildung und Reputation
Ein CMS zeigt Stakeholdern, dass das Unternehmen Wert auf Integrität und Gesetzestreue legt, was das Vertrauen von Kunden, Geschäftspartnern und Investoren stärkt. Die Einhaltung gesetzlicher und ethischer Standards reduziert das Risiko von Reputationsschäden durch negative Berichterstattung oder rechtliche Auseinandersetzungen. - Mitarbeiterengagement und Unternehmenskultur
Durch regelmäßige Schulungen und Sensibilisierungsmaßnahmen wird das Bewusstsein der Mitarbeiter für die Bedeutung von Compliance gestärkt, was zu einer Kultur der Integrität und Verantwortung beiträgt. - Motivation und Loyalität
Mitarbeiter, die in einem ethisch geführten Unternehmen arbeiten, sind oft motivierter und loyaler, was die Mitarbeiterbindung und -zufriedenheit erhöht. - Wettbewerbsvorteile
Unternehmen, die nachweisen können, dass sie ein effektives CMS implementiert haben, können dies als Wettbewerbsvorteil nutzen, insbesondere in sensiblen Branchen wie dem Gesundheitswesen.
Ein gutes Compliance-Management kann die Chancen auf Vertragsabschlüsse mit Kunden und Partnern erhöhen, die Wert auf ethische Geschäftspraktiken legen. - Kontinuierliche Verbesserung
- Anpassungsfähigkeit: Ein CMS ermöglicht es Unternehmen, schnell auf neue gesetzliche Anforderungen und regulatorische Änderungen zu reagieren.
- Ständige Optimierung: Durch regelmäßige Überprüfung und Verbesserung der Compliance-Prozesse bleibt das Unternehmen stets auf dem neuesten Stand und kann seine Verfahren kontinuierlich optimieren.
Chancen und Risiken – wie Curacon Ihre Organisation unterstützen kann
Die Einrichtung einer Compliance-Struktur wird für jede komplexere Organisation im Gesundheitswesen immer relevanter. Nutzen Sie die Pflicht zur Einrichtung einzelner Compliance-Maßnahmen als Start für die Implementierung eines ganzen CMS, um die zunehmend komplexer werdenden rechtlichen Anforderungen möglichst aufwandsarm und handhabbar zur erfüllen.
Unser Leistungsportfolio ist sehr umfangreich, sodass wir für jeden Mandanten eine maßgeschneiderte Lösung entlang seiner Bedürfnisse anbieten können. Es umfasst u.a.:
- Compliance Quick Check
- Gesetzliche Anforderungen: Überprüfung der Einhaltung gesetzlicher und regulatorischer Vorschriften, wie z.B. Arbeitsrecht, Datenschutz, Steuerrecht und Umweltschutz.
- Unternehmensrichtlinien: Überprüfung der Einhaltung interner Richtlinien, wie z.B. Verhaltenskodex, Antikorruptionsrichtlinien und Konfliktlösungsverfahren.
- Überprüfung der internen Kontrollen und Überwachungsmechanismen, um mögliche Compliance-Verstöße zu identifizieren und zu verhindern.
- Compliance Management System
- Prüfung der Ist-Situation beim Mandanten bzgl. Compliance Management System (CMS)
- Planung und Implementierung eines CMS
- Kontrollen und Überwachung: Implementierung von internen Kontrollsystemen und Überwachungsmechanismen
- Planung und Implementierung einzelner Compliance-Komponenten (z.B. Hinweisgeber-System nach HinSchG + Beschwerdeverfahren nach LkSG)
- Interne Untersuchungen
Wir beraten Sie gerne bei allen Fragen rum um das Thema Compliance. Melden Sie sich gerne bei uns. Jetzt Kontakt aufnehmen!