TE Bvwg Erkenntnis 2018/4/30 W148 2162211-1

W148 2162211-1/9E

IM NAMEN DER REPUBLIK!

Das Bundesverwaltungsgericht hat durch den Richter Dr. Stefan KEZNICKL als Vorsitzenden und die Richterin Mag. Dr. Esther SCHNEIDER und den Richter Mag. Philipp CEDE, LL.M., als Beisitzer im Verfahren über die Beschwerde des Herrn XXXX vom 19.05.2017, vertreten durch Haslinger Nagele & Partner Rechtsanwälte GmbH in 1010 Wien, gegen das Straferkenntnis der Finanzmarktaufsichtsbehörde vom 21.04.2017, Zl. FMA-XXXX, wegen Übertretungen des Wertpapieraufsichtsgesetzes 2007 zu Recht erkannt:

A)

I. Der Beschwerde wird hinsichtlich Spruchpunkt I. insofern Folge gegeben als darin der Beginn des Tatzeitraumes statt "01.09.2011" wie folgt lautet: "02.12.2013".

II. Der Beschwerde wird hinsichtlich Spruchpunkt II. insofern Folge gegeben als darin der Beginn des Tatzeitraumes statt "01.01.2013" wie folgt lautet "02.12.2013".

III. Der Beschwerde wird hinsichtlich der Strafhöhe insofern Folge gegeben, als die Strafe gemäß § 22 Abs. 8 FMABG einheitlich bemessen und mit insgesamt 4000 EUR bzw. mit insgesamt 15 Stunden Ersatzfreiheitsstrafe festgesetzt wird.

IV. Die Kosten des verwaltungsbehördlichen Verfahrens vor der FMA werden mit 400 EUR bestimmt, das sind 10 % der verhängten Geldstrafe.

V. Im Übrigen wird die Beschwerde abgewiesen.

B)

Die Revision ist gemäß Art. 133 Abs. 4 B-VG zulässig.

ENTSCHEIDUNGSGRÜNDE:

I. Verfahrensgang:

1. Die vorliegende Beschwerde von XXXX richtet sich gegen das Straferkenntnis der FMA vom 21.04.2017, dessen Spruch lautet:

"Sehr geehrter Herr XXXX!

Sie sind seit 01.05.2005 Vorstand der XXXX, eines konzessionierten Kreditinstitutes mit Sitz in XXXX und seit 02.12.2013 als verantwortlicher Beauftragter gemäß § 9 Abs. 2 VStG für sämtliche Verwaltungsstrafverfahren bestellt.

Sie haben in dieser Funktion zu verantworten, dass die XXXX AG an ihrem Unternehmenssitz:

I. von 01.09.2011 bis 01.05.2015 unterlassen hat, angemessene Vorkehrungen im Sinne des § 24 Abs. 1 WAG 2007 zu treffen, um relevante Personen im Sinne dieser Gesetzesbestimmung daran zu hindern, persönliche Geschäfte im Sinne des § 24 Abs. 1 Z 1 bis 3 WAG 2007 zu tätigen. Dies dadurch, dass das Unternehmen keine Vorkehrungen getroffen hat, um Transaktionen von Mitarbeitern, welche über Fremdbankdepots abgewickelt werden, einem zeitnahen Abgleich mit Transaktionen des Kunden - und Eigenhandels zu unterziehen und diesbezüglich lediglich eine jährliche Überprüfung festgeschrieben hat.

II. Von 01.01.2013 bis 08.05.2015 unterlassen hat, angemessene Vorkehrungen zu treffen, um gemäß § 20 Z 1 WAG 2007 die Angemessenheit und Wirksamkeit der Systeme, interne Kontrollmechanismen und Vorkehrungen gemäß §§ 18 bis 23 ff WAG 2007 zu prüfen und zu bewerten. Seit 01.01.2013 bis zum 08.05.2015 war hinsichtlich der Überprüfung der Compliance-Organisation gemäß § 18 WAG 2007 oder der Kontrolle von persönlichen Geschäften gemäß §§ 23 ff WAG 2007 durch die interne Revision lediglich ein Prüfungsintervall von 5 Jahren vorgesehen.

III. Die XXXX AG haftet gemäß § 9 Abs. 7 VStG für die über den Beschuldigten verhängte Geldstrafe und die Verfahrenskosten zur ungeteilten Hand.

Sie haben dadurch folgende Rechtsvorschrift(en) verletzt:

Zu:

I. § 24 Abs. 1 WAG 2007, BGBl. I Nr. 60/2007 idF BGBl. I Nr. 119/2012 iVm § 95 Abs. 2 Z 2 WAG 2007, BGBl. I Nr. 60/2007 idF BGBl. I Nr. 184/2013

II. § 20 Z 1 WAG 2007, BGBl. I Nr. 60/2007 idF BGBl. I Nr. 37/2010 iVm § 95 Abs. 2 Z 2 WAG 2007, BGBl. I Nr. 60/2007 idF. BGBl. I Nr. 184/2013

Wegen dieser Verwaltungsübertretung(en) wird über Sie folgende Strafe verhängt:

Geldstrafe von

I. EUR 2.500,-

II. EUR 2.500,-

falls diese uneinbringlich ist, Ersatzfreiheitsstrafe von

I. 11 Stunden

II. 11 Stunden Freiheitsstrafe von

--- Gemäß §§

95 Abs. 2 zweiter Strafsatz WAG 2007, BGBl. I Nr. 60/2007 idF BGBl. I Nr. 184/2013

gesamt: 5.000,- Euro Weitere Verfügungen (z.B. Verfallsausspruch, Anrechnung von Vorhaft):

--

Ferner haben Sie gemäß § 64 des Verwaltungsstrafgesetzes (VStG) zu zahlen:

• 500,- Euro als Beitrag zu den Kosten des Strafverfahrens, das sind 10% der Strafe, mindestens jedoch 10 Euro (ein Tag Freiheitsstrafe gleich 100 Euro);

• 0 Euro als Ersatz der Barauslagen für ---.

Der zu zahlende Gesamtbetrag (Strafe/Kosten/Barauslagen) beträgt daher

5.500,- Euro."

2. Die Beschwerde vom 19.05.2017 bringt zusammengefasst vor, dass hinsichtlich des ersten Tatvorwurfes Rechtswidrigkeit deshalb vorliege, weil der Tatvorwurf zwischen der ersten Verfolgungshandlung und dem angefochtenen Straferkenntnis geändert worden sei, dies insofern, als ursprünglich von "unverzüglich" und dann von "zeitnah" die Rede gewesen sei. Weiters sei dazu im Spruch des angefochtenen Straferkenntnisses ausgesprochen, dass angemessene Vorkehrungen unterlassen worden seien, hingegen sei in der Begründung die unzureichende Einhaltung der Vorkehrungen beanstandet worden (Widersprüchlichkeit). Weiters sei der behauptete Verstoß schon einmal zuvor Gegenstand eines Straferkenntnisses der FMA gewesen, das vom VwGH bestätigt worden sei, und es habe daher die haftende Gesellschaft darauf vertrauen können, dass die anlässlich dieser damaligen Beanstandung vorgenommenen Vorkehrungen rechtskonform seien (zumindest auf der Verschuldensebene). Es hätten auch keine widersprüchlichen Regelungen hinsichtlich Fremdbankendepots bestanden und auch keine Unterlassung der Vorkehrungen gemäß § 24 Abs. 1 WAG. Weiters sei der Tatvorwurf auch unzureichend festgestellt, weil es sich bei der jährlichen Überprüfung der Transaktionen von Fremdbankdepots bloß um einen zusätzlichen Prüfschritt gehandelt habe. Die Überprüfung der einzelnen Meldungen sei tatsächlich zeitnah erfolgt.

Zum zweiten Tatvorwurf wird eingewendet, dass die vorgeworfene Tat keine Verwaltungsübertretung sei. § 20 WAG verpflichte bloß zur Organisation einer dauerhaft eingerichteten internen Revision (im Folgenden "IR") und zur Erstellung und dauerhaften Umsetzung eines Revisionsprogrammes. Die IR habe das Thema "Compliance" intensiv geprüft und sich mit diesem Prüffeld auseinandergesetzt. Die Judikatur des VwGH sehe keine starren Prüfintervalle vor, sondern je nach Risikogesichtspunkt bleibe es dem Unternehmen vorbehalten, die entsprechenden Prüfungen vorzunehmen. Weiters habe die IR für 2015 verschiedene Prüfprozesse vorgesehen; laut "Prüflandkarte" sei ein maximaler Prüfzyklus von fünf Jahren eingestellt gewesen, faktisch sei bereits 3 Jahre nach der vorherigen Prüfung die nächste Prüfung geplant gewesen, wobei deren Durchführung aufgrund der Vor-Ort-Prüfung der belangten Behörde verschoben und erst Ende 2015 durchgeführt worden sei. Weiters liege kein Verschulden des Beschwerdeführers (im Folgenden "BF") vor, weil mit Übernahme seiner Verantwortung am 02.12.2013 der Prüfplan der IR (Datum 26.11.2013) bereits festgelegt gewesen sei.

3. Am 12.01.2018 fand eine öffentliche mündliche Verhandlung vor dem Bundesverwaltungsgericht statt, an der ein informierter Vertreter der haftenden Gesellschaft und der belangten Behörde sowie die rechtsfreundliche Vertretung des BF teilgenommen haben.

4. Mit Eingabe vom 19.01.2018 legte der BF Urkunden vor: den am 24.11.2014 beschlossenen Prüfplan 2015 der IR sowie nochmals eine Urkunde, die bereits mit der Beschwerde vorgelegt worden war (Schreiben der IR vom 26.11.2014 an die Abteilung Sekretariat und Kommunikation - SEK); weiters wurde eine Ankündigung über zwei Revisionsprüfungen im Jahr 2015 zum Prüfkomplex "Compliance" (vom August 2015 und vom Oktober 2015) vorgelegt.

II. Das Bundesverwaltungsgericht hat erwogen:

1. Feststellungen:

Allgemein

Die haftende Gesellschaft ("XXXX AG"), eingetragen im Firmenbuch des XXXX unter der Nr. FN XXXX, mit dem Sitz in XXXX, war während des Tatzeitraumes ein konzessioniertes Kreditinstitut (Banken-Vollkonzession nach dem BWG) und ein Rechtsträger im Sinne des Wertpapieraufsichtsgesetzes 2007. Es bestanden neben der Hauptniederlassung in XXXX in Österreich über 97 Niederlassungen und 58 Auslandszweigstellen in XXXX, XXXX, der XXXX und XXXX.

Der Beschwerdeführer ist seit 2005 Mitglied des Vorstandes der haftenden Gesellschaft und war davor im Geschäftsbereich XXXX als Kundenberater tätig. Es gibt eine - nicht satzungsmäßige - Aufgabenverteilung (Geschäftsverteilung und Geschäftsordnung) innerhalb des Gesamtvorstandes, wonach der BF für das Privatkundengeschäft zuständig war, jedoch nicht für die Compliance-Abteilung und auch nicht für die Abteilung Sekretariat und Kommunikation (SEK). Die Organisationseinheit "Interne Revision" war dem Gesamtvorstand unterstellt. Der BF war seit 02.12.2013 wirksam zum verwaltungsstrafrechtlich Verantwortlichen nach § 9 Abs. 2 VStG für den gesamten Bereich Finanzmarktaufsicht bestellt worden, was der FMA schriftlich am selben Tag mitgeteilt wurde (Beginn des Tatzeitraumes zu beiden Spruchpunkten). Davor war ein anderes Mitglied des Vorstandes zum Verantwortlichen nach § 9 Abs. 2 VStG bestellt.

Es kann nicht festgestellt werden, dass durch die beiden Rechtsverletzungen ein konkreter Schaden eingetreten ist.

Zu Spruchpunkt I. (§ 24 Abs. 1 WAG 2007)

Im Unternehmen der haftenden Gesellschaft war im Tatzeitraum in der Abteilung Sekretariat und Kommunikation ("SEK"), welche einem Vorstandssekretariat entsprach, ein Compliance Office (CO) eingerichtet, welches von einem Compliance Officer geleitet wurde, der gleichzeitig auch Geldwäschebeauftragter war. Das CO war für die Einhaltung des § 24 Abs. 1 WAG 2007 zuständig bzw. verantwortlich. Für diese beiden Verantwortungsbereiche waren fünf Mitarbeiter (Vollzeitäquivalente) beschäftigt.

Die haftende Gesellschaft hat dazu folgende schriftliche Regelwerke erlassen:

1. "Compliance-Richtlinie der XXXX AG" (Arbeitsanweisung Nr. 11/2005), erstellt am 14.07.2005 in der "Fassung August 2014"), ON 7 des verwaltungsbehördlichen Aktes,

2. "Richtlinie für Geschäfte von MitarbeiterInnen in Kreditinstituten (Stand November 2013)", ON 8 des verwaltungsbehördlichen Aktes,

3. a. "Handbuch Compliance der XXXX AG" mit "Stand März 2015" sowie dessen

b. "Anhang zum Handbuch Compliance der XXXX AG - Anleitung Tägliche Compliance Prüfung" ebenfalls mit "Stand März 2015", beide ON 9 des verwaltungsbehördlichen Aktes sowie

4. "Interne Richtlinie Compliance-Prüffelder des Compliance Offices der XXXX AG" mit "Stand Februar 2015", ON 10 des verwaltungsbehördlichen Aktes.

Die Regelwerke 1. bis 3. waren an alle Mitarbeiter im Unternehmen gerichtet und diesen auch nachweislich zur Kenntnis gebracht worden. Das unter 2. angeführte Regelwerk ("RL für Geschäfte von MitarbeiterInnen in Kreditinstituten") basiert auf einem allen Kreditinstituten und Rechtsträgern zur Verfügung stehenden Muster der Bankenindustrie. Das 4. Regelwerk war primär an die Mitarbeiter der Compliance-Abteilung ("CO-Abteilung") gerichtet und diente sowohl der Anleitung als auch der Beschreibung der Tätigkeit der Mitarbeiter der CO-Abteilung. Alle Dokumente lagen zu Beginn des Tatzeitraumes vor.

Folgende schriftliche Vorkehrungen finden sich in diesen Regelwerken:

* Die "Compliance-Richtlinie der XXXX AG" (Arbeitsanweisung Nr. 11/2005) enthielt einen allgemeinen Verweis auf den Standard Compliance Code der österreichischen Kreditwirtschaft und die Emittenten-Compliance-Verordnung (ECV) der FMA sowie einen Verweis auf die "Richtlinie für Geschäfte von MitarbeiterInnen in Kreditinstituten". Unter Punkt 3. (5. Unterabsatz) war folgende Regelung wörtlich enthalten:

"Über die für die MitarbeiterInnen ... geltenden Verpflichtungen ...

hinaus, haben die MitarbeiterInnen unaufgefordert jedes

Mitarbeitergeschäft, das nicht über das eigene Kreditinstitut

getätigt wird, unter Angabe aller Details und des Namens des

Institutes unverzüglich, ... dem Compliance Officer anzuzeigen." Zur

Frage des Abgleiches dieser gemeldeten Fremdbankengeschäfte findet sich keine Regelung.

* In der "Richtlinie für Geschäfte von MitarbeiterInnen in Kreditinstituten (Stand November 2013)" findet sich unter Punkt 7. ("Kontrollmaßnahmen des Compliance Officers") folgende wörtliche Regelung: "Sowohl Mitarbeitergeschäfte, die über Depots, die beim eigenen Kreditinstitut geführt werden, getätigt werden, als auch jene Mitarbeitergeschäfte, die über gem. Punkt 5. [Anm: Punkt 5. erwähnt die Meldung mit folgenden Worten: ‚..., wobei die Depots und Konten bei einem fremden Kreditinstitut zu melden sind.'] gemeldete Fremdbanken getätigt werden, sind zeitnah zu kontrollieren. Bei Fremdbanken geführte Depots werden zumindest 1x jährlich stichprobenartig im Nachhinein auf Vollständigkeit der eingelangten Meldungen abgefragt." Weiters: "Darüber hinaus ist ein regelmäßiger Abgleich von Mitarbeitergeschäften mit Kundentransaktionen und Nostroorders vorzunehmen, wobei bei dieser Kontrolle Schwerpunktsetzungen erfolgen können."

* Im "Handbuch Compliance der XXXX AG" mit "Stand März 2015" findet sich folgende Regelung (Punkt 6. Prüfung von Fremdbankendepots; 4. Unterabsatz): "Nach Erhalt der Jahresumsatzliste wird nach folgenden Kriterien geprüft ...".

Und in dessen "Anhang zum Handbuch Compliance der XXXX AG - Anleitung Tägliche Compliance Prüfung" findet sich unter Punkt 5. (auf Seite 33) folgende wörtliche Regelung: "Nach Erhalt der Jahresumsatzliste für das abgelaufene Jahr (dies geschieht in der Regel in den Monaten Jänner und Februar) werden die Umsätze bei allen MitarbeiterInnen manuell kontrolliert und im Anschluss wird die Umsatzliste eingescannt".

* In der Kurzanleitung "Interne Richtlinie Compliance-Prüffelder des Compliance Offices der XXXX AG" mit "Stand Februar 2015", welche als interne geraffte Darstellung der Prüfschritte bzw. als "Checkliste" für den internen Gebrauch der Compliance-Gruppe diente und nur dieser bekannt war, findet sich folgende wörtlich Regelung unter Punkt 1.14. ("Fremdbankdepotprüfung"):

"MitarbeiterInnen haben unaufgefordert jedes Mitarbeitergeschäft, das nicht über das eigene Kreditinstitut getätigt wird, unter Angabe

aller Details ... unverzüglich ... anzuzeigen. ...

Jährlich werden alle MitarbeiterInnen, die über ein Fremdbankdepot verfügen, aufgefordert[,] dem Compliance Office die Umsatzliste für das letzte Kalenderjahr zu übermitteln. Bei MitarbeiterInnen, die dieser Aufforderung nicht nachkommen, wird die Umsatzliste direkt anhand der vorliegenden Entbindungserklärung angefordert.

Die Umsatzlisten werden auf folgende Geschäfte kontrolliert: ..."

Darüber hinaus gab es keine anderen Vorkehrungen gem. § 24 Abs. 1 WAG 2007.

Zusammengefasst wird festgestellt, dass zwar in der allgemeinen "Richtlinie für Geschäfte von MitarbeiterInnen in Kreditinstituten (Stand November 2013)" auf die die internen Richtlinien allgemein verwiesen haben, die Regel aufgestellt wurde, dass gemeldete Fremdbankengeschäfte zeitnah zu kontrollieren sind, in der internen Arbeitsanleitung an die prüfenden Mitarbeiter der CO-Abteilung (Kurzanleitung "Interne Richtlinie Compliance-Prüffelder des Compliance Offices der XXXX AG") war eine (zB hinsichtlich Frequenz, Modalität und/oder Anlässen) konkretisierende Arbeitsanweisung zur zeitnahen Prüfung der gemeldeten Fremdbankengeschäfte jedoch nicht enthalten.

Es hat sich in der Praxis, im Zuge einer Vor-Ort-Prüfung der FMA im April 2015, gezeigt, dass das CO tatsächlich gemeldete Mitarbeitergeschäfte über Fremdbanken(depots) nicht zeitnah kontrolliert, nämlich mit Transaktionen des Kunden- und/oder Eigenhandels nicht abgeglichen hat, nicht einmal stichprobenweise.

Das Straferkenntnis der FMA vom 19.03.2012, Zl. FMA-KL23 5108.100/0011-LAW/2011 hat einen anderen Sachverhalt (sachlich und zeitlich) betroffen, nämlich dass nicht alle relevanten Personen im Sinne des § 24 Abs. 1 WAG 2007 Vertraulichkeitsbereichen zugeordnet waren (im Zeitraum 01.10.2010 bis 13.01.2011).

Mit 01.05.2015 wurde eine neue unternehmensinterne Richtlinie erlassen (Ende des von der belangten Behörde angelasteten Tatzeitraumes).

Zu Spruchpunkt II. (§ 20 Z 1 WAG 2007)

Die Aufgaben der internen Revision wurden von einer eigenen Organisationseinheit innerhalb der haftenden Gesellschaft mit der Bezeichnung "Interne Revision (IR)" wahrgenommen, welche über 19,6 Vollzeitäquivalente verfügte.

Auf Basis einer risikobasierten "Prüflandkarte", die jährlich aktualisiert wurde, erstellte die Abteilung IR jährliche "Prüfungspläne". Zur Unterstützung der Prüftätigkeit der Compliance-Themen stand ein "Prüfhandbuch für Kontrolle der Umsetzung der Bestimmungen des WAG 2007 (Stand Oktober 2012)" zur Verfügung.

In der Prüflandkarte aus dem Jahr 2012 war, neben anderen Prüfungsgebieten (zB "WAG, MiFID"), auch das verfahrensgegenständliche Prüfungsgebiet der "Compliance (Österreich)" vorgesehen, das die Organisation (der CO-Abteilung) und die Kontrolle der Mitarbeitergeschäfte umfasst. Dafür war laut Prüflandkarte aus 2012 ein fünfjähriges Revisionsintervall vorgesehen, dh die nächste Prüfung nach 2012 wäre laut Plan "2017" (ohne zusätzliche Angabe) angestanden. In den beiden tabellarischen Prüflandkarten aus 2012 und aus 2015 (ON 1, Seite 28, des verwaltungsbehördlichen Aktes) ist unter der Spalte "nächste Revision" ausschließlich die Jahreszahl "2017" zu finden, ohne jeden Zusatz wie etwa "spätestens", "längstens bis" oder dgl. 2012 fand tatsächlich die letzte Prüfung der "Compliance Österreich" statt. Auch eine Prüflandkarte von vor der Vor-Ort-Prüfung der FMA (im April 2015), welche im Jahr 2015 erstellt wurde, sah (noch) eine Prüfung des verfahrensgegenständlichen Prüfungsgebietes erst für "2017" vor, ging also noch von dem fünfjährigen Prüfintervall aus. Nach der Vor-Ort-Prüfung der FMA im April 2015 teilte die haftende Gesellschaft mit Schreiben vom 08.05.2015 (Ende des Tatzeitraumes) mit, dass sie für die IR eine Prüfung des Gebietes "Compliance" noch für das Jahr 2015 geplant habe.

Es kann nicht festgestellt werden, dass im "Jahresprüfplan 2015" der Internen Revision vom 24.11.2014 die Prüfung des Prüfungsgebietes "Compliance (Österreich)" beabsichtigt bzw. geplant war. Ebenso wenig enthält die Unterlage "Jahresprüfplan 2015 der Internen Revision" vom 26.11.2014 eine Anordnung zur Prüfung des Prüfungsgebietes "Compliance". Erst mit Schreiben der Internen Revision vom 31.08.2015 wird mitgeteilt, dass der Vorstand der haftenden Gesellschaft beschlossen habe, die Interne Revision mit der Prüfung "Compliance" zu beauftragen.

Die haftende Gesellschaft hat im Wertpapierbereich rund XXXX börsennotierte Kunden mit rund XXXX Kundenwertpapierdepots mit einem Gesamtvolumen von rund XXXX Milliarden Euro (Bilanzsumme). Mit Stichtag 31.03.2015 hielt das Unternehmen ein Kundenwertpapiervolumen von XXXX Milliarden EUR, das Wertpapiervolumen im Nostro (Eigenhandel) betrug per 31.03.2015 insgesamt XXXX Milliarden EUR. Im Zeitraum von Oktober 2014 bis März 2015 wurden rund 40.000 Wertpapiertransaktionen über die Wiener Börse abgewickelt. Von den rund XXXX Mitarbeitern besitzen 1500 bis 1800 ein Wertpapierdepot, das Insiderverzeichnis der haftenden Gesellschaft umfasst rund XXXX Personen. Täglich finden im Durchschnitt 30 bis 40 Wertpapiergeschäfte von Mitarbeitern statt; es bestanden im Tatzeitraum rund 40 Beziehungen von Mitarbeitern mit Fremdbanken (Fremdbankendepots). Die haftende Gesellschaft ist auf das Wertpapiergeschäft spezialisiert und strategisch darauf ausgerichtet, was zusätzlich zu den oben beschriebenen Parametern auch dadurch charakterisiert wird, dass zwischen 400 und 500 Mitarbeiter (ca. ein Viertel) im Wertpapierhandel tätig sind, wenn auch nicht ausschließlich. Sie ist nach ihrer eigenen Einschätzung in ihrem Geschäftsmodell wertpapierlastig und hat ein für das Unternehmen signifikantes Wertpapiergeschäft.

2. Beweiswürdigung:

Die Feststellungen ergeben sich aus dem Akteninhalt, den Aussagen eines informierten Vertreters der haftenden Gesellschaft in der mündlichen Verhandlung vor dem BVwG und aus der Einsicht in das offene Firmenbuch.

Die Feststellungen zum Tatzeitraum, insbes. zu seinem Beginn, ergeben sich aus den übereinstimmenden Angaben beider Parteien in der mündlichen Verhandlung.

Die Feststellungen zur haftenden Gesellschaft (Kennzahlen des Unternehmens und der Geschäfte) ergeben sich aus den Angaben ihres informierten Vertreters in der mündlichen Verhandlung vor dem BVwG, der die Angaben des Straferkenntnisses bestätigt hat. Ebenso die Angaben zur beruflichen Position und zum Werdegang des BF.

Die Feststellungen zu Spruchpunkt I. (§ 24 Abs. 1 WAG 2007) ergeben sich aus dem vorgelegten Verwaltungsakt, der Beschwerde (insbes. Seite 11 zum Charakter der "Interne Richtlinie Compliance-Prüffelder des Compliance Offices der XXXX AG") und den glaubwürdigen, detailreichen und nachvollziehbaren Aussagen des informierten Vertreters der haftenden Gesellschaft in der mündlichen Verhandlung vor dem BVwG. Dies bezieht sich insbesondere zum Regelwerk (angemessen Vorkehrungen) der haftenden Gesellschaft.

Die Angaben zur Vor-Ort-Prüfung der FMA und die dort festgestellten Angaben gründen sich auf den Verwaltungsakt und wurden faktisch vom BF nicht bestritten.

Die Feststellungen zu Spruchpunkt II (§ 20 Z 1 WAG 2007) ergeben sich aus dem Ermittlungsverfahren vor der belangten Behörde und der Einvernahme eines informierten Vertreters der haftenden Gesellschaft in der mündlichen Verhandlung vor dem BVwG sowie aus den Unterlagen, die der BF nach der mündlichen Verhandlung vorgelegt hat.

Die Feststellung, dass das Straferkenntnis der FMA vom 19.03.2012 einen anderen Sachverhalt betroffen hat, ergibt sich aus den übereinstimmenden Angaben der BF und der FMA in der mündlichen Verhandlung vor dem BVwG.

3. Rechtliche Beurteilung:

3.1. Zur Zuständigkeit des Bundesverwaltungsgerichts, zum anzuwendenden Recht und zur Zulässigkeit der Beschwerde:

Gemäß § 6 BVwGG und § 22 Abs. 2a FMABG ist das Bundesverwaltungsgericht zur Entscheidung über die Beschwerde gegen das Straferkenntnis der FMA zuständig und unterliegt diese der Senatszuständigkeit, da im Straferkenntnis eine Geldstrafe von über 600 Euro verhängt wurde.

Das angefochtene Straferkenntnis wurde dem BF am 27.04.2017 und der haftenden Gesellschaft am 28.04.2017 zugestellt, die Beschwerde des BF (die haftende Gesellschaft hat nicht Beschwerde erhoben) wurde mit Poststempel 19.05.2017 aufgegeben. Sie erweist sich damit als rechtzeitig, sie ist auch zulässig, jedoch nur teilweise begründet, wie nachfolgend ausgeführt wird.

3.2. Zu Spruchpunkt A)

3.2.1. Anwendbare Rechtsvorschriften.

Spruchpunkt I.:

§ 24 Abs. 1 und 2 Wertpapieraufsichtsgesetz 2007 (WAG 2007), BGBl. I 60/2007 idF BGBl. I 119/2012, welcher während des Tatzeitraumes gegolten hat, lautete in seiner Fassung zum 08.05.2015:

"Arten der persönlichen Geschäfte

§ 24. (1) Ein Rechtsträger hat angemessene Vorkehrungen zu treffen und dauernd einzuhalten, um relevante Personen, deren Tätigkeiten zu einem Interessenkonflikt Anlass geben könnten, oder die aufgrund von Tätigkeiten, die sie im Namen des Rechtsträgers ausüben, Zugang zu Insider-Informationen im Sinne von § 48a Abs. 1 Z 1 BörseG oder zu anderen vertraulichen Informationen über Kunden oder über Geschäfte haben, die mit oder für Kunden getätigt werden, daran zu hindern,

1. ein persönliches Geschäft zu tätigen, bei dem zumindest eine der folgenden Voraussetzungen erfüllt ist:

a) die Person darf das Geschäft gemäß den §§ 48b bis 48d BörseG oder einer in einem anderen Mitgliedstaat auf Grund der Richtlinie 2003/6/EG erlassenen Vorschrift nicht tätigen;

b) das Geschäft geht mit dem Missbrauch oder der vorschriftswidrigen Weitergabe der vertraulichen Informationen einher;

c) das Geschäft verstößt gegen eine Pflicht des Rechtsträgers nach diesem Bundesgesetz oder es besteht Grund zur Annahme, dass es gegen eine solche verstoßen könnte;

2. außerhalb ihres regulären Beschäftigungsverhältnisses oder Dienstleistungsvertrags einer anderen Person ein Geschäft mit Finanzinstrumenten zu empfehlen, das, wenn es sich um ein persönliches Geschäft der relevanten Person handeln würde, unter Z 1, § 37 Abs. 2 Z 1 oder 2 oder § 55 Abs. 4 fallen würde, oder die andere Person zu einem solchen Geschäft zu veranlassen;

3. außerhalb ihres regulären Beschäftigungsverhältnisses oder Dienstleistungsvertrags Informationen oder Meinungen an eine andere Person weiterzugeben, wenn die relevante Person weiß oder nach vernünftigem Ermessen wissen müsste, dass diese Weitergabe die andere Person dazu veranlasst oder veranlassen kann,

a) ein Geschäft mit Finanzinstrumenten zu tätigen, das, wenn es sich um ein persönliches Geschäft der relevanten Person handeln würde, unter Z 1, § 37 Abs. 2 Z 1 oder 2 oder § 55 Abs. 4 fallen würde, oder

b) einer anderen Person ein solches Geschäft zu empfehlen oder eine andere Person zu einem solchen Geschäft zu veranlassen.

(2) Die in Abs. 1 vorgeschriebenen Vorkehrungen müssen insbesondere Folgendes gewährleisten:

1. Jede unter Abs. 1 fallende relevante Person hat die Beschränkungen bei persönlichen Geschäften und die Maßnahmen, die der Rechtsträger im Hinblick auf persönliche Geschäfte und Informationsweitergabe gemäß Abs. 1 getroffen hat, zu kennen.

2. Der Rechtsträger ist unverzüglich über jedes persönliche Geschäft einer unter Abs. 1 fallenden relevanten Person zu unterrichten. Dies kann entweder durch Meldung des Geschäfts oder durch andere Verfahren, die dem Rechtsträger die Feststellung solcher Geschäfte ermöglichen, erfolgen. Wenn der Rechtsträger Aufgaben ausgelagert hat, hat er sicherzustellen, dass der Dienstleister persönliche Geschäfte aller relevanten Personen festhält und dem Rechtsträger auf Verlangen unverzüglich mitteilt.

3. Ein dem Rechtsträger gemeldetes oder von ihm festgestelltes persönliches Geschäft sowie jede Erlaubnis und jedes Verbot im Zusammenhang mit einem solchen Geschäft ist festzuhalten."

Artikel 29 Abs. 1 bis 5 der Delegierten Verordnung (EU) 2017/565 der Kommission vom 25. April 2016 zur Ergänzung der Richtlinie 2014/65/EU des Europäischen Parlamentes und des Rates in Bezug auf die organisatorischen Anforderungen an Wertpapierfirmen und die Bedingungen für die Ausübung ihrer Tätigkeit sowie in Bezug auf die Definition bestimmter Begriffe für die Zwecke der genannten Richtlinie, ABl. L 87/1 vom 31.3.2017, welcher seit 03.01.2018 § 24 WAG 2007 ersetzt, lautet:

"Artikel 29

Persönliche Geschäfte

(Artikel 16 Absatz 2 der Richtlinie 2014/65/EU)

(1) Die Wertpapierfirmen treffen angemessene Vorkehrungen und halten diese auf Dauer ein, um relevante Personen, deren Tätigkeiten Anlass zu einem Interessenkonflikt geben könnten oder die aufgrund von Tätigkeiten, die sie im Namen der Firma ausüben, Zugang zu Insider-Informationen im Sinne von Artikel 7 Absatz 1 der Verordnung Nr. 596/2014 oder zu anderen vertraulichen Informationen über Kunden oder über Geschäfte, die mit oder für Kunden getätigt werden, haben, an den in den Absätzen 2, 3 und 4 genannten Tätigkeiten zu

hindern.

(2) Die Wertpapierfirmen stellen sicher, dass die relevanten Personen keine persönlichen Geschäfte abschließen, die mindestens eines der folgenden Kriterien erfüllen:

a) Die Person darf das Geschäft nach der Richtlinie 2014/596/EU nicht tätigen;

b) es geht mit dem Missbrauch oder der vorschriftswidrigen Weitergabe dieser vertraulichen Informationen einher;

c) es kollidiert mit einer Pflicht, die der Wertpapierfirma aus der Richtlinie 2014/65/EU erwächst, oder könnte damit kollidieren.

(3) Die Wertpapierfirmen stellen sicher, dass relevante Personen außerhalb ihres regulären Beschäftigungsverhältnisses oder Dienstleistungsvertrags einer anderen Person kein Geschäft mit Finanzinstrumenten empfehlen, die - wenn es sich um ein persönliches Geschäft der relevanten Person handeln würde - unter Absatz 2 oder unter Artikel 37 Absatz 2 Buchstabe a oder b oder unter Artikel 67 Absatz 3 fiele. Unbeschadet des Artikels 10 Absatz 1 der Verordnung (EU) Nr. 596/2014 stellen Wertpapierfirmen sicher, dass relevante Personen außerhalb ihres regulären Beschäftigungsverhältnisses oder Dienstleistungsvertrags Informationen oder Meinungen an eine andere Person weitergeben, wenn der relevanten Person klar ist oder nach vernünftigem Ermessen klar sein sollte, dass diese Weitergabe die andere Person dazu veranlassen wird oder wahrscheinlich dazu veranlassen wird,

a) ein Geschäft mit Finanzinstrumenten zu tätigen, das - wenn es sich um ein persönliches Geschäft der relevanten Person handeln würde - unter Absatz 2 oder 3 oder unter Artikel 37 Absatz 2 Buchstabe a oder b oder unter Artikel 67 Absatz 3 fiele;

b) einer anderen Person zu einem solchen Geschäft zu raten oder eine andere Person zu einem solchen Geschäft zu veranlassen.

(5) Die in Absatz 1 vorgeschriebenen Vorkehrungen gewährleisten, dass:

a) jede unter Absatz 1, 2, 3 oder 4 fallende relevante Person die Beschränkungen bei persönlichen Geschäften und die Maßnahmen, die die Wertpapierfirma im Hinblick auf persönliche Geschäfte und Informationsweitergabe gemäß Absatz 1, 2, 3 oder 4 getroffen hat, kennt;

b) die Wertpapierfirma unverzüglich über jedes persönliche Geschäft einer solchen relevanten Person unterrichtet wird, und zwar entweder durch Meldung des Geschäfts oder durch andere Verfahren, die der Wertpapierfirma die Feststellung solcher Geschäfte ermöglichen.

c) ein bei der Wertpapierfirma gemeldetes oder von dieser festgestelltes persönliches Geschäft sowie jede Erlaubnis und jedes Verbot im Zusammenhang mit einem solchen Geschäft festgehalten wird. Bei Auslagerungsvereinbarungen muss die Wertpapierfirma sicherstellen, dass die Firma, an die die Tätigkeit ausgelagert wird, persönliche Geschäfte aller relevanten Personen festhält und der Wertpapierfirma diese Informationen auf Verlangen unverzüglich liefert."

Spruchpunkt II.:

§ 20 Z 1 Wertpapieraufsichtsgesetz 2007 (WAG 2007), BGBl. I 60/2007 idF BGBl. I 119/2012, welcher während des Tatzeitraumes gegolten hat, lautete in seiner Fassung zum 01.05.2015:

"Interne Revision

§ 20. Ein Rechtsträger hat eine von seinen übrigen Funktionen und Tätigkeiten getrennte und unabhängige interne Revision dauerhaft einzurichten, soweit dies angesichts der Art, dem Umfang und der Komplexität seiner Geschäftstätigkeit sowie der Art und dem Umfang der erbrachten Wertpapierdienstleistungen und Anlagetätigkeiten angemessen und verhältnismäßig ist. Diese hat folgende Aufgaben:

1. Die Erstellung und dauerhafte Umsetzung eines Revisionsprogramms mit dem Ziel, die Angemessenheit und Wirksamkeit der Systeme, internen Kontrollmechanismen und Vorkehrungen des Rechtsträgers zu prüfen und zu bewerten;

[...]

Bei einem Kreditinstitut können diese Aufgaben von der gemäß § 42 BWG eingerichteten internen Revision wahrgenommen werden."

§ 32 Wertpapieraufsichtsgesetz 2018 (WAG 2018), BGBl I 107/2017, welcher seit 03.01.2018 als Nachfolgebestimmung des während des Tatzeitraumes geltenden § 20 Z 1 WAG 2007 in Kraft ist, lautet:

"Risikomanagement und interne Revision

§ 32. Ein Rechtsträger hat über eine ordnungsgemäße Verwaltung und Buchhaltung, interne Kontrollmechanismen, effiziente Verfahren zur Risikobewertung sowie wirksame Kontroll- und Sicherheitsmechanismen für Datenverarbeitungssysteme zu verfügen."

Artikel 24 der Delegierten Verordnung (EU) 2017/565 der Kommission vom 25. April 2016 zur Ergänzung der Richtlinie 2014/65/EU des Europäischen Parlamentes und des Rates in Bezug auf die organisatorischen Anforderungen an Wertpapierfirmen und die Bedingungen für die Ausübung ihrer Tätigkeit sowie in Bezug auf die Definition bestimmter Begriffe für die Zwecke der genannten Richtlinie, ABl. L 87/1 vom 31.3.2017, lautet:

"Artikel 24

Innenrevision

(Artikel 16 Absatz 5 der Richtlinie 2014/65/EU)

Soweit dies angesichts der Art, des Umfangs und der Komplexität ihrer Geschäfte sowie der Art und des Spektrums der im Zuge dieser Geschäfte erbrachten Wertpapierdienstleistungen und Anlagetätigkeiten angemessen und verhältnismäßig ist, haben Wertpapierfirmen eine von den übrigen Funktionen und Tätigkeiten der Wertpapierfirma getrennte und unabhängige Innenrevisionsfunktion einzurichten und aufrechtzuerhalten, welche die folgenden Aufgaben wahrnimmt: a) Erstellung und dauerhafte Umsetzung eines Revisionsprogramms mit dem Ziel, die Angemessenheit und Wirksamkeit der Systeme, internen Kontrollmechanismen und Vorkehrungen der Wertpapierfirma zu prüfen und zu bewerten; b) Abgabe von Empfehlungen auf der Grundlage der Ergebnisse der gemäß Buchstabe a ausgeführten Arbeiten sowie Überprüfung der Einhaltung dieser Empfehlungen; c) Erstellung von Berichten zu Fragen der Innenrevision gemäß Artikel 25 Absatz 2."

Für alle Spruchpunkte:

§ 95 Abs. 2 Z 2 zweiter Strafsatz Wertpapieraufsichtsgesetz 2007 (WAG 2007), BGBl I 60/2007 idF BGBl I 184/2013 lautet in seiner Fassung zum Tatzeitraum(ende) wie folgt:

"§ 95.

[...]

(2) Wer als Verantwortlicher (§ 9 VStG) eines Rechtsträgers

[...]

2. gegen eine Verpflichtung gemäß §§ 9 bis 11, 13, 16 bis 22, 24 bis 26 oder 67 bis 71 verstößt oder gegen eine Verpflichtung gemäß einer auf Grund von §§ 26 Abs. 3, 68 Abs. 3 oder 68 Abs. 4 erlassenen Verordnung der FMA verstößt;

[...]

begeht eine Verwaltungsübertretung und ist hinsichtlich der Z 1 und Z 3 mit Geldstrafe bis zu 100 000 Euro und hinsichtlich der Z 2 mit Geldstrafe bis zu 60 000 Euro zu bestrafen.

[...]"

§ 95 Abs. 1 Z 14 und 16 Wertpapieraufsichtsgesetz 2018 (WAG 2018), BGBl I 107/2017, welcher seit 03.01.2018 die Nachfolgebestimmung des während der im Tatzeitraum geltenden Strafbestimmung des § 95 Abs. 2 Z 2 zweiter Strafsatz WAG 2007 ist, lautet:

"Strafbestimmungen

[...]

§ 95. (1) Wer als Verantwortlicher (§ 9 des Verwaltungsstrafgesetzes 1991 - VStG, BGBl. Nr. 52/1991) eines Rechtsträgers

[...]

14. gegen eine Verpflichtung in Bezug auf die organisatorischen Anforderungen und die Vorkehrungen für die persönlichen Geschäfte ("Compliance") gemäß § 29 dieses Bundesgesetzes und Art. 29 der delegierten Verordnung (EU) 2017/565,

[...]

16. gegen die Anforderungen an das Risikomanagement und die interne Revision gemäß § 32,

[...]

oder gegen die daran anknüpfende Verpflichtung gemäß der aufgrund der Verordnung (EU) Nr. 600/2014 oder der Richtlinie 2014/65/EU erlassenen delegierten Rechtsakte und Durchführungsverordnungen verstößt, begeht eine Verwaltungsübertretung und ist von der FMA mit Geldstrafe bis zu 5 Millionen Euro oder bis zum Zweifachen des aus dem Verstoß gezogenen Nutzens, sofern sich dieser beziffern lässt, zu bestrafen."

§ 22 Abs. 8 Finanzmarktaufsichtsbehördengesetz (FMABG), idF BGBl. I 149/2017, lautet:

"Verfahrensbestimmung

§ 22.

[...]

(8) Wenn durch eine Tat oder durch mehrere selbständige Taten mehrere Verwaltungsübertretungen gemäß einem oder mehreren der in § 3 genannten Bundesgesetze begangen wurden oder fällt eine Tat unter mehrere einander nicht ausschließliche Strafdrohungen, so ist eine einzige Verwaltungsstrafe zu verhängen. Diese Verwaltungsstrafe ist jeweils nach der Strafdrohung zu bestimmen, die die höchste Strafe androht.

[...]"

3.2.2. Zur Erfüllung des objektiven Tatbestandes

Spruchpunkt I.

Gem. Judikatur des VwGH (18.12.2015, Ra 2015/02/0172; 27.03.2015, Ra 2015/02/0025) sind bei § 24 Abs. 1 WAG 2007, der Artikel 12 der Richtlinie 2006/73/EG umgesetzt hat, zwei Tatbestände strikt voneinander zu unterscheiden, ein Rechtsträger hat danach nämlich 1. angemessene Vorkehrungen zu treffen und 2. dauernd einzuhalten; verfahrensgegenständlich ist nur der erste Tatbestand. Es wird der haftenden Gesellschaft der Vorwurf gemacht, keine angemessenen Vorkehrungen in Bezug auf die Kontrolle von gemeldeten Mitarbeitergeschäften über Fremdbanken(depots) getroffen zu haben, nämlich keinen Abgleich (Kontrolle) dieser Daten mit Transaktionen des Kunden- und/oder des Eigenhandels.

Alle Vorkehrungen, die ein Rechtsträger nach § 24 Abs. 1 WAG 2007 zu treffen hat, dienen dem Zweck, dass zB Insiderhandel, Marktmissbrauch oder Cross-Geschäfte (Frontrunning, Parallelrunning) verhindert oder zumindest kontrolliert werden können. Es versteht sich von selbst, dass dies in angemessener zeitlicher Nähe zu erfolgen hat.

Nach dem VwGH (27.03.2015, Ra 2015/02/0025) "sind bei systematischer Betrachtung unter ‚Vorkehrungen' im Sinne des § 24 leg. cit. Anforderungen an die Organisation, Strategien und Verfahren [Anm:

Hervorhebung nicht im Original] zu verstehen, die sicherstellen [Anm: Hervorhebung nicht im Original] sollen, dass kein verpöntes persönliches Geschäft abgeschlossen wird. Dabei hat der Gesetzgeber ein konkretes Regelwerk für Mitarbeiter im Auge, das sich am Zweck und am Ziel der Norm(en) zu orientieren hat. Es versteht sich von selbst, das solche ‚Vorkehrungen' schriftlich zu dokumentieren sind [...], wodurch insbesondere ihre jederzeitige Überprüfbarkeit und die Kenntnisnahme durch die Mitarbeiter ermöglicht wird [...] Das gilt etwa für Meldepflichten genauso wie für deren Kontrolle. Sind Art und Umfang von Kontrollen nicht als Vorkehrungen festgeschrieben, kann nicht bestraft werden, wer etwa die Einhaltung von Meldepflichten nicht kontrolliert."

§ 24 Abs. 2 Z 2 WAG 2007 präzisiert dessen Abs. 1 insoweit als angemessene Vorkehrungen nach Abs. 1 "insbesondere [...] gewährleisten" müssen, dass ein Rechtsträger "unverzüglich" über persönliche Geschäfte einer relevanten Person zu unterrichten ist. Dies wurde gegenständlich auch so in den Regelwerken, sowohl an die Mitarbeiterschaft insgesamt als auch die CO-Abteilung, die diese Meldungen überprüfen sollte, kommuniziert (vgl. oben Feststellungen) und insofern fand keine Beanstandung statt.

Strittig und von der belangten Behörde zu Recht beanstandet wurde jedoch, dass keine angemessenen Vorkehrungen getroffen wurden, was die Kontrolle (Abgleich bzw. Überprüfung) der gemeldeten Mitarbeitergeschäfte über Fremdbanken(depots) anlangt. Es ist zunächst mit der belangten Behörde festzuhalten, dass eine bloße Meldung von Mitarbeitergeschäften ohne nachträgliche zeitnahe Kontrolle den Zweck der Bestimmung nicht (ganz) erfüllt. Die persönlichen Geschäfte sind deshalb auch zeitnah zu kontrollieren, um die Einhaltung der Beschränkungen, denen die relevanten Personen unterliegen, zu überprüfen und allenfalls bei Verstößen Gegenmaßnahmen ergreifen zu können (bis hin zur Verhinderungen weiterer Verstöße). Es ist daher erforderlich, dass auch Fremdbankengeschäfte von Mitarbeitern einer zeitnahen Kontrolle (Überprüfung) zu unterziehen sind (Sedlak in Brandl/Saria, WAG6, § 24, Rz 39f). Eine andere Regelung erfüllt den Gesetzeszweck nicht. Es kann im Lichte der oben zitierten VwGH-Judikatur kein Zweifel bestehen, dass "Organisation, Strategien und Verfahren", die dies nicht eindeutig sicherstellen, nicht angemessen sind. Insofern geht auch der Beschwerdeeinwand (Seite 7) ins Leere, dass die nachfolgende Kontrolle der gemeldeten Mitarbeitergeschäfte eine angemessene Vorkehrung sei.

Angewendet auf den vorliegenden Sachverhalt bedeutet dies bei einer Gesamtschau des Regelwerkes, dass zwar in der an alle Mitarbeiter gerichteten "Richtlinie für Geschäfte von MitarbeiterInnen in Kreditinstituten" (Stand November 2013) eine Regelung enthalten war, dass die über Fremdbanken(depots) getätigten Mitarbeitergeschäfte "zeitnah zu kontrollieren" sind. Der Rechtsträger hat dennoch nicht erkannt, dass die zeitnahe Kontrolle derartiger Geschäfte "angemessen" (notwendig) ist, er hat diese in seinem aus fünf Dokumenten bestehenden Regelwerk ("Vorkehrungen") nämlich nicht durchgängig gleichlautend, unmissverständlich und eindeutig zum Ausdruck gebracht. Vielmehr hat sich der Rechtsträger, wie oben dargelegt, auf unterschiedliche Kontrollzeitpunkte bzw. auf völlig unterschiedliche Formulierungen in seinen Regelwerken eingelassen. In der in der Beschwerde (Seite 5) genannten "Richtlinie für Geschäfte von MitarbeiterInnen in Kreditinstituten" heißt es in Punkt 7., dass "ein regelmäßiger Abgleich von Mitarbeitergeschäften ... vorzunehmen ist". Ein paar Zeilen oberhalb ist im selben Punkt 7. noch in Bezug auf alle Mitarbeitergeschäfte noch von "zeitnah" die Rede. Und in der für Mitarbeiter der CO-Abteilung verfassten XXXX-internen Kurzanleitung ("Interne Richtlinie Compliance-Prüffelder des Compliance Office"), die die gemeldeten Mitarbeitergeschäfte kontrollieren hätten sollen, gab es überhaupt keinen Hinweis auf eine "zeitnahe Kontrolle" der gemeldeten Mitarbeitergeschäfte. Damit geht auch der Beschwerdeeinwand (Seite 11), der behauptet, die Kurzanleitung "Richtlinie für die tägliche Prüfung" sei bloß eine geraffte Darstellung dieser Prüfschritte und diene als "Checklist" bzw. sei kein "Regelwerk" iSd Gesetzes, ins Leere. Abgesehen davon, dass diese Behauptung unsubstantiiert erhoben und nicht belegt wurde, kann ihr nicht gefolgt werden. Auch bloß informelle oder interne Checklisten können, wenn sie anderen Dokumenten widersprechen, dazu führen, dass an sich angemessene Vorkehrungen, wenn ihnen andere interne Vorschriften (Dienstanweisungen etc.) widersprechen oder ihnen gegenüber lückenhaft sind, bei einer Gesamtschau aller vorliegenden schriftlichen Dokumente zum Thema als nicht angemessen im Sinne des Gesetzes erscheinen. In Zusammenhang mit der Behauptung, dass die "Checklist" nur internen Zwecken gedient habe und kein "Regelwerk" sei, ist auf die eingangs zitierte Judikatur des VwGH (27.03.2015, Ra 2015/02/0025) zu verweisen, wonach "bei systematischer Betrachtung unter ‚Vorkehrungen' im Sinne des § 24 leg. cit." alle Anforderungen an "die Organisation, Strategien und Verfahren" zu verstehen sind; es kann daher kein Zweifel bestehen, dass etwa beispielsweise interne Checklisten unter den Begriff der "Vorkehrung" fallen, weil sie zur internen Strategie gehören und ein internes Verfahren regeln, wenn auch wie vorliegend unzureichend, womit dann insgesamt gegenständlich von einer nicht angemessenen Vorkehrung gesprochen werden kann.

Zusammenfassend wird daher festgestellt, dass die Vorkehrungen der haftenden Gesellschaft in Bezug auf Geschäfte von Mitarbeitern (relevanten Personen) mit Fremdbanken nicht angemessen waren, weil sie nicht durchgängig klar, nicht eindeutig und in einigen Teilen lückenhaft, unkonkret bzw. missverständlich waren. Ein Missverständnis, vor allem durch die Mitarbeiter der CO-Abteilung, war sehr leicht möglich und wie die Praxis gezeigt hat, auch jahrelang gegeben.

Zum Beschwerdeeinwand (Seite 6 f) der angeblichen Widersprüchlichkeit des Straferkenntnisses, und dass die belangte Behörde - in der Begründung - auch die unzureichende Einhaltung der Vorkehrungen (2. Tatbestand des § 24 Abs. 1 WAG 2007) moniert habe und damit die zwei Tatbestände des § 24 Abs. 1 leg. cit. vermischt habe, ist festzuhalten, dass im angefochtenen Straferkenntnis die unzureichende Einhaltung der Vorkehrungen nicht als Begründung für die Unangemessenheit der Vorkehrungen herangezogen wurde. Das angefochtene Straferkenntnis (Seite 4, Seite 5 und Seite 7) hat in seinen Feststellungen lediglich angeführt, dass namentlich genannte Mitarbeiter der CO-Abteilung angegeben haben, dass kein "zeitnaher Abgleich mit Transaktionen des Kunden- und/oder Eigenhandels" erfolgt sei. Daraus hat das angefochtene Straferkenntnis jedoch keinen Schluss gezogen oder diesen Umstand zum Tatvorwurf erhoben. Im Absatz darunter (Seite 4) heißt es dagegen im angefochtenen Straferkenntnis, dass der Hinweis in der Compliance Richtlinie der haftenden Gesellschaft "eindeutig zu wenig" sei und weiter, dass in den "tatsächlichen Arbeitsanweisungen bzw. verschriftlichten Prozessen" nicht "festgehalten" sei, "dass ein zeitnaher Abgleich mit Transaktionen des Kunden- und oder Eigenhandels zu erfolgen hat". Es ist abschließend nochmals darauf hinzuweisen, dass verfahrensgegenständlich der 1. Tatbestand des § 24 Abs. 1 WAG 2007 ist. Weder im angefochtenen Straferkenntnis noch hier wird der Umstand, dass die gegenständlichen Geschäfte relevanter Personen nach ihrer Meldung nicht überprüft, dh mit Kundenorders abgeglichen wurden, als Begründung für die unzureichenden Vorkehrungen an sich herangezogen. Es wurde und wird lediglich als Indiz dafür gewertet, dass die nicht eindeutigen, weil widersprüchlichen und missverständlichen, Vorkehrungen tatsächlich in der Praxis zu Missverständnissen geführt haben.

Dem Einwand des BF (sowohl in der Beschwerde als auch in der mündlichen Verhandlung), dass der Tatvorwurf in der Aufforderung zur Rechtfertigung gegenüber dem Spruch des angefochtenen Straferkenntnisses in unzulässiger Weise ausgetauscht worden sei, ist zu entgegnen, dass es gemäß Judikatur des Verwaltungsgerichtshofes (VwSlg. 11.894 A/1985) genügt, dass der Beschuldigte durch Erhebung des Tatvorwurfes (hier: die Aufforderung zur Rechtfertigung vom 11.10.2016) in die Lage versetzt wird, auf den konkreten Tatvorwurf bezogene Beweise anzubieten und sich davor zu schützen, wegen desselben Verhaltens noch einmal zur Verantwortung gezogen zu werden (vgl. Weilguni in Lewisch/Fister/Weilguni, VStG2 [2017] § 32, Rz 18 mwN). Dies war verfahrensbezogen der Fall; der BF konnte sich ausreichend verteidigen, nämlich Beweismittel vorlegen bzw. Beweisanträge stellen und es war auch eindeutig, welches konkrete Verhalten (sachlich, zeitlich und räumlich) ihm zur Last gelegt wurde, so dass er vor einer Doppelbestrafung geschützt war.

Zum Beschwerdeeinwand (Seite 8 ff.), dass die Einhaltung des § 24 Abs. 1 WAG 2007 schon einmal Gegenstand eines Verwaltungsstrafverfahrens (2012) gewesen sei, ist festzuhalten, dass selbst der BFV in der mündlichen Verhandlung zugestanden hat, dass dort ein anderer Sachverhalt gegenständlich war; zudem war der Tatzeitraum ein anderer. Der Einwand geht somit ins Leere.

Die Erfüllung des objektiven Tatbestandes ist somit gegeben.

Spruchpunkt II.

Auch § 20 Z 1 WAG 2007 umfasst zwei Tatbestände (vgl. VwGH vom 30.01.2015, Ra 2015/02/0116), wovon nur der erste im Beschwerdefall relevant ist, nämlich dass ein Rechtsträger eine interne Revision nach bestimmten Kriterien (nach Art, Umfang und Komplexität seiner Geschäftstätigkeit sowie dem Umfang der erbrachten Wertpapierdienstleistungen angemessen und verhältnismäßig) einzurichten hat, die die Aufgabe hat, ein Revisionsprogramm zu erstellen mit dem Ziel, die Angemessenheit und Wirksamkeit der Systeme, internen Kontrollmechanismen und Vorkehrungen des Rechtsträger zu prüfen und zu bewerten.

Gegenständlich hat die Prüflandkarte aus 2012 einen fünfjährigen Intervall für die Prüfung des Prüfungsgebietes "Compliance" vorgesehen, was die Organisation der Organisationseinheit (CO-Abteilung) sowie insbesondere die Kontrolle der Mitarbeitergeschäfte umfasste. Wie das Ermittlungsverfahren ergeben hat, ist bis zur Mitteilung vom 08.05.2015 an die FMA vom fünfjährigen Prüfintervall nicht abgegangen worden. Die nach der mündlichen Verhandlung vorgelegten Unterlagen (vom 24.11.2014 und vom 26.11.2014) belegen entgegen den Behauptungen des BF nicht, dass das Prüfungsgebiet "Compliance" bereits zu diesem Zeitpunkt durch die interne Revision zu prüfen gewesen sei. Es wurden lediglich andere Prüfungsgebiete angeordnet: Vgl. die mit Schreiben des BFV vom 19.01.2018 vorgelegten Beweismittel: Jahresprüfplan 2015 vom 24.11.2014, Seite 4: "WP-Prozesse + MiFID/WAG AT"; Jahresprüfplan 2015 vom 26.11.2014, Seite 1: "IKS-Complianceprozesse + allgemeine Organisation". Vom Prüfungsgebiet "Compliance" ist in diesen Dokumenten nicht die Rede.

Der VwGH hat in seinem oben zitierten Erkenntnis vom 30.01.2015 ausgeführt: "Der Maßstab für die Beurteilung der Tauglichkeit des Revisionsprogrammes zur Prüfung und Bewertung von Angemessenheit und Wirksamkeit der einzelnen Bereiche kann nur das mit dem konkreten Bereich verbundene Risiko sein. Solche risikobasierten Betrachtungen bei der Erstellung und Umsetzung müssen die konkreten Umstände des Unternehmens (Rechtsträgers) im Augen haben und dürfen sich nicht in allgemeinen Überlegungen grundsätzlich bestehender Risiken erschöpfen [...] Je risikoreicher ein Bereich eingeschätzt wird, umso öfter ist er zu prüfen. Auch die Prüfhäufigkeit ist Ausdruck der Wirksamkeit des Revisionsprogrammes." Weiters hält der VwGH fest, dass weder die Erläuternden Bemerkungen zu § 20 WAG 2007 noch der ihm zugrunde liegende Art. 8 der Richtlinie 20