Das Gesetz 2/2023 vom 20. Februar, das die EU-Richtlinie 2019/1937 (Whistleblower-Richtlinie) umsetzt, verpflichtet Unternehmen mit 50 oder mehr Mitarbeitern zur Einrichtung eines internen Kommunikationskanals für die Meldung von Unregelmäßigkeiten. Nichteinhaltung ist keine Option: Die Sanktionen sind erheblich, und das Gesetz ist in Kraft.
Wer ist verpflichtet und seit wann?
Die Pflicht zur Einrichtung eines internen Informationssystems betrifft:
| Unternehmenstyp | Frist |
|---|---|
| Privatunternehmen mit 250+ Mitarbeitern | 13. Juni 2023 |
| Privatunternehmen mit 50–249 Mitarbeitern | 1. Dezember 2023 |
| Alle Einrichtungen des öffentlichen Sektors | 13. Juni 2023 |
| Finanzdienstleistungsunternehmen (jede Größe) | 13. Juni 2023 |
Unternehmen zwischen 50 und 249 Mitarbeitern können den Kanal mit anderen Unternehmen derselben Gruppe teilen, sofern Unabhängigkeit und Vertraulichkeit gewährleistet sind.
Die technischen und organisatorischen Mindestanforderungen
Vertraulichkeit der Identität
Das Gesetz garantiert dem Hinweisgeber absolute Vertraulichkeit: Seine Identität darf ohne seine Zustimmung nicht bekannt gemacht werden, außer auf richterliche Anordnung im Rahmen einer strafrechtlichen Untersuchung.
Praktische Implikation: Ein einfaches anonymes E-Mail-Postfach erfüllt diese Anforderung nicht, wenn der E-Mail-Administrator auf Metadaten zugreifen kann, die den Hinweisgeber identifizieren.
Möglichkeit anonymer Meldungen
Der Kanal muss anonyme Meldungen zulassen. Das Unternehmen kann entscheiden, ob es anonyme Meldungen bearbeitet oder nicht, muss aber die Infrastruktur bereitstellen, um sie zu empfangen.
Unabhängiger Verwalter
Die Kanalverwaltung muss unabhängig sein und darf nicht der Person oder Abteilung untergeordnet sein, gegen die die Meldung gerichtet ist. Dies bedeutet, dass der Kanal nicht von der Personalabteilung oder dem allgemeinen Rechtsmanagement verwaltet werden kann, wenn die Meldung Personen in diesen Funktionen betreffen könnte.
Empfangsbestätigung innerhalb von 7 Tagen
Der Kanalverantwortliche muss den Eingang der Meldung innerhalb von maximal sieben Tagen bestätigen.
Rückmeldung innerhalb von 3 Monaten
Der Hinweisgeber muss innerhalb von maximal drei Monaten (verlängerbar auf sechs Monate in komplexen Fällen) über die ergriffenen Maßnahmen informiert werden.
Verbot von Repressalien und Beweislastumkehr
Das Gesetz 2/2023 enthält das umfangreichste Repressalienverbotsregime in der spanischen Geschichte. Die Beweislast ist umgekehrt: Es wird vermutet, dass jede nachteilige Maßnahme gegen den Hinweisgeber eine Repressalie ist, sofern das Unternehmen nicht das Gegenteil beweist.
Verbotene Repressalien umfassen: Entlassung, Herabstufung, Gehaltskürzung, Versetzung, Disziplinarmaßnahmen, Ausschluss von Beförderungsverfahren, Verweigerung von Aus- oder Weiterbildung, Beendigung von Lieferantenverträgen oder Verweise.
Melderegister
Es muss ein Register aller empfangenen Meldungen geführt werden, mit Sicherheitsmaßnahmen, die die Vertraulichkeit garantieren und die Datenschutzvorschriften einhalten.
Die drei Implementierungsmodelle
Modell 1: Interne Technologieplattform
Das Unternehmen implementiert eine spezifische Softwarelösung für das Hinweisgebersystem (z. B. Ethicsphere, Navex, WhistleB oder spanische Alternativen wie Alkemy oder Whistleblower Software). Empfiehlt sich für große Unternehmen mit erheblichem Meldevolumen.
Kosten: 5.000–20.000 Euro Einrichtung + 3.000–8.000 Euro jährliche Wartung.
Modell 2: Externe Verwaltung durch einen Dritten
Das Unternehmen beauftragt einen externen Dienstleister — in der Regel einen auf Compliance spezialisierten Rechtsbeistand — mit der unabhängigen Verwaltung des Kanals. Empfiehlt sich für KMU zwischen 50 und 250 Mitarbeitern.
Kosten: 2.000–6.000 Euro jährlich, abhängig vom Umfang.
Modell 3: Gemeinsamer Kanal innerhalb einer Gruppe
Unternehmen zwischen 50 und 249 Mitarbeitern können sich mit anderen Unternehmen derselben Gruppe einen Kanal teilen, sofern Unabhängigkeit und Vertraulichkeit jederzeit gewährleistet sind.
Die Sanktionen bei Nichteinhaltung
Die Aufsichtsbehörde für die Einhaltung des Gesetzes 2/2023 im Privatsektor ist die Autoridad Independiente de Protección del Informante (A-I-P-I).
| Verstoßkategorie | Sanktionsrahmen |
|---|---|
| Leichte Verstöße | 1.001 – 100.000 Euro |
| Mittelschwere Verstöße | 100.001 – 600.000 Euro |
| Schwerwiegende Verstöße | 600.001 – 1.000.000 Euro |
Das Fehlen eines Kanals oder die Verletzung der Vertraulichkeit des Hinweisgebers werden als schwerwiegende Verstöße eingestuft.
Integration mit dem Strafrecht-Compliance
Das Hinweisgebersystem des Gesetzes 2/2023 und das des Art. 31 bis.5.4 CP sind kompatibel und können dasselbe Instrument sein, sofern es die Anforderungen beider Normen erfüllt. In der Praxis müssen Unternehmen, die bereits einen Kanal aus Gründen des Strafrecht-Compliance hatten, überprüfen, ob ihr Design die zusätzlichen Anforderungen des Gesetzes 2/2023 erfüllt — insbesondere die Möglichkeit anonymer Meldungen und das Verbot von Repressalien mit Beweislastumkehr.
Beratung zu unserem Hinweisgebersystem-Service und zum Strafrecht-Compliance-Programm.
