Organisatorische Anforderungen, Verschwiegenheits- und Sorgfaltspflichten

§ 19.

(1) Zahlungsinstitute haben für die Ermittlung, Beurteilung, Steuerung, Überwachung und Meldung der zahlungsdienstgeschäftlichen und zahlungsdienstbetrieblichen Risiken über Verwaltungs-, Rechnungs- und Kontrollverfahren zu verfügen, die der Art, dem Umfang und der Komplexität der betriebenen Zahlungsdienste und der gegebenenfalls gemäß § 5 Abs. 2 ausgeübten Tätigkeiten angemessen sind. Die Organisationsstruktur hat durch dem Geschäftsbetrieb angemessene aufbau- und ablauforganisatorische Abgrenzungen Interessens- und Kompetenzkonflikte zu vermeiden und die Verantwortungsbereiche müssen klar abgegrenzt, kohärent und transparent sein. Die Zweckmäßigkeit dieser Verfahren und deren Anwendung sind mindestens einmal jährlich im Rahmen der internen Revision zu prüfen. Die Prüffelder und die Ergebnisse dieser Prüfung sind zu dokumentieren.

(2) Die Geschäftsleiter eines Zahlungsinstitutes haben bei ihrer Geschäftsführung die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters im Sinne des § 84 Abs. 1 Aktiengesetz 1965 – AktG, BGBl. Nr. 98/1965 anzuwenden. Dabei haben sie sich insbesondere über die zahlungsdienstgeschäftlichen und zahlungsdienstbetrieblichen Risiken zu informieren und diese durch angemessene Strategien und Verfahren zu steuern, zu überwachen und zu begrenzen und eine solide und umsichtige Führung des Zahlungsinstitutes zu gewährleisten. Weiters haben sie unverzüglich dem Vorsitzenden des Aufsichtsorgans alle auf Grund der in § 64 genannten Bestimmungen ergangenen Bescheide der FMA zur Kenntnis zu bringen.

(3) Die Geschäftsleiter sind dafür verantwortlich, dass das Zahlungsinstitut über eine ordnungsgemäße Geschäftsorganisation im Sinne des Abs. 1 verfügt, die insbesondere umfasst:

1. 1. Angemessene Maßnahmen der Unternehmenssteuerung, Kontrollmechanismen und Verfahren, die gewährleisten, dass das Zahlungsinstitut seine Verpflichtungen erfüllt;
2. 2. eine vollständige Dokumentation der Geschäftstätigkeit, die eine Überwachung durch die FMA für ihren Zuständigkeitsbereich ermöglicht;
3. 3. Datensicherheitsmaßnahmen gemäß § 14 DSG 2000 sowie ein angemessenes Notfallkonzept für Datenverarbeitungssysteme;
4. 4. ein angemessenes Risikomanagement und angemessene Kontrollmechanismen sowie Verfahren und Datenverarbeitungssysteme, die eine Einhaltung der Anforderungen der §§ 40 bis 41 BWG und der Verordnung (EG) Nr. 1781/2006 gewährleisten; und,
5. 5. soweit die Konzession die Möglichkeit einer Kreditgewährung umfasst (§ 1 Abs. 2 Z 3, 4 oder 6), ein angemessenes Risikomanagementsystem im Hinblick auf das Kreditrisiko gemäß § 2 Z 57 BWG.

(4) Zahlungsinstitute sowie die für sie tätigen Personen sind zur Verschwiegenheit über Geheimnisse verpflichtet, die sie ausschließlich aus Zahlungsdiensten (§ 1 Abs. 2), die sie im Auftrag ihrer Zahlungsdienstnutzer ausführen, erfahren haben, außer

1. 1. dieser Verschwiegenheitspflicht steht eine gesetzliche Auskunftspflicht entgegen;
2. 2. der Zahlungsdienstnutzer stimmt der Offenbarung des Geheimnisses schriftlich zu;
3. 3. die Offenbarung des Geheimnisses ist zur Klärung von Rechtsangelegenheiten aus dem Verhältnis zwischen Zahlungsdienstleister und seinem Zahlungsdienstnutzer erforderlich.

(5) Die Bestimmungen der §§ 33, 35 Abs. 1 Z 1 lit. c und d, Z 2, Abs. 2, 36 und 40 bis 41 sowie 78 Abs. 8 und 9 BWG finden auf Zahlungsinstitute Anwendung.