Cyberattacken und deren Folgen aus börserechtlicher Sicht

von Michael Haiböck | 25.10.2017

NHS, Equifax, Deloitte. Cyberattacken sind zu einer ständigen Bedrohung geworden. Ist die Attacke einmal geschehen, gelten auch aus kapitalmarktrechtlicher Sicht gewisse Do’s and Don’ts.

Ein rezentes Beispiel für einen missglückten Umgang mit einem erfolgten Cyberangriff ist der US-Wirtschaftsauskunfter Equifax. Manager gaben den Diebstahl von 143 Mio Kundendaten erst Wochen nach internem Bekanntwerden der Öffentlichkeit weiter. Zuvor verkauften sie noch ihre Anteile, um dem Kursabsturz zu entgehen. Ein klarer Verstoß gegen die Marktmissbrauchsbestimmungen über Ad-hoc-Publizität und Insiderhandel.

Als Ad-hoc-Publizität nach Art 17 Abs 1 Marktmissbrauchsverordung (MMVO) wird die Pflicht des Emittenten eines Finanzinstruments bezeichnet, Insiderinformationen unverzüglich bekannt zu geben. Dies hat in einer Weise zu erfolgen, die es der Öffentlichkeit ermöglicht, schnell auf sie zuzugreifen, und sie vollständig, korrekt und rechtzeitig zu bewerten.

Insiderinformationen sind nach Art 7 Abs 1 lit a MMVO nicht öffentlich bekannte Informationen, die Emittenten oder Finanzinstrumente betreffen und bei öffentlicher Bekanntheit geeignet wären, den Kurs dieser Finanzinstrumente oder deren Derivate erheblich zu beeinflussen. Denkbar sind etwa Umstrukturierungen, Forschungserfolge, Haftungen oder die hier anlassgebenden Cyberattacken.

Hintergrund dieser Verpflichtung ist die Intention, bestimmte, für die Anlageentscheidung des Publikums bedeutsame Informationen dergestalt auf den Markt zu bringen, dass alle Marktteilnehmer in gleichem Maße Gelegenheit haben, auf die Informationen zu reagieren und nicht Einzelne ihren Informationsvorsprung einseitig ausnützen können. Neben dem Anlegerschutz dient die Ad-hoc-Publizität auch dem Schutz des Marktes, da nur unter möglichst rascher Einbeziehung aller relevanten Informationen eine effiziente Preisbildung gefördert wird. Durch hohe Transparenz wird die Effizienz des Marktes gesteigert und die Volatilität begrenzt.

Naturgemäß verleitet ein Informationsvorsprung dazu, diesen zu eigenen Gunsten am Kapitalmarkt zu nutzen. Um dies zu verhindern, ist der Insiderhandel nach Art 124 lit a MMVO verboten. Nach der Definition des Art 8 Abs 1 MMVO liegt ein Insidergeschäft vor, wenn eine Person unter Nutzung von Insiderinformationen Finanzinstrumente erwirbt oder veräußert, oder einen Dritten dazu veranlasst. Einerseits soll die Möglichkeit des Insiderhandels schon durch die Publizitätsvorschriften verhindert werden, andererseits ist diesbezüglich auch ein davon losgelöstes Verbot normiert.

Durch rigorose Strafbestimmungen soll die Ad-hoc-Publizität durchgesetzt und dem Insiderhandel Einhalt geboten werden.

So normiert § 48d Abs 1 Z 2 BörseG zunächst einen Verwaltungsstraftatbestand für Verstöße gegen die Verpflichtung zur Ad-hoc-Publizität. Die FMA kann Geldstrafen bis zum Dreifachen des aus dem Verstoß gezogenen Nutzens oder des bezifferbaren vermiedenen Verlustes oder bis zu EUR 1 Million verhängen.

Im Falle des Insiderhandels kann die FMA nach § 48c Abs 1 Z 1, 2 BörseG bis zum Dreifachen des gezogenen Nutzens oder bis zu EUR 5 Mio verhängen. Zudem sieht § 48m BörseG gerichtliche Straftatbestände vor. Demnach ist mit Freiheitsstrafe von 6 Monaten bis zu 5 Jahren zu bestrafen, wer als Insider unter Nutzung einer Insiderinformation Verfügungen über Finanzinstrumente in einem EUR 1 Mio übersteigenden Ausmaß trifft oder dies einem anderen empfiehlt. Als Insider im Sinne dieser Bestimmung gilt, wer Insiderinformationen als Organ des Emittenten erlangt, aufgrund der Ausübung einer Arbeit oder eines Berufs oder der Erfüllung von Aufgaben Zugang zu den betreffenden Informationen hat oder sich die Information durch die Begehung strafbarer Handlungen verschafft hat.

Juristische Personen können gemäß § 48e BörseG von der FMA mit noch schwerwiegenderen Strafen belegt werden, wenn die handelnde Person eine Führungsposition innehat und gegen die obigen Vorschriften verstößt. Im Falle der Verletzung der Ad-hoc-Publizität können Geldstrafen bis zu EUR 2,5 Mio oder 2 % des Gesamtnettoumsatzes verhängt werden. Bei Insidergeschäften sogar bis zu EUR 15 Mio oder 15 % des jährlichen Gesamtnettoumsatzes.

Die empfindlichen Strafen haben jedenfalls Signalwirkung und sollten insbesondere Manager zur Vorsicht mahnen.