Hinweisgebersystem Gesetz 2/2023 implementieren

Q: Welche Unternehmen sind nach dem Gesetz 2/2023 zur Einrichtung eines Hinweisgeberkanals verpflichtet?

Das Gesetz 2/2023 vom 20. Februar über den Schutz von Personen, die Verstöße gegen das EU-Recht und Korruption melden, verpflichtet folgende Organisationen zur Einrichtung eines internen Kommunikationskanals: erstens alle Unternehmen mit 50 oder mehr Mitarbeitern; zweitens öffentliche Einrichtungen, unabhängig von ihrer Größe; drittens bestimmte regulierte Sektoren unabhängig von der Mitarbeiterzahl — darunter Unternehmen im Finanzsektor, Wertpapierunternehmen und Kreditinstitute nach der europäischen Finanzmarktregulierung. Für Unternehmen zwischen 50 und 249 Mitarbeitern bestand die Möglichkeit, seit Oktober 2023 einen gemeinsamen Kanal mit anderen Unternehmen der gleichen Kategorie zu teilen. Unternehmen mit weniger als 50 Mitarbeitern können freiwillig einen Kanal einrichten, sind aber nicht verpflichtet.

Q: Was sind die technischen und funktionalen Mindestanforderungen an den Hinweisgeberkanal?

Der Hinweisgeberkanal nach dem Gesetz 2/2023 muss folgende Mindestanforderungen erfüllen: Erstens muss er die vertrauliche Einreichung von Meldungen — auch anonym — ermöglichen; die Identität des Meldenden und der im Bericht genannten Personen muss sicher geschützt werden. Zweitens muss die Bestätigung des Eingangs der Meldung innerhalb von sieben Tagen erfolgen. Drittens muss innerhalb von drei Monaten eine Rückmeldung über die ergriffenen oder beabsichtigten Maßnahmen gegeben werden. Viertens muss der Kanal für alle Mitarbeiter zugänglich sein und von einer unabhängigen Person oder Stelle verwaltet werden — nicht von jemandem mit möglichem Interessenkonflikt. Fünftens dürfen weder direkte noch indirekte Repressalien gegen Hinweisgeber ergriffen werden. Der Kanal kann intern (Software, Telefon) oder über einen externen Dienstleister betrieben werden.

Q: Welche Verstöße können über den Hinweisgeberkanal gemeldet werden?

Der sachliche Anwendungsbereich des Gesetz 2/2023 umfasst Meldungen zu: Verstößen gegen europäisches Recht in den Bereichen öffentliches Auftragswesen, Finanzdienstleistungen, Produktsicherheit, Verkehrssicherheit, Umweltschutz, nukleare Sicherheit, Lebensmittel- und Futtermittelsicherheit, öffentliche Gesundheit sowie Verbraucherschutz; Korruption, Betrug und sonstige Straftaten gegen die öffentliche Verwaltung; Verletzungen der Interessen der Finanzen der EU; und Verstöße gegen spanisches Recht im Bereich der Anti-Geldwäsche-Regulierung (Ley 10/2010). Der Kanal ist explizit nicht für arbeitsrechtliche Einzelstreitigkeiten (Lohnforderungen, Arbeitszeitstreitigkeiten) vorgesehen, die über normale Arbeitsrechtswege geltend zu machen sind.

Q: Was sind die Sanktionen bei Nichteinrichtung oder mangelhafter Implementierung des Kanals?

Das Gesetz 2/2023 sieht ein gestuftes Sanktionssystem für die zuständige Behörde (AIPI — Autoridad Independiente de Protección del Informante) vor: Leichte Verstöße (z. B. Fehler im Verfahrensablauf ohne ernsthafte Folgen) werden mit Bußgeldern von 1.001 bis 30.000 Euro belegt. Schwerwiegende Verstöße (z. B. fehlende Vertraulichkeit, unzureichende Bearbeitung von Meldungen) mit 30.001 bis 300.000 Euro. Sehr schwerwiegende Verstöße (z. B. Repressalien gegen Hinweisgeber, vollständige Nichtimplementierung des Kanals trotz Pflicht) mit 300.001 bis 1.000.000 Euro. Für große Unternehmen können die Bußgelder höher ausfallen, wenn ein prozentualer Bezug auf den Umsatz die Höchstgrenzen übersteigt. Neben Bußgeldern können Unternehmen bei sehr schwerwiegenden Verstößen vorübergehend von öffentlichen Ausschreibungen ausgeschlossen werden.

Q: Wie verhält sich der Hinweisgeberkanal nach Gesetz 2/2023 zu einem strafrechtlichen Compliance-Kanal?

Viele Unternehmen haben bereits vor dem Gesetz 2/2023 ein Compliance-Meldesystem als Teil ihres Strafrechts-Compliance-Programms nach Art. 31 bis Código Penal implementiert. Der Kanal nach Gesetz 2/2023 kann mit diesem bestehenden System zusammengeführt werden, sofern die neuen gesetzlichen Anforderungen vollständig erfüllt werden. Wesentliche Unterschiede: Das strafrechtliche Compliance-Programm kann mit einem Vertraulichkeitsstandard arbeiten, der die Identität des Meldenden intern bekannt macht (an den Compliance Officer), sofern der Meldende zustimmt; das Gesetz 2/2023 hingegen verlangt eine strikte Vertraulichkeit, die nur in eng begrenzten Ausnahmefällen aufgehoben werden kann. Daher empfiehlt sich bei der Integration eine sorgfältige technische und rechtliche Prüfung, um sicherzustellen, dass der integrierte Kanal beide Anforderungssysteme gleichzeitig erfüllt.

Q: Wann und wie kann ein externer Dienstleister den Hinweisgeberkanal betreiben?

Das Gesetz 2/2023 erlaubt ausdrücklich, dass der interne Kanal von einem externen Dritten (einem autorisierten Dienstleister) betrieben wird, sofern dieser die Vertraulichkeit, Unabhängigkeit und gesetzlichen Reaktionsfristen gewährleistet. In der Praxis bieten spezialisierte Compliance-Dienstleister (Rechtsberatungen, SaaS-Plattformen) schlüsselfertige Kanalimplementierungen an, die alle gesetzlichen Anforderungen erfüllen. Für KMU ist dieses Modell kosteneffizient: Die Marktpreise für einen extern betriebenen Kanal liegen typischerweise zwischen 1.000 und 5.000 Euro jährlich, abhängig von Unternehmensgröße und Umfang der Dienstleistung. Beim Einsatz externer Dienstleister ist sicherzustellen, dass ein Datenschutzverarbeitungsvertrag (DPA) nach Art. 28 DSGVO abgeschlossen wird, da der externe Dienstleister personenbezogene Daten der Meldenden und Beschuldigten verarbeitet.

Das Gesetz 2/2023 vom 20. Februar, das die EU-Richtlinie 2019/1937 (Whistleblower-Richtlinie) umsetzt, verpflichtet Unternehmen mit 50 oder mehr Mitarbeitern zur Einrichtung eines internen Kommunikationskanals für die Meldung von Unregelmäßigkeiten. Nichteinhaltung ist keine Option: Die Sanktionen sind erheblich, und das Gesetz ist in Kraft.

Wer ist verpflichtet und seit wann?

Die Pflicht zur Einrichtung eines internen Informationssystems betrifft:

Unternehmenstyp	Frist
Privatunternehmen mit 250+ Mitarbeitern	13. Juni 2023
Privatunternehmen mit 50–249 Mitarbeitern	1. Dezember 2023
Alle Einrichtungen des öffentlichen Sektors	13. Juni 2023
Finanzdienstleistungsunternehmen (jede Größe)	13. Juni 2023

Unternehmen zwischen 50 und 249 Mitarbeitern können den Kanal mit anderen Unternehmen derselben Gruppe teilen, sofern Unabhängigkeit und Vertraulichkeit gewährleistet sind.

Die technischen und organisatorischen Mindestanforderungen

Vertraulichkeit der Identität

Das Gesetz garantiert dem Hinweisgeber absolute Vertraulichkeit: Seine Identität darf ohne seine Zustimmung nicht bekannt gemacht werden, außer auf richterliche Anordnung im Rahmen einer strafrechtlichen Untersuchung.

Praktische Implikation: Ein einfaches anonymes E-Mail-Postfach erfüllt diese Anforderung nicht, wenn der E-Mail-Administrator auf Metadaten zugreifen kann, die den Hinweisgeber identifizieren.

Möglichkeit anonymer Meldungen

Der Kanal muss anonyme Meldungen zulassen. Das Unternehmen kann entscheiden, ob es anonyme Meldungen bearbeitet oder nicht, muss aber die Infrastruktur bereitstellen, um sie zu empfangen.

Unabhängiger Verwalter

Die Kanalverwaltung muss unabhängig sein und darf nicht der Person oder Abteilung untergeordnet sein, gegen die die Meldung gerichtet ist. Dies bedeutet, dass der Kanal nicht von der Personalabteilung oder dem allgemeinen Rechtsmanagement verwaltet werden kann, wenn die Meldung Personen in diesen Funktionen betreffen könnte.

Empfangsbestätigung innerhalb von 7 Tagen

Der Kanalverantwortliche muss den Eingang der Meldung innerhalb von maximal sieben Tagen bestätigen.

Rückmeldung innerhalb von 3 Monaten

Der Hinweisgeber muss innerhalb von maximal drei Monaten (verlängerbar auf sechs Monate in komplexen Fällen) über die ergriffenen Maßnahmen informiert werden.

Verbot von Repressalien und Beweislastumkehr

Das Gesetz 2/2023 enthält das umfangreichste Repressalienverbotsregime in der spanischen Geschichte. Die Beweislast ist umgekehrt: Es wird vermutet, dass jede nachteilige Maßnahme gegen den Hinweisgeber eine Repressalie ist, sofern das Unternehmen nicht das Gegenteil beweist.

Verbotene Repressalien umfassen: Entlassung, Herabstufung, Gehaltskürzung, Versetzung, Disziplinarmaßnahmen, Ausschluss von Beförderungsverfahren, Verweigerung von Aus- oder Weiterbildung, Beendigung von Lieferantenverträgen oder Verweise.

Melderegister

Es muss ein Register aller empfangenen Meldungen geführt werden, mit Sicherheitsmaßnahmen, die die Vertraulichkeit garantieren und die Datenschutzvorschriften einhalten.

Die drei Implementierungsmodelle

Modell 1: Interne Technologieplattform

Das Unternehmen implementiert eine spezifische Softwarelösung für das Hinweisgebersystem (z. B. Ethicsphere, Navex, WhistleB oder spanische Alternativen wie Alkemy oder Whistleblower Software). Empfiehlt sich für große Unternehmen mit erheblichem Meldevolumen.

Kosten: 5.000–20.000 Euro Einrichtung + 3.000–8.000 Euro jährliche Wartung.

Modell 2: Externe Verwaltung durch einen Dritten

Das Unternehmen beauftragt einen externen Dienstleister — in der Regel einen auf Compliance spezialisierten Rechtsbeistand — mit der unabhängigen Verwaltung des Kanals. Empfiehlt sich für KMU zwischen 50 und 250 Mitarbeitern.

Kosten: 2.000–6.000 Euro jährlich, abhängig vom Umfang.

Modell 3: Gemeinsamer Kanal innerhalb einer Gruppe

Unternehmen zwischen 50 und 249 Mitarbeitern können sich mit anderen Unternehmen derselben Gruppe einen Kanal teilen, sofern Unabhängigkeit und Vertraulichkeit jederzeit gewährleistet sind.

Die Sanktionen bei Nichteinhaltung

Die Aufsichtsbehörde für die Einhaltung des Gesetzes 2/2023 im Privatsektor ist die Autoridad Independiente de Protección del Informante (A-I-P-I).

Verstoßkategorie	Sanktionsrahmen
Leichte Verstöße	1.001 – 100.000 Euro
Mittelschwere Verstöße	100.001 – 600.000 Euro
Schwerwiegende Verstöße	600.001 – 1.000.000 Euro

Das Fehlen eines Kanals oder die Verletzung der Vertraulichkeit des Hinweisgebers werden als schwerwiegende Verstöße eingestuft.

Integration mit dem Strafrecht-Compliance

Das Hinweisgebersystem des Gesetzes 2/2023 und das des Art. 31 bis.5.4 CP sind kompatibel und können dasselbe Instrument sein, sofern es die Anforderungen beider Normen erfüllt. In der Praxis müssen Unternehmen, die bereits einen Kanal aus Gründen des Strafrecht-Compliance hatten, überprüfen, ob ihr Design die zusätzlichen Anforderungen des Gesetzes 2/2023 erfüllt — insbesondere die Möglichkeit anonymer Meldungen und das Verbot von Repressalien mit Beweislastumkehr.

Beratung zu unserem Hinweisgebersystem-Service und zum Strafrecht-Compliance-Programm.

Technische Anforderungen an das Hinweisgebersystem

Das Gesetz 2/2023 und die dahinterstehende EU-Richtlinie (2019/1937) stellen konkrete technische Anforderungen an das Hinweisgebersystem:

Kanaldesign und Zugänglichkeit

Mehrere Eingangskanäle: Das System muss mindestens einen schriftlichen und einen mündlichen Meldekanal bieten. Häufig umgesetzt als: Online-Formular (webbasiert), Telefon-Hotline (mit Anrufaufzeichnung oder Protokollierung), physischer Briefkasten (für anonyme Meldungen).

Anonymität gewährleisten: Hinweisgeber müssen die Möglichkeit haben, anonym zu melden. Das System darf keine IP-Adressen oder Metadaten speichern, die zur Identifizierung führen könnten.

Barrierefreiheit: Der Online-Kanal muss für Menschen mit Behinderungen zugänglich sein (WCAG 2.1 Mindestanforderungen).

Mehrsprachigkeit: Bei internationalen Unternehmen müssen alle relevanten Sprachen unterstützt werden.

Datenschutz und Vertraulichkeit

Die Implementierung eines Hinweisgebersystems berührt erheblich das Datenschutzrecht:

DSGVO-Konformität: Meldungen enthalten oft personenbezogene Daten (des Hinweisgebers, der beschuldigten Person, von Zeugen). Ein Datenschutz-Impact-Assessment (DPIA) ist in der Regel erforderlich.

Datenspeicherung und -löschung: Meldungen müssen so lange aufbewahrt werden, wie zur Bearbeitung notwendig (mindestens drei Monate nach Abschluss). Daten von nicht bestätigten Verdächtigungen sind nach einem Jahr zu löschen.

Zugriffsrechte: Nur autorisierte Personen dürfen auf Meldungen und Ermittlungsergebnisse zugreifen. Zugriffsprotokolle müssen geführt werden.

Einbindung des Betriebsrats: In Spanien empfiehlt es sich, den Betriebsrat oder die Personalvertretung in den Implementierungsprozess einzubeziehen, auch wenn dies nicht ausdrücklich gesetzlich vorgeschrieben ist.

Interne Ermittlungsverfahren

Nach Eingang einer Meldung beginnt ein strukturierter Ermittlungsprozess:

Eingangsbestätigung (innerhalb 7 Tagen)
Vorprüfung der Meldung auf Plausibilität und Zuständigkeit
Ermittlung durch die beauftragte Person (intern oder extern)
Schlussfolgerung und Maßnahmen
Rückmeldung an den Hinweisgeber (innerhalb 3 Monaten)

Alle Schritte müssen dokumentiert werden. Das Ermittlungsverfahren muss fair, unparteiisch und unabhängig von der Hierarchie sein.

Auswahl einer externen Plattform

Für die meisten KMU ist eine externe Softwarelösung die praktischste Option. Marktführer im spanischen Markt sind u.a.:

EQS Integrity Line — umfassende Enterprise-Lösung
WhistleB — spezialisiert auf datenschutzkonforme Hinweisgebersysteme
Hintbox — kostengünstige KMU-Lösung mit spanischem Support
NAVEX — internationaler Anbieter für Compliance-Plattformen

Wichtige Auswahlkriterien: DSGVO-Konformität, anonyme Kommunikation, spanischer Support, Integrationsfähigkeit mit HR-Systemen.

BMC begleitet die vollständige Implementierung des Hinweisgebersystems für Unternehmen in Spanien — von der Plattformauswahl bis zur Schulung der Mitarbeiter. Jetzt beraten lassen.

Ausnahmen und Sonderregelungen

Kleinere Unternehmen (10–49 Mitarbeiter) in bestimmten Sektoren (Finanzdienstleistungen, öffentliche Aufträge) müssen das System auch bei weniger als 50 Mitarbeitern implementieren. Unternehmen, die Teil einer Unternehmensgruppe sind, können ein gemeinsames Konzern-Hinweisgebersystem nutzen, sofern ein lokaler Ansprechpartner für Spanien benannt wird. Wichtig: Auch wenn ein Konzern-System genutzt wird, muss die lokale spanische Gesellschaft die gesetzlichen Anforderungen eigenständig nachweisen können.

BMC verfügt über spezialisierte Expertise im Aufbau rechtskonformer Hinweisgebersysteme für Unternehmen aller Größen in Spanien. Kontaktieren Sie uns.

Ein professionell implementiertes Hinweisgebersystem ist mehr als eine Compliance-Pflicht — es ist ein Instrument zur Verbesserung der Unternehmenskultur und zur frühzeitigen Erkennung von Fehlentwicklungen. Unternehmen, die eine echte Speak-up-Kultur fördern, erkennen Probleme früher und können sie intern lösen, bevor externe Behörden involviert werden. Die Investition in ein gutes System zahlt sich nachweislich aus. BMC bietet eine schlüsselfertige Implementierung des Hinweisgebersystems in Spanien an — sprechen Sie uns an. Unternehmen, die frühzeitig handeln, profitieren von gut entwickelten Systemen und einer gereiften Speak-up-Kultur, bevor Inspektionen einsetzen. Kontaktieren Sie BMC für ein kostenloses Erstgespräch zur Implementierung Ihres Hinweisgebersystems in Spanien gemäß Gesetz 2/2023 und EU-Richtlinie 2019/1937. Jedes Unternehmen mit 50 oder mehr Beschäftigten in Spanien ist seit dem 1. Dezember 2023 zur Implementierung eines internen Hinweisgeberkanals gesetzlich verpflichtet.

hinweisgebersystem compliance gesetz-2-2023 whistleblowing

← Zurück zu Publikationen