Hinweisgebersystem: Compliance mit Gesetz 2/2023 einfach gemacht

Der spanische Hinweisgeberrahmen wird durch Gesetz 2/2023 vom 20. Februar zum Schutz von Personen, die Regulierungsverstöße melden, und zur Bekämpfung von Korruption geschaffen, mit dem die EU-Richtlinie 2019/1937 zum Schutz von Hinweisgebern umgesetzt wurde. Gesetz 2/2023 verpflichtet private Unternehmen mit 50 oder mehr Mitarbeitern, öffentliche Stellen und alle Unternehmen, die im Finanzdienstleistungsbereich tätig sind, unabhängig von ihrer Größe, ein Internes Informationssystem (Sistema Interno de Información, SII) mit spezifischen Anforderungen einzurichten: ein vertraulicher und optional anonymer Meldekanal, eine benannte verantwortliche Person (Responsable del Sistema), Bestätigung innerhalb von 7 Tagen, eine inhaltliche Antwort innerhalb von 3 Monaten, Antiretaliationsschutz für Melder sowie Koordination mit den DSGVO-Pflichten für über den Kanal verarbeitete personenbezogene Daten. Nicht konforme Organisationen riskieren Sanktionen von bis zu 1 Million EUR für schwerwiegende Verstöße.

Unser Team verbindet Fachwissen in regulatorischer Compliance, Arbeitsrecht und Datenschutz, um Hinweisgebersysteme zu implementieren, die in der Praxis funktionieren – nicht nur auf dem Papier.

Diese Dienstleistung ist Teil unserer Rechtsberatungspraxis.

Die Lücke zwischen einem Kanal und Compliance

Gesetz 2/2023, das die EU-Richtlinie 2019/1937 in spanisches Recht umsetzt, schafft einen umfassenden Rahmen für den Hinweisgeberschutz, der weit über die Einrichtung eines Kontaktformulars hinausgeht. Das Gesetz erfordert ein strukturiertes Internes Informationssystem mit einer formal benannten verantwortlichen Person, gesetzlichen Bearbeitungsfristen, echten Vertraulichkeitsgarantien und effektivem Schutz gegen Vergeltungsmaßnahmen. Organisationen, die einen generischen Posteingang oder ein Drittanbieter-Hinweisgebertool installiert haben, ohne das System darum herum zu strukturieren, sind technisch nicht konform – und potenziell Sanktionen von bis zu 1 Million EUR ausgesetzt.

Ein System gestalten, das unter Druck funktioniert

Der erste Schritt bei jeder Implementierung ist das Systemdesign. Ein Fertigungsunternehmen mit 60 Mitarbeitern und eine Finanzdienstleistungsgruppe mit 5.000 Mitarbeitern benötigen grundlegend unterschiedliche Architekturen. Wir analysieren die Organisationsstruktur, das Risikoprofil und die Unternehmenskultur, um zu empfehlen, ob der Kanal intern durch die benannte verantwortliche Person verwaltet oder an einen unabhängigen Dritten ausgelagert werden sollte. Die Auslagerung verleiht potenziellen Hinweisgebern in der Regel mehr wahrgenommene Glaubwürdigkeit – ein entscheidender Faktor dafür, ob Mitarbeiter das System tatsächlich nutzen – und beseitigt Interessenkonflikte, die entstehen, wenn der Kanal intern verwaltet wird.

Integration mit Straf-Compliance

Die Beziehung zwischen einem Hinweisgeberkanal und einem Straf-Compliance-Programm ist direkt und rechtlich bedeutsam. Spanische Gerichte haben bestätigt, dass ein funktionsfähiges internes Meldesystem eines der Elemente ist, das sie bei der Beurteilung prüfen, ob das Compliance-Programm einer juristischen Person entlastende Wirkung auf die strafrechtliche Haftung haben sollte. Ein Kanal, der auf dem Papier existiert, aber keine Untersuchungen und keine Korrekturmaßnahmen auslöst, wird diesem Standard nicht gerecht. Wir gestalten das Untersuchungsprotokoll so, dass es die dokumentierten Beweismittel liefert, die Compliance-Programme erfordern.

DSGVO-Aspekte spezifisch für Hinweisgebende

Die Verarbeitung personenbezogener Daten in Hinweisgebersystemen stellt spezifische Herausforderungen dar, die eine enge Koordination mit dem Datenschutzbeauftragten erfordern. Die AEPD hat spezifische Leitlinien zu Folgenabschätzungen für diese Systeme, Aufbewahrungsfristen für Daten sowohl von Hinweisgebern als auch von gemeldeten Personen sowie die Grenzen des Informationsrechts der gemeldeten Person herausgegeben, wenn dieses die Untersuchung gefährden könnte. Wir integrieren all diese Anforderungen von Anfang an und vermeiden die nachträgliche DSGVO-Sanierung, mit der viele Organisationen konfrontiert sind, nachdem sie ihre Kanäle ohne angemessene Datenschutzplanung eingeführt haben.

Das interne Untersuchungsprotokoll

Das interne Untersuchungsprotokoll ist das Element, das die meisten Organisationen unterschätzen, wenn sie ein Hinweisgebersystem implementieren. Es genügt nicht, Meldungen zu empfangen und zu bestätigen: Das Gesetz verlangt eine inhaltliche Bearbeitung innerhalb von drei Monaten und den Schutz des Hinweisgebers vor Vergeltungsmaßnahmen während des gesamten Prozesses.

Ein robustes Untersuchungsprotokoll definiert: wer die Untersuchung leitet (der Responsable del Sistema oder ein unabhängiger Externer bei Vorwürfen gegen hochrangige Führungskräfte), wie Beweise gesichert und dokumentiert werden, welche Informationsrechte die beschuldigte Person hat und wann diese Rechte ausgeübt werden können, ohne die Untersuchung zu gefährden, und welche Konsequenzen ein bestätigter Verstoß hat — von internen Disziplinarmaßnahmen bis zur Benachrichtigung von Strafverfolgungsbehörden.

Fälle, in denen der Vorwurf Mitglieder des Leitungsorgans selbst betrifft, erfordern besondere Vorsicht: Der reguläre Kanal ist per definitionem nicht geeignet, und ein externer Kanal mit Berichtslinie direkt an den Aufsichtsrat oder einen unabhängigen Ausschuss ist erforderlich.

Arbeitsrechtliche Schutzmaßnahmen nach Gesetz 2/2023

Gesetz 2/2023 sieht einen robusten Schutz für Hinweisgeber vor: Kündigungen, Abmahnungen, Versetzungen und andere Benachteiligungen, die im zeitlichen Zusammenhang mit einer Meldung stehen, werden gesetzlich vermutet, als Repressalie zu sein — die Beweislastumkehr liegt beim Arbeitgeber, der nachweisen muss, dass die Maßnahme einen anderen Grund hatte. Das Arbeitsrecht-Team koordiniert mit uns, um sicherzustellen, dass alle Personalmaßnahmen im Kontext eines aktiven Hinweisgeberverfahrens korrekt dokumentiert und begründet sind.

Pflicht zur externen Meldung und Behördenkontakt

Gesetz 2/2023 schafft neben dem internen System auch den Rahmen für externe Meldungen an die Autoridad Independiente de Protección del Informante (A.A.I.), sobald sie ihre Tätigkeit aufnimmt, oder an sektorspezifische Behörden wie die CNMV (Finanzmärkte), die AEAT (Steuerbetrug) oder den Banco de España. Die Entscheidung, ob eine interne Meldung an Behörden weiterzugeben ist, hat erhebliche rechtliche Konsequenzen und sollte stets in Abstimmung mit dem Compliance-Risikomanagement und dem Rechtsteam getroffen werden. In Fällen möglicher Straftaten koordinieren wir mit dem Team für Straf-Compliance.

Regelungsrahmen: Gesetz 2/2023 und EU-Richtlinie 2019/1937

Das spanische Hinweisgebersystem basiert auf zwei Rechtsinstrumenten:

EU-Richtlinie 2019/1937 des Europäischen Parlaments und des Rates vom 23. Oktober 2019 zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden. Die Richtlinie deckt ein breites Spektrum von EU-Recht ab: öffentliches Auftragswesen, Finanzdienstleistungen, Geldwäschebekämpfung, Verbraucherschutz, Lebensmittel- und Produktsicherheit, Umweltschutz, nukleare Sicherheit, Verkehrssicherheit, Datenschutz und mehr.

Gesetz 2/2023 vom 20. Februar über den Schutz von Personen, die Verstöße gegen das Recht und die Korruptionsbekämpfung melden. Dieses Gesetz setzt die EU-Richtlinie um und geht in einigen Punkten darüber hinaus: breiterer Anwendungsbereich (auch rein nationales Recht), striktere Anforderungen an den internen Kanal und höhere Sanktionen als die Richtlinie vorsah.

AEPD-Leitlinien zur DSGVO-Konformität von Hinweisgebersystemen (Informe 0026/2020, aktualisiert 2023): Anforderungen an die Datenschutz-Folgenabschätzung, Aufbewahrungsfristen (maximal 3 Monate nach Eingang für nicht weiter verfolgte Fälle), Informationsrechte der beschuldigten Person.

Praxisbeispiel mit Zahlen: Industriekonzern 120 Mitarbeiter

Ausgangssituation: Spanische Tochtergesellschaft eines deutschen Maschinenbaukonzerns, 120 Mitarbeiter in Madrid und Valencia. Bestand: Generisches Kontaktformular im Intranet ohne benannte verantwortliche Person, keine dokumentierten Untersuchungsverfahren, keine Datenschutz-Folgenabschätzung, keine Mitarbeiterschulung über den Kanal.

Gap-Analyse Ergebnis: 7 kritische Compliance-Lücken identifiziert: kein Responsable del Sistema formal ernannt, keine 7-Tage-Bestätigungspflicht implementiert, kein 3-Monats-Untersuchungsprotokoll, Anonymitätsoption fehlend, DSFA nicht erstellt, kein Schulungsprogramm, kein schriftliches Anti-Repressalien-Protokoll für HR.

Implementierung durch BMC: 6-Wochen-Projekt. Woche 1-2: Systemdesign, Auswahl des externen Kanalbetreibers, Ausarbeitung der Unternehmensrichtlinie. Woche 3: Ernennung und Schulung des Responsable del Sistema. Woche 4: Technische Implementierung, DSFA, DSB-Koordination. Woche 5: HR-Schulung, Anti-Repressalien-Protokoll, Management-Briefing. Woche 6: Go-Live, unternehmensweite Kommunikation, Abnahmedokumentation.

Ergebnis: Vollständig konformes System 6 Wochen nach Mandat. Innerhalb von 4 Wochen nach Go-Live: 2 Meldungen eingegangen und innerhalb der 7-Tage-Frist bestätigt, eine davon führte zu einer internen Untersuchung, die mit einer Disziplinarmaßnahme abgeschlossen wurde. Investition: 18.000 EUR einmalig + 3.600 EUR/Jahr Betrieb. Vermiedenes Bußgeldrisiko: bis zu 1 Million EUR.

Betroffene Branchen

Das Hinweisgebergesetz gilt branchenübergreifend für alle Unternehmen ab 50 Mitarbeitern, aber bestimmte Sektoren haben erhöhten Compliance-Druck:

Finanzdienstleistungen (Banken, Versicherungen, Fondsgesellschaften): Bereits durch CNMV- und Banco-de-España-Regulierung zur Einrichtung von Whistleblowing-Kanälen verpflichtet. Gesetz 2/2023 überlagert und erweitert diese bestehenden Pflichten. Zusätzlich: DORA-Anforderungen an interne Meldewege für IKT-Vorfälle.

Öffentliche Auftragnehmer: Unternehmen, die öffentliche Aufträge (LCSP) erhalten, müssen ein funktionsfähiges Hinweisgebersystem nachweisen können. Bei öffentlichen Ausschreibungen über bestimmten Schwellenwerten kann das Fehlen eines Systems zur Disqualifikation führen.

Pharmaindustrie und Gesundheitswesen: Erhöhte Exposition für Meldungen über Produktfälschungen, klinische Studienmanipulation und Abrechnungsbetrug gegenüber dem SNS.

Bau und Immobilien: Häufig betroffene Bereiche: Sicherheitsverstöße auf Baustellen, Umweltverstöße, Korruption in der Genehmigungsvergabe.

Unternehmensgrößen-Segmentierung

Häufige Fehler Top 5 bei der Implementierung

1. Responsable del Sistema nicht formal ernannt: Die bloße Zuweisung der Aufgabe ohne formellen Ernennungsakt (und ohne die Kompetenz, unabhängig von Linienhierarchie zu agieren) erfüllt die gesetzliche Anforderung nicht.

2. Kanal ohne Anonymitätsoption: Viele Unternehmen implementieren Kanäle, die nur identifizierte Meldungen akzeptieren. Gesetz 2/2023 verlangt ausdrücklich die Möglichkeit anonymer Meldungen.

3. Fehlende DSFA: Die meisten Hinweisgebersystem-Implementierungen erfordern eine Datenschutz-Folgenabschätzung (Art. 35 DSGVO), da sie Daten über Dritte (beschuldigte Personen) erheben und verarbeiten.

4. Kein dokumentiertes Untersuchungsprotokoll: Das Gesetz verlangt eine strukturierte Untersuchung mit dokumentiertem Verlauf. Unternehmen, die Meldungen informell per E-Mail behandeln, riskieren sowohl Gesetzesverstöße als auch Beweislücken bei späteren Rechtsstreitigkeiten.

5. Fehlende unternehmensweite Kommunikation: Mitarbeiter müssen über die Existenz des Kanals und ihre Schutzrechte informiert werden. Viele Unternehmen installieren den Kanal, ohne ihn intern bekannt zu machen — was dazu führt, dass er nicht genutzt wird und damit seinen Zweck verfehlt.

Geografische Abdeckung und behördliche Kontrolle

Das Gesetz 2/2023 gilt spanienübergreifend. Die Aufsicht wird durch mehrere Behörden geteilt: Die Autoridad Independiente de Protección del Informante (A.A.I.) ist die für externes Meldewesen und Schutz von Hinweisgebern zuständige Behörde auf nationalem Niveau (noch in Aufbauphase). Auf regionaler Ebene haben einige Autonome Gemeinschaften eigene Meldestellen für den öffentlichen Sektor. Für den Privatsektor sind die ordentlichen Gerichte und die Arbeitsinspektionen (ITSS) für Vergeltungsmaßnahmen gegen Hinweisgeber zuständig.

BMC berät Unternehmen mit Präsenz in mehreren Regionen Spaniens — Madrid, Barcelona, Valencia, Andalusien, Kanaren, Murcia — und koordiniert die Implementierung eines gruppenweiten Kanals, der die Anforderungen aller relevanten Niederlassungen erfüllt.

Kostentransparenz: Was ein Hinweisgebersystem kostet

Schutz der beschuldigten Person: Gleichgewicht zwischen Hinweisgeberschutz und Unschuldsvermutung

Gesetz 2/2023 konzentriert sich auf den Schutz des Hinweisgebers, aber die beschuldigte Person hat ebenfalls Rechte, die das Untersuchungsprotokoll aktiv schützen muss:

Unschuldsvermutung: Bis zum Abschluss der Untersuchung darf keine Massnahme gegen die beschuldigte Person ergriffen werden, die als Vorverurteilung wirkt.

Recht auf Information: Die beschuldigte Person hat das Recht, über die gegen sie erhobenen Vorwürfe informiert zu werden — aber nicht sofort und nicht so, dass die Untersuchung gefährdet wird. Das Untersuchungsprotokoll muss den optimalen Zeitpunkt für diese Kommunikation definieren.

Recht auf Anhörung: Bevor eine disziplinäre Massnahme ergriffen wird, muss die beschuldigte Person die Möglichkeit haben, zu den Vorwürfen Stellung zu nehmen.

DSGVO-Informationsrecht: Die beschuldigte Person hat nach DSGVO Art. 15 ein Recht auf Auskunft über die Verarbeitung ihrer personenbezogenen Daten — mit dem Caveat von Art. 14 (5) (b) DSGVO, dass die Auskunft verweigert werden kann, soweit sie die Untersuchung gefährdet.

BMC gestaltet Untersuchungsprotokolle, die beide Perspektiven aktiv schützen: starker Hinweisgeberschutz durch klare Anti-Repressalien-Mechanismen und klare Verfahrensrechte für die beschuldigte Person. Diese Balance ist entscheidend für die Rechtssicherheit des Systems und die Vermeidung von Sekundärschäden — Klagen der beschuldigten Person wegen Verletzung ihrer Rechte.

Praxisbeispiel mit Zahlen: Ausgelagerte Kanal-Lösung für Mittelständler 85 Mitarbeiter

Profil: Spanisches Logistikunternehmen, 85 Mitarbeiter, 3 Standorte (Madrid, Valencia, Zaragoza). Zuvor kein Hinweisgeberkanal, jetzt 6 Monate nach dem Gesetz 2/2023-Pflichtdatum ohne konformes System.

Situation: Laufende Risikoexposition seit 6 Monaten — technisch im sanktionsfähigen Zustand. Priorität: schnellstmöglich compliant werden.

BMC-Implementierung: 4-Wochen-Sprint. Woche 1: Systemdesign, Auswahl ausgelagerter Kanaldienstleister, Entwurf der unternehmenseigenen Hinweisgeberrichtlinie. Woche 2: Responsable del Sistema ernannt und geschult, DSFA erstellt. Woche 3: Technische Implementierung (externer verschlüsselter Kanal, anonym + identifiziert), Vorlage der Richtlinie. Woche 4: Go-Live, unternehmensweite E-Mail + Intranet-Bekanntmachung, Poster an allen 3 Standorten, Bestätigungsdokumentation erstellt.

Kosten: 4.200 EUR einmalig + 1.500 EUR/Jahr externer Kanal. Gesamtinvestition Jahr 1: 5.700 EUR. Vermiedenes Bußgeldrisiko: bis zu 1 Million EUR (schwerwiegender Verstoß Gesetz 2/2023).

Ergebnis: System live 4 Wochen nach Mandat. Erste Meldung innerhalb von 8 Wochen nach Go-Live: intern bearbeitet innerhalb der 7-Tage-Frist, Untersuchung abgeschlossen innerhalb von 6 Wochen, dokumentiertes Ergebnis dem Hinweisgeber mitgeteilt.

Regelungsrahmen: EU-Richtlinie 2019/1937 und spanisches Gesetz 2/2023 im Detail

EU-Richtlinie 2019/1937 (23. Oktober 2019): Legt den unionsrechtlichen Mindeststandard für Hinweisgeberschutz fest. Sachlicher Anwendungsbereich: Verstöße gegen EU-Recht in 10 Bereichen (öffentliches Auftragswesen, Finanzdienstleistungen, Umweltschutz, Lebensmittelsicherheit, Datenschutz DSGVO, Verbraucherschutz u.a.). Persönlicher Anwendungsbereich: Arbeitnehmer, Selbständige, Auftragnehmer, freiwillig tätige Personen, Praktikanten, Aktionäre.

Gesetz 2/2023 vom 20. Februar (BOE 21. Februar 2023): Setzt EU-Richtlinie um und erweitert sie auf nationales Recht. Sachlicher Anwendungsbereich breiter als EU-Richtlinie (auch rein nationales Recht). Persönlicher Anwendungsbereich: alle Personen in einem arbeitsbezogenen Kontext, einschließlich Lieferanten, Subunternehmer und ehemalige Mitarbeiter. Verpflichtungsumfang:

Sanktionen nach Gesetz 2/2023:

• Sehr schwerwiegende Verstöße (Vergeltungsmaßnahmen gegen Hinweisgeber, Kanal-Verhinderung): bis zu 1 Mio. EUR juristische Personen / 120.000 EUR natürliche Personen
• Schwerwiegende Verstöße (fehlendes System bei Pflicht, Fristenverletzungen): bis zu 600.000 EUR / 60.000 EUR
• Leichte Verstöße: bis zu 100.000 EUR / 10.000 EUR

Verbindung zu AML-Compliance: doppelte Anforderungen im Finanzsektor

Unternehmen, die dem spanischen Geldwäschegesetz (Ley 10/2010) unterliegen — Banken, Versicherungen, Kreditvermittler, Notare, Anwälte, Wirtschaftsprüfer, Immobilienmakler — haben bereits parallele Meldepflichten für verdächtige Transaktionen an SEPBLAC (Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales). Diese AML-Meldepflichten sind komplementär zu den Gesetz-2/2023-Hinweisgeberkanälen, ersetzen sie aber nicht:

• Der Hinweisgeberkanal dient für interne Mitarbeiter, die Fehlverhalten im Unternehmen melden
• AML-Meldungen an SEPBLAC sind externe Meldungen über Transaktionen von Kunden

Ein integriertes Compliance-System, das beide Funktionen kohärent gestaltet und die Schnittstellen klar definiert (wann eine interne Meldung zu einer externen SEPBLAC-Meldung eskaliert), reduziert den Verwaltungsaufwand und die Fehlersrate erheblich. BMC gestaltet diese Integration als Teil des AML-Compliance-Mandats.

Kontinuierliche Kanalpflege: Warum das System nicht selbst läuft

Ein häufiger Fehler nach der Implementierung: Das Unternehmen glaubt, mit dem Go-Live compliant zu sein und keine weiteren Maßnahmen zu ergreifen. In der Praxis erfordert ein konformes Hinweisgebersystem kontinuierliche Pflege:

Jährliche Anforderungen: Überprüfung, ob alle aktuellen Mitarbeiter über den Kanal informiert sind (insbesondere neue Mitarbeiter, die nach dem Go-Live eingestellt wurden), Validierung, dass die verantwortliche Person (Responsable del Sistema) noch im Amt ist und ihre Pflichten kennt, und Überprüfung, ob technische Updates des Kanals ausstehend sind.

Update bei Gesetzesänderungen: Die A.A.I. (Autoridad Independiente de Protección del Informante) kann Leitlinien herausgeben, die die Anforderungen präzisieren oder erweitern. Unternehmen müssen ihr System entsprechend anpassen.

Schulungsauffrischung: Jährliche oder zweijährige Schulungsauffrischung für die verantwortliche Person und das Management empfohlen — insbesondere wenn Fallsimulationen (Tabellenübungen) neue Lücken im Untersuchungsprotokoll aufgedeckt haben.

Systemtest: Mindestens einmal jährlich eine simulierte Meldung durch das System schicken (intern oder mit einem Test-Szenario) um zu verifizieren, dass alle technischen Funktionen — Anonymitätsoption, Bestätigungs-E-Mail, Benachrichtigungs-Workflow — noch korrekt funktionieren.

BMC bietet einen jährlichen Wartungsservice an, der alle diese Elemente abdeckt: Jahresüberprüfung des Systems, Schulungsauffrischung, Rechtsupdate, und Jahresbericht an den Vorstand über die Kanalaktivität und die Systemkonformität. Die Erstberatung zur Compliance-Lückenanalyse Ihres aktuellen Kanals ist kostenlos — buchen Sie ein 45-minütiges Gespräch, in dem wir die wesentlichen Anforderungen gegen Ihre aktuelle Lösung prüfen.