Ir al contenido

Wirtschaftsglossar

Hinweisgebersystem (Canal de Denuncias)

Ein Hinweisgebersystem (Whistleblowing-Kanal) ist ein sicherer Meldemechanismus, der es Mitarbeitern, Auftragnehmern, Lieferanten und anderen Beteiligten ermöglicht, mutmaßliche Rechtsverstöße, ethische Verfehlungen oder Unternehmensfehlverhalten zu melden — in der Regel anonym. Die EU-Richtlinie 2019/1937 zum Schutz von Hinweisgebern und das spanische Umsetzungsgesetz 2/2023 verpflichten Privatunternehmen ab 50 Mitarbeitern sowie alle öffentlichen Einrichtungen zur Einrichtung eines solchen Kanals.

Recht

Die EU-Hinweisgeberrichtlinie

Die EU-Richtlinie 2019/1937 zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden, schuf einen gemeinsamen Mindestrahmen für alle EU-Mitgliedstaaten zum Schutz von Hinweisgebern. Ihre Kernziele sind:

  • Sicherstellen, dass Personen, die Verstöße gegen das EU-Recht melden, vor Vergeltungsmaßnahmen geschützt werden
  • Organisationen ab bestimmten Schwellenwerten zur Einrichtung interner Meldekanäle verpflichten
  • Zuständige Behörden für die Entgegennahme externer Meldungen benennen
  • Die Vertraulichkeit der Identität des Hinweisgebers garantieren

Spaniens Umsetzung: Gesetz 2/2023

Spanien setzte die Richtlinie durch die Ley 2/2023 de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción um. Das Gesetz trat im März 2023 in Kraft, mit einem gestaffelten Umsetzungszeitplan:

  • März 2023: Öffentliche Einrichtungen und Privatunternehmen mit 250 oder mehr Mitarbeitern
  • Dezember 2023: Privatunternehmen mit 50 bis 249 Mitarbeitern

Spanien ging in mehreren wichtigen Punkten über den EU-Mindeststandard hinaus — das Gesetz erfasst nicht nur Verstöße gegen EU-Recht, sondern auch gegen spanisches nationales Recht und erstreckt sich auf Straftaten und Ordnungswidrigkeiten in allen Regulierungsbereichen (nicht nur die spezifischen EU-Rechtsbereiche der Richtlinie).

Wer muss die Anforderungen erfüllen?

Gemäß Gesetz 2/2023 müssen folgende Einrichtungen einen internen Meldekanal einrichten:

  • Privatsektor: Alle Unternehmen mit 50 oder mehr Mitarbeitern
  • Politische Parteien, Gewerkschaften und Arbeitgeberverbände, die öffentliche Mittel erhalten
  • Stiftungen: Unabhängig von der Größe, wenn öffentliche Mittel empfangen werden
  • Öffentlicher Sektor: Alle öffentlichen Verwaltungen, staatseigene Unternehmen und Körperschaften des öffentlichen Rechts
  • Unternehmen im Finanzdienstleistungsbereich: Unabhängig von der Größe (aufgrund sektorspezifischer Regulierung)

Bei Unternehmensgruppen muss jede Tochtergesellschaft mit 50 oder mehr Mitarbeitern einen eigenen Kanal einrichten oder die Gruppe kann einen gemeinsamen Kanal einrichten (unter der Voraussetzung, dass Vertraulichkeitsanforderungen für jede Einheit eingehalten werden).

Anforderungen an einen rechtskonformen Hinweisgeberkanal

Ein rechtskonformer Kanal gemäß Gesetz 2/2023 muss:

  • Anonyme Meldungen ermöglichen (das Gesetz schreibt keine Anonymität vor, verlangt aber die Entgegennahme und Bearbeitung anonymer Meldungen)
  • Die Identität des Hinweisgebers und aller in der Meldung genannten Dritten schützen (Vertraulichkeit ist zwingend vorgeschrieben)
  • Innerhalb von 7 Kalendertagen eine Eingangsbestätigung versenden
  • Dem Hinweisgeber innerhalb von 3 Monaten eine inhaltliche Antwort geben (in komplexen Fällen auf 6 Monate verlängerbar)
  • Unabhängig sein — von einer funktional unabhängig benannten Person oder Stelle verwaltet werden
  • Sowohl schriftliche als auch mündliche Meldungen ermöglichen (die mündliche Option kann durch eine Telefonhotline mit Sprachaufzeichnung oder einem persönlichen Gespräch erfüllt werden)
  • Sicher sein — ausreichend gegen unbefugten Zugriff geschützt

Datenschutzanforderungen (Schnittstelle zur DSGVO)

Der Hinweisgeberkanal verarbeitet zwangsläufig personenbezogene Daten — die Identität des Hinweisgebers (auch wenn diese nicht an Ermittler weitergegeben wird), die Identität der beschuldigten Person und die Details einer etwaigen Untersuchung. Das bedeutet:

  • Eine Datenschutz-Folgenabschätzung (DSFA) ist in der Regel erforderlich (systematische Verarbeitung von Daten im Zusammenhang mit mutmaßlichem Fehlverhalten fällt unter die Hochrisikokategorien des DSGVO-Art. 35)
  • Die Kanaldaten müssen von anderen HR-Datensystemen getrennt gespeichert werden
  • Aufbewahrungsfristen gelten: Die Daten müssen nach Abschluss der Untersuchung und aller daraus resultierenden Verfahren gelöscht werden (in der Regel nicht länger als 10 Jahre)
  • Das Recht der beschuldigten Person auf Information muss sorgfältig gehandhabt werden — sie muss letztendlich benachrichtigt werden, die Benachrichtigung kann jedoch während der Untersuchung aufgeschoben werden

Die Anforderung des unabhängigen Kanalverwalters

Gesetz 2/2023 verlangt, dass der Kanal von einer zu diesem Zweck mit funktionaler Unabhängigkeit benannten Person oder Stelle verwaltet wird. Für kleinere Unternehmen sind das typischerweise:

  • Ein interner Compliance-Beauftragter (sofern echte Unabhängigkeit gewährleistet ist)
  • Ein externer Drittanbieter, der auf die Verwaltung von Hinweisgebersystemen spezialisiert ist
  • Ein externer Rechtsanwalt, der den Kanal im Rahmen eines Dienstleistungsvertrags verwaltet

Das externe Modell wird kleineren Organisationen empfohlen, bei denen echte Unabhängigkeit von der Geschäftsführung intern schwer zu gewährleisten ist, und insbesondere wenn Meldungen das leitende Management betreffen könnten.

Strafen bei Nichteinhaltung

Die Behörde für den Schutz von Informanten (Autoridad Independiente de Protección del Informante — A.A.I.) überwacht die Einhaltung des Gesetzes 2/2023. Strafen:

  • Sehr schwere Verstöße (z. B. Vergeltungsmaßnahmen gegen Hinweisgeber, Vernichtung von Beweismitteln): bis zu 1 Million EUR für private Einrichtungen; höher für öffentliche Einrichtungen
  • Schwere Verstöße (z. B. Verletzung der Vertraulichkeit, Nichteinrichtung eines Kanals): bis zu 300.000 EUR
  • Geringfügige Verstöße (Verfahrensverstöße): bis zu 100.000 EUR

Wie BMC helfen kann

Wir implementieren rechtskonforme Hinweisgebersysteme für Unternehmen — von der Kanalgestaltung über die Erstellung von Richtlinien, die DSFA, Mitarbeiterkommunikation und Schulungen, die Benennung eines unabhängigen Kanalverwalters bis hin zur laufenden Fallbearbeitung und jährlichen Berichterstattung an den Vorstand.

Häufig gestellte Fragen

Welche spanischen Unternehmen sind gesetzlich zur Einrichtung eines Hinweisgebersystems verpflichtet?
Gemäß dem spanischen Gesetz 2/2023 müssen alle Privatunternehmen ab 50 Mitarbeitern über einen internen Meldekanal verfügen. Politische Parteien, Gewerkschaften und Arbeitgeberverbände, die öffentliche Mittel erhalten, sind ebenfalls erfasst, ebenso wie alle öffentlichen Stellen und Unternehmen im Finanzdienstleistungsbereich unabhängig von ihrer Größe. Bei Unternehmensgruppen muss jede Tochtergesellschaft mit 50 oder mehr Mitarbeitern einen eigenen Kanal einrichten oder die Gruppe kann einen gemeinsamen Kanal einrichten.
Welche Umsetzungsfristen galten für die Hinweisgeberpflicht nach Gesetz 2/2023?
Öffentliche Einrichtungen und Privatunternehmen mit 250 oder mehr Mitarbeitern waren verpflichtet, ab März 2023, dem Inkrafttreten des Gesetzes, zu erfüllen. Privatunternehmen mit 50 bis 249 Mitarbeitern hatten bis Dezember 2023 Zeit, ihre Meldekanäle einzurichten. Unternehmen, die diese Fristen versäumt haben, befinden sich derzeit im Verstoß und sind Sanktionsrisiken ausgesetzt.
Was muss ein rechtskonformes Hinweisgebersystem nach spanischem Recht umfassen?
Ein rechtskonformer Kanal muss: anonyme Meldungen ermöglichen; die Identität des Hinweisgebers schützen (Vertraulichkeit ist zwingend vorgeschrieben); innerhalb von 7 Kalendertagen eine Eingangsbestätigung zusenden; innerhalb von 3 Monaten eine inhaltliche Antwort geben (verlängerbar auf 6 Monate); von einer funktional unabhängigen Person verwaltet werden; sowohl schriftliche als auch mündliche Meldungen ermöglichen; sowie gegen unbefugten Zugriff gesichert sein. In der Regel ist eine Datenschutz-Folgenabschätzung (DSFA) nach der DSGVO erforderlich.
Welche Strafen drohen bei Nichteinhaltung des spanischen Hinweisgebergesetzes?
Die Autoridad Independiente de Protección del Informante (A.A.I.) kann Bußgelder von bis zu 1 Million EUR für sehr schwere Verstöße (Vergeltungsmaßnahmen gegen Hinweisgeber, Vernichtung von Beweismitteln), bis zu 300.000 EUR für schwere Verstöße (Verletzung der Vertraulichkeit, Nichteinrichtung eines Kanals) und bis zu 100.000 EUR für geringfügige Verfahrensverstöße verhängen.
Muss der Hinweisgeberkanal nach Gesetz 2/2023 auch anonyme Meldungen annehmen?
Ja. Das Gesetz schreibt zwar nicht vor, dass das Unternehmen aktiv zur Anonymität einlädt, verlangt aber, dass der Kanal anonym eingereichte Meldungen entgegennimmt und bearbeitet. Die Ablehnung oder Ignorierung anonymer Meldungen ist nicht zulässig. Der Kanal muss auch für anonyme Hinweisgeber eine Eingangsbestätigung und eine inhaltliche Antwort bereitstellen — unter Verwendung sicherer Kommunikationsmethoden, die die gewählte Anonymität wahren.

Verwandte Leistung

Legal

Entdecken Sie unsere Leistungen in diesem Bereich

Verwandte Branchen

Familienunternehmen & KMU Finanzdienstleistungen

Verwandte Begriffe

DSGVO in Spanien (LOPD-GDD) Integriertes Compliance-Management Körperschaftsteuer (Impuesto de Sociedades) Enterprise Risk Management (ERM)

Verwandte Artikel

Nov. 2023

Geldwäscheprävention: Pflichten für Unternehmen

März 2026

Compliance im Finanzsektor: Wichtige Regulatorische Herausforderungen 2025–2026

März 2026

Hinweisgebersysteme für Unternehmen: Leitfaden zum spanischen Gesetz 2/2023

Zurück zum Glossar

Fordern Sie eine persönliche Beratung an

Unsere Experten analysieren Ihre Situation und bieten maßgeschneiderte Lösungen.

Kostenlose Erstberatung
Anrufen Kontakt