ITler als Geheimnisträger

24.05.2006
Von Anduleit 
Börsennotierte Unternehmen und auch deren Dienstleister sind verpflichtet, Verzeichnisse über Personen zu führen, die Zugang zu Insiderinformationen haben. Das betrifft nicht nur die Geschäftsleitung, sondern auch IT-Administratoren, erklärt Dr. Manfred Anduleit.

Das am 30. Oktober 2004 in Kraft getretene Anle-gerschutzverbesserungsgesetz hat neue Regelungen zum Umgang mit Insiderinformationen normiert. Seitdem sind sowohl börsennotierte Gesellschaften als auch deren Dienstleistungsunternehmen verpflichtet, Verzeichnisse über Personen zu führen, die Zugang zu so genannten Insiderinformationen haben.

Diese gesetzlichen Verpflichtungen wirken sich nicht nur auf die Geschäftsleitung aus, auch IT-Administratoren sind davon in dreierlei Hinsicht betroffen: Müssen IT-Mitarbeiter in den Insiderverzeichnissen aufgeführt werden? Inwiefern können sie das Management bei der Entwicklung der Verzeichnisse unterstützen? Wie können IT-Verantwortliche gewährleisten, dass tatsächlich nur die aufgeführten Personen Zugriff auf Insiderinformationen haben?

Insiderinformation und Insiderhandelsverbot

Bereits vor In-Kraft-Treten des Anlegerschutzverbesserungsgeset- zes durften Insiderinformationen beim Handel mit Insiderpapieren grundsätzlich nicht verwendet werden - unabhängig davon, aus welchen Quellen diese Kenntnis stammt. Unter den Begriff Insiderpapiere fallen neben Wertpapieren auch alle anderen Finanzinstrumente, die an der Börse notiert sind. Nach dem Wertpapierhandelsgesetz (WpHG) ist eine "Insiderinformation eine konkrete Information über nicht öffentlich bekannte Umstände, die sich auf einen oder mehrere Emittenten von Insiderpapieren oder auf die Insiderpapiere selbst beziehen und die geeignet sind, im Falle ihres öffentlichen Bekanntwerdens den Börsen- oder Marktpreis der Insiderpapiere erheblich zu beeinflussen" (§ 13 Abs. 1 WpHG).

Deshalb verpflichtet das Wertpapierhandelsgesetz jeden, der mit Insiderinformationen in Berührung kommt, zu einem verantwortungsvollen Umgang mit diesen Daten. Darüber hinaus enthält das WpHG Strafvorschriften bei Verstößen gegen das Insiderhandelsverbot, die von Geldstrafen bis zu ‡ Konkret bedeutet das: Jeder, der über Insiderinformationen verfügt und mit diesem Wissen Insiderpapiere für sich oder andere erwirbt oder veräußert, macht sich strafbar. Gleiches gilt, wenn Informationen einem anderen unbefugt mitgeteilt oder zugänglich gemacht werden.

Warum wurden Insider- verzeichnisse eingeführt?

Das Anlegerschutzverbesserungsgesetz hat als neue Vorschrift § 15b ins WpHG eingefügt. Danach sind Unternehmen verpflichtet, Verzeichnisse über Personen zu führen, die für sie tätig sind und bestimmungsgemäß Zugang zu Insiderinformationen haben. Die Verzeichnisse sind unverzüglich zu aktualisieren und der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) auf Verlangen zuzusenden.

Mit der Verpflichtung, Insiderverzeichnisse zu führen, verfolgt der Gesetzgeber zwei Ziele: Einerseits sollen die Mitarbeiter mit Insiderwissen auf ihre besonderen betrieblichen Verschwiegenheitspflichten und auf die Folgen eines Verstoßes hingewiesen werden. Damit findet eine zusätzliche Sensibilisierung für den vertraulichen Umgang mit Insiderinformationen statt. Andererseits kann - neben diesem präventiven Ziel - das Unternehmen den Fluss der Insiderinformation überwachen und so seinen Geheimhaltungspflichten auch tatsächlich nachkommen. Liegt ein konkreter Verdachtsfall vor, lässt sich mit den Verzeichnissen gegenüber der Aufsichtsbehörde der mögliche Insiderkreis in einem Unternehmen schnell ermitteln.

Wer ist zu Insiderverzeichnissen verpflichtet?

Neben börsennotierten Aktiengesellschaften müssen auch diejenigen Personen Insiderverzeichnisse führen, die im Auftrag einer börsennotierten Aktiengesellschaft handeln. Damit lassen sich bestimmte Berufsgruppen, die durch ihre Tätigkeit über Insiderwissen verfügen, ebenfalls in einem Verzeichnis erfassen. Dies betrifft vor allem beratende Berufe oder Dienstleistungsunternehmen wie Rechtsanwälte, Steuerberater, Unternehmensberater, Investmentbanken, Investor-Relations-Agenturen oder Übersetzungsbüros.

Die Abschlussprüfer einer Gesellschaft sind explizit von dieser Verpflichtung ausgenommen. Darüber hinaus sind öffentliche Institutionen (etwa Gerichte, Staatsanwaltschaft, Polizei, Behörden), Lieferanten oder auch Konzerngesellschaften einer börsennotierten Aktiengesellschaft keine Dienstleister im Sinne von § 15b WpHG.

Welche Personen müssen in die Liste?

Das Insiderverzeichnis muss alle Personen führen, die für börsennotierte Gesellschaften oder in deren Auftrag tätig sind und bestimmungsgemäß Zugang zu Insiderinformationen haben. Dies bedeutet allerdings nicht, dass die betreffenden Personen bereits über Insiderwissen verfügen müssen. Vielmehr reicht es aus, wenn die Aufgabenbeschreibung der betreffenden Personen eine potenzielle Befassung mit Insiderinformationen vorsieht. Dabei wird der Begriff "tätig sein" in Anlehnung an die europäischen Vorgaben sehr weit verstanden und umfasst nicht nur Organmitglieder (z. B. Vorstand, Aufsichtsrat) und Personen, die in einem Arbeitsverhältnis zu den Verzeichnisführungspflichtigen stehen, sondern auch Personen, die anderweitig oder auf Grund anderer vertraglicher Regelungen für sie tätig sind.

Ein "bestimmungsgemäßer Zugang" bedeutet für die Finanzdienstleistungsaufsicht, dass die betroffenen Personen nicht nur zufällig oder bei Gelegenheit in den Besitz der Informationen gelangen, sondern bestimmungsgemäßen Zugang haben müssen (vgl. Emittentenleitfaden der BaFin vom 15. Juli 2005, www.bafin.de).

Der Emittentenleitfaden weist dabei ausdrücklich darauf hin, dass IT-Mitarbeiter, die aufgrund ihrer Administratorenrechte Zugang zum internen E-Mail-Verkehr oder zu den Datenbanken des Verzeichnisführungspflichtigen haben, nicht im Insiderverzeichnis geführt werden müssen. In diesem Fall liegt kein bestimmungsgemäßer Zugang zum Inhalt von insiderrelevanten E-Mails oder Datenbanken vor.

Die Aufsichtsbehörde begründet dies damit, dass es nicht zu den Aufgaben der IT-Mitarbeiter gehört, sich mit dem Inhalt dieser Dateien, Mails und Dokumente auseinander zu setzen. Genau genommen ist dies jedoch keine zwingende Begründung, da gerade auch IT-Mitarbeiter durch die Zugangsmöglichkeit zu insiderrelevanten Dokumenten (z. B. E-Mails oder Datenbanken) faktisch zu Insidern werden können. Daher sind IT-Verantwortliche ständig gefordert, ihre Mitarbeiter für den vorsichtigen Umgang mit Insiderinformationen zu sensibilisieren. Im Hinblick auf die Stellungnahme der Finanzdienstleistungsaufsicht sind IT-Mitarbeiter derzeit erst dann in das Insiderverzeichnis aufzunehmen, wenn im Einzelfall ein bestimmungsgemäßer Zugang zu Insiderinformation vorliegt.

Aufbau, Inhalt und Form des Verzeichnisses

Der Gesetzgeber hat es dem Verzeichnisführungspflichtigen überlassen, den Aufbau des Insiderverzeichnisses selbst zu wählen. So kann er das Insiderverzeichnis beispielsweise insiderinformations- beziehungsweise projektbezogen aufbauen. In diesem Fall ist das Verzeichnis nach der konkreten Insiderinformation unterteilt - die Personen, die Zugang zu dieser Information oder dem jeweiligen Projekt haben, sind dann in dem Zusammenhang genannt. Bei einem funktionsbezogenen Aufbau ist das Insiderverzeichnis nach Funktions- oder Vertraulichkeitsbereichen unterteilt - Vorstand, Aufsichtsrat, Rechtsabteilung, Controlling, Finanzen und Investor Relations.

Für größere Organisationseinheiten ist dieser Aufbau wohl die übersichtlichere und sinnvollere Alternative. Daneben ist generell auch eine Kombination beider Formen möglich. Gerade bei der strukturellen und konzeptionellen Gestaltung des Insiderverzeichnisses können IT-Administratoren dem Vorstand wertvolle Ratschläge geben - schließlich muss sich das entwickelte Konzept später auch technisch umsetzen lassen.

Das Insiderverzeichnis muss sowohl Daten des Verzeichnisführungspflichtigen beinhalten als auch Informationen über die im Verzeichnis geführten Person. Ändern sich diese Daten, muss das Insiderverzeichnis unverzüglich aktualisiert werden. Dies ist besonders wichtig, wenn sich der Grund für die Erfassung ändert, wenn neue Personen zum Insiderverzeichnis hinzuzufügen sind oder im Verzeichnis erfasste Personen keinen Zugang mehr zu Insiderinformationen haben.

Einsatz von Verschlüsselungstechnologien

Der Verzeichnisführungsverpflichtete kann die Daten entweder in Papierform oder auf Datenträgern aufbewahren. Er muss lediglich sicherstellen, dass die Daten jederzeit verfügbar sind und innerhalb angemessener Frist einsehbar gemacht werden können. In ihrem Emittentenleitfaden befürwortet die Finanzdienstleistungsaufsicht allerdings eine elektronische Speicherung und Übermittlung.

Nach ihrer Erstellung sind die Daten sechs Jahre bereitzuhalten. Dabei muss sich jederzeit für einen beliebigen Zeitraum in den zurückliegenden sechs Jahren feststellen lassen, welche Person Zugang zu Insiderinformationen hatte. Mit jeder Aktualisierung beginnt diese Frist neu zu laufen. Nach Ablauf der Aufbewahrungsfrist sind die Daten zu vernichten.

Für die Aufbewahrung der Verzeichnisse gilt: Nur die Personen, die im Unternehmen für die Führung des Verzeichnisses verantwortlich sind (etwa der Vorstand) und die mit der Führung des Verzeichnisses beauftragt sind (zum Beispiel Compliance-Mitarbeiter), dürfen Zugriff haben. Als logische Konsequenz ergibt sich daraus: Auch die Dateien mit Insiderinformationen müssen vertraulich aufbewahrt werden, damit tatsächlich nur die im Insiderverzeichnis aufgeführten Personen Zugriff auf Insiderinformationen haben.

In diesem Zusammenhang sind gerade die IT-Administratoren gefordert, darauf hinzuwirken, dass das Management nicht nur einfach eine Liste von Insiderpersonen erstellt, sondern auch entsprechende Sicherheitstechnologien einsetzt - wie etwa Datenverschlüsselung im eigenen Netzwerk durch gruppenorientierte Dateiverschlüsselung. Nur so ist Insiderwissen optimal geschützt.

Zur Startseite