Die digitale Welt dreht sich immer schneller. Durch Innovationen, neue Funktionalitäten und verbesserte Nutzerfreundlichkeit werden die Prozesse in vielen Bereichen optimiert. Damit steigen allerdings auch die Anforderungen an die IT-Sicherheit, denn aufgrund der fortschreitenden Digitalisierung sind immer mehr Daten im Umlauf. Ausgerechnet für Ad-hoc-Dienstleister, die besonders sensible und kursrelevante Insiderinformationen für ihre Kunden verbreiten, gelten in der DACH-Region keine Zulassungsvoraussetzungen – hier sind England und Frankreich mit ihren strengen Zertifizierungen bereits einen Schritt weiter.
In Österreich kann jedes Unternehmen Ad-hoc-Dienstleister werden und einen Kommunikationskanal zur Herstellung der Bereichsöffentlichkeit aufbauen. Dabei spielen rein formal Qualifikation, Größe oder Marktverständnis keine Rolle. Es gibt weder eine vorgeschriebene Zertifizierung durch unabhängige Prüfer noch regelmäßige Überprüfungen durch die Aufsichtsbehörden. Es liegt damit in der Eigenverantwortung des Ad-hoc-Dienstleisters, höchste Sicherheitsstandards zu gewährleisten.
Das bedeutet eine besondere Verantwortung für die Emittenten in Bezug auf die Wahl des richtigen Dienstleisters, denn sie können sich zunächst einmal nicht grundsätzlich darauf verlassen, dass der Verbreitungsservice ihrer Wahl auch tatsächlich die sicherheitstechnischen Anforderungen für den Umgang mit hochsensiblen Insiderinformationen erfüllt.
Dennoch müssen die Unternehmen im Spannungsfeld der rasant fortschreitenden Digitalisierung, der zunehmenden Regulierung in vielen Bereichen und den erhöhten IT-Sicherheitsanforderungen alle Pflichten zuverlässig erfüllen.
Keine Nachsicht bei Verstößen
Denn Verstöße haben empfindliche Konsequenzen zur Folge: Drückten die Aufsichtsbehörden beispielsweise in den ersten Monaten nach Inkrafttreten der EU-Marktmissbrauchsverordnung (MAR) im Jahr 2016 noch manches Mal ein Auge zu, so können die Unternehmen mittlerweile nicht mehr mit Nachsicht rechnen. Das heißt: Bei Nichteinhaltung der MAR-Vorschriften drohen drastische Strafen, die sich an der Unternehmensgröße bzw. dem Umsatz orientieren. Zudem wurden in manchen Bereichen Mindeststrafen formuliert, die keine Gesellschaft einfach aus der Portokasse bezahlen kann.
Eine weitere Herausforderung neben den börsenrechtlichen Publizitätspflichten stellt die Datenschutz-Grundverordnung (DSGVO) dar, die seit dem vergangenen Jahr EU-weit den Schutz personenbezogener Daten regelt. Die drohenden Sanktionen sollen unter anderem „verhältnismäßig und abschreckend“ sein und können damit bei besonders gravierenden Verstößen bis zu 20 Mio. EUR oder im Fall eines Unternehmens bis zu 4% des weltweiten Jahresumsatzes betragen – je nachdem, welcher Wert der höhere ist. Auch hier läuft langsam die Schonfrist ab, wie die im letzten Monat verhängten Bußgelder zeigen.