(1) Ein Mutterunternehmen stellt sicher, dass die in Abschnitt 1 dieses Kapitels genannten Anforderungen an interne Verfahren, Risikobewertung und Mitarbeiter in allen Zweigniederlassungen und Tochterunternehmen der Gruppe in den Mitgliedstaaten und für den Fall, dass sich der Hauptsitz der Gruppe in der Union befindet, in allen Zweigniederlassungen und Tochterunternehmen der Gruppe in Drittländern gelten. Zu diesem Zweck führt ein Mutterunternehmen unter Berücksichtigung der unternehmensweiten Risikobewertung, die von allen Zweigniederlassungen und Tochterunternehmen der Gruppe durchgeführt wird, eine gruppenweite Risikobewertung durch und legt gruppenweite Strategien, Verfahren und Kontrollen fest und setzt diese um, auch über Datenschutz und Informationsaustausch innerhalb der Gruppe für Zwecke der Bekämpfung von Geldwäsche und Terrorismusfinanzierung und um sicherzustellen, dass sich die Mitarbeiter der Gruppe der sich aus dieser Verordnung ergebenden Anforderungen bewusst sind. Verpflichtete innerhalb der Gruppe setzen diese gruppenweiten Strategien, Verfahren und Kontrollen um und berücksichtigen dabei ihre Besonderheiten und Risiken, denen sie ausgesetzt sind.
Die gruppenweiten Strategien, Verfahren und Kontrollen sowie die in Unterabsatz 1 genannten gruppenweiten Risikobewertungen umfassen alle in den Artikeln 9 beziehungsweise 10 aufgeführten Elemente.
Hat eine Gruppe Niederlassungen in mehr als einem Mitgliedstaat und — bei Gruppen, deren Hauptsitz sich in der Union befindet — in Drittländern, so berücksichtigen Mutterunternehmen für die Zwecke des Unterabsatzes 1 die von den Behörden aller Mitgliedstaaten oder Drittländer, in denen sich die Niederlassungen der Gruppe befinden, veröffentlichten Informationen.
(2) Compliance-Funktionen werden auf Gruppenebene eingerichtet. Diese Funktionen umfassen einen Compliance-Manager auf Gruppenebene und, wenn dies durch die auf Gruppenebene durchgeführten Tätigkeiten gerechtfertigt ist, einen Geldwäschebeauftragten. Die Entscheidung über den Umfang der Compliance-Funktionen ist zu dokumentieren.
Der in Unterabsatz 1 genannte Compliance-Manager erstattet dem Leitungsorgan in seiner Leitungsfunktion des Mutterunternehmens regelmäßig Bericht über die Umsetzung der gruppenweiten Strategien, Verfahren und Kontrollen. Der Compliance-Manager legt jährlich einen Bericht über die Umsetzung der internen Strategien, Verfahren und Kontrollen des Verpflichteten vor und trifft die notwendigen Maßnahmen, um alle festgestellten Mängel zeitnah zu beheben. Ist das Leitungsorgan in seiner Leitungsfunktion ein Organ, das kollektiv für seine Entscheidungen verantwortlich ist, so unterstützt und berät es der Compliance-Manager und bereitet die für die Umsetzung dieses Artikels erforderlichen Entscheidungen vor.
(3) Die Strategien, Verfahren und Kontrollen für den in Absatz 1 genannten Informationsaustausch müssen die Verpflichteten zum Informationsaustausch innerhalb der Gruppe verpflichten, wenn dies für die Zwecke der Sorgfaltsprüfung gegenüber Kunden und das Management von Geldwäsche- und Terrorismusfinanzierungsrisiken relevant ist. Der Informationsaustausch innerhalb der Gruppe erstreckt sich insbesondere auf die Identität und Merkmale des Kunden, dessen wirtschaftliche Eigentümer oder die Person, in deren Namen der Kunde handelt, auf Art und Zweck der Geschäftsbeziehung und der gelegentlichen Transaktionen sowie jeden der zentralen Meldestelle nach Artikel 69 zusammen mit den zugrunde liegenden Analysen gemeldeten Verdacht, dass die Gelder die Erträge aus kriminellen Tätigkeiten sind oder mit Terrorismusfinanzierung in Verbindung stehen, es sei denn, die zentrale Meldestelle erteilt anderslautende Anweisungen.
Die gruppenweiten Strategien, Verfahren und Kontrollen dürfen Unternehmen innerhalb einer Gruppe, die keine Verpflichteten sind, nicht daran hindern, den Verpflichteten derselben Gruppe Informationen zur Verfügung zu stellen, wenn ein solcher Austausch für diese Verpflichteten relevant ist, um die in dieser Verordnung festgelegten Anforderungen zu erfüllen.
Um zu gewährleisten, dass für die nach Unterabsätzen 1 und 2 ausgetauschten Informationen ausreichende Garantien im Hinblick auf Vertraulichkeit, Datenschutz und Verwendung dieser Informationen bestehen, und um auch deren Offenlegung zu verhindern, sorgen Mutterunternehmen für gruppenweit geltende Strategien, Verfahren und Kontrollen.
(4) Die AMLA arbeitet bis zum 10. Juli 2026 Entwürfe technischer Regulierungsstandards aus und legt sie der Kommission zur Annahme vor. Darin werden die Mindestanforderungen an gruppenweite Strategien, Verfahren und Kontrollen festgelegt, einschließlich der Mindeststandards für den Informationsaustausch innerhalb der Gruppe, die Kriterien für die Ermittlung des Mutterunternehmens in den in Artikel 2 Absatz 1 Nummer 42 Buchstabe b genannten Fällen und die Bedingungen, unter denen die Bestimmungen dieses Artikels für Unternehmen gelten, die Teil von Strukturen sind, die sich in gemeinsamem Besitz oder unter gemeinsamer Verwaltung befinden oder bei denen die Einhaltung der Anforderungen gemeinsam kontrolliert wird, einschließlich Netzwerken oder Personengesellschaften, sowie die Kriterien für die Ermittlung des Mutterunternehmens in diesen Fällen. (5) Der Kommission wird die Befugnis übertragen, diese Verordnung durch Annahme der in Absatz 4 des vorliegenden Artikels genannten technischen Regulierungsstandards gemäß den Artikeln 49 bis 52 der Verordnung (EU) 2024/1620 zu ergänzen.