BaFin Rundschreiben 5/2017 (GW) – Angemessene geschäftsbezogene Sicherungssysteme im Sinne des § 25h Abs. 1 Satz 1 KWG
Maßnahmen zur Verhinderung von strafrechtlich relevanten Absprachen bei der Benutzung von Chat-Applikationen im Rahmen von Handelsplattformen
Im Zusammenhang mit staatsanwaltschaftlichen Ermittlungsverfahren insbesondere zu cum/ex-Sachverhalten ist der BaFin bekannt geworden, dass die auf verschiedenen Handelsplattformen (Bloomberg, Reuters, etc.) angebotenen Kommunikationsprogramme, die unter anderem Chat-Möglichkeiten für die an die Handelsplattformen angeschlossenen Nutzer bieten, offensichtlich für möglicherweise strafrechtlich relevante Absprachen genutzt worden sind.
Nach der Vorschrift des § 25h Absatz 1 Sätze 1 und 2 des Kreditwesengesetzes (KWG) müssen die verpflichteten Institute über ein angemessenes Risikomanagement sowie über Verfahren und Grundsätze verfügen, die der Verhinderung von sonstigen strafbaren Handlungen (außer Geldwäsche und Terrorismusfinanzierung), die zu einer Gefährdung des Vermögens des Instituts führen können, dienen. Sie haben dafür angemessene geschäfts- und kundenbezogene Sicherungssysteme zu schaffen und zu aktualisieren sowie Kontrollen durchzuführen.
Zu den danach erforderlichen „angemessenen geschäftsbezogenen Sicherungssystemen“ zählen aus Sicht der BaFin – insbesondere im Hinblick auf die oben genannten Erkenntnisse der Strafverfolgungsbehörden – auch die Dokumentation und Speicherung der über die Chat-Funktion der o.g. Kommunikationsprogramme von Handelsplattformen erfolgten und vorhandenen Korrespondenzen (Chats, Nachrichten etc.) der Mitarbeiter eines Instituts, soweit diese einen Bezug zu Transaktionen auf der jeweiligen Handelsplattform und/oder Geschäftsbeziehungen mit den an solchen Transaktionen beteiligten Parteien aufweisen. Die Dokumentation und Speicherung erfordert insoweit eine Aufzeichnung des jeweiligen (gesamten) Korrespondenzablaufs für eine angemessene Dauer, die zehn Jahre nicht unterschreiten soll. Insbesondere ist eine Löschung der vorhandenen Korrespondenzen innerhalb dieses Zeitraums nicht mehr zulässig.
Eine Speicherung der Korrespondenzen ist insbesondere zur Ermöglichung der nach § 25h Absatz 1 Satz 2 KWG vorgeschriebenen Durchführung von Kontrollen erforderlich, die die Verhinderung bzw. Aufdeckung strafrechtlich relevanter Handlungen innerhalb des Instituts bezwecken sollen. Erforderlich ist die Dokumentation und Speicherung der transaktions- bzw.geschäftsbezogenen Korrespondenzen daher sowohl unter präventiven als auch repressiven Gesichtspunkten zur Stärkung des Vertrauens in den Finanzmarkt.
Ich weise ausdrücklich darauf hin, dass die vorstehenden aufsichtsrechtlichen Anforderungen unbeschadet von parallel zu beachtenden datenschutzrechtlichen Anforderungen (z.B.angemessene technisch-organisatorische Schutzmaßnahmen, um die gespeicherten Daten vor dem Zugriff Unbefugter zu schützen und sicherzustellen, dass die Daten nur für den vorgenannten Zweck der Speicherung verwendet werden) gelten.
Quelle: https://www.bafin.de/SharedDocs/Veroeffentlichungen/DE/Rundschreiben/2017/rs_1705_sicherungssysteme_gw.html