Ein Jahr nach dem Inkrafttreten des Gesetzes 2/2023 vom 20. Februar über den Schutz von Personen, die Verstöße gegen Vorschriften melden und Korruption bekämpfen — das die Richtlinie (EU) 2019/1937 des Europäischen Parlaments und des Rates umsetzt — zeigt die Umsetzungslandschaft in Spanien uneinheitliche Fortschritte. Viele große Unternehmen haben ihren Kanal in Betrieb genommen, aber die effektive Umsetzung im Segment von 50 bis 249 Mitarbeitern — dem zahlreichsten — weist unzureichende Compliance-Raten auf, mit wachsendem Sanktionsrisiko, da die Unabhängige Behörde für den Schutz von Hinweisgebern (A-IPI) ihre Aufsichtskapazitäten festigt.
Regulatorischer Rahmen: Gesetz 2/2023 und die Hinweisgeberrichtlinie
Die Richtlinie (EU) 2019/1937 vom 23. Oktober 2019 legte einen europäischen Mindeststandard für den Schutz von Personen fest, die Verstöße gegen EU-Recht melden. Spanien hat die Richtlinie verspätet — die Frist lief am 17. Dezember 2021 ab — durch Gesetz 2/2023 umgesetzt, das am 21. Februar 2023 im Amtsblatt veröffentlicht wurde. Das spanische Gesetz geht in mehreren Punkten über das Mindestmaß der Richtlinie hinaus: Es erstreckt den Schutz auf Hinweisgeber, die Verstöße gegen nationales Recht melden (nicht nur EU-Recht), und schafft eine spezifische unabhängige Verwaltungsbehörde (die A-IPI) für die Aufsicht und Unterstützung von Hinweisgebern.
Der persönliche Anwendungsbereich der Pflicht zur Einrichtung eines internen Kanals umfasst privatrechtliche Unternehmen mit 50 oder mehr Mitarbeitern, politische Parteien, Gewerkschaften und Arbeitgeberverbände, die öffentliche Mittel erhalten, sowie privatrechtliche Stiftungen. Gemeinden mit weniger als 10.000 Einwohnern können einen gemeinsamen Kanal mit dem Provinzrat einrichten.
Anforderungen an den Internen Kanal: Was Gesetz 2/2023 Verlangt
Artikel 5 des Gesetzes 2/2023 legt die Mindestanforderungen für den internen Informationskanal fest:
Zugänglichkeit und Kommunikationskanäle. Der Kanal muss die Übermittlung von Informationen sowohl schriftlich als auch mündlich ermöglichen; im letzteren Fall kann der Hinweisgeber ein persönliches Gespräch mit dem Systemverwalter beantragen. Der Kanal kann intern verwaltet werden (durch den Compliance-Beauftragten, die interne Revisionsfunktion oder ein Ad-hoc-Gremium) oder an einen vertrauenswürdigen Dritten ausgelagert werden, sofern die Vertraulichkeit des Hinweisgebers gewährleistet ist.
Vertraulichkeit und Identität des Hinweisgebers. Die Identität des Hinweisgebers ist streng vertraulich. Daten, die den Hinweisgeber identifizieren könnten, dürfen nur auf Anfrage an die Justizbehörde oder den Staatsanwalt weitergegeben werden. Anonyme Meldungen müssen angenommen und bearbeitet werden (obwohl das Gesetz dies nicht ausdrücklich verlangt, hat die A-IPI darauf hingewiesen, dass das Nichtbearbeiten anonymer Meldungen auf ein mangelhaftes Meldesystem hindeuten kann).
Eingangsbestätigung und Nachverfolgung. Der Systemverwalter muss innerhalb von sieben Werktagen nach Eingang der Information eine Eingangsbestätigung senden. Innerhalb von drei Monaten nach der Eingangsbestätigung muss der Systemverwalter den Hinweisgeber über die geplanten oder ergriffenen Maßnahmen zur Nachverfolgung der Information informieren.
Systemverwalter. Das Gesetz verlangt die Benennung einer natürlichen Person oder Einheit als Verwalter des internen Informationssystems. Diese Person muss mit funktionaler Unabhängigkeit handeln, Zugang zu allen für die Bearbeitung der Meldung erforderlichen Informationen haben und darf für die Ausübung ihrer Aufgaben weder sanktioniert noch benachteiligt werden.
Schutz der Hinweisgeber. Hinweisgeber, die die Anforderungen von Treu und Glauben und Angemessenheit erfüllen, dürfen keinerlei Repressalien erleiden: Kündigung, Degradierung, Änderung der Arbeitsbedingungen, Belästigung, Ausschluss von Beförderungen oder andere nachteilige Maßnahmen. Das Gesetz begründet eine Vergeltungsvermutung zugunsten des Hinweisgebers: Wenn der Hinweisgeber innerhalb des Jahres nach der Meldungseinreichung eine nachteilige Maßnahme erleidet, wird diese als Vergeltungsmaßnahme vermutet, sofern der Arbeitgeber nicht das Gegenteil beweist.
Das Sanktionsregime: die A-IPI
Die Unabhängige Behörde für den Schutz von Hinweisgebern (A-IPI), vorgesehen in Artikel 25 des Gesetzes 2/2023, ist das Gremium, das für die Überwachung der Einhaltung des Gesetzes, die Unterstützung von Hinweisgebern und die Durchführung von Sanktionsverfahren zuständig ist. Ihre Organisation und ihr Betrieb werden durch das Königliche Dekret 1101/2023 geregelt.
Das Sanktionsregime des Gesetzes 2/2023 (Artikel 61 bis 70) unterscheidet zwischen sehr schwerwiegenden, schwerwiegenden und geringfügigen Verstößen:
Sehr schwerwiegende Verstöße: Verletzung der Vertraulichkeit des Hinweisgebers, Vergeltungsmaßnahmen, Behinderung der Untersuchung oder Offenbarung der Identität des Hinweisgebers. Bußgeld von 601.001 € bis 1.000.000 € für juristische Personen (300.001 € bis 600.000 € für natürliche Personen).
Schwerwiegende Verstöße: Fehlen eines obligatorischen Informationskanals, unzureichende Verwaltung des Kanals, Nichtbearbeitung eingegangener Informationen oder Nichtdurchführung von Folgemaßnahmen. Bußgeld von 100.001 € bis 600.000 € für juristische Personen (50.001 € bis 300.000 € für natürliche Personen).
Geringfügige Verstöße: Formale Verfahrensverstöße. Bußgeld bis zu 100.000 € für juristische Personen (bis zu 50.000 € für natürliche Personen).
Jahresbilanz: Wiederkehrende Umsetzungsfehler
Die Analyse der im ersten Jahr umgesetzten Hinweisgebersysteme zeigt eine Reihe wiederkehrender Fehler, die sowohl die Wirksamkeit des Kanals als auch seine Solidität im Falle eines Sanktionsverfahrens beeinträchtigen:
Kanal ohne automatische Eingangsbestätigung. Die Anforderung, innerhalb von sieben Werktagen eine Eingangsbestätigung zu senden, ist eine der am häufigsten verletzten. Systeme, die die Bestätigung nicht automatisch erzeugen, lassen den Hinweisgeber ohne Bestätigung und setzen das Unternehmen Sanktionen wegen Verfahrensmängeln aus.
Systemverwalter ohne echte Unabhängigkeit. Die Benennung des HR-Direktors oder des Rechtsleiters als Kanalverwalter schafft einen offensichtlichen Interessenkonflikt, wenn die Meldung die Geschäftsführung betrifft. Die Unabhängigkeit des Verwalters muss funktional und sichtbar real sein, nicht nur formell.
Kanal beschränkt auf EU-Rechtsverstöße. Einige Systeme wurden ausschließlich für die EU-Rechtsverstöße konzipiert, die von der Richtlinie erfasst werden, und ignorieren, dass Gesetz 2/2023 den Schutz auf Verstöße gegen spanisches Recht in Bereichen wie öffentliches Auftragswesen, Geldwäscheprävention, Arbeitssicherheit, Umweltschutz und Datenschutz ausdehnt.
Fehlen einer Informationsverwaltungsrichtlinie. Das Gesetz schreibt formal keine dokumentierte Richtlinie vor, aber die A-IPI betrachtet sie als wesentliches Element des Systems. Ohne eine vom Leitungsorgan genehmigte Richtlinie ist es in einem Sanktionsverfahren schwierig nachzuweisen, dass der Kanal den geforderten Standards entspricht.
Mangelnde Mitarbeiterschulung. Das Gesetz verlangt, dass Mitarbeiter über die Existenz und den Betrieb des Kanals informiert werden. Eine bloße Veröffentlichung im Intranet ist nicht ausreichend; es ist eine dokumentierte Schulung über den Kanal, die Rechte der Hinweisgeber und das Vergeltungsverbot erforderlich. Im ersten Jahr konnten viele Unternehmen zwar nachweisen, dass sie einen Kanal hatten, aber nicht, dass ihre Mitarbeiter davon wussten oder ihre Rechte darunter verstanden.
Sektorspezifische Überlegungen
Finanzsektor und regulierte Unternehmen: Unternehmen, die von der Banco de España, CNMV oder DGSFP beaufsichtigt werden, haben bereits bestehende Compliance-Pflichten nach sektorspezifischen Vorschriften (MiFID II, GwG/CFT, Solvency II). Gesetz 2/2023 ersetzt diese sektorspezifischen Pflichten nicht, fügt aber eine zusätzliche Ebene hinzu. Regulierte Unternehmen sollten sicherstellen, dass ihr Hinweisgeberkanal sowohl die sektorspezifischen Pflichten als auch den breiteren Anwendungsbereich von Gesetz 2/2023 abdeckt.
Börsennotierte Unternehmen: An spanischen Börsen notierte Unternehmen unterliegen den zusätzlichen Anforderungen des Wertpapiermarktgesetzes (Ley del Mercado de Valores, LMV) bezüglich der Kommunikation von Unregelmäßigkeiten. Die A-IPI und die CNMV haben begonnen, ihre Aufsichtsaktivitäten zu koordinieren, um regulatorische Lücken zu vermeiden.
Multinationale Gruppen: Muttergesellschaften außerhalb Spaniens können der Hinweisgeberrichtlinie unterliegen, wie sie in ihrem Sitzland umgesetzt wurde. In Gruppen mit mehreren EU-Jurisdiktionen ist ein gemeinsamer interner Kanal möglich, sofern er die Mindestanforderungen der Umsetzungsgesetzgebung jedes Mitgliedstaats erfüllt. Angesichts der Unterschiede bei nationalen Umsetzungen (insbesondere bei Anwendungsbereich und Umgang mit anonymen Meldungen) wird eine rechtliche Überprüfung des gemeinsamen Kanals für jede anwendbare Jurisdiktion dringend empfohlen.
Bei BMC berät unser Rechtsteam Unternehmen bei der Einrichtung von Hinweisgebersystemen, Jahresaudits und der Verteidigung in A-IPI-Verfahren. Sehen Sie sich unsere Compliance-Dienstleistungen für Hinweisgebersysteme an.
