Das Inkrafttreten des Gesetzes 2/2023 (Ley 2/2023 reguladora de la protección de las personas que informen sobre infracciones normativas — Hinweisgeberschutzgesetz) verpflichtete Tausende von spanischen Unternehmen, innerhalb eines sehr engen Zeitrahmens interne Meldekanäle einzurichten. Eine korrekte Implementierung ist nicht nur eine Compliance-Frage: Ein gut gestalteter Kanal kann ein wertvolles Governance-Instrument zur Erkennung von Unregelmäßigkeiten sein, bevor sie größeren Schaden anrichten.
Schritt 1: Geltungsbereichsanalyse
Der erste Schritt besteht darin, zu ermitteln, ob das Unternehmen dem Gesetz unterliegt. Unternehmen mit 50 oder mehr Mitarbeitern — sowohl Vollzeit- als auch Teilzeitbeschäftigte werden gezählt — sind verpflichtet. In Unternehmensgruppen wird der Schwellenwert unternehmensbezogen beurteilt, obwohl das Gesetz die gemeinsame Nutzung des Kanals zwischen Gruppenunternehmen zulässt.
Über das Mitarbeiterzahlkriterium hinaus verlangt das Gesetz 2/2023 den Kanal unabhängig von der Belegschaftsgröße für Unternehmen des Finanzsektors (Banken, Versicherungen, Fondsverwalter), politische Parteien, die öffentliche Mittel erhalten, Gewerkschaften und Arbeitgeberverbände mit öffentlicher Finanzierung sowie öffentliche Stiftungen.
Der sachliche Anwendungsbereich des Kanals ist zudem breiter, als viele Unternehmen annehmen: Er beschränkt sich nicht auf Straftaten. Er erfasst auch Verstöße gegen EU-Recht in so unterschiedlichen Bereichen wie Wettbewerb, Steuern, Umweltschutz, Produktsicherheit, Datenschutz, Geldwäsche und Lebensmittelsicherheit. In Spanien dehnte das Gesetz den Anwendungsbereich auf Verstöße gegen spanisches Recht im Allgemeinen aus.
Schritt 2: Kanalgestaltung
Der Kanal kann intern (vom Unternehmen selbst verwaltet, beispielsweise durch die Compliance- oder Innenrevision) oder extern (an einen spezialisierten Anbieter ausgelagert) sein. Das Gesetz erlaubt Unternehmen mit 50 bis 249 Mitarbeitern, den Kanal mit Konzernunternehmen zu teilen oder zertifizierte externe Anbieter zu nutzen.
Der Kanal muss schriftliche, mündliche und — wenn der Informant dies verlangt — persönliche Meldungen akzeptieren. Er muss Vertraulichkeit und Anonymität gewährleisten, wenn der Informant dies fordert.
Technische Anforderungen an digitale Systeme: Wenn der Kanal über eine digitale Plattform implementiert wird — die gängigste Lösung —, muss er eine Ende-zu-Ende-Verschlüsselung, eine sichere Speicherung von Informantendaten, eine Trennung des Zugangs zwischen dem Kanalverantwortlichen und der Geschäftsleitung sowie die Möglichkeit einer anonymen bidirektionalen Kommunikation mit dem Informanten zur Anforderung zusätzlicher Informationen gewährleisten.
Umgang mit anonymen Meldungen: Das Gesetz verlangt die Bearbeitung anonymer Meldungen, legt aber keine obligatorische Untersuchungspflicht fest. Die interne Richtlinie muss klare Kriterien dafür festlegen, wann eine anonyme Meldung untersucht wird und wie diese Entscheidung dokumentiert wird.
Schritt 3: Interne Richtlinie und Schulung
Es ist unerlässlich, eine Meldeverwaltungsrichtlinie zu verabschieden, die Fristen, den Untersuchungsprozess, den Informantenschutz und das Regime verbotener Vergeltungsmaßnahmen regelt. Schulungen für Kanalverantwortliche und die Unternehmensführung sind entscheidend, um Fehler zu vermeiden, die zu Sanktionen führen könnten.
Gesetzliche Fristen: Das Gesetz setzt spezifische Zeitvorgaben, die in der internen Richtlinie verankert werden müssen. Der Kanalverantwortliche muss dem Informanten innerhalb von maximal sieben Werktagen nach Eingang der Meldung eine Empfangsbestätigung zusenden. Innerhalb von drei Monaten nach dieser Bestätigung muss der Informant über die geplanten oder ergriffenen Maßnahmen und deren Begründung informiert werden.
Informantenschutz: Das Gesetz untersagt ausdrücklich Vergeltungsmaßnahmen gegen jeden, der gutgläubig meldet, auch wenn sich die übermittelte Information als falsch herausstellt. Verbotene Vergeltungsmaßnahmen umfassen nicht nur Entlassung oder Disziplinarmaßnahmen, sondern auch jede nachteilige Maßnahme wie Änderungen der Arbeitsbedingungen, negative Leistungsbeurteilungen, Ausschluss von der Beförderung oder psychologischen Druck. Unternehmen müssen interne Mechanismen einrichten, um potenzielle Vergeltungsmaßnahmen zu erkennen und zu beheben.
Schritt 4: Regelmäßige Überprüfung und Audit
Der Kanal sollte mindestens jährlich überprüft werden, um seine effektive Funktionsweise zu überprüfen. Interne oder externe Audits können helfen, Mängel zu erkennen, bevor sie zu sanktionierbaren Verstößen werden.
Effektivitätsindikatoren: Ein regelmäßiges Audit des Kanals sollte die Anzahl der eingegangenen Meldungen, die durchschnittliche Bearbeitungszeit, den Prozentsatz der mit einer formellen Untersuchung abgeschlossenen Meldungen, die Art der gemeldeten Unregelmäßigkeiten und ob infolgedessen Korrekturmaßnahmen ergriffen wurden, bewerten. Ein Kanal, der jahrelang keine Meldungen erhält, ist nicht unbedingt ein positiver Indikator: Er kann auf mangelndes Vertrauen in seine Wirksamkeit oder fehlendes Bewusstsein bei den Mitarbeitern hinweisen.
Richtlinienüberprüfung: Die Richtlinie sollte aktualisiert werden, wenn sich die Unternehmenstätigkeit oder die Gruppenstruktur ändert oder wenn relevante regulatorische Änderungen eintreten. Das Hinzufügen neuer regulierter Tätigkeiten kann den sachlichen Geltungsbereich des Kanals erweitern.
Der Hinweisgeberkanal als Bestandteil des Compliance-Programms
In Unternehmen mit einem umfassenden Compliance-Programm ist der Hinweisgeberkanal eine Komponente eines breiteren Systems, das den Ethikkodex, die Risikolandkarte, interne Kontrollverfahren und die Verantwortlichkeitsmatrix umfasst. Ein gut gestalteter Kanal stärkt eine Integritätskultur und wird von Strafgerichten als Beweis für die Sorgfalt des Unternehmens bei der Verhinderung von Straftaten berücksichtigt — ein wesentliches Element im Rahmen der strafrechtlichen Unternehmenshaftung nach Artikel 31 bis des spanischen Strafgesetzbuches (Código Penal).
BMC unterstützt Mandanten bei der Gestaltung, Implementierung und Prüfung ihrer Hinweisgeberkanäle. Mehr zu unseren Compliance-Leistungen.
Erhalten Sie Analysen wie diese
Abonnieren Sie BMC Insights: regulatorische Updates, Steueranalysen und Chancen fuer Ihr Unternehmen.