Das Inkrafttreten des Gesetzes 2/2023 verpflichtete Tausende von spanischen Unternehmen, innerhalb eines sehr engen Zeitrahmens interne Meldekanäle einzurichten. Eine korrekte Implementierung ist nicht nur eine Compliance-Angelegenheit: Ein gut gestalteter Kanal kann ein wertvolles Governance-Instrument zur Erkennung von Unregelmäßigkeiten sein, bevor sie größeren Schaden anrichten.
Schritt 1: Geltungsbereichsbewertung
Der erste Schritt besteht darin, festzustellen, ob das Unternehmen vom Gesetz erfasst wird. Unternehmen mit 50 oder mehr Mitarbeitern — sowohl Vollzeit- als auch Teilzeitbeschäftigte zählend — unterliegen der Verpflichtung.
Über das Mitarbeiterschwellenwert-Kriterium hinaus verlangt Gesetz 2/2023 den Kanal unabhängig von der Belegschaftsgröße für: Finanzsektor-Einrichtungen (Banken, Versicherungen, Fondsmanager), politische Parteien mit öffentlicher Finanzierung, Gewerkschaften und Arbeitgeberverbände mit öffentlicher Finanzierung sowie öffentliche Stiftungen.
Der materielle Anwendungsbereich des Kanals ist auch breiter als viele Unternehmen annehmen: Er beschränkt sich nicht auf Straftaten, sondern deckt auch Verstöße gegen EU-Recht in Bereichen wie Wettbewerb, Steuern, Umweltschutz, Produktsicherheit, Datenschutz, Geldwäsche und Lebensmittelsicherheit ab.
Schritt 2: Kanalgestaltung
Der Kanal kann intern (vom Unternehmen selbst verwaltet) oder extern (an einen spezialisierten Anbieter ausgelagert) sein. Das Gesetz erlaubt Unternehmen mit 50 bis 249 Mitarbeitern, den Kanal mit Gruppenunternehmen zu teilen oder zertifizierte externe Anbieter zu nutzen.
Der Kanal muss schriftliche, mündliche und, wenn der Informant es wünscht, persönliche Mitteilungen akzeptieren. Er muss Vertraulichkeit und Anonymität garantieren, wenn der Informant dies verlangt.
Technische Anforderungen für digitale Systeme: End-to-End-Verschlüsselung, sichere Speicherung von Informantendaten, Trennung des Zugangs zwischen Kanalmanager und Unternehmensleitung, sowie die Möglichkeit der anonymen bidirektionalen Kommunikation mit dem Informanten.
Umgang mit anonymen Meldungen: Das Gesetz verlangt, dass anonyme Mitteilungen bearbeitet werden, schreibt aber keine obligatorische Untersuchungspflicht vor.
Schritt 3: Interne Richtlinie und Schulung
Es ist unerlässlich, eine Meldungsmanagement-Richtlinie zu genehmigen, die Zeitpläne, den Untersuchungsprozess, den Informantenschutz und das Regime verbotener Vergeltungsmaßnahmen regelt.
Einzuhaltende gesetzliche Fristen: Der Kanalmanager muss den Eingang der Mitteilung innerhalb von maximal sieben Werktagen bestätigen. Innerhalb von drei Monaten nach dieser Bestätigung muss dem Informanten mitgeteilt werden, welche Maßnahmen geplant oder getroffen wurden.
Schutz des Informanten: Das Gesetz verbietet ausdrücklich Vergeltungsmaßnahmen gegen jeden, der in gutem Glauben Meldung macht. Verbotene Vergeltungsmaßnahmen umfassen nicht nur Entlassung oder Disziplinarmaßnahmen, sondern auch jede nachteilige Maßnahme wie Änderungen der Arbeitsbedingungen, negative Leistungsbeurteilungen oder psychologischen Druck.
Schritt 4: Regelmäßige Überprüfung und Prüfung
Der Kanal sollte mindestens einmal jährlich überprüft werden, um seinen effektiven Betrieb sicherzustellen. Eine regelmäßige Prüfung sollte bewerten: Anzahl der eingegangenen Mitteilungen, durchschnittliche Bearbeitungszeit, Prozentsatz der mit einer formellen Untersuchung abgeschlossenen Mitteilungen.
Überprüfung der Richtlinie: Die Richtlinie sollte aktualisiert werden, wenn sich Unternehmenstätigkeiten oder Gruppenstruktur ändern oder wenn relevante regulatorische Änderungen eintreten.
Das Hinweisgebersystem als Teil des Compliance-Programms
In Unternehmen mit einem umfassenden Compliance-Programm ist der Hinweisgeberkanal ein Bestandteil eines umfassenderen Systems, das den Ethikkodex, die Risikokarte, interne Kontrollverfahren und die Verantwortungsmatrix umfasst. Ein gut gestalteter Kanal stärkt eine Integritätskultur und wird von Strafgerichten als Beleg für die Sorgfalt der juristischen Person bei der Vorbeugung von Straftaten berücksichtigt.
Bei BMC helfen wir Mandanten beim Design, der Implementierung und Prüfung ihrer Hinweisgebersysteme. Sehen Sie unsere Compliance-Dienstleistungen.
