Das Risikomanagement im Krankenhaus ist ein vielschichtiges Thema, da verschiedene Stakeholder verschiedene Interessen verfolgen.
Das medizinische Personal versucht Risiken für Patienten zu minimieren, die beispielsweise durch falsches ärztliches Handeln entsteht. Die Geschäftsführung ist daran interessiert, gesetzliche und versicherungsrechtliche Risiken zu beherrschen und gleichzeitig den ökonomischen Erfolg zu sichern. Die IT und Medizintechnik fokussieren auf Risiken, die durch die Technologien entstehen.
A) Gesetzliche Grundlagen zum Risikomanagement im Krankenhaus
0. Übersicht
Es bestehen drei regulatorisch relevante Grundlagen mit Bezug zum Risikomanagement im Krankenhaus bzw. bei anderen Anbieter im Gesundheitswesen:
- Patientenrechtegesetz 2013 in allgemeiner Form
- Beschluss des gemeinsamen Bundesausschusses GBA
- Medizinproduktegesetz speziell mit der Medizinprodukte-Betreiberverordnung beim Anschluss von Medizinprodukten an andere Gegenstände (IT-Netzwerk)
1. Patientenrechtegesetz
Das Gesetz zur Verbesserung der Rechte von Patientinnen und Patienten vom 20. Februar 2013 verpflichtet Krankenhäuser [allgemein], Risikomanagement- und Fehlermeldesysteme einzuführen.
„(1d) Der Gemeinsame Bundesausschuss bestimmt in seinen Richtlinien über die grundsätzlichen Anforderungen an ein einrichtungsinternes Qualitätsmanagement nach Absatz 1 Nummer 1 erstmalig bis zum 26. Februar 2014 wesentliche Maßnahmen zur Verbesserung der Patientensicherheit und legt insbesondere Mindeststandards für Risikomanagement- und Fehlermeldesysteme fest.
Über die Umsetzung von Risikomanagement- und Fehlermeldesystemen in Krankenhäusern ist in den Qualitätsberichten nach Absatz 3 Nummer 4 zu informieren.
Als Grundlage für die Vereinbarung von Vergütungszuschlägen nach § 17b Absatz 1 Satz 5 des Krankenhausfinanzierungsgesetzes bestimmt der Gemeinsame Bundesausschuss Anforderungen an einrichtungsübergreifende Fehlermeldesysteme, die in besonderem Maße geeignet erscheinen, Risiken und Fehlerquellen in der stationären Versorgung zu erkennen, auszuwerten und zur Vermeidung unerwünschter Ereignisse beizutragen.“
Diese Fehlermeldesysteme zielen auf die CIRS, die Critical Incident Report Systeme.
Lesen Sie hier mehr zum Thema CIRS.
2. Der Gemeinsame Bundesausschuss (G-BA)
Was der G-BA ist
Der Gemeinsame Bundesausschuss (G-BA) ist das oberste Beschlussgremium der gemeinsamen Selbstverwaltung der Ärzte, Zahnärzte, Psychotherapeuten, Krankenhäuser und Krankenkassen in Deutschland. Er bestimmt in Form von Richtlinien den Leistungskatalog der gesetzlichen Krankenversicherung (GKV) für mehr als 70 Millionen Versicherte und legt damit fest, welche Leistungen der medizinischen Versorgung von der GKV erstattet werden. Darüber hinaus beschließt der G-BA Maßnahmen der Qualitätssicherung für den ambulanten und stationären Bereich des Gesundheitswesens.
Leitlinie des G-BAs zum Qualitäts- und Risikomanagement
Dieser G-BA hat eine Qualitätsmanagement-Richtlinie/QM-RL erlassen, die für Vertragsärzte und Krankenhäuser verbindlich ist. Damit erfüllt er nach eigenen Angaben seinen Auftrag aus dem Patientenrechtegesetz. Die Richtlinie fordert
- ein Qualitätsmanagement (mit den Phasen Plan-Do-Check-Act s. Abb. 1)
- Risikomanagement- und
- Fehlermeldesysteme in der medizinischen Versorgung u.a. im Kontext der OPs, Medizintechnik, Hygiene, Arzneimitteltherapiesicherheit usw.
Der §2 der Leitlinie fordert, dass „Durch die Identifikation relevanter Abläufe, ihre sichere Gestaltung und ihre systematische Darlegung sollen Risiken erkannt und Probleme vermieden werden.“
Auf die Medizintechnik oder IT geht die Leitlinie nicht explizit ein. Eine Ausnahme bildet die Forderung nach „Informationssicherheit und Datenschutz“.

Abgrenzung zu Qualitätsmanagement und Fehlermanagement
Das Risikomanagement ist eine zukunftsorientierte Analyse potenzieller Probleme. Diese Probleme werden analysiert und bewertet.
Das Fehlermanagement ist eine vergangenheitsorientierte Analyse von Fehlern, die bereits gemacht wurden. Diese Analyse wird verwendet, um zukünftige Fehler zu vermeiden. So spielen Risikomanagement und Fehlermanagement zusammen.
Das Qualitätsmanagement legt seinen Fokus auf Prozesse, und Strukturen, definiert Standards und legt Verantwortlichkeiten fest. Da das Risikomanagement auch prozessorientiert erfolgen sollte, ist das Risikomanagement Teil des Qualitätsmanagements.
3. Medizinproduktegesetz (MPG) und MPBetreibV
Gesetzlicher Rahmen
Das Medizinproduktegesetz (MPG) richtet sich weitgehend an Hersteller von Medizinprodukten. Es enthält allerdings mit § 14 die gesetzliche Grundlage für die Medizinprodukte-Betreiberverordnung (MPBetreibV), die das Errichten, Betreiben, Anwenden und Instandhalten von Medizinprodukten regelt und sich somit an die Betreiber richtet.
Miteinander verbundene Medizinprodukte sowie mit Zubehör einschließlich Software oder mit anderen Gegenständen verbundene Medizinprodukte dürfen nur betrieben und angewendet werden, wenn sie dazu unter Berücksichtigung der Zweckbestimmung und der Sicherheit der Patienten, Anwender, Beschäftigten oder Dritten geeignet sind.
Damit bildet die Verordnungen die gesetzliche Basis, die Krankenhäuser und andere Anbieter im Gesundheitswesen zum Risikomanagement zu verpflichten, wenn sie Medizinprodukte vernetzten bzw. in ein IT-Netzwerk integrieren:
- Die Anbindung, Kombination bzw. Integration darf nur im Rahmen der Zweckbestimmung des Herstellers des Medizinproduktes erfolgen.
- Die Anbindung, Kombination bzw. Integration darf nur erfolgen, wenn nachgewiesen wird, dass diese für die Sicherheit von Patienten, Anwendern und Dritten geeignet ist.
Die Forderung, die Eignung einer Kombination für die Sicherheit von Patient, Anwender und Dritten nachzuweisen, läßt sich nur durch eine entsprechende Dokumentation über das Risikomanagement im Krankenhaus führen.
Vernetzt beispielsweise ein Betreiber wie ein Krankenhaus ein Medizinprodukt wie ein bildgebendes Ultraschallgerät mit dem IT-Netzwerk, um Daten darüber zu senden und auszutauschen, muss das Krankenhaus nachweisen, wie § 2 Abs. 3 der MPBetreibV erfüllt wird.
Bei der Integration eines Ultraschallgerätes in das IT-Netzwerk kann man die DIN EN 80001-1:2011 heranziehen, um über das in dieser Norm beschriebene Risikomanagement im Krankenhaus den Nachweis zu führen, dass diese Vernetzung sicher ist für Patient, Anwender und Dritte.
B) Risikomanagement im Krankenhaus: Die Realität
So sollte es sein
Der GBA möchte wie oben geschrieben das Risikomanagement-System in den Kliniken als Teil des Qualitätsmanagement-Systems etabliert wissen. Zu den Elementen dieses Risikomanagement-Systems sollen die Krankenhäuser
- den Informationsaustausch über Risiken regeln,
- Verantwortliche für das Risikomanagement benennen,
- ein Fehlermeldesystem (z.B. ein CIRS) etablieren,
- die eingegangenen Fehlermeldungen analysieren, um herauszufinden, welches Risiko für die Patienten bestand und um
- Maßnahmen zu ergreifen, um diese Fehler zu eliminieren und künftig zu vermeiden (also „Corrective and Preventive Measures“) sowie
- ein Beschwerdemanagement-System zu etablieren.
Für all dies trägt die oberste Leitung die Verantwortung.
Und so sieht es aus.
Was das Johner Institut bei IEC 80001 Projekten in den Krankenhäusern beobachtet, lässt wundern bis schaudern: Eine im System verankerte Fehlerkultur, Prozesse, um Risiken systematisch zu erfassen und deren Ursachen zu untersuchen, geregelte Verantwortlichkeiten, häufig Fehlanzeige. Manchmal stößt man in einem Krankenhaus auf ein CIRS (Critical Incident Reporting System), das aber eher ein Feigenblatt als ein wirksames Mittel zur Erhöhung der Patientensicherheit ist.
Die Befürchtung besteht, dass Krankenhäuser zwar wie geforderten ein QM-System proforma etablieren und einen QM-Beauftragten bestimmen. Der bekommt das Risikomanagement als weitere Aufgabe auf den Tisch geknallt, wird dann irgendwelche nie wirklich gelebten Prozessbeschreibung erstellen und dann eine weitere Software einkaufen.
Risikomanagement im Krankenhaus kann die Führungskraft nicht delegieren. Eine Fehlerkultur muss gelebt werden – auch vom Chef. Und das betrifft nicht nur die Patientensicherheit, das betrifft nicht nur ein „klinisches Risiko“, sondern das betrifft alle Fehler, die Mitarbeiter wie z.B. Chefs machen. Der Fisch stinkt vom Kopf. Oder eben nicht.
C) Risikomanagement und IT-Sicherheit im Krankenhaus
Auf der Suche nach einem Standard für das Risikomanagement im Krankenhaus stößt man schnell auf die IEC 80001. Diese Norm hat aber den Fokus auf Risiken durch mangelnde IT-Sicherheit.

Im Krankenhaus gibt es aber viele weitere Risiken, die beispielsweise verursacht werden durch
- die falsche Vergabe von Medikamenten
- die Verwechslung von Patienten
- mangelnde Hygiene
- schlecht ausgebildetes oder überlastetes Personal
Die IEC 80001 hat habe vergleichbare Schutzziele wie das Risikomanagement im Allgemeinen: Risiken für Patienten (körperliche Schäden, Verletzung des Datenschutzes) und das Krankenhaus zu minimieren.
Lesen Sie hier mehr zu den Themen IEC 80001 dd, IT-Security und Risikomanagement bei IT-Netzwerken.
Danke für den nützlichen Beitrag. Ich finde , dass Fehlermanagement im Krankenhaus sowie auch Risikomanagement durch geeignete Software ein ganzheitliches Qualitätsmanagement unterstützen und
letztendlich sowohl den Patienten als auch den Mitarbeitenden zugute kommen. Grüße
Danke, Herr Werkmann, für Ihre wertvollen Gedanken!
Die Software ist in der Tat sehr hilfreich.
Sie ersetzt nicht das Bewusstsein und den Willen, das Thema wirklich anzugehen. Es gibt Krankenhäuser, bei denen das der Engpass wird. Software löst diesen leider nicht auf.
Nochmals besten Dank!
Viele Grüße, Christian Johner
Danke für diesen Beitrag!Das Qualitätsmanagement für Krankenhäuser ist ein wichtiges Thema.
DAnke für den Beitrag. Spitäler und Krankenhäuser sollten sich, aufgrund der Fehleranfälligkeit, ein Beratungsunternehmen im Gesundheitswesen ins Haus holen. Viele Themen wie Abrechnung, DRG Grundlagen, Medizincontrolling könnten dann verbessert werden.