(1) Ein Kreditdienstleistungsinstitut muss über eine ordnungsgemäße Geschäftsorganisation verfügen, die die Einhaltung der vom Kreditdienstleistungsinstitut zu beachtenden gesetzlichen Bestimmungen und der betriebswirtschaftlichen Notwendigkeiten gewährleistet. Die Geschäftsleiter sind für die ordnungsgemäße Geschäftsorganisation des Kreditdienstleistungsinstituts verantwortlich; sie haben die erforderlichen Maßnahmen für die Ausarbeitung der entsprechenden institutsinternen Vorgaben zu ergreifen, sofern nicht das Verwaltungs- oder Aufsichtsorgan entscheidet. Eine ordnungsgemäße Geschäftsorganisation umfasst insbesondere die in den Absätzen 2 bis 4 geregelten Organisationspflichten.
(2) Ein Kreditdienstleistungsinstitut muss spätestens bis zum Zeitpunkt der Erteilung der Erlaubnis von der Geschäftsleitung beschlossene und schriftlich oder elektronisch niedergelegte Regelungen für die Unternehmensführung und Verfahren der internen Kontrolle zum Zweck der Achtung der Rechte der Kreditnehmer und des Schutzes personenbezogener Daten schaffen. Die Regelungen haben die mit der Verarbeitung der Daten der Kreditnehmer, der Kommunikation mit den Kreditnehmern oder Maßnahmen gegenüber den Kreditnehmern befassten Unternehmensbereiche zu identifizieren und bezogen auf die einzelnen dortigen Unternehmensabläufe Verhaltensmaßregeln für die dort Beschäftigten sowie für deren Unterweisung und Beaufsichtigung zu enthalten. Sie müssen Vorkehrungen enthalten, durch die die Geschäftsleiter über die Einhaltung der Verhaltensmaßregeln und deren Wirksamkeit regelmäßig unterrichtet werden. Die Verfahren der internen Kontrolle müssen eine regelmäßige Überprüfung der Unternehmensabläufe sowie der zum Schutz der Daten der Kreditnehmer getroffenen technischen und organisatorischen Vorkehrungen und deren Wirksamkeit durch die Geschäftsleiter oder hierzu bestellte Personen, die an die Geschäftsleiter berichten, vorsehen. Für den Fall, dass Beeinträchtigungen der Rechte von Kreditnehmern oder Verletzungen des Schutzes personenbezogener Daten festgestellt werden, ist ein Verfahren zur Prüfung und Behebung der Ursachen dieser Beeinträchtigungen oder Verletzungen vorzusehen. Die Regelungen und Verfahren haben belastbar und angemessen zu sein und die Achtung der Rechte der Kreditnehmer und die Einhaltung der Rechtsvorschriften über den Kreditvertrag oder die Ansprüche eines Kreditgebers hieraus sowie die Einhaltung der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72; L 127 vom 23.5.2018, S. 2; L 74 vom 4.3.2021, S. 35) zu garantieren.
(3) Ein Kreditdienstleistungsinstitut muss spätestens bis zum Zeitpunkt der Erteilung der Erlaubnis von der Geschäftsleitung beschlossene und schriftlich oder elektronisch niedergelegte Grundsätze zum Zweck des Schutzes und der Sicherstellung einer angemessenen Behandlung der Kreditnehmer schaffen. Die Grundsätze haben die mit der Kommunikation mit den Kreditnehmern und Maßnahmen gegenüber den Kreditnehmern befassten Unternehmensbereiche zu identifizieren und bezogen auf die einzelnen dortigen Unternehmensabläufe sowie typische Fallgestaltungen die zu berücksichtigenden Umstände und Entscheidungsmaßstäbe zu enthalten sowie Verhaltensmaßregeln für die dort Beschäftigten und für deren Unterweisung und Beaufsichtigung vorzusehen. Die Grundsätze müssen angemessen sein, die Einhaltung der Vorschriften zum Schutz und zur fairen und umsichtigen Behandlung der Kreditnehmer sicherstellen und gewährleisten, dass das Kreditdienstleistungsinstitut auch deren Finanzlage sowie die Notwendigkeit berücksichtigt, sie bei Bedarf an Schuldenberatungs- oder Sozialdienste zu verweisen.
(4) Ein Kreditdienstleistungsinstitut muss spätestens bis zum Zeitpunkt der Erteilung der Erlaubnis spezielle interne Verfahren schaffen, durch die die Erfassung und Bearbeitung von Beschwerden der Kreditnehmer sichergestellt wird.
(5) Die Regelungen und Verfahren nach den Absätzen 2 bis 4 sind stets anzuwenden, wenn das Kreditdienstleistungsinstitut Kreditdienstleistungen erbringt.
(6) Die Bundesanstalt kann gegenüber einem Kreditdienstleistungsinstitut oder seinen Geschäftsleitern im Einzelfall Anordnungen treffen, die geeignet und erforderlich sind, um die Anforderungen an eine ordnungsgemäße Geschäftsorganisation nach Absatz 1 zu erfüllen. Satz 1 gilt entsprechend für Auslagerungsunternehmen, soweit ausgelagerte Aktivitäten und Prozesse betroffen sind.