142
Vertraulichkeitsbereiche sind von anderen Unternehmensbereichen durch geeignete organisatorische Maßnahmen zur Verhinderung einer missbräuchlichen Verwendung oder Weitergabe von compliance-relevanten Informationen abzugrenzen. § 4 Abs. 4 ECV zählt demonstrativ einige Beispiele für geeignete organisatorische Maßnahmen zur Hintanhaltung einer missbräuchlichen Verwendung oder Weitergabe von compliance-relevanten Informationen auf. Zutrittsbeschränkungen können akustische Sperren oder versperrte Türen sein. Durch personelle Unvereinbarkeitsbestimmungen soll verhindert werden, dass ein Mitarbeiter mehreren Vertraulichkeitsbereichen angehört und dadurch compliance-relevante Informationen mehr oder weniger unkontrolliert von einem Bereich in den anderen gelangen. Als mögliche EDV-Zugriffsbeschränkung sind Passwörter, aber auch automatische Benutzersperren für Computer anzusehen. Ein Emittent hat die jeweils für sein Unternehmen geeigneten Maßnahmen zu ergreifen.
143
Der Emittent hat zudem sicherzustellen, dass Personen aus Vertraulichkeitsbereichen die aus den Rechts- und Verwaltungsvorschriften erwachsenden Pflichten schriftlich anerkennen und schriftlich erklären, sich der Sanktionen bewusst zu sein, die bei einer missbräuchlichen Verwendung oder einer nicht ordnungsgemäßen Verbreitung von compliance-relevanten Informationen verhängt werden. Dieser Verpflichtung kann üblicherweise dadurch nachgekommen werden, dass die Compliance-Richtlinie, in der die ständigen Vertraulichkeitsbereiche aufgezählt sind, nachweislich allen Mitarbeitern aus Vertraulichkeitsbereichen zur Kenntnis gebracht wurde. Für sonst für den Emittenten tätige Personen und Dienstnehmer, die in vorübergehenden (projektbezogenen) Vertraulichkeitsbereichen mitarbeiten, wird regelmäßig eine schriftliche, gegenzuzeichnende Erklärung erforderlich sein.
1.2 Umgang mit compliance-relevanten Informationen
144
Der Emittent hat geeignete Anweisungen zu erteilen, damit innerhalb eines Vertraulichkeitsbereiches compliance-relevante Informationen nur jenen Personen zur Kenntnis gelangen, die mit der Bearbeitung dieser Informationen auf Grund ihrer Tätigkeit befasst sind. Dabei ist die Anzahl der mit compliance-relevanten Informationen befassten Personen möglichst gering zu halten. Auf Grund ihrer Tätigkeit mit Insider-Informationen befasst sind nicht nur Mitarbeiter des Emittenten, sondern z.B. auch Mitglieder des Aufsichtsrates des Emittenten oder sonstige für den Emittenten im Rahmen von Projekten tätige Personen.
145
Auch hat der Emittent geeignete Anweisungen zu erteilen, damit alle im Unternehmen erstmals bekannt gewordenen und als solche erkannten compliance-relevanten Informationen unverzüglich dem Compliance-Verantwortlichen gemeldet werden. Diese Meldung ist ohne schuldhaften Verzug an den Compliance-Verantwortlichen zu erstatten. Damit es aber nicht zu einer Überflutung des Compliance-Verantwortlichen mit Informationen kommt (etwa weil Mitarbeiter in der Beurteilung solcher Informationen unsicher sind), sollte durch den Compliance-Verantwortlichen bereits im Vorfeld eine umfassende Aufklärung und Schulung stattfinden.
146
Schriftstücke und externe Datenträger, insbesondere Disketten und CD-ROM, die compliance-relevante Informationen beinhalten, sind derart aufzubewahren, dass sie jenen Personen nicht zugänglich sind, die mit der Bearbeitung dieser compliance-relevanten Informationen, der Schriftstücke oder der externen Datenträger nicht auf Grund ihrer Tätigkeit befasst sind. Elektronisch gespeicherte Daten einschließlich elektronischer Post, die compliance-relevante Informationen beinhalten, sind derart zu sichern, dass sie jenen Personen nicht zugänglich sind, die mit der Bearbeitung dieser compliance-relevanten Informationen oder Daten nicht auf Grund ihrer Tätigkeit befasst sind.
1.3 Weitergabe von compliance-relevanten Informationen
147
Der Emittent hat sicherzustellen, dass compliance-relevante Informationen auch im internen Geschäftsverkehr gegenüber anderen Unternehmensbereichen streng vertraulich behandelt werden und einen Vertraulichkeitsbereich nur unter den in der ECV vorgesehenen Bedingungen verlassen. Compliance-relevante Informationen dürfen aus einem Vertraulichkeitsbereich in einen anderen Unternehmensbereich nur dann weitergegeben werden, wenn dies zu Unternehmenszwecken erforderlich ist. Eine solche Informationsweitergabe hat sich auf den unbedingt erforderlichen Umfang zu beschränken.
148
Sobald eine compliance-relevante Information aus einem Vertraulichkeitsbereich weitergegeben wurde, ist der Compliance-Verantwortliche unverzüglich zu informieren. Dieser hat den Informationsinhalt, den Namen der meldenden Person, den Zeitpunkt des Erhalts der Meldung und der Weitergabe der Information sowie die Namen jener Personen aufzuzeichnen, die bereits Kenntnis von der compliance-relevanten Information besitzen oder Kenntnis erlangen sollen.
149
Der Emittent hat geeignete Vorkehrungen zu treffen, dass compliance-relevante Informationen auch nach dem Verlassen eines Vertraulichkeitsbereiches einer weiteren Geheimhaltung unterliegen, es sei denn, dass Insider-Informationen unter Einhaltung der Pflichten nach Art. 17 Abs. 1 und 8 der VO Nr. 596/2014/EU veröffentlicht werden. Zu diesen Vorkehrungen zählt insbesondere die Pflicht, den Adressaten der Information darauf hinzuweisen, dass es sich um eine compliance-relevante Information handelt.
150
Die Weitergabe von compliance-relevanten Informationen an unternehmensfremde Personen ist nur zulässig,
| – | wenn dies zu Unternehmenszwecken notwendig ist, |
| – | wenn sich die Weitergabe auf den unbedingt erforderlichen Umfang beschränkt und |
| – | wenn sich die unternehmensfremde Person – sofern sie nicht ohnehin auf Grund von Gesetzen oder Standesregeln zur Verschwiegenheit verpflichtet ist – im Rahmen einer Vereinbarung verpflichtet, compliance-relevante Informationen geheim zu halten und keiner missbräuchlichen Verwendung i.S.d. Art. 8 und 10 der VO Nr. 596/2014/EU zuzuführen („Non-Disclosure Agreement“). |
Hinsichtlich der Weitergabe von Insider-Informationen ist jedenfalls Art. 8 und 10 der VO Nr. 596/2014/EU zu beachten.
2.1 Sperrfristen und Handelsverbote
151
Der Emittent hat angemessene Zeiträume festzulegen, innerhalb derer Personen aus Vertraulichkeitsbereichen keine Orders in Finanzinstrumenten des Emittenten erteilen dürfen (Sperrfristen). Als angemessen i.S.d. Abs. 1 ist jedenfalls ein Zeitraum nach Maßgabe von Art. 19 Abs. 11 der VO Nr. 596/2014/EU anzusehen. Nicht umfasst von dieser Bestimmung sind Mitarbeiter des Emittenten, die keinem Vertraulichkeitsbereich angehören. Das Handelsverbot bezieht sich auf Finanzinstrumente, wie sie in § 3 Z 2 ECV definiert sind.
152
Weitere Sperrfristen kann der Compliance-Verantwortliche in Abstimmung mit der Geschäftsleitung des Emittenten festlegen, wobei diese Sperrfristen das Handelsverbot nach Abs. 1 auch auf einen eingeschränkten Kreis von Personen aus Vertraulichkeitsbereichen oder auf einzelne Vertraulichkeitsbereiche einschränken können. Der Tag des Beginns sowie – sofern eine solche bereits feststeht – die konkrete Dauer einer Sperrfrist sind den betreffenden