und wichtige Themen – wie beispielsweise die Forderung nach einem CMS – sind in diversen Public Corporate Governance Kodizes Teil der Anforderungen geworden, welche die öffentliche Hand an Organisationen mit staatlicher Beteiligung stellt.
Dennoch stehen viele Krankenhäuser bei der Frage nach der Ausgestaltung eines risikoadäquaten CMS weitgehend am Anfang. Viele setzen sich intensiv damit auseinander, welche Strukturen für regelkonformes Verhalten in der Organisation geschaffen werden sollten, um das Risiko für Compliance-Verstöße zu reduzieren und die Wahrscheinlichkeit zu erhöhen, dass ein dennoch stattfindender Compliance-Verstoß tatsächlich entdeckt wird.
Die finanziellen und strukturellen Möglichkeiten von Kliniken zur Einführung eines CMS unterliegen allerdings engen Grenzen. Die Compliance-Organisation muss nicht selten mit knappen Mitteln einer Stabsstelle miterledigt werden, die ihrerseits noch weitere Aufgaben erfüllt. Die mit Compliance-Aufgaben betrauten Mitarbeiter betreten zudem häufig inhaltliches Neuland.
Das Institut der Wirtschaftsprüfer (IDW) als berufsständische Organisation der deutschen Wirtschaftsprüfer hat schon im Jahr 2011 mit dem Prüfungsstandard 980 ein Rahmenwerk geschaffen, um die Berufsauffassung der Wirtschaftsprüfer zur Prüfung von Compliance Management Systemen festzulegen und zu dokumentieren. Es hat damit zugleich ein gewisses Vakuum in der Frage der konkreten Ausgestaltung eines CMS gefüllt. Durch die Konkretisierung der Anforderungen an ein risikoadäquates CMS in Form von sieben Grundelement ist neben einer konkreten Grundlage für CMS-Prüfungen auch ein nützliches Gerüst zur Strukturierung und Priorisierung der Ausgestaltung eines CMS entstanden.
Es zählt zu den unvermeidlichen Schwierigkeiten bei seiner Gestaltung, dass Angemessenheit und praxisorientierte Umsetzbarkeit sehr stark von der Branche, vom Geschäftsmodell und vor allem von der Größe eines Unternehmens abhängig sind. Daher wird mit diesem Buch der Versuch unternommen, die grundsätzlich formulierten Anforderungen zu den sieben Grundelementen eines CMS im Sinne des IDW PS 980 auf die rechtlichen, organisatorischen und finanziellen Rahmenbedingungen eines Krankenhauses zu projizieren. Auf diese Weise möchte dieses Buch eine Praxisunterstützung für Geschäftsführer1 und Mitarbeiter von Krankenhäusern bei der Einrichtung eines CMS bieten. Die Erfahrungen der Autoren in diesem Prozess – einerseits aus der Innensicht des Krankenhauses, andererseits aus der prüferischen Außenperspektive – sollen so für Krankenhäuser nutzbar gemacht werden.
1 Zugunsten einer lesefreundlichen Darstellung wird in der Regel die neutrale bzw. männliche Form verwendet. Diese gilt für alle Geschlechtsformen (weiblich, männlich, divers).
2 Wirksames Compliance Management als Instrument zur Haftungsvermeidung
Trotz sorgfältiger Risikomaßnahmen kann es im Klinikum zu gravierenden Rechtsverstößen kommen. Zu den Auswirkungen solcher Compliance-Verstöße gehören neben Reputationsgefahren und den damit verbunden wirtschaftlichen Folgen v. a. zivil- und strafrechtliche Haftungsrisiken. Zahlreiche Beispiele für typische Verstoßrisiken aus der Praxis sind in Anhang 3: Hauptbeispiele für Risiko-Konstellationen zusammengestellt. Daher zählt das Ziel der Begrenzung der mit solchen Verstößen verbundenen persönlichen Risiken der Geschäftsleiter zu den naheliegenden Motiven bei der Einführung eines CMS. Diese grundsätzlich vorhandenen Risiken sind sowohl straf- als auch zivilrechtlicher Natur.
2.1 Haftungsrisiken
Compliance Management Systeme dienen der Enthaftung bei Regelverstößen, genau deshalb werden sie eingeführt. Folglich profitieren insbesondere diejenigen von dem CMS, die für solche Verstöße haften, also Unternehmen und deren Leitungsorgane.
Dieser große Themenkreis sprengt allerdings den Zuschnitt des Buches und bietet Raum für weitere Werke, weshalb hier nur ein thematischer Anriss erfolgt.
2.1.1 Strafrechtliche Risiken
Bei Compliance-Verstößen in einem Klinikum handelt es sich in zahlreichen Fällen um strafbewehrte Rechtsverstöße. Auch wenn die betreffende Tat aus der Klinik heraus begangen wird, kommt nach derzeit geltendem Recht ausschließlich eine natürliche Person, jedoch keine juristische Person als Straftäter in Betracht.
Bei Redaktionsschluss dieses Buches lag der Referentenentwurf eines Verbandssanktionengesetzes vor, mit dem das im Volksmund sogenannte »Unternehmensstrafrecht« in Deutschland eingeführt werden soll. Damit würde dieser Grundsatz weiter aufgeweicht, der Begriff »Strafe« jedoch vermieden. Der Verbandsbegriff im derzeitigen Gesetzentwurf umfasst alle Arten von juristischen Personen, also auch Vereine, Verbände im engeren Sinne sowie juristische Personen des öffentlichen Rechts. Dazu würden also auch Krankenhäuser, unabhängig von Rechtsform und Trägerschaft, gehören. Auf der Ebene der Sanktionen sind in dem Entwurf die Option der »Verbandsauflösung« enthalten sowie ein öffentliches Verbandssanktionenregister. Bei der Höhe der Verbandssanktion wirken sich Vorkehrungen zur Vermeidung von Verbandstaten, die das Unternehmen im Vorhinein getroffen hat, also insbesondere die nachweisbare Einführung eines wirksamen CMS, zu Gunsten des Unternehmens auf die Bemessung der Geldsanktion aus.
Kernstrafrechtliche Haftungsrisiken bestehen hingegen für die unmittelbar Straftatbegehenden, also denjenigen Mitarbeiter, der persönlich regelwidrig gehandelt hat (z. B. durch Bestechlichkeit und Bestechung) und die nach den Grundsätzen der Beteiligungslehre Mitwirkenden (§§ 25 ff. StGB). Insbesondere durch die strafrechtlichen Zurechnungsmodelle der Mittäterschaft, mittelbaren Täterschaft, Anstiftung und Teilnahme sowie durch das weite Feld der Unterlassungsdelikte mit entsprechender Garantenstellung kraft vertraglich, gesetzlich oder aufgrund von pflichtwidrigem Vorverhalten übernommener Verpflichtung, erfasst der Kreis der Verantwortlichen leicht auch gesetzliche Vertreter, also Vorstand bzw. Geschäftsführer, und weitere Leitungsebenen.
Gerade die Möglichkeit einer Tatbegehung durch Unterlassen aufgrund einer sogenannten Überwachungsgarantenpflicht zur Verhinderung von Straftaten aus dem Unternehmen heraus hat die Rechtsprechung sogar für Compliance-Verantwortliche vereinzelt angenommen. Je nach arbeitsvertraglicher Ausgestaltung, Stellenbeschreibung und vor allem tatsächlicher Übernahme überträgt das Unternehmen nämlich eigene Leitungs- und Kontrollaufgaben als Delegation funktionaler Kompetenz und Herrschaft auf Compliance-Verantwortliche. Zur Last fallen einerseits intern unentdeckte Pflichtverletzungen mit externen Konsequenzen infolge Überwachungsversagens sowie andererseits fortgesetzte Rechtsverstöße des Unternehmens aufgrund unterbliebener Berichte an die Geschäftsleitung.
Daneben bestehen sanktionenrechtliche Risiken aus dem Recht der Ordnungswidrigkeiten für Verantwortungsträger. Im Gegensatz zu der oben beschriebenen strafrechtlichen Handelndenhaftung geht die Individualhaftung aus § 130 OWiG tatbestandlich deutlich weiter. Danach handelt ordnungswidrig, wer als Inhaber eines Unternehmens vorwerfbar Aufsichtsmaßnahmen unterlässt, die erforderlich sind, um in dem Betrieb oder Unternehmen Zuwiderhandlungen gegen Pflichten zu verhindern, die den Inhaber treffen und deren Verletzung mit Strafe oder Geldbuße bedroht ist, wenn eine solche Zuwiderhandlung begangen wird, die eine gehörige Aufsicht verhindert oder wesentlich erschwert hätte.
Zu den nötigen Aufsichtsmaßnahmen gehören die sorgfältige Auswahl, Instruktion, Organisation, Überwachung und Sanktionierung von Mitarbeitern. Unabhängig von Vorsatz oder Fahrlässigkeit begründet bereits der durch einen Mitarbeiter begangene Rechtsverstoß gegen Pflichten des Unternehmensinhabers die Ahndbarkeit eines Vergehens gem. § 130 OWiG. Dabei muss diese Anknüpfungstat nicht einmal unmittelbar mit der Aufsichtspflichtverletzung verknüpft sein, eine nur mittelbare Verbindung über Aufsichtspflichtenketten genügt bereits.
Bei einer juristischen Person ist die Gesellschaft selbst Unternehmensinhaber und damit Pflichtenträger des § 130 OWiG. Da sie als solche aber nicht handlungsfähig ist, trifft die Aufsichtspflicht nach der Zurechnungsnorm des § 9 Abs. 1 Nr. 1 OWiG grundsätzlich das inhaltlich ressortzuständige Leitungsorgan. Auch für die anderen Organe bestehen abgestufte Aufsichtspflichten in Form von Kontroll- oder Überwachungspflichten, ob jedes Leitungsorgan die ihm zugewiesenen