(1) Verpflichtete haben angemessene geschäfts- und kundenbezogene interne Sicherungsmaßnahmen zu schaffen, um die Risiken von Geldwäsche und von Terrorismusfinanzierung in Form von Grundsätzen, Verfahren und Kontrollen zu steuern und zu mindern. Angemessen sind solche Maßnahmen, die der jeweiligen Risikosituation des einzelnen Verpflichteten entsprechen und diese hinreichend abdecken. Die Verpflichteten haben die Funktionsfähigkeit der internen Sicherungsmaßnahmen zu überwachen und sie bei Bedarf zu aktualisieren.
(2) Interne Sicherungsmaßnahmen sind insbesondere: 1. die Ausarbeitung von internen Grundsätzen, Verfahren und Kontrollen in Bezug auf a) den Umgang mit Risiken nach Absatz 1, b) die Kundensorgfaltspflichten nach den §§ 10 bis 17, c) die Erfüllung der Meldepflicht nach § 43 Absatz 1, d) die Aufzeichnung von Informationen und die Aufbewahrung von Dokumenten nach § 8 und e) die Einhaltung der sonstigen geldwäscherechtlichen Vorschriften,
2. die Bestellung eines Geldwäschebeauftragten und seines Stellvertreters gemäß § 7,
3. für Verpflichtete, die Mutterunternehmen einer Gruppe sind, die Schaffung von gruppenweiten Verfahren gemäß § 9,
4. die Schaffung und Fortentwicklung geeigneter Maßnahmen zur Verhinderung des Missbrauchs von neuen Produkten und Technologien zur Begehung von Geldwäsche und von Terrorismusfinanzierung oder für Zwecke der Begünstigung der Anonymität von Geschäftsbeziehungen oder von Transaktionen,
5. die Überprüfung der Mitarbeiter auf ihre Zuverlässigkeit durch geeignete Maßnahmen, insbesondere durch Personalkontroll- und Beurteilungssysteme der Verpflichteten,
6. die erstmalige und laufende Unterrichtung der Mitarbeiter in Bezug auf Typologien und aktuelle Methoden der Geldwäsche und der Terrorismusfinanzierung sowie die insoweit einschlägigen Vorschriften und Pflichten, einschließlich Datenschutzbestimmungen, und
7. die Überprüfung der zuvor genannten Grundsätze und Verfahren durch eine unabhängige Prüfung, soweit diese Überprüfung angesichts der Art und des Umfangs der Geschäftstätigkeit angemessen ist.
(3) Soweit ein Verpflichteter nach § 2 Absatz 1 Nummer 10 bis 14 und 16 seine berufliche Tätigkeit als Angestellter eines Unternehmens ausübt, obliegen die Verpflichtungen nach den Absätzen 1 und 2 diesem Unternehmen.
(4) Verpflichtete nach § 2 Absatz 1 Nummer 15 haben über die in Absatz 2 genannten Maßnahmen hinaus Datenverarbeitungssysteme zu betreiben, mittels derer sie in der Lage sind, sowohl Geschäftsbeziehungen als auch einzelne Transaktionen im Spielbetrieb und über ein Spielerkonto nach § 16 zu erkennen, die als zweifelhaft oder ungewöhnlich anzusehen sind aufgrund des öffentlich verfügbaren oder im Unternehmen verfügbaren Erfahrungswissens über die Methoden der Geldwäsche und der Terrorismusfinanzierung. Sie haben diese Datenverarbeitungssysteme zu aktualisieren. Die Aufsichtsbehörde kann Kriterien bestimmen, bei deren Erfüllung Verpflichtete nach § 2 Absatz 1 Nummer 15 vom Einsatz von Datenverarbeitungssystemen nach Satz 1 absehen können.
(5) Die Verpflichteten haben im Hinblick auf ihre Art und Größe angemessene Vorkehrungen zu treffen, damit es ihren Mitarbeitern und Personen in einer vergleichbaren Position unter Wahrung der Vertraulichkeit ihrer Identität möglich ist, Verstöße gegen geldwäscherechtliche Vorschriften geeigneten Stellen zu berichten.
(6) Die Verpflichteten treffen Vorkehrungen, um auf Anfrage der Zentralstelle für Finanztransaktionsuntersuchungen oder auf Anfrage anderer zuständiger Behörden Auskunft darüber zu geben, ob sie während eines Zeitraums von fünf Jahren vor der Anfrage mit bestimmten Personen eine Geschäftsbeziehung unterhalten haben und welcher Art diese Geschäftsbeziehung war. Sie haben sicherzustellen, dass die Informationen sicher und vertraulich an die anfragende Stelle übermittelt werden. Verpflichtete nach § 2 Absatz 1 Nummer 10 und 12 können die Auskunft verweigern, wenn sich die Anfrage auf Informationen bezieht, die sie im Rahmen eines der Schweigepflicht unterliegenden Mandatsverhältnisses erhalten haben. Die Pflicht zur Auskunft bleibt bestehen, wenn der Verpflichtete weiß, dass sein Mandant das Mandatsverhältnis für den Zweck der Geldwäsche oder der Terrorismusfinanzierung genutzt hat oder nutzt.
(7) Die Verpflichteten dürfen die internen Sicherungsmaßnahmen im Rahmen von vertraglichen Vereinbarungen durch einen Dritten durchführen lassen, wenn sie dies vorher der Aufsichtsbehörde angezeigt haben. Die Aufsichtsbehörde kann die Übertragung dann untersagen, wenn 1. der Dritte nicht die Gewähr dafür bietet, dass die Sicherungsmaßnahmen ordnungsgemäß durchgeführt werden, 2. die Steuerungsmöglichkeiten der Verpflichteten beeinträchtigt werden oder 3. die Aufsicht durch die Aufsichtsbehörde beeinträchtigt wird.
Die Verpflichteten haben in ihrer Anzeige darzulegen, dass die Voraussetzungen für eine Untersagung der Übertragung nach Satz 2 nicht vorliegen. Die Verantwortung für die Erfüllung der Sicherungsmaßnahmen bleibt bei den Verpflichteten.
(8) Die Aufsichtsbehörde kann im Einzelfall Anordnungen erteilen, die geeignet und erforderlich sind, damit der Verpflichtete die erforderlichen internen Sicherungsmaßnahmen schafft.
(9) Die Aufsichtsbehörde kann anordnen, dass auf einzelne Verpflichtete oder Gruppen von Verpflichteten wegen der Art der von diesen betriebenen Geschäfte und wegen der Größe des Geschäftsbetriebs unter Berücksichtigung der Risiken in Bezug auf Geldwäsche oder Terrorismusfinanzierung die Vorschriften der Absätze 1 bis 6 risikoangemessen anzuwenden sind.