Entscheidungsdatum
20.11.2017Norm
BörseG 1989 §48a Abs1 Z1Spruch
W172 2141455-1/13E
IM NAMEN DER REPUBLIK!
Das Bundesverwaltungsgericht hat durch den Richter Dr. Martin MORITZ als Vorsitzenden und der Richterin Dr. Sibyll Andrea BÖCK als Beisitzerin und dem Richter Mag. Rainer FELSEISEN als Beisitzer über die Beschwerde von XXXX , vertreten XXXX , gegen das Straferkenntnis der Finanzmarktaufsicht vom 04.11.2016, Zl. KL23 5305.100/0001-LAW 2016, zu Recht erkannt:
A)
I. Gemäß § 50 Abs. 1 VwGVG wird der Beschwerde Folge gegeben und das Straferkenntnis ersatzlos behoben.
Das Verfahren wird gemäß § 38 VwGVG i.V.m. § 45 Abs. 1 Z 3 i.V.m. § 31 Abs. 1 VStG i.V.m. § 96 Abs. 2 WAG 2007, BGBl. Nr. 60/2007 i.d.F. BGBl. Nr. 70/2013 eingestellt.
B)
Die Revision ist gemäß Art. 133 Abs. 4 B-VG nicht zulässig.
Text
ENTSCHEIDUNGSGRÜNDE
I. Verfahrensgang
1. Die Finanzmarktaufsichtsbehörde (im Folgenden auch: "FMA") führte im Zeitraum vom 10.10.2014 bis 01.04.2015 eine Prüfung bei der XXXX (im Folgenden auch: "Bank X") durch, die Vor-Ort-Prüfung in den Räumlichkeiten des Unternehmens fand vom 03.11.2014 bis 11.11.2014 statt.
Daraufhin erging ein Prüfungsbericht der FMA vom 01.04.2015 (ON 01; im Folgenden sind mit der Angabe von "ON" Teile des FMA-Aktes gemeint), der dem Beschwerdeführer Dr. XXXX (im Folgenden auch: "BF-B") und in einem weiterem beim Bundesverwaltungsgericht (im Folgenden auch: "BVwG") anhängigen Verfahren dem Beschwerdeführer XXXX (im Folgenden auch: "BF-A") zugestellt wurde.
2. Mit Schreiben vom 13.05.2016 erging eine Aufforderung zur Rechtfertigung (ON 03) an den BF-A u.a. mit folgendem Inhalt:
"Sehr geehrter Herr XXXX !
I. Sie sind seit XXXX .2006 Vorstand der Bank X, eines konzessionierten Kreditinstitutes mit Sitz in XXXX Wien, XXXX .
Sie stehen in Verdacht, in dieser Funktion gemäß § 9 Abs. 1 Verwaltungsstrafgesetz (VStG), BGBl 52/1991 idgF, als nach außen vertretungsbefugtes Organ verantworten zu müssen, dass es die Bank X" im Zeitraum von jedenfalls 05.05.2014 bis 18.11.2014 an ihrem Sitz unterlassen hat, angemessene Vorkehrungen gemäß § 24 WAG 2007 (im Folgenden auch: "WAG") zu treffen, um relevante Personen, deren Tätigkeiten zu einem Interessenkonflikt Anlass geben könnten, oder die aufgrund von Tätigkeiten, die sie im Namen des Rechtsträgers ausüben, Zugang zu Insider-Informationen im Sinne von § 48a Abs 1 Z 1 BörseG oder zu anderen vertraulichen Informationen über Kunden oder über Geschäfte haben, die mit oder für Kunden getätigt werden, daran zu hindern, persönliche Geschäfte zu tätigen, bei denen zumindest eine der in § 24 Abs. 1 Z 1 WAG genannten Voraussetzungen erfüllt ist.
Dies dadurch, dass es die Bank X im oben genannten Zeitraum unterlassen hat, eine Verpflichtung relevanter Personen iSd § 24 Abs. 1 WAG zur unverzüglichen Meldung von über Fremdbankdepots getätigten Wertpapiertransaktionen vorzusehen. Es waren auch keine anderen Verfahren im Unternehmen festgelegt, die die unverzügliche Feststellung dieser Wertpapiergeschäfte sicherstellen würden.
Verwaltungsübertretungen nach §§:
§ 24 Abs. 1 und 2 Z 2 WAG 2007, BGBl. Nr. 60/2007 idF BGBl. I Nr. 119/2012 iVm § 95 Abs. 2 Z 2 WAG 2007, BGBl. Nr. 60/2007 idF BGBl. I Nr. 184/2013"
3. In Beantwortung der vorhin genannten behördlichen Aufforderung erging mit Schreiben vom 09.06.2017 eine Äußerung (ON 04) des anwaltlichen Rechtsvertreters (im Folgenden auch: "RV"), u.a. mit dem Antrag der Einstellung des eingeleiteten Verwaltungsstrafverfahrens.
Angefügt waren diesem Schriftsatz zum Beweis die
-
Dienstanweisungen des Vorstands vom 31.08., 05.11. und 06.11.2014 bezüglich die Errichtung neuer Vertraulichkeitsbereiche, ergangen und bestätigt von den jeweiligen Mitarbeitern dieser Vertraulichkeitsbereiche, nämlich Generalsekretariat, Compliance, Geldwäscherei, Rechtsabteilung, Treasury/Private Banking, Investmentbanking und Vorstand (Beil. ./1);
-
Arbeitsanweisungen per E-Mails des Vorstands vom 07.11. und 10.11.2014, in "Cc" an die Compliance-Beauftragte XXXX (im Folgenden auch: "EW") und an die genannten Mitarbeiter der Vertraulichkeitsbereiche mit beiliegendem Formular "Kontenoffenlegung" samt Erklärung betreffend Entbindung vom Bankgeheimnis sowie ein (anonymisiertes) Antwortmail an die Compliance-Beauftragte betreffend Depotbestand für das offengelegte Konto des Absenders vom 10.11.2014 (Beil. ./2);
-
Bestellung von EW als Compliance-Beauftragte mit Schreiben an sie vom 21.10.2014 (Beil. ./3);
-
der Dienstanweisung zum verbindlich einzuhaltenden Compliance Regelwerk (Beil. ./.4) mit Schreiben des Vorstands vom 18.11.2014 an alle Mitarbeiterinnen und Mitarbeiter (Beil. ./4);
Weiters waren diesem Schriftsatz als Beweis angefügt:
-
ein Auszug aus dem Handbuch-Compliance vom 01.10.2014 zum Pkt. 7. "Mitarbeitergeschäfte" (Beil. ./5);
-
der Standard Compliance Code (SCC) der österreichischen Kreditwirtschaft 2007, "Richtlinie für Geschäfte von Mitarbeitern in Kreditinstituten" mit Stand Dezember 2010 (Beil. ./6);
-
das Organigramm der Bank X samt u.a. Angaben zur Kundenstruktur Wertpapierdepots und weiteren diesbezüglichen Anmerkungen (Beil. ./7);
-
Stellungnahme betreffend persönliche Geschäfte gemäß §§ 23 f. WAG an die FMA mit Schreiben vom 19.11.2014 (Beil. ./8) sowie
-
Stellungnahme zum Prüfbericht gemäß § 91 Abs. 3 Z 3 WAG mit Schreiben vom 16.04.2015 (Beil. ./9).
4. Mit Straferkenntnis der FMA 04.11.2016, Zl. FMA-KL23 5305.100/0001-LAW/2016 (ON 05), zugestellt am 09.11.2016, erging der an den BF-B gerichtete (im Wesentlichen lautende) Spruch:
"Sehr geehrter Herr XXXX !
I. Sie sind seit XXXX .2006 Vorstand der Bank X, eines konzessionierten Kreditinstitutes mit Sitz in XXXX Wien, XXXX .
Sie haben in dieser Funktion gemäß § 9 Abs. 1 Verwaltungsstrafgesetz (VStG), BGBl 52/1991 idgF, als nach außen vertretungsbefugtes Organ zu verantworten, dass es die Bank X im Zeitraum von jedenfalls 05.05.2014 bis 18.11.2014 an ihrem Sitz unterlassen hat, angemessene Vorkehrungen gemäß § 24 WAG 2007 zu treffen, um relevante Personen, deren Tätigkeiten zu einem Interessenkonflikt Anlass geben könnten, oder die aufgrund von Tätigkeiten, die sie im Namen des Rechtsträgers ausüben, Zugang zu Insider-Informationen im Sinne von § 48a Abs 1 Z 1 BörseG oder zu anderen vertraulichen Informationen über Kunden oder über Geschäfte haben, die mit oder für Kunden getätigt werden, daran zu hindern, persönliche Geschäfte zu tätigen, bei denen zumindest eine der in § 24 Abs. 1 Z 1 WAG 2007 genannten Voraussetzungen erfüllt ist.
Dies dadurch, dass es die Bank X im oben genannten Zeitraum unterlassen hat, eine Verpflichtung relevanter Personen iSd § 24 Abs. 1 WAG 2007 zur unverzüglichen Meldung von über Fremdbankdepots getätigten Wertpapiertransaktionen vorzusehen. Es waren auch keine anderen Verfahren im Unternehmen festgelegt, die die unverzügliche Feststellung dieser Wertpapiergeschäfte sicherstellen würden.
II. Die Bank X haftet gemäß § 9 Abs. 7 VStG für die über den Beschuldigten verhängte Geldstrafe und die Verfahrenskosten zur ungeteilten Hand.
Sie haben dadurch folgende Rechtsvorschriften verletzt:
§ 24 Abs. 1 und 2 Z 2 WAG 2007, BGBl. Nr. 60/2007 idF BGBl. I Nr. 119/2012 iVm § 95 Abs. 2 Z 2 WAG 2007, BGBl. Nr. 60/2007 idF BGBl. I Nr. 184/2013
Wegen dieser Verwaltungsübertretungen wird über Sie folgende Strafe verhängt:
Geldstrafe von 3.000 Euro, falls diese uneinbringlich ist, Ersatzfreiheitsstrafe von 13 Stunden
gemäß §§ § 95 Abs. 2 Z 2 WAG 2007, BGBl. Nr. 60/2007 idF BGBl. I Nr. 184/2013
Ferner haben Sie gemäß § 64 des Verwaltungsstrafgesetzes (VStG) zu zahlen:
300 Euro als Beitrag zu den Kosten des Strafverfahrens, das sind 10% der Strafe, mindestens jedoch 10 Euro (ein Tag Freiheitsstrafe gleich 100 Euro);
Der zu zahlende Gesamtbetrag (Strafe/Kosten/Barauslagen) beträgt daher 3.300 Euro."
5. Gegen dieses Straferkenntnis wurde mit Schriftsatz mit angeführtem Datum 25.11.2016, eingebracht von der anwaltlichen Rechtsvertretung am 24.11.2016, Beschwerde erhoben (OZ 1 des BVwG-Aktes [im Folgenden sind mit der Angabe von "OZ" Teile des BVwG-Aktes gemeint]).
Beantragt wurde, dass das Bundesverwaltungsgericht (im Folgenden auch: "BVwG") möge
-
eine mündliche Verhandlung durchführen;
-
den angefochtenen Bescheid ersatzlos aufheben und das Verfahren einstellen,
-
in eventu den angefochtenen Bescheid dahingehend abändern, dass die Strafhöhe herabgesetzt werde.
Angefügt waren u.a.
-
ein Auszug aus dem Handbuch-Compliance vom 01.10.2014 (Beil. ./2);
-
Richtlinien für Geschäfte von Mitarbeitern in Kreditinstituten zum Stand Dezember 2010 (Beil. ./3);
-
Formular "Kontenoffenlegung" (Beil. ./4);
-
Organigramm der Bank X (Beil. ./5);
-
Stellungnahme betreffend persönliche Geschäfte gemäß §§ 23 f. WAG 2007 an die FMA vom 19.11.2014 (Beil. ./6) sowie
-
Stellungnahme zum Prüfbericht gemäß § 91 Abs. 3 Z 3 WAG 2007 vom 16.04.2015 (Beil. ./7).
6. Am 16.10.2017 wurde eine mündliche Verhandlung vor dem BVwG durchgeführt (OZ 3).
Dabei wurden die Verfahren betreffend den BF-B und den weiteren Beschwerdeführer BF-A zu einer gemeinsamen Verhandlung gemäß § 38 VwGVG i.V.m. § 24 VStG und § 39 Abs. 2 AVG verbunden.
An dieser Verhandlung nahmen der BF-B und eine Mitarbeiterin der Bank X, zwei RV der Beschwerdeführer zwei Vertreter der FMA sowie zwei von den Beschwerdeführern beantragte Zeugen teil, wobei eine von den beiden, nämlich EW, einvernommen wurde. Der BF-A war entschuldigt nicht anwesend (s.a. das betreffende Schreiben seines RV vom 04.10.2017; OZ 3).
In dieser Verhandlung wurden vom BF-B u.a. folgende Beweismittel vorgelegt:
-
ein E-Mail der (damaligen, im inkriminierten Zeitraum verantwortlichen) Compliance-Beauftragten vom 27.10.2014, mit dem ein E-Mail von dieser vom 13.07.2011 u.a. auch an alle Mitarbeiter der Wertpapier-Abteilung und der Wertpapier-Abwicklung (mit der E-Mail-Bezeichnung "Treasury/Bank-Winter/at" angeführt) weitergeleitet worden ist, wonach die Aufforderung erging, dass die Compliance-Beauftragte gemäß SCC über alle Wertpapier-Transaktionen, die sämtliche Mitarbeiter (auch der Vorstand) der Bank X tätigen würden, vorab schriftlich zu informieren sei (Anl. ./1);
-
die bereits oben als Beil. ./2 zu ON 4 angeführte E-Mail des Vorstands vom 07.11.2014 (Anl. ./2);
-
eine tabellarische Übersicht u.a. mit datumsmäßiger Angabe einerseits des Zeitpunkts des Erhalts des Formulars "Kontenoffenlegung" inklusive der Erklärung bezüglich der Entbindung vom Bankgeheimnis, andererseits des Zeitpunkts der angeforderten Übermittlung eines allfälligen Depotauszugs (Anl. ./3); sowie
-
ein anonymisiertes Muster bezüglich eines von einem Mitarbeiter der Bank X unterfertigten Kontenoffenlegungsformular und einer ebenfalls von ihm unterfertigen Einverständniserklärung zur Entbindung vom Bankgeheimnis an die sein Wertpapierdepot führende Fremdbank, jeweils datiert mit 07.11.2014, samt Depotansicht (Anl. ./4).
Die Verhandlung wurde ohne Verkündung der Entscheidung (gemäß § 29 Abs. 3 VwGVG) geschlossen.
7. Mit Schreiben der FMA vom 18.10.2014 (OZ 4) wurde als Beweismittel das Handbuch für Compliance, Stand 18.11.2014 vorgelegt.
8. Mit Schreiben des RV der Beschwerdeführer vom 18.10.2014 (OZ 5) wurden folgende Beweismittel vorgelegt:
-
das Regelwerk der "Bank X-Gruppe" (Beil. ./11);
-
Unterschriftenlisten der Mitarbeiter der Bank X, datiert mit 31.07.2014, 31.08.2014 und 30.09.2014 bezüglich der Bestätigung der Kenntnisnahme des Regelwerks der Bank X-Gruppe (Beil. ./10);
-
die bereits oben als Anl. ./3 zu OZ 3 angeführte tabellarische Übersicht (Beil. ./12);
-
die bereits oben als Beil. ./2 zu ON 4 angeführte E-Mail des Vorstands vom 07.11.2014 (Beil. ./13); sowie
-
die schriftlich erfolgten Antworten auf das genannte E-Mail des Vorstands vom 07.11.2014 samt Kontenoffenlegungsformularen und Depotauszügen sowie das E-Mail des Vorstands vom 10.11.2104 (Beil. ./14).
9. Mit Schreiben des RV der Beschwerdeführer vom 18.10.2014 (OZ 8) wurde die Unterschriftenliste hinsichtlich der Bestätigung der Kenntnisnahme des Handbuchs für Compliance, Stand 18.11.2014 (Beil. ./15) vorgelegt.
II. Das Bundesverwaltungsgericht hat erwogen:
1. Feststellungen
1. Die Bank X bietet alle Leistungen einer Universalbank an. Die Bilanzsumme beträgt (per 30.06.2014) TEUR 924.197. Das Produktportfolio des Unternehmens reicht von Handelsfinanzierungen und Investment Banking über Hilfestellung bei Stiftungserrichtungen bis zu komplexen Finanztransaktionen. Der Kernmarkt liegt in Zentral- und Osteuropa (ON 01, Rz. 5 f.).
Die im Jahr XXXX gegründete Bank X steht zu XXXX im Eigentum der XXXX . Die restlichen XXXX hält der BF-A. Das Unternehmen verfügt über eine direkte Anbindung zur Wiener Börse (ON 01, Rz. 7).
Die Betriebserträge der Bank X gliederten sich wie folgt (ON 01, Rz. 8):
Bild kann nicht dargestellt werden
Die Kundenstruktur des Unternehmens im Wertpapiergeschäft gestaltete sich wie folgt (ON 01, Rz. 9):
Bild kann nicht dargestellt werden
Die Bank X weist ein Eigenkapital von EUR 100 Millionen auf, obwohl die rechtlichen Mindestanforderungen an Eigenkapital nur EUR 6 Millionen betragen. Die Kapitalquote beträgt 170%. Aus diesen Zahlen ergibt sich, dass die Bank X kein Risiko eingehen will. Dies zeigt sich auch darin, dass die Bank X keine Kreditgeschäfte, keine Eigenhandelsgeschäfte, kundenseitig auch keine Vermögensveranlagungen, keinen Finanzanalysen und auch keine Vermögensverwaltung betreibt. Deswegen ist die Bank X für ihre ca. 600 Kunden keine Hausbank, sondern hat für diese nur die Rolle einer Zweit- oder Drittbank. 80 Kunden der Bank X haben nur ein Wertpapier-Depot, es werden in der Regel nur ein bis zwei Wertpapierpositionen gehalten, daher kommt es auch nur zu ein bis zwei Wertpapiertransaktionen pro Tag (OZ 3, S. 5).
Die beiden Beschwerdeführer, insbesondere durch den Wunsch des Miteigentümers der Bank X, des BF-A, sind risikoavers eingestellt. Der BF-B hatte vor seiner Anstellung in der Bank X in der KPMG die interne Revision für die Bundeswertpapieraufsichtsbehörde, der Vorgängerin der heutigen Finanzmarktaufsichtsbehörde, inne gehabt (OZ 3, S. 6 f.).
2. Die Bank X beschäftigte per 31.12.2013 32 Mitarbeiter und verfügt über eine Niederlassung in XXXX Wien, XXXX . (ON 01, Rz. 5). Im Jahr 2014 wies sie 30 Mitarbeiter auf. Davon bleiben aber nur 25 Mitarbeiter, wenn die Zahl der Mitarbeiter im Chauffeur- und Sekretariatsbereich abgezogen wird. Auch als kleine Bank sind – dem Gesetz entsprechend - Stabsabteilungen wie Compliance, Geldwäsche und Interne Revision eingerichtet. Als Folge des gesetzlich gebotenen Ausschließlichkeitsprinzips, wonach unterschiedliche Mitarbeiter die vorhin drei erwähnten Stabsabteilungen wahrzunehmen haben, hat die Bank X drei Mitarbeiter in diesen Bereichen plus eine Person als Dienstvertretung (ON 01, Rz. 5; OZ 3, S. 7).
3. Der Vorstand der Bank X setzte sich (zum Zeitpunkt der Vor-Ort-Prüfung der FMA) aus dem BF-A (CEO, CIO) und dem BF-A (CFO/CRO, COO) zusammen (ON 01, Rz. 10). Der BF-A war für die Kundenseite, somit für den Markt, zuständig, der BF-A für die Abwicklung, damit für den Marktfolgebereich. Die Aufteilung der Zuständigkeitsbereiche im Vorstand beruhte auf einer Geschäftsordnung des Vorstandes, die mit Beschluss des Vorstandes erlassen worden ist. Es lag keine satzungsgemäße Aufteilung vor (OZ 3; S. 6). Sowohl der BF-A als auch der BF-B sind seit 20.06.2012 Mitglied des Vorstands der Bank X (Firmenbuch-Auszug; ON 02).
Die Organisation der Bank X (Beilage 04) stellte sich zum Zeitpunkt der Vor-Ort-Prüfung wie folgt dar (ON 01, Rz. 11):
Bild kann nicht dargestellt werden
4. Als Compliance-Beauftragte der Bank X wurde EW per 01.11.2014 bestellt und ist im Ausmaß von zehn Stunden pro Woche teilzeitbeschäftigt (0,25 VZÄ) (ON 01, Rz. 14). Zuvor oblag die Tätigkeit einer Compliance-Beauftragten XXXX , die diese vom 01.01.2014 bis 30.04.2014 ausübte und dann aus dem Unternehmen ausschied. (ON 01, Rz. 12). Im Zeitraum vom 01.05.2014 bis 31.10.2014 war XXXX (im Folgenden auch: "CW") Compliance-Beauftragte; per 01.11.2014 wurde CW in der Folge zur stellvertretenden Compliance-Beauftragten bestellt. CW ist vollzeitbeschäftigt, Risikomanagerin des Unternehmens und zugleich Leiterin der Abteilung "Interne Dienste (Controlling, Accounting, IT)". In dieser Funktion ist sie insbesondere für die Bereiche Rechnungswesen inkl. Kundenbuchhaltung, Meldewesen, IT & Facility Management und Controlling zuständig (ON 01, Rz. 15 f.). Anfang Oktober 2014 kam die nunmehrige Compliance-Beauftragte EW aus der Karenz zurück und wurde nach einer kurzen Einschulung am 21.10.2014 mit Wirkung vom 01.11.2014 als Compliance-Beauftragte bestellt. Sie ist seit 1999 bei der Bank X beschäftigt und mit Wertpapier-Angelegenheiten vertraut (OZ 3, S. 7; ON 01, Rz. 13).
5. Bis jedenfalls zum Zeitpunkt des Beginn der Vor-Ort-Prüfung der FMA am 03.11.2014 war folgende Situation gegeben: Die Compliance-Regelungen der Bank X fanden sich vorwiegend im "Handbuch Compliance 1710/2014" (im Folgenden auch: "Compliance-Handbuch"). In diesem wurde auf die Bestimmungen des Standard Compliance Code (im Folgenden auch: "SCC") verwiesen. Zusätzlich fanden sich Regelungen u. a. im Punkt 20 des "Regelwerk der Bank X-Gruppe 30/09/2014" (im Folgenden auch: "Regelwerk") (ON 01, Rz. 18).
Sowohl das Compliance-Handbuch als auch das Regelwerk waren im Unternehmen systemisch auf dem Laufwerk mit der Bezeichnung "!everyone" abgelegt, auf welches jeder Mitarbeiter der Bank X Zugriff hatte. Dem Regelwerk war als Anhang zusätzlich der Standard Compliance Code ("SCC") beigefügt. Änderungen wurden den Mitarbeitern per E-Mail kommuniziert (ON 01, Rz. 19).
Sämtlichen Mitarbeitern der Bank X wurde zu Beginn ihres Dienstverhältnisses mitgeteilt, dass sie das Regelwerk binnen drei Wochen zu lesen haben. Nach Ablauf der drei Wochen haben sie die Kenntnisnahme per Unterschrift auf einer Liste zu bestätigen (zu den Unterschriftlisten bezüglich Regelwerke Stand 31.07., 31.08 und 30.09.2014 s. Beil. ./10 zu OZ 5). Das Compliance-Handbuch ist auf dem Laufwerk "!everyone" abgelegt, wurde aber neuen Mitarbeitern nicht gesondert zur Kenntnis gebracht (ON 01, Rz. 19).
6. Die maßgeblichen Regelungen lauteten wie folgt:
6.1. Handbuch Compliance 1/10/2014, Pkt. 7 (ON 01, Rz. 31):
"7. Mitarbeitergeschäfte (dazu Fn. 20: Siehe SCC und Regelwerk 20)
7.1. Wie im Regelwerk vorgesehen, kommen auf Mitarbeitergeschäfte die Bestimmungen des SCC zur Gänze zur Anwendung und werden durch das Regelwerk ergänzt.
[ ]
7.3. Mitarbeitern von Bank X wurde, bis auf Widerruf, die Genehmigung erteilt, Wertpapierdepots und damit zusammenhängende Konten bei Drittbanken zu führen, sofern die dafür vorgesehenen Standardformulare zur Kontenoffenlegung ordnungsgemäß ausgefüllt dem CV übergeben wurden. Sämtliche Mitarbeiter haben auf Verlangen ihre Drittbank vom Bankgeheimnis gegenüber dem CV zu entbinden.
7.4. Mitarbeiter (i) in Vertraulichkeitsbereichen, (ii) die einem Interessenkonflikt unterliegen können, und/oder (iii) regelmäßig Zugang zu vertraulichen Informationen haben (dazu Fn. 22: Ob ein Mitarbeiter diesen Punkten unterliegt bzw. der daraus entstehenden Kontrolle ist anhand der jeweiligen Art, Umfangs und der Komplexität der Geschäftstätigkeit, sowie Art und Umfang der erbrachten Wertpapierdienstleistungen und Anlagetätigkeiten durch die Bank X zu beurteilen), sind verpflichtet, eigene Depots und damit zusammenhängende Konten bei der Bank X zu führen und diese dem CV zu melden, falls dieser keine Abfragemöglichkeit hat. Der Vorstand kann eine Ausnahmegenehmigung zur Führung von Konten und Depots bei fremden Kreditinstituten erteilen. Die Bank X hat davon Gebrauch gemacht und sämtlichen Mitarbeitern bis auf Widerruf die Genehmigung erteilt, Wertpapierdepots und damit zusammenhängende Konten bei Drittbanken zu führen, sofern die dafür vorgesehenen Standardformulare zur Kontenoffenlegung ordnungsgemäß ausgefüllt dem CV übergeben wurden.
7.5. Der CV hat sämtliche Mitarbeitergeschäfte stichprobenartig auf Vollständigkeit der Meldungen hin zu kontrollieren (dazu Fn. 23:
Geeignete Kontrollmaßnahmen hierbei sind der Abgleich mit Beobachtungs- und Sperrlisten). Zusätzlich ist ein regelmäßiger Abgleich von Mitarbeitergeschäften mit Kundentransaktionen und Nostroorders unter Schwerpunktsetzung vorzunehmen.
[ ]
7.7. Dem CV sind sämtliche Details von Mitarbeitergeschäften, die über die Bank X ausgeführt werden, unverzüglich, spätestens am der Orderausführung folgenden Bankarbeitstag, unaufgefordert anzuzeigen.
[ ]
7.10. Bei Großordern (dazu Fn. 25: Jene Order (auch Bankintern bzw. Konzernintern), deren Ausführung eine erhebliche Kursänderung verursachen können. Die Entscheidung über die genaue Definition liegt beim CV) über Finanzinstrumente hat der Händler unverzüglich den CV zu informieren.
[ ]
8. Vertraulichkeitsbereiche
8.1. Bank X hat ständige und allenfalls auch projektbezogene Vertraulichkeitsbereiche auf geeignete Weise einzurichten und schriftlich zu dokumentieren. Vielfalt, Art, Anzahl und Größe wird vom Gesamtvorstand unter Mitwirkung des CV in angemessener Weise festgelegt. Derzeit sind dies der Vorstand sowie das Generalsekretariat."
6.2. SCC der österreichischen Kreditwirtschaft 2007, Modul 3
"Richtlinie für Geschäfte von Mitarbeitern in Kreditinstituten (Stand Dezember 2010)
[ ]
5. Konto und Depotführung
Mitarbeiter die
-
in Vertraulichkeitsbereichen arbeiten, und/oder
-
einem Interessenskonflikt unterliegen können (dazu Fn. 1: Es sind ausschließlich Interessenkonflikte gemeint, die in einem Mitarbeitergeschäft angelegt sind. Solche Konflikte liegen vor, wenn ein dem Kundeninteresse oder dem Interesse der Bank entgegenstehendes Interesse des Mitarbeiters am Abschluss eines Mitarbeitergeschäfts bestehen kann. Andere Interessenkonflikte werden im Modul 4 des SCC - Interessenskonflikte und Vorteile – erfasst.), und/oder
-
regelmäßig Zugang zu vertraulichen Informationen haben (dazu Fn. 2: Als vertrauliche Informationen ist in diesem Zusammenhang typischerweise die Kenntnis von Kundenaufträgen anzusehen, soweit diese durch den Abschluss von Eigengeschäften des Unternehmens oder Mitarbeitergeschäften zum Nachteil des Kunden verwendet werden kann (Vor-, Mit- oder Gegenlaufen). Mitarbeiter, die regelmäßig Zugang zu vertraulichen Informationen haben, sind insbesondere Wertpapierspezialisten bzw. Mitarbeiter des Eigenhandels, der Vermögensverwaltung, des Privat-Banking und der Wertpapieranalyse.),
haben eigene Depots und damit zusammenhängende Konten beim eigenen Kreditinstitut zu führen. Diese Mitarbeiter haben sämtliche bei ihrem Kreditinstitut geführten Depots und Konten dem Compliance-Officer zu melden, sofern für den Compliance–Officer keine Abfragemöglichkeit besteht. Ausnahmsweise können eigene Depots und die damit zusammenhängenden Konten von den genannten Mitarbeitern auch bei einem anderen Kreditinstitut als dem eigenen geführt werden. Hiezu bedarf es einer Ausnahmegenehmigung durch die Geschäftsleitung, wobei die Depots und Konten bei einem fremden Kreditinstitut zu melden sind. Voraussetzung dafür ist die Entbindung des fremden Kreditinstituts vom Bankgeheimnis und die Abgabe sämtlicher datenschutzrelevanter Zustimmungserklärungen. Diese Ausnahmegenehmigung ist bei Widerruf der Bankgeheimnisentbindung und der datenschutzrechtlich relevanten Zustimmungserklärung hinfällig.
Ob ein Mitarbeiter der obigen Kontrolle unterliegt, ist anhand der jeweiligen Art, des Umfangs und der Komplexität der Geschäftstätigkeit sowie der Art und des Umfangs der erbrachten Wertpapierdienstleistungen und Anlagetätigkeiten durch das Kreditinstitut [Hervorhebung im Originaltext; Anm. des Verf.] zu beurteilen.
[ ]
6. Auskunfts- und Meldepflichten
Zur Erfüllung der Complianceaufgaben habe alle Mitarbeiter auf Verlangen des Kreditinstitutes vollständige Auskunft über sämtliche Mitarbeitergeschäfte inkl. Depotüberträgen zu geben. Über die für die Mitarbeiter (gem. Punkt 5) geltenden Verpflichtungen für die Offenlegung von Konto- und Depotverbindungen und Umsätzen hinaus, haben Mitarbeiter im Sinne des ersten Absatzes von Punkt 5 unaufgefordert jedes Mitarbeitergeschäft, das nicht über das eigene Kreditinstitut getätigt wird, unter Angabe aller Details und des Namens des Institutes unverzüglich, spätestens jedoch an dem der Ordererfüllung folgenden Bankarbeitstag dem Compliance-Officer anzuzeigen. Anstelle dieser Meldepflicht kann auch ein angemessenes anderes Verfahren zur unverzüglichen Feststellung (einschließlich eines etwaigen Postlaufes z.B. für die Zustellung von Zweitschriften) der Mitarbeitergeschäfte gewählt werden, wenn dadurch den Erfordernissen der vollständigen Auskunft über Mitarbeitergeschäfte Rechnung getragen wird..
Erforderlichenfalls haben sämtliche Mitarbeiter das konto-/depotführende Kreditinstitut gegenüber dem Compliance-Officer vom Bankgeheimnis zu entbinden und sämtliche datenschutzrechtlich relevanten Zustimmungserklärungen zu geben."
6.3. Regelwerk der Bank X-Gruppe 30/09/2014, Pkt. 20 (ON 01, Rz. 31):
"20.1. Auf Mitarbeitergeschäfte kommen die Bestimmungen des Standard Compliance Code 2007 zur Gänze zur Anwendung, die hiermit wie folgt ergänzt bzw. präzisiert werden:
20.1.1. Die Annahme von Geschenken oder sonstigen Vorteilen bzw. Einladungen, die Mitarbeitern oder ihren Angehörigen mit Rücksicht auf ihre Dienstleistung oder Dienststellung unmittelbar oder mittelbar angeboten werden ist nicht erlaubt. Eine Überschreitung der Bagatellgrenze iHv EUR 100 löst eine verpflichtende Zustimmung durch den Compliance-Beauftragten aus.
20.1.2. Den Mitarbeitern wird, bis auf Widerruf, die Genehmigung erteilt, Wertpapierdepots und damit zusammenhängende Konten bei Drittbanken zu führen, sofern das dafür vorgesehene Formular zur Kontenoffenlegung ordnungsgemäß ausgefüllt dem Compliance-Verantwortlichen übergeben werden. Sämtliche Mitarbeiter haben auf Verlangen ihre Drittbank vom Bankgeheimnis gegenüber dem Compliance-Verantwortlichen zu entbinden.
[ ]
20.1.4. Sämtliche Details von Mitarbeitergeschäften, die über die Bank X ausgeführt werden, sind dem Compliance-Verantwortlichen unverzüglich, spätestens am der Orderausführung folgenden Bankarbeitstag, unaufgefordert anzuzeigen."
6.4. Dienstanweisung des Vorstands vom 05.05.2014 betreffend Mitarbeitergeschäfte:
"1. Bis auf Widerruf wird hiermit allen Mitarbeitern die Genehmigung erteilt, Wertpapierdepots und damit zusammenhängende Konten bei Drittbanken zu führen. Voraussetzung dafür ist, dass das Formular "Kontenoffenlegung" vollständig und richtig ausgefüllt dem CV übergeben wurden.
[ ]
4. Alle Details von sämtlichen Mitarbeitergeschäften, die über die Bank X ausgeführt werden, sind dem Compliance-Beauftragten unaufgefordert anzuzeigen. Diese Anzeige hat unverzüglich, spätestens am der Orderausführung folgenden Bankarbeitstag zu erfolgen."
6.5. Jeder Mitarbeiter hatte bei Eintritt in die Bank X das Formular "Kontenoffenlegung" auszufüllen und unterfertigt an den Vorstand zu retournieren. Dieser leitete es an die zu diesem Zeitpunkt verantwortliche Compliance-Beauftragte weiter (ON 01, Rz. 32).
Das jedenfalls bis 07.11.2014 in der Bank X verwendete Formular "Kontenoffenlegung" fragte u.a. neben persönlichen Nahebeziehungen zu börsennotierten Unternehmen u.a. das Vorhandensein einer Inhaberschaft, Zeichnungsberechtigung oder wirtschaftlichen Berechtigung von Wertpapierdepots bei Drittbanken ab. Der Mitarbeiter konnte diese Frage mit "ja" oder "nein" beantworten. Wurde die Frage mit "ja" beantwortet, war weder eine konkrete Bankverbindung noch eine Depotnummer vom Mitarbeiter anzugeben (ON 01, Rz. 33).
Wenn die Frage mit "ja" beantwortet wurde, war im Rahmen einer weiteren Fragestellung in dem Formular vom Mitarbeiter mitzuteilen, welche der angeführten "Wertpapierkategorien" ("Aktien", "Anleihen", "Investmentfonds", "Sonstige:____") auf dem Depot geführt wurden bzw. geführt worden sind. Hierbei ist nicht vorgesehen, konkrete sich auf dem Wertpapierdepot befindende Finanzinstrumente anzugeben (ON 01, Rz. 33).
7. Sonstige Informations- und Meldeverpflichtungen hinsichtlich von Mitarbeitern geführter Fremdbankdepots bestanden in der Bank X jedenfalls bis 07.11.2014 nicht. Es wurden keine weiteren schriftlichen Regelungen in Zusammenhang mit über Fremdbankdepots getätigten persönlichen Geschäften getroffen. Auch waren keine sonstigen Verfahren im Unternehmen festgelegt, die dem Kreditinstitut die unverzügliche Feststellung solcher Geschäfte ermöglichen würden. Darüber hinaus bestand auch keine Verpflichtung zur Beibringung von Bewegungsauszügen betreffend Wertpapiertransaktionen, die über Drittbanken getätigt wurden (vgl. ON 01, Rz. 34).
In der Bank X waren nur Mitarbeiter in Vertraulichkeitsbereichen dazu verpflichtet, jährlich zum Ende des Jahres einen Depotauszug an die verantwortliche Compliance-Beauftragte zu übermitteln (ON 01, Rz. 33).
Elf Mitarbeiter besaßen ein Wertpapierdepot bei einer Drittbank; hiervon waren drei Personen in einem definierten Vertraulichkeitsbereich beschäftigt (ON 01, Rz. 34).
Auf Basis der Angaben in den Formularen hatte die Compliance-Beauftragte eine Excel-Liste zu erstellen bzw. zu aktualisieren, die sich zum Zeitpunkt der Vor-Ort-Prüfung gestaltete wie folgt (ON 01, Rz. 34):
Bild kann nicht dargestellt werden
Wertpapiergeschäfte von Mitarbeitern des Unternehmens über bei der Bank X geführte Wertpapierdepots waren im EDV-System "Geos" erfasst, als "Mitarbeiter-Depot" gekennzeichnet und somit für die zu dem entsprechenden Zeitpunkt verantwortliche Compliance-Beauftragte jederzeit elektronisch abrufbar. Im Falle von "in-house"-Depots wurden sämtliche Transaktionen von der Abteilung "Treasury" unverzüglich nach Bestätigung der Ausführung an die zu dem entsprechenden Zeitpunkt verantwortliche Compliance-Beauftragte per E-Mail gemeldet. Zum Zeitpunkt der Vor-Ort-Prüfung besaßen nur die Mitglieder der Geschäftsleitung ein "in-house"-Depot in der Bank X (ON 01, Rz. 35).
8. Bezüglich Kontroll- und Prüftätigkeiten in der operativen Realität ist anzuführen, dass die Aufgaben der in der Bank X verantwortlichen Compliance-Beauftragten im Hinblick auf Mitarbeitergeschäfte einerseits die Kontrolle der Kontenoffenlegungsformulare auf Vollständigkeit und andererseits die Bearbeitung der Meldung von "in-house"-Mitarbeitertransaktionen umfassten (ON 01, Rz. 38).
Die Compliance-Beauftragte vom 01.05. bis 31.10.2014 kontrollierte die an sie die gemeldeten "in-house"-Transaktionen nur im Hinblick auf korrekte Ausführung. Darüber hinaus nahm sie einmal im Quartal eine Überprüfung aller in diesem Zeitraum über "Geos" getätigten Transaktionen im Hinblick auf "allfällige Auffälligkeiten" vor. Zum Zeitpunkt der Vor-Ort-Prüfung befand sich ein Titel auf der unternehmensweiten Sperrliste, die Beobachtungsliste war leer (ON 01, Rz. 38).
Da die im Zeitpunkt der Vor-Ort-Prüfung der FMA als Compliance-Beauftragte fungierende Mitarbeiterin der Bank X aufgrund ihrer Bestellung zur Compliance-Beauftragten erst per 01.11.2014, damit unmittelbar vor Beginn der Vor-Ort-Prüfung, grundsätzlich noch keine Compliance-Tätigkeiten ausgeübt hatte, führte diese noch keine Kontrolle von persönlichen Geschäfte durch. Während des Zeitraums der Vor-Ort-Prüfung fanden keine "in-house"-Transaktionen statt (ON 01, Rz. 38).
9. Die von der Bank X aus Anlass der Vor-Prüfung getroffenen Umsetzungsmaßnahmen waren folgende:
9.1. Das Handbuch für Compliance wurde insbesondere im Bereich Mitarbeitergeschäfte umfassend überarbeitet (Beil. ./8 zu ON 4). Es wurde der FMA im Rahmen der Stellungnahme zum Prüfbericht mit Schreiben vom 16.04.2015 übermittelt (Beil. ./9 zu ON 4).
Die maßgeblichen Bestimmungen im nun überarbeiteten "Handbuch für Compliance 18/11/2014" (OZ 4) lauten:
"4.3. Mitarbeitergeschäfte
4.3.1. Alle Mitarbeiter haben vollständige Auskunft über sämtliche Mitarbeitergeschäfte (dazu Fn. 51: Darunter sind alle Geschäfte in Finanzinstrumenten iSd WAG, die ein Mitarbeiter (relevante Personen iSd § 1 Z 29 WAG) von der Bank X außerhalb seiner dienstlichen Aufgabenstellung für eigene Rechnung, für Rechnung Dritter oder im Interesse Dritter tätigt oder die von Dritten auf Rechnung oder im Interesse des Mitarbeiters getätigt werden. Ausgenommen davon sind persönliche Geschäfte iSd § 24 Abs 3 WAG (persönliche Geschäfte im Rahmen eines Portfolioverwaltungsvertrags und persönliche Geschäfte mit Anteilen an Investmentfonds) inkl. Depotüberträge zu geben und alle Mitarbeitergeschäfte bzw persönlichen Geschäfte iSd § 23 WAG unaufgefordert unter Angabe sämtlicher Details und allfällig des Namens der Drittbank unverzüglich, spätestens an dem der Ordererfüllung folgenden Bankarbeitstag (dazu Fn. 52: Es gibt keine Ausnahmen von dieser zeitlichen Bestimmung (daher beispielsweise auch im Urlaubs,- Krankheits- oder sonstigen Abwesenheitsfall). dem CV zu melden, ihre Drittbank vom Bankgeheimnis gegenüber dem CV zu entbinden sowie sämtliche notwendigen datenschutzrechtlichen Zustimmungen zu erteilen (dazu Fn. 53: Dafür gibt es das Standardformular Kontenoffenlegung).
[ ]
4.3.6. Der CV hat sämtliche Mitarbeitergeschäfte stichprobenartig auf Vollständigkeit der Meldungen hin zu kontrollieren (dazu Fn. 56:
Geeignete Kontrollmaßnahmen hierbei sind der Abgleich mit Beobachtungs- und Sperrlisten), bei Fremdbanken geführte Konten mindestens einmal jährlich. In Anlassfällen kann er diese Überprüfung auch öfter vornehmen. Zusätzlich ist ein regelmäßiger Abgleich von Mitarbeitergeschäften mit Kundentransaktionen und Nostroorders unter Schwerpunktsetzung vorzunehmen."
Am 18.11.2014 wurde eine Dienstanweisung des Vorstands an alle Mitarbeiter erlassen, nach der das Compliance Regelwerk und das Compliance Handbuch die Verpflichtungen des SCC, die Bestimmungen des WAG und BörseG umsetzen und von allen Mitarbeitern verbindlich einzuhalten sind. Im letzten Satz dieser Dienstanweisung wird nochmals ausdrücklich darauf hingewiesen, dass sämtliche Mitarbeiter verpflichtet sind, den Inhalt des Handbuchs für Compliance einzuhalten und entsprechend umzusetzen (Blg. ./4 zu ON 04).
Die datumsmäßigen Angaben bezüglich der Bestätigungen der Kenntnisnahme dieser Dienstanweisung betreffend Compliance-Handbuch, per Unterschriftenliste eingeholt, wiesen auf einen Zeitraum, beginnend mit 20.11.2014, auf.
9.2. Das bisher verwendete Formular Kontenoffenlegung wurde umfassend überarbeitet. Gemäß dem neu gestalteten Formular Kontenoffenlegung haben Mitarbeiter nunmehr Name der Fremdbank und Depotnummern offenzulegen bzw. anzuführen, an welchen Depots Mitinhaberschaft, Verfügungs- und Zeichnungsberechtigung besteht; die Fremdbank ist vom Bankgeheimnis zu entbinden und sämtliche notwendigen datenschutzrechtlichen Zustimmungen sind einzuholen (Beil. ./.8 und ./9, Rz. 24).
Neue Mitarbeiter haben das Formular zu Anstellungsbeginn unterfertigt auszufüllen und werden daraufhin bereits in ihrer "Willkommensmappe" hingewiesen (Beil. ./9, Rz. 24).
Am 07.11.2014 erging eine Arbeitsanweisung des Vorstands an die Mitarbeiter des Vertraulichkeitsbereichs Investmentbanking und den damaligen Mitarbeitern von Treasury betreffend u.a. Kontenoffenlegung und Entbindung vom Bankgeheimnis. Der Begriff "Treasury" umfasste damals nur die Mitarbeiter, die mit dem Wertpapier-Handel zu tun hatten. Die Mitarbeiter bezüglich Wertpapier-Abwicklung bildeten eine eigene Abteilung. Mittlerweile wurden die Angelegenheiten bezüglich Wertpapier-Abwicklung ausgegliedert. Am 10.11.2014 erging diese Arbeitsanweisung des Vorstands an alle Vertraulichkeitsbereiche (auch an Rechtsabteilung, Compliance und Geldwäsche) sowie zusätzlich an den Treasury-Backoffice-Bereich, der dann auch ein Vertraulichkeitsbereich wurde. Am 13.11.2014. erging diese Arbeitsanweisung des Vorstands schließlich an alle Mitarbeiter der Bank X (Beil. ./2 zu ON 4; OZ 3, S. 5, 9 f. und 15).
Spätestens am 11.11.2014 hatten die meisten Mitarbeiter das vom Vorstand verteilte Formular Kontenoffenlegung inklusive Entbindung vom Bankgeheimnis samt Depotauszügen an die Compliance-Beauftragte unterschrieben retourniert (Beil. ./12 zu OZ 5). Bei zwei Mitarbeitern (in der Beil. ./12 mit "BLE" und "NRU" bezeichnet), war im Vorhinein bekannt, dass sie kein Drittbank-Depot hielten, sodass sie wegen Dienstabwesenheit erst zu einem etwas späteren Zeitpunkt eine formelle Unterschrift nachreichen konnten. Eine weitere Mitarbeiterin (in der Beil. ./12 mit "AMR" bezeichnet) aus dem Bereich Geldwäsche hatte in Kenntnis des Kontenoffenlegungsformulars bereits am 11.112014. ihren Depotauszug übermittelt und die Unterschrift am 14.11.2014 nachgereicht (OZ 5).
Eine an die Drittbank gerichtete Entbindung vom Bankgeheimnis sowie eine aktuelle Wertpapierdepotaufstellung wurde der Compliance-Beauftragten für sämtliche von Mitarbeitern bei Drittbanken geführten Wertpapierdepots übergeben (Beil. ./8 zu ON 04).
Seitens des Compliance-Beauftragten wurden bereits von sämtlichen Mitarbeitern, die Wertpapierdepots bei Fremdbanken führen, aktuelle Depotaufstellungen sowie Bewegungsauszüge eingeholt und diese kontrolliert. Sämtliche Mitarbeiter mit Fremdbankdepots haben diese nunmehr detailliert offengelegt. Es erfolgt ein laufender Abgleich von Mitarbeitergeschäften mit Großorders, Kunden- und Eigenhandelstransaktionen sowie mit Sperr- und Beobachtungslisten. Der Compliance-Beauftragten werden nun auch verpflichtend jährliche Bewegungsauszüge übermittelt. Sämtliche Mitarbeitergeschäfte werden von der Compliance-Beauftragten auf Vollständigkeit, bei Fremdbanken geführte Konten mindestens einmal jährlich (in Anlassfällen auch mehrfach) kontrolliert.
Die Compliance-Beauftragte hatte sämtliche Wertpapierdepotaufstellungen per 31.12.2014 und Bewegungsauszüge vom KJ 2014 entsprechend den Vorgaben des SCC überprüft, insbesondere erfolgte ein Abgleich mit Sperr- und Beobachtungsliste, Großordermeldungen, allen Kundentransaktionen und aktuellen Kundenbeständen. Die Überprüfung ergab keinen Hinweis auf Interessenkonflikte oder Missbrauch vertraulicher Informationen irgendwelcher Art (Beil. ./.8 und ./9, Rz. 25-27).
9.3. In der Schlussb