Verdachtsmeldung vs. Datenschutz

Mit Inkrafttreten der DSGVO riskieren Unternehmen durch den rechtswidrigen Umgang mit personenbezogenen Daten von Mitarbeitern noch höhere Sanktionen als zuvor. Eine Verarbeitung dieser Daten ist erlaubt, wenn der Zweck der Aufdeckung von Straftaten dient. Die Frage, wann genau dieser Fall vorliegt und wie mit ihm umzugehen ist, sorgt jedoch noch häufig für Unsicherheiten.


Bildnachweis: iStock.com/alashi

Mit Inkrafttreten der Datenschutzgrundverordnung sind datenschutzrechtliche Aspekte und die daraus folgenden verschärften Sanktionen stärker in den Fokus von Unternehmen gerückt. Im Rahmen der Mitarbeitergeschäftskontrolle – einer Pflicht aus MiFID II – erhält die Compliance-Funktion eine Vielzahl an vertraulichen personenbezogenen Daten (bspw. Depotbestand und getätigte Geschäfte). Die Compliance-Funktion muss im Interesse der Effektivität stets die Grundfunktionen „Vorbeugen, Aufdecken, Reagieren“ im Blick haben. Das Vorbeugen erfolgt in der Regel durch Schulungen, Workshops und Policies, die den Mitarbeitern die erlaubten und verbotenen Geschäfte aufzeigen; das Aufdecken von nicht erlaubten Mitarbeitergeschäften, die gegen das Insiderhandelsverbot verstoßen, erfolgt durch die besagte Mitarbeitergeschäftskontrolle. Wie das Reagieren zu erfolgen hat, wird durch den Schutz der personenbezogenen Daten des Arbeitnehmers und zusätzlich durch die arbeitsrechtliche Fürsorgepflicht des Arbeitgebers beeinflusst.

Keine unabdingbare STOR-Meldepflicht

Als Reaktion auf ein persönliches Geschäft könnte eine sogenannte Verdachtsmeldung gemäß Art. 16 Abs. 2 Marktmissbrauchsverordnung (MAR) abgegeben werden. Hiernach müssen Institute, die gewerbsmäßig Geschäfte vermitteln oder ausführen, bei begründetem Verdacht auf Insiderhandel unverzüglich die BaFin unterrichten. Getreu dem Motto „Melden macht frei“ werden verdächtige Mitarbeitergeschäfte der BaFin per STOR-Meldung angezeigt. Aber der Teufel steckt wie immer im Detail. Nur bei einer ausdrücklichen Regelung, dass verdächtige Mitarbeitergeschäfte der BaFin zu melden sind, kann ein arbeits- oder datenschutzrechtlicher Pflichtverstoß des Arbeitgebers mit Sicherheit ausgeschlossen werden. Doch genau hier liegt das Problem, da es keinen direkten Verweis von der Mitarbeitergeschäftskontrolle (MiFID-II-Pflicht) auf die Meldung von verdächtigen persönlichen Geschäften (MAR-Pflicht) gibt. Beide Verpflichtungen sind in verschiedenen Europäischen Rechtsverordnungen geregelt, die unterschiedliche Zielrichtungen haben: MAR fokussiert auf die Marktintegrität, MiFID II hat primär Anleger-/Kundenschutz im Blick. Daher ist nicht von einer unabdingbaren STOR-Meldepflicht auszugehen.

Zwei mögliche Alternativen

Widmen wir uns nur kurz dem Wortlaut, aus dem sich die Verdachtsmeldung ergibt: „Institute, die gewerbsmäßig Geschäfte vermitteln oder ausführen, müssen bei einem Verdacht eine Meldung abgeben“. Hieraus könnte man zwei Alternativen ableiten: Eine Meldepflicht besteht nur bei Geschäften, die das Institut selbst vermittelt oder ausgeführt hat und bei denen erstens ein Verdacht aufgetreten ist oder zweitens bei sämtlichen Geschäften, die dem Institut zur Kenntnis gelangen – unabhängig davon, ob das Institut das Geschäft vermittelt oder ausgeführt hat. Eine eindeutige Meldepflicht lässt sich nicht ableiten. Auch der Sinn und Zweck der Vorschrift lässt keinen eindeutigen Schluss zu: Art. 16 MAR regelt primär die Vorbeugung und Aufdeckung von Marktmissbrauch – die Meldung ist nur eine Folge, die sich zweifelsfrei aus der Aufdeckung ergibt, um einen effektiven Schutz der Marktintegrität zu gewährleisten. Kurz gesagt: Beide Normen regeln unter Berücksichtigung des Schutzzwecks inhaltlich das Gleiche: Vorbeugung und Aufdeckung.

Meldepflicht von Mitarbeitergeschäften gem. Art. 16 MAR ist nicht eindeutig

Jedoch enthält Art. 16 MAR ein Add-On: die Meldepflicht an die BaFin. Nur weil es für Mitarbeitergeschäfte in der MiFID II keine direkte Meldepflicht gibt, kann die Meldepflicht aus der MAR nicht durch eine Analogie zweifelsfrei konstruiert werden. Insgesamt lässt sich in der gebotenen Kürze festhalten: Eine eindeutige Meldepflicht von Mitarbeitergeschäften gem. Art. 16 MAR an die BaFin gibt es nicht.

Sanktionen für Misstände hängen vom Einzelfall ab

Entscheidend muss sein, dass die Compliance-Funktion auf Missstände angemessen reagiert und der betroffene Mitarbeiter bei Verdachtsmomenten ausreichend sanktioniert wird. Die Sanktionen hängen vom Einzelfall ab, etwa von der Intensität des Verdachts oder ob es sich um eine Wiederholungstat handelt. Zumindest wenn sich ein Verdachtsmoment konkretisiert und mit Sicherheit ein verbotenes Insidergeschäft vorliegt, sollte dem Mitarbeiter durch Löschen von IT-Berechtigungen unverzüglich der Zugang zu Insiderinformationen entzogen werden und seine Versetzung in einen weniger informationssensiblen Bereich erfolgen. In einem solchen Fall sollte auch eine STOR-Meldung an die BaFin intensiv geprüft werden. Zusätzlich sind arbeitsvertragliche Reaktionen in Betracht zu ziehen. In jedem Fall ist der Vorgang, insbesondere die eingeleiteten Schritte sowie deren Ergebnisse, nachvollziehbar zu dokumentieren, um eine hinreichende Transparenz gegenüber Aufsichtsbehörden und Prüfern sicherzustellen.

Lesen Sie auch

Fachbeiräte