Hinweisgebersystem: Compliance mit Gesetz 2/2023 einfach gemacht

Der spanische Hinweisgeberrahmen wird durch Gesetz 2/2023 vom 20. Februar zum Schutz von Personen, die Regulierungsverstöße melden, und zur Bekämpfung von Korruption geschaffen, mit dem die EU-Richtlinie 2019/1937 zum Schutz von Hinweisgebern umgesetzt wurde. Gesetz 2/2023 verpflichtet private Unternehmen mit 50 oder mehr Mitarbeitern, öffentliche Stellen und alle Unternehmen, die im Finanzdienstleistungsbereich tätig sind, unabhängig von ihrer Größe, ein Internes Informationssystem (Sistema Interno de Información, SII) mit spezifischen Anforderungen einzurichten: ein vertraulicher und optional anonymer Meldekanal, eine benannte verantwortliche Person (Responsable del Sistema), Bestätigung innerhalb von 7 Tagen, eine inhaltliche Antwort innerhalb von 3 Monaten, Antiretaliationsschutz für Melder sowie Koordination mit den DSGVO-Pflichten für über den Kanal verarbeitete personenbezogene Daten. Nicht konforme Organisationen riskieren Sanktionen von bis zu 1 Million EUR für schwerwiegende Verstöße.

Unser Team verbindet Fachwissen in regulatorischer Compliance, Arbeitsrecht und Datenschutz, um Hinweisgebersysteme zu implementieren, die in der Praxis funktionieren – nicht nur auf dem Papier.

Die Lücke zwischen einem Kanal und Compliance

Gesetz 2/2023, das die EU-Richtlinie 2019/1937 in spanisches Recht umsetzt, schafft einen umfassenden Rahmen für den Hinweisgeberschutz, der weit über die Einrichtung eines Kontaktformulars hinausgeht. Das Gesetz erfordert ein strukturiertes Internes Informationssystem mit einer formal benannten verantwortlichen Person, gesetzlichen Bearbeitungsfristen, echten Vertraulichkeitsgarantien und effektivem Schutz gegen Vergeltungsmaßnahmen. Organisationen, die einen generischen Posteingang oder ein Drittanbieter-Hinweisgebertool installiert haben, ohne das System darum herum zu strukturieren, sind technisch nicht konform – und potenziell Sanktionen von bis zu 1 Million EUR ausgesetzt.

Ein System gestalten, das unter Druck funktioniert

Der erste Schritt bei jeder Implementierung ist das Systemdesign. Ein Fertigungsunternehmen mit 60 Mitarbeitern und eine Finanzdienstleistungsgruppe mit 5.000 Mitarbeitern benötigen grundlegend unterschiedliche Architekturen. Wir analysieren die Organisationsstruktur, das Risikoprofil und die Unternehmenskultur, um zu empfehlen, ob der Kanal intern durch die benannte verantwortliche Person verwaltet oder an einen unabhängigen Dritten ausgelagert werden sollte. Die Auslagerung verleiht potenziellen Hinweisgebern in der Regel mehr wahrgenommene Glaubwürdigkeit – ein entscheidender Faktor dafür, ob Mitarbeiter das System tatsächlich nutzen – und beseitigt Interessenkonflikte, die entstehen, wenn der Kanal intern verwaltet wird.

Integration mit Straf-Compliance

Die Beziehung zwischen einem Hinweisgeberkanal und einem Straf-Compliance-Programm ist direkt und rechtlich bedeutsam. Spanische Gerichte haben bestätigt, dass ein funktionsfähiges internes Meldesystem eines der Elemente ist, das sie bei der Beurteilung prüfen, ob das Compliance-Programm einer juristischen Person entlastende Wirkung auf die strafrechtliche Haftung haben sollte. Ein Kanal, der auf dem Papier existiert, aber keine Untersuchungen und keine Korrekturmaßnahmen auslöst, wird diesem Standard nicht gerecht. Wir gestalten das Untersuchungsprotokoll so, dass es die dokumentierten Beweismittel liefert, die Compliance-Programme erfordern.

DSGVO-Aspekte spezifisch für Hinweisgebende

Die Verarbeitung personenbezogener Daten in Hinweisgebersystemen stellt spezifische Herausforderungen dar, die eine enge Koordination mit dem Datenschutzbeauftragten erfordern. Die AEPD hat spezifische Leitlinien zu Folgenabschätzungen für diese Systeme, Aufbewahrungsfristen für Daten sowohl von Hinweisgebern als auch von gemeldeten Personen sowie die Grenzen des Informationsrechts der gemeldeten Person herausgegeben, wenn dieses die Untersuchung gefährden könnte. Wir integrieren all diese Anforderungen von Anfang an und vermeiden die nachträgliche DSGVO-Sanierung, mit der viele Organisationen konfrontiert sind, nachdem sie ihre Kanäle ohne angemessene Datenschutzplanung eingeführt haben.

Das interne Untersuchungsprotokoll

Das interne Untersuchungsprotokoll ist das Element, das die meisten Organisationen unterschätzen, wenn sie ein Hinweisgebersystem implementieren. Es genügt nicht, Meldungen zu empfangen und zu bestätigen: Das Gesetz verlangt eine inhaltliche Bearbeitung innerhalb von drei Monaten und den Schutz des Hinweisgebers vor Vergeltungsmaßnahmen während des gesamten Prozesses.

Ein robustes Untersuchungsprotokoll definiert: wer die Untersuchung leitet (der Responsable del Sistema oder ein unabhängiger Externer bei Vorwürfen gegen hochrangige Führungskräfte), wie Beweise gesichert und dokumentiert werden, welche Informationsrechte die beschuldigte Person hat und wann diese Rechte ausgeübt werden können, ohne die Untersuchung zu gefährden, und welche Konsequenzen ein bestätigter Verstoß hat — von internen Disziplinarmaßnahmen bis zur Benachrichtigung von Strafverfolgungsbehörden.

Fälle, in denen der Vorwurf Mitglieder des Leitungsorgans selbst betrifft, erfordern besondere Vorsicht: Der reguläre Kanal ist per definitionem nicht geeignet, und ein externer Kanal mit Berichtslinie direkt an den Aufsichtsrat oder einen unabhängigen Ausschuss ist erforderlich.

Arbeitsrechtliche Schutzmaßnahmen nach Gesetz 2/2023

Gesetz 2/2023 sieht einen robusten Schutz für Hinweisgeber vor: Kündigungen, Abmahnungen, Versetzungen und andere Benachteiligungen, die im zeitlichen Zusammenhang mit einer Meldung stehen, werden gesetzlich vermutet, als Repressalie zu sein — die Beweislastumkehr liegt beim Arbeitgeber, der nachweisen muss, dass die Maßnahme einen anderen Grund hatte. Das Arbeitsrecht-Team koordiniert mit uns, um sicherzustellen, dass alle Personalmaßnahmen im Kontext eines aktiven Hinweisgeberverfahrens korrekt dokumentiert und begründet sind.

Pflicht zur externen Meldung und Behördenkontakt

Gesetz 2/2023 schafft neben dem internen System auch den Rahmen für externe Meldungen an die Autoridad Independiente de Protección del Informante (A.A.I.), sobald sie ihre Tätigkeit aufnimmt, oder an sektorspezifische Behörden wie die CNMV (Finanzmärkte), die AEAT (Steuerbetrug) oder den Banco de España. Die Entscheidung, ob eine interne Meldung an Behörden weiterzugeben ist, hat erhebliche rechtliche Konsequenzen und sollte stets in Abstimmung mit dem Compliance-Risikomanagement und dem Rechtsteam getroffen werden. In Fällen möglicher Straftaten koordinieren wir mit dem Team für Straf-Compliance.