Spaniens Gesetz 2/2023 vom 20. Februar zur Regulierung des Schutzes von Personen, die Gesetzesverstöße melden und zur Bekämpfung von Korruption, setzte die Richtlinie (EU) 2019/1937 — die Hinweisgeberrichtlinie — in spanisches Recht um. Seit März 2023 in Kraft, legt es spezifische und durchsetzbare Verpflichtungen für Privatunternehmen mit fünfzig oder mehr Mitarbeitern fest.
Anwendungsbereich: Wer ist verpflichtet?
Der primäre Schwellenwert sind fünfzig Mitarbeiter. Die Berechnung umfasst alle unbefristeten, befristeten und Teilzeitbeschäftigten, wobei Teilzeitbeschäftigte entsprechend ihrer tatsächlichen Arbeitszeiten gewichtet werden.
Bestimmte Einrichtungen sind unabhängig von der Mitarbeiterzahl verpflichtet: Finanzsektor-Einrichtungen, Geldwäschebekämpfungs-Verpflichtete, öffentliche Auftragnehmer sowie politische Parteien und Gewerkschaften mit öffentlicher Finanzierung.
Das Interne Informationssystem (SII): Designanforderungen
Mehrkanal-Zugang: Melder müssen Meldungen schriftlich (physisch oder elektronisch) und mündlich einreichen können, einschließlich einer persönlichen Gesprächsoption.
Robuste Vertraulichkeit: Die Identität des Melders und alle Informationen, die sie mittelbar enthüllen könnten, dürfen nur dem Kanalmanager zugänglich sein.
Funktionale Unabhängigkeit: Der SII-Manager muss vollständige Autonomie bei der Bearbeitung von Meldungen ohne Einmischung der Unternehmensleitung haben.
Strenge Fristen: Eingangsbestätigung innerhalb von sieben Werktagen; Mitteilung an den Melder über geplante oder ergriffene Maßnahmen innerhalb von maximal drei Monaten.
Interner vs. externer Kanal: Das Doppelspurensystem
Das Gesetz schafft ein Doppelspurensystem. Der interne Kanal ist der bevorzugte Weg, aber Melder können direkt zum externen AAPI-Kanal gehen, ohne den internen Kanal zuerst genutzt zu haben.
Sanktionen: Bis zu 1 Million Euro
| Verstoßstufe | Beispiele | Bußgeld für juristische Personen |
|---|---|---|
| Sehr schwer | Vergeltung, Behinderung von Meldungen, Vertraulichkeitsverletzung | 300.001 – 1.000.000 € |
| Schwer | Fehlendes SII, Fristversäumnisse, keine Unabhängigkeit | 100.001 – 300.000 € |
| Geringfügig | Verfahrensunregelmäßigkeiten | Bis 100.000 € oder Tadel |
Schutz vor Vergeltungsmaßnahmen: Umkehr der Beweislast
Der innovativste Schutzmechanismus des Gesetzes ist die Vermutung des Zusammenhangs: Wenn nach einer Meldung eine nachteilige Maßnahme ergriffen wird, vermutet das Gesetz einen Zusammenhang. Verbotene Vergeltungsmaßnahmen umfassen Entlassung, beruflichen Abstieg, Schichtänderungen, Kündigung, Einschüchterung, Belästigung, Ausschluss von Beförderung oder Schulung und negative Referenzen.
Ausgelagerte Kanäle: Vorteile und Anforderungen
Die Auslagerung an einen spezialisierten Dritten ist ein gültiger und zunehmend gewählter Ansatz, insbesondere für KMU. Wesentliche Vorteile: wahrnehmbare Unabhängigkeit von der Unternehmensleitung, technische Verfügbarkeit rund um die Uhr und Management durch professionell geschulte Spezialisten.
Integration in das strafrechtliche Compliance-Programm
Der Hinweisgeberkanal ist ein notwendiges — aber nicht ausreichendes — Element eines effektiven strafrechtlichen Compliance-Programms, das sich für die Befreiung oder Minderung der strafrechtlichen Unternehmenshaftung nach Art. 31 bis des Strafgesetzbuches qualifiziert.
Implementierungsfahrplan
Korrekte SII-Implementierung folgt diesen Phasen: (1) aktuelle Compliance-Diagnose; (2) Design des Kanals; (3) Benennung und Schulung des Systemmanagers; (4) Genehmigung der internen Richtlinie auf Vorstandsebene; (5) Kommunikation an alle Mitarbeiter; (6) Protokollierung empfangener Meldungen; und (7) jährliche Prüfung des Systembetriebs.
Anforderungen an den Hinweisgeberkanal nach spanischem Recht
Das spanische Gesetz 2/2023 über den Schutz von Hinweisgebern setzt die EU-Richtlinie 2019/1937 um und verpflichtet Unternehmen ab 50 Mitarbeitern zur Einrichtung eines internen Hinweisgeberkanals.
Gesetzliche Pflichtinhalte des Kanals
Vertraulichkeit der Identität: Die Identität des Hinweisgebers darf nicht ohne dessen ausdrückliche Zustimmung an Dritte weitergegeben werden. Verstöße gegen diese Pflicht sind Ordnungswidrigkeiten und können zu Schadensersatzansprüchen führen.
Anonyme Meldungen: Der Kanal muss anonyme Meldungen ermöglichen, auch wenn das Unternehmen keine Pflicht hat, anonyme Meldungen zu bearbeiten. In der Praxis empfiehlt sich die Bearbeitung, da anonyme Meldungen oft wertvolle Informationen liefern.
Reaktionsfristen: Das Unternehmen muss innerhalb von 7 Tagen den Eingang der Meldung bestätigen und innerhalb von 3 Monaten über ergriffene Maßnahmen informieren.
Schutz vor Repressalien: Hinweisgeber dürfen nicht entlassen, versetzt, herabgestuft oder anders nachteilig behandelt werden. Beweislastumkehr gilt: Der Arbeitgeber muss beweisen, dass eine nachteilige Maßnahme nicht im Zusammenhang mit der Meldung steht.
Verantwortliche Person und Berichtslinie
Das Gesetz schreibt eine verantwortliche Person (Responsable del Sistema Interno de Información) vor:
- Muss über ausreichende Unabhängigkeit und Kompetenzen verfügen
- Kann intern (z.B. Compliance Officer, Datenschutzbeauftragter) oder extern sein
- Muss vertraulich und unparteiisch handeln
- Berichtet direkt an das höchste Leitungsorgan (Verwaltungsrat oder Geschäftsführung)
Schulung und Kommunikation
Die bloße technische Implementierung reicht nicht aus. Mitarbeiter müssen über die Existenz des Kanals informiert werden und wissen, wie er zu nutzen ist:
- Einführung des Kanals in alle neuen Mitarbeiter-Onboarding-Programme
- Regelmäßige Erinnerungen und Schulungen (mindestens jährlich)
- Klare Kommunikation, welche Arten von Verstößen gemeldet werden sollen
- Betonung des Schutzes vor Repressalien, um Vertrauen aufzubauen
Sanktionen bei Nichteinhaltung
Die Aufsichtsbehörde (Autoridad Independiente de Protección del Informante — A.A.I.) kann folgende Sanktionen verhängen:
| Verstoß | Sanktionskategorie | Bußgeld |
|---|---|---|
| Fehlender interner Kanal | Schwerwiegend | 100.000–300.000 € |
| Verletzung der Vertraulichkeit | Sehr schwerwiegend | 300.000–1.000.000 € |
| Repressalien gegen Hinweisgeber | Sehr schwerwiegend | 300.000–1.000.000 € |
| Blockierung oder Behinderung von Meldungen | Schwerwiegend | 100.000–300.000 € |
Externe Hinweisgeberstellen
Neben dem internen Kanal müssen Hinweisgeber auch die Möglichkeit haben, sich an externe Stellen zu wenden:
- A.A.I. (Autoridad Independiente de Protección del Informante): Zentrale nationale Anlaufstelle
- Sektoraufsichtsbehörden: CNMV (Wertpapiere), Banco de España (Banken), AEAT (Steuern)
- Strafverfolgungsbehörden: Bei strafrechtlich relevantem Verhalten
BMC implementiert schlüsselfertige Hinweisgebersysteme für Unternehmen in Spanien, einschließlich Plattformauswahl, DSGVO-Compliance und Mitarbeiterschulung. Jetzt beraten lassen.
Verfahren nach Eingang einer Meldung
Nach der technischen Implementierung ist der interne Prozess zur Bearbeitung von Meldungen entscheidend für den Erfolg des Systems:
Vorprüfung (Plausibilitätsprüfung): Nicht jede Meldung löst eine vollständige Untersuchung aus. Die verantwortliche Person prüft zunächst, ob die Meldung ausreichend konkret, plausibel und im Zuständigkeitsbereich des internen Kanals liegt.
Ermittlungsphase: Bei plausiblen Meldungen werden Beweise gesammelt, Zeugen befragt und relevante Dokumente gesichert. Dabei müssen die Verteidigungsrechte der beschuldigten Person gewahrt werden.
Berichterstattung und Maßnahmen: Das Ermittlungsergebnis wird dokumentiert und dem höchsten Leitungsorgan vorgelegt. Konkrete Maßnahmen (Disziplinarmaßnahmen, Erstattung der Unternehmensschäden, Strafanzeige) werden beschlossen.
Rückmeldung an den Hinweisgeber: Der Hinweisgeber wird innerhalb der gesetzlichen Fristen über das Ergebnis informiert. Bei anonymen Meldungen über eine sichere Rückkanal-Funktion.
Ein gut funktionierendes Hinweisgebersystem schützt das Unternehmen vor internen Verstößen und Missmanagement und signalisiert nach außen eine starke Compliance-Kultur. BMC implementiert und betreibt schlüsselfertige Hinweisgebersysteme für Unternehmen in Spanien.
Checkliste: Ist Ihr Hinweisgebersystem rechtskonform?
Verwenden Sie diese Checkliste, um zu prüfen, ob Ihr System alle gesetzlichen Anforderungen erfüllt:
- Interner Kanal vorhanden (webbasiert, Telefon oder physisch)
- Anonyme Meldungen möglich
- Eingangsbestätigung innerhalb 7 Tagen
- Rückmeldung an Hinweisgeber innerhalb 3 Monaten
- Verantwortliche Person benannt und unabhängig
- Datenschutz-Folgenabschätzung durchgeführt
- Mitarbeiter informiert und geschult
- Protokoll zur Prävention von Repressalien vorhanden
- Ermittlungsverfahren dokumentiert
- Im REGCON (sofern anwendbar) registriert
Falls Sie einen oder mehrere Punkte nicht abhaken können, besteht Handlungsbedarf. BMC hilft Ihnen, Ihr Hinweisgebersystem schnell und rechtssicher in Ordnung zu bringen.
Das Hinweisgebersystem ist ein integraler Bestandteil eines modernen Compliance-Management-Systems. Unternehmen, die das System als strategisches Tool und nicht nur als gesetzliche Pflicht verstehen, profitieren von frühzeitiger Erkennung von Risiken, stärkerem Vertrauen ihrer Mitarbeiter und einer insgesamt gesünderen Unternehmenskultur. Kontaktieren Sie BMC für eine vollständige Implementierung oder ein Audit Ihres bestehenden Systems. Die Implementierungsfristen sind abgelaufen — handeln Sie jetzt, bevor die Aufsichtsbehörde tätig wird. Ein rechtssicheres und gut kommuniziertes Hinweisgebersystem stärkt das Vertrauen aller Stakeholder und schützt das Unternehmen nachhaltig vor internen Komplikationen und externen Sanktionen. Jetzt handeln und Ihr Unternehmen absichern. Kontaktieren Sie BMC. Wir sind für Sie da.
