Zum Inhalt springen
FM-Connect Chat

Hallo! Ich bin Ihr FM-Connect Chat-Assistent. Wie kann ich Ihnen helfen?

FM-Solutionmaker: Gemeinsam Facility Management neu denken

Risikomanagement

Facility Management: Kliniken und Krankenhäuser » Leistungen » Risikomanagement

Risikomanagement im Krankenhaus – Ein multidimensionaler Ansatz für Sicherheit und Resilienz

Risikomanagement im Krankenhaus – Ein multidimensionaler Ansatz für Sicherheit und Resilienz

Risikomanagement im Krankenhaus bezeichnet einen systematischen Prozess, um potenzielle Risiken für Patienten, Mitarbeiter und den Krankenhausbetrieb frühzeitig zu erkennen und zu kontrollieren. Es hat das strategische Ziel, Schäden zu vermeiden und die Versorgungsqualität sowie den reibungslosen Betrieb sicherzustellen. Insbesondere die Patientensicherheit steht im Vordergrund: Gesetzliche Vorgaben in Deutschland verlangen von Kliniken ein umfassendes Risikomanagement, um Behandlungsfehler zu reduzieren. Effektives Risikomanagement trägt darüber hinaus zur Stabilität der Abläufe bei, minimiert finanzielle Verluste durch Schadensfälle und stärkt das Vertrauen von Patienten und Mitarbeitern in die Organisation.

Eine starke Sicherheits- und Risikokultur in Krankenhäusern fördert das gegenseitige Vertrauen und die Transparenz. Mitarbeiter auf allen Ebenen verstehen, dass sie Teil eines Lernsystems sind. Dies führt zu einer deutlich höheren Meldebereitschaft von Risiken und Beinahe-Schäden und damit zu mehr proaktiver Fehlervermeidung. Die Krankenhausleitung unterstützt diese Kultur durch klare Kommunikation, personelle und finanzielle Ressourcen für Sicherheitsprojekte und indem sie selbst Führungsverantwortung für das Risikomanagement übernimmt. So entsteht ein lernendes System, in dem Risiken kontinuierlich erkannt, offen diskutiert und gemeinsam gebannt werden – zum Wohle der Patienten und des gesamten Krankenhauses.

Klinisches Risikomanagement

Klinisches Risikomanagement fokussiert auf die direkte Patientenversorgung. Hier stehen die Vermeidung von Behandlungsfehlern, unerwünschten Ereignissen und Patientenschäden im Mittelpunkt. Schon kleine Fehler – sei es die Verwechslung von Medikamenten, ein falscher Eingriff oder mangelnde Hygiene – können schwerwiegende Folgen für Patienten haben. Daher ist es entscheidend, Risiken im klinischen Alltag systematisch zu identifizieren und durch Präventionsmaßnahmen zu verringern. Ein funktionierendes klinisches Risikomanagement verbessert die Patientensicherheit signifikant und steigert gleichzeitig die Behandlungsqualität.

Ein funktionierendes klinisches Risikomanagement verbessert die Patientensicherheit signifikant und steigert gleichzeitig die Behandlungsqualität:

  • Instrumente und Maßnahmen: Krankenhäuser setzen diverse Werkzeuge ein, um klinische Risiken zu managen. Ein zentrales Element ist ein Fehlerberichts- und Lernsystem, meist als CIRS (Critical Incident Reporting System) bekannt. Seit 2014 sind alle deutschen Krankenhäuser verpflichtet, ein CIRS als Teil des Qualitäts- und Risikomanagements zu betreiben. In diesen anonymen Meldesystemen können Mitarbeiter Beinahe-Fehler oder kritische Ereignisse berichten, damit das Krankenhaus aus diesen Beinahe-Schäden lernt und Verbesserungen einleitet. Wichtig ist dabei eine offene Fehlerkultur (siehe Abschnitt 8), damit Mitarbeiter ohne Angst vor Sanktionen berichten. Neben CIRS kommen Root Cause Analysis (RCA) und ähnliche Methoden zum Einsatz, um die Grundursachen von Zwischenfällen systematisch zu untersuchen. Dadurch können Prozesse angepasst und zukünftige Fehler verhindert werden. Klinische Abläufe werden ferner durch Checklisten und Protokolle abgesichert – etwa die OP-Sicherheits-Checkliste (nach WHO-Vorbild) vor Operationen, um Verwechslungen oder vergessene Schritte zu vermeiden, oder Doppelkontrollen bei der Medikamentenverabreichung.

  • Fokusbereiche: Typische Schwerpunkte des klinischen Risikomanagements sind Medikation, chirurgische Abläufe und Infektionsprävention. Medikationssicherheit (Arzneimitteltherapiesicherheit, AMTS) hat hohen Stellenwert, da Medikationsfehler zu den häufigsten Schadensereignissen zählen. Durch Maßnahmen wie einheitliche Medikamentenpläne, Verwechslungswarnungen und elektronische Verschreibungssysteme wird versucht, Fehler zu reduzieren. In Deutschland existiert seit 2008 ein nationaler Aktionsplan zur AMTS, der laufend weiterentwickelt wird. Operative Risiken werden durch Standardprozeduren wie Team-Time-outs, Markierung der Eingriffsstelle und Zählkontrollen von Instrumenten adressiert. Infektionsprävention ist ein weiterer kritischer Bereich: Krankenhaushygiene und die Vermeidung nosokomialer Infektionen werden streng überwacht. Nach §23 Infektionsschutzgesetz (IfSG) ist die Krankenhausleitung verpflichtet, alle erforderlichen Maßnahmen nach dem aktuellen Stand der Wissenschaft zu treffen, um Krankenhausinfektionen zu verhüten. Dazu gehören Hygienepläne, regelmäßige Schulungen des Personals in Hygienemaßnahmen und ein Meldesystem für Infektionsausbrüche. In der Praxis werden z.B. Isolationsprotokolle bei multiresistenten Keimen, Händehygiene-Kampagnen („Aktion Saubere Hände“) und Überwachungen von Infektionsraten (Surveillance) durchgeführt, um Infektionsrisiken zu minimieren.

  • Integration mit Qualitätsmanagement: Klinisches Risikomanagement ist eng verzahnt mit dem Qualitätsmanagement (QM) des Krankenhauses. Der G-BA verlangt, dass Kliniken ein QM-System nach dem PDCA-Zyklus (Plan-Do-Check-Act) implementieren und darin Risikomanagement- und Fehlermeldesysteme als zentrale Bausteine verankern. Praktisch bedeutet dies, dass Prozesse und klinische Behandlungspfade regelmäßig auf Risiken überprüft werden. Beispielsweise werden in interdisziplinären Morbiditäts- und Mortalitätskonferenzen Fälle analysiert, um aus Komplikationen zu lernen. Risiken in Bereichen wie OP, Medizintechnik, Hygiene oder Medikamententherapie müssen dabei systematisch erfasst und bewertet werden. Das Risikomanagement ist somit kein isolierter Prozess, sondern Teil des kontinuierlichen Verbesserungsprozesses im Krankenhaus. Über Qualitätsindikatoren und Audits wird zudem regelmäßig überprüft, ob die definierten Sicherheitsziele erreicht werden. Insgesamt führt die Verzahnung von Risiko- und Qualitätsmanagement dazu, dass identifizierte Risiken in Verbesserungsmaßnahmen überführt werden – etwa Anpassung von Behandlungsleitlinien, zusätzliche Schulungen des Personals oder Investitionen in sicherere Medizintechnik.

Risiken der technischen Infrastruktur und Gebäudesicherheit

Die physikalische Krankenhaus-Infrastruktur bildet das Rückgrat für eine sichere Patientenversorgung. Ausfälle oder Störungen technischer Anlagen – Strom, Wasser, Klima, Medizingase, Aufzüge – können den Klinikbetrieb akut gefährden. Intensivstationen, OP-Säle oder Labore sind hochgradig von einer funktionierenden technischen Versorgung abhängig. Deshalb ist das Facility-Risikomanagement unverzichtbar, um Patienten und Mitarbeiter vor technischen Gefahren zu schützen. Krankenhäuser müssen sich fragen, ob ihre Abhängigkeit von Basisinfrastrukturen so groß ist, dass ein Ausfall die Arbeitsfähigkeit insgesamt gefährden würde.

Präventive Planung und regelmäßige Überprüfung der Anlagen sind nötig, um auch in Notfällen handlungsfähig zu bleiben:

  • Technische Gefahren und Gegenmaßnahmen: Ein zentrales Risiko ist der Stromausfall. Schon ein kurzfristiger Blackout kann kritische Geräte lahmlegen und Patienten in Lebensgefahr bringen. Daher verfügen Krankenhäuser über redundante Stromversorgungen. Gesetzliche Vorgaben und technische Normen (z.B. DIN VDE 0100-710) schreiben vor, dass Notstromaggregate innerhalb von maximal 15 Sekunden nach Netzausfall anlaufen müssen. Außerdem muss eine Notstromversorgung für mindestens 24 Stunden sichergestellt sein. In der Praxis halten Kliniken Treibstoffvorräte für ihre Generatoren vor und testen die Anlagen regelmäßig. Beispielsweise ist ein monatlicher Probelauf der Notstromaggregate unter Last vorgeschrieben, um ihre Zuverlässigkeit zu gewährleisten. Neben Strom sind Wasserversorgung und Klimatechnik (HVAC) kritisch: Ein Ausfall der medizinischen Gasversorgung (Sauerstoff, Druckluft) oder der Kühlung kann besonders für Intensivpatienten gefährlich werden. Daher werden zentrale Versorgungsanlagen redundant ausgelegt (z.B. mehrere Sauerstofftanks, Diesel-betriebene Kälteanlagen als Backup) und über Gebäudeleittechnik ständig überwacht. Das Facility Management führt vorbeugende Instandhaltung durch, um Ausfälle zu vermeiden – von der regelmäßigen Wartung der Lüftungsanlagen bis zum Austausch von USV-Batterien bevor ihre Lebensdauer endet. Für den Fall eines technischen Defekts gibt es Notfallpläne: etwa mobile Notstromgeräte, Ausweich-OPs oder manuelle Beatmungsbeutel als letzte Reserve.

  • Brandschutz und Evakuierungsplanung: Brände im Krankenhaus gehören zu den gravierendsten Risiken, da viele Patienten sich nicht selbst retten können. Deshalb hat der Brandschutz in Kliniken eine besonders hohe Bedeutung. Bauliche Vorschriften der Landesbauordnungen und Klinikbau-Richtlinien stellen sicher, dass Krankenhäuser in Brandabschnitte unterteilt sind und ausreichend Fluchtwege existieren. So müssen Decken und Wände zwischen Brandabschnitten feuerbeständig (F90) ausgeführt sein und jeder Pflegestation mindestens zwei unabhängige Rettungswege ins Freie haben. Türen in Brandwänden sind feuerhemmend (z.B. T30) und schließen selbsttätig, um Feuer und Rauch einzudämmen. Zusätzlich zum baulichen Schutz ist anlagentechnischer Brandschutz Pflicht: automatische Brandmeldeanlagen mit Rauchmeldern in allen Bereichen, Alarmierung direkt zur Feuerwehr und oft Sprinkler- oder Feuerlöschanlagen in kritischen Räumen (z.B. Lager für Sauerstoffflaschen). Krankenhäuser erstellen interne Brandschutzordnungen und ernennen Brandschutzbeauftragte. Evakuierungsübungen und Schulungen der Mitarbeiter im Umgang mit Feuerlöschern erfolgen regelmäßig, damit im Ernstfall ein schnelles, koordiniertes Handeln möglich ist. Gerade die sogenannte “horizontale Evakuierung” – das Verlegen von Patienten in angrenzende Brandabschnitte auf derselben Ebene – wird in Kliniken geübt, da eine vollständige Gebäuderäumung für Intensivpatienten oft schwierig ist. Insgesamt gilt: Durch vorbeugende Planung und Training lässt sich die Gefährdung durch Brände erheblich reduzieren.

  • Notfallversorgungssysteme und Wartung: Eng verbunden mit dem technischen Risikomanagement ist die Sicherstellung der Notfallversorgung. Krankenhäuser halten Notfallpläne und Ersatzsysteme bereit, um den Betrieb bei Infrastrukturausfällen aufrecht zu erhalten. Dazu zählen z.B. Reserven an Trinkwasser und Diesel, mobile Heizgeräte für Heizungsdefekte im Winter, Notfallkoffer mit akkubetriebenen Absaugpumpen und Beatmungsgeräten usw. Auch Verträge mit externen Partnern (z.B. Tanklieferanten oder Techniker-Pools) gehören zur Vorsorge. Das Facility Management betreibt ein kontinuierliches Instandhaltungsmanagement nach anerkannten Standards (z.B. DIN 31051), um Risiken vorzubeugen. Kritische Anlagen unterliegen zudem gesetzlichen Prüfintervallen durch Sachverständige: Aufzüge werden nach BetrSichV regelmäßig vom TÜV geprüft, elektrische Anlagen gemäß DGUV Vorschrift 3 getestet, Druckkesselanlagen und Sterilisatoren müssen Abnahmen bestehen. Durch dieses Zusammenspiel von Technik, Organisation und Wartung können Krankenhäuser technische Risiken beherrschen und ihre Resilienz steigern – also die Fähigkeit, auch bei Störungen die Patientenversorgung sicherzustellen.

IT- und Cybersecurity-Risiken

Die Informationstechnologie ist heute ein zentraler Pfeiler der Krankenhausinfrastruktur – von der elektronischen Patientenakte über vernetzte Medizingeräte bis zur Gebäudeleittechnik. Gleichzeitig sehen sich Krankenhäuser einer rasant wachsenden Bedrohung durch Cyberangriffe und IT-Ausfälle ausgesetzt. Ein IT-Risiko kann unmittelbare klinische Konsequenzen haben: Fällt z.B. das Krankenhausinformationssystem aus, sind Patientendaten, Medikation oder OP-Pläne nicht verfügbar. Schlimmstenfalls muss das Haus den Notbetrieb ausrufen oder Patienten verlegen. Cybersecurity-Risikomanagement zielt darauf ab, solche Vorfälle durch präventive Maßnahmen und Notfallplanung zu vermeiden. Die Bedeutung zeigt sich an realen Fällen: 2020 wurde die Uniklinik Düsseldorf Opfer eines Ransomware-Angriffs, der das Kliniknetzwerk lahmlegte – Notfallpatienten mussten umgeleitet werden, was in einem Fall mitursächlich für einen Todesfall war.

Dieses Beispiel unterstreicht, dass IT-Risiken letztlich Patientensicherheitsrisiken sind.

  • Rahmenwerke und Standards: In Deutschland gibt es spezifische Leitlinien, um IT-Risiken im Gesundheitswesen zu begegnen. Der BSI IT-Grundschutz bietet ein allgemeines Rahmenwerk, um Informationssicherheit systematisch umzusetzen – viele Kliniken orientieren ihr Informationssicherheits-Managementsystem (ISMS) an diesen vom Bundesamt für Sicherheit in der Informationstechnik (BSI) herausgegebenen Katalogen oder an ISO 27001. Ergänzend wurde für Krankenhäuser der bereits erwähnte B3S-Standard entwickelt, der branchenspezifische Sicherheitsanforderungen beschreibt (z.B. Zugriffsschutz, Netzsegmentierung, Notfallmanagement). Die Deutsche Krankenhausgesellschaft stellt dazu Handreichungen und Updates bereit. Für die sichere Vernetzung von Medizinprodukten existiert der Standard IEC 80001-1, der das Risikomanagement beim Einbinden von Medizingeräten in IT-Netzwerke behandelt. Krankenhäuser müssen sicherstellen, dass z.B. die Verbindung eines Herzmonitors ans Netzwerk die Patientensicherheit nicht gefährdet – IEC 80001 liefert hier Guidelines für Risikobewertung und -kontrolle solcher Konnektivität. Insgesamt gilt: IT-Risikomanagement in Kliniken orientiert sich an sowohl nationalen Vorgaben (BSI, KBV/§75c SGB V) als auch internationalen Standards, um einen hohen Sicherheitsstandard zu erreichen.

  • Bedrohungen und Schutzmaßnahmen: Zu den häufigsten Cyber-Gefahren gehören Schadsoftware-Angriffe (Ransomware), Phishing-E-Mails, Insider-Fehlhandlungen oder der Diebstahl sensibler medizinischer Daten. Ransomware kann komplette Klinik-IT lahmlegen – hier sind technische Schutzmaßnahmen wie aktuelle Firewalls, Anti-Malware-Programme, Netzsegmentierung und vor allem regelmäßige Offline-Backups essentiell. Ein mehrstufiges Berechtigungskonzept sorgt dafür, dass nicht jeder Mitarbeiter auf alle Daten zugreifen kann (Prinzip der minimalen Rechte), was die Auswirkungen eines kompromittierten Accounts reduziert. Schulungen der Beschäftigten zur Erkennung von Phishing und zu sicherem Verhalten (z.B. keine unbekannten USB-Sticks verwenden) sind ein weiterer wichtiger Baustein. Datenschutz ist ebenfalls Teil des Risikomanagements: Krankenhäuser verarbeiten hochsensible Patientendaten und müssen die Vorgaben der Datenschutz-Grundverordnung (DSGVO) strikt einhalten. Das beinhaltet technische und organisatorische Maßnahmen, um Vertraulichkeit und Integrität der Daten zu gewährleisten – von der Verschlüsselung von Patientendatenbanken bis zur Protokollierung von Zugriffen. Verstöße können nicht nur zu gravierenden Imageschäden, sondern auch zu hohen rechtlichen Sanktionen führen. Daher ist die Position des Datenschutzbeauftragten eng mit dem IT-Risikomanagement verzahnt.

  • Notfallvorsorge und gesetzliche Vorgaben: Eine Kernkomponente des IT-Risikomanagements ist die Vorbereitung auf den IT-Notfall (Business Continuity Management). Kliniken erstellen Notfallpläne, die definieren, wie bei IT-Ausfall weitergearbeitet wird – etwa Fallback auf manuelle Dokumentation, Ausdrucken wichtiger Listen als Backup, Umstieg auf redundante Serversysteme oder cloudbasierte Ausweichsysteme. Regelmäßige Disaster-Recovery-Übungen (z.B. Simulation des Ausfalls des KIS) helfen, Schwachstellen in der Notfallplanung aufzudecken. Gesetzlich wurde der Stellenwert der IT-Sicherheit in Kliniken zuletzt stark hervorgehoben: Seit dem Patientendatenschutzgesetz 2020 sind alle Krankenhäuser verpflichtet, angemessene Vorkehrungen zur Vermeidung von IT-Störungen zu treffen, die den Betrieb gefährden könnten (Stand-der-Technik gemäß § 75c SGB V, ab 2022 umnummeriert zu § 391 SGB V). Das betrifft nun auch Häuser unterhalb der KRITIS-Schwelle. Große Kliniken, die als KRITIS gelten (etwa 10 % der Krankenhäuser in Deutschland), müssen zusätzlich alle zwei Jahre eine externe Prüfung ihrer IT-Sicherheit durchführen und die Einhaltung des B3S-Standards nachweisen. Durch diese Kombination aus präventiver IT-Sicherheit im Alltag und vorausschauender Notfallplanung soll sichergestellt werden, dass Kliniken cyberresilient sind – d.h. Angriffe abwehren oder ihre Auswirkungen zumindest begrenzen können. Wichtig ist hierbei, dass IT-Risiken nicht isoliert betrachtet werden: Sie beeinflussen nahezu alle Bereiche des Krankenhausbetriebs und werden deshalb in einem ganzheitlichen Risikomanagement mitgedacht (siehe Abb. 2).

  • Umwelt

Umwelt- und ESG-bezogene Risiken

Krankenhäuser sehen sich vermehrt Risiken gegenüber, die aus Umweltfaktoren, Klimawandel und Nachhaltigkeitsanforderungen (ESG: Environment, Social, Governance) resultieren. Extremwetterereignisse und Klimaveränderungen können die Infrastruktur und Versorgungsabläufe belasten – man denke an Hitzewellen, die zu zahlreichen hitzebedingten Notfällen führen, oder Überschwemmungen, die Kliniken unzugänglich machen. Zugleich tragen Krankenhäuser selbst erheblich zum Ressourcenverbrauch und zu Emissionen bei, was regulatorische und gesellschaftliche Erwartungen an nachhaltiges Handeln mit sich bringt. In Deutschland verursacht das Gesundheitswesen ca. 5 % der gesamten Treibhausgasemissionen – rund 35 Millionen Tonnen CO₂ pro Jahr. Somit stehen Kliniken unter Druck, ihren Beitrag zum Klimaschutz zu leisten. ESG-Risiken umfassen einerseits ökologische Risiken (E), etwa die Abhängigkeit von fossilen Energieträgern, und andererseits soziale und Governance-Aspekte, wie etwa Arbeitsbedingungen in der Lieferkette (diese Aspekte werden in Sektion 7 angesprochen).

Insgesamt wird erkannt, dass Klimaschutz auch Gesundheitsschutz ist: Maßnahmen gegen den Klimawandel helfen, zukünftige Gesundheitsrisiken (neue Krankheiten, Hitzefolgen) abzumildern:

  • Energieabhängigkeit und Klimawandel: Die Energieversorgung ist ein zentrales Risikofeld. Krankenhäuser benötigen rund um die Uhr Strom, Wärme und Kühlung – Versorgungsengpässe oder Preisexplosionen (wie in der Gaskrise 2022) treffen sie hart. Die jüngsten Diskussionen in Deutschland über Energieabhängigkeit, z.B. der Wechsel weg von russischem Erdgas, haben auch Kliniken alarmiert und zum Umdenken bewegt. Viele Häuser arbeiten an Energierisikomanagement: Sie diversifizieren ihre Energiequellen (z.B. Öl- und Gas-Dualbrenner, Fernwärme-Alternativen), erhöhen die Energieeffizienz und erstellen Notfallpläne für Energieknappheit. Notstromaggregate und Kraftstoffvorräte (vgl. Abschnitt 3) sind Teil der Resilienz gegenüber Blackouts. Darüber hinaus investieren einige Kliniken in erneuerbare Energien (Blockheizkraftwerke mit Biogas, Solaranlagen auf Dächern), um weniger abhängig von externen Netzen zu sein. Klimawandel selbst kann Krankenhausrisiken steigern – etwa häufen sich Hitzewellen, die ohne ausreichende Klimatisierung die Patientensicherheit gefährden könnten. Krankenhäuser reagieren mit baulichen Anpassungen (Hitzeaktionspläne, Begrünung, bessere Isolierung) und beteiligen sich an Netzwerken zur Klimaanpassung im Gesundheitssektor.

  • Abfallmanagement und Gefahrstoffe: Im klinischen Betrieb fallen vielfältige Abfälle und gefährliche Stoffe an – von infektiösem medizinischem Abfall über Zytostatika-Reste bis hin zu radioaktiven Materialien aus der Nuklearmedizin. Falscher Umgang hiermit birgt Umwelt- und Gesundheitsrisiken. Risikomanagement im Abfallbereich bedeutet, strikt regelkonforme Entsorgungswege sicherzustellen: Medizinischer Abfall der Kategorie B (ansteckungsfähig) muss z.B. gemäß Gefahrgutvorschriften verpackt und verbrannt werden, um Infektionsrisiken auszuschalten. Krankenhäuser implementieren Abfallkonzepte nach dem Kreislaufwirtschaftsgesetz, schulen Mitarbeiter in Mülltrennung (z.B. spitze/scharfe Gegenstände in stichsicheren Boxen) und überwachen Entsorgerverträge. Auch der Umgang mit Gefahrstoffen (z.B. Laborchemikalien, Desinfektionsmittel, technische Gase) wird durch Betriebsanweisungen und Gefährdungsbeurteilungen abgesichert. Hier greifen Vorgaben der Gefahrstoffverordnung und berufsgenossenschaftliche Regeln (DGUV), um Personal und Umwelt zu schützen. Ein konkretes Beispiel sind die strengen Auflagen für den Betrieb von Betäubungsmittel-Lagerstätten oder für das Halten von Kühlmitteln – bei Nichteinhaltung drohen rechtliche Konsequenzen und Gefährdungen.

  • ESG-Strategien und “Green Hospital”: Zur systematischen Bewältigung dieser Umwelt- und Nachhaltigkeitsrisiken entwickeln viele Kliniken sogenannte Green Hospital-Strategien. Dabei geht es um eine umfassende Transformation hin zu nachhaltigem Wirtschaften, was gleichzeitig Risiken mindert. Ein Green Hospital bemüht sich etwa, CO₂-Emissionen zu reduzieren (z.B. durch Energiesparprogramme, Modernisierung der Haustechnik und bessere Dämmung der Gebäude). Viele Häuser tauschen energieintensive alte Geräte aus, optimieren Lüftungsanlagen oder nutzen Abwärme aus der Klimaanlage zur Vorwärmung von Brauchwasser. Auch im Bereich Wasserverbrauch und Materialien wird optimiert: Regenwassernutzung für Gartenbewässerung, wassersparende Armaturen oder der Verzicht auf Einwegplastik, wo medizinisch vertretbar, sind Beispiele. Diese Maßnahmen dienen nicht nur dem Umweltschutz, sondern erhöhen auch die Versorgungsresilienz – etwa wenn bei Dürreperioden Wasser gespart wird oder bei Lieferengpässen recycelbare Mehrwegprodukte verfügbar sind. Die Krankenhausträger stehen zudem vor der Aufgabe, Lieferketten nachhaltig zu gestalten (siehe Sektion 7): Umwelt- und Sozialstandards bei Lieferanten gewinnen an Bedeutung, auch durch gesetzliche Vorgaben (z.B. Lieferkettensorgfaltspflichtengesetz). Schließlich betrifft ESG auch Governance, also Transparenz und Steuerung: Viele Kliniken veröffentlichen inzwischen Nachhaltigkeitsberichte und integrieren ESG-Kennzahlen ins Risikomanagement. Auf politischer Ebene gibt es Unterstützung: 2023 startete das Bundesgesundheitsministerium den “Klimapakt Gesundheit”, in dem sich Kliniken verpflichten, Klimaschutz und -anpassung voranzutreiben. Zudem forderte die DKG ein Green Hospital Investitionsprogramm, da viele Krankenhäuser Mittel benötigen, um ihre Infrastruktur klimafreundlich umzurüsten. Insgesamt gehen ökologische Verantwortung und Risikovorsorge Hand in Hand: Ein umweltbewusstes Krankenhaus senkt nicht nur Emissionen, sondern macht sich zugleich unabhängiger von riskanten Ressourcen und besser gewappnet gegen die Folgen des Klimawandels.

Personal- und Organisationsrisiken

Menschen sind das wertvollste Kapital eines Krankenhauses. Personelle Risiken – von Fachkräftemangel über Know-how-Verlust bis zu Fehlbelastungen – können die Versorgungsqualität massiv beeinträchtigen. In Deutschland ist der Fachkräftemangel im Gesundheitswesen bereits Realität: Viele Kliniken finden nicht genug Pflegekräfte oder spezialisierte Ärzte, was zu chronischer Überlastung des vorhandenen Personals und mitunter zur Schließung von Betten oder ganzen Abteilungen führt. Dieses Risiko hat sowohl eine kurz- als auch langfristige Dimension. Kurzfristig drohen Versorgungsengpässe, wenn Schichtpläne nicht mehr besetzt werden können; langfristig wird die strategische Entwicklung des Hauses beeinträchtigt, wenn etwa kein Nachwuchs für Schlüsselpositionen verfügbar ist. Auch wissensbezogene Risiken gehören dazu – wenn erfahrene Mitarbeiter ausscheiden (z.B. Ruhestand) und ihr Erfahrungswissen nicht weitergegeben wurde, entsteht eine Lücke.

Personalrisiken berühren zudem rechtliche Pflichten: Kliniken müssen gewisse Personaluntergrenzen einhalten (z.B. für Intensivstationen per Verordnung), was bei Mangel schnell zum Problem wird:

  • Personalmangel und Kontinuität: Um Personalrisiken zu steuern, setzen Kliniken verschiedene Hebel an. Recruiting-Strategien wie die Anwerbung aus dem Ausland, Trainee-Programme für Pflege oder Kooperationen mit Hochschulen sollen den Zustrom an Fachkräften sichern. Intern versuchen Krankenhäuser durch attraktive Arbeitsbedingungen Personal zu binden – etwa durch flexible Arbeitszeiten, Kinderbetreuung, Weiterbildungsmöglichkeiten und betriebliches Gesundheitsmanagement. Trotzdem bleibt die Lage angespannt: Überstunden, Dienstplanlücken und hohe Fluktuation erhöhen das Risiko von Fehlern und sinkender Versorgungsqualität. Studien zeigen, dass Übermüdung und Unterbesetzung mit vermehrten Behandlungsfehlern einhergehen. Risikomanagement bedeutet hier, die Personalausstattung engmaschig zu überwachen und bei gefährlicher Unterbesetzung gegenzusteuern (z.B. durch temporäre Stationsschließungen oder Personalpool-Einsätze). Zudem ist es wichtig, Ausfallkonzepte zu haben – z.B. eine Liste freier Mitarbeiter oder Kooperationen mit Zeitarbeitsfirmen, um kurzfristige Krankheitswellen (wie eine Grippe-Epidemie) abfangen zu können. Während der COVID-19-Pandemie hat sich gezeigt, wie kritisch solche Pläne sein können, als plötzlich viele Beschäftigte gleichzeitig ausfielen.

  • Stress, Resilienz und Burnout-Prävention: Das Gesundheitswesen ist von Natur aus ein stressintensives Umfeld – Schichtdienst, emotional belastende Situationen und hoher Arbeitsdruck sind an der Tagesordnung. Psychische und psychosoziale Risiken für Mitarbeiter sind daher ein zentrales Feld. Arbeitgeber sind gesetzlich verpflichtet, auch psychische Belastungen in der Gefährdungsbeurteilung zu berücksichtigen. Das heißt, Krankenhäuser müssen analysieren, welche Faktoren zu Stress, Überarbeitung oder Burnout beitragen, und Maßnahmen ergreifen. Beispiele sind zu lange Arbeitszeiten, fehlende Pausen, konflikthafte Teamstrukturen oder Mobbing. Mögliche Gegenmaßnahmen umfassen Personalaufstockung zur Entlastung, Verbesserungen in der Arbeitsorganisation (z.B. digitale Hilfsmittel zur Dokumentation, um Bürokratie zu reduzieren), Supervisionsangebote und eine offene Gesprächskultur. Viele Kliniken bieten inzwischen Resilienz- und Stressbewältigungskurse für ihre Mitarbeiter an oder haben Beratungsstellen, an die man sich vertraulich wenden kann. Das betriebliche Gesundheitsmanagement (BGM) spielt hier eine Rolle: Von Rückenschulen (gegen körperliche Fehlbelastungen) bis hin zu psychologischer Betreuung nach schweren Ereignissen (Debriefing nach traumatischen Notfällen) reichen die Instrumente. Gerade nach belastenden Pandemieerfahrungen (Stichwort moral distress bei Pflegekräften) wird der Prävention von Burnout und posttraumatischem Stress vermehrt Aufmerksamkeit geschenkt.

  • Arbeitsschutz und Infektionsschutz: Die Sicherheit der Mitarbeiter ist integraler Bestandteil des Krankenhaus-Risikomanagements. Neben psychosozialen Aspekten geht es um ganz praktische Arbeitsschutzrisiken: Verletzungen durch Nadeln, Unfälle beim Patiententransfer, Strahlenexposition im Radiologie-Bereich oder Infektionsrisiken im Umgang mit Patienten. Hier greifen die allgemeinen Regeln des Arbeitsschutzgesetzes (ArbSchG) und spezifische Verordnungen. Jede Klinik erstellt Gefährdungsbeurteilungen für alle Tätigkeiten und leitet Schutzmaßnahmen ab – z.B. Schutzausrüstung für den Umgang mit Chemikalien, regelmäßige Überprüfung von Blei-Schürzen im Röntgen, technische Hilfsmittel für patientenschonendes Heben (Lifter) etc. Die Deutsche Gesetzliche Unfallversicherung (DGUV) gibt für Krankenhäuser berufsgenossenschaftliche Vorschriften und Informationen heraus, etwa zu Hautschutz bei häufigem Desinfizieren oder zum sicheren Arbeiten im OP (Stichwort Laser-Schutz bei Laserchirurgie). Ein besonderes Augenmerk liegt auf dem Infektionsschutz für Personal: Nach dem Infektionsschutzgesetz und den Hygieneverordnungen der Länder müssen z.B. Beschäftigte in bestimmten Bereichen nachweislich gegen Masern immun sein (gesetzliche Impfpflicht) und Angebote für Impfungen (Hepatitis, Grippe) vom Arbeitgeber erhalten. Die Pandemie hat die Wichtigkeit von persönlicher Schutzausrüstung (PSA) verdeutlicht – Kliniken halten nun Notbestände an FFP2-Masken und Schutzkitteln vor, um Mitarbeiter bei neuen Infektionswellen unmittelbar schützen zu können. Darüber hinaus sind Notfallpläne für Personalausfälle Teil des Risikomanagements: Etwa definierte Quarantäne- und Teststrategien, um Ausbruchsgeschehen im Personal einzudämmen, oder die Möglichkeit, im Krisenfall Personal aus weniger betroffenen Bereichen intern umzuschichten.

  • Verhaltens- und kulturelle Risiken: Schließlich spielen auch teamdynamische und organisatorische Risiken eine Rolle. Fehlende Abstimmung zwischen Abteilungen, unklare Verantwortlichkeiten oder hierarchische Kommunikationsbarrieren können die Sicherheit beeinträchtigen (z.B. wenn sich niemand zuständig fühlt, ein Problem zu adressieren). Kliniken fördern daher interdisziplinäre Zusammenarbeit und flache Hierarchien im Sinne der Patientensicherheit. Auch der Umgang mit Gewalt oder Aggression gegenüber Personal (ein zunehmendes Problem in Notaufnahmen) wird thematisiert: Sicherheitsdienste, Deeskalationstrainings und Alarmknöpfe sind mögliche Maßnahmen. Generell gilt: Eine sichere Organisation erfordert, dass Risiken auf allen Ebenen gesehen und ernst genommen werden – vom Vorstand, der eine ausreichende Personaldecke finanziert, bis zur Pflegekraft, die potenzielle Gefahren meldet. Nur so lassen sich organisatorische Risiken beherrschen. Eng verzahnt damit ist die Entwicklung einer positiven Sicherheitskultur (siehe nächster Abschnitt), in der Mitarbeiterbelange gehört werden und Fehler als Chance zur Verbesserung betrachtet werden.

Lieferketten- und Beschaffungsrisiken

Krankenhäuser sind für ihre Betriebsfähigkeit stark von externen Zulieferern abhängig – seien es Medikamente, medizinische Verbrauchsgüter, Lebensmittel für die Küche oder technische Dienstleistungen. Lieferkettenrisiken wurden insbesondere während der COVID-19-Pandemie schmerzlich offensichtlich: Plötzlich fehlten Masken, Schutzkittel oder bestimmte Medikamente, weil globale Lieferengpässe auftraten. Solche Versorgungsengpässe gefährden direkt die Patientenversorgung, wenn z.B. wichtige Arzneimittel oder sterile Einwegartikel nicht verfügbar sind. Auch über die Pandemie hinaus bestehen Risiken: Hersteller können Qualitätsprobleme haben oder in Insolvenz gehen, Transporte können durch Logistikprobleme verzögert werden, und in komplexen internationalen Lieferketten können politische Krisen (z.B. Exportstopps) zu abrupten Ausfällen führen.

Für Krankenhäuser ist es überlebenswichtig, diese Risiken proaktiv zu managen, um jederzeit die notwendige Versorgung sicherzustellen:

  • Verletzbarkeiten in der Lieferkette: Ein zentrales Risiko ist die Abhängigkeit von einzelnen Lieferanten. Wenn ein Krankenhaus z.B. nur einen Hauptlieferanten für Implantate hat und dieser Lieferant ein Produktionsproblem hat, droht ein Operationsstopp. Ebenso problematisch sind Konzentrationen bei Medikamentenherstellern (Stichwort: weltweit nur wenige Fabriken für bestimmte Wirkstoffe). Logistische Risiken betreffen etwa Just-in-Time-Lieferungen: Viele Kliniken halten aus Kostengründen nur geringe Lagerbestände. Kommt es zu Verzögerungen im Nachschub – etwa durch Wetterkatastrophen oder Verkehrsprobleme – entstehen schnell kritische Lücken. Auch die Qualität der gelieferten Produkte ist ein Aspekt: fehlerhafte Chargen (z.B. unsterile OP-Bestecke oder unzuverlässige Labortestkits) können Risiken in der Anwendung erzeugen und müssen über Rückrufmanagement abgedeckt werden.

  • Risikoorientierte Beschaffung: Moderne Klinikeinkaufs-Abteilungen integrieren Risikomanagement in ihre Beschaffungsstrategie. Konkret bedeutet das z.B., Lieferanten vor Vertragsabschluss zu qualifizieren und zu bewerten. Aspekte wie finanzielle Stabilität, Zertifizierungen (ISO 9001 Qualitätsmanagement, ISO 13485 für Medizinproduktehersteller), Lieferzuverlässigkeit und Notfallkonzepte des Lieferanten werden geprüft. Es empfiehlt sich, ein Frühwarnsystem einzurichten: Durch kontinuierliches Monitoring (z.B. von Marktinformationen über wichtige Lieferanten, Kennzahlen, Nachrichten über Engpässe) können Kliniken erkennen, wenn ein Partner ins Straucheln gerät. Einige Häuser betreiben “Open-Book-Policy” mit strategischen Lieferanten, um Einblick in Kostensituation und Risiken zu haben. Wichtig ist auch die Diversifizierung des Lieferantenportfolios: Kritische Produkte sollten möglichst von mehreren unabhängigen Quellen bezogen werden, um das Gesamtausfallrisiko zu senken. Beispielsweise könnte ein Krankenhaus zwei verschiedene Lieferanten für Infusionslösungen beauftragen, sodass bei Ausfall eines Herstellers der andere einspringen kann.

  • Lagerhaltung und Vorratshaltung: Eine Lehre aus jüngsten Lieferengpässen ist, dass strategische Vorräte in Kliniken wieder an Bedeutung gewinnen. Wo früher “Just-in-Time” dominierte, wird nun häufiger eine erhöhte Lagerhaltung wichtiger Artikel angestrebt, um kurzfristige Störungen zu überbrücken. Gesetzgeberisch wird dies unterstützt: Seit Ende 2023 verpflichtet das Arzneimittel-Lieferengpassgesetz (ALBVVG) Krankenhäuser bzw. deren Apotheken, bestimmte kritische Medikamente (z.B. parenterale Antibiotika) in einem Vorrat für mehrere Monate zu bevorraten. So soll vermieden werden, dass ein temporärer Lieferstopp sofort die Patientenversorgung gefährdet. Ähnliches gilt für andere wichtige Güter: Viele Kliniken legen Notfalllager mit Schutzausrüstung, Desinfektionsmitteln und haltbaren Verbrauchsmaterialien an. Dies muss allerdings sorgfältig abgewogen werden, da Lagerhaltung auch Kosten und Aufwand bedeutet (Lagerraum, Überwachung von Verfallsdaten etc.). Ein risikobasierter Ansatz bestimmt, welche Produkte so kritisch sind, dass ein Puffer gerechtfertigt ist – z.B. Narkosemedikamente, die nicht einfach substituierbar sind.

  • Qualitätssicherung bei Fremdleistungen: Krankenhäuser beziehen nicht nur Produkte, sondern lagern auch Dienstleistungen aus – etwa Sterilgut-Aufbereitung, Labordiagnostik, Catering oder Reinigung. Auch hier bestehen Risiken, wenn der externe Dienstleister ausfällt oder mangelhaft arbeitet. Das Risikomanagement umfasst daher vertragliche Absicherungen und regelmäßige Kontrollen. In Verträgen mit Outsourcing-Partnern werden Service-Level-Agreements (SLAs) festgelegt, z.B. wie schnell ein Ersatzteillieferant reagieren muss oder welche Reinheitskriterien die extern aufbereiteten OP-Instrumente erfüllen müssen. Kliniken führen Audits bei ihren Dienstleistern durch oder verlangen Prüfnachweise (etwa Hygienezertifikate bei Wäschereien). Ein Notfallplan für den Ausfall eines Dienstleisters ist ebenso wichtig: Was passiert, wenn die ausgelagerte Sterilgutversorgungsabteilung plötzlich durch einen Brand ausfällt? Idealerweise gibt es Abkommen mit Nachbarhäusern oder Ausweichkapazitäten, um die Leistung kurzfristig zu übernehmen. In der COVID-Krise haben einige Krankenhäuser z.B. Vereinbarungen getroffen, um sich gegenseitig Laborproben abzunehmen, falls eines der Labors überlastet ist. Generell gilt: Redundanz und Transparenz sind Schlüsselprinzipien. Transparenz über die gesamte Lieferkette – bis hin zu Rohstoffquellen – kann helfen, Probleme früh zu erkennen (z.B. war absehbar, dass ein globaler Engpass bei Wirkstoff X droht). Und Redundanz in Bezug auf Lieferanten, Lager und Prozesse schafft Puffer. Zwar lassen sich nicht alle Versorgungsrisiken ausschalten, aber durch präventives Lieferantenmanagement und Notfallvorsorge können Krankenhäuser ihre Versorgungssicherheit deutlich erhöhen.

Schulung, Training und Entwicklung der Risikokultur

Technik, Prozesse und Regeln allein genügen nicht – eine echte Sicherheitskultur, die von allen Beschäftigten gelebt wird, ist das Fundament eines erfolgreichen Risikomanagements. Risikokultur bedeutet, dass Sicherheit und Lernen aus Fehlern fest in den Werten und Routinen der Organisation verankert sind. In einem Krankenhaus mit guter Sicherheitskultur fühlen sich Mitarbeiter ermutigt, auf Risiken hinzuweisen, Fehler offen zu kommunizieren und aktiv an Verbesserungen mitzuwirken. Diese Kultur muss bewusst entwickelt und gefördert werden, denn in traditionellen hierarchischen Umgebungen scheuen viele Beschäftigte zunächst, Probleme anzusprechen. Führungskräfte tragen hier eine Vorbildfunktion: Wenn die Klinikleitung Risikomanagement zur Chefsache erklärt und Ressourcen dafür bereitstellt, setzt das ein starkes Signal.

Aufbau von Bewusstsein und Engagement: Ein erster Schritt ist die Sensibilisierung aller Mitarbeiter für Risiken und Sicherheit. Das beginnt bei der Einarbeitung neuer Kollegen, die mit den Grundprinzipien der Patientensicherheit vertraut gemacht werden, und setzt sich fort in regelmäßigen Fortbildungen. Es sollte klar kommuniziert werden, dass Risiko- und Fehlermanagement Aufgabe eines jeden ist – vom Chefarzt bis zur Auszubildenden. Viele Kliniken integrieren Sicherheitsthemen in Teambesprechungen (z.B. kurze Safety-Momente, in denen auf einen aktuellen Vorfall eingegangen wird). Eine Kultur der offenen Kommunikation ist zentral: Mitarbeiter dürfen und sollen Gefahren ansprechen, ohne Repressionen befürchten zu müssen. In Deutschland ist sogar gesetzlich festgehalten, dass ein Mitarbeiter, der über ein internes Meldesystem (CIRS) einen Fehler berichtet, keinerlei disziplinarische Konsequenzen vom Arbeitgeber erfahren darf. Diese Sanktionsfreiheit ist wesentlich, damit ein Fehlerlern-System funktioniert. Ebenso sind Anonymität und Freiwilligkeit bei Fehlermeldungen wichtige Prinzipien. Kliniken fördern dies, indem sie einfache Meldewege schaffen (z.B. Online-Formulare, die auch anonym ausgefüllt werden können) und indem Führungskräfte eine No-Blame-Kultur vorleben.

Pflichtschulungen und Trainings: Zur Entwicklung der Risikokompetenz gehört ein umfangreiches Schulungsprogramm.

Einige Trainings sind gesetzlich vorgeschrieben, andere aus Best Practice entstanden. Wichtige Schulungen und Übungen in deutschen Kliniken sind unter anderem:

  • Hygieneschulungen: Alle Mitarbeiter im Patientenkontakt erhalten mindestens jährlich Unterweisungen in Hygienemaßnahmen (Händedesinfektion, Schutzkleidung, Abfallentsorgung etc.), gemäß IfSG und den Hygiene-Verordnungen der Länder. Dies sichert die Infektionsprävention im Haus.

  • Brandschutz- und Evakuierungstraining: Beschäftigte werden regelmäßig im Brandschutz unterwiesen (DGUV-Vorschrift 1 fordert jährliche Unterweisung). Dazu zählen Übungen im Umgang mit Feuerlöschern, Evakuierungsdrills und Schulung der Alarmpläne, damit im Ernstfall jeder seine Rolle kennt.

  • Notfall- und Katastrophenübungen: Krankenhäuser führen Simulationen für medizinische Notfälle und Großschadensereignisse durch. Zum Beispiel Reanimationstrainings (ACLS/BLS-Kurse) für Klinikpersonal, Simulation eines Massenanfalls von Verletzten (MANV) in der Notaufnahme oder auch IT-Ausfall-Übungen. Solche Drills stellen sicher, dass Teams Abläufe für Extremfälle einüben und eventuelle Lücken im Notfallplan entdeckt werden.

  • Arbeitssicherheits-Unterweisungen: Hierzu zählen Schulungen zum Umgang mit Gefahrstoffen, zu ergonomischem Arbeiten (Vermeidung von Rückenschäden), Strahlenschutzkurse für Röntgenpersonal, Nadelstichprävention für Pflegekräfte usw. Diese Schulungen, oft durch die Fachkraft für Arbeitssicherheit organisiert, schützen Mitarbeiter und Patienten vor Unfällen.

Durch diese Maßnahmen wird Risikomanagement im Klinikalltag verankert. Simulationstrainings sind besonders wertvoll, weil sie realistisches Lernen ermöglichen. So richten viele Kliniken Simulationszentren ein, in denen z.B. Team-Training im Operationssaal (Simulation von Komplikationen am OP-Simulator) oder Notfallszenarien an Dummypuppen durchgeführt werden. Auch interdisziplinäre Übungen – etwa ein Stationsbrand mit Evakuierung, an dem Pflege, Ärzte, Technik und Feuerwehr gemeinsam teilnehmen – stärken die Vorbereitung auf echte Krisen.

Lernen und kontinuierliche Verbesserung: Eine gelebte Risikokultur zeigt sich darin, dass aus identifizierten Risiken konsequent gelernt wird. Wenn ein Beinahe-Fehler gemeldet wird, analysiert das Risikomanagement-Team ihn (z.B. mittels RCA) und leitet Maßnahmen ab. Entscheidend ist, dass die Rückmeldung an die Meldenden erfolgt: Mitarbeiter möchten wissen, dass ihre Meldung zu Verbesserungen geführt hat. Dieses Feedback fördert die Akzeptanz des Systems enorm. Darüber hinaus werden die Lessons Learned aus Fehlern oft anonymisiert allen Mitarbeitern zur Verfügung gestellt (z.B. als „Fall des Monats“), damit das ganze Haus daraus lernt. Krankenhäuser etablieren zudem Multiplikatoren für Sicherheitskultur, etwa “Patient Safety Officer” oder Risikomanager in den Abteilungen, die ansprechbar sind und aktiv Sicherheitsthemen voranbringen.

Wichtig ist auch, dass Fehler nicht individualisiert, sondern systemisch betrachtet werden. Eine positive Fehlerkultur beinhaltet die Haltung, dass Fehler passieren können und dürfen – entscheidend ist, wie man darauf reagiert. Statt Schuldige zu suchen, fragt man “warum ist der Fehler möglich gewesen?” und “wie verhindern wir Wiederholungen?”. Natürlich gibt es Grenzen: Grob fahrlässiges oder absichtliches Fehlverhalten muss geahndet werden dürfen. Aber die allermeisten Fehler sind Systemfehler oder resultieren aus menschlicher Unzulänglichkeit unter erschwerten Bedingungen – und genau dort setzt das Risikomanagement an. Durch diese Sichtweise sinkt die Angst der Mitarbeiter, einen Fehler zuzugeben, drastisch.