Compliance

4. Strafrahmen

129

Anstelle von Freiheitsstrafen werden nach dem VbVG Geldbußen verhängt. Die Geldbußen werden in Tagessätzen bemessen. Der Strafrahmen bewegt sich zwischen einem und 180 Tagessätzen. Je schwerer die Übertretung wiegt, umso mehr Tagessätze werden verhängt. Die Höhe des einzelnen Tagessatzes ist nach der wirtschaftlichen Leistungsfähigkeit eines Verbandes zu bemessen. Als Rechengröße zur Berechnung der Höhe des Tagessatzes wird grundsätzlich ein 360tel des Jahresertrages herangezogen, wobei der einzelne Tagessatz mindestens 50 EUR und höchstens 10 000 EUR beträgt. Für Vorsatzdelikte besteht eine Höchstgrenze i.H.v. 1,8 Mio. EUR, für Fahrlässigkeitsdelikte i.H.v. 1 Mio. EUR.

130

Ziel ist es, dem Verband allfällige Überschüsse zu entziehen, ohne jedoch die wirtschaftliche Betriebsgrundlage zu gefährden. Dabei darf nicht außer Acht gelassen werden, dass die Kosten des Strafverfahrens bzw. die Kosten etwaiger Sachverständigengutachten noch zur Geldbuße hinzukommen und beträchtlich sein können (§ 4 VbVG).

Anmerkungen

[1]

Bundesgesetz über die Verantwortlichkeit von Verbänden für Straftaten (Verbandsverantwortlichkeitsgesetz – VbVG), BGBl I Nr. 151/2005.

2. Kapitel Grundlagen für Compliance › B. Österreich › V. Verwaltungsstrafgesetze

V. Verwaltungsstrafgesetze

131

Viele Verwaltungsgesetze sehen bei Verletzung der materiellen Bestimmungen als Sanktion eine Verwaltungsstrafe vor. Im Verwaltungsstrafgesetz (VStG) wird die verwaltungsstrafrechtliche Verantwortung für juristische Personen und eingetragene Personengesellschaften des Handelsrechts und eingetragener Erwerbsgesellschaften einer eingehenden Regelung zugeführt.

132

Gem. § 9 Abs. 1 VStG sind grundsätzlich alle zur Vertretung des Unternehmens nach außen berufenen natürlichen Personen verwaltungsstrafrechtlich verantwortlich. Sind mehrere natürliche Personen zur Außenvertretung eines Unternehmens berufen, so sind diese Personen nebeneinander strafbar. Es spielt keine Rolle, ob den verantwortlichen Personen im Unternehmen verschiedene Aufgaben zugewiesen sind oder nicht.

133

§ 9 Abs. 2 VStG eröffnet den zur Außenvertretung Berufenen jedoch die Möglichkeit, sich ihrer verwaltungsstrafrechtlichen Verantwortung zu entziehen, indem sie entweder aus ihrem Kreis einen verwaltungsstrafrechtlich Verantwortlichen bestellen (damit kann die vorhin angesprochene kumulative Bestrafung mehrerer Geschäftsführer oder Vorstandsmitglieder verhindert werden) oder für bestimmte räumlich oder sachlich abgegrenzte Bereiche des Unternehmens jeweils andere natürliche Personen, die zwar nicht zur Außenvertretung des Unternehmens berufen sind, die aber bestimmte in § 9 Abs. 4 VStG genannte Voraussetzungen mitbringen müssen, zu verwaltungsstrafrechtlichen Beauftragten zu bestellen.

134

Zu den Voraussetzungen, über die eine natürliche Person verfügen muss, um gem. § 9 Abs. 2 VStG zum verwaltungsstrafrechtlichen Verantwortlichen bestellt werden zu können, zählen ein Hauptwohnsitz im Inland, die strafrechtliche Verfolgbarkeit, das Bestehen einer entsprechenden Anordnungsbefugnis für den der Verantwortung des Beauftragten unterliegenden und ein klar abzugrenzender Bereich sowie der Nachweis, dass der Verantwortliche seiner Bestellung zugestimmt hat. Dieser Nachweis muss aus der Zeit vor der dem Unternehmen zur Last gelegten Verwaltungsübertretung stammen. Das bedeutet, dass etwa eine erst nach Tatbegehung datierte Bestellungsurkunde oder eine erst im laufenden Verwaltungsstrafverfahren eingeholte Zeugenaussage als Nachweis für die Bestellung eines verwaltungsstrafrechtlich Verantwortlichen nicht verwertbar sind.[1]

Anmerkungen

[1]

Schmied ZUV 2003, 130.

2. Kapitel Grundlagen für Compliance › B. Österreich › VI. Emittenten-Compliance

VI. Emittenten-Compliance

135

Unter dem Begriff „Compliance“ i.S.d. Emittenten-Compliance versteht man jene Maßnahmen, die der Insiderprävention dienen und die die Mechanismen der Ad-hoc-Publizität absichern sollen. Es geht dabei vor allem um die innerbetriebliche Kontrolle des Informationsflusses: Sensible Nachrichten sollen nicht ungefiltert weitergereicht werden können; Interessenskollisionen sollen möglichst vermieden werden.[1]

136

Gem. § 82 Abs. 5 BörseG hat jeder Emittent zur Hintanhaltung von Insidergeschäften

137

Die maßgeblichen Vorschriften für die Emittenten-Compliance finden sich im Börsegesetz und in der Emittenten-Compliance-Verordnung 2007[2](ECV) sowie in der direkt anwendbaren VO Nr. 596/2014/EU über Marktmissbrauch (Marktmissbrauchsverordnung),[3] auf welche in der ECV immer wieder verwiesen wird. Die jüngste Novelle zur ECV ist am 8. 8.2016 in Kraft getreten.[4] Die ECV wurde von der Finanzmarktaufsichtsbehörde (FMA) erlassen und regelt im Wesentlichen die Grundsätze für die Informationsweitergabe im Unternehmen eines Emittenten sowie die organisatorischen Maßnahmen zur Verhinderung einer missbräuchlichen Verwendung oder Weitergabe von Insider-Informationen. Der Begriff der Insider-Informationen wurde im Zuge der Novelle 2012 durch den Begriff der compliance-relevanten Informationen ergänzt. Die ECV gilt für jene Emittenten, deren Aktien oder aktienähnliche Wertpapiere zum Handel an einem geregelten Markt i.S.d. § 1 Abs. 2 BörseG in Österreich zugelassen sind oder für sie ein Zulassungsantrag i.S.d. § 72 BörseG gestellt wurde oder für welche der Emittent einen Antrag auf Einbeziehung in den Handel an einem multilateralen Handelssystem i.S.d. § 1 Z 9 WAG 2007 im Inland gestellt oder sie aufgrund eines solchen Antrags in den Handel einbezogen sind.

138

Eingangs werden in der ECV die Begriffe „Insider-Information“ und compliance-relevante Information definiert: Die Insider-Information ist eine Information, die die Voraussetzungen gem. Art. 7 der VO Nr. 596/2014/EUüber Marktmissbrauch (Marktmissbrauchsverordnung) erfüllt. Die compliance-relevante Information ist eine Insider-Information oder eine sonstige Information, die vertraulich oder kurssensibel ist.

1. Grundsätze für die Informationsweitergabe im Unternehmen

1.1 Einrichtung von Vertraulichkeitsbereichen

139

Was ein Vertraulichkeitsbereich ist, ergibt sich aus der Definition in § 3 ECV: Demnach sind Vertraulichkeitsbereiche sowohl ständige als auch vorübergehend (projektbezogen) eingerichtete Unternehmensbereiche, in denen Personen regelmäßig oder anlassbezogen Zugang zu compliance-relevanten Informationen haben. Als ständige Vertraulichkeitsbereiche gelten insbesondere: Aufsichtsrat, Geschäftsleitung, Zentralbetriebsrat, die Gesamtheit der im Unternehmen des Emittenten gewählten Betriebsräte, sofern nicht ein Zentralbetriebsrat besteht, sowie die für Controlling, Finanzen, Rechnungswesen und Kommunikation zuständigen Unternehmensbereiche.

140

Emittenten sind verpflichtet, ständige Vertraulichkeitsbereiche nach den in § 3 Z 3 ECV festgelegten Kriterien zu ermitteln und in der Compliance-Richtlinie festzuhalten. Eine Änderung in der strukturellen Zusammensetzung – etwa die Schaffung eines neuen Vertraulichkeitsbereiches oder die Zusammenlegung zweier Vertraulichkeitsbereiche – ist ebenfalls den Mitgliedern der Geschäftsleitung und den Arbeitnehmern des Emittenten in geeigneter Weise zur Kenntnis zu bringen. Für Emittenten, welche ausschließlich eine Holdingfunktion ausüben, bestehen Sonderregeln (§ 4 Abs 2 ECV).

141

Emittenten sind weiters verpflichtet, bei Vorliegen der Voraussetzungen des § 3 Z 3 ECV vorübergehende Vertraulichkeitsbereiche auf geeignete Weise einzurichten sowie den Beginn, das Ende und die Bezeichnung des Vertraulichkeitsbereiches und die darin ausgeübte Tätigkeit schriftlich festzuhalten und dem Compliance-Verantwortlichen zur Kenntnis zu bringen.

142

Vertraulichkeitsbereiche sind von anderen Unternehmensbereichen durch geeignete organisatorische Maßnahmen zur Verhinderung einer missbräuchlichen Verwendung oder Weitergabe von compliance-relevanten Informationen abzugrenzen. § 4 Abs. 4 ECV zählt demonstrativ einige Beispiele für geeignete organisatorische Maßnahmen zur Hintanhaltung einer missbräuchlichen Verwendung oder Weitergabe von compliance-relevanten Informationen auf. Zutrittsbeschränkungen können akustische Sperren oder versperrte Türen sein. Durch personelle Unvereinbarkeitsbestimmungen soll verhindert werden, dass ein Mitarbeiter mehreren Vertraulichkeitsbereichen angehört und dadurch compliance-relevante Informationen mehr oder weniger unkontrolliert von einem Bereich in den anderen gelangen. Als mögliche EDV-Zugriffsbeschränkung sind Passwörter, aber auch automatische Benutzersperren für Computer anzusehen. Ein Emittent hat die jeweils für sein Unternehmen geeigneten Maßnahmen zu ergreifen.

143

Der Emittent hat zudem sicherzustellen, dass Personen aus Vertraulichkeitsbereichen die aus den Rechts- und Verwaltungsvorschriften erwachsenden Pflichten schriftlich anerkennen und schriftlich erklären, sich der Sanktionen bewusst zu sein, die bei einer missbräuchlichen Verwendung oder einer nicht ordnungsgemäßen Verbreitung von compliance-relevanten Informationen verhängt werden. Dieser Verpflichtung kann üblicherweise dadurch nachgekommen werden, dass die Compliance-Richtlinie, in der die ständigen Vertraulichkeitsbereiche aufgezählt sind, nachweislich allen Mitarbeitern aus Vertraulichkeitsbereichen zur Kenntnis gebracht wurde. Für sonst für den Emittenten tätige Personen und Dienstnehmer, die in vorübergehenden (projektbezogenen) Vertraulichkeitsbereichen mitarbeiten, wird regelmäßig eine schriftliche, gegenzuzeichnende Erklärung erforderlich sein.

1.2 Umgang mit compliance-relevanten Informationen

144

Der Emittent hat geeignete Anweisungen zu erteilen, damit innerhalb eines Vertraulichkeitsbereiches compliance-relevante Informationen nur jenen Personen zur Kenntnis gelangen, die mit der Bearbeitung dieser Informationen auf Grund ihrer Tätigkeit befasst sind. Dabei ist die Anzahl der mit compliance-relevanten Informationen befassten Personen möglichst gering zu halten. Auf Grund ihrer Tätigkeit mit Insider-Informationen befasst sind nicht nur Mitarbeiter des Emittenten, sondern z.B. auch Mitglieder des Aufsichtsrates des Emittenten oder sonstige für den Emittenten im Rahmen von Projekten tätige Personen.

145

Auch hat der Emittent geeignete Anweisungen zu erteilen, damit alle im Unternehmen erstmals bekannt gewordenen und als solche erkannten compliance-relevanten Informationen unverzüglich dem Compliance-Verantwortlichen gemeldet werden. Diese Meldung ist ohne schuldhaften Verzug an den Compliance-Verantwortlichen zu erstatten. Damit es aber nicht zu einer Überflutung des Compliance-Verantwortlichen mit Informationen kommt (etwa weil Mitarbeiter in der Beurteilung solcher Informationen unsicher sind), sollte durch den Compliance-Verantwortlichen bereits im Vorfeld eine umfassende Aufklärung und Schulung stattfinden.

146

Schriftstücke und externe Datenträger, insbesondere Disketten und CD-ROM, die compliance-relevante Informationen beinhalten, sind derart aufzubewahren, dass sie jenen Personen nicht zugänglich sind, die mit der Bearbeitung dieser compliance-relevanten Informationen, der Schriftstücke oder der externen Datenträger nicht auf Grund ihrer Tätigkeit befasst sind. Elektronisch gespeicherte Daten einschließlich elektronischer Post, die compliance-relevante Informationen beinhalten, sind derart zu sichern, dass sie jenen Personen nicht zugänglich sind, die mit der Bearbeitung dieser compliance-relevanten Informationen oder Daten nicht auf Grund ihrer Tätigkeit befasst sind.

1.3 Weitergabe von compliance-relevanten Informationen

147

Der Emittent hat sicherzustellen, dass compliance-relevante Informationen auch im internen Geschäftsverkehr gegenüber anderen Unternehmensbereichen streng vertraulich behandelt werden und einen Vertraulichkeitsbereich nur unter den in der ECV vorgesehenen Bedingungen verlassen. Compliance-relevante Informationen dürfen aus einem Vertraulichkeitsbereich in einen anderen Unternehmensbereich nur dann weitergegeben werden, wenn dies zu Unternehmenszwecken erforderlich ist. Eine solche Informationsweitergabe hat sich auf den unbedingt erforderlichen Umfang zu beschränken.

148

Sobald eine compliance-relevante Information aus einem Vertraulichkeitsbereich weitergegeben wurde, ist der Compliance-Verantwortliche unverzüglich zu informieren. Dieser hat den Informationsinhalt, den Namen der meldenden Person, den Zeitpunkt des Erhalts der Meldung und der Weitergabe der Information sowie die Namen jener Personen aufzuzeichnen, die bereits Kenntnis von der compliance-relevanten Information besitzen oder Kenntnis erlangen sollen.

149

Der Emittent hat geeignete Vorkehrungen zu treffen, dass compliance-relevante Informationen auch nach dem Verlassen eines Vertraulichkeitsbereiches einer weiteren Geheimhaltung unterliegen, es sei denn, dass Insider-Informationen unter Einhaltung der Pflichten nach Art. 17 Abs. 1 und 8 der VO Nr. 596/2014/EU veröffentlicht werden. Zu diesen Vorkehrungen zählt insbesondere die Pflicht, den Adressaten der Information darauf hinzuweisen, dass es sich um eine compliance-relevante Information handelt.

150

Die Weitergabe von compliance-relevanten Informationen an unternehmensfremde Personen ist nur zulässig,

Hinsichtlich der Weitergabe von Insider-Informationen ist jedenfalls Art. 8 und 10 der VO Nr. 596/2014/EU zu beachten.

2. Organisatorische Maßnahmen zur Verhinderung einer missbräuchlichen Verwendung oder Weitergabe von compliance-relevanten Informationen

2.1 Sperrfristen und Handelsverbote

151

Der Emittent hat angemessene Zeiträume festzulegen, innerhalb derer Personen aus Vertraulichkeitsbereichen keine Orders in Finanzinstrumenten des Emittenten erteilen dürfen (Sperrfristen). Als angemessen i.S.d. Abs. 1 ist jedenfalls ein Zeitraum nach Maßgabe von Art. 19 Abs. 11 der VO Nr. 596/2014/EU anzusehen. Nicht umfasst von dieser Bestimmung sind Mitarbeiter des Emittenten, die keinem Vertraulichkeitsbereich angehören. Das Handelsverbot bezieht sich auf Finanzinstrumente, wie sie in § 3 Z 2 ECV definiert sind.

152

Weitere Sperrfristen kann der Compliance-Verantwortliche in Abstimmung mit der Geschäftsleitung des Emittenten festlegen, wobei diese Sperrfristen das Handelsverbot nach Abs. 1 auch auf einen eingeschränkten Kreis von Personen aus Vertraulichkeitsbereichen oder auf einzelne Vertraulichkeitsbereiche einschränken können. Der Tag des Beginns sowie – sofern eine solche bereits feststeht – die konkrete Dauer einer Sperrfrist sind den betreffenden Personen aus Vertraulichkeitsbereichen in geeigneter Weise und nachweislich zur Kenntnis zu bringen.

153

Ausnahmen vom Handelsverbot während einer Sperrfrist kann der Compliance-Verantwortliche einzelnen Personen eines Vertraulichkeitsbereiches in besonders begründeten, in persönlichen Umständen der Person gelegenen Fällen gewähren, wenn sichergestellt ist, dass das Geschäft in Finanzinstrumenten des Emittenten nicht den Vorschriften der Art. 19 Abs. 12 der VO Nr. 596/2014/EU und Art. 7, 8 und 9 der Delegierten VO 2016/522/EU[5] zuwiderläuft.

154

Der Compliance-Verantwortliche hat alle Anträge, die sich auf beabsichtigte Geschäfte in Finanzinstrumenten des Emittenten innerhalb von Sperrfristen beziehen, zu dokumentieren, indem er insbesondere den Namen der betreffenden Person, die Bezeichnung des Finanzinstruments sowie die Art, den Umfang und den Grund des beabsichtigten Geschäftes festhält. Darüber hinaus hat er seine Entscheidung sowie die maßgeblichen Gründe hierfür aufzuzeichnen.

2.2 Übermittlung von „Directors‚ Dealings“-Meldungen

155

Der Emittent hat durch geeignete organisatorische Maßnahmen sicherzustellen, dass Meldungen gem. Art. 19 der VO Nr. 596/2014/EU durch Personen aus Vertraulichkeitsbereichen auch dem Compliance-Verantwortlichen übermittelt werden und dass der Compliance-Verantwortliche den Inhalt und den Zeitpunkt dieser Meldungen aufzeichnet.

2.3 Insider-Listen

156

Der Emittent hat sicherzustellen, dass der Compliance-Verantwortliche ein Verzeichnis (Insider-Liste) führt, regelmäßig aktualisiert und auf Anfrage der FMA unverzüglich an diese übermittelt.

2.4 Compliance-Richtlinie

157

Gem. § 12 ECV ist jeder Emittent verpflichtet, in seinem Unternehmen eine interne Compliance-Richtlinie zu erlassen und den Mitgliedern des Aufsichtsrats, den Mitgliedern der Geschäftsleitung, den Arbeitnehmern und den sonst für den Emittenten tätigen Personen zur Kenntnis zu bringen.

158

Die Compliance-Richtlinie muss konkret bezeichnen und auflisten: