Die Institute sollten geeignete Richtlinien und Verfahren für interne Warnungen für Mitarbeiter zur Meldung potenzieller oder tatsächlicher Verstöße gegen regulatorische oder interne Anforderungen, unter anderem mit Blick auf die Verordnung (EU) Nr. 575/2013, nationale Vorschriften zur Umsetzung der Richtlinie 2013/36/EU oder Regelungen für die interne Unternehmensführung, über einen speziellen, unabhängigen und autonomen Berichtsweg einführen und unterhalten (Hinweisgeberverfahren/Whistleblowing-Verfahren). Es sollte für die meldenden Mitarbeiter nicht erforderlich sein, einen Beleg für einen Verstoß vorzulegen, allerdings sollten sie über ein ausreichendes Maß an Gewissheit verfügen, das einen hinreichenden Grund für die Einleitung einer Untersuchung bietet.
Zur Vermeidung von Interessenkonflikten sollte für die Mitarbeiter eine Möglichkeit bestehen, Verstöße außerhalb der regulären Berichtswege zu melden (z. B. über die Compliance-Funktion, die interne Revision oder mittels eines unabhängigen internen Hinweisgeberverfahrens). Die Warnverfahren sollten den Schutz personenbezogener Daten im Einklang mit der Richtlinie 95/46/EG sowohl für die Person, die den Verstoß anzeigt, als auch für die natürliche Person, die angeblich für einen Verstoß verantwortlich ist, sicherstellen.
Die Warnverfahren sollten allen Mitarbeitern eines Instituts zugänglich gemacht werden.
Die von Mitarbeitern über die Warnverfahren bereitgestellten Informationen sollten, falls angemessen,dem Leitungsorgan und anderen verantwortlichen Funktionen, die in den Richtlinien für interne Warnungen festgelegt sind, zur Verfügung gestellt werden. Sofern dies der Mitarbeiter, der einen Verstoß meldet, verlangt, sollten die Informationen dem Leitungsorgan und anderen verantwortlichen Funktionen in anonymisierter Form vorgelegt werden. Die Institute können auch ein Hinweisgeberverfahren einrichten, das es ermöglicht, Informationen anonym einzureichen.
Die Institute sollten sicherstellen, dass die Person, die den Verstoß meldet, angemessen vor negativen Folgen geschützt ist, z. B. Vergeltung, Diskriminierung oder eine andere Art von unfairer Behandlung. Das Institut sollte sicherstellen, dass sich keine Person unter der Kontrolle des Instituts an der Viktimisierung einer Person beteiligt, die einen Verstoß gemeldet hat, und sollte geeignete Maßnahmen gegen die Personen ergreifen, die für eine etwaige Viktimisierung verantwortlich sind.
Die Institute sollten zudem Personen, über die eine Meldung gemacht wurde, vor etwaigen negativen Folgen schützen, wenn im Zuge der Untersuchung keine Belege gefunden werden, die die Einleitung von Maßnahmen gegen die betreffende Person begründen. Wenn Maßnahmen ergriffen werden, sollte das Institut diese in einer Weise einleiten, die auf den Schutz der betreffenden Person vor unbeabsichtigten negativen Folgen ausgerichtet ist, die über das Ziel der ergriffenen Maßnahme hinausgehen.
Insbesondere sollten die Verfahren für interne Warnungen
dokumentiert sein (z. B. Handbücher für Mitarbeiter);
klare Regeln vorsehen, mit denen sichergestellt wird, dass Informationen über die Meldung und die gemeldeten Personen sowie den Verstoß vertraulich in Einklang mit der Richtlinie 95/46/EG behandelt werden, sofern nicht eine Offenlegung nach dem nationalen Recht im Rahmen weiterer Untersuchungen oder anschließender Gerichtsverfahren erforderlich ist;
Mitarbeiter, die Bedenken äußern, vor einer Viktimisierung aufgrund der Tatsache, dass sie zu meldende Verstöße offengelegt haben, schützen;
sicherstellen, dass potenzielle oder tatsächliche Verstöße bewertet und eskaliert werden, einschließlich, soweit angemessen,an die einschlägige zuständige Behörde oder Strafverfolgungsbehörde;
soweit möglich, sicherstellen, dass den Mitarbeitern, die potenzielle oder tatsächliche Verstöße gemeldet haben, der Erhalt der Information bestätigt wird;
für die Weiterverfolgung des Ergebnisses einer Untersuchung zu einem gemeldeten Verstoß Sorge tragen und
das Führen geeigneter Aufzeichnungen sicherstellen.