(1) Die Verpflichteten treffen angemessene, der Art ihrer Geschäftstätigkeit, einschließlich ihrer Risiken und Komplexität, und ihrer Größe entsprechende Maßnahmen, um die bei ihnen bestehenden Risiken von Geldwäsche und Terrorismusfinanzierung sowie das Risiko der Nichtumsetzung und Umgehung gezielter finanzieller Sanktionen zu ermitteln und zu bewerten, und berücksichtigen dabei mindestens Folgendes:
| a) | den in Anhang I dargelegten Risikovariablen und den in den Anhängen II und III dargelegten Risikofaktoren; |
| b) | die Ergebnisse der von der Kommission nach Artikel 7 der Richtlinie (EU) 2024/1640 durchgeführten Risikobewertung auf Unionsebene; |
| c) | die Ergebnisse der von der Kommission nach Artikel 8 der Richtlinie (EU) 2024/1640 vorgenommenen nationalen Risikobewertung sowie alle einschlägigen sektorspezifischen Risikobewertungen, die von den Mitgliedstaaten vorgenommen wurden; |
| d) | einschlägige Informationen, die von internationalen Standardsetzern im Bereich der Bekämpfung von Geldwäsche und Terrorismusfinanzierung veröffentlicht werden, oder — auf Ebene der Union — einschlägige Veröffentlichungen der Kommission oder der AMLA; |
| e) | von den zuständigen Behörden bereitgestellte Informationen über die Risiken der Geldwäsche und der Terrorismusfinanzierung; |
| f) | Informationen über den Kundenstamm. |
Vor der Einführung neuer Produkte, Dienstleistungen oder Geschäftsmodelle, einschließlich der Nutzung neuer Vertriebskanäle und neuer oder in der Entwicklung begriffener Technologien, in Verbindung mit neuen oder bereits bestehenden Produkten und Dienstleistungen oder bevor mit der Bereitstellung einer bestehenden Dienstleistung oder eines bestehenden Produkts für ein neues Kundensegment oder in einem neuen geografischen Gebiet begonnen wird, ermitteln und bewerten die Verpflichteten insbesondere die damit verbundenen Risiken der Geldwäsche und der Terrorismusfinanzierung und ergreifen geeignete Maßnahmen zur Steuerung und Minderung dieser Risiken.
(2) Die von dem Verpflichteten gemäß Absatz 1 vorgenommene unternehmensweite Risikobewertung wird dokumentiert, auf dem neuesten Stand gehalten und regelmäßig überprüft, auch dann, wenn sich interne oder externe Ereignisse erheblich auf die Risiken der Geldwäsche und der Terrorismusfinanzierung auswirken, die mit den Tätigkeiten, Produkten, Transaktionen, Vertriebskanälen, Kunden oder geografischen Tätigkeitsbereichen des Verpflichteten verbunden sind. Sie wird den Aufsehern auf Anfrage zur Verfügung gestellt.
Die unternehmensweite Risikobewertung wird vom Geldwäschebeauftragten erstellt und vom Leitungsorgan in seiner Leitungsfunktion gebilligt und, sofern ein solches Organ vorhanden ist, dem Leitungsorgan in seiner Aufsichtsfunktion mitgeteilt.
(3) Mit Ausnahme von Kreditinstituten, Finanzinstituten, Schwarmfinanzierungsdienstleistern und Schwarmfinanzierungsvermittlern können Aufseher beschließen, dass von einzelnen dokumentierten unternehmensweiten Risikobewertungen abgesehen werden kann, wenn klar ist, welche besonderen Risiken in dem betreffenden Sektor bestehen, und diese Risiken verstanden werden.
(4) Die AMLA gibt bis zum 10. Juli 2026 Leitlinien zu den Mindestanforderungen an den Inhalt der vom Verpflichteten gemäß Absatz 1 vorgenommenen unternehmensweiten Risikobewertung sowie zu den zusätzlichen Informationsquellen, die bei der Durchführung der unternehmensweiten Risikobewertung zu berücksichtigen sind, heraus.