Existieren Insiderverzeichnisse?
Gemäß § 15b des Wertpapierhandelsgesetzes (WpHG) sind börsennotierte Unternehmen und ihre Dienstleistungsunternehmen (z.B. ein Übersetzungsbüro) verpflichtet, Verzeichnisse über Mitarbeiter zu führen, die bestimmungsgemäß Zugang zu Insiderinformationen haben. Egal, ob das Verzeichnis in Papierform oder elektronisch geführt wird, die Daten müssen lückenlos, jederzeit verfügbar und innerhalb angemessener Frist einsehbar sein. Die Finanzdienstleistungsaufsicht (BaFin) befürwortet jedoch die elektronische Speicherung und Übermittlung. Die Daten sind sechs Jahre bereitzuhalten - mit jeder Aktualisierung beginnt diese Frist erneut.
Was steckt in Spezialregelungen?
Spezialrechtliche Vorgaben zur elektronischen Archivierung betreffen zumeist börsennotierte Unternehmen und finden sich insbesondere im Geldwäschegesetz (§ 9), der Allgemeinen Verwaltungsvorschrift für das Rechnungswesen in der Sozialversicherung (§ 22 SRVwV) sowie in Regelungen für Banken und Krankenhäuser und Ärzte. Letztere Regelungen schreiben sogar eine 30-jährige Aufbewahrungspflicht vor (z.B. § 6 Abs. 1 Krankengeschichtenverordnung, § 28 Abs. 4 Röntgenverordnung sowie § 43 Abs. 3 Strahlenverordnung).
In der Pharmabranche gelten spezielle Regelungen für Dokumente aus den Bereichen Forschung, Produktion und Antragsdokumentation, die sich weitgehend an den Vorgaben der Federal Drug Administration (FDA, USA) orientieren. Für Unternehmen, die an US-Börsen notiert sind, greifen mit Sarbanes Oxley (SOX) und der Securities and Exchange Commission (SEC) auch hierzulande weit reichende Archivierungspflichten für E-Mails und elektronische Kommunikation.
Was schreibt KonTraG zur Archivierung vor?
Gemäß dem Gesetz zur Kontrolle und Transparenz in Unternehmen (KonTraG) gehört zum Risikomanagement einer Aktiengesellschaft auch die Verpflichtung zur rechtskonformen Archivierung von elektronischen Daten. Insbesondere muss dafür gesorgt sein, dass ausreichende Speicherkapazität sowie entsprechende Schutzvorkehrungen gegen Datenverlust bestehen. Vorstand und Aufsichtsrat sind insofern verpflichtet, geeignete Schutzmaßnahmen für die IT-Sicherheit ihrer geschäftskritischen Systeme und Daten zu konzipieren, umzusetzen sowie regelmäßig zu kontrollieren und aktualisieren. Letztendlich gilt das Risikomanagement für Geschäftsleiter und Kontrollgremien sämtlicher Gesellschaftsformen.