Aufbewahrung und Notwendigkeit zum Einsatz von Verschlüsselungstechnologien
Der Verzeichnisführungsverpflichtete kann die Daten entweder in Papierform oder auf Datenträgern aufbewahren. Er muss lediglich sicherstellen, dass die Daten jederzeit verfügbar sind und innerhalb angemessener Frist einsehbar gemacht werden können. In ihrem Emittentenleitfaden befürwortet die Finanzdienstleistungsaufsicht allerdings eine elektronische Speicherung und Übermittlung.
Nach ihrer Erstellung sind die Daten sechs Jahre bereitzuhalten. Dabei muss sich jederzeit für einen beliebigen Zeitraum in den letzten sechs Jahren feststellen lassen, welche Person Zugang zu Insiderinformationen hatte. Mit jeder Aktualisierung beginnt diese Frist neu zu laufen. Nach Ablauf der Aufbewahrungsfrist sind die Daten zu vernichten.
Für die Aufbewahrung der Verzeichnisse gilt: Nur die Personen, die im Unternehmen für die Führung des Verzeichnisses verantwortlich sind (z.B. Vorstand) und die mit der Führung des Verzeichnisses beauftragt sind (z.B. Compliance-Mitarbeiter), dürfen Zugriff haben. Als logische Konsequenz ergibt sich daraus: Auch die Dateien mit Insiderinformationen müssen vertraulich aufbewahrt werden, damit tatsächlich nur die im Insiderverzeichnis aufgeführten Personen Zugriff auf Insiderinformationen haben. In diesem Zusammenhang sind gerade die IT-Administratoren gefordert, darauf hinzuwirken, dass das Management nicht nur einfach eine Liste von Insiderpersonen erstellt, sondern auch entsprechende Sicherheitstechnologien einsetzt - wie etwa Datenverschlüsselung im eigenen Netzwerk durch gruppenorientierte Datei-Verschlüsselung. Nur so ist Insiderwissen optimal geschützt. (mf)