Was zeichnet den Standard DIN ISO 37301 aus?
Vor kurzem wurde der neue Standard DIN ISO37301 „Compliance-Management-Systeme“ veröffentlicht. Der Beitrag zeigt die wesentlichen Unterschiede zum lange schon etablierten Standard IDW PS 980 auf und bewertet diese. Darüber hinaus werden Unterschiede zu seinem Vorgänger DIN ISO 19600 dargestellt.
Im April 2021 wurde der neue Compliance-Standard DIN ISO37301 veröffentlicht. Er löst damit seinen Vorgänger, den Standard DIN ISO19600 aus dem Jahr 2014 ab. Doch wo liegen die Unterschiede? Bietet der neue Standard Vorteile oder ist er nur irgendwie moderner? Im Kern – und das wird auch im Text betont – handelt es sich um die Fortschreibung des alten Standards. Und doch gibt es eine ganz grundsätzliche Veränderung. Der alte Standard DIN ISO 19600 war ein Baukasten-System.
Die Krankenhäuser konnten sich aus den zahlreichen Möglichkeiten und Maßnahmen diejenigen raussuchen, die zu ihrer Größe, ihrer Leistungsfähigkeit und auch ihrem bereits erreichten Compliance-Level am ehesten passten. Es war zwar kein „Wünsch Dir was!“, aber der Standard bot doch ein sehr hohes Maß an Flexibilität. Und darüber hinaus war es problemlosmöglich, einzelne Compliance-Schritte zeitlich so zu verteilen, dass sie mehr oder weniger mühelos umgesetzt werden konnten.
Mitunter dauerte der Aufbau eines Compliance-Managements damit natürlich deutlich länger. Der alte Standard verfolgte einen gänzlich anderen Ansatz als der schon lange etablierte Standard IDWPS 980. Das hohe Maß an Flexibilität war zugleich sein größter Nachteil: Man konnte mit dem Standard DIN ISO 19600 keine Zertifizierung erreichen. Meines Erachtens ist das verschmerzbar. Im Falle eines Ermittlungsverfahrens ist die ordentliche Dokumentation vom Aufbau des Compliance-Managements ohnehin viel wertvoller als ein gerahmtes Zertifikat an der Wand. Denn das allein überzeugt die Staatsanwaltschaft nicht. Und doch hing dem Standard dieses Manko nach.
Neuer Standard ist zertifizierbar
Der Nachfolger DINISO37301 ist eine sogenannte Anforderungsnorm vom Typ A. Die sperrige Formulierung besagt, dass grundsätzlich auch eine Zertifizierung möglich ist. Der wesentliche formale Unterschied zum Standard PS 980 ist damit aufgehoben. Und doch bleibt sich die Norm im Kern treu, denn auch dort heißt es noch „Die Anforderungen (…) in diesem Dokument sind anpassbar vorgesehen und ihre Implementierung kann je nach Größe des Compliance-Managementsystems einer Organisation (…) variieren.“ Was allerdings nicht mehr geht, ist die zeitliche Abschichtung. Denn in dem Moment, in dem die Zertifizierung durchgeführt wird, müssen die Anforderungen allesamt erreicht sein.
Welcher Standard ist zu bevorzugen?
Diese Frage kann man nicht pauschal beantworten; dazu müsste man tief in die Strukturen und Anforderungen einsteigen. Und dabei stellt man fest, dass sie in vielen Punkten nicht weit auseinander liegen. Ein wesentlicher Unterschied, der auch schon im Vergleich zum Vorgänger DIN ISO19600 galt, bleibt bestehen: Der Standard IDW PS 980 kann nur von Wirtschaftsprüfern testiert werden. Denn das Kürzel steht für „Institut der Wirtschaftsprüfer“. Damit haben sich Wirtschaftsprüfer in der Vergangenheit ein attraktives Geschäftsfeld gesichert. Der Standard DIN ISO 37301 ist hingegen nicht auf eine Berufsgruppe begrenzt. Wenn man betrachtet, was Compliance bedeutet, kann man zweifeln, ob allein Wirtschaftsprüfer geeignet sind, die Wirksamkeit eines Compliance-Management-Systems zu bewerten und zu zertifizieren. Compliance ist das Ergebnis der Erfüllung aller Compliance-Verpflichtungen eines Unternehmens. Es geht also um die Anforderungen, die ein Krankenhaus zwingend erfüllen muss (z. B. Gesetze und Verordnungen) und Anforderungen, zu denen sich das Krankenhaus freiwillig entschließt.
Im Kern geht es also darum, die Einhaltung rechtlicher Normen zu bewerten und wo nötig Maßnahmen zu ergreifen. Eine solche Maßnahme kann z. B. eine neue Richtlinie oder die Überarbeitung von Standard-Verträgen sein. Das sind Themen, in denen Wirtschaftsprüfer schon berufsrechtlich nicht beraten dürfen. Die Rechtsberatung obliegt den Rechtsanwälten. Um dieses Manko auszugleichen, bringen manche Wirtschaftsprüfungsgesellschaften die Rechtsanwälte ihrer zugehörigen Rechtsanwaltsgesellschaft gleich mit. Doch so umständlich muss man nicht vorgehen. Wer die Einhaltung von Rechtsnormen begutachtet und zertifiziert haben möchte, ist im Zweifel bei Juristen auch am besten aufgehoben.
Autor: Volker Ettwig, Rechtsanwalt, Certified Compliance Expert, Tsambikakis & Partner Rechtsanwälte mbB
erschienen in KU Gesundheitsmanagement 10/2021
