Regulatorische Anforderungen, Finanzierbarkeit, Wettbewerbsdruck, Fachkräftesicherung sowie die COVID-19 Pandemie; die Anforderungen an das Gesundheitswesen in Deutschland bleiben hoch. Im Teilbereich der rechtlichen Anforderungen sind weitere Gesetzesverschärfungen mit teils erheblichen Auswirkungen auf die Branche zu erwarten; neben der bereits eingeführten EU-DSGVO werden insbesondere das IT-Sicherheitsgesetz 2.0 sowie das Verbandssanktionengesetz zusätzlich erhöhte Anforderungen stellen. Zur wirksamen Risikominimierung steigt auch die Bedeutung ganzheitlicher und übergreifender Compliance-Maßnahmen.
Erhöhte Unternehmensrisiken
Mit der Einführung des IT-Sicherheitsgesetzes 2.0 sowie des Verbandssanktionengesetzes (Unternehmensstrafrecht) konzentriert sich der Gesetzgeber weiterhin auch auf die Verschärfung von Compliance-Anforderungen. Bei Verstößen drohen zusätzlich zu den ggf. bestehenden straf- und zivilrechtlichen Konsequenzen sowie Reputationsschäden für die betroffenen Organisationen vor allem steigende Bußgeldrisiken. Das IT-Sicherheitsgesetz 2.0 passt die Bußgelder für Verstöße analog zur bereits etablierten EU-DSGVO an; es sieht bei Verstößen Bußgelder von bis zu 20 Mio. Euro bzw. 4% des Umsatzes vor. Hinzu kommen die bereits bestehenden Bußgeldrisiken gleicher Höhe bei Verstößen gegen die EU-DSGVO. Im aktuellen Referentenentwurf zum Verbandssanktionengesetz sind auch für Compliance-Verstöße Bußgelder vorgesehen. Für Unternehmen mit einem Jahresumsatz bis zu 100 Millionen Euro bleibt es bei der bereits im Gesetz über Ordnungswidrigkeiten (OWiG) definierten Obergrenze von zehn bzw. fünf Millionen Euro. Für Unternehmen, die einen Jahresumsatz von mehr als 100 Mio. Euro erzielen, beträgt die Obergrenze künftig zehn Prozent bei Vorsatz und fünf Prozent bei Fahrlässigkeit. Im Bereich der strafrechtlichen Sanktionierung sind auch die im Rahmen des 2016 verabschiedeten Gesetzes zur Bekämpfung von Korruption im Gesundheitswesen neugeschaffenen Tatbestände der Bestechlichkeit im Gesundheitswesen (§ 299a StGB) und der Bestechung im Gesundheitswesen (§ 299b StGB) von Bedeutung.
Auswirkungen auf das Gesundheitswesen
Unternehmen, Organisationen und Einrichtungen des Gesundheitssektors haben eine erhebliche Anzahl gesetzlicher Bestimmungen einzuhalten. Reputation und Ansehen hängen maßgeblich von Leistungs- und Prozessqualität, öffentlicher Wahrnehmung sowie dem Vertrauen in die handelnden Personen und die Mitarbeitenden ab. Auch in Verbindung mit einem insgesamt erhöhten öffentlichen Interesse an Wirtschaftskriminalität steigen die Anforderungen an und die persönliche Verantwortung von Vorständen, Geschäftsführern und Mitarbeitenden; im Hinblick auf die juristische Komponente hat die persönliche Verantwortung von Vorständen, Geschäftsführern und Mitarbeitenden spürbar zugenommen. Die Sicherstellung der organisationsweiten Aufsichts- und Kontrollpflichten erfordert ganzheitliche Maßnahmen zur Steuerung wirksamer Maßnahmen.
Governance, Risk & Compliance (GRC)
Zur wirksamen Risikominimierung empfehlen sich die Überprüfung und Weiterentwicklung des internen Kontrollsystems (IKS) sowie von Risikomanagementprozessen und risikominimierenden Maßnahmen organisationsweit. Neben einem organisationweiten Compliance Management Systemen (CMS) sollte auch ein Informationssicherheitsmanagementsystem (ISMS) und ein Datenschutzmanagementsysteme (DSMS) etabliert sein. Governance, Risk & Compliance (GRC) definiert sich als holistischer Ansatz zur organisationsweiten Steuerung relevanter Maßnahmen zur Etablierung, Sicherstellung und Weiterentwicklung einer guten Unternehmensführung. Grundlage bildet der Aspekt der Corporate Governance. Für den Ernstfall empfiehlt sich insbesondere auch der genauere Blick auf den Aspekt Notfall- und Krisenmanagement: ob internes Fehlverhalten und Compliance-Vorfall, IT-Angriff, Datenpanne oder Pandemie, wirksame Regelungen und Prozesse für das Notfall- und Krisenmanagement helfen Ausnahmesituationen koordinierter zu bewältigen, Haftungs- und Reputationsrisiken zu bewältigen, die Rückkehr in den Normalbetrieb zu erleichtern sowie die Schäden für die Organisation möglichst gering zu halten.
Empfehlungen für Verantwortliche & Entscheider
- Überprüfung bestehender Organisationsstrukturen, Prozesse, Managementsysteme und Regelwerke im Hinblick auf die Einhaltung aktueller rechtlicher Anforderungen.
- Compliance Monitoring: Prüfung anstehender regulatorischer Veränderungen im Hinblick auf die Auswirkung auf die Organisation und Erstellung von Maßnahmenplänen.
- Überprüfung und gegebenenfalls Anpassung bestehender Managementsysteme, insbesondere:
- Compliance Management System (CMS)
- Informationssicherheitsmanagementsystem (ISMS)
- Datenschutzmanagementsystem (DSMS)