§ 10 wird wie folgt gefasst:
„§ 10 Ordnungsmäßigkeit der Geschäftsorganisation
(1) Der Abschlussprüfer hat die Ordnungsmäßigkeit der Geschäftsorganisation im Sinne des
§ 27 Absatz 1 Satz 1 Halbsatz 1 des
Zahlungsdiensteaufsichtsgesetzes unter Berücksichtigung der Komplexität und des Umfangs der von dem Institut eingegangenen Risiken zu beurteilen. Dabei ist insbesondere auf Adressenausfallrisiken und Marktpreisrisiken, einschließlich der Zinsänderungsrisiken, sowie auf Liquiditäts- und operationelle Risiken sowie auf damit verbundene Risikokonzentrationen gesondert einzugehen.
(2) Der Abschlussprüfer hat zu beurteilen, ob die Maßnahmen der Unternehmenssteuerung, die Kontrollmechanismen und die Verfahren, die gewährleisten, dass das Institut seine Verpflichtungen erfüllt, angemessen sind. Dabei ist insbesondere darauf gesondert einzugehen, ob
- 1.
- das Risikomanagement, einschließlich der internen Kontrollsysteme, angemessen und wirksam ist,
- 2.
- eine Verlustdatenbank geführt und gepflegt wird sowie eine vollständige Dokumentation der Geschäftstätigkeit, die eine lückenlose Überwachung durch die Bundesanstalt für ihren Zuständigkeitsbereich gewährleistet, vorhanden ist,
- 3.
- das Notfallkonzept für die IT-Systeme angemessen ist, und
- 4.
- die interne Revision angemessen ist.
(3) Der Abschlussprüfer hat ferner zu beurteilen, ob die Strukturen des Instituts es seinen Geschäftsleitern sowie seinem Verwaltungs- oder Aufsichtsorgan ermöglichen, seine Aufgaben ordnungsgemäß wahrzunehmen."
Nach § 13 wird folgender Unterabschnitt 2a eingefügt:
„Unterabschnitt 2a Absicherung für den Haftungsfall bei Zahlungsauslöse- und Kontoinformationsdiensten
§ 13a Absicherung für den Haftungsfall bei Zahlungsauslösediensten
(1) Die Absicherung für den Haftungsfall bei Zahlungsauslösediensten nach
§ 16 des Zahlungsdiensteaufsichtsgesetzes ist darzustellen und ihre Wirksamkeit zu beurteilen.
(2) Es soll insbesondere näher erläutert werden, ob
- 1.
- das Institut eine Berufshaftpflichtversicherung oder eine andere gleichwertige Garantie aufrecht erhält,
- 2.
- sich die Berufshaftpflichtversicherung oder eine andere gleichwertige Garantie auf die Gebiete, in denen das Institut Zahlungsauslösedienste erbringt, erstreckt, und
- 3.
- die Berufshaftpflichtversicherung oder eine andere gleichwertige Garantie die sich für das Institut aus den Zahlungsauslösediensten ergebende Haftung nach den Vorschriften des Bürgerlichen Gesetzbuchs abdeckt.
(3) Die Prüfungen sollen sich darüber hinaus auch darauf erstrecken, ob die Absicherung für den Haftungsfall bei Zahlungsauslösediensten in einer Höhe vorgehalten wird, die das Risikoprofil, die Art der Tätigkeit und der Umfang der Tätigkeit nach Maßgabe der Kriterien des
§ 16 Absatz 1 und 5 des Zahlungsdiensteaufsichtsgesetzes in Verbindung mit
§ 10 der ZAG-Instituts-Eigenmittelverordnung erforderlich machen.
(4) Besonderheiten bei der Entwicklung der Absicherung für den Haftungsfall bei Zahlungsauslösediensten während des Berichtszeitraums sind näher darzustellen.
§ 13b Absicherung für den Haftungsfall bei Kontoinformationsdiensten
(1) Die Absicherung für den Haftungsfall bei Kontoinformationsdiensten nach
§ 36 des Zahlungsdiensteaufsichtsgesetzes ist darzustellen und ihre Wirksamkeit zu beurteilen.
(2) Es soll insbesondere näher erläutert werden, ob die sich für das Institut aus den Kontoinformationsdiensten ergebende Haftung gegenüber dem kontoführenden Zahlungsdienstleister und dem Zahlungsdienstnutzer für einen nicht autorisierten oder betrügerischen Zugang zu Zahlungskontoinformationen und deren nicht autorisierte oder betrügerische Nutzung abgedeckt ist.
§ 13a Absatz 2 Nummer 1 und 2 finden entsprechende Anwendung.
(3) Die Prüfungen sollen sich darüber hinaus auch darauf erstrecken, ob die Absicherung für den Haftungsfall bei Kontoinformationsdiensten in einer Höhe vorgehalten wird, die das Risikoprofil, die Art der Tätigkeit und der Umfang der Tätigkeit nach Maßgabe der Kriterien des
§ 36 Absatz 1 und 4 des Zahlungsdiensteaufsichtsgesetzes in Verbindung mit
§ 11 der ZAG-Instituts-Eigenmittelverordnung erforderlich machen.
§ 16 wird wie folgt gefasst:
„§ 16 Darstellung und Beurteilung der getroffenen Vorkehrungen zur Verhinderung von Geldwäsche und Terrorismusfinanzierung
(1) Der Abschlussprüfer hat im Prüfungsbericht die Vorkehrungen darzustellen, die das verpflichtete Institut im Berichtszeitraum zur Verhinderung von Geldwäsche und von Terrorismusfinanzierung getroffen hat. Die Ausführungen des Abschlussprüfers müssen sich auf sämtliche im Erfassungsbogen nach
Anlage 2 relevanten und einschlägigen Pflichten im Hinblick auf das Geschäftsmodell erstrecken.
(2) Hinsichtlich der getroffenen Vorkehrungen hat der Abschlussprüfer im Prüfungsbericht zu beurteilen:
- 1.
- deren Angemessenheit und
- 2.
- deren Wirksamkeit, soweit diese gemäß Artikel 7 Absatz 2, Artikel 8 Absatz 1 Satz 1, Artikel 11 Absatz 1 und 2 oder Artikel 12 Absatz 1 Satz 1 der Verordnung (EU) 2015/847 gegeben sein muss.
(3) Bei Mutterunternehmen von Unternehmensgruppen hat der Abschlussprüfer zudem die Vorkehrungen nach
§ 9 des Geldwäschegesetzes dahingehend zu beurteilen, ob
- 1.
- die Pflicht nach § 9 Absatz 1 Satz 1 des Geldwäschegesetzes, eine Risikoanalyse durchzuführen, wirksam erfüllt wurde und die Maßnahmen nach § 9 Absatz 1 Satz 2 des Geldwäschegesetzes wirksam umgesetzt werden oder ihre wirksame Umsetzung gemäß § 9 Absatz 1 Satz 3 des Geldwäschegesetzes sichergestellt ist, und
- 2.
- im Fall des § 9 Absatz 3 Satz 2 des Geldwäschegesetzes sichergestellt ist, dass die im betreffenden Drittstaat ansässigen gruppenangehörigen Unternehmen zusätzliche Maßnahmen ergreifen, um dem Risiko der Geldwäsche und der Terrorismusfinanzierung wirksam zu begegnen, und die Bundesanstalt über die insoweit getroffenen Maßnahmen informiert wurde.
(4) Der Abschlussprüfer hat bei der Beurteilung nach den Absätzen 2 und 3 auch darauf einzugehen, ob die Risikoanalyse, die das Institut im Rahmen des Risikomanagements zur Verhinderung von Geldwäsche und von Terrorismusfinanzierung gemäß
§ 5 des Geldwäschegesetzes erstellt hat, der tatsächlichen Risikosituation des Instituts entspricht.
(5) In Bezug auf die Pflichten eines Instituts im Zusammenhang
- 1.
- mit dem automatisierten Abruf von Kontoinformationen nach § 24c des Kreditwesengesetzes hat der Abschlussprüfer bei der Beurteilung nach Absatz 2 insbesondere darauf einzugehen, ob die vom Institut zur Erfüllung dieser Pflichten eingesetzten Verfahren die zutreffende Erfassung der jeweils aufgenommenen Identifizierungsdaten mit richtiger Zuordnung zum entsprechenden Konto im Abrufsystem gewährleisten, und
- 2.
- mit der Erfüllung der Sorgfaltspflichten nach § 25i des Kreditwesengesetzes in Bezug auf E-Geld hat der Abschlussprüfer die Beurteilung nach Absatz 2 für jedes E-Geld-Produkt getrennt vorzunehmen.
(6) Hat die Bundesanstalt gegenüber dem verpflichteten Institut nach dem
Geldwäschegesetz oder dem
Zahlungsdiensteaufsichtsgesetz Anordnungen getroffen, die im Zusammenhang stehen mit den Pflichten des Instituts zur Verhinderung von Geldwäsche und von Terrorismusfinanzierung, so hat der Abschlussprüfer darüber im Rahmen seiner Darstellung nach Absatz 1 zu berichten. Zudem hat der Abschlussprüfer zu beurteilen, ob das verpflichtete Institut diese Anordnungen ordnungsgemäß befolgt hat.
(7) Bei der Darstellung der getroffenen Vorkehrungen zur Verhinderung von Geldwäsche und von Terrorismusfinanzierung nach Absatz 1 und der Beurteilung dieser Vorkehrungen nach den Absätzen 2 bis 6 hat der Abschlussprüfer die Ergebnisse sämtlicher Prüfungen der internen Revision zu berücksichtigen, die im Berichtszeitraum der Prüfung durchgeführt worden sind.
(8) Bei der Darstellung der Risikosituation des Instituts hat der Abschlussprüfer zudem anhand der aktuellen und vollständigen Risikoanalyse des Instituts die folgenden Angaben in die
Anlage 2 aufzunehmen:
- 1.
- sämtliche vom Institut angebotene Hochrisikoprodukte,
- 2.
- die Anzahl aller Kunden des Instituts, den prozentualen Anteil der Kunden mit geringem Risiko und den prozentualen Anteil der Hochrisikokunden sowie die Anzahl der politisch exponierten Personen unter den Kunden,
- 3.
- zu den Korrespondenzbeziehungen des Instituts im Sinne des § 1 Absatz 21 des Geldwäschegesetzes:
- a)
- die Anzahl der Korrespondenzbeziehungen des Instituts mit Instituten und Instituten im Sinne des Kreditwesengesetzes, die in einem Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum ansässig sind, sowie
- b)
- die Anzahl der Korrespondenzbeziehungen des Instituts mit Instituten und Instituten im Sinne des Kreditwesengesetzes, die in einem Drittstaat ansässig sind, und von diesen Korrespondenzbeziehungen die Anzahl der Korrespondenzbeziehungen, die das Institut mit Instituten hat, die in einem Hochrisikostaat im Sinne des § 15 Absatz 3 Nummer 1 Buchstabe b des Geldwäschegesetzes ansässig sind,
- 4.
- zu den Zweigstellen, den Zweigniederlassungen und den sonstigen nachgeordneten Unternehmen des Instituts:
- a)
- deren Anzahl im Inland,
- b)
- deren Anzahl in den anderen Mitgliedstaaten der Europäischen Union und Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum,
- c)
- deren Anzahl in Drittstaaten und von diesen Zweigstellen, Zweigniederlassungen und sonstigen nachgeordneten Unternehmen die Anzahl der Zweigstellen, Zweigniederlassungen und sonstigen nachgeordneten Unternehmen, die in Hochrisikostaaten im Sinne des § 15 Absatz 3 Nummer 1 Buchstabe b des Geldwäschegesetzes ansässig sind,
sowie
- 5.
- die Anzahl der Agenten und E-Geld-Agenten, die für das Institut im Inland tätig sind, und die Anzahl der Agenten und E-Geld-Agenten, die für das Institut in den anderen Mitgliedstaaten der Europäischen Union und Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum tätig sind.
(9) Der Abschlussprüfer hat die wesentlichen Ergebnisse seiner Prüfung zusätzlich in einen Erfassungsbogen nach
Anlage 2 dieser Verordnung einzutragen und dort zu bewerten. Für die Bewertung ist die für den Erfassungsbogen vorgegebene Klassifizierung zu verwenden. Sofern die jeweiligen zugrundeliegenden Pflichten im Einzelfall im Hinblick auf die Geschäftstätigkeiten des Instituts nicht relevant sind, hat der Abschlussprüfer dies mit der Feststellung F 5 zu vermerken. Der Erfassungsbogen ist Teil des Prüfungsberichts und vollständig auszufüllen.
(10) Die Vorschrift zum Prüfintervall nach
§ 15 Absatz 4 bleibt durch die vorstehenden Absätze unberührt."