• deDeutschland | DE
Standorte anzeigen Standorte anzeigen
  • EQS IR COCKPIT
  • Whistleblowing Software
  • Hinweisgebersystem
  • Policy Management Software
  • Insider Management
  • Meldepflichten erfüllen
  • Digitaler Geschäftsbericht
  • IR Website
  • ESEF Service
  • LEI beantragen
  • Partnerschaften
  • Karriere bei EQS
Zurück zur Übersicht

5 Jahre MAR: Jetzt kommt auch noch die DSGVO ins Spiel

Die Marktmissbrauchsverordnung brachte viele neue Pflichten für Emittenten – nach 5 Jahren warten nun neue Herausforderungen.

by Moritz Homann 3 min

    Es gab viele Diskussionen, bevor die Marktmissbrauchsverordnung (Market Abuse Regulation, kurz MAR)  am 3. Juli 2016 in Kraft trat – und auch lange danach. In Umfragen der EQS Group unter börsennotierten Unternehmen war Monate später noch die Verunsicherung spürbar. Denn mit der neuen Verordnung, mit der die Europäische Wertpapier- und Marktaufsichtsbehörde (ESMA) ein deutliches Signal für den Anlegerschutz setzte, sahen sich die Emittenten mit vielen neuen Pflichten konfrontiert, vor allem die Vorschriften zum Insiderrecht boten dabei großen Interpretationsspielraum.


    Nach fünf Jahren MAR hat sich mittlerweile vieles eingespielt. Für Emittenten ist das allerdings kein Grund sich zurückzulehnen, da nun auch noch die EU-Datenschutzgrundverordnung (EU-DSGVO) ins Spiel kommt und eine Überprüfung des Datenbestands erfordert.

    Aller Anfang war schwer – vor allem für den Freiverkehr

    Für Unternehmen aus dem Freiverkehr, die keinem der Qualitätssegmente mit ihrer Quasi-Ad-hoc-Pflicht angehörten, aber beispielsweise auch für viele Emittenten von Corporate Bonds begannen die Herausforderungen durch die Marktmissbrauchsverordnung bereits mit den neuen Publizitätspflichten (insbesondere Art. 17 und 19 MAR).

    Sie mussten mit Inkrafttreten der MAR – im Gegensatz zu den Emittenten am geregelten Markt – erst die Voraussetzungen schaffen, um ihre Ad-hoc-Nachrichten und Directors‘ Dealings gesetzeskonform europaweit zu verbreiten; darüber hinaus galt es sicherzustellen, dass diese Informationen für einen Zeitraum von fünf Jahren auf der unternehmenseigenen Website öffentlich zugänglich sind. Weiterhin sehen die MAR-Regelungen vor, dass die Informationen an die nationale Aufsichtsbehörde, also in Deutschland die BaFin, sowie zur Veröffentlichung an das nationale Speichermedium (hierzulande das Unternehmensregister) und unter Umständen auch den Handelsplatzbetreiber übermittelt werden müssen. Mit professionellen, etablierten Lösungen ließen sich diese Pflichten jedoch aus einer Hand erfüllen und damit relativ einfach meistern.

    Insiderlisten: Mehr Insider, größere Datenmengen und erheblich mehr Aufwand

    Beim Insiderrecht standen aber auch die Emittenten aus dem geregelten Markt vor neuen Herausforderungen. Denn die Vorschriften der MAR verschärften die bisherigen Regelungen des deutschen Wertpapierhandelsgesetzes (WpHG) zur Bekämpfung von Insidergeschäften erheblich. Vor allem die Anforderungen zum Führen von Insiderlisten gemäß Artikel 18 MAR waren deutlich umfangreicher und erforderten einen höheren administrativen Aufwand. Die Verwaltung der Listen war damit keine Aufgabe mehr, die nebenbei mit einer Excelliste oder einem Word-Dokument erledigt werden konnte. 

    Insiderlisten, die es schon seit dem Anlegerschutzverbesserungsgesetz (AnSVG) im Jahr 2004 gab und damals noch Insiderverzeichnisse hießen, mussten nun gepflegt und laufend aktualisiert werden. Es mussten mehr Personen und auch mehr personenbezogene Daten erfasst werden. Dazu kam nun auch die aufwändige Dokumentation in Bezug auf die Kenntniserlangung sowie das Ende des Zugangs zu den jeweiligen Insiderinformationen, jeweils erfasst mit der koordinierten Weltzeit (UCT).  

    Es reichen auch nicht mehr permanente, funktionsbezogene Insiderlisten; die Insider müssen seit 2016 projekt- und ereignisbezogenen Listen zugeordnet werden. Außerdem fordert die MAR – das war ebenfalls neu – Vorkehrungen zu treffen, dass die Insider ihre aus den Rechts- und Verwaltungsvorschriften erwachsenden Pflichten anerkennen und sich der möglichen Sanktionen bewusst werden.  

    Diese komplexen Workflows für Insidererfassung und -aufklärung (mit allen dafür erforderlichen Formularen), automatische Versionierung und viele anderen Funktionen lassen sich nur noch mit professionellen, digitalen Lösungen abbilden. Die meisten Emittenten gehen hier auf Nummer sicher, denn nur mit Tools wie dem EQS Insider Manager können sie beispielsweise Informationsersuchen der Aufsichtsbehörden zu einzelnen Projekten und Insidern jederzeit schnell und einfach nachkommen – und erfüllen auch alle Anforderungen der DSGVO. 

    Was hat die EU-Marktmissbrauchsverordnung mit der DSGVO zu tun?

    Seit dem Sommer 2016 erfassen die Emittenten große Datenmengen, um ihre Insiderlisten MAR-konform zu führen. Diese insiderrelevanten Daten müssen laut Art 18 (5) MAR mindestens fünf Jahre gespeichert werden. Nach Ablauf dieser Frist greifen die Bestimmungen der EU-Datenschutzgrundverordnung (EU-DSGVO): Sofern keine sonstigen rechtlichen Verpflichtungen oder Gründe zur Verarbeitung (DSGVO, Art 6 1) c)) vorliegen, dürfen personenbezogene Daten nicht länger gespeichert werden.

    Im Kontext von Insiderlisten ist die Umsetzung der Löschverpflichtung eine Herkulesaufgabe. Denn es gilt dabei nicht nur, die aktuellen Listen auf die 5-Jahres-Zeitspanne zu überprüfen, sondern auch aufgrund der vorgeschriebenen Versionierung die historischen Daten zu durchleuchten, die bis zu 5 Jahre in der Vergangenheit liegen. Es kann daher vorkommen, dass vom selben Insider Daten, die älter als 5 Jahre sind, nun gelöscht werden sollten, neuere jedoch noch aufbewahrt werden müssen. Dies ist manuell nicht darstellbar.

    Datenschutz- und MAR-konform: EQS Insider Manager mit Datenlöschkonzept

    Nach 5 Jahren MAR stehen bei vielen Emittenten nun die ersten Daten zur Löschung an. Doch wie kann die Überprüfung der Datensätze in der Praxis umgesetzt werden?

    Die EQS Group als führender Anbieter von digitalen Lösungen für die Pflege von Insiderverzeichnissen hat hierfür ein Datenlöschkonzept entwickelt, mit dem Emittenten ihre Insiderdaten künftig sowohl MAR- als auch DSGVO-konform pflegen können.

    Diese neuen Features werden die Verwaltung der personenbezogenen Daten im EQS Insider Manager erheblich erleichtern:

    • Personenbezogene Daten werden nach mehr als einem Dutzend Kriterien geprüft und zum Löschen vorgeschlagen, sofern sie älter als fünf Jahre und aktuell nicht mehr relevant sind.
    • Für jeden einzelnen Datenpunkt ist die Begründung einsehbar, weshalb er gelöscht werden sollte.
    • Die endgültige Entscheidung über die Löschung liegt beim Verzeichnisführer.
    • Ein wöchentlicher Reminder erinnert die Verzeichnisführer an Daten, die zum Löschen vorgesehen sind.
    • Kompletter Audit Trail mit allen Löschvorgängen und Zeitstempeln.
    Ultimativer Leitfaden: Compliance-Risikoanalyse leicht gemacht

    Dieser Leitfaden erklärt übersichtlich, wie Sie erfolgreich eine Analyse der Compliance-Risiken in Ihrem Unternehmen durchführen

    Jetzt herunterladen
    Moritz Homann
    Moritz Homann

    Managing Director Corporate Compliance – EQS Group | Moritz Homann verantwortet beim Münchner Technologieanbieter EQS Group den Produktbereich Corporate Compliance. In dieser Funktion betreut er die strategische Entwicklung digitaler Workflow-Lösungen, die auf die Bedürfnisse von Compliance-Beauftragten auf der ganzen Welt zugeschnitten sind.

    Kontakt