(1) Die Verpflichteten verfügen über interne Strategien, Verfahren und Kontrollen, um sicherzustellen, dass die vorliegende Verordnung, die Verordnung (EU) 2023/1113, und von Aufsehern erlassene Verwaltungsakte eingehalten werden, und insbesondere um
| a) | die auf Unionsebene, auf mitgliedstaatlicher Ebene und auf eigener Ebene ermittelten Risiken von Geldwäsche und Terrorismusfinanzierung zu mindern und zu steuern; |
| b) | zusätzlich zu der Pflicht, gezielte finanzielle Sanktionen anzuwenden, das Risiko der Nichtumsetzung und Umgehung gezielter finanzieller Sanktionen zu mindern und zu steuern. |
Die im Unterabsatz 1 genannten Strategien, Verfahren und Kontrollen müssen in einem angemessenen Verhältnis zur Art der Geschäftstätigkeit, einschließlich ihrer Risiken und Komplexität, und zur Größe des Verpflichteten stehen und alle Tätigkeiten des Verpflichteten abdecken, die in den Anwendungsbereich dieser Verordnung fallen.
(2) Die in Absatz 1 genannten Strategien, Verfahren und Kontrollen umfassen
| a) | interne Strategien und Verfahren, insbesondere in Bezug auf i) die Durchführung und Aktualisierung der unternehmensweiten Risikobewertung; ii) den Risikomanagementrahmen des Verpflichteten; iii) die Sorgfaltsprüfung gegenüber Kunden zur Umsetzung von Kapitel III dieser Verordnung, einschließlich Verfahren zur Feststellung, ob es sich bei dem Kunden, dem wirtschaftlichen Eigentümer oder der Person, in deren Namen oder zu deren Nutzen eine Transaktion oder Tätigkeit durchgeführt wird, um eine politisch exponierte Person oder einen Familienangehörigen oder eine bekanntermaßen nahestehende Person handelt; iv) die Meldung verdächtiger Transaktionen; v) die Auslagerung und Inanspruchnahme der von anderen Verpflichteten wahrgenommenen Erfüllung von Sorgfaltspflichten gegenüber Kunden; vi) die Aufbewahrung von Aufzeichnungen und die Strategien für die Verarbeitung personenbezogener Daten nach Artikel 76 und 77; vii) die Überwachung und Steuerung der Einhaltung dieser internen Strategien und Verfahren im Einklang mit den unter Buchstabe b des vorliegenden Artikels genannten Bedingungen, die Ermittlung und Steuerung von Mängeln und die Durchführung von Abhilfemaßnahmen; viii) die Überprüfung bei Einstellung von Mitarbeitern und deren Einteilung für bestimmte Aufgaben und Funktionen und bei Ernennung von Vertretern und Vertriebspartnern, dass die betreffenden Personen über einen guten Leumund verfügen, wobei diese Überprüfung den mit den auszuführenden Aufgaben und Funktionen verbundenen Risiken angemessen sein muss; ix) die interne Bekanntgabe der internen Strategien, Verfahren und Kontrollen des Verpflichteten, was auch seine Vertreter, Vertriebspartner und Dienstleister einschließt, die an der Umsetzung seiner Strategien zur Bekämpfung von Geldwäsche und Terrorismusfinanzierung beteiligt sind; x) eine Strategie für die Schulung der Mitarbeiter sowie gegebenenfalls der Vertreter und Vertriebspartner in Bezug auf die Maßnahmen, die der Verpflichtete getroffen hat, um sicherzustellen, dass die Anforderungen aus der vorliegenden Verordnung, der Verordnung (EU) 2023/1113 und von Aufsehern erlassenen Verwaltungsakten eingehalten werden; |
| b) | interne Kontrollen und eine unabhängige Audit-Funktion, die die unter Buchstabe a des vorliegenden Absatzes genannten internen Strategien und Verfahren sowie die Kontrollen des Verpflichteten testen; gibt es keine unabhängige Audit-Funktion, können die Verpflichteten diesen Test von einem externen Sachverständigen durchführen lassen. |
Die in Unterabsatz 1 dargelegten internen Strategien, Verfahren und Kontrollen werden schriftlich festgehalten. Interne Strategien müssen vom Leitungsorgan in seiner Leitungsfunktion gebilligt werden. Interne Verfahren und Kontrollen, müssen mindestens auf Ebene des Compliance-Managers gebilligt werden.
(3) Die Verpflichteten halten die internen Strategien, Verfahren und Kontrollen auf aktuellem Stand und verbessern sie, wenn Schwachstellen festgestellt werden.
(4) Die AMLA gibt bis zum 10. Juli 2026 Leitlinien dazu aus, welche Elemente Verpflichtete bei der Festlegung des Umfangs ihrer internen Strategien, Verfahren und Kontrollen auf der Grundlage der Art ihrer Geschäftstätigkeit, einschließlich ihrer Risiken und Komplexität, und ihrer Größe berücksichtigen sollten, insbesondere in Bezug auf die den Compliance-Funktionen zugewiesenen Mitarbeiter. In diesen Leitlinien werden ferner Situationen genannt, in denen aufgrund der Art und der Größe des Verpflichteten
| i) | interne Kontrollen auf der Ebene der wirtschaftlichen Funktion, der Compliance-Funktion und der Audit-Funktion zu organisieren sind; |
| ii) | die unabhängige Audit-Funktion von einem externen Sachverständigen wahrgenommen werden kann. |