Читать книгу Compliance - Markus Böttcher - Страница 77

139

Was ein Vertraulichkeitsbereich ist, ergibt sich aus der Definition in § 3 ECV: Demnach sind Vertraulichkeitsbereiche sowohl ständige als auch vorübergehend (projektbezogen) eingerichtete Unternehmensbereiche, in denen Personen regelmäßig oder anlassbezogen Zugang zu compliance-relevanten Informationen haben. Als ständige Vertraulichkeitsbereiche gelten insbesondere: Aufsichtsrat, Geschäftsleitung, Zentralbetriebsrat, die Gesamtheit der im Unternehmen des Emittenten gewählten Betriebsräte, sofern nicht ein Zentralbetriebsrat besteht, sowie die für Controlling, Finanzen, Rechnungswesen und Kommunikation zuständigen Unternehmensbereiche.

140

Emittenten sind verpflichtet, ständige Vertraulichkeitsbereiche nach den in § 3 Z 3 ECV festgelegten Kriterien zu ermitteln und in der Compliance-Richtlinie festzuhalten. Eine Änderung in der strukturellen Zusammensetzung – etwa die Schaffung eines neuen Vertraulichkeitsbereiches oder die Zusammenlegung zweier Vertraulichkeitsbereiche – ist ebenfalls den Mitgliedern der Geschäftsleitung und den Arbeitnehmern des Emittenten in geeigneter Weise zur Kenntnis zu bringen. Für Emittenten, welche ausschließlich eine Holdingfunktion ausüben, bestehen Sonderregeln (§ 4 Abs 2 ECV).

141

Emittenten sind weiters verpflichtet, bei Vorliegen der Voraussetzungen des § 3 Z 3 ECV vorübergehende Vertraulichkeitsbereiche auf geeignete Weise einzurichten sowie den Beginn, das Ende und die Bezeichnung des Vertraulichkeitsbereiches und die darin ausgeübte Tätigkeit schriftlich festzuhalten und dem Compliance-Verantwortlichen zur Kenntnis zu bringen.

142

Vertraulichkeitsbereiche sind von anderen Unternehmensbereichen durch geeignete organisatorische Maßnahmen zur Verhinderung einer missbräuchlichen Verwendung oder Weitergabe von compliance-relevanten Informationen abzugrenzen. § 4 Abs. 4 ECV zählt demonstrativ einige Beispiele für geeignete organisatorische Maßnahmen zur Hintanhaltung einer missbräuchlichen Verwendung oder Weitergabe von compliance-relevanten Informationen auf. Zutrittsbeschränkungen können akustische Sperren oder versperrte Türen sein. Durch personelle Unvereinbarkeitsbestimmungen soll verhindert werden, dass ein Mitarbeiter mehreren Vertraulichkeitsbereichen angehört und dadurch compliance-relevante Informationen mehr oder weniger unkontrolliert von einem Bereich in den anderen gelangen. Als mögliche EDV-Zugriffsbeschränkung sind Passwörter, aber auch automatische Benutzersperren für Computer anzusehen. Ein Emittent hat die jeweils für sein Unternehmen geeigneten Maßnahmen zu ergreifen.

143

Der Emittent hat zudem sicherzustellen, dass Personen aus Vertraulichkeitsbereichen die aus den Rechts- und Verwaltungsvorschriften erwachsenden Pflichten schriftlich anerkennen und schriftlich erklären, sich der Sanktionen bewusst zu sein, die bei einer missbräuchlichen Verwendung oder einer nicht ordnungsgemäßen Verbreitung von compliance-relevanten Informationen verhängt werden. Dieser Verpflichtung kann üblicherweise dadurch nachgekommen werden, dass die Compliance-Richtlinie, in der die ständigen Vertraulichkeitsbereiche aufgezählt sind, nachweislich allen Mitarbeitern aus Vertraulichkeitsbereichen zur Kenntnis gebracht wurde. Für sonst für den Emittenten tätige Personen und Dienstnehmer, die in vorübergehenden (projektbezogenen) Vertraulichkeitsbereichen mitarbeiten, wird regelmäßig eine schriftliche, gegenzuzeichnende Erklärung erforderlich sein.