§ 27 ZAG

(1) Ein Institut muss über eine ordnungsgemäße Geschäftsorganisation verfügen; die Geschäftsleiter sind für die ordnungsgemäße Geschäftsorganisation des Instituts verantwortlich. Eine ordnungsgemäße Geschäftsorganisation umfasst insbesondere:

1.

angemessene Maßnahmen der Unternehmenssteuerung, Kontrollmechanismen und Verfahren, die gewährleisten, dass das Institut seine Verpflichtungen erfüllt;

2.

das Führen und Pflegen einer Verlustdatenbank sowie eine vollständige Dokumentation der Geschäftstätigkeit, die eine lückenlose Überwachung durch die Bundesanstalt für ihren Zuständigkeitsbereich gewährleistet;

3.

ein angemessenes Notfallkonzept für IT-Systeme;

4.

interne Verfahren und Kontrollsysteme, die die Einhaltung der Verordnung (EG) Nr. 924/2009, der Verordnung (EU) Nr. 260/2012 und der Verordnung (EU) 2015/751 des Europäischen Parlaments und des Rates vom 29. April 2015 über Interbankenentgelte für kartengebundene Zahlungsvorgänge (ABl. L 123 vom 19.5.2015, S. 1) gewährleisten;

5.

unbeschadet der Pflichten der §§ 4 bis 7 des Geldwäschegesetzes angemessene Maßnahmen, einschließlich Datenverarbeitungssysteme, die die Einhaltung der Anforderungen des Geldwäschegesetzes und der Verordnung (EU) 2015/847 gewährleisten; soweit dies zur Erfüllung dieser Pflicht erforderlich ist, darf das Institut personenbezogene Daten verarbeiten.

(2) ¹Die §§ 6a, 24c, 25i, 25m und 60b des Kreditwesengesetzes sowie § 93 Absatz 7 und 8 in Verbindung mit § 93b der Abgabenordnung gelten für Institute im Sinne dieses Gesetzes entsprechend. ²§ 24c des Kreditwesengesetzes gilt mit der Maßgabe, dass die Bundesanstalt einzelne Daten aus dem Dateisystem nach § 24c Absatz 1 Satz 1 des Kreditwesengesetzes abrufen darf, soweit dies zur Erfüllung ihrer aufsichtsrechtlichen Aufgaben nach diesem Gesetz und dem Geldwäschegesetz, insbesondere im Hinblick auf unerlaubte Zahlungsdienste und unerlaubte E-Geld-Geschäfte erforderlich ist und besondere Eilbedürftigkeit im Einzelfall vorliegt.

(3) ¹Die Bundesanstalt kann gegenüber einem Institut im Einzelfall Anordnungen treffen, die geeignet und erforderlich sind, um die Anforderungen an eine ordnungsgemäße Geschäftsorganisation im Sinne des Absatzes 1 zu erfüllen. ²Die Bundesanstalt kann Kriterien bestimmen, bei deren Vorliegen Institute vom Einsatz von Datenverarbeitungssystemen nach Absatz 1 Satz 2 Nummer 5 absehen können. ³Satz 1 gilt entsprechend für Auslagerungsunternehmen, soweit ausgelagerte Aktivitäten und Prozesse betroffen sind.

(4) ¹Die Bundesanstalt überwacht die Einhaltung der in der Verordnung (EU) 2015/847, in der Verordnung (EG) Nr. 924/2009, in der Verordnung (EU) Nr. 260/2012 und in der Verordnung (EU) 2015/751 enthaltenden Pflichten durch die Institute. ²Sie kann gegenüber einem Institut und seinen Geschäftsleitern Anordnungen treffen, die geeignet und erforderlich sind, um Verstöße gegen die Pflichten nach den Verordnungen nach Satz 1 zu verhindern oder zu unterbinden.