Bildnachweis: Illustration: © peshkov – stock.adobe.com.

Das Inkrafttreten der EU-Marktmissbrauchsverordnung (Market Abuse Regulation; MAR) brachte einschneidende ­Änderungen des Insiderrechts mit sich. Die neuen Anforderungen führten neben einem hohen administrativen Aufwand vor allem zu riesigen Datenmengen. Diese personenbezogenen Daten müssen die Emittenten nun, nach fünf Jahren, auf DSGVO-Konformität prüfen – eine echte Herausforderung. 

Es gab zahlreiche Diskussionen, bevor die EU-Marktmissbrauchsverordnung (Market Abuse Regulation; MAR) am 3. Juli 2016 in Kraft trat – und auch lange danach. In Umfragen der EQS Group unter börsennotierten Unternehmen war die ­Verunsicherung noch Monate später spürbar, denn mit der neuen Verordnung, mit der die Europäische Wertpapier- und Marktaufsichtsbehörde (ESMA) ein deut­liches Signal für den Anlegerschutz setzte, sahen sich die Emittenten mit einer ­Vielzahl neuer Pflichten konfrontiert.

Für Unternehmen aus dem Freiverkehr, die keinem der Qualitätssegmente mit ­ihrer Quasi-Ad-hoc-Pflicht angehörten, aber beispielsweise auch für viele Emittenten von Corporate Bonds begannen die Herausforderungen durch die Marktmissbrauchsverordnung bereits mit den neuen Publizitätspflichten (insbesondere Art. 17 und 19 MAR).

Sie mussten mit Inkrafttreten der MAR – im Gegensatz zu den Emittenten am ­geregelten Markt – erst die Voraussetzungen schaffen, um ihre Ad-hoc-Nachrichten und Directors’ Dealings gesetzeskonform europaweit zu verbreiten; darüber hinaus war sicherzustellen, dass diese Informa­tionen für einen Zeitraum von fünf Jahren auf der unternehmenseigenen Website ­öffentlich zugänglich sind. Weiterhin ­sehen die MAR-Regelungen vor, dass die Informationen an die nationale Aufsichtsbehörde, also in Österreich die FMA, sowie zur Veröffentlichung an das nationale Speichermedium (hierzulande die OeKB) und auch an die Wiener Börse übermittelt werden müssen. Mit professionellen, ­etablierten Lösungen ließen sich diese Pflichten jedoch aus einer Hand erfüllen und damit relativ einfach meistern.

Insiderlisten: mehr Insider, größere Datenmengen und erheblich mehr Aufwand

Anders sah es beim Insiderrecht aus. Hier standen auch die Emittenten aus dem ­geregelten Markt vor neuen Herausfor­derungen, vor allem, da die Vorschriften teilweise großen Spielraum für Interpretationen ließen: Denn durch die MAR wurden die bisherigen Regelungen des österreichischen Börsegesetzes (BörseG) zur Bekämpfung von Insidergeschäften erheblich verschärft. Vor allem die Anforderungen zum Führen von Insiderlisten gemäß Artikel 18 MAR waren deutlich umfang­reicher und erforderten einen höheren ­administrativen Aufwand. Die Verwaltung der Listen war damit keine Aufgabe mehr, die nebenbei mit einer Excel-Liste oder ­einem Word-Dokument erledigt werden konnte.

Insiderlisten, die es schon seit der Emittenten-Compliance-Verordnung aus dem Jahre 2007 gab, mussten nun intensiv gepflegt und laufend aktualisiert werden. Es mussten mehr Personen und auch mehr personenbezogene Daten erfasst werden, die Insider wurden dadurch für die Aufsichtsbehörden deutlich gläserner: Denn jetzt wurden, falls vorhanden, beispielsweise zusätzlich auch noch der Zweitwohnsitz und die sogenannte nationale Identifikationsnummer abgefragt.

Dazu kam die aufwendige Dokumenta­tion in Bezug auf die Kenntniserlangung sowie das Ende des Zugangs zu den jeweiligen Insiderinformationen, jeweils erfasst mit der koordinierten Weltzeit (UTC). Es reichen mittlerweile auch nicht mehr ­permanente, funktionsbezogene Insiderlisten, sondern die Insider müssen seit 2016 projekt- und ereignisbezogenen ­Listen zugeordnet werden. Außerdem ­fordert die MAR – das war ebenfalls neu –, Vorkehrungen zu treffen, dass die Insider ihre aus den Rechts- und Verwaltungs­vorschriften erwachsenden Pflichten ­anerkennen und sich der möglichen Sanktionen bewusst werden.

Diese komplexen Workflows für Insidererfassung und -aufklärung (mit allen dafür erforderlichen Formularen), automatische Versionierung und viele anderen Funk­tionen lassen sich nur noch mit profes­sionellen, digitalen Lösungen abbilden. Nur so gehen Emittenten auf Nummer ­sicher, wenn es beispielsweise darum geht, Informationsersuchen der Aufsichtsbehörden zu einzelnen Projekten und ­Insidern jederzeit schnell und einfach nachzukommen.

Jetzt auch noch die DSGVO

Die großen Datenmengen, die Emittenten sammeln, um ihre Insiderlisten MAR-­konform zu führen, müssen laut Art. 18 (5) MAR mindestens fünf Jahre gespeichert werden. Nach Ablauf dieser Frist greifen die Bestimmungen der EU-Datenschutz-Grundverordnung (EU-DSGVO): Sofern keine sonstigen rechtlichen Verpflich­tungen oder Gründe zur Verarbeitung (Art. 6 1) c) DSGVO) vorliegen, dürfen ­personenbezogene Daten dann nicht ­länger gespeichert werden.

Im Kontext von Insiderlisten ist die ­Umsetzung der Löschverpflichtung eine Herkulesaufgabe: Denn es gilt nicht nur, die aktuellen Listen auf die Fünfjahres­zeitspanne zu überprüfen, sondern auch, aufgrund der vorgeschriebenen Versionierung die historischen Daten zu durchleuchten, die bis zu fünf Jahre in der ­Vergangenheit liegen. Es kann ­daher ­vorkommen, dass vom selben ­Insider ­Daten, die älter als fünf Jahre sind, nun ­gelöscht werden sollten, ­neuere jedoch noch aufbewahrt werden müssen. Dies ist manuell nicht dar­stellbar.

Trotz MAR nicht in die DSGVO-Falle tappen

Nach fünf Jahren MAR stehen bei vielen Emittenten nun die ersten Daten zur ­Löschung an. Hierbei empfiehlt es sich, weiter auf Best Practice zu setzen, also auf digitale Tools, die ein Datenlösch­konzept enthalten – nur damit lassen sich die ­Insiderdaten künftig MAR-konform pflegen, ohne in die DSGVO-Falle zu ­tappen.

Dabei sollte auf einige Features ­besonderer Wert gelegt werden. Dazu gehört die Prüfung der personenbezogenen Daten nach bis zu einem Dutzend Kriterien. Bei Löschvorschlägen sollte zu jedem Datenpunkt auch die Begründung einsehbar sein. Regelmäßige ­Reminder für zu ­löschende Daten an den Verzeichnis­führer sowie ein kompletter Audit Trail mit allen Löschvorgängen und Zeitstempeln runden das Profil ­einer professionellen Insiderverwaltung idealerweise ab.

 


Dieser Beitrag ist Teil des GoingPublic Specials „Kapitalmarkt Österreich 2021“ und auch im kostenlosen E-Magazin zur Ausgabe enthalten.

Autor/Autorin

Lukas Reiter

Als Country Manager Investor Relations be­­treut Lukas Reiter bei der EQS Group börsennotierte Unternehmen aus Österreich.