Ereignisse in Krankenhäusern sind nicht selten. Die Statistiken zeigen, dass jeden Tag eine Cyberattacke, jede Woche ein Brand, jeden Monat eine Gefährdung durch Extern (z.B. Lieferengpässe) und jedes Jahr eine Polizeilage auftreten, welche die Krankenhäuser vor Herausforderungen stellen können.
Das aktuellste Beispiel ist der Hackerangriff auf die Uniklinik in Düsseldorf. Das eigentliche Erpresserschreiben richtete sich an die Universität in Düsseldorf, jedoch hat auch das Klinikum massive Auswirkungen erlitten. Durch die Verschlüsselung der Patientendaten war ein Normalbetrieb nicht mehr möglich. Infolgedessen wurde Patienten*innen des Rettungsdienstes umgeleitet. Eine Person ist dabei verstorben, sodass eine Anklage wegen fahrlässiger Tötung erfolgt ist. Durch den Kontakt zwischen der Polizei und den Erpressern wurde auf die Menschengefährdung hingewiesen, woraufhin ein Entschlüsselungscode herausgegeben wurde. Dennoch sind bis heute Auswirkungen vorhanden und der Normalbetrieb ist noch nicht vollständig wiederhergestellt.
Dieses Beispiel zeigt, dass vor allem Ereignisse wie IT-Ausfälle im Krankenhauskrisenmanagement noch nicht ausreichend berücksichtigt sind. Stattdessen liegt der Fokus auf medizinischen Ereignissen, was auch darin begründet ist, dass vor allem medizinisches Personal für die Erstellung des Krisenmanagements verantwortlich ist. Dabei ist jedoch die IT ein Bereich, welcher immer größer und komplexer wird und für die Betriebsfähigkeit des Krankenhauses unerlässlich ist. Aber auch andere medizinische Einrichtungen wie Arztpraxen sind von der IT abhängig und ein Ausfall dieser Praxen kann ebenfalls die Krankenhäuser beeinflussen, da diese ein erhöhtes Patientenaufkommen zu bewältigen haben.
Ein weiteres Szenario ist ein Unfall oder Anschlag mit CBRN-Gefahren (chemischen, biologischen, radioaktiven und nuklearen Gefahren). Ein solches Ereignis ist nach den letzten Terroranschlägen bei den Verantwortlichen bewusst, jedoch kann dies auch intern in einem Krankenhaus auftreten. Auch dort wird mit CBRN-Stoffen gearbeitet und ein Unfall kann schwere Auswirkungen haben.
Um die Krankenhäuser auch nach Eintritt eines Ereignisses betriebsfähig zu halten und alle Ereignisse bewältigen zu können, wird ein sogenanntes Krisenmanagement durchgeführt, welches auch als Krankenhausalarm- und Einsatzplanung (KAEP) bezeichnet wird. Hierbei handelt es sich um Planungen, welche unterschiedliche Ereignisse analysieren und die Vorsorge wie auch die Reaktion auf diese planen. Das Ziel dabei ist Ressourcen- und Kapazitätsengpässen zu bewältigen. Der häufigste Fokus liegt wie bereits beschrieben auf dem Massenanfall von Verletzten (MANV). Aber auch Ereignisse wie ein Stromausfall, eine Evakuierung bspw. nach einem Bombenfund, aber auch der IT-Notfallplan sind in diese Planungen einzubinden und zu einem ganzheitlichen Krankenhausalarmplan zusammenzufügen, denn die Ereignisse greifen oftmals ineinander. Ein weiterer Aspekt der KAEP ist die Zusammenarbeit zwischen den Krankenhäusern, welche sinnvoll und notwendig ist, um Ereignisse bewältigen und auch zeitnah Maßnahmen wie Räumungen durchführen zu können.
Für Krankenhäuser, welche als Kritische Infrastruktur gelten, sind bereits strenger Anforderungen für die KAEP vorhanden, vor allem im Bereich IT. Jedoch ist auch anzumerken, dass ein Krankenhaus, welches nicht den Schwellenwert von 30.000 vollstationären Behandlungen im Jahr überschreitet, aber die medizinische Versorgung für eine Region sicherstellt, als Kritisch definiert werden sollte und zwingend die Funktionsfähigkeit aufrechterhalten muss.
Die Verantwortung für die KAEP liegt meist bei der Leitung der Notaufnahme. Dies ist für den MANV sinnvoll, jedoch nicht für IT-Ereignisse. Vor allem nach dem 11. September wurden die Konzepte für den MANV überarbeitet und verbessert, allerdings ist ein Ausfall der IT als deutlich wahrscheinlicher zu bewerten, sodass auch Personen aus anderen Fachbereichen in die Erstellung der KAEP eingebunden werden müssen. Das Krankenhaus muss mittels einer Business Impact Analyse alle Risiken betrachtet und analysieren und anschließend Prioritäten setzen, um auch auf Ausfälle der Infrastruktur, bspw. von Sauerstoff vorbereitet zu sein.
Gesetzliche Vorgaben für die KAEP sind nur teilweise vorhanden. Die meisten Bundesländer fordern, dass solche Pläne aufzustellen sind, jedoch ohne Vorgaben zu den Inhalten zu treffen. Betrachtet man Krankenhäuser als Unternehmen, kann die Übertragbarkeit von Normen und Leitlinien aus anderen Bereichen als möglich eingeschätzt werden. Zu nennen sind hier der BSI-Standard 100-4 und die ISO/IEC 27001 für IT-Sicherheit, die DIN EN ISO 22301 für das Business Continuity Management System und die Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung). Im Kontext der Kritischen Infrastrukturen muss auch betrachtet werden, durch welche Dienstleister das Krankenhaus mit Infrastrukturen versorgt wird, denn nicht jeder Dienstleister, bspw. Stromanbieter, zählt ebenfalls als Kritische Infrastruktur und muss entsprechende Vorgaben erfüllen.
Eine Möglichkeit die KAEP zu integrieren besteht über das Qualitätsmanagement, welches in Krankenhäusern bereits Anwendung findet. Entweder über die Vorgaben der DIN EN ISO 9001 oder über die Kooperation für Qualität und Transparenz im Gesundheitswesen (KTQ) ist eine Implementierung möglich.
Die Aufstellung von Plänen allein ist allerdings nicht ausreichend, um auf Ereignisse vorbereitet zu sein. Zusätzlich sind Ausbildungen und Übungen notwendig, um das Wissen zu schulen und Erfahrungen zu sammeln. Wichtig ist dabei auch unterschiedliche Ereignisse zu beüben und nicht nur den MANV zu fokussieren. Außerdem sollten Übungen nicht isoliert stattfinden, sondern auch den Rettungsdienst und andere Einrichtungen einbinden.
Für die KAEP ist nicht von Interesse, wer den Anstoß zur Erstellung dieser liefert, wichtig ist jedoch, dass die Geschäftsführung die Erstellung unterstützt. Als Hilfsmittel ist eine fachliche Begleitung von außen möglich. Die Einbindung von Mitarbeiter*innen kann hierdurch entlastet werden.
Zusammenfassend ist die KAEP ein robustes, modernes, ganzheitliches, kontrollierbares, zertifizierbares und finanziell abgesichertes Krankenhaus-Krisenmanagement. Es muss alle Risiken berücksichtigen, die Notfallvorsorge betreiben und Handlungsanweisungen für die Bewältigung eines Ereignisses bereitstellen.
Wollen auch Sie Ihre Krankenhaus-Krisenmanagement ganzheitlich aufstellen und verbessern und benötigen dabei Hilfe, dann melden Sie sich gerne bei uns!
