Unser Prüfansatz
Auch wenn ausdrückliche Vorgaben zur Einrichtung eines wirksamen Compliance-Management-Systems (CMS) lediglich für börsennotierte Unternehmen im Deutschen Corporate Governance Kodex existieren, empfehlen wir eine Auseinandersetzung mit dem Thema Compliance auch in allen anderen Unternehmensformen. Eine unzureichende Auseinandersetzung mit dem Thema Compliance könnte als Pflichtverletzung des „ordentlichen und gewissenhaften Geschäftsleiters“, insbesondere der Vorstandsmitglieder, angesehen werden. Dies könnte weitreichende zivil- und strafrechtliche Konsequenzen haben.
Compliance bedeutet die Einhaltung aller für die unternehmerische Tätigkeit geltenden gesetzlichen Vorschriften. Bei Unternehmen, die Leistungen auf den Gebieten der gesetzlichen Kranken- und Pflegeversicherungen erbringen, erstreckt sich der Compliance-Begriff auch auf die Einhaltung der für die korrekte Leistungserbringung und Abrechnungen einschlägigen untergesetzlichen Vorschriften, etwa derjenigen der gemeinsamen Selbstverwaltung der gesetzlichen Krankenversicherung (z.B. GBA-Richtlinien nach §§ 136, 136 a SGB V).
Wir kennen viele Leistungserbringer auf den Gebieten der gesetzlichen Kranken-, Pflegeversicherung aus unserer anwaltlichen Mandatsarbeit und sind mit den Branchen sehr vertraut. Ausgehend von unserer Beratungserfahrung empfehlen wir eine Fokussierung der Compliance-Prüfung auf die Einhaltung der regulatorischen Vorgaben in dem zuvor beschriebenen weiten Sinne (d.h. Einhaltung der gesetzlichen Vorschriften sowie der untergesetzlichen Vorgaben aus den Bereichen der Selbstverwaltung).
Unsere Vorgehensweise
Um festzustellen, welche Strukturen vorhanden sein müssen, um Verstöße gegen gesetzliche Vorschriften im Unternehmen zu vermeiden, sind in einem ersten Schritt alle relevanten Handlungsfelder zu durchleuchten, Risikobereiche zu identifizieren und diese wiederum zu priorisieren (dazu unter 1.). In einem zweiten Schritt ist zu prüfen, welche internen Regelwerke und Schutzmechanismen bereits existieren, woran angeknüpft werden kann und an welchen Stellen weitere Vorkehrungen zu treffen sind (dazu unter 2.). Nicht immer ergibt sich aus einer solchen Compliance-Analyse die Notwendigkeit, ein aufwändiges Regelwerk zu formulieren. Im Gegenteil: Nach unserer Erfahrung besteht die Herausforderung einer Compliance-Prüfung vielmehr darin, die Funktionsfähigkeit und Umsetzbarkeit bereits existierender Strukturen weiterzuentwickeln und diese auf die Bedürfnisse und realen Arbeitsbedingungen der handelnden Akteure anzupassen.
1. Erster Schritt: Identifizierung der wesentlichen unternehmensspezifischen Risikobereiche
Compliance ist eine der zentralen Pflichten der Geschäftsleitung. Die Pflicht trifft den Vorstand bzw. die Geschäftsführung in seiner/ihrer Gesamtheit, also grundsätzlich jedes Mitglied. Diese sind in der Pflicht, nicht zuletzt durch eine Verschärfung der Rechtsfolgen von Aufsichtspflichtverletzungen im Bereich von Straftaten und Ordnungswidrigkeiten gemäß § 130 OWiG, geeignete Maßnahmen und Vorkehrungen zur Überwachung und Sicherstellung der Einhaltung der Regeln zu treffen.
a) Teil A: Betrachtung etwaiger strafrechtlicher Risiken
Auch wenn die Betrachtung wirtschaftlicher Risiken im Rahmen einer Compliance-Prüfung gerade im Gesundheitssektor eine stetig wachsende Bedeutung einnimmt (dazu Teil B), ist es naheliegend, die Compliance-Prüfung mit einer Analyse jener Risikobereiche zu beginnen, bei denen ein Verstoß für die Verantwortlichen strafrechtliche Konsequenzen nach sich ziehen kann.
Hier empfehlen wir, den Schwerpunkt einer Risikobetrachtung auf die folgenden Themen zu legen:
aa) Antikorruption („Healthcare Compliance“)
Die §§ 299 a/b StGB regeln die Bestechung und Bestechlichkeit im Gesundheitswesen. Mit den neu eingeführten Straftatbeständen bezweckt der Gesetzgeber einen doppelten Rechtsgüterschutz: Neben dem Schutz des fairen Wettbewerbs soll das Vertrauen des Patienten in die Integrität heilberuflicher Entscheidungen geschützt werden. Alle Vertragsbeziehungen zu anderen Leistungserbringern sollten daraufhin überprüft werden, ob sie in den Schutzbereich der neuen Strafnormen fallen. Ist dies der Fall, muss sichergestellt werden, dass keine finanziellen Vorteile für Zuweisungsentscheidungen erfolgen; ein Indiz hierfür wären unangemessen hohe Entgelte. Unter dem Aspekt der Healthcare-Compliance sind insbesondere folgende Bereiche relevant:
- Kooperationsbeziehungen mit anderen Leistungserbringern (Honorarärzte, Verbot der Zuweisung gegen Entgelt);
- Sponsoring-Aktivitäten, jedenfalls soweit Ärzte vom Sponsoring profitieren;
- Beschaffungsentscheidungen, wenn die beschafften Gegenstände unmittelbar am Patienten eingesetzt werden.
bb) Arbeitsschutz
Das öffentliche und private Arbeitsschutzrecht ahndet in einer Reihe von Bereichen Verstöße auch als Ordnungswidrigkeit und in schweren Fällen als Straftat. Beispiele sind das Arbeitsschutz- und das Arbeitssicherheitsgesetz, Arbeitszeitrecht, das Arbeitnehmerüberlassungsrecht, das Mindestlohngesetz oder das Arbeitnehmerentsenderecht. Ausgehend von einer breiten Erfahrung in diesen Bereichen sind die wesentlichen Schnittstellen im Unternehmen zu prüfen. Die Organisation ist so auszugestalten, dass es zu strafrechtlichen Sanktionen nicht kommt. Insoweit ist zu prüfen, ob die bereits teilweise vorgesehenen gesetzlichen Vorkehrungen wirksam implementiert sind, so dass effektive Kontrollmechanismen zur Verfügung stehen. Compliance in diesen Bereichen kann nur durch entsprechende Verfahren und Organisation gewährleistet werden.
Schließlich muss die Compliance-Prüfung auch die Bereiche umfassen, die zwar nicht unmittelbar strafrechtlich sanktioniert sind, denen aber im täglichen Zusammenleben eine zum Teil umso größere Bedeutung zukommt. Dies kann beispielsweise die Gewährleistung eines diskriminierungsfreien Umfelds im Sinne des AGG sein. In kirchlichen Einrichtungen wird die strukturelle Gewährleistung der wesentlichen kirchen- und kirchenarbeitsrechtlichen Grundsätze von nicht unerheblicher Bedeutung sein.
cc) Datenschutz
Vor dem Hintergrund der ab dem Jahr 2018 in voller Schärfe greifenden Haftungsrisiken durch die EU-Datenschutzgrundverordnung verdient der Datenschutz mittlerweile einen besonderen Stellenwert im Rahmen der Compliance-Prüfung.
Compliance-Risiken im Datenschutz betreffen dabei zunächst den Schutz und die Sicherheit von Patientendaten bzw. Daten der Heimbewohner. Das Augenmerk einer Compliance-Prüfung würde auf den folgenden Bereichen liegen:
- Zulässigkeit der Verwendung der geschützten Daten;
- Datenschutzrechtliche Einwilligungserklärungen;
- Umgang mit Patientenakten.
Daneben verdient der Beschäftigtendatenschutz besondere Aufmerksamkeit. Gerade in diesem Bereich ist zu gewährleisten, dass durch geeignete Regelungssysteme Risiken minimiert werden.
b) Teil B: Betrachtung etwaiger wirtschaftlicher Risiken
Allein eine Betrachtung strafrechtlich relevanter Risikobereiche würde jedoch zu kurz greifen. Im Bereich der stark regulierten Gesundheitsleistungen spielt die Einhaltung von gesetzlichen und untergesetzlichen Vorschriften auch eine erhebliche Rolle bei der Begründung von Entgeltansprüchen.
aa) Wirksamkeit von Verträgen
Finanzielle Folgen von korrupten Strukturen sind Schadensersatzansprüche der geschädigten Geschäftspartner und der Wettbewerber gegen Unternehmen und handelnde Personen. Nach unserer anwaltlichen Erfahrung sind die Unternehmen im Gesundheitsbereich noch sehr zurückhaltend dabei, gegen Wettbewerber vorzugehen. Von größerer Bedeutung dürfte es daher sein, dass Verträge, die durch Korruption zustande kommen (s. zuvor oben unter Teil A: Antikorruption), nichtig sind. Dies ist die zivilrechtliche Folge des Verstoßes gegen ein sog. Verbotsgesetz (§ 134 BGB). Häufig wird jedoch übersehen, dass es in der Gesundheitsbranche noch eine zusätzliche Gruppe von Verbotsgesetzen gibt: Einzelne Vorschriften der ärztlichen Berufsordnung werden als Verbotsgesetz eingestuft. Diese sollten immer dann geprüft werden, wenn ein Arzt an dem Vertrag beteiligt ist. Die Folge der Unwirksamkeit von Verträgen trifft auch den anderen Vertragspartner (Einrichtungsträger).
bb) Gesetzliche Krankenversicherung (SGB V)
Für Leistungserbringer in der gesetzlichen Krankenversicherung gilt ein komplexes Regelwerk. Dies betrifft zum einen stationäre Leistungen. So vertritt seit kurzem das Bundessozialgericht die Auffassung, dass ein Krankenhausträger keinen Entgeltanspruch begründet, wenn er eine Strukturvorgabe einer GBA-Richtlinie nicht einhält. Die Einhaltung der normsetzenden Verträge in der vertragsärztlichen Versorgung ist ebenfalls zu beachten, da im Unternehmen medizinische Versorgungszentren betrieben werden. Der Fokus der Prüfung sollte auf den folgenden Themen liegen:
- Einhaltung der Qualitätsvorgaben gemäß der für die Krankenhäuser im Unternehmen geltenden GBA-Richtlinien und OPS-Codes;
- Abrechnungscompliance in der vertragsärztlichen Versorgung, insbesondere Grundsatz der persönlichen Leistungserbringung.
cc) Pflegeeinrichtungen (SGB XI)
In den letzten Jahren wurden auch die Verantwortlichen von Pflegediensten, die unqualifiziertes Personal eingesetzt haben, wegen Abrechnungsbetrugs strafrechtlich verurteilt. In einer Compliance-Prüfung sollte die Annahme bestätigt werden, dass in allen Pflegeeinrichtungen qualifiziertes Personal eingesetzt wird.
In jüngster Zeit mehren sich Vorstöße der Pflegekassen, die die Einhaltung der in den jeweiligen Versorgungsverträgen (z.B. § 72 SGB XI) festgehaltenen Pflichten überprüfen. Dazu gehört etwa die Vorgabe, nur fest angestellte Pflegekräfte einzusetzen. Verstöße gegen diese Vorgaben können ebenfalls Entgeltminderungen nach sich ziehen.
dd) Einrichtungen für Menschen mit Behinderung / Altenpflege
Überall dort, wo Leistungen an Menschen erbracht werden, die unter Betreuung stehen, besteht ein Spannungsverhältnis zwischen den Fürsorgepflichten des Einrichtungsträgers und dem Selbstbestimmungsrecht und der Wahrung der Menschenwürde des Patienten. Das Bundesverfassungsgericht hat die zu schützende Grundrechtsposition der Betroffenen in den vergangenen Jahren immer wieder herausgestellt. Dies sicherzustellen, stellt die Einrichtungsträger insbesondere in den nachfolgenden Bereichen vor besondere Herausforderungen:
- Einholung der Einwilligungen von den zuständigen Betreuern;
- Sicherung der Heimbewohner vor Stürzen / Einholung von Genehmigungen des Vormundschaftsgerichts.
c) Teil C: Durchführung der Risikoanalyse
Wir gehen davon aus, dass zur Durchführung einer Risikoanalyse häufig keine Audits vor Ort oder ähnliche Maßnahmen erforderlich sein werden, die in Compliance-Handbüchern häufig empfohlen werden. Aus unserer Sicht lassen sich die Risikobereiche vielmehr in den meisten Fällen auch dadurch ermitteln, dass wir gemeinsam mit den Verantwortungsträgern im Unternehmen (insbesondere mit der Rechtsabteilung) gemeinsam Frage- und Checklisten erarbeiten, die dann auf der Fachebene ausgefüllt werden.
2. Zweiter Schritt: Welche Compliance-Strukturen sind geeignet?
a) Ist-Analyse
Zunächst müssen die bereits vorhandenen Compliance-Strukturen im Rahmen einer Ist-Analyse für das Gesamtunternehmen erfasst werden. Anhand der zuvor durchgeführten Risikobetrachtung ist zu überprüfen, ob schon für alle als relevant eingeordneten Risikobereiche Compliance-Strukturen vorhanden sind.
b) Handlungsempfehlungen
Wo dies nicht der Fall ist, sind geeignete Vorkehrungsmaßnahmen zu entwickeln. Hierbei bieten bereits entwickelten Standards (etwa Compliance-Managementsysteme – Leitlinien ISO 19600:2014; IDW Prüfungsstandard 980:2011) eine gute Orientierungsgrundlage. Unser Ziel ist es jedoch, eine auf die spezifischen Belange des Unternehmens zugeschnittene Handlungsempfehlung zu entwickeln. Der Fokus wird dabei auf den folgenden Themen liegen:
- Transparente und effiziente Verantwortungs- und Weisungsketten von oben nach unten (top-down), um die Umsetzung Compliance-relevanter Vorgaben sicherzustellen; eindeutige Zuständigkeiten durch klare Delegationsregelungen (horizontal, vertikal);
- Transparente und effiziente Informations- und Berichtswege von unten nach oben (bottom-up), um sicherzustellen, dass die Verantwortlichen im Unternehmen zeitnah und vollständig über alle Compliance-relevanten Umstände informiert sind;
- Maßnahmen zur Etablierung einer Compliance-Kultur im Unternehmen um sicherzustellen, dass Compliance-relevante Vorgaben von allen Mitarbeitern verstanden und umgesetzt werden;
- Regelmäßige Überprüfung der implementierten Compliance Strukturen um sicherzustellen, dass Schwachstellen oder neue Entwicklungen rechtzeitig erkannt und die Strukturen entsprechend angepasst werden können.
Solange keine akuten Compliance-Verstöße festgestellt werden, halten wir die Etablierung weiterer Strukturen (Ombudsmann, Hotline etc.) im Regelfall nicht für erforderlich.
Zum Team
Zu unserem Compliance-Team gehören Partner mit langjähriger Erfahrung in den für Compliance besonders relevanten Rechtsgebieten Gesellschaftsrecht, Öffentliches Recht, Arbeitsrecht, Kartell- und Vergaberecht, Wettbewerbsrecht sowie Prozessführung, die je nach Fragestellung hinzugezogen werden können. Das Kernteam für eine Compliance-Prüfung besteht aus Dr. Maren Bedau, Partnerin im Bereich Gesundheitsrecht, Dr. Stephan Bernhard Koch, Partner im Bereich Gesellschaftsrecht und Prof. Dr. Sascha Herms, Partner im Bereich Arbeitsrecht.
Dr. Maren Bedau ist Fachanwältin für Medizinrecht. Zu ihren Schwerpunkten gehören neben der Compliance in der Gesundheitsbranche auch Krankenhausplanungs- und finanzierungsrecht, Vertragsarztrecht sowie die Gestaltung von Kooperationen zwischen Leistungserbringern.
Dr. Stephan Bernhard Koch berät Unternehmen in gesellschaftsrechtlichen Fragen, bei Umstrukturierungen und großen Transaktionen. Ein Schwerpunkt seiner Beratungstätigkeit liegt im Bereich Compliance, insbesondere auf Fragen der Corporate Governance, einschließlich der besonderen Anforderungen in Konzernstrukturen.
Prof. Dr. Sascha Herms berät Mandanten zu allen arbeitsrechtlichen Fragen, insbesondere im Hinblick auf Arbeitnehmerdatenschutz sowie nationales und internationales Sozialversicherungsrecht, Umstrukturierungen und Verhandlungen (Tarifvertrag, Sozialplan, Interessenausgleich).
Im Bereich der Gesundheits-Compliance bestehen erprobte Arbeitsbeziehungen zu Strafverteidigern, um strafrechtliche Fragestellungen schnell und zuverlässig klären zu können.
(11. September 2017)