§ 27 ZAG
§ 27 Organisationspflichten
(1) 1Ein Institut muss über eine ordnungsgemäße Geschäftsorganisation verfügen; die Geschäftsleiter sind für die ordnungsgemäße Geschäftsorganisation des Instituts verantwortlich. 2Eine ordnungsgemäße Geschäftsorganisation umfasst insbesondere:
1.
angemessene Maßnahmen der Unternehmenssteuerung, Kontrollmechanismen und Verfahren, die gewährleisten, dass das Institut seine Verpflichtungen erfüllt;
2.
das Führen und Pflegen einer Verlustdatenbank sowie eine vollständige Dokumentation der Geschäftstätigkeit, die eine lückenlose Überwachung durch die Bundesanstalt für ihren Zuständigkeitsbereich gewährleistet;
3.
ein angemessenes Notfallkonzept für IT-Systeme;
4.
interne Verfahren und Kontrollsysteme, die die Einhaltung der Verordnung (EG) Nr. 924/2009, der Verordnung (EU) Nr. 260/2012 und der Verordnung (EU) 2015/751 des Europäischen Parlaments und des Rates vom 29. April 2015 über Interbankenentgelte für kartengebundene Zahlungsvorgänge (ABl. L 123 vom 19.5.2015, S. 1) gewährleisten;
5.
unbeschadet der Pflichten der §§ 4 bis 7 des Geldwäschegesetzes angemessene Maßnahmen, einschließlich Datenverarbeitungssysteme, die die Einhaltung der Anforderungen des Geldwäschegesetzes und der Verordnung (EU) 2015/847 gewährleisten; soweit dies zur Erfüllung dieser Pflicht erforderlich ist, darf das Institut personenbezogene Daten verarbeiten.
(2) 1Die §§ 6a, 24c, 25i, 25m und 60b des Kreditwesengesetzes sowie § 93 Absatz 7 und 8 in Verbindung mit § 93b der Abgabenordnung gelten für Institute im Sinne dieses Gesetzes entsprechend. 2§ 24c des Kreditwesengesetzes gilt mit der Maßgabe, dass die Bundesanstalt einzelne Daten aus dem Dateisystem nach § 24c Absatz 1 Satz 1 des Kreditwesengesetzes abrufen darf, soweit dies zur Erfüllung ihrer aufsichtsrechtlichen Aufgaben nach diesem Gesetz und dem Geldwäschegesetz, insbesondere im Hinblick auf unerlaubte Zahlungsdienste und unerlaubte E-Geld-Geschäfte erforderlich ist und besondere Eilbedürftigkeit im Einzelfall vorliegt.
(3) 1Die Bundesanstalt kann gegenüber einem Institut im Einzelfall Anordnungen treffen, die geeignet und erforderlich sind, um die Anforderungen an eine ordnungsgemäße Geschäftsorganisation im Sinne des Absatzes 1 zu erfüllen. 2Die Bundesanstalt kann Kriterien bestimmen, bei deren Vorliegen Institute vom Einsatz von Datenverarbeitungssystemen nach Absatz 1 Satz 2 Nummer 5 absehen können.
(4) 1Die Bundesanstalt überwacht die Einhaltung der in der Verordnung (EU) 2015/847, in der Verordnung (EG) Nr. 924/2009, in der Verordnung (EU) Nr. 260/2012 und in der Verordnung (EU) 2015/751 enthaltenden Pflichten durch die Institute. 2Sie kann gegenüber einem Institut und seinen Geschäftsleitern Anordnungen treffen, die geeignet und erforderlich sind, um Verstöße gegen die Pflichten nach den Verordnungen nach Satz 1 zu verhindern oder zu unterbinden.
Fußnote
§ 53 ZAG
§ 53 Beherrschung operationeller und sicherheitsrelevanter Risiken
(1) 1Ein Zahlungsdienstleister hat angemessene Risikominderungsmaßnahmen und Kontrollmechanismen zur Beherrschung der operationellen und der sicherheitsrelevanten Risiken im Zusammenhang mit den von ihm erbrachten Zahlungsdiensten einzurichten, aufrechtzuerhalten und anzuwenden. 2Dies umfasst wirksame Verfahren für die Behandlung von Störungen im Betriebsablauf, auch zur Aufdeckung und Klassifizierung schwerer Betriebs- und Sicherheitsvorfälle.
(2) 1Ein Zahlungsdienstleister hat der Bundesanstalt einmal jährlich eine aktuelle und umfassende Bewertung der operationellen und sicherheitsrelevanten Risiken im Zusammenhang mit den von ihm erbrachten Zahlungsdiensten und hinsichtlich der Angemessenheit der Risikominderungsmaßnahmen und Kontrollmechanismen, die er zur Beherrschung dieser Risiken ergriffen hat, zu übermitteln. 2Die Bundesanstalt kann gegenüber einem Zahlungsdienstleister festlegen, dass die Übermittlung der Bewertung nach Satz 1 in kürzeren Zeitabständen zu erfolgen hat.