Compliance versteht sich von selbst

Einhaltung von gesetzlichen Bestimmungen sowie interner Richtlinien durch Unternehmen und ihre Mitarbeitenden

Ihre Ansprechpartner

Der Begriff "Compliance" stammt aus dem Englischen und bedeutet wörtlich "Einhaltung" oder "Befolgung". Er hat seinen Ursprung im lateinischen Wort "complere", was "vollständig erfüllen" oder "ausfüllen" bedeutet. 

Daher bezieht sich "Compliance" im modernen rechtlichen Sprachgebrauch auf die Einhaltung von Gesetzen, Vorschriften, Richtlinien und ethischen Standards.

Compliance versteht sich in einem Rechtsstaat also von selbst und gilt für sämtliche Organisationen jeder Größe und Branche, ganz besonders Einrichtungen im Kirchen- und Gesundheitswesen wie Altenheime, Krankenhäuser oder Kitas.

Compliance als Selbstschutz

Die Einhaltung von Gesetzen und Regeln sollte selbstverständlich sein, aber nur ein systematisches Vorgehen bietet einen möglichst umfassenden Schutz vor Sanktionen.

Guido Kraus – Rechtsanwalt, Fachanwalt für Medizinrecht

Compliance-Management-Systeme als Kompass

Compliance-Management-Systeme bieten Orientierung und Systematisierung im Regulierungsdschungel. Sie reduzieren Komplexität, bündeln Anforderun-gen und machen Risiken beherrschbar - für mehr Sicherheit und Effizienz im Unternehmen.

Dr. Nico Herold – Rechtsanwalt

Rechtliche Pflicht zur Compliance

Die allgemeine Pflicht, eine Compliance-Organisation aufzubauen, ist gesetzlich verankertetwa in § 43 GmbHG und § 93 AktG. Demnach ist die Unternehmensleitung jeweils zur sorgfältigen Unternehmensführung (Vorstand oder Geschäftsführung) verpflichtet. 

Auch das Ordnungswidrigkeitengesetz (OWiG) sichert diese Pflicht ab. Nach § 130 OWiG müssen Betriebsinhaber die erforderlichen Aufsichtsmaßnahmen treffen, um Zuwiderhandlungen gegen sie treffende Pflichten zu verhindern. Daraus kann sich die Pflicht zur Einrichtung eines Compliance-Management-Systems ergeben, wenn besondere Risikopotenziale im Unternehmen ersichtlich sind.

Das bedeutet für Führungskräfte aber auch, nicht für jede unternehmerische Entscheidung persönlich haftbar gemacht werden zu können, solange sie im Rahmen der gesetzlichen Vorgaben und im besten Interesse des Unternehmens handeln. Sie müssen aber sorgfältig prüfen, ob einzelne Compliance-Maßnahmen oder ein ganzes Compliance-Management-System umzusetzen sind. 

Das hängt im Wesentlichen von folgenden Kriterien ab.

  • Erforderliche Aufsichtsmaßnahmen: Umfang der Maßnahmen zur Einhaltung der Rechtsordnung
  • Unternehmensmerkmale: Art, Größe, Struktur und Branche des Betriebs
  • Umsetzbarkeit: Praktische Durchführbarkeit der Überwachung
  • Regelungsumfang: Vielfalt und Bedeutung der zu beachtenden Vorschriften
  • Rechtsverletzungsrisiko: Gefahr von Rechtsverstößen
  • Vergangene Verstöße: Art und Häufigkeit früherer Verletzungen

Typische Compliance-Risiken im Gesundheitswesen

Zu den typischen Compliance-Risiken, die eine Organisationen im Gesundheits-, Sozial- und Gemeinnützigkeitswesen beachten muss, zählen:

  • Nichteinhaltung von Aufsichtsanforderungen / gesetzlichen Vorgaben

    Unzureichende Erfüllung der Anforderungen von Aufsichtsbehörden und fehlende Anpassung an neue gesetzliche Vorgaben. Gerade gesetzliche Vorgaben zur verpflichtenden Einführung einzelner Komponenten eines Compliance-Management-System nehmen zu. Das gilt z. B. aktuell für die Einhaltung von (kommenden) Vorgaben zur Cybersicherheit oder Meldesystemen.

    • Einführung einer internen Meldestelle nach dem Hinweisgeberschutzgesetz (HinSchG) für Organisationen ab 50 Beschäftigten
    • Umsetzung des Lieferkettensorgfaltspflichtengesetzes (LkSG) inklusive Risikoanalyse, Präventionsmaßnahmen und Beschwerdeverfahren für Unternehmen ab 1.000 Beschäftigten
    • Einführung einer Beschwerdestelle nach dem allgemeinen Gleichbehandlungsgesetz (AGG) grds. für alle Organisationen
    • Umsetzung des kommenden NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG) grds. für Organisationen mit mindestens 50 Mitarbeitern oder einem Jahresumsatz bzw. einer Jahresbilanzsumme von über 10 Mio. €. mit strengeren Regeln zur Informationssicherheit, zum Risikomanagement und zu Meldepflichten bei Cybervorfällen, regelmäßigen Penetrationstests und der Absicherung von Lieferketten
  • Verstöße gegen Datenschutzgesetze (DSGVO): Unsachgemäßer Umgang mit Patientendaten und unzureichende Datensicherheitsmaßnahmen.
  • Nichteinhaltung von medizinischen Standards: Verletzung von Vorschriften und Standards, wie z.B. dem Infektionsschutzgesetz (IfSG) und dem Medizinproduktegesetz (MPG).
  • Verstöße gegen Arbeitsrecht: Missachtung arbeitsrechtlicher Vorschriften, z.B. des Arbeitsschutz- oder zeitgesetztes.
  • Abrechnungsbetrug: Vorsätzlich falsche Abrechnungen gegenüber Krankenkassen und anderen Kostenträgern.
  • Interessenkonflikte und Korruption: Annahme von Vorteilen durch medizinisches Personal im Zusammenhang mit der Verschreibung von Medikamenten oder der Beschaffung von medizinischen Geräten. Unethische Entscheidungen aufgrund von persönlichen Interessen oder finanziellen Anreizen.
  • Missachtung von Patientenrechten: Unzureichende Information und Einwilligung von Patienten bei medizinischen Eingriffen und sonstigen Gesundheits-Leistungen.
  • Mangelnde Hygiene und Infektionskontrolle: Nichteinhaltung von Hygienevorschriften, was zu Infektionen und Ausbrüchen führen kann.
  • Unzureichende Dokumentation: Fehlende oder ungenaue Dokumentation medizinischer Verfahren und Patientendaten.
  • IT-Sicherheitslücken: Unzureichende Sicherheitsmaßnahmen, die zu Datenverlust oder Cyberangriffen führen können.
  • Diskriminierung und Ungleichbehandlung: Ungleiche Behandlung von Patienten oder Mitarbeitern aufgrund von Geschlecht, Alter, ethnischer Herkunft oder anderen persönlichen Merkmalen.

Compliance-Management-System: Essenzielles Instrument der Selbstkontrolle von Organisationen

Um die dazugehörigen immer komplexer werdenden rechtlichen Anforderungen einhalten zu können, wird es immer notwendiger, einen systematischen und ganzheitlichen Ansatz zu wählen.

Ein Compliance-Management-System (Compliance-Management-System) ist eine systematische Struktur, die dafür sorgt, dass alle relevanten gesetzlichen, regulatorischen und internen Vorschriften bestmöglich eingehalten werden (können). 

Ein effektives Compliance-Management-System umfasst mehrere Komponenten, die ineinandergreifen; neben einer Compliance-Kultur als Basis etwa Richtlinien und Verfahren, Schulungen, Überprüfungs- und Kontrollmaßnahmen, Meldesysteme etc.

Das Compliance-Management-System dient als Rahmen zur Identifikation, Bewertung und Steuerung von Compliance-Risiken und zur Förderung einer Kultur der Rechtstreue und Integrität innerhalb der Organisation und schützt nicht nur vor rechtlichen Konsequenzen – insbesondere Haftungsfällen, sondern stärkt auch das Vertrauen von Kunden, Geschäftspartnern und Mitarbeitern. 

Ein Compliance-Management-System ist ein wesentlicher Bestandteil von Legal Compliance, geht aber in seiner Reichweite darüber hinaus.

Legal-Compliance

Legal-Compliance bedeutet zunächst die Einhaltung aller gesetzlichen Vorgaben. Geschäftsprozesse sollten dafür entsprechend gestaltet werden, dass sie mit den rechtlichen Anforderungen und Verpflichtungen im Einklang stehen. 

Zentrale Aspekte der Legal-Compliance sind insbesondere: 

  • Die Einführung systematischer und dokumentierter Verfahren zur Identifizierung, Überwachung und Einhaltung aller relevanten rechtlichen Vorgaben
  • Die kontinuierliche Beobachtung von Gesetzesänderungen und Anpassung der Unternehmensprozesse
  • Implementierung von Richtlinien und Prozessen zur Gewährung der Rechtskonformität 

Die Ziele der Legal-Compliance liegen daher vor allem der Risikominimierung, Vertrauensbildung, Imageverbesserung und Effizienzsteigerung.

Bei der Legal-Compliance betreffen die größere relevanten Rechtsbereiche: 

  • Steuerrecht,
  • Arbeitsrecht,
  • IT-Recht sowie
  • Datenschutzrecht. 

Diese Bereiche der Legal-Compliance sind aufgrund ihrer Größe und Komplexität i. d. R. in einem Compliance-Management-System separat zu adressieren. Die operationelle Herauslösung dieser Bereiche aus der “allgemeinen” Legal-Compliance ermöglicht dabei eine gezieltere und detailliertere Bearbeitung dieser komplexen Einzelfelder. 

Tax-Compliance

Bei der Tax-Compliance handelt es sich um einen spezifischen Teilbereich der Legal-Compliance, der die systematische Einhaltung steuerrechtlicher Vorgaben sicherstellt.

Zentrale Aspekte der Tax-Compliance sind insbesondere: 

  • Die Einhaltung spezifischer Steuergesetzte und -vorschriften
  • Die korrekte und fristgerechte Meldung von Einkommen, Ausgaben und anderen finanziellen Details
  • Überwachung und Dokumentation steuerrelevanter Vorgänge
  • Die Vermeidung von Steuerverstößen und damit verbundenen Strafen
  • Sicherstellung korrekter und fristgerechter Steuererklärungen und -zahlungen 

Tax-Compliance ist somit ein umfassender Ansatz zur proaktiven Sicherstellung der Steuerehrlichkeit, Optimierung der Steuerlast und Erfüllung aller steuerlichen Verpflichtungen eines Unternehmens.

IT-Compliance

IT-Compliance bezeichnet die Einhaltung aller relevanten Gesetze, Vorschriften, Standards und internen Richtlinien im Bereich der Informationstechnologie eines Unternehmens. 

Zentrale Aspekte der IT-Compliance sind insbesondere: 

  • Minimierung von IT-Risiken und Sicherstellung der Integrität von IT-Systemen und -Daten
  • Implementierung von IT-Sicherheitsmaßnahmen und -Kontrollen
  • Kann auch branchenspezifische IT-Standards und -Zertifizierungen umfassen
  • Einsatz und Überwachung von KI-Systemen

IT-Compliance ist ein fortlaufender Prozess, der eine kontinuierliche Überwachung und Anpassung erfordert, um die sich schnell entwickelnden rechtlichen und technologischen Anforderungen zu erfüllen.

Datenschutz-Compliance

Bei der Datenschutz-Compliance sollen alle datenschutzrechtlichen Maßnahmen und Prozesse in ein Unternehmen implementiert werden, um die Einhaltung der geltenden Datenschutzgesetze und -vorschriften sicherzustellen und entsprechende Haftungsrisiken zu vermeiden. 

Zentrale Aspekte der Datenschutz-Compliance sind insbesondere: 

  • Schutz personenbezogener Daten, im Gesundheitswesen
  • Einhaltung der Grundsätze der DSGVO und des kirchlichen Datenschutzrechts
  • Regelmäßige Überprüfung und Aktualisierung der Datenschutzmaßnahmen
  • Bestellung eines Datenschutzbeauftragten (wenn erforderlich)
  • Schaffung einer verantwortungsvollen Datenschutzkultur 

Vorteile einer ganzheitlichen Compliance-Management-System-Struktur

Die genannten Compliance-Bereiche weisen hohe Schnittmengen auf. Ein ganzheitliches Compliance-Management-System, das diese synergetisch abdeckt, ist somit – gerade in komplexeren Organisationen – unerlässlich. Zu den wichtigsten Vorteilen eines funktionierenden Compliance-Management-System zählen insbesondere folgende Faktoren: 

  • Rechtssicherheit und Haftungsvermeidung
    • Gesetzeskonformität: Ein Compliance-Management-System stellt sicher, dass das Unternehmen alle relevanten Gesetze, Vorschriften und internen Richtlinien einhält.
    • Haftungsminimierung: Unternehmen und Führungskräfte können ihre Haftung im Falle von Rechtsverstößen reduzieren, indem sie nachweisen, dass angemessene Compliance-Maßnahmen ergriffen wurden.
  • Effektives Risikomanagement
    • Früherkennung: Systematische Identifikation und Bewertung von Compliance-Risiken ermöglicht frühzeitiges Handeln.
    • Kontinuierliche Überwachung: Potenzielle Schäden und Verluste können durch ständige Kontrolle von Compliance-Risiken vermieden werden.
  • Steigerung der Betriebs- und Prozesseffizienz
    • Optimierte Arbeitsabläufe: Klare Richtlinien und Verfahren führen zu effizienteren Prozessen.
    • Kosteneinsparungen: Vermeidung von Bußgeldern und Schadensersatzforderungen durch Rechtsverstöße.
  • Vertrauensbildung und Reputationsschutz
    • Stakeholder-Vertrauen: Demonstration von Integrität und Gesetzestreue stärkt das Vertrauen von Kunden, Partnern und Investoren.
    • Reputationsschutz: Reduzierung des Risikos von Reputationsschäden durch negative Berichterstattung oder rechtliche Auseinandersetzungen.
  • Förderung von Mitarbeiterengagement und Unternehmenskultur
    • Bewusstseinsbildung: Regelmäßige Schulungen und Sensibilisierungsmaßnahmen stärken das Compliance-Bewusstsein der Mitarbeiter.
    • Integritätskultur: Beitrag zu einer Kultur der Integrität und Verantwortung im Unternehmen.
  • Steigerung von Motivation und Loyalität
    • Mitarbeiterzufriedenheit: Ethische Unternehmensführung fördert Motivation und Loyalität der Mitarbeiter.
    • Verbesserte Mitarbeiterbindung: Erhöhung der Mitarbeiterzufriedenheit und -bindung.
  • Schaffung von Wettbewerbsvorteilen
    • Differenzierung: Ein nachweislich effektives Compliance-Management-System kann als Wettbewerbsvorteil genutzt werden, besonders in sensiblen Branchen wie dem Gesundheitswesen.
    • Geschäftschancen: Erhöhte Chancen auf Vertragsabschlüsse mit Partnern, die Wert auf ethische Geschäftspraktiken legen.
  • Ermöglichung kontinuierlicher Verbesserung
    • Anpassungsfähigkeit: Schnelle Reaktion auf neue gesetzliche Anforderungen und regulatorische Änderungen.
    • Prozessoptimierung: Regelmäßige Überprüfung und Verbesserung der Compliance-Prozesse hält das Unternehmen auf dem aktuellen Stand.

Chancen und Risiken – wie Curacon Ihre Organisation unterstützen kann

Die Einrichtung einer Compliance-Struktur ist für jede komplexere Organisation im Gesundheitswesen relevant. Nach höchstrichterlicher Rechtsprechung ist die Einrichtung eines Compliance-Management-System ab einem gewissen Komplexitätsgrad sogar verpflichtend. 

Geschäftsführer und Vorstände setzen sich beträchtlichen Haftungsrisiken aus, wenn sie es versäumen, ein adäquates Compliance-Management-System zu etablieren. 

Startschuss für diese Rechtslage war das Urteil des Landgerichts München I vom 10.12.2013 (Az. 5 HKO 1387/10). Damit verurteilte das LG den ehemaligen Siemens-Finanzvorstand Heinz-Joachim Neubürger zu einer Schadensersatzzahlung von 15 Millionen Euro an das Unternehmen, weil er es versäumt hatte, ein funktionierendes Compliance-Management-System zu implementieren. 

Das Gericht machte den Ex-Vorstand damit indirekt für die Entwicklung eines Systems schwarzer Kassen verantwortlich, aus denen Korruptionszahlungen geleistet wurden, obwohl er selbst keine Kenntnis davon hatte.

Nutzen Sie die Pflicht zur Einrichtung einzelner Compliance-Maßnahmen als Start für die Implementierung eines ganzheitlichen Compliance-Management-Systems, um die zunehmend komplexer werdenden rechtlichen Anforderungen möglichst aufwandsarm und handhabbar zur erfüllen.

Das umfangreiche Leistungsportfolio von Curacon zum Thema Compliance ermöglicht für jeden Mandanten eine maßgeschneiderte Lösung entlang seiner Bedürfnisse. Unserer Beratungsleistungen reichen von der Begleitung und Implementierung eines ganzheitlichen Compliance-Management-Systems, einzelner größerer Teilbereiche wie ein Tax-Compliance-Management Systems oder einzelne Compliance-Komponenten. 

Zu diesen ganzheitlichen Leistungen befähigt uns die breite Aufstellung von Curacon und die enge Zusammenarbeit in den verschiedenen Geschäftsbereichen: 

  • Wirtschaftsprüfung,
  • Unternehmensberatung,
  • Steuerberatung,
  • Rechtsberatung und
  • Research. 

Zudem profitieren wir in den verschiedenen Bereichen von unseren langjährigen Erfahrungen aus der Zusammenarbeit mit einer Vielzahl von Trägerschaften in unterschiedlichen Tätigkeitsfeldern des Gesundheits- und Sozialwesens. 

Legal-Compliance

Unser Leistungsportfolio hinsichtlich der Legal-Compliance umfasst u. a.:

  • Compliance Quick Check
    • Gesetzliche Anforderungen: Überprüfung der Einhaltung gesetzlicher und regulatorischer Vorschriften, wie z.B. Arbeitsrecht, Datenschutz, Steuerrecht und Umweltschutz.
    • Unternehmensrichtlinien: Überprüfung der Einhaltung interner Richtlinien, wie z.B. Verhaltenskodex, Antikorruptionsrichtlinien und Konfliktlösungsverfahren.
    • Überprüfung der internen Kontrollen und Überwachungsmechanismen, um mögliche Compliance-Verstöße zu identifizieren und zu verhindern.
  • Compliance Management System
    • Prüfung der Ist-Situation beim Mandanten bzgl. des gesamten Compliance Management Systems (Compliance-Management-System)
    • Planung und Implementierung eines Compliance-Management-System
    • Kontrollen und Überwachung: Implementierung von internen Kontrollsystemen und Überwachungsmechanismen
    • Planung und Implementierung einzelner Compliance-Komponenten (z.B. Hinweisgeber-System nach HinSchG + Beschwerdeverfahren nach LkSG)
    • Interne Untersuchungen
    • Schulungen und Sensibilisierungen zu diversen Inhalten eines Compliance-Management-System  

Tax-Compliance

Unser Leistungsportfolio hinsichtlich der Tax-Compliance umfasst u. a.:

  • Bestandsanalyse
    • Bestandsaufnahme steuerlich relevanter Arbeitsprozesse
    • Bewertung der Risiken im Hinblick
    • Aufzeigen der ersten möglichen Maßnahmen zur Begegnung der Risiken
  • Ziel-Konzept
    • Aufzeigen erforderlicher Anpassungen, Ergänzungen und Optimierungsbedarfe der bestehenden Systeme auf Grundlage der Bestandsanalyse
    • Gemeinsame Erarbeitung der Eckpfeiler eines Tax-Compliance-Management-System (TCMS)
    • Erstellung von Checklisten, Maßnahmen und Handlungsempfehlungen zur Fehlervermeidung  
    • Modifizierung bzw. Ausbau bestehender Instrumente zur Erhöhung und Sicherstellung der Akzeptanz im Unternehmen
  • Umsetzungsbegleitung  
    • Unterstützung bei Information und Schulung Ihrer Mitarbeiterinnen und Mitarbeiter
    • Ansprechpartner für konkrete Rückfragen zur Anwendung und Durchführung des Tax-Compliance-Management-Systems
    • Regelmäßiger Kontakt zu Ihrer oder Ihrem Tax-Compliance-Management-System-Beauftragten zur Sicherstellung des Anpassungsprozesses des Tax-Compliance-Management-System im Rahmen von sich ergebenden Veränderungen im Unternehmen 

IT-Compliance

Unser Leistungsportfolio hinsichtlich der IT-Compliance umfasst u. a.:

  • IT-Sicherheitsanalyse
    • Durchführung eines IT-Sicherheitschecks in Ihrer IT-Organisation mit klarem Fokus auf IT-Sicherheit und Datenschutz – basierend auf allen relevanten Sicherheitsstandards
  • Penetrationstests
    • Durchführung des konkreten praktischen Sicherheitstests – sowohl von außen als auch innerhalb Ihrer Organisation
  • Informationssicherheits-Managementsysteme (ISMS)
    • Implementierung klarer Prozesse und Zuständigkeiten, sog. Security Policies, für dauerhaften Informationssicherheit
    • Bei Bedarf: Stellung einer oder eines externen IT-Sicherheitsbeauftragten 

Datenschutz-Compliance

Unser Leistungsportfolio hinsichtlich der Datenschutz-Compliance umfasst u.a.:

  • Analyse des Datenschutzbedarfs
    • Durchführung von Audits zur Bestandsaufnahme des bestehenden Datenschutzmanagement-Systems
    • Begehungen zur Identifizierung von Datenschutzgefährdungen und Untersuchungen zum Kenntnisstand datenschutzrechtlicher Anforderungen in der Belegschaft
  • Aufbau effizienter Datenschutzmanagement-Systeme
    • Aufbau effizienter und die Unternehmenssituation zugeschnittene Datenschutzmanagement-Systeme
    • Integration des Datenschutzes in bestehende Systeme des Qualitäts- und Risikomanagement
    • Monitoring der Systeme und Gewährung der Konformität mit der maßgeblichen Gesetzgebung
    • Schulung uns Sensibilisierung zum Datenschutz
    • Websiteprüfung und -monitoring
  • Gestellung einer / eines externen Datenschutzbeauftragten
    • Gestellung eines betrieblichen Datenschutzbeauftragten
    • Ausstattung eines extern bestellten Beauftragten mit der notwendigen und aktuellen Fachkunde
    • Unterstützung und Beratung der Unternehmensleitung bei der Umsetzung rechtlicher Vorgaben

Interne Revision

Die Interne Revision ist zwar kein direkter Bestandteil des Compliance-Management-Systems (CMS), steht aber in enger Verbindung zu diesem. Sie prüft und überwacht interne Arbeitsprozesse auf Richtigkeit, Ordnungsmäßigkeit, Zweckmäßigkeit und Wirtschaftlichkeit. Im Rahmen von Compliance-Audits vergleicht die Interne Revision den Ist- mit dem Sollzustand anhand konkreter unternehmerischer Einzelfälle und trägt so zur Effektivität des CMS bei. 

Unsere Leistungen hinsichtlich der Internen Revision beinhalten u.a. die Prüfung und Beratung nach den Standards des DIIR e. V.

Der Fokus unserer Auditgebiete liegt dabei auf dem Finanz- und Rechnungswesen, Personal, Bau und Technik, Informationstechnologie sowie Einkauf und Beschaffung.

Sie suchen einen kompetenten Partner zu Fragen zum Thema Compliance? Wir bieten Ihnen langjährige fachliche Expertise. Kommen Sie gerne auf uns zu. Jetzt Kontakt aufnehmen!

Impulse für Ihre Arbeit

Curacon-Newsletter

Unser Wissen teilen wir gern: Die wichtigsten Themen kompakt auf den Punkt gebracht – abonnieren Sie einfach hier unseren Newsletter.

Weitere Informationen

Curacon-Veranstaltungen

Ob in Präsenz oder als Webinar – unser Wissen teilen wir gern. Von Grundlagenseminaren über unsere Fachtage bis zu Updates zu aktuellen Fragestellungen erhalten Sie von uns kompakt das für Ihren Alltag erforderliche Wissen.

Weitere Informationen

Curacontact

Unsere Mandantenzeitschrift Curacontact bietet Ihnen quartalsweise Fachbeiträge zu spannenden und aktuellen Themen aus Ihrer Branche. Sie möchten die Curacontact abonnieren und kostenlos per Post erhalten? Dann kontaktieren Sie uns.

Weitere Informationen