(1) Institute haben unbeschadet der in § 25a Abs. 1 dieses Gesetzes und der in § 9 Abs. 1 und 2 des Geldwäschegesetzes aufgeführten Pflichten im Rahmen ihrer ordnungsgemäßen Geschäftsorganisation und des angemessenen Risikomanagements zur Verhinderung von betrügerischen Handlungen zu ihren Lasten interne Grundsätze und angemessene geschäfts- und kundenbezogene Sicherungssysteme zu schaffen und zu aktualisieren und Kontrollen durchzuführen.

(2) Kreditinstitute haben angemessene Datenverarbeitungssysteme zu betreiben und zu aktualisieren, mittels derer sie in der Lage sind, Geschäftsbeziehungen und einzelne Transaktionen im Zahlungsverkehr zu erkennen, die auf Grund des öffentlich und im Kreditinstitut verfügbaren Erfahrungswissens über die Methoden der Geldwäsche, der Terrorismusfinanzierung und betrügerischer Handlungen zum Nachteil von Instituten als zweifelhaft oder ungewöhnlich anzusehen sind. Liegen solche Sachverhalte vor, ist diesen vor dem Hintergrund der laufenden Geschäftsbeziehung und einzelner Transaktionen nachzugehen, um das Risiko der jeweiligen Geschäftsbeziehungen und Transaktionen überwachen, einschätzen und gegebenenfalls das Vorliegen eines Verdachtsfalls prüfen zu können. Die Kreditinstitute dürfen personenbezogene Daten erheben, verarbeiten und nutzen, soweit dies zur Erfüllung dieser Pflicht erforderlich ist. Die Bundesanstalt kann Kriterien bestimmen, bei deren Vorliegen Kreditinstitute vom Einsatz von Systemen nach Satz 1 absehen können.