Compliance im Gesundheitswesen Wie ein funktionierendes CMS vor Haftung und Angriffen schützt

Anbieter zum Thema

Governikus GmbH & Co. KG

Medienberichte über Hackerangriffe auf Kliniken oder Gerichtsverfahren gegen deren Geschäftsführer wegen Fehlverhaltens oder Betrugs sind keine Seltenheit. Oftmals liegt dem ein Problem mit der Compliance oder dem Compliance Management System (CMS) zugrunde.

2020 wurde aufgrund eines Hackerangriffs die Notaufnahme der Uniklinik Düsseldorf geschlossen: Die Hacker hatten die Server verschlüsselt und stürzten die Klinik ins Chaos. Auch die Deegenberg-Klinik in Bad Kissingen wurde Opfer von Kriminellen: Schaden entstand hier durch den Abfluss sensibler Patientendaten ins Dark Web. Und an der Asklepios-Klinik im Kreis Schwandorf, Oberpfalz, soll der Chefarzt über Jahre Abrechnungsbetrug begangen haben. Laut GKV-Spitzenverband entstanden in den letzten 20 Jahren Schäden in einer Höhe bis zu 1,13 Milliarden Euro durch Abrechnungsbetrug. Im Zeitraum 2020 und 2021 – jene Jahre, die der siebte Fehlverhaltensbericht des GKV-Spitzenverbands beleuchtet – belief sich der Schaden auf 132 Millionen Euro, bei rund 23.300 gemeldeten Fällen.

Das Problem beim Abrechnungsbetrug sieht der Verband unter anderem darin, dass die Strafverfolgungsbehörden oft nicht ausreichend spezialisiert sind. Eine mögliche Lösung liegt in der Einführung von Compliance-Management-Systemen (CMS) und strengeren Gesetzen.

Kostendruck und die Notwendigkeit der Wirtschaftlichkeit haben in der Vergangenheit dazu geführt, dass in Kliniken und Krankenhäusern Entscheidungen getroffen wurden, die rechtliche Grauzonen ausnutzten oder sogar rechtswidrig waren. Zumindest wurden rechtswidrige Geschäftspraktiken oftmals einfach geduldet. Trat dennoch ein Schadensfall ein, wurden Anwälte hinzugezogen, um alle rechtlichen Möglichkeiten auszuschöpfen. Doch mittlerweile steigt Compliance in ihrer Bedeutung – auch aufgrund einer Verschärfung der regulatorischen und prozessualen Anforderungen. In der freien Wirtschaft ist Compliance seit vielen Jahren etabliert und das Gesundheitswesen ist nachgezogen: Es hat sich die Erkenntnis durchgesetzt, dass Compliance umgesetzt werden muss, weil sie wirksam und wichtig ist. Die aktuelle Rechtsprechung bestätigt das: Das Oberlandesgericht (OLG) Nürnberg hat in einem vielbeachteten Urteil 2022 den Geschäftsführer einer GmbH zu Schadensersatz in sechsstelliger Höhe verurteilt, weil er seinen Sorgfalts- und Kontrollpflichten nicht nachgekommen ist. Daraus ergibt sich die Verpflichtung, ein Compliance Management System einzuführen.

Patientenversorgung

Risikomanagement für medizinische Geräte

Öffentlichkeit und Rechtsprechung

Die Augen zu verschließen und Kosten sowie Aufwand für die Implementierung eines CMS zu sparen, ist auch deswegen keine gute Strategie mehr, weil die Wahrscheinlichkeit größer geworden ist, dass ein eventuelles Fehlverhalten an die Öffentlichkeit gerät: Die Presse beobachtet das Gesundheitswesen zunehmend kritischer, und durch die sozialen Medien besteht die reale Gefahr einer Empörungswelle, die sich rasch verbreitet und eine hohe Reichweite erzielt. Auch in den eigenen Reihen kann es Whistleblower geben, die anonyme Hinweise übermitteln: Immerhin schreibt der Gesetzgeber im Hinweisgeberschutzgesetz sogar vor, dass niederschwellige Meldekanäle eingerichtet und Benachrichtigungen verfolgt werden müssen. Ist die Öffentlichkeit erst einmal im Bilde, schalten sich in der Regel Ermittlungsbehörden ein, wie es auch im oben genannten Beispiel des Abrechnungsbetrugs der Fall war.

Krankenhäuser sind in besonderem Maße auf das Thema „Compliance“ angewiesen – und das aus einem sehr wichtigen Grund: Kaum eine Branche ist so stark reguliert wie der Gesundheitssektor. Der Gesetzgeber legt nicht nur die grundlegenden Rahmenbedingungen für den Betrieb von Krankenhäusern fest, sondern hat auch eine Vielzahl spezifischer Rechtsvorschriften erlassen, die die Compliance herausfordern. Neben dem Hinweisgeberschutzgesetz kommen Anforderungen an Informations- und Cybersicherheit hinzu, die gerade von Klinken und Krankenhäusern mit ihren kritischen Infrastrukturen (KRITIS) besonders ernst genommen werden müssen. Die Gefahr von Hackerangriffen, Datenabfluss und Systemverschlüsselung samt Erpressungsversuchen ist real. Außerdem dienen eine erhebliche Anzahl an Vorschriften dem Schutz der Patienten und regeln unter anderem die Sicherheitsstandards in der Diagnostik und Therapie – etwa im Bereich des Strahlenschutzes – sowie den Schutz vor Ansteckungen und Infektionen, die durch Hygienemängel oder den Kontakt mit anderen Patienten entstehen können.

Auf der nächsten Seite geht es weiter mit der Wirksamkeit und den Anforderungen an CMS.

(ID:50262277)