(1) Verpflichtete, die Mutterunternehmen einer Gruppe sind, haben eine Risikoanalyse für alle gruppenangehörigen Unternehmen, Zweigstellen und Zweigniederlassungen, die geldwäscherechtlichen Pflichten unterliegen, durchzuführen. Auf Grundlage dieser Risikoanalyse haben sie gruppenweit folgende Maßnahmen zu ergreifen:

    1. gruppenweit einheitliche interne Sicherungsmaßnahmen gemäß § 6 Absatz 1 und 2,

    2. die Bestellung eines Geldwäschebeauftragten, der für die Erstellung einer gruppenweiten Strategie zur Verhinderung von Geldwäsche und Terrorismusfinanzierung sowie für die Koordinierung und Überwachung ihrer Umsetzung zuständig ist,

    3. Verfahren für den Informationsaustausch innerhalb der Gruppe zur Verhinderung von Geldwäsche und von Terrorismusfinanzierung sowie

    4. Vorkehrungen zum Schutz von personenbezogenen Daten.

Sie haben sicherzustellen, dass die Pflichten und Maßnahmen nach den Sätzen 1 und 2 von ihren nachgeordneten Unternehmen, Zweigstellen oder Zweigniederlassungen, soweit diese geldwäscherechtlichen Pflichten unterliegen, wirksam umgesetzt werden.

(2) Soweit sich gruppenangehörige Unternehmen in einem anderen Mitgliedstaat der Europäischen Union befinden, haben die Mutterunternehmen sicherzustellen, dass diese gruppenangehörigen Unternehmen die dort geltenden nationalen Rechtsvorschriften zur Umsetzung der Richtlinie (EU) 2015/849 einhalten.

(3) Soweit sich gruppenangehörige Unternehmen in einem Drittstaat befinden, in dem weniger strenge Anforderungen an Maßnahmen zur Verhinderung von Geldwäsche oder von Terrorismusfinanzierung gelten, gilt Absatz 1, soweit das Recht des Drittstaats dies zulässt. Soweit die in Absatz 1 genannten Maßnahmen nach dem Recht des Drittstaats nicht durchgeführt werden dürfen, sind die Mutterunternehmen verpflichtet,

    1. sicherzustellen, dass ihre dort ansässigen gruppenangehörigen Unternehmen zusätzliche Maßnahmen ergreifen, um dem Risiko der Geldwäsche und der Terrorismusfinanzierung wirksam zu begegnen, und

    2. die Aufsichtsbehörde über die getroffenen Maßnahmen zu informieren.

Reichen die getroffenen Maßnahmen nicht aus, so ordnet die Aufsichtsbehörde an, dass die Mutterunternehmen sicherstellen, dass ihre nachgeordneten Unternehmen, Zweigstellen oder Zweigniederlassungen in diesem Drittstaat keine Geschäftsbeziehung begründen oder fortsetzen und keine Transaktionen durchführen. Soweit eine Geschäftsbeziehung bereits besteht, hat das Mutterunternehmen sicherzustellen, dass diese Geschäftsbeziehung ungeachtet anderer gesetzlicher oder vertraglicher Bestimmungen durch Kündigung oder auf andere Weise beendet wird.