Dr. Christian Powalla, Justine Sappok und Tim Hochmuth

Basics: Wie moderne Compliance- Kommunikation funktionieren kann

Praxisnahe Umsetzung am Beispiel der Berliner Charité

Compliance-Kommunikation ist ein Kernelement der Compliance-Arbeit. Selbst die besten Maßnahmen entfalten keine Wirkung, wenn sie die Zielgruppen in einer Organisation gar nicht erst erreichen oder diese sie nicht verstehen. Dieser Beitrag skizziert zunächst, was unter Compliance-Kommunikation zu verstehen ist und welche Erfolgsfaktoren hierbei besonders relevant sind. Anschließend richtet sich der Blick auf die Krankenhausbranche, die besonders stark reguliert ist. Am Beispiel einer Awareness-Kampagne der Berliner Charité zu Informationssicherheit und Datenschutz wird gezeigt, wie sich Compliance-Kommunikation praxisnah und niedrigschwellig umsetzen lässt. Daraus ergeben sich konkrete Handlungsempfehlungen, die auch für andere Branchen relevant sind.

I. Einleitung

Beschäftigte aller Ebenen sehen sich regelmäßig mit neuen Compliance-Regeln konfrontiert. Der große Bedarf, eine wirksame Compliance-Kommunikation zu etablieren, resultiert aus diversen praktischen „Mega-Herausforderungen“ (z. B. Cybersecurity, KI, Datenschutz), zunehmenden regulatorischen Anforderungen und einer verschärften Prüfungspraxis.

II. Grundlagen der Compliance-Kommunikation

Generell versteht man unter Compliance-Kommunikation die Vermittlung von gesetzlichen Bestimmungen, internen Richtlinien und Standards, die für eine Organisation relevant sind.1 Auch die Rollen, Verantwortlichkeiten, Prozesse und Dokumente der Compliance-Einheit selbst sind wesentliche Inhalte.2

Die Compliance-Kommunikation richtet sich an unterschiedliche Zielgruppen: Den Vorstand bzw. die Geschäftsführung und die Führungskräfte, die Beschäftigten sowie Dritte wie z. B. Anteilseigner, Kunden oder Lieferanten.3 Das Top-Management hat bei der Compliance-Kommunikation eine zentrale Vorbildfunktion, da es den „tone from the top“ vorgibt. Auch eine Verknüpfung der Strategie mit Compliance-Themen ist von Bedeutung. Im Tagesgeschäft kommuniziert das Compliance-Team aber vor allem mit den Beschäftigten, da in der operativen Umsetzung von Organisationsprozessen die meisten Risiken auftreten. Hier geht es darum, Informationen zu vermitteln und auf ein regelkonformes Verhalten hinzuwirken. Auch Dritte können Adressaten der Compliance-Kommunikation sein. Gleichzeitig nehmen sie, beispielsweise durch Vorgaben oder ihr eigenes Verhalten, Einfluss auf Compliance-Maßnahmen innerhalb einer Organisation.

Um den Bedürfnissen der verschiedenen Zielgruppen – gerade in größeren Einrichtungen – gerecht zu werden, erscheint der Einsatz einer Mischung aus unterschiedlichen Kommunikationsinstrumenten am erfolgversprechendsten.4 Beispiele sind hier ein Code of Conduct, zentrale Richtlinien, eine Compliance-Intranetseite, Newsletter, Blogs, Wikis, eine Kommunikation im Rahmen des Onboardings, e-Learnings, Präsenzschulungen und Awarenesskampagnen.5

Angesichts der Vielfalt an Zielgruppen und Kommunikationsmitteln stellt sich die Frage, wie die Maßnahmen sinnvoll inhaltlich gestaltet und effektiv miteinander verknüpft werden können.

III. Erfolgsfaktoren der Compliance-Kommunikation

Das in der Sozialpsychologie von Petty und Cacioppo  entwickelte „Elaboration Likelihood Model“ erläutert, wie Menschen Informationen verarbeiten: Zentrale Einflussparameter sind hierbei die individuelle Motivation, die Fähigkeit und die Situation.6 Um Compliance- Regeln erfolgreich in einer Organisation zu kommunizieren, müssen unter Berücksichtigung dieser drei Parameter verschiedene Faktoren einbezogen werden.7

1. Vertrauensvolle Ansprache nutzen

Die Compliance-Funktion soll Beschäftigte bei der Einhaltung gesetzlicher Vorgaben und interner Richtlinien unterstützen – mit Fokus auf Information und Sensibilisierung statt auf Kontrolle und Sanktion. Grundlage hierfür ist eine vertrauensvolle, an den Werten der Organisation orientierte Ansprache, die auf ein gemeinsames Commitment abzielt und kein generelles Fehlverhalten unterstellt. Auch hier gilt: Der Ton macht die Musik!

2. Allgemein verständliche, praxisnahe Botschaften vermitteln

Compliance-Regeln stammen oft aus juristischen oder betriebswirtschaftlichen Bereichen und sind entsprechend abstrakt formuliert. Es liegt auf der Hand, dass viele Empfänger keinen entsprechenden fachlichen Hintergrund haben und ihnen deshalb der praktische Compliance-Bezug zunächst fehlt. Umso wichtiger ist eine klare, anschauliche und alltagstaugliche Aufbereitung – etwa durch einfache Sprache, Grafiken und praxisnahe Beispiele. Nur verständliche und realitätsnahe Vorgaben können im Arbeitsalltag gelebt werden.

3. Passende Mischung von Kommunikationsinstrumenten auswählen

Um unterschiedliche Beschäftigte bei der Compliance-Kommunikation zu erreichen, bedarf es auch einer differenzierten Ansprache. Eine Mischung aus verschiedenen Kommunikationsmitteln wirkt darauf hin, dass die Botschaften auch bei Beschäftigten mit unterschiedlichen Arbeitskontexten und Tagesabläufen ankommen. Welche Maßnahmen für die jeweilige Organisation sinnvoll sind, hängt von einer individuellen Zielgruppenanalyse ab.

4. Die Unternehmenskommunikation mit einbeziehen

Gerade in größeren Organisationen bietet es sich an, die Unternehmenskommunikation bei der Vermittlung von Compliance-Regeln aufgrund ihrer Expertise in Bezug auf die zielgruppengerechte Ansprache und der Reichweite einzubinden. Eine enge Zusammenarbeit mit anderen internen Stakeholdern wie dem Top-Management und dem Personalbereich stärkt zudem die Verankerung von Compliance in der Unternehmenskultur.

5. Kontinuität sicherstellen

Die regulatorischen Anforderungen nehmen kontinuierlich zu. Dies hat zur Folge, dass bei der Compliance-Kommunikation Kontinuität notwendig ist. Zum einen sorgt sie dafür, dass die betroffenen Mitarbeitenden auf dem aktuellen Stand bleiben, zum anderen fördert eine konsistente und regelmäßige Kommunikation das Verständnis und die Akzeptanz der geltenden Compliance-Regeln nachhaltig.

6. Maßnahmen evaluieren

Auch in der Compliance-Kommunikation ist konstruktives Feedback entscheidend. Kennzahlen zur Erfolgsmessung, Befragungen und der Austausch mit Zielgruppen zeigen, wo Handlungsbedarf besteht und wie die getroffenen Maßnahmen wirken. So lassen sich Aktivitäten gezielt optimieren.

Zusammenfassend lässt sich festhalten: Bei der Compliance-Kommunikation kommt es nicht nur auf die Botschaft selbst an, sondern auch darauf, ob sie die Zielgruppen erreicht und verstanden wird.

IV. Fallbeispiel Charité: Awarenesskampagne „ZID – Zusammen für mehr Informationssicherheit und Datenschutz“

Awarenesskampagnen können ein besonders wirksames Instrument der Compliance-Kommunikation sein. Hierbei werden die relevanten Zielgruppen üblicherweise über einen längeren Zeitraum durch gezielte Maßnahmen angesprochen:8 Kampagnen- und Informationsmaterial bilden die Basis – in der Regel in einem spezifischen auf Wiedererkennung ausgerichteten Kampagnendesign. Zusätzliche Dialog- und Event-Maßnahmen wie Veranstaltungen oder Schulungen sind wichtige Ergänzungen.

Während große Unternehmen außerhalb des öffentlichen Sektors schon seit Jahren aufwändige Compliance-Kampagnen umsetzen, ist die Compliance-Kommunikation in Krankenhäusern oft weniger modern, da Ressourcen primär auf die Patientenversorgung, medizinische Infrastruktur oder Forschung konzentriert werden. Zudem ist das Gesundheitswesen stark reguliert. Diese Aspekte beeinflussen den Einsatz neuer Technologien und innovativer Kommunikationsmethoden. Der folgende Anwendungsfall soll daher bewusst ein Beispiel für niedrigschwellige Ansätze ohne große Budgets sein.

Die Charité9 zählt zu den größten Universitätskliniken Europas. Hier arbeiten ca. 24.000 Mitarbeitende in der Krankenversorgung, Forschung, Lehre und Verwaltung an vier Standorten innerhalb Berlins. Digitalisierung, Vernetzung und Informationsaustausch gehören mehr denn je zum Alltag an der Charité – umso wichtiger sind die Aspekte Informationssicherheit und Datenschutz. Der Schutz der IT-Systeme vor Cyberbedrohungen und die Prävention von Datenlecks sind von entscheidender Bedeutung, um den reibungslosen Betrieb, die Versorgung der Patientinnen und Patienten und die Vertrauenswürdigkeit der Charité aufrecht zu erhalten. Als besonders herausfordernd für die Charité im Hinblick auf die Informationssicherheit und den Datenschutz sind die schiere Masse an sensiblen Daten, die unterschiedlichen Arbeitskontexte (auf den Stationen, im Labor, im Büro etc.) und die Tagesabläufe der Beschäftigten sowie die dezentralen Strukturen mit über 100 Kliniken und Instituten zu nennen.

Aufbauend auf den etablierten Strukturen, Prozessen und Handlungsleitlinien wurde in 2024 die Awarenesskampagne „ZID – Zusammen für mehr Informationssicherheit und Datenschutz“ vom Geschäftsbereich Governance, Compliance und Datenschutz im Unternehmen initiiert.10 Die Planung folgte dem Aufbau klassischer Marketingkampagnen:11 Zielgruppenanalyse, emotionales Storytelling, klarer Slogan, stringentes Corporate Design, gezielte Content-Strategie sowie Maßnahmen für Feedback, um eine möglichst hohe Beteiligung und eine nachhaltige Verankerung zu fördern.

Sowohl in der Vorbereitungsphase als auch während der Implementierung erfolgte eine intensive Einbindung der Unternehmenskommunikation und externer Kommunikationsexperten. Gemeinsam wurden der inhaltliche Fokus, ein Maßnahmenplan und das spezifische Design der Kampagne festgelegt.

ZID richtete sich an alle Beschäftigten und hatte die folgenden drei zentralen Ziele:

1. Sensibilisierung und Verständnis für die Relevanz der Handlungsfelder Informationssicherheit und Datenschutz für Beruf und Privatleben;
2. Befähigung im Arbeitsalltag mittels einfacher Praxistipps;
3. Erhöhung des generellen Sicherheitsniveaus an der Charité.

ZID wurde bewusst als „interne Marke“ konzipiert, die durch einen einprägsamen Titel und ein konsistentes „look and feel“ Wiedererkennung schaffen sollte (siehe Abb. 1).

Abb. 1: Ausgewähltes Plakat-Motiv der Charité-Awarenesskampagne

Inhaltlich konzentrierte sich die Kampagne auf die Vermittlung von „10 Goldenen Regeln“ der Informationssicherheit und des Datenschutzes in den vier für die Zielgruppen relevanten Kernthemen „Informationen und Daten“, „Arbeitsplatz“, „E-Mails“ sowie „Internet und Social Media“. Klare Handlungsempfehlungen wurden hierbei ergänzt durch kompakte Hintergrundinformationen. Um die heterogenen Arbeitskontexte zu berücksichtigen und die Mitarbeitenden auf verschiedenen Wegen und in abwechslungsreicher Form anzusprechen, wurden verteilt über den Zeitraum von zehn Monaten unterschiedliche analoge und digitale Maßnahmen umgesetzt. Dabei wurde ein phasenorientiertes Vorgehen mit individuellen Zielen gewählt (siehe Abb. 2).

Abb. 2: Phasen, Ziele und Maßnahmen der Charité-Awarenesskampagne

Zum Auftakt der Kampagne erfolgte auf der Startseite im Intranet eine „Leitungsmeldung“ durch den Vorstand und der Desktophintergrund aller Beschäftigten wurde mit dem Kampagnendesign bespielt. Eine eigene Intranetseite wurde gelauncht, die im Verlauf der Kampagne sukzessive weitergewachsen ist. Um in der zweiten Phase die Kernbotschaften vorzustellen, wurden Poster an diversen Orten auf den vier Campus platziert und Print-Infopakete an die Führungskräfte versandt. Zur Erhöhung der Aufmerksamkeit wurden dabei beispielsweise die „10 Goldenen Regeln“ im Design der Charité-Patientenakten gestaltet. Um die Beschäftigten noch stärker in die Kampagne einzubinden, gab es in der dritten Phase eine Online-Umfrage, in der es darum ging, ein Stimmungsbild hinsichtlich der Themenfelder Informationssicherheit und Datenschutz einzufangen sowie eigene Ideen einzubringen. Highlights in der vierten Phase „Vertiefung“ waren vier kreativ gestaltete E-Mailings zu den Kernthemen an alle 24.000 Beschäftigte und als Veranstaltungsformat Live-Hacking-Events.

Einige Maßnahmenideen wie Guerilla-Marketing oder das Platzieren von „Fake-Patientenakten“ auf den Campus wurden verworfen, da sie zu disruptiv im sensiblen Krankenhausumfeld erschienen und die Patientensicherheit sowie die Klinikabläufe immer an erster Stelle stehen müssen.

V. Fazit

Wirksame Compliance-Kommunikation bedeutet mehr als nur Regel- oder Pflichthinweise zu publizieren. Sie muss zielgruppenorientiert, verständlich sowie praxisnah sein und darf dabei – auch im Krankenhaus – mal kreative Wege gehen, selbst wenn diese im ersten Moment unüblich erscheinen. Nur so lässt sich erreichen, dass Beschäftigte den Mehrwert von Compliance-Themen wie Datenschutz und Informationssicherheit verstehen, ihre Bedeutung für den Arbeitsalltag erkennen und die Vorgaben dauerhaft verinnerlichen.

Das Fallbeispiel der Charité zeigt: Wenn Kommunikation sorgfältig geplant, stringent umgesetzt und durch interdisziplinäre Partner unterstützt wird, lassen sich auch mit begrenzten Ressourcen und ohne große Etats Maßnahmen realisieren, die Aufmerksamkeit erhalten. Dabei spielt nicht zuletzt die richtige Balance aus Wiederholung und Vielfalt eine Rolle. Kontinuität stärkt die Verankerung bei den Beschäftigten, doch ein Zuviel an Information kann auch zu Ablehnung oder Ignoranz führen.

Umso wichtiger ist es, Compliance-Kommunikation als kontinuierlichen Lernprozess statt als einmalige Aktion zu begreifen: Was gut funktioniert, sollte verstetigt werden und was nicht wirkt, darf angepasst oder fallen gelassen werden. Evaluation hilft dabei, die Perspektive der Zielgruppen einzubeziehen und die Maßnahmen weiter zu verbessern. Compliance-Kommunikation sollte als ein strategisches Instrument verstanden werden, das Orientierung gibt, Vertrauen schafft und eine regelkonforme Kultur nachhaltig fördert.

---