Bitte melden Sie sich an

Registrieren Sie Sich als Premium-Mitglied, um Vorträge herunterzuladen.

  • 100% Rabatt auf alle Club-Events und Kongresse
  • Download der Vortragsunterlagen aller Veranstaltungen
  • Zugriff auf Fotogalerie aller Veranstaltungen
Sie sind noch kein Mitglied?

Dann registrieren Sie sich jetzt:

Jetzt Mitglied werden
Sie sind bereits Mitglied oder waren Teilnehmer?

Bitte loggen Sie sich ein:

Jetzt einloggen
Jetzt Mitglied werden

Verdachtsmeldung vs. Datenschutz

Mit Inkrafttreten der DSGVO riskieren Unternehmen durch den rechtswidrigen Umgang mit personenbezogenen Daten von Mitarbeitern noch höhere Sanktionen als zuvor. Eine Verarbeitung dieser Daten ist erlaubt, wenn der Zweck der Aufdeckung von Straftaten dient. Die Frage, wann genau dieser Fall vorliegt und wie mit ihm umzugehen ist, sorgt jedoch noch häufig für Unsicherheiten.

Von Alexander Stehr - 27. November 2018

Bildnachweis: iStock.com/alashi

Mit Inkrafttreten der Datenschutzgrundverordnung sind datenschutzrechtliche Aspekte und die daraus folgenden verschärften Sanktionen stärker in den Fokus von Unternehmen gerückt. Im Rahmen der Mitarbeitergeschäftskontrolle – einer Pflicht aus MiFID II – erhält die Compliance-Funktion eine Vielzahl an vertraulichen personenbezogenen Daten (bspw. Depotbestand und getätigte Geschäfte). Die Compliance-Funktion muss im Interesse der Effektivität stets die Grundfunktionen „Vorbeugen, Aufdecken, Reagieren“ im Blick haben. Das Vorbeugen erfolgt in der Regel durch Schulungen, Workshops und Policies, die den Mitarbeitern die erlaubten und verbotenen Geschäfte aufzeigen; das Aufdecken von nicht erlaubten Mitarbeitergeschäften, die gegen das Insiderhandelsverbot verstoßen, erfolgt durch die besagte Mitarbeitergeschäftskontrolle. Wie das Reagieren zu erfolgen hat, wird durch den Schutz der personenbezogenen Daten des Arbeitnehmers und zusätzlich durch die arbeitsrechtliche Fürsorgepflicht des Arbeitgebers beeinflusst.

Keine unabdingbare STOR-Meldepflicht

Als Reaktion auf ein persönliches Geschäft könnte eine sogenannte Verdachtsmeldung gemäß Art. 16 Abs. 2 Marktmissbrauchsverordnung (MAR) abgegeben werden. Hiernach müssen Institute, die gewerbsmäßig Geschäfte vermitteln oder ausführen, bei begründetem Verdacht auf Insiderhandel unverzüglich die BaFin unterrichten. Getreu dem Motto „Melden macht frei“ werden verdächtige Mitarbeitergeschäfte der BaFin per STOR-Meldung angezeigt. Aber der Teufel steckt wie immer im Detail. Nur bei einer ausdrücklichen Regelung, dass verdächtige Mitarbeitergeschäfte der BaFin zu melden sind, kann ein arbeits- oder datenschutzrechtlicher Pflichtverstoß des Arbeitgebers mit Sicherheit ausgeschlossen werden. Doch genau hier liegt das Problem, da es keinen direkten Verweis von der Mitarbeitergeschäftskontrolle (MiFID-II-Pflicht) auf die Meldung von verdächtigen persönlichen Geschäften (MAR-Pflicht) gibt. Beide Verpflichtungen sind in verschiedenen Europäischen Rechtsverordnungen geregelt, die unterschiedliche Zielrichtungen haben: MAR fokussiert auf die Marktintegrität, MiFID II hat primär Anleger-/Kundenschutz im Blick. Daher ist nicht von einer unabdingbaren STOR-Meldepflicht auszugehen.

Zwei mögliche Alternativen

Widmen wir uns nur kurz dem Wortlaut, aus dem sich die Verdachtsmeldung ergibt: „Institute, die gewerbsmäßig Geschäfte vermitteln oder ausführen, müssen bei einem Verdacht eine Meldung abgeben“. Hieraus könnte man zwei Alternativen ableiten: Eine Meldepflicht besteht nur bei Geschäften, die das Institut selbst vermittelt oder ausgeführt hat und bei denen erstens ein Verdacht aufgetreten ist oder zweitens bei sämtlichen Geschäften, die dem Institut zur Kenntnis gelangen – unabhängig davon, ob das Institut das Geschäft vermittelt oder ausgeführt hat. Eine eindeutige Meldepflicht lässt sich nicht ableiten. Auch der Sinn und Zweck der Vorschrift lässt keinen eindeutigen Schluss zu: Art. 16 MAR regelt primär die Vorbeugung und Aufdeckung von Marktmissbrauch – die Meldung ist nur eine Folge, die sich zweifelsfrei aus der Aufdeckung ergibt, um einen effektiven Schutz der Marktintegrität zu gewährleisten. Kurz gesagt: Beide Normen regeln unter Berücksichtigung des Schutzzwecks inhaltlich das Gleiche: Vorbeugung und Aufdeckung.

Meldepflicht von Mitarbeitergeschäften gem. Art. 16 MAR ist nicht eindeutig

Jedoch enthält Art. 16 MAR ein Add-On: die Meldepflicht an die BaFin. Nur weil es für Mitarbeitergeschäfte in der MiFID II keine direkte Meldepflicht gibt, kann die Meldepflicht aus der MAR nicht durch eine Analogie zweifelsfrei konstruiert werden. Insgesamt lässt sich in der gebotenen Kürze festhalten: Eine eindeutige Meldepflicht von Mitarbeitergeschäften gem. Art. 16 MAR an die BaFin gibt es nicht.

Sanktionen für Misstände hängen vom Einzelfall ab

Entscheidend muss sein, dass die Compliance-Funktion auf Missstände angemessen reagiert und der betroffene Mitarbeiter bei Verdachtsmomenten ausreichend sanktioniert wird. Die Sanktionen hängen vom Einzelfall ab, etwa von der Intensität des Verdachts oder ob es sich um eine Wiederholungstat handelt. Zumindest wenn sich ein Verdachtsmoment konkretisiert und mit Sicherheit ein verbotenes Insidergeschäft vorliegt, sollte dem Mitarbeiter durch Löschen von IT-Berechtigungen unverzüglich der Zugang zu Insiderinformationen entzogen werden und seine Versetzung in einen weniger informationssensiblen Bereich erfolgen. In einem solchen Fall sollte auch eine STOR-Meldung an die BaFin intensiv geprüft werden. Zusätzlich sind arbeitsvertragliche Reaktionen in Betracht zu ziehen. In jedem Fall ist der Vorgang, insbesondere die eingeleiteten Schritte sowie deren Ergebnisse, nachvollziehbar zu dokumentieren, um eine hinreichende Transparenz gegenüber Aufsichtsbehörden und Prüfern sicherzustellen.

Alexander Stehr

IKB Deutsche Industriebank AG

Alexander Stehr ist Volljurist und bei der IKB Deutsche Industriebank AG als Compliance Officer im Bereich WpHG-Compliance tätig.

Lesen Sie auch

Compliance-Funktion: Botschafter der Risikokultur

Die MaRisk verpflichtet die Geschäftsführung von Kreditinstituten, eine[…]

Carina Sophie Röthke

Compliance mit Storytelling

Frontalschulung, Dialogschulung, Live- und Video-Schulung – so gelingen[…]

Elfriede Jirges

Beschwerdemanagement als Wettbewerbsvorteil

Zentral oder dezentral? Umsetzungen der Anforderungen des BaFin-Rundschreibens[…]

Christian Gudat

Sachkunde auf dem Prüfstand

Die Sachkunde eines Mitarbeiters in der Anlageberatung darf[…]

Manuel Regent

Offene Fragen bei der Ex-ante-Kostentransparenz

Trotz BaFin-Erläuterungen gibt es immer wieder Unklarheiten bei[…]

Arne Almási

„Wir arbeiten daran, dass die PSD2 ein Erfolg wird“

Die PSD2 erlaubt digitalen Zahlungsdiensten über eine Schnittstelle[…]

Redaktion

„Erst kam die Finanzkrise, dann der regulatorische Tsunami“

Bei unserem Kongress COMPLAINCEforBANKS 2019 kamen auch dieses[…]

Daniel Fernandez

„Das Netz wird engmaschiger“

Die Bekämpfung von Geldwäsche und Terrorismusfinanzierung nimmt beim[…]

Daniel Fernandez

„Heute geht es vor allem darum, etablierte Standards anzunehmen und effizienter zu werden“

Machine Learning ist aktuell branchenübergreifend in aller Munde.[…]

Redaktion

„Die PSD2 gibt Banken ein Stück Kontrolle zurück“

Die PSD2 öffnet die Schnittstellen von Banken für[…]

Daniel Fernandez

Mit offener Unternehmenskultur zu gutem Compliance-Bewusstsein

Ein gesundes Risiko- und Compliance-Bewusstsein ist elementarer Bestandteil[…]

Redaktion

Der Transparenz verpflichtet

Die regulatorische Belastung auf deutsche Finanzinstitute wächst stetig[…]

Axel Schmale

Mit Fintechs zu besserem Compliance Management

Fintech-Kooperationen sind eine beliebte Methode für Banken, ihre[…]

Dr. Silvana Gangi Chiodo

Die Compliance-Funktion nach MaRisk und ihr Compliance-Life-Cycle

Die BaFin hat mit der 4. Novelle der[…]

Markus Müller

Regulatorik: Synergien nutzen und Ressourcen sparen

Die Notwendigkeit für Banken, trotz wachsender regulatorischer Anforderungen[…]

Luise Fleischmann

Neulich in der Copy-Paste-Abteilung

Fehlerhafte Marketing- und Vertriebsunterlagen führen nicht selten zu[…]

Tobias Schenkel

Datenschutzorganisation wird zur Chefsache

Die seit Ende Mai geltende DSGVO droht mit[…]

Dennis Heinemeyer

„30 Sekunden vor 12“

Regulierung kann für Banken ein wichtiger Verbündeter sein.[…]

Thorsten Hahn

Was bedeutet die EU-DSGVO für Banken und ihre Kunden?

Die EU-DSGVO (Europäische Datenschutz-Grundverordnung) wurde zunächst vor allem[…]

Jürgen P. Müller

Die besonderen Herausforderungen der GwG-Meldepflicht

Der § 43 GwG, die unverzügliche Meldepflicht von[…]

Thomas Seidel

Moral, MiFID II und Verletzungen beim Handball

Nachbericht zum Kongress COMPLIANCEforBANKS 2018

Tobias Schenkel

Ausgewählte Neuerungen zum Thema Auslagerungen in der 5. MaRisk-Novelle

Am 27. Oktober 2017 veröffentlichte die Bundesanstalt für[…]

Christian Gudat

Geschützt: Vorträge ComplianceForBanks 2018 (exklusiv für Mitglieder und Teilnehmer)

Es gibt keine Kurzfassung, da dies ein geschützter[…]

Redaktion

Der goldene Mittelweg im Spannungsfeld der Regularien

Eine der größten Herausforderungen und gleichzeitig wichtigsten Aufgaben[…]

Elfriede Jirges

Die Entourage von politisch exponierten Personen als Bankkunden

Banken müssen im Rahmen der Erfüllung ihrer gesetzlichen[…]

André Blum

Eine Revolution auf dem Markt für Identitätsprüfungen

In Zeiten der rasanten Digitalisierung können Banken und[…]

Uwe Stelzig

„APT10 greift vor allem Managed Service Provider an“

Seit etwa einem Jahr kam es vermehrt zu[…]

Philipp Scherber

Der alte Mann und die Malware

Der Rückgang von Filialen sowie Gebühren für Überweisungen[…]

Daniel Fernandez

UK Bribery Act 2.0 – Erfahrungen im Umgang mit Geschäftspartnern

Seit Inkrafttreten des UK Bribery Act im Juli[…]

Johanna Duenser

Die Verschärfung des Korruptionsstrafrechts und die Auswirkungen auf Kreditinstitute

Die Verhinderung von Korruption war abseits der Schwerpunktthemen[…]

Fabian Malkoc

Der Regierungsentwurf zur Umsetzung der 4. Geldwäsche-Richtlinie der EU

Am 22. Februar 2017 legte die Bundesregierung ihren[…]

Indranil Ganguli

„Betrugsrisiken sind durch Online-Legitimation gesunken“

Auch in einer Zeit, in der immer stärker[…]

Philipp Scherber

Cybercrime-Bedrohungen im Jahr 2017

Im vergangenen Jahr wurde Cybersicherheit im Rahmen zahlreicher[…]

Michael Hagebölling

Business Judgement Rule im Privatstiftungsrecht

Nach einer kürzlich ergangenen Entscheidung des Obersten Gerichtshofs[…]

Manfred Wieland

Deutsche Bank einigt sich mit amerikanischen Behörden

Die Deutsche Bank hat sich im Streit über[…]

Daniel Fernandez

Gemeinsam gegen Betrugsversuche

Ob manipulierte Unterlagen wie Gehaltsabrechnungen bei Kreditanträgen oder[…]

Stephan R. Peters

Fraud: der menschliche Faktor

Mit betrügerischen Handlungen beschäftigt man sich im geschäftlichen[…]

Michael Leuthner

Digitalisierung = Illegalisierung?

Eine Firewall zu überwinden, stellt heute für Geübte[…]

Christian Grosshardt

Hanns Feigen

Landgericht München, 25. April 2016, Verfahren gegen fünf[…]

Philipp Scherber

Wasch mich, aber mach mich nicht nass – Vol. 2

Es kommt nicht oft vor, dass eine Bank[…]

Thorsten Hahn

Quo vadis MiFID II? Anlegerschutz oder das Ende der Anlageberatung?

MiFID II wird auf Anfang 2018 verschoben, und[…]

Andreas Gehrke

Zwischen der Schulung und der Praxis liegt das Meer

Die Umsetzung von Schulungsinhalten kann Mitarbeiter vor Probleme[…]

Ronny Fuchs

„Willkommen beim Rudern“

MiFID II um ein Jahr verschoben. Aufatmen bei[…]

Philipp Scherber

Kosten- und Risikoreduzierung durch qualitativ hochwertige Kundendaten

Entity Resolution, also die Systematisierung, Verlinkung und Gruppierung[…]

Philipp Scherber

Das Ende der improvisierten IT

Immer, wenn Banken und Versicherungen versuchen, Anforderungen der[…]

Carsten Krah

Datensicherheit: Einfallstor Drucker

Cyberattacken gehören für Unternehmen mittlerweile zum Alltag. Umso[…]

Julian Achleitner

Weniger ist manchmal mehr

MiFID II steht in den Startlöchern und viele[…]

Christian Grosshardt

Compliance-Paranoia in deutschen Banken?

Eine Überlegung.

Julian Achleitner