### 1. Introduction

This notebook presents a streamlined document intelligence and Retrieval-Augmented Generation (RAG) pipeline tailored for German banking regulations. It ingests authentic regulatory PDFs and transforms them into a searchable, structured knowledge base.

### 2. Why This Approach

The Free Edition does not support DBFS, Vector Search, or managed PDF extraction.  
To address these limitations, we implemented a custom pipeline leveraging:

- UC Volume storage
- Binary file reading
- Token-based chunking (mapInPandas)
- FAISS-powered vector search
- OpenAI embeddings
- GPT-4o-mini for answer synthesis

This architecture is fully operational on the Free Edition and remains compatible with Databricks’ upcoming built-in PDF intelligence stack.

### 3. Pipeline Overview

##### Ingestion → Extraction → Chunking → Embedding → FAISS Search → RAG Answer

Each stage features robust safeguards, including:

- Token-length validation
- Chunk-length inspection
- Similarity ranking
- Transparent referencing of sources

### 4. Validation Notes

- Extracted text snippets were cross-checked with page headers to ensure accuracy.
- Chunk sizes were validated (maximum ~3,200 characters).
- Embeddings were checked to prevent input overflow.
- Similarity ranking reliably retrieves semantically relevant sections (e.g., ESG queries return ESG content).

### 5. Future State

In a full Databricks deployment, this notebook can be seamlessly upgraded to leverage:

- **ai_parse_document** for advanced document parsing
- **Databricks Vector Search** for scalable semantic retrieval
- **Agent Framework & Knowledge Assistants** for interactive, context-aware querying
- **Lakehouse Monitoring** to ensure data and answer quality
- **Workflow Jobs** for end-to-end automation

This PoC is intentionally minimal, yet fully compatible with future enhancements.

In [0]:
# The following code installs required Python packages for PDF processing, tokenization, embeddings, and OpenAI API access.
# It also imports necessary libraries for handling files, dataframes, and Spark DataFrame schema definitions.

#%pip install pypdf PyPDF2 tiktoken faiss-cpu openai  # Installs libraries for PDF reading, tokenization, vector search, and OpenAI API

import os  # For operating system interactions
import pandas as pd  # For data manipulation with Pandas DataFrames
import numpy as np  # For numerical operations, especially with embeddings
from io import BytesIO  # For handling byte streams, useful for reading PDF files from binary content
from pypdf import PdfReader  # For extracting text from PDF files

import tiktoken  # For tokenizing text, especially for OpenAI models
from pyspark.sql.functions import col  # For Spark DataFrame column operations
from pyspark.sql.types import StructType, StructField, StringType  # For defining Spark DataFrame schemas

In [0]:
# Create a Databricks widget to input the OpenAI API key.
# This allows users to securely provide their API key for authentication,
# which is needed to access OpenAI services in later cells.
dbutils.widgets.text("openai_key", "", "Enter OpenAI API Key")

In [0]:
# Define paths for PDF documents and extracted text storage.
# VOLUME_PATH: Base directory for workspace data.
# PDF_PATH: Location of PDF files to process.
# EXTRACTED_DELTA_PATH: Destination for extracted text in Delta format.
VOLUME_PATH = "/Volumes/workspace/hackathoncompliancedoc"
PDF_PATH = VOLUME_PATH + "/documents"
EXTRACTED_DELTA_PATH = VOLUME_PATH + "/extracted_delta"

print("PDFs path:", PDF_PATH)
print("Delta path for extracted text:", EXTRACTED_DELTA_PATH)

PDFs path: /Volumes/workspace/hackathoncompliancedoc/documents
Delta path for extracted text: /Volumes/workspace/hackathoncompliancedoc/extracted_delta


In [0]:
# Read PDF files as binary from the specified directory into a Spark DataFrame.
# This allows us to process the raw content of each PDF for further extraction and analysis.
pdf_df = spark.read.format("binaryFile").load(PDF_PATH)
display(pdf_df.limit(5))

path,modificationTime,length,content


In [0]:
# This code extracts text from PDF files stored as binary in a Spark DataFrame.
# It uses a UDF to convert PDF binary content to text, then saves the results as a Delta table.

from io import BytesIO
from PyPDF2 import PdfReader
from pyspark.sql.functions import col, udf
from pyspark.sql.types import StringType

def extract_text_from_bytes(byte_array):
    pdf_stream = BytesIO(byte_array)
    reader = PdfReader(pdf_stream)
    text = ""
    for page in reader.pages:
        text += (page.extract_text() or "") + "\n"
    return text

extract_udf = udf(extract_text_from_bytes, StringType())

extracted_df = pdf_df.withColumn(
    "text",
    extract_udf(col("content"))
).select(
    col("path"),
    col("text")
)

# Save extracted text to Delta format for efficient downstream processing.
extracted_df.write.format("delta").mode("overwrite").save(EXTRACTED_DELTA_PATH)

display(extracted_df.limit(5))

path,text
dbfs:/Volumes/workspace/hackathoncompliancedoc/documents/Final Guidelines on the management of ESG risks.pdf,"EBA/ GL/2025/01 08/01/2025 Final Report Guidelines o n the management of environmental, social and governance (ESG) risks FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 2 Contents 1. Executive Summary 3 2. Background and rationale 4 3. Guidelines 13 4. Reference methodology for the identification and measurement of ESG risks 18 5. Minimum standards and reference methodology for the management and monitoring of ESG risks 27 6. Plans in accordance with Article 76(2) of Directive 2013/36 /EU 38 7. Accompanying documents 46 FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 3 1. Executive Summary The EBA is mandated in accordance with Article 87a(5) of Directive 2013/36/EU to issue guidelines on minimum standards and reference methodologies for the identification, measurement, management and monitoring of environmental, social and governance (ESG) risks by institutions . ESG risks , in particular environmental risks through transition and physical risk drivers , pos e challenges to the safety and soundness of institutions and may affect all traditional categories of financial risks to which they are exposed. To ensure the resilience of the business model and risk profile of institutions in the short, medium and long term, the guidelines set requirements for the internal processes and ESG risk management arrangements that institutions should have in place . Institutions, based on regular and comprehensive materiality assessments of ESG risks , should ensure that they are able to properly identify and measure ESG risks through sound data processes and a combination of methodologies, including exposure -, portfolio - and sector -based , portfolio alignment and scenario -based methodologies. Institutio ns should integrate ESG risks in to their regular risk management framework by considering their role as potential drivers of all traditional categories of financial risks, including credit, market, operational, reputational, liquidity, business model, and concentration risks. Institutions should have a robust and sound approach to managing and mitigating ESG risks over the short, medium and long term , including a time horizon of at least 10 years , and should apply a range of risk management tools including engagement with counterparties . Institutions should embed ESG risks in th eir regular processes including in the risk appetite, internal controls and ICAAP. Besides, institutions should monitor ESG risks through effective internal reporting frameworks and a range of backward - and forward -looking ESG risk metrics and indicators. Institutions should develop specific plans to address the risks arising from the transition and process of adjustment of the economy towards the regulatory objectives related to ESG factors of the jurisdictions they operate in . To this end, institutions should assess and embed forward -looking ESG risk considerations in their strategies , policies and risk management processes through transition planning considering short -, medium - and long -term time horizons. CRD -based plans take a risk - based view and contribute to the overall resilience of institutions towards ESG risk s and should be consistent with transition plans prepared or d isclosed by institutions under other pieces of EU legislation . Next steps The guidelines will apply from 11 January 2026 except for small and non -complex institutions for which the guidelines will apply at the lates t from 11 January 2027. FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 4 2. Background and rationale 2.1 Impact of ESG risks 1. Climate change, environmental degradation, biodiversity loss, social issues and other environmental, social and governance (ESG) factors pos e considerable challenges for the economy. The impact of acute and chronic physical risk events, the need to transition to a low-carbon, resource -efficient and sustainable economy , as well as other ESG challenges , are caus ing and will continue to cause profound economic transformations that impact the financial sector. 2. The Commission’s Renewed Sustainable Finance Strategy and the banking package (Directive 2013/36/EU (Capital Requirements Directive , CRD) and Regulation (EU) No 575/2013 (Capital Requirements Regulation, CRR) ) recognise that t he financial sector has an important role to play both in terms of supporting the transition towards a climate -neutral and sustainable economy , as enshrined in the Paris Agreement, the United Nations 2030 Agenda for Sustainable Development and t he European Green Deal , and for managing the financial risks that this transition may entail and /or those stemming from other ESG factors. 3. Environmental risks , including climate -related risks , are expected inter alia to become even more prominent going forward through different possible combinations of transition and physical risks. Th ese may affect all traditional categories of financial risks to which institutions are exposed. In addition , institutions’ counterparties or invested assets may be subject to the negative impact of social factors , such as breaches of human rights, demographic change , digitalisation, health or working conditions , and governanc e factors , such as shortcomings in executive leadership or bribery and corruption , which may in turn lead to financial risks that institutions should assess and manage . 4. To maintain adequate resilience to the negative impacts of ESG factors, institutions established in the EU need to be able to systematically identify, measure and manage ESG risks. However , the specificities of ESG risks such as their forward -looking nature and distinct impacts over various time horizons , as well as the lack of relevant historical experience , means that understanding, measurement and management practices can differ significantly across institutions. The EBA’s observations stemming from the monitoring of supervisory colleges , as well as supervisory experience from competent authorities , also show that the management of ESG risks is still at an early stage and ‘work in progress ’, with only nascent practices on ESG risks other than climate -related risks in most EU institutions . Despite action taken in recent years , several shortcomings have been observed in th e inclusion of ESG risks in business strategies and risk management frameworks that may pose challenge s to the safety and soundness of institutions as the EU transitions towards a more sustainable economy and the materialisation of ESG risks intensifies . FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 5 2.2 Legal mandate and objective of these guidelines 5. To enhance the prudential framework ’s focus on ESG risks faced by institutions, new provisions have been introduced and adjustments have been made to several Articles in the CRD and in the CRR. In particular and to ensure a uniform understanding of ESG risks, definitions of ESG risks, environmental risk, physical risk, transition risk, social risk and governance risk have been laid down in Article 4 of the CRR. Article s 73 and 74 of the CRD have been amended to require that short -, medium - and long -term horizons of ESG risks be included in credit institutions’ strategies and processes for evaluating internal capital needs as well as adequate internal governance. A reference to the current and forward -looking impacts of ESG risks and a request for the management body to develop concrete plans to address these risks have also been introduced in Article 76 of the CRD . 6. In addition, a new Article 87a has been included in the CRD , according to which : 1. Competent authorities shall ensure that institutions have, as part of their robust governance arrangements including risk management framework required under Article 74(1), robust strategies, policies, processes and systems for the identification, measurem ent, management and monitoring of ESG risks over the short, medium and long term . 2. The strategies, policies, processes and systems referred to in paragraph 1 shall be proportionate to the scale, nature and complexity of the ESG risks of the business model and scope of the institution’s activities, and consider the short and medium term , and a long -term time horizon of at least 10 years. 3. Competent authorities shall ensure that institutions test their resilience to long - term negative impacts of ESG factors, both under baseline and adverse scenarios within a given timeframe, starting with climate -related factors. For such resilience testing, competent authorities shall ensure that institutions include a number of ESG scenarios reflecting potential impacts of environmental and social changes and associated public policies on the long -term business environment . Competent authorities shall ensur e that in the resilience testing process, institutions use credible scenarios, based on the scenarios elaborated by international organisations . 4. Competent authorities shall assess and monitor developments of institutions’ practices concerning their ESG strategy and risk management, including the plans , quantifiable targets and processes to monitor and address the ESG risks arising in the short, medium and long -term, to be prepared in accordance with Article 76(2). This assessment shall take into account the institutions’ sustainability -related product offering, their transition finance policies, related loan origination policies, and ESG-related tar gets and limits. Competent authorities shall assess the robustness of those plans as part of the supervisory review and evaluation process. FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 6 Where relevant, for the assessment referred to in the first subparagraph, competent authorities may cooperate with authorities or public bodies in charge of climate change and environmental supervision. 7. To foster robust risk management practices and ensure convergence across the Union , the EBA has been empowered in Article 87a (5) of the CRD to issue guidelines to specify : a) minimum standards and reference methodologies for the identification, measurement, management and monitoring of ESG risks; b) the content of plans to be prepared in accordance with Article 76 (2) of the CRD, which shall include specific timelines and intermediate quantifiable targets and milestones, in order to monitor and address the financial risks stemming from ESG factors , including those arising from the process of adjustment and transition trends towards the relevant Member States and Union regulatory objectives in relation to ESG factors, in particular the objective to achieve climate neutrality by 2050 as set out in Regulation (EU) 2021/1119, as well as, where relevant for internationally active institu tions, third - country legal and regulatory objectives ; c) qualitative and quantitative criteria for the assessment of the impact of ESG risks on the risk profile and solvency of institutions in the short, medium and long term; d) criteria for setting the scenarios referred to in paragraph 3 of Article 87 a of the CRD , including the parameters and assumptions to be used in each of the scenarios , specific risks and time horizons . 8. These guidelines address the aspects included in points a), b) and c ) of the mandate entrusted to the EBA. Point d) of the mandate will be addressed through the development of complementary guidelines on scenario analysis related to ESG factors . Therefore, these guidelines on the management of ESG risks only include a broad requirement for institutions to perform scenario -based analyses, which will be further specified by th e future guidelines on scenario analysis. 9. These guidelines aim at enhancing the identification, measurement, management and monitoring of ESG risks by institutions , as referred to under Article 4(1) point 3 of Regulation (EU) No 575/2013 , and at support ing their safety and soundness as they are confronted with the short -, medium - and long -term impact of ESG factors. The guidelines contain requirements as to the internal processes and ESG risk management arrangements that institutions should have in place , including specific plans to address the risks arising from the transition and process of adjustment to relevant sustainability legal and regulatory objectives . 10. The guidelines include minimum reference methodologies to be developed and used by institutions to assess ESG risks. Acknowledging the continuous progress in the availability and development of ESG risk data and methodologies, the focus is on the main features of key FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 7 types of methodologies, whilst flexibility is left to institutions regarding specific details, also to facilitate the development of institutions’ own methodologies over time . 2.3 Plans to monitor and address ESG risks 11. The long -term nature and the profoundness of the transition process towards a climate - neutral and sustainable economy may entail significant changes in the business models of institutions and in the types and levels of risks they are confronted with . As a result, according to Article 76 (2) of the CRD, i nstitutions sh all set out specific plans to monitor and address the financial risks arising from ESG factors, including those arising from the transition and process of adjustment to the relevant Member States and Union regulatory objectives in relation to ESG factors, as well as, where relevant for international ly active institutions, third -country objectives. 12. These guidelines specify requirements for CRD -based plans and are focused on risk -based transition planning from a micro prudential perspective. Their objective is to ensure that institutions comprehensively assess and embed forward -looking ESG risk considerations in their strategies, policies and risk management processes, including by taking a long -term perspective and with a view to ensuring their soundness and resilience t o the risks faced. 13. Whilst based on the prudential framework for banks , these guidelines and especially Section 6 and the Annex have been prepared by taking into consideration other initiatives and legislative frameworks related to plans, commonly called transition plans, that should be disclosed and/or developed by sets of non-financial and financial corporates to ensure that their business model and strategy are compatible with the transition. Th ese include the Corporate Sustainability Reporting Directive (CSRD)1, the Corporate Sustainability Due Diligence Directive (CSDDD)2, and the European Commission’s (EC) Recommendation of June 2023 on facilitating finance for the transition to a sustainable economy3 as well as, where relevant, other international public or private initiatives. 14. The requirements related to plans that are included under various pieces of EU legislation have specific but complementary purposes and should be addressed by institutions that are in the scope of these requir ements in a coherent and consistent manner. Notably, CSRD and CSDDD include requirements for the disclosure and adoption , respectively, of plans to ensure the compatibility of business models of undertakings with the transition to a sustainable economy and with the limiting of global warming to 1.5°C i n line with the Paris Agreement and the objective of the EU to achieve climate neutrality by 2050 . CSRD aims at provi ding transparency to investors and other stakeholders. CRD and these guidelines include 1 Directive (EU) 2022/2464 of the European Parliament and of the Council of 14 December 2022 amending Regulation (EU) No 537/2014, Directive 2004/109/EC, Directive 2006/43/EC and Directive 2013/34/EU, as regards corporate sustainability reporting. 2 Directive (EU) 2024/1760 of the European Parliament and of the Council of 13 June 2024 on corporate sustainability due diligence and amending Directive (EU) 2019/1937 and Regulation (EU) 2023/2859 . 3 Commission Recommendation (EU) 2023/1425 of 27 June 2023 on facilitating finance for the transition to a sustainable economy - https://eur -lex.europa.eu/legal -content/EN/TXT/?uri=CELEX:32023H1425 FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 8 requirements for the monitoring and m anagement of financial risks stemming from ESG factors, including those arising from the transition towards a climate -neutral and more sustainable economy, and therefore have a deeper focus on risk assessment and management . Plans required under CRD as specified by these guidelines are not subject to disclosure , although some parts may be covered by transparency requirements of CSRD and/or Pillar 3 , but will be assessed by prudential supervisors of institutions as part of the supervisory review and evaluation process. 15. Whilst these guidelines are focused on the prudential aspects of transition planning, the EBA emphasi ses that institutions will need to develop a single, comprehensive strategic planning process that covers all regulatory requirements stemming from applicable legislation (also beyond the strictly prudential, i.e. including CSRD, CSDDD, sectoral legislation, etc.) and all relevant aspects , including inter alia business strategy, risk management, due diligence, and sustainability reporting. Such an integrated , holistic internal approach should ensure consistent outcomes when addressing all applicable requirements, the coordination of all efforts related to transition planning within institutions, the operationali sation of strategic climate targets and commitments, a reduced administrative burden , and the development of risk management arrangements commensurate with the strategies followed by institutions. In particular , an institution that carries out its sustainability reporting in accordance with Articles 19a and 29a of the Accounting Directive4 should ensure consistency of information used to comply with the se guidelines and information disclosed in accordance with the European Sustainability Reporting Standards (ESRS) and rely on the already available materially identical or significantly comparable relevant information to the extent possible. 16. These guidelines do not require CRD -based plans to set out an objective of fully aligning with Member States or Union sustainability objectives or one specific transition trajectory. At the same time, it must be noted that plans developed by institutions to monitor and address ESG risks in accordance with the CRD also need to consider and ensure consistency with institutions’ voluntary commitments and other requirements stemming from non -prudential regulations. Such consistency is explicitly required under Article 87a(5) subparagraph 2 of the CRD which states that, where relevant, the methodologies and assumptions sustaining the targets, the commitments and the strategic decisions disclosed publicly by institutions under the Accounting Directive , or other relevant disclosure and due diligence frameworks, shall be consistent with the criteria, methodologies, assumptions, and targets used in the plans to be prepared in accordance with the CRD. 17. In addition, while these guidelines do not prescribe any particular business strategy, institutions need to assess financial risks stemming from misalignments of their portfolios with relevant EU regulatory objectives towards a sustainable economy, including the climate 4 Directive 2013/34/EU of the European Parliament and of the Council of 26 June 2013 on the annual financial statements, consolidated financial statements and related reports of certain types of undertakings FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 9 targets for 2030 and 2050 included in the European Climate Law5, namely the reduction by 2030 of greenhouse gas emissions levels by 55% compared to 1990 , and achieving net -zero emissions by 2050 . From a risk management perspective, institutions therefore need to understand the potential implications for their business models of the transition process and of the broader EU legislative framework and develop a strategic response to manage the risks associated with these developments as part of a unified internal transition planning exercise. 18. It should also be pointed out that the goal of CRD-based plans is not to force institutions to exit or divest from greenhouse gas -intensive sectors but rather to stimulate institutions to proactively reflect on technological, business and behavio ural changes driven by the transition, to thoroughly assess the risks and opportunities they entail, and to prepare or adapt accordingly through structured transition planning , including by engaging with their clients and supporting them where appropriate , notwithst anding other mitigation actions consistent with sound risk management . 19. Moreover, CRD -based plans are closely related to the policy proposals included in the EBA report on the management and supervision of ESG risks6, which recommended institutions to integrate ESG risks into their processes, including by extending the time horizon for strategic planning to at least 10 years, at least qualitatively, and by testing their resilience to different scenarios. 20. Against this background, CRD -based plans can be understood as the overview and articulation of the strategic actions and risk management tools deployed by institutions, based on a forward -looking business environment analysis and a single, compreh ensive transition planning process , to demonstrate how an institution ensures its robustness and preparedness for the transition to wards a climate and environmentally resilient and more sustainable economy. These plans aim at ensuring that institutions identify, me asure, manage and monitor ESG risks, in particular environmental transition and physical risks , over several time horizons including long -time horizons while also setting targets and milestones at regular time intervals. Such plans should be embedded in the institutions’ strategy and risk management and address the risks arising from the structural changes that may occur within the industries and counterparties to which institutions are exposed, taking into account the transition pathways and adaptation frameworks compatible with the legal and regulatory objectives of the Member States, EU, and where relevant , other jurisdictions in which they operate. 21. These guidelines refer to transition planning as the internal strategic and risk management process undertaken by institutions to prepare for risks and potential changes in their business model associated with a transition to a n environmentally resilient and more sustainable economy , including the implement ation of their objectives and targets for monitor ing and address ing ESG risks . The plans are in turn the outputs of the transition planning process. 5 Regulation (EU) 2021/1119 of the European Parliament and of the Council of 30 June 2021 establishing the framework for achieving climate neutrality and amending Regulations (EC) No 401/2009 and (EU) 2018/1999 (‘European Climate Law’) 6 EBA Report on management and supervision of ESG risks for credit institutions and investment firms (EBA/REP/2021/18) FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 10 22. Acknowledging the fast-evolving developments related to transition plans and the need to preserve the responsibility of the management bodies to set the overall business strategies and policies , the se guidelines focus on processes , principles , core expectations and main features , including metrics , of sound plans for the management of ESG risks, while leaving flexibility and responsibility to institutions as to the specific details and levels of targets . The Annex provides guidance on how institutions could structure the presentation of their plans in line with the requirements established in the guidelines , while not introducing additional requirements nor intending to be exhaustive . 2.4 Proportionality 23. The guidelines have been drafted taking into account the proportionality principle set out in Article 87a(2) of the CRD (see paragraph 6 above) . This means that proportionality should firstly be understood as driven by the materiality of ESG risks associated with the institution ’s activities and business model. As such, t hese guidelines establish in Section 4.1 that institutions should rely on the results of their materiality assessments of ESG risks to design and implement proportionate strategies, policie s, processes and plans . 24. In addition, since these guidelines cover internal governance and risk management arrangement s of institutions , they apply in accordance with the general principle of proportionality applicable to internal governance and risk management arrangements of all institutions , as laid out in Title I of the EBA Guidelines on internal governance7. 25. The size of institutions is not a sufficient criterion to apply proportionality with regard to the management of ESG risks. S maller institutions are not immune to ESG risks, for example in case of concentrations of exposures in ESG -sensitive economic sectors or in geographical areas prone to physical risks. All institutions should therefore implement approaches that are commensurate with the results of their materiality assessment and that ensure their ability to manage ESG risks in a safe and prudent manne r. 26. However, the size and complexity of institutions do play a role in the level of available resources and capacities to manage ESG risks . These guidelines therefore provide some differentiated provisions for small and non -complex institutions (SNCI s) as well as for other non-large institutions , where appropriate, allowing them to implement less complex or sophisticated arrangements . On the other hand , these guidelines include some more extensive requirements for large institutions8. 27. Concretely, t he specific provisions included in these guidelines for SNCIs and other non -large institutions relate to the frequency of updates of the materiality assessment (see paragraph 11 of the guidelines) , the extent to which qualitative considerations and/or estimates and proxies can be used (see e.g., paragraph 15 of the guidelines) , the number and granularity of risk assessment methodologies (see section 4.2.3 ) and moni toring metrics (see paragraph 81) 7 EBA Guidelines on internal governance under Directive 2013/36/EU (EBA/GL/2021/05) 8 Definitions of SNCI and large institution provided in Article 4(1) (145) and Article 4(1)(146) of the CRR , respectively, apply. FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 11 as well as certain aspects of CRD -based plans such as their granularity (paragraph 110) , update frequency (paragraph 114) , scenarios (paragraph 97) and metrics (paragraph 106) . 28. With regard to CRD -based plans, Article 76(2) of the CRD allows Member States to indicate in what areas a waiver or a simplified procedure may be applied by SNCI s. Section 6 of these guidelines already provide s proportionality measures for SNCI s and other non -large institutions which apply even in cases where Member States do not make use of th e mentioned CRD provision . If a Member State decide s to apply the provision , Section 6 of these guidelines will apply to SNCI s dependent on the transposition of CRD into national law. 2.5 Environmental risks and ESG risks 29. As reflected in the CRD provisions , and in line with the sequenced approach adopted under other EBA regulatory products on ESG risks such as the Implementing Technical Standards on Pillar 3 disclosures , the se guidelines put emphasis on environmental risks while still containing some minimum requirements on the remaining categories of ESG risks. 30. Although currently institutions are typically more advanced as regards the measurement and assessment of climate -related risks, it is important that institutions progressively develop tools and practices that aim at assessing and managing the impact s of a sufficiently comprehensive range of environmental risks, as defined in Article 4(1)(52e) of the CRR, extending beyond merely climate -related risks to also include broader environmental risks such as risks stemming from the degradation of ecosystems and biodiversity loss, as well as from other ESG factors9. Given the widespread dependence of economic activit ies on nature , it is particularly relevant that institutions properly understand the potential physical and transition risks that could result from nature degradation and from actions aimed at protecting and restoring it . 31. In addition, it should be kept in mind that in stitutions can be both impacted by (so -called ‘financial materiality’) and have an impact on (so -called ‘environmental and social materiality’) environmental and social factors through their core business activities, i.e. their lending to counterparties and their investments in assets. On the financial materiality side, the economic and financial activities of counterparties or invested assets can be negatively impacted by environmental or social factors, which might affect the value and risk profile of such activities and in turn translate into a financial impact on the institution. On the environmental and social materiality side, the economic and financial activities of counterparties or invested assets can have a negative impact on environmental and social factors, which could i n turn translate into a direct financial impact on the institution or affect it through reputational, litigation or business model risk s. The assessment and management of environmental and social risks should take both of these dimensions into account to the extent that they affect the financial risks to which institutions are exposed. 9 Annex 1 of EBA Report on management and supervision of ESG risks provides a non -exhaustive list of ESG factors (EBA/REP/2021/18) FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 12 2.6 Articulation with international developments and other EBA products 32. These guidelines build on existing EU and international requirements and/or principles on the management of ESG risks, such as the BCBS principles for the effective management and supervision of climate -related financial risks10. They also take into account the analysis performed and recommendations included in the EBA Report on the management and supervision of ESG risks , guidance published by supervisors or networks of central banks such as the Network for Greening the Financial System (NGFS) , various initiatives related to transition planning and plans11 as well as supervisory experience regarding institutions’ practices on the management of climate and environmental risks. 33. These guidelines are consistent with and include cross -references to other EBA guidelines or standards which refer to ESG risks, such as the EBA Guidelines on loan origination and monitoring (with respect to integration of ESG risks in credit risk policies ), the EBA Guidelines on internal governance (with respect to integration of ESG risks in governance arrangements ), and the EBA Implementing Technical Standards on Pillar 3 disclosure of ESG risks (with respect to ESG risk metrics ). In addition, based on t he recent amendments to the CRD, the EBA will introduce or incorporate further ESG risk considerations when developing future guidelines on scenario analysis and when updating its guidelines on internal governance , guidelines on fit-and-proper assessments and guidelines on remuneration policies . These future developments and updates will be done in a way that ensur es consistency with these guidelines on the management of ESG risks , complementing them in specific areas such as scenario analysis, the responsibilities of the management body or the integration of ESG risks into institutio ns’ remuneration frameworks . 34. These guidelines are part of the EBA’s mandates and tasks in the area of sustainable finance and ESG risks which cover the three pillars of the prudential framework for banks as well as other areas related to sustainable finance and the assessment and monitoring of ESG risks , as laid out in the EBA’s roadmap on sustainable finance12. 10 BCBS Principles for the effective management and supervision of climate -related financial risks https://www.bis.org/bcbs/publ/d532.htm 11 Non-exhaustive examples include publications by the NGFS, EU Platform on Sustainable Finance, UK Transition Plan Taskforce, Taskforce on Nature -related Financial Disclosures . 12 EBA roadmap on sustainable finance FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 13 3. Guidelines FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 14 EBA/GL/20 25/01 08/01/2025 Guidelines on the management of environmental, social and governance (ESG) risks FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 15 1. Compliance and reporting obligations Status of these guidelines 1. This document contains guidelines issued pursuant to Article 16 of Regulation (EU) No 1093/20101. In accordance with Article 16(3) of Regulation (EU) No 1093/2010, competent authorities and financial institutions must make every effort to comply with the guidelines. 2. Guidelines set the EBA view of appropriate supervisory practices within the European System of Financial Supervision or of how Union law should be applied in a particular area. Competent authorities as defined in Article 4(2) of Regulation (EU) No 1093/201 0 to whom guidelines apply should comply by incorporating them into their practices as appropriate (e.g. by amending their legal framework or their supervisory processes), including where guidelines are directed primarily at institutions. Reporting requirements 3. According to Article 16(3) of Regulation (EU) No 1093/2010, c ompetent authorities must notify the EBA as to whether they comply or intend to comply with these guidelines, or otherwise with reasons for non -complian ce, by [dd.mm.yyyy] . In the absence of any notification by this deadline, competent authorities will be considered by the EBA to be non - compliant. Notifications should be sent by submitting the form available on the EBA website with the reference ‘EBA/GL/ 2025/01’. Notifications should be submitted by persons with appropriate authority to report compliance on behalf of their competent authorities. Any change in the status of compliance must also be reported to EBA. 4. Notifications will be published on the EBA website, in line with Article 16(3). 1 Regulation (EU) No 1093/2010 of the European Parliament and of the Council of 24 November 2010 establishing a European Supervisory Authority (European Banking Authority), amending Decision No 716/2009/EC and repealing Commission Decision 2009/78/EC, (OJ L 331, 15.12.2010, p.12). FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 16 2. Subject matter, scope and definitions Subject matter and scope of application 5. These guidelines specify robust governance arrangements institutions need to have in place in accordance with Article s 87a(1) and 74 of Directive 2013/36/EU12, and cover : (a) minimum standards and reference methodologies for the identification, measurement, management and monitoring of environmental, social and governance (ESG) risks , in accordance with Article 87 a(5)a) of that Directive ; (b) qualitative and quantitative criteria for the assessment of the impact of ESG risks on the risk profile and solvency of institutions in the short, medium and long term , in accordance with Article 87 a(5)c) of that Directive ; (c) the content of plans to be prepared in accordance with Article 76(2) of that Directive by the management body , which shall include specific timelines and intermediate quantifiable targets and milestones, in order to monitor and address the financial risks stemming from ESG factors, including those arising from the process of adjustment and transition trends towards the relevant Member States and Union regulatory objectives in relation to ESG factors , in particular the objective to achieve climate neutrality by 2050 as set out in Regulation (EU) 2021/1119 , as well as, where relevant for international active institutions, third country legal and regulatory objectives , in accordance with Article 87a(5)b) of that Directive . 6. These guidelines address the ESG risk management processes of institutions as part of their broader risk management framework . They apply in relation to the robust strategies, policies, processes and systems for the identification, measurement, management and monitoring of ESG risks over the short, medium and long term that institutions subject to Directive 2013/36/EU shall have as part of their robust governance arrangements including risk management framework required under Article 74(1 ) of Directive 2013 /36/EU. These guidelines also complement and further specify EBA Guidelines on internal governance3 and EBA Guidelines on loan origination and monitoring4 in relation to the management of ESG risks. 7. Competent authorities and institutions should apply these guidelines in accordance with the level of application set out in Article 109 of Directive 2013/36/EU . 1 2 Directive 2013/36/EU of the European Parliament and of the Council of 26 June 2013 on access to the activity of credit institutions and the prudential supervision of credit institutions and investment firms, amending Directive 2002/87/EC and repealing Dir ectives 2006/48/EC and 2006/49/EC (OJ L 176, 27.6.2013, p. 338). 3 EBA Guidelines on internal governance under Directive 2013/36/EU (EBA/GL/2021/05) 4 EBA Guidelines on loan origination and monitoring (EBA/GL/2020/06) FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 17 Addressees 8. These guidelines are addressed to competent authorities as defined in Article 4 (2) point (i) of Regulation (EU) No 1093/2010 and to financial institutions as defined in Article 4 (1) of Regulation (EU) No 1093/ 2010 which are also institutions in accordance with Article 4(1) point 3 of Regulation (EU) No 575/20135. Definitions 9. Unless otherwise specified, terms used and defined in Directive 2013/36/EU and Regulation (EU) No 575/201 3 have the same meaning in the se guidelines. 3. Implementation Date of application 10. These guidelines apply to institutions other than small and non -complex institutions from 11 January 2026. These guidelines apply to small and non -complex institutions at the latest from 11 January 2027. 5 Regulation (EU) No 575/2013 of the European Parliament and of the Council of 26 June 2013 on prudential requirements for credit institutions and amending Regulation (EU) No 648/2012 (OJ L 176, 27.06.2013, p. 1) . FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 18 4. Reference methodology for the identification and measure ment of ESG risks 4.1 Materiality assessment 11. As part of th e reference methodolo gy for institutions’ identification and measurement of ESG risks to be included in their strategies and internal procedures , institutions should provide for the regular perform ance of a materiality assessment of ESG risks. That assessment should be performed at least every year or, for small and non -complex institutions (SNCI s), every two years . Institutions including SNCI s should , how ever , update their assessment more frequently in case of a material change to their business environment related to ESG factors , such as significant new public policies or shifts in the institution’s business model, portfolios or oper- ations . 12. The materiality assessment of ESG risks should be performed as an institution -specific assess- ment which provide s the institution with a view on the financial materiality of ESG risks for its business model and risk profile , supported by a mapping of ESG factors and transmission channels to traditional financial risk categorie s. The materiality assessment of ESG risks should be consistent with other materiality assessment s conducted by the institution , in particular those made for the purpose of disclosing material sustainability risks in accordance with Di- rective 2013/34/EU6 and Commission Delegated Regulation (EU) 2023/27727, where applica- ble, and should be integrated into the internal capital adequacy assessment process ( ICAAP ) materiality assessment. 13. The materiality assessment of ESG risks should use a risk -based approach that takes into ac- count the likelihood of occurrence and the potential magnitude of the financial effects of ESG risks in the short and medium term and over a long -term horizon of at least 10 years . 14. With a view to comprehensively assessing the materiality of ESG risks, institutions should ensure that the scope of their materiality assessment sufficiently reflects the nature, size and complexity of their activit ies, portfolios, services , and products. Institutions should consider the impact of ESG risks on all traditional financial risk categories to which they are exposed, including credit, market, liquidity, operational (including litigation) , reputational, business model and concentration risks. The determination of material ESG risks should consider both 6 Directive 2013/34/EU of the European Parliament and of the Council of 26 June 2013 on the annual financial statements, consolidated financial statements and related reports of certain types of undertakings, amending Directive 2006/43/EC of the European Par liament and of the Council and repealing Council Directives 78/660/EEC and 83/349/EEC (OJ L 182, 29/06/2013, p. 19). 7 Commission Delegated Regulation (EU) 2023/2772 of 31 July 2023 supplementing Directive 2013/34/EU of the European Parliament and of the Council as regards sustainability reporting standards (OJ L, 2023/2772, 22.12.2023). FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 19 their impacts on financial risk categories and the amounts and/or shares of exposures , revenues and profits exposed to the risks. 15. With regard to the materiality assessment of environmental risks , institutions should use both qualitative and quantitative information . Institutions should consider a s ufficiently large scope of envi ronmental factors that includes at least climate -related factors, degradation of ecosystem s and biodiversity loss . Institutions should asses s both transition and physical risk drivers , taking into account at least the following: a) For transition risks : i. the main economic sectors that the financed assets support or in which the institution’s counterparty has its principal activit ies; ii. ongoing and potential future material changes in public policies, technologies and market preferences (e.g. new environmental regulations or tax incen- tives, development of innovative low-carbon technologies, shifts in consumer or investor demand) ; iii. with respect to climate -related risks : 1. exposures towards sectors that contribute highly to climate change as specified in Recital 6 of Commission Delegated Regulation (EU) 2020/1818 i.e. the sectors listed in Sections A to H and Section L of Annex I to Regulation (EC) No 1893/20068, with particular consideration given to exposures towards fossil fuel sector entities ; 2. the degree of alignment or misalignment of portfolios with the relevant regulatory objectives of the jurisdictions where they operate – for SNCIs and other non -large institutions at least on the basis of a high -level qualitative assessment ; b) For physical risks : i. the geographical areas in which key assets of counterparties (e.g. production sites) and, in particular for real estate exposures, physical collateral is located; ii. the vulnerability level to environmental hazards (e.g. temperature -related , wind -related , water -related , solid mass -related hazards ) associated with dif- ferent climate scenarios and transition pathways or, for SNCIs and other non - large institutions , associated with at least one adverse scenario . 8 Commission Delegated Regulation (EU) 2020/1818 of 17 July 2020 supplementing Regulation (EU) 2016/1011 of the European Parliament and of the Council as regards minimum standards for EU Climate Transition Benchmarks and EU Paris -aligned Benchmarks (OJ L 406, 03/12/2020, p. 17 ) - Climate Benchmark Standards Regulation - Recital 6: Sectors listed in Sections A to H and Section L of Annex I to Regulation (EC) No 1893/2006 FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 20 16. Institutions should substantiate and document as part of their ICAAP their materiality assessments of ESG risks , including methodologies and thresholds used, inputs and factors considered and main results and conclusions reached , including non -materiality conclusions. 17. Institutions should develop and implement measurement methods , risk management arrangements and transition planning processes , respectively in accordance with Section 4.2, Section 5 , and Section 6, that are commensurate with and informed by the outcomes of the materiality assessment . To this end, institutions should have more extensive and sophisticated arrangements for ESG risks identified as material . In turn , the ESG risk measurement methodologies and ESG risk monitoring metrics used by institutions should support and inform the regular updates of the materiality assessment. Smaller institutions with less complex activities may apply less extensive and sophisticated arrangements , which however should be commensurate with the results of the ir materiality assessment of ESG risks. 4.2 Identification and measurement of ESG risks 4.2.1 General principles 18. As part of the minimum standards to identify and measure ESG risks , institutions’ internal procedures should include tools and methodologies to assess ESG risk drivers and their trans- mission channels into the different prudential risk categories and financial risk metrics affect- ing the institution’s exposures , including with a forward -looking perspective. 19. To ensure a proper identification and management of ESG risks, i nstitutions should consider the potential impact of these risks in the short , medium and long term. The level of granularity and accuracy of data points, quantification tools , methods and indicators used by institutions should take into account their materiality assessment and their size and complexity and gen- erally be higher for the short and medium term. Long-term time horizons should at least be considered from a qualitative perspective and support strategic assessments and decision - making . 20. With regard to environmental risks, internal procedures and methodologies should allow in- stitutions to : a. quantif y climate -related risks, such as by estimating the probabilities of materiali sa- tion and magnitude of financial impacts stemming from climate -related factors; b. properly understand the financial risks that may result from other types of environ- mental risks, such as those stemming from the degradation of nature, including bio- diversity loss and the loss of ecosystem services , or the misalignment of activities with actions aimed at protecting, restoring, and/or reducing negative impacts on nature ; FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 21 c. establish key risk indicators (KRIs) covering at least short - and medium -term time ho- rizons and a scope of exposures and portfolios determined in line with the results of the materiality assessment . 21. With regard to social and governance risks, where quantitative information is initially lacking, institutions’ internal procedures should provide for method s that start by evaluating qualita- tively the potential impacts of these risks on the operations of, and financial risks faced by, the institution, and should progressively develop more advanced qualitative and quantitative measures . Institutions should gradually enhance their approaches in line with regulatory, sci- entific , data availabil ity and methodolo gical progress . 22. With regard to the interactions between the different categories of , respectively, environ- mental, social and governance risks, institutions ’ internal procedures should ensure that each category of risk is first assessed taking into account its specific characteristics, before consid- ering potential inter connections and interdepe ndencies in the measurement of these risks . 4.2.2 Data processes 23. Institutions ’ internal procedures should provide for the implementation of sound information management systems to identif y, collect , structur e and analys e the data that is necessary to support the assessment , management and monitoring of ESG risks . Such systems should be implemented across the institution as part of the overall data governance and IT infrastruc- ture . Institutions should regularly review their practices to ensur e they remain up to date with public (e.g. increased data availability due to regulatory initiatives ) and market developments and should have in place arrangements to assess and improve data quality. 24. Institutions ’ internal procedures should ensure that institutions gather and use the infor- mation needed to assess , manage , and monitor the current and forward -looking ESG risks they may be exposed to via their counterparties, by aiming at collecting client - and asset -level data at an appropriate ly granular level . 25. Institutions ’ internal procedures shoul d build on both internally and externally available ESG data, including by regularly reviewing and making use of sustainability information disclosed by their counterparties , in particular in accordance with European Sustainability Reporting Standards developed under the Directive 2013/34/EU or voluntary reporting standard for non-listed Small and Medium -size Enterprises (SME s) as per the Communication COM (2023) 535 on the S ME relief package9. 26. Institutions should assess which other sources of data would effectively support the assessment , management and monitoring of ESG risks, such as information obtained through engagement with clients and counterparties as part of new and existing business relationships , or third -party data . When institutions use services of third -party providers to 9 COM (2023) 535 - Communication from the Commission to the European Parliament, the Council, the European Economic and Social Committee and the Committee of the Regions - SME Relief Package FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 22 gain access to ESG data, institutions should ensure they have a sufficient understanding of the sources, data and methodologies used by data providers , including their potential limitations . 27. Where the quality or availability of data is initially not sufficient to meet risk management needs, institutions should assess these gaps and their potential impacts. Institutions should take and document remediating actions, including the use of estimates or proxies , e.g. based on sector al- and/or region al-level characteristics and, when feasible, making adjustments to account for counterparty -specific aspects . Institutions should seek to reduce the use of estimates and proxies over time as ESG data availability and quality improve . 28. For large c orporate c ounterparties as defined by Article 3(4) of Directive 2013/34/EU , institutions should consider collecting or obtaining the foll owing data points , where applicable : a. For environmental risks: i. geographical location of key assets (e.g. production sites) and exposure to environmental hazards (e.g. temperature -related , wind -related , water -related , solid mass -related hazards ) at the level of granularity needed for appropriate physical risk analysis, and availability of insurance ; ii. current and , if a vailable , targeted green house gas (GHG) scope 1, 2 and 3 emissions in absolute value and, where relevant, in intensity value ; iii. dependency on fossil fuels, either in terms of economic factor inputs or revenue base ; iv. energy and water demand and/or consumption, either in terms of economic factor inputs or revenue base ; v. level of energy efficiency for real estate exposures and the debt servic ing capacity of the counterparty ; vi. the current and anticipated financial effects of environmental risks and opportunities on the counterparty’s financial position, financial performance and cash flows ; vii. transition -related strategic plans , including transition plan for climate change mitigation disclosed in accordance with Article 19a or Article 29a of Directive (EU) 2022/2464 , when available ; b. For social and governance risks: i. alignment with the OECD Guidelines for Multinational Enterprises , UN Guiding Principles on Business and Human Rights and International Labour Organisation Declaration on Fundamental Principles and Rights at Work ; FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 23 ii. negative material impacts on own workers, workers in the value chain, affected communities and consumers/end -users including information on due diligence efforts or processes to avoid and remediate such impacts . 29. For exposures towards other types of counterparties than large corporates , institutions should : a. determin e the data points needed for the identification , measurement and management of ESG risks , considering the list provided in paragraph 28 to support that assessment ; b. where needed to address data gaps , use expert judgment , qualitative data , portfolio -level assessments and proxies in line with paragraph 2 7. 4.2.3 Main features of reference methodologies for the identification and measurement of ESG risks 30. Institutions’ internal procedures should provide for a combination of risk assessment methodologies, including exposure -based, sector -based , portfoli o-based, and scenario -based methodologies, as set out in paragraphs 3 1 to 42. The combination of methodologies should be put together in a way that allows institutions to comprehensively assess ESG risks over all relevant time horizons. In particular, institutions should at least use exposure -based method s to obtain a short -term view of how ESG risks are impact ing the risk profile and the profitability of their counterparties, use sector -based, portfolio -based and scenario -based methods to support the medium -term planning process and the definition of risk limits and risk appetite for steering the institution towards its strategic objectives, and assess through scenario -based methods their sensitivities to ESG risks across different time horizons including long -term ones . a. Exposure -based methods 31. At an exposure -based level, in line with the provisions in paragraphs 126 and 146 of the EBA Guidelines on loan origination and monitoring, institutions should have internal procedures in place to assess the exposure of their counterparties’ activities and key assets to ESG factors, in particular environmental factors and the impact of climate change, and the appropriateness of the mitigating actions. To this end, institutions should ensure that ESG factors , in particular environmental factors, are properly reflected in their internal risk classification procedures , are taken into account in the overall assessment of default risk of a borrower and, where justified by their materiality , are embedded in to the risk indicators, internal credit scoring or rating models, as well as into the valuation of collateral. 32. With regard to the assessment of environmental risks at exposure level, institutions ’ internal procedures should include a set of risk factors and criteria that capture both physical and transition risk drivers . For large institutions, this includ es, where applicable, at least the following: FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 24 a) the degree of vulnerability to environmental hazards , taking into account the geographical location of the key assets of counterparties and guarantors , or of the physical collateral backing the exposures, considering both on -balance sheet and off - balance sheet exposures; b) the degree of vulnerability to transition risks, taking into account relevan t technological developments , the impact of applicable or forthcoming environmental regulation s affecting the sector of activity of the counterparty , the current and if any targeted GHG emissions in absolute and, where relevant , intensity value of the counterparty , the impact of evolving market preferences, and the level of energy efficiency in the case of residential or commercial real estate exposures together with the debt service capacity of counterparties ; c) the exposure of the counterparty’s business model and/or supply chain to critical disruptions due to environmental factors such as the impact of biodiversity loss, water stress or pollution ; d) the exposure of the counterparty to reputational and litigation risk s taking into account completed, pending or imminent litigation case s related to environmental issues ; e) the (planned) maturity or term structure of the exposure or asset; f) risk-mitigating factors , such as private or public insurance coverage , for example based on applicable national catastrophe schemes or similar frameworks , and the capacity of the counterparty to ensure resilience to transition and physical risks including through forward -looking transition plan ning . 33. Where data needed to assess certain criteria is not yet available, such as for smaller corporate counterparties, institutions should follow the steps outlined in pa ragraph s 26, 27 and 29. 34. With regard to the assessment of social and governance risks at exposure level, institutions should implement due diligence processes with a view to assessing the financial impacts stemming from , and the vulnerability of counterparties’ business model to , social and governance factors , taking into account the adherence of corporate counterparties to social and governance standards such as those mentioned in paragraph 28 b(i), the exposure of the counterparty to litigation risk driven by social or governance issues , as well as the applicable legislation in the jurisdiction where the counterparty operates. b. Sector -based , portfolio -based and portfolio alignment methods 35. Institutions ’ internal procedures should provide for sector -based and portfolio -based methodologies , in particular heat maps that highlight ESG risks of individual economic (sub -) sectors in a chart or on a scaling system as referred to in paragraphs 127 and 149 of the EBA Guidelines on loan origination and monitoring. Institutions’ methodologies should allow to FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 25 map their portfolios according to ESG risk drivers and identify any concentration towards one or more type(s) of ESG risks . 36. With regard to non -climate related ESG factors, large institutions should develop: a) methods to identify sectors that are highly dependent on , or have significant impact on, ecosystem services , and tools to measure the financial impact of nature degradation and actions aimed at protecting, restoring and/or reducing negative impacts on nature ; b) approaches to measuring the positive or adverse impact s of their portfolios on the achievement of the UN Sustainable Development Goals and evaluating potential related financial risks. 37. With regard to climate -related risks, institutions’ internal procedures should provide for the use of at least one portfolio alignment methodology to assess on a sectoral basis the degree of alignment of institution’s portfolios with climate -related pathways and /or benchmark scenarios . Institutions should also consider assessing the alignment at counterparty level e.g. by comparing the GHG emissions intensity of a given counterparty with an applicable sectoral benchmark . 38. For the purposes of paragraph 37, institutions should use scenarios that are science -based , relevant to sectors of economic activity and the geographical location of their exposures , up to date and originating from national, EU or international organisations such as national environmental agencies, Joint Research Center of the EU Commission , the International Energy Agency , Network for Gr eening the Financial System, International Panel on Climate Change . Sectoral decarboni sation pathways should be consistent with the applicable policy objective , such as the EU objective to reach net -zero GHG emissions by 2050 and to reduc e emissions by 55% by 2030 compared to the 1990 level , or any national objective where applicable . 39. For the purposes of paragraph 37, institutions should determine the appropriate scope of the portfolio alignment assessment s and the degree of sophistication of the methodologies used based on the characteristics of their portfolios , the results of their materiality assessment and their size and complexity . Large institutions with securities traded on a regulated market within the Union should take into account the list of sectors included in Template 3 of Annex I of the Commission Implementing Regulation (EU) 2022/245310. SNCIs and other non -large institutions may use representative samples of exposures in their portfolios to undertake portfolio alignment assessments. 10 Commission Implementing Regulation (EU) 2022/2453 of 30 November 2022 amending the implementing technical standards laid down in Implementing Regulation (EU) 2021/637 as regards the disclosure of environmental, social and governance risks (OJ L 324, 19.12.2022, p. 1). FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 26 40. Institutions should justify and document their methodological choices including the choice of scenario (s) and the base year, the selection of sectors and , for SNCI s and other non -large institutions , the identification of a representative sample of exposures , as well as any signi ficant methodological change over time . When data needed to measure alignment is missing, institutions should follow the steps set out in paragraphs 2 6, 27 and 29. 41. Institutions should consider insights gained from climate portfolio alignment methodologies to: a. assess and monitor climate -related transition risks stemming from misalignments of counterparties and/or portfolios with EU, Member State or third -country regulatory objectives and pathways consistent with applicable climate goals, and potential related financial risks; b. inform their decision -making process on the formulation and implementation of their risk appetite, business strategy and transition planning including regarding prioriti sation of engagement with certain counterparties. c. Scenario -based methods 42. In addition to exposure -based, sector -based, portfolio -based and portfolio alignment methods, i nstitutions’ internal procedures should provide for the use of scenario -based analyses to test their resilience to ESG risks, starting with climate -related risks , under various scenarios11. 11 Point d ) of the mandate included in Article 87a(5) of Directive 2013/36/EU will be addressed through the development of complementary EBA Guidelines on scenario analysis to test the resilience of institutions to environmental, social and governance factors . FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 27 5. Minimum standards and reference methodology for the m anagement and monitoring of ESG risks 5.1 ESG risk management principles 43. For the purposes of integrating ESG risks in to the institution -wide risk management frame- work in accordance with paragraph 152 of the EBA Guidelines on internal governance, insti- tutions should consider the role of ESG risks as potential drivers of all traditional categories of financial risks, including credit, market, operational (including litigation) , reputational, li- quidity, business model, and concentration risks. 44. Institutions should embed ESG risks within their regular risk management systems and pro- cesses ensuring consistency with their overall business and risk strategies, including plans in accordance with Article 76(2) of Directive 2013/36 /EU as fu rther specified in Section 6. Insti- tutions should ensure that they have a fully integrated approach where ESG risks are properly captured and considered as part of risk management strategies, policies and limits. Where institutions have in place specific arrangements for ESG risks, they should ensure this is re- flected in, and feeds into , the regular risk management framework. 45. Institutions should develop a robust and sound approach to managing and mitigating ESG risks over the short and medium term and over a long -term horizon of at least 10 years , taking into account the principle s outlined in paragraph 19. 46. Institutions should determine which combination of risk management and mitigation tools would best contribute to this, by considering a range of tools, including the following : a) engagement with counterparties aim ing at better understanding the risk profile of the counterparty and at ensuring consistency with the institution’s risk appetite and stra- tegic objectives , in particular by: i. determining the scope of counterparties with whom to engage , taking into account the outcomes of the materiality assessment and of the risk measure- ment process ; ii. establishing a dialogue with those counterparties to review their resilience towards ESG risks, taking into acco unt the sectoral legislation that affects those counterparties and any transition plan they have developed ; iii. where relevant and possible, providing relevant information and advice to clients on the assessment or mitigation of ESG risks they are exposed to ; and FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 28 iv. considering a range of counterparty -specific actions, such as adjustment to product offering, agreement on a plan and remedial actions to support tran- sition efforts and an enhanced resilience of the counterparty, or as a last re- sort cessation of the relationship when continuation is considered incompat- ible with the institution’s planning and risk appetite . b) adjusting financial terms (e.g. including contractually -agreed safeguards and correc- tive measures), conditions (e.g. tenor) and /or pricing based on ESG risk -relevant cri- teria and the institution’s risk strategy and internal capital policy; c) considering ESG risks when developing sectoral policies and when setting global, re- gional and sectoral risk limits, exposure limits and deleveraging strategies; d) diversification of lending and investment portfolios based on ESG risk-relevant crite- ria, e.g. in terms of economic sectors or geographical areas ; e) other risk management tools deemed appropriate in line with the institution’s risk appetite , such as a possible reallocation of financing between and within sectors to- wards exposures more resilient to ESG risk s. 5.2 Strategies and business models 47. Institutions should account for ESG risks when developing and implementing their overall business and risk strategies, which should includ e at least : a) understanding and assessing the business environment in which they operate, and how they are exposed to structural changes in the economy, financial system, and competitive landscape over the short, medium and long term as a result of ESG fac- tors; b) understanding and assessing how ESG risks, in particular environmental risk drivers including transition and physical risks, can have an adverse impact on the viability of their business model and sustainability of their business strategy , including profitabil- ity and revenue sources, over the short, medium and long term; c) considering how these ESG risks , in particular environmental risk drivers including transition and physical risks, may affect their ability to achieve their strategic objec- tives and remain within their risk appetite; d) formulating , implementing and monitoring plans and targets as set out in Section 6 . 48. For the purposes of paragraph 4 7 and with a view to ensuring sufficiently informed strategies, institutions should consider insights gained from a combination of forward -looking risk as- sessment methods, including : FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 29 a) portfolio alignment methodologies , as described in Section 4.2; b) environmental risk scenario analyses , taking into account the (potential) business en- vironment(s) in which they might be operating in the short, medium and long term , including a time horizon of at least 10 years ; c) climate or environmental st ress tests performed by the institution . 49. Institutions should have a comprehensive understanding of their business model, strategic objectives and risk strategy from an ESG risk perspective and should ensure that their govern- ance , transition plan ning process and risk management framework, including risk appetite, are adequate to implement them. 5.3 Risk appetite 50. Institutions should ensure that their risk appetite clearly defines and addresses ESG risks which are part of their risk inventory following the materiality assessment . The risk appetite should specify the level and type s of ESG risks institutions are willing to assume in the ir port- folio , including as regards the portfolio’s concentration and diversification objective s. The in- tegration of ESG risks in the risk appetite should be consistent with the institution’s strategic objectives and commitments and with the plans and targets specified under Section 6. 51. The risk appetite should be implemented with the support of ESG -related KRIs , including e.g. potential limits, thresholds or exclusions . For the determination of relevant and appropriate KRIs , institutions should consider the results of their materiality assessment and the specific features of their business model , taking into account relevant business lines, activitie s, prod- ucts, and exposures towards economic sectors and geographies , including jurisdictions and more granular geographical areas . Institutions should consider the metrics listed in Section 5.7 when determining which selected KRIs to use in the ir risk appetite framework . 52. Institutions should ensure that all relevant group entities and business lines and units bearing risk properly understand and implement the institution’s risk appetite in terms of ESG risks . In particular in large institutions r isk limits should be set a t different level s within the institu- tion, ensuring consistency with the overall risk appetite , and should anchor ESG risk consid- erations in relation to the products or financial instruments issued, or iginated or held by the institution, client segments, type of collateral and risk mitigation instruments . 53. The institution’s risk appetite and associated KRIs should be subject to monitoring and esca- lation processes as set out in paragraph 80. 5.4 Internal culture, capabilities and controls 54. Institutions should develop on an ongoing basis their capabilities to identify, assess , monitor , manage and mitigate ESG risks as appropriate . Institutions should ensure, as part of their FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 30 training policy, that their management body and staff are adequately trained to understand the implications of ESG factors and ESG risks with a view to fulfilling their responsibilities ef- fectively. The policies and procedures on training activities should be kept up to date and take into account scientific and regulatory developments; the procedure for managers should take into account that knowledge of ESG factors and ESG risks is relevant for the assessment of the suitability of members of the management body and for key function holders in line with the Joint EBA and ESMA Guidelines on suitability assessments12. 55. The sound and consistent risk culture that accounts for ESG risks implemented within the institution in accordance with Title IV of the EBA Guidelines on internal governance13 should include clear communication from the management body (‘tone from the top’) and appropri- ate measures to promote knowledge of ESG factors and ESG risks across the institution , as well as awareness of the institution’s ESG strategic objectives and commitments. 56. For the purposes of Title V of the EBA Guidelines on internal governance14, institutions should incorporate ESG risks into their internal control frameworks across the three lines of defence . The internal control framework should include a clear definition and assignment of ESG risk responsibilities and reporting lines. 57. The first line of defen ce should be responsible for undertaking assessments of ESG risks, tak- ing into account materiality and proportionality considerations, during the client onboarding, credit application , credit review and, where relevant, investing processes, and in ongoing monitoring and engagement with existing clients . Staff in the first line of defence should have an adequate understanding and knowledge to be able to identify potential ESG risks. 58. As part of the activities of the second line of defence : a) the risk management function should be responsible for undertaking ESG risk assess- ment and monitoring independently from the first line of defence , including by en- suring adherence to the risk limits , questioning and where necessary challenging the initial assessment conducted by the business relationship officers ; b) the compliance function should oversee how the first line of defence ensure s adher- ence to applicable ESG risk legal requirements and internal policies , and should advise the management body and other relevant staff on measures to be taken to ensure such compliance. In addition, in relation to the sustainability claims and/or commit- ments made by the institution, it should provide advice on the reputational and con- duct risks associated with the implementation or failure to implement such claims and/or commitments ; 12 Joint ESMA and EBA Guidelines on the assessment of the suitability of members of the management body and key function holders under Directive 2013/36/EU and Directive 2014/65/EU (EBA/GL/2021/06) 13 Title IV – Risk culture and business conduct 14 Title V – Internal control framework and mechanisms FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 31 c) the compliance function and the risk management function should be consulted for the approval of new products with ESG features or for significant changes to existing products to embed ESG aspects. 59. As third line of defence , the internal audit function (IAF) should provide an independent re- view and objective assurance of the quality and effectiveness of the overall internal control framework and systems in relation to ESG risks, including the first and second lines of defence and the ESG risk governance framework. 5.5 Internal capital adequacy assessment process and internal liquidity adequacy assessment process 60. Institutions should incorporate material ESG risks and their impacts on financial risk catego- ries into their ICAAP to assess , and maintain on an ongoing basis , the amounts, types and distribution of internal capital that they consider adequate to cover the nature and level of ESG risks , taking into account the short, medium and long term. 61. When institutions take into account longer time horizons for the coverage of ESG risks , these time horizons should be used as a source of information to ensure a sufficient understanding of the potential implications of ESG risks for capital planning within the regular ICAAP time horizons . The time horizons considered for the determination of adequate internal capital to cover ESG risks should be consistent with the time horizons used as part of the institutions’ overall ICAAP . The ICAAP shoul d be suffi ciently forward -looking and where an institution as- sesses that risks should not be covered by capital but be mitigated through other tools or actions , it should be e xplained. 62. Institutions should use insights gained from their risk assessment methodologies, including those referred to in Section 4.2, to identify and measure internal capital needs for exposures or portfolios assessed as more vulnerable to ESG risks , taking into account the differing levels of availability and maturity of quantification methodologies for environmental risks compared to social and governance risks. 63. With regard to environmental risks, institutions should include in their ICAAP a forward -look- ing view of their capital adequacy under an adverse scenario that includes specific environ- mental risks elements . In addition, institutions should specify any changes to the institution’s business plan or other measures derived from climate or environmental risks stress testing and/or reverse stress testing, in line with paragraph 90 of EBA Stress Testing Guidelines15. 64. Institutions should incorporate material environmental risks and their impacts on liquidity in their internal liquidity adequacy assessment process ( ILAAP ) over appropriate time horizon s within the scope of the ILAAP coverage . 15 EBA Guidelines on institutions stress testing (EBA/GL/2018/04) FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 32 65. Institutions should include in their ICAAP and ILAAP frameworks a description of the risk ap- petite, thresholds and limits set for , respectively, material ESG risks and material environmen- tal risks and their impacts on their solvency or liquidity , as well as the process applied to keep- ing these thresholds and limits up to date. Institutions should provide sufficient contextual information to understand their analysis of the capital and liquidity implications of , respec- tively, ESG and environmental risks, inc luding by providing clarity on the methodologies used and underlying assumptions. 66. When integrating ESG risks in to their ICAAP and environmental risks in their ILAAP, the com- plexity of the processes and the degree of sophistication of the methodologies used by insti- tutions should take into account their size and complexity and the results of the ir materiality assessment . 5.6 Policies and procedures for financial risk categories 67. Institutions should understand and manage the current and potential future impact of ESG risks on their exposures to credit risk, on the valuation of their positions subject to market risk, in particular for prudent valuation purposes, on their liquidity risk profile and buffers, on their operational (including li tigation ) risks, and on reputational risks, including through the use of forward -looking analyses. 5.6.1 Credit risk 68. For the purposes of integrating ESG risks in to credit risk policies and procedures as set out in paragraph 56 of the EBA Guidelines on loan origination and monitoring , institutions should ensure that their credit sectoral policies, reflecting ESG risks, are cascaded down and trans- lated in to clear origination criteria available to business lines staff and credit decision -makers , and should ensure that ESG risks are embedded into the credit risk monitoring framework . 69. With regard to environmental risks, institutions should include in their policies and proce- dures a combination of qualitative and quantitative aspects. Based on their materiality as- sessment and their risk appetite, institutions should set quantitative cred it risk metrics cov- ering the most significant client segments, type s of collateral and risk mitigation instruments. 5.6.2 Market risk 70. With respect to market risk, institutions should consider how ESG risks could affect the value of the financial instruments in their portfolio, evaluate the potential risk of losses on their portfolio and increased volatility in their portfolio’s value, and establish effective processes to control or mitigate the associated impacts as part of their market risk management frame- work including where needed reviewing the trading book risk appetite and setting internal limits for positions or client exposures . FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 33 5.6.3 Liquidity and funding risk 71. With respect to liquidity and funding risk, institutions should at least consider how ESG risks could affect net cash outflows (e.g. increased drawdowns of credit lines) or the value of assets that constitute their liquidity buffers and, where appropriate, incorporate these impacts into the calibration of their liquidity buffers or their liquidity risk management framework. 72. In addition, with regard to environmental risks, institutions should consider how these risks could affect the availability and/or stability of their funding sources and take them into ac- count in their management of funding risk . To this end, institutions should consider different time horizons and both normal and adverse conditions , which should reflect among others the potential impacts of environmental risks on reputational risks , a situation of hampered or more expensive access to market funding and/or accelerated deposit withdrawals . 5.6.4 Operational and reputational risks 73. With respect to operational risk, institutions should consider how ESG risks could affect the different regulatory operational risk event types referred to in Article 324 of R egulation (EU) No 575/2013 and their ability to continue providing critical operations and should incorporate material ESG risks in their operational risk management framework. 74. With regard to environmental risks, institutions should : a) identify and label losses related to environmental risk s in their operational losses reg- isters , in line with the risk taxonomy and methodology to classify the loss events set out by the regulatory technical standards adopted by the Commission pursuant to Article 317(9) of Regulation (EU) No 575/2013 ; b) develop processes to assess and manage the likelihood and impact of environment - related litigation risks ; c) use scenario analysis to determine how physical risk drivers can impact their business continuity ; and d) take material environmental risks into account when developing business continuity plans. 75. With respect to reputational risks, institutions should consider and manage the impact of ESG risks on their reputation, including by considering potential risks associated with lending to and investing in businesses which may be prone to ESG -related controversies , such a s viola- tions of social or human rights . Institutions should also consider, where applicable, the repu- tational risks associated with the failure to deliver on their sustainability commitments or transition plans, or with the (perceived) lack of credibility of such commitments and plans. FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 34 76. As part of their management of conduct, litigation and reputational risks , institutions should have in place sound processes to identify, prevent and manage risks resulting from green- washing or perceived greenwashing practices taking into account the ESAs high -level princi- ples set out in Section 2.1 of the EBA Final Report on greenwashing monitoring and supervi- sion16. To this end, institutions should take all necessary steps to ensure that sustainability - related communication is fair, clear, and not misleading , and that sustainability claims are accurate, substantiated, up to date, provide a fair representa tion of the institution’s overall profile or the profile of the product, and are presented in an understandable manner. That should be done at both the institution level (e.g. in relation to sustainability commitments including forward -looking targets ) and the product or activity level (e.g. in relation to products and activities marketed as sustainable) , includ ing by monitoring legal developments, market practices, and controversies around alleged greenwashing practices . 5.6.5 Concentration risk 77. With respect to concentration risk, institutions should consider and manage the risks posed by concentrations of exposures or collateral in single counterparties , interdependent coun- terparties or in certain industries, economic sectors, or geographic regions which may present a higher degree of vulnerability to ESG risks. To identify ESG -related concentration risks, insti- tutions should consider the size and/ or shares of their exposures that may be affected by ESG risks relative to total exposure s and as a proportion of Tier 1 capital . Institutions should take into account several ESG factors amongst which GHG emissions, sectoral characteristics , vul- nerability of geographical areas to physical risks, and socia l or governance deficiencies or con- troversies identified in jurisdictions where exposures or collateral are located , as well as the availability of risk mitigatin g factors . Institutions should assess if and how ESG-related con- centration risk aggravate s the prior financial vulnerability of exposures. 5.7 Monitoring 78. Institutions should monitor ESG risks through effective internal reporting frameworks that convey appropriate information and aggregated data to senior management and the man- agement body, such as by integrating ESG risks into regular risk reports or in the form of dash- boards containing metrics that support an effective oversight. 79. Institutions should monitor ESG risks on a continuous basis and ensure that they maintain an institution -wide view, adequately covering the nature, size and complexity of their activities , as well as, for the most significant portfolios determined on the basis of the materiality as- sessment , a portfolio view of their vulnerability to ESG risks. Furthermore, i nstitutions should implement granular and frequent monitoring of counterparties, exposures, and portfolios as- sessed as materially exposed to ESG risks, including through incorporating considerations o f ESG risks into the credit risk monitoring process of retail counterparties and into regular credit 16 EBA Final report on greenwashing monitoring and supervision (EBA/REP/202 4/09) FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 35 reviews for medium -sized and large counterparties and/or by increasing the frequency and granularity of these reviews due to ESG risks. 80. Institutions should set early warning indicators and thresholds and should have in place pro- cedures to escalate alert s, deviations and breaches and to take corrective and/or mitigation actions in case limits are exceeded, including through adaptations to business strategy and risk management tools . 81. Institutions should monitor a range of backward - and forward -looking ESG risk metrics and indicators . Large institutions should monitor at least the following indicators : a) Amount and share of exposure s to, and income (interest, fee and commission) stem- ming from , business relationships with counterparties operating in sectors that highly contribute to climate change in accordance with Recital 6 of Commission Delegated Regulation (EU) 2020/1818 , i.e. the sectors listed in Sections A to H and Section L of Annex I to Regulation (EC) No 1893/2006 . Institutions should use a sectoral differentiation that is as granular as possible . In par- ticular, the degree of granularity should allow institutions to monitor the amount and share of exposures to, and income stemming from , relationships with specific coun- terparties, such as fossil fuel sector entities and/or companies excluded from EU Paris -aligned benchmarks17. b) Portfolio alignment metrics showing at a sectoral level the extent to which exposures and production capacities operated by clients are, or are projected to be, (mis -)aligned with a pathway consistent with the applicable climate legal and regula- tory objective, such as reaching net -zero GHG emissions by 2050, based on alignment metrics relevant to the selected sectors and using methods described in Section 4.2 .3 b). Institutions should complement th ese indicator s with information related to the as- sessment of potential financial risk impacts resulting from misalignments . c) Financed GHG emissions with a breakdown by scope 1, 2 and 3 emissions in absolute value and , where relevant , intensity relative to units of production or revenues , split by sectors , using a sectoral differentiation that is as granular as possible and at least for selected sectors determined on the basis of the materiality assessment. Institutions should complement these metric s with qualitative or quanti tative infor- mation and criteria supporting the interpretation of their evolution over time , includ- ing e.g. a temporary increase due to the provision of transition finance to GHG -in- tense counterparties, and identifying the underlying drivers of the changes in emis- sions. 17 In accordance with Article 12 (1), points (d) to (g) , and Article 12 (2) of Climate Benchmark Standards Regulation . FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 36 Examples of methodologies or database s that may support institutions when compu- ting these metric s include the Global GHG Accounting and Reporting Standard for the Financial Industry, developed by the Partnership for Carbon Accounting Financials, and the Carbon Disclosure Project . d) The level of p rogress achieved in the implementation of key financing strategies de- termined by the institution to ensure its resilience to ESG risks and preparedness for the transition towards a more sustainable economy , e.g. by monitoring financial flows towards financial assets or counterparties that share a common set of characteristics relevant to the institution’s targets or risk appetite in relation to ESG risks . e) Client engagement metrics providing information about : i. the percentage of counterparties for which an assessment of ESG risks has been performed , also as regards their transition strategies and , where avail- able , transition plan s and their consistency with the institution’s objectives , specifying the scope of selected sectors , products and business lines covered by these assessment s; ii. the results and outcomes of such engagement such as the positive (or any sub-classification within that category) or negative (or any sub-classification within that category) assessments of these counterparties’ adaptability and resilience to the transition to a sustainable economy , the alignment progress against the institution’s targets and objectives, and follow -up actions taken by the institution . f) A breakdown of portfolios secured by real estate according to the level of energy ef- ficiency of the collateral . g) The ratio of financing of low-carbon energy supply technologies in relation to the fi- nancing of fossil -fuel energy supply technologies . h) The ratio of environmentally sustainable exposures financing activities that contrib- ute or enable the environmental objective of climate change mitigation referred to in Article 9 point (a) of Regulation (EU) 2020/85218 in relation to the GHG -intense expo- sures . i) Levels of physical risk the institution is exposed to , and their impact on financial risks , by considering several scenarios and all hazards relevant to the institution’s activity , supplemented with information on the progress achieved in the implementation of risk mitigation measures . 18 Regulation (EU) 2020/852 of the European Parliament and of the Council of 18 June 2020 on the establishment of a framework to facilitate sustainable investment, and amending Regulation (EU) 2019/2088 (OJ L 198, 22/06/2020, p. 13) . FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 37 j) Measure s of concentration risk related to physical risk drivers (e.g. measurement of exposures and/or collateral in high flood risk , water -stressed or wildfire risk areas) and transition risk drivers (e.g. exposures to sectors with elevated transition risks), by using a sufficiently granular geographical split of exposures . k) Amount of h istorical losses related to ESG risks and, based on scenario -types meth- ods, forward -looking estimate(s) of exposures -at-risk and potential future financial losses related to ESG risks . l) A measure of ESG-related reputational risk tracking how regulation, communication , commitments or public controversies regarding current and future business -related activities impact directly or indirectly the institution , by considering interactions with operational risk and strategic and business model risks , such as loss of business opportunities or strategic partnerships . m) Any ESG -related litigation claims in which the institution has been, is or may become involved in, based on available information . n) The status of ESG risk -related capacity building , such as the percentage of staff who have received specific training . o) Metrics related to non -climate related factors such as portfolio -level dependencies and impacts on ecosystem services , or exposures to counterparties with material de- pendencies or negative impacts on biodiversity , taking into account both sectoral and geographical location information . p) Progress against a ll of the institution’s targets set in relation to ESG risks and ESG objectives , including as part of the institution’s plan as referred to in Section 6 or as part of other sustainability commitments made by the institution . 82. SNCI s and other non -large institutions should monitor a range of indic ators included under paragraph 8 1, selected on the basis of the results of the ir materiality assessment , and s hould take steps to expand the list of monitored indicators over time . 83. Institutions should have c lear and well-documented methodologies pertaining to their moni- toring metrics and indicators . When data needed to compute metrics is initially missing, insti- tutions should follow the steps set out in paragraph s 26, 27 and 29. FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 38 6. Plans in accordance with Article 76(2) of Directive 2013/ 36/EU 6.1 Overarching principle s 84. Plans developed in accordance with Article 76(2) of Directive 2013/36 /EU are a product of the transition planning process outlined in Section 6.3 and should be based on a forward -looking business environment analysis and a comprehensive strategic planning process within insti- tutions . They should provide an overview of the strategic actions and risk management tools deployed by institutions to demonstrate how they ensure their robustness towards ESG risks and preparedness for the transition towards a climate and environmentally resilient and more sustainable economy . 85. Institutions should ensure that their plans address forward -looking ESG risk management aspects while being consisten t with other applicable requirements including those relating to due diligence, sustainability reporting , and strategic actions to ensure the compatibility of business models with the transition to a sustainable economy . In particular, plans should include objectives, actions and targets with regard to the business model and strategy of the institution that are consistent with the plans disclosed pursuant to Article 19a or Article 29a of the Directive 2013/34/EU, where applicable , and with ESG -related objectives or commitments that institutions are required to meet by law or regulation , as well as those they have voluntarily set . Where institutions disclose plans in accordance with Article 19a paragraph 2 (a) (iii) or Article 29a paragraph 2 (a) (iii) of the Directive 2013/34/EU, they should consider reusing the already available relevant information as a first step. 86. Institutions should ensure that their plans and targets are well integrated into their business strategies and that they are aligned and consistent with their risk and funding strategies, risk appetite, ICAAP and risk management framework as set out in Section 5. The extensiveness of the governance arrangements, transition planning process, and the degree of sophistication of objectives, targets and metrics of the plans should reflect the nature, size and complexity of institutions’ activity and their mater iality assessment of ESG risks . 87. In view of the institutions’ obligation to ensure that arrangements, processes and mecha- nisms related to their plans are consistent and well -integrated, including in their subsidiaries established outside of the U nion , and the obligation of those subsidiaries to be able to pro- duce data and information relevant to the purpose of supervising consolidated plans in ac- cordance with Article 109(2) of Directive 2013/36/EU, parent institutions should take into ac- count ESG risks t o which subsidiaries established outside of the U nion are materially exposed when elaborating and implementing the consolidated plan, by having regard to applicable local legislation and ESG regulatory objectives, and should be able to demonstrate a wel l- informed consolidated approach. FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 39 6.2 Governance 6.2.1 Roles and responsibilities 88. Institutions should clearly identify and allocate responsibilities for the development, validation, implementation and monitoring of the plans. When assigning roles and responsibilities at the appropriate level of seniority, institutions should take into account the interrelation and influence that the transition planning process should have on other processes such as the broader business strategy and risk appetite. 89. The management body should be responsible for the approval of the plans and should oversee their implementation, including being regularly informed of relevant developments and progress achieved in relation to the institution’s targets and taking decisions on remedial actions in case of significant deviations. 90. For the purposes of integrating ESG risks across the three lines of defen ce in line with Section 5.4: a) the first line of defen ce should be responsible for establishing a dialogue with counterparties about their own transition strategies and assess ing consistency with the institution’s objectives and risk appetite , based on clear engagement policies as set out in paragraph 109 e(i). To this end, institutions should ensure that relevant staff possess sufficient expertise and capabilities to assess the extent to which the transition strategies of counterparties , including their transition plans where available, will enhance their resilience to ESG risks and align with the institution’s targets ; b) the risk management function should ensure that the risk limits set in the risk appetite statement as part of the risk management framework are consistent with all aspects of the institution’s plan, including sectoral policies ; c) the IAF should review the institution’s plan as part of the risk management framework and assess whether it complies with legal and regulatory requirements and whether it is consistent with the risk strategy and risk appetite of the institution as regards ESG risks . To th is end, the IAF should consider whether the plan allows the institution to detect and address changes in its risk profile, how the institution addresses deviations from its targets, and whether the underlying assumptions, methodologies and criteria have been selected and used with integrity . 6.2.2 Internal processes and capacity 91. Institutions should ensure meaningful and regular interaction and exchanges at all levels of the organi sation to ensure that insights and feedback from internal stakeholders can be taken into account in the process of formulating, implementing and reviewing the plans. To this end, FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 40 institutions should at least involve units, departments and functions responsible for strategic planning, risk management, sustainability disclosures, legal services and compliance in the elaboration of the plans, and should assess which additional units, departments and functions should be involved. 92. In line with Section 5.4, i nstitutions should ensure they possess sufficient capacity, expertise and resources to develop and implement their transition planning process as well as to regularly assess the robustness of their plans and monitor their implementation . Institutions should map existing gaps in skills and expertise and take remedial actions where necessary . 6.2.3 Data management 93. Institutions should have in place sound governance processes to collect, v alidate and aggregate the data that are needed to inform their transition planning effort s and monitor their implementation , including by using available public information and counterparties’ transition plan s as set out in Section 4.2.2. 6.3 Transition planning 6.3.1 Scenarios and pathways 94. Institutions should understand their sensitivity to ESG risks , in particular environmental transition and physical risks , under different scenarios , including those implying higher levels of physical risk or a disorderly transition . Institutions should understand how different scenarios may affect their transition planning efforts. 95. For the purposes of monitor ing and address ing the specific environmental risks that may stem from the process of adjustment towards the climate -related and environmental regulatory objectives of the jurisdictions in which they operate , institutions should carefully select scenarios by taking all the following steps: a) assess the potential implications of EU, Member States and, where relevant, third countries ’ objectives for transition pathways, at least for selected sectors determined on the basis of the materiality assessment . In this process, institutions should take into account the likely pathways originated from the European Green Deal, the EU Climate Law, and the latest reports and measures prescribed by the European Scientific Advisory Board on Climate Change; b) consider science -based and up -to-date scenarios originating from national, EU or international organisations as referred to in paragraph 38; c) take into account voluntary or regulatory -mandated objective s or commitment s of the institution with respect to climate change mitigation and adaptation. FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 41 96. The geographical reference and granularity , such as in terms of regional breakdowns , of the scenarios and pathways used by institutions should be relevant to their business model and exposures. 97. The range and complexity of the scenarios used by institutions should be proportiona te to their size and complexity . SNCI s and other non -large institutions may rely on a simplified set of main parameters and assumptions , included risks, time horizons considered, and regional breakdown of impacts . Large institutions should benchmark their plans (including final and intermediary targets) against a scenario compatible with the limiting of global warming to 1.5°C in line with the Paris Agreement and with the objective of achiev ing climate neutrality by 2050 as established by the E U Climate Law . 98. Institutions should ensure that scenarios and pathways used as part of their plans are consistent across the organi sation and time horizons considered , such as when building business strategies and setting targets for the short, medium and long term . Institutions should document the process for scenario selection , and the reasons for any change or different usage. Decisions to use different scenarios for different purposes as well as decisions to modify scenarios should be clearly justified. 6.3.2 Time horizons and milestones 99. Institutions should establish a set of different time horizons as part of their plans which should include the short term, medium term and a long -term planning horizon of at least 10 years. The arrangements developed to monitor and address ESG risks across time horizons should take into account the principles outlined in paragraph 19. 100. Institutions should set milestone s at regular time intervals to monitor and address ESG risks that stem from the short -, medium - and long -term regulatory objectives of the jurisdictions in which they operate. This includes the objectives of the EU to reduce GHG emissions by 55% by 2030 compared to 1990 level and achieve net -zero emissions by 2050 , other intermediate climate targets set by EU or, where applicable , national legislation , as well as objectives related to other environmental factors such as nature rest oration19 or deforestation20. 101. Institutions should ensure that short -, medium - and long -term objectives and targets interact and are well -articulated. This includes ensuring that long -term objectives, such as commitments to achieve net -zero GHG emissions, translate into medium -term strategies (e.g. medium -term sectoral policies or g rowth targets for business lines) and that short -term financial metrics or targets (e.g. profitability indicators, cost of risk, KPIs, KRIs, risk limits, pricing frameworks) are coherent and consistent with th e medium -term and long -term objectives. 19 Regulation (EU) 2024/1991 of the European Parliament and of the Council of 24 June 2024 on nature restoration and amending Regulation (EU) 2022/869 (OJ L, 2024/1991, 29.7.2024). 20 Regulation (EU) 2023/1115 of the European Parliament and of the Council of 31 May 2023 on the making available on the Union market and the export from the Union of certain commodities and products associated with deforestation and forest degradation and repealing Regulation (EU) No 995/2010 (OJ L 150, 09/06/2023, p. 20). FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 42 6.3.3 Materiality assessment basis 102. The transition planning process of institutions should aim at manag ing material ESG risks , in particular environmental transition and physical risks identified on the basis of a robust , regularly updated materiality assessment of ESG risks conducted in accordance with Section 4.1. Institutions should set out dedicated actions to monitor and address material ESG risks stemming from exposures , portfolios, and the economic activities and production capacities being financed, which may be particularly vulnerable to the process of adjustment of the economy towards the applicable legal and regulatory objectives related to ESG factors. 6.3.4 Metrics 103. Institutions should use a range of metrics including forward -looking metrics to support target -setting and drive and monitor the implementation of their plans . 104. For the purposes of setting targets, i nstitutions should use a set of metrics and indicators considering the ones included in paragraph 81. Institutions should determine , taking into account their business strategies and risk appetite , which other risk-based and forward - looking metrics and targets they will include in their plans with a view to monitoring and addressing ESG risks. This includes assessing , com puting , and using metrics to evaluate the financial implications of transition planning for institutions’ business and risk profile over the short, medium, and long term , including by measuring the impact of transition planning on financial performance, revenue sources , profitability , and risk level of portfolios . 105. When data needed to compute metric s and support the setting of targets is missing, institutions should follow the steps outlined in paragraphs 26, 27 and 29. 106. SNCI s and other non -large institutions may rely on a smaller range of indicators for the use of metrics and setting of targets and formula te to a higher extent qualitative objectives . 107. Whilst institutions should at least use a combination of metrics related to climate -related risks, they should take steps to progressively include metrics that support risk assessment and strategic steering related to institutions ’ exposure to, and management of , environmental risks other than climate -related, e.g. risks stemming from the degradation of ecosystems and biodiversity loss and their potential reflective influence with cli mate -related risks , as well as social and governance risks . 6.4 Key contents of the plans 108. Institutions should document their plans including their methodologies, assumptions, cri- teria , targets and actions planned to reach targets, along with performed and scheduled revi- sions. Institutions should specify the scope of risks captured by each part of the plan , e.g. whether it applies to environmental, social or governance risks , and should ensure that all aspects of the plan address at least environmental risks. FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 43 109. Large i nstitutions should ensure that their plans include at least the following aspects : a. Strategic o bjectives and roadmap of the plans : i. high-level overarching strategic objective to address ESG risks in the short, medium and long term , in line with overall business strateg y and risk appetite ; ii. comprehensive set of long -term goals with intermediate milestones to ensure resilience of the business model towards ESG risks, including consistency of business structure and revenues with such milestones ; iii. key assumptions , inputs and background information relevant to the understanding of institutions’ objectives and targets , including selection of central or reference scenario(s) and institutions’ conclusions stemming from the outcomes of materiality assessments of ESG risks, portfolio alignment assessments and other scenario analyses ; b. Targets and metrics : i. quantitative targets set to address ESG risks , including those stemming from the process of adjustment towards the legal and regulatory sustainability objectives of the jurisdictions where the institution operate s and broader transition trends towards a sustainable economy , and metrics used to monitor ESG risks and the progress in achieving the targets ; ii. portfolios, sectors, asset classes, business lines and, where applicable , economic activities (i.e. individual technologies) covered by targets and monitoring metrics , ensuring that the scope of targets and metrics sufficiently reflects the nature, size and complexity of institution’s activity and its materiality assessment of ESG risks ; iii. time horizons over which targets and metrics apply ; c. Governance : i. governance structure for the plans including roles and responsibilities for the formu lation, validation, implementation, monitoring and updating of the plan , including escalation steps in case of deviation from targets ; ii. capacity and resource -related actions to ensure appropriate kno wledge , skills and expertise for effective implementation of the plan , including ESG risk-related training s and internal culture ; FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 44 iii. remuneration policies and practices to promote sound management of ESG risks in line with the institution’s objectives and risk appetite ; iv. data and systems used for the transition planning process ; d. Implementation strategy : i. overview of short -, medium -, and long -term actions taken or planned in core banking activities and processes to achieve the plan’s targets , including how the institution embeds the plan’s objectives into its decision - making process and its regular risk management framework , complemented by information on the observed effectiveness or estimated contribution of each action to the relevant target (s); ii. adaptations to p olicies and procedures on financial risk categories and to lending and investment policies and conditions on key economic activities, sectors and locations ; iii. changes introduced to the mix and pricing of services and products to support the implementation of the plan ; iv. investments and strategic portfolio allocation supporting the institution’s business strategy and risk appetite in relation to ESG risks, including information on sustainability -related and transition -related products and service s, and how any changes in strategic financing choices are accompanied by commensurate risk management procedures ; e. Engagement strategy : i. policies for engaging with counterparties, including information on the frequency, scope and objectives of engagement, types of potential actions and escalation processes or criteria ; ii. processes, methodologies and metrics used for collecting and assessing information related to counterparties’ exposure to ESG risks and alignment towards the institution’s objectives and risk appetite ; iii. outcomes of engagement practices , including an overview of counterparties’ adaptability and resilience to the transition towards a more sustainable economy . 110. SNCIs and other non -large institutions should include in their plans at least the aspects covered in points a(i)-(ii), b(i)-(ii), c(i), d(i) -(ii) and e(i)-(ii) of paragraph 1 09. 111. Institutions should consider using the Annex as a supporting tool to develop and formalis e their plans. FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 45 6.5 Monitoring , review , and update of the plans 112. Institutions should monitor the implementation of their plans using monitoring processes and metrics in line with Section 5. 7 and Section 6.3.4. Institutions should perform regular projections to assess their ability to achieve their targets. 113. The monitoring framework should allow the management body to simultaneously track how ESG risk monitoring metrics evolve and the progress achieved towards the plan ’s milestones, with a clear and detailed rationale behind missed targets or objectives , and evaluations of the potential impact on different types of financial risks for different time horizons. 114. Institutions should regularly, and at least every time they update their business strategy in accordance with Article 76(1) of Directive 2013/36/EU, review and, where needed , update their plans , taking into account updated information such as new materiality assessments of ESG risks, developments in their portfolios and counterparties’ activities , new available scenarios, benchmarks or sectoral pathways , and impacts of current or upcoming regulation . Annex This Annex provides a supporting tool for institutions for the development of plans required under Article 76(2) of Directive 2013/36/EU as further specified by Section 6 of these guidelines. It does not introduce additional requirements but provides for each key content required by the guidelines some examples, references and potential metrics that institutions may consider as they structure and formalise the ir plans. Institutions may adapt the format of this common approach provided they ensure that all required key contents are included in their plans. In line with the need for consistency with other applicable requirements as per section 6.1 and in particular paragraph 85, institutions should ensure consistency of information used to comply with the guidelines with information disclosed in accordance with Directive 2013/34/EU and Commission Delegated Regulation (EU) 2023/2772 . .6.4 Key contents of plans Key words or elements of the required key content Examples of qualitative and quantitative out- puts and their potential supporting metrics References to other EU frameworks Clarifications and reference to the Guidelines Potential Output (Qualitative) Potential Output (Quantitative) Pillar 3 CSRD / ESRS How to read this tool? Direct extract from section 6.4, paragraph 109 of the Guidelines Key words or sub-ele- ment Clarifying guidance with reference to the relevant section(s) or paragraph(s) of the Guidelines Qualitative description of potential output re- lated to this Guid e- lines' requirement : - With examples or ‘do not forgets ’, - For example, narra- tives characteristics . All examples are for il- lustration only . Quantitative description of potential output re- lated to this Guidelines' requirement : - With examples or ‘warnings ’ in using met- rics and targets , - For example, recalling the different angles a KPI could cover . All examples of KPIs / KRIs are for illustration only . Links towards Pillar 3 and ESRS requirements that institutions, where applicable, should con- sider to ensure consistency and interconnections and rely to the extent possible on materially identical or significantly compa- rable relevant information . References to Pillar 3 and ESRS may need to be updated to re- flect future regulatory develop- ments. Key words or sub-ele- ment Clarifying guidance with reference to the relevant section(s) or paragraph(s) of the Guidelines FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 47 6.4 Key contents of plans Key words or elements of the required key content Examples of qualitative and quantitative out- puts and their potential supporting metrics References to other EU frameworks Clarifications and reference to the Guide- lines Potential Output (Qual- itative) Potential Output (Quantitative) Pillar 3 CSRD / ESRS a. Strategic objectives and roadmap of the plan i. High -level overarching stra- tegic objective to address ESG risks in the short, medium and long term, in line with overall business strategy and risk appe- tite. Overarching objective: This pertains to the overarch- ing strategic objective institu- tions seek to accomplish con- cerning ESG risks, in line with the inco rporation of ESG risks in business and risk strategies and risk appetite in accord- ance with section 5.2 and sec- tion 5.3. # Qualitative description of strategies to ensure the compatibility of business models with the transition to a climate -neutral and sustainable economy, par- ticularly when subject to CSDDD and/or CSRD re- quirements, and how these strategies affect the direc tion and priorities for ESG risk management ini- tiatives # High -level approaches to manage ESG risks iden- tified as most material given the institution's scope of activities and ma- teriality assessment # Overarching objec- tives could be linked to selected KPI or KRI tar- gets # Cross -reference to other parts of the plan may be considered e.g. towards part a(ii) or part b Qualit ative: Table 1 (a) (b) Table 2 (a) (b) Table 3 (c) (d) ESRS -E1-1 ESRS 2 - BP1 ESRS -E1-MDR -P ESRS -E1-2 Short, me- dium and long term: This pertains to how the stra- tegic objective applies across the different time horizons considered in accordance with section 6.3.2. ii. Comprehensive set of long - term goals with intermediate milestones to ensure resilience of the business model towards ESG risks, including consistency of business structure and reve- nues with such milestones. Long term goals: Long term goals that support the realisation of the over- arching objective over a time horizon of at least 10 years in accordance with the CRD and paragraph 99 of the Guide- lines. # Long -term goals to ad- dress risks stemming from the EU objective to achieve net -zero GHG emissions by 2050, with intermediate milestone in 2030 considering the EU # Financial exposure to different economic sectors # Portfolio alignment metrics # Profitability metrics: Qualitative: Table 1 (b) (j) Table 2 (b) (k) (l) Table 3 (c) (d) ESRS -E1-1 GHG reduction targets: ESRS - E1-4 FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 48 Intermediate milestones: Intermediate milestones measuring progress towards long -term goals, in accordance with paragraph 100 of the Guidelines. objective to reduce emis- sions by 55% compared to the 1990 level # Long -term goals and in- termediate milestones to address risks stemming from EU objectives re- lated to deforestation or nature restoration # How the institution en- sures that its business structure and revenue streams are aligned with its long -term goals and in- termediate milestones return and risk ad- justed return indica- tors across relevant breakdowns (e.g. sec- tors, portfolios, prod- ucts... ) # Business strategy metrics: forward look- ing KPIs describing the institution's strategy in terms o f pricing, capi- tal, liquidity, balance sheet allocation # Percentage of ESG milestones achieved on time Quantita- tive: Template 1 Template 3 Consistency of business structure and revenues with milestones: How the institution will ensure its ability to generate ade- quate profitability along the path. iii. Key assumptions, inputs and background information rel- evant to the understanding of in- stitutions’ objectives and tar- gets, including selection of cen- tral or reference scenario(s) and institutions’ conclusions stem- ming from the outcomes of ma- teriality assessments of ESG risks, portfolio alignment assess- ments and other scenario anal- yses. Key assump- tions and se- lection of ref- erence sce- nario(s): This pertains to the documen- tation of key methodological criteria and assumptions in ac- cordance with paragraph 108, including reference scenario(s) selected by the institution in line with section 6.3.1 . # Identification of and jus- tification for scenario(s) selected e.g. from na- tional environmental agencies, Joint Research Center of the EU Commis- sion, IEA, NGFS, IPCC # Qualitative description of material environmental transition and physical risks faced by the institu- tion # Degree of alignment or misalignment com- pared to climate -re- lated pathways and/or benchmark scenarios for selected sectors and/or counterparties # Quantitative measures of environ- mental risk impacts on financial risk categories # Quantitative out- comes of the material- ity assessment of ESG risks Qualitative: Table 1 (j) (k) (l) Table 2 (h) (i) (j) Table 3 (d) Quantita- tive: Template 3 ESRS -E1-SBM3 ESRS -E1-IRO ESRS -E1-9 Outcomes of materiality as- sessment, portfolio alignment as- sessments and scenario anal- yses: Key findings and conclusions from materiality assessment, portfolio alignment methods and scenario analyses, con- ducted in accordance with sec- tion 4. FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 49 b. Targets and metrics i. Quantitative targets set to address ESG risks, including those stemming from the pro- cess of adjustment towards the legal and regulatory sustainabil- ity objectives of the jurisdictions where the institution operates and broader transition trends to- wards a sustainable economy, and metrics used to monitor ESG risks and the progress in achiev- ing the targets. Targets to ad- dress ESG risks and monitor- ing metrics: This pertains to the metrics and targets used by institu- tions in accordance with sec- tion 5.7 and section 6.3.4. N/A # Exposures towards high -risk sectors or counterparties # Portfolio alignment metrics and targets # Financed emissions across relevant break- downs # Progress achieved in key financing strate- gies # Real estate portfolios with certain level of en- ergy efficien cy # Energy supply bank- ing ratio # Level of physical risk the institution is ex- posed to # Information on the riskiness of the portfo- lio across relevant breakdowns (e.g. non - perfo rming exposures) Qualitative: Table 1 (b) (c) Table 2 (b) Quantita- tive: All tem- plates ESRS -E1-1 GHG reduction targets: ESRS - E1-4 Risks stem- ming from the process of ad- justment to- wards regula- tory sustaina- bility objec- tives: This pertains to the specific metrics and targets to monitor and address ESG risks arising from the transition and pro- cess of adjustment to the rele- vant regulatory objectives, such as those included in the EU climate law in accordance with Article 76(2) CRD FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 50 ii. Portfolios, sectors, asset classes, business lines and where applicable economic activities (i.e. individual technologies) cov- ered by targets and monitoring metrics, ensuring that the scope of targets and metrics suffi- ciently reflects the nature, size and complexity of institution’s activity and its ESG risks materi- ality assessment. Scope of cov- erage: This pertains to information related to the scope of targets and metrics and its signifi- cance from both a risk and fi- nancial perspective. # For each target, what are the activities, asset classes, sectors and busi- ness lines covered # Institution -level targets broken down into more specific sectoral targets # Targets applied to spe- cific portfolios, exposures, groups of assets or invest- ments that share similar characteristics or risks # Specific, actionable tar- gets for particular pro- jects, technologies, or business activities # On - and off -balance sheet activities captured # Exclusion in coverage and planned coverage # Percentage of identi- fied ESG risks that are actively monitored and managed # Percentage of busi- ness units with ESG risk-related targets in- tegrated into their op- erational plans # Percentage of opera- tions in different re- gions that have ESG risk-related tar gets and initiatives in place # Percentage of sectors that have developed specific action plans aligned with group - level ESG risks targets. # Achievement of sec- toral targets Qualitative: Table 1 (b) (c) (j) Table 2 (h) (i) Quantita- tive: All tem- plates ESRS -E1-1 ESRS 2 - MDR -T Current reve- nues by sectors: ESRS 2 - SBM -1 GHG reduction targets: ESRS - E1-4 iii. Time horizons over which targets and metrics apply . Time horizons: This pertains to the short, me- dium or long -term time hori- zons with which metrics and targets are associated in line with section 6.3.2. # Qualitative description of the set of targets and metrics applied for the short, medium and long term # Justification of short - term increases in metrics and targets, if applicable # Evolution e.g. in- crease/decrease in the level of target(s) to be achieved across differ- ent time horizons ESRS -E1.IRO - 1_10_ AR 12a ESRS -E4-1_04 13d FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 51 c. Governance i. Governance structure for the plans including roles and re- sponsibilities for the formula- tion, validation, implementation, monitoring and updating of the plan, including escalation steps in case of deviation from targets. Governance structure: The governance structure for the plan in accordance with section 6.2.1, section 6.2.2. and section 6.5 . # Roles and responsibili- ties of the management body, any sub -committee and three lines of defenc e # Escalation protocol that defines the process for ad- dressing deviations, in- cluding who should be no- tified and the steps to be taken. # Frequency of board meetings dedicated to the plan # Delays in approval of the plan # Number of internal audits conducted on the plan # Percentage of audit recommendations im- plemented # Number of escala- tions processed and/or unresolved escalations Qualitative: Table 1 (e) (g) (h) (q) Table 2 (d) (f) Table 3 (a) ESRS 2 GOV -1 _AR 4 Deviation and escalation procedure: Governance arrangements for decision -taking on remedial actions in case of significant deviations in line with para- graphs 80 and 89 . ii. Capacity and resources -re- lated actions to ensure appropri- ate knowledge, skills and exper- tise for effective implementation of the plan, including ESG risk - related trainings and internal culture. Capacity and resources: The capacity and resources re- lated actions for the effective execution of the plan, based on an initial assessment by the institution of the potential gaps and needs as regards in- ternal culture and capabilities for ESG risks in line with sec- tion 5.4 . # Training and develop- ment programs for ESG risks # Hiring and recruitment plans # Knowledge sharing and collaboration platforms # Leadership commitment # ESG risks -related training completion rate # Identified gaps in ESG risk-related skills and knowledge # Frequency and qual- ity of internal commu- nications regarding ESG risk -related objec- tives and progress Qualitative : Table 1 (f) (m) ESRS 2 -GOV -1 - para 23 ESRS G1 GOV -1 - para 5b iii. Remuneration policies and practices to promote sound management of ESG risks in line with the institution’s objectives and risk appetite. Remuneration policies and practices: This pertains to how the insti- tution takes into account its risk appetite in relation to ESG risks as part of its remunera- tion policies and practices in line with Article 74(1)e of CRD . # Qualitative description of how remuneration pol- icies and practices have been, are or will be ad- justed to align with the overarching strategic ob- jective to address ESG # Metrics used to em- bed the risk appetite related to ESG risks in remuneration policies # Proportion of staff with ESG risk -related metrics included in re- muneration Qualitative : Table 1 (i) Table 2 (g) Table 3 (a) ESRS 2 -GOV -2 - para 29 ESRS -E1-GOV -3 FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 52 risks and with the risk ap- petite # Weighting of ESG -risk related metrics in the overall remuneration iii. Data and systems used for the transition planning process Data and sys- tems: This pertains to the data and systems used for the formula- tion, implementation and monitoring of plans in accord- ance with section 4.2.2 and paragraph 93 . # Data inventory with an identification of all rele- vant ESG risk data points and assessment of their availability and quality # Policies and procedures to ensure data quality # Percentage of rele- vant data points col- lected and available # Percentage of sys- tems and processes that integrate ESG data Qualitative: Table 1 (p) ESRS 1 Appen- dix B ESRS 2 AR 2 ESRS 2 SBM - 1_42a ESRS -E2-4_30c ESRS -S1-6_50d ESRS -S1-7_55b d. Implementation strategy i. Overview of short -, me- dium -, and long -term actions taken or planned in core banking activities and processes to achieve the plan’s targets, in- cluding how the institution em- beds the plan’s objectives into its decision -making process and its regular risk management framework, complemented by information on the observed ef- fectiveness or estimated contri- bution of each action to the rele- vant target(s). Actions taken or planned in core banking activities: This pertains to how the insti- tution will implement its ob- jectives and targets through its core activity . # Implementation of new tools for assessing ESG risks in current portfolios # Integration of ESG risk - related objectives into the medium and long -term strategic planning and de- cision -making processes # Incorporating ESG risks into the risk management framework # Percentage of activi- ties affected by imple- mentation actions # Percentage of busi- ness decisions that aim at implementing the plan's targets # Adoption rate of ESG risk management tools Qualitative: Table 1 (n) Table 2 (a) Table 3 (c) Key action s: ERSR -E1-1_16b ESRS -E1 MDR -A ESRS 2 MDR -A ESRS -E1-2 ESRS -E1-3 ------------------- ESRS -E2-E5 ESRS -S1-S4 ESRS -G1 MDR -A ESRS -E3 MDR -A ESRS -E4 MDR -A ESRS -E5 MDR -A Changes to the regular risk manage- ment frame- work: This pertains to how the insti- tution will embed its targets into the mix of existing risk management tools (e.g. ICAAP, ILAAP, RAS, risk limits, capital/portfolio allocation, budgeting process, strategic plan, funding plan, etc), in line with section 5 . FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 53 ii. Adaptations to policies and procedures on financial risk cate- gories and to lending and invest- ment policies and conditions on key economic activities, sectors and locations. Policies and conditions on activities, sec- tors, loca- tions: Policies and the conditions that govern them, including updates to existing policies and newly created policies, in line with paragraph 46(b -c). # A list of current policies and original ESG risk sta- tus # A roadmap detailing which policies & condi- tions , and their scope , will be updated or created, how, when and by whom # For each policy, the fol- lowing aspects may be in- cluded: . Goal: how it reflects the strategic objective, risk strategy and supports the implementation of the plan . Scope: precise iteration of business, location, sec- tor etc that are governed and impacted . Conditions: clear criteria ensuring ease of applica- bility and trackin g . Exclusions: any exclu- sions in line with risk ap- petite # Policy adoption rate, e.g. percentage of branches or depart- ments that have adopted new ESG risks policies # Number of times ESG risk policies are re- viewed and updated within a given period # Percentage of opera- tions in compliance with updated ESG risk policies # Outcomes of internal and external audits fo- cused on ESG risk man- agement framework Qualitative: Table 1 (d) (o) Table 2 (c) (e) Table 3 (c) (d) ESRS -E1-1_16b ESRS -E1-2 ESRS -E1-3 Activities re- lated to sites in/near biodi- versity -sensitive areas: ESRS E4.IRO - 1_19a Policies and procedures on financial risk categories: This pertains to the adapta- tions made to policies and pro- cedures in accordance with section 5.6 . FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 54 iii. Changes introduced to the mix and pricing of services and products to support the imple- mentation of the plan. Mix and pric- ing of services and products: This pertains to how the insti- tution will adapt its mix of ser- vices and products and their pricing based on ESG risk -rele- vant criteria and the institu- tion’s risk strategy and inter- nal capital policy, in line with paragraph 46b . # Risk -based pricing: ad- justing pricing based on the ESG risk profile of the borrower or project # Incentives for risk miti- gation: offering incentives for clients who implement effective ESG risk mitiga- tion strategies # Frequency and extent of pricing adjustments based on ESG risk pro- files # Number of clients taking advantage of in- centive pricing Qualitative: Table 1 (r) Table 2 (j) Table 3 (d) Activities in- compatible with transition: ESRS -E1.IRO -1 AR12 iv. Investments and strategic portfolio allocation supporting the institution’s business strat- egy and risk appetite in relation to ESG risks, including infor- mation on sustainability -related and transition -related products and services, and how any changes in strategic financing choices are accompanied by commensurate risk management procedures. Sustainability - related and transition -re- lated products and services: The types of financial instru- ments (green and sustainabil- ity-linked loans, bonds, mort- gages, funds…) and advisory services offered or managed by the institution . # Strategy, policies and criteria on green or transi- tion or ESG -linked mort- gages, loans and bonds # Growth in sustaina- ble financing: year -to- year growth in the vol- ume and proportion of sustainable financing # Default rate on green or transition or ESG - linked mortgages or loans Qualitative: Table 1 (m) (r) Table 2 (e) Quantita- tive: Template s 06>10 ESRS -E1-3 ESRS -E4-1 AR 1 e Outcomes for affected com- munities: ESRS -S3-4 AR 34 b Consistency of strategic fi- nancing choices with risk manage- ment proce- dures: This pertains to how the insti- tution will ensure, when it de- cides to adapt its business mix and strategy, that those changes fit the risk manage- ment arrangements to have in place in accordance with sec- tion 5 . # Diversification of lend- ing and investments port- folios based on ESG risk - relevant criteria e.g. in terms of economic sectors or geographical areas # Credit risk policies on green loans and mort- gages # How a n institution that finances renewable en- ergy project s ensures that the project s compl y with environmental regula- tions to avoid legal and reputational risks # Proportion of new fi- nanced projects that undergo a comprehen- sive ESG risk assess- ment # Percentage of credit decisions that explicitly consider ESG risks # Profit margins on ESG-related products: comparison of profit margins between ESG - related products and traditional products FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 55 e. Engagement strategy i. Policies for engaging with counterparties, including information on the frequency, scope and objectives of engage- ment, types of potential actions and escalation processes or cri- teria. Engagement policies: Clear policies that the institu- tion will follow to engage identified counterparties to achieve its strategic and risk management objectives, tak- ing into account outcomes of the materiality assessment and risk measurement meth- ods, in line with paragraph 46a. # Purpose and overall ob- jective e.g. understanding of risk profile and/or checking consistency with risk appetite and targets # Available solutions to counterparty # Escalation and valida- tion process # The percentage of counterparties with which dialogue has been pursued or is planned to be pursued # The percentage of counterparties for which an assessment of ESG risks has been performed # Proportion of sectors, products and business lines captured Qualitative : Table 1 (d) (o) Table 2 (c) Table 3 (b) (c) ESRS 2 -SBM 2 ii. Processes, methodolo- gies and metrics used for collect- ing and assessing information re- lated to counterparties’ expo- sure to ESG risks and alignment towards the institution’s objec- tives and risk appetite. Process, methods and metrics for as- sessing ESG risks: This relates to the institution's application of exposure -based, sector -based, portfolio -based and portfolio alignment meth- ods in line with section 4.2.3 . # Due diligence screening to identify high -risk coun- terparties based on pre- defined criteria # ESG risks reflected in in- ternal or external scores and/or ratings # Methods for measuring alignment of select coun- terparties against climate pathways # The percentage of counterparties under- going ESG risk due dili- gence # Changes in the credit ratings of counterpar- ties given impact of ESG risks # Concentration of ex- posures within specific sectors subject to ele- vated transition or physical risks # Involvement in ESG - related controversies or incidents Qualitative : Table 1 (k) (l) Table 2 (i) (k) ESRS -E1.IRO -1 ESRS -E4-1.AR - 1a FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 56 iii. Outcomes of engage- ment practices, including an overview of counterparties’ adaptability and resilience to the transition towards a more sus- tainable economy. Outcomes: This relates to the outcomes of engagement, allowing for a meaningful interpretation of the risk profile of the counter- parties and actions taken by the institution, in line with paragraph 81e(ii) . # Criteria used to identify counterparties with signif- icant ESG risks that may require immediate atten- tion # Adjustment of credit terms, such as interest rates or collateral require- ments, based on ESG risk assessments # Enhanced due diligence, e.g. implementing more rigorous due diligence processes for high -risk counterparties # (More) targeted engage- ment, e .g. developing spe- cific engagement plans to address identified ESG risks, such as setting im- provement targets or of- fering new financial prod- ucts that ca ter to the needs of counterparties # Positive (or any sub - classification within that category) or nega- tive (or any sub -classifi- cation within that cate- gory) assessments of these counterparties’ resilience and align- ment against the insti- tution’s targets and risk appetite # Number and types of follow -up actions taken by the institution Qualitative Table 1 (o) Table 2 (m) Table 3 (c) (d) ESRS -E1 ESRS 2 -SBM - 2_45a AR 16 7. Accompanying documents 7.1 Cost-benefit analysis / impact assessment 1. On 31 May 2024 , the European Commission published the directive amending the Capital Re- quirements Directive (from now on CRD VI) . Article 87a of the CRD VI mandates the EBA to issue guidelines to specify minimum standards and reference methodologies for ESG risk manage- ment practices. These guidelines provide the EBA answer to such mandate. 2. As per Article 16(2) of the ESAs regulation (Regulation (EU) No 1093/2010, (EU) No 1094/2010 and (EU) No 1095/2010 of the European Parliament and of the Council), any guidelines devel- oped by the ESAs shall be accompanied by an Impact Assessment (IA) annex which analyses ‘the potential related costs and benefits’ of the guidelines. Such annex shall provide the reader with an overview of the findings as regards the problem identification, the options identified to re- move the problem and their potential impact s. 3. The EBA prepared the IA included in this section analysing the policy options considered when developing the guidelines . Given the nature of the study, the IA is qualitative in nature. A - Problem identification 4. Environmental, social and governance (ESG) factors are causing and are expected to increasingly lead to significant changes in the real economy that will in turn impact the financial sector through new risks and opportunities. 5. Since the adoption of the Paris Agreement on climate change and the UN 2030 agenda for Sus- tainable Development in 2015, governments around the world are taking action to encourage the transition to low -carbon and more sustainable economies. In Europe in pa rticular, the Euro- pean Green Deal targets the ambitious objective of making Europe the first climate -neutral con- tinent by 2050 and it is expected that the financial sector will play a key role in this process. 6. In this regard, t he European Commission has launched a set of initiatives to enhance the resili- ence and contribution of the financial sector . As a result, several efforts have been initiated to incorporate ESG risks into prudential supervision . These guidelines target the inclusion of ESG risks in institutions’ broader risk management frameworks. B - Policy objectives 7. The main objective of the se guidelines is to answer the mandate set up in Article 87a of the CRD VI which requests the EBA to issue ESG risk management guidelines. 8. As a result, the general objective is to provide guidance on how institutions will incorporate ESG risks in their risk management processes including defining how ESG risks should be considered FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 58 when defining business and risk strategies, risk appetite levels and internal controls, risk moni- toring, etc. 9. The specific objectives of the guidelines are defined in the CRD VI mandate which indicates that the guidelines should specify: - the minimum standards and reference methodologies for the identification, measurement, management and monitoring of ESG risks; - the content of plans to be prepared in accordance with Article 76(2) of the CRD, which shall include specific timelines and intermediate quantifiable targets and milestones, in order to monitor and address the financial risks stemming from ESG factors, including those arising from the process of adjustment and transition trends towards the relevant Member States and Union regulatory objectives, in particular the objective to achieve climate neutrality by 2050 as set out in Regulation (EU) 2021/1119, as well as, where relevant for internationally active institutions, third country legal and regulatory objectives ; - the qualitative and quantitative criteria for the assessment of the impact of ESG risks on the financial resilience and risk profile of institutions in the short, medium and long term. C - Baseline scenario 10. The current framework does not specify any guidelines about how institutions shall incorporate ESG risks in their internal risk management nor it defines how institutions shall define their plans to monitor and address ESG risks . As a result, institutions may follow different criteria to con- sider ESG risks and incorporate them in their plans which would create divergencies in how banks account for those risks and pose difficulty for the work of supervisors to monitor and control that banks operate at adequ ate risks levels. D - Options considered 11. When drafting the present guidelines, the EBA considered several policy options under nine main areas: 1) Scope of the ESG risks covered by the guidelines Article 87a of the CRD VI mandates the EBA to issue guidelines on ESG risk management practices. The definition of risk management practices for environmental but also for governance and social risks is a n ambitious target considering the less advanced data, methodological and regulatory developments in social and govern ance aspects. Therefore, while developing the current guidelines, the EBA has analysed three possible options: Option 1: To focus equally on the three aspects . Option 2: To focus on environmental aspects only . Option 3 : To mainly focus on environmental aspects but give some guidance on social and government aspects. FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 59 2) Frequency of the materiality assessment of ESG risks Institutions should regularly assess the potential effects of ESG risks on the ir business model s and risk profile . Such assessment will provid e the institution with a view on the financial materiality of ESG risks to which it is or may become exposed. The adequacy of regularity in which such assessment sh ould be carried out will ensure that the materiality of ESG risks remains adequately measured. Therefore, while developing the current guidelines, the EBA has analysed three possible options: Option 1: Every year for all institutions . Option 2: Every two years for all institutions . Option 3: Every year for non -SNCIs and at least every two years for SNCIs . 3) Consideration of ESG risks in banks ’ business model s and strategies The needed transition towards a more sustainable economy will lead to new business opportunities but will also expose financial institutions to risks stemming from the transition. Therefore, while developing the current guidelines, the EBA has analysed if banks should consider ESG risks when defining their business models and strategy. In particular, the EBA has analysed two possible options: Option 1: ESG risks should be considered in banks’ business models and strategies considering different time horizons. Option 2: ESG risks may not be considered in banks’ business models and strategies. 4) Data processes To ensure an adequate identification and measurement of ESG risks, institutions sh ould analyse enough information and data . Therefore, while developing the current guidelines, the EBA has analysed how banks ’ data processes sh ould be defined to incorporate ESG risks. In particular, the EBA has analysed three possible options: Option 1: Institutions may rely only on publicly available ESG data, aggregate it and exploit it to manage ESG risks. Option 2: Institutions sh ould aggregate and exploit publicly available data but also collect additional ESG data when engaging with their clients and counterparties. Option 3: Institutions should gather and use the information needed to assess current and forward -looking ESG risks , build ing on available ESG data but also considering where needed collecting data from clients and counterparties or using third -party data , and using where needed for certain counterparties proxies or portfolio -level assessments . 5) Features of reference methodologies for the identification and measurement of ESG risks When defining their methodologies to identify and measure ESG risks, institutions sh ould select one or more features of reference. Therefore, while developing the current guidelines, FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 60 the EBA has analysed two options regarding which are the most adequate features institutions sh ould refer to: Option 1: Institutions sh ould develop exposure -based, portfolio and sector -based , and scenario -based methodologies. Option 2: Institutions sh ould develop methodologies based on at least one of the three elements included in option 1. 6) Materiality assessment Appropriate risk managements frameworks as well as CRD -based plans should be based on a robust materiality assessment of the ESG risks faced by institutions . Therefore, while developing the current guidelines, the EBA has analysed t hree possible options: Option 1: The materiality assessment of ESG risks should automatically define as material certain exposures based on their sector . Option 2: Institutions should have full flexibility when defining the materiality of ESG risks independently from the sector of the exposure. Option 3: Institutions should consider certain criteria , exposures and sectors in their assessments while remaining responsible for determining their materiality , substantiat ing and document ing their assessments . 7) Data and engagement with counterparties in relation to their transition plans To formulate and implement an adequate plan to monitor and address ESG risks , institutions need to have information about the risks they face in the transition process and engage clients . This includes using information about their counterparties and their own risks during the transition process. Therefore, while developing the current guidelines, the EBA has analysed three possible options regarding the engagement with counterparties: Option 1: Institution s should engage and request all counterparties to submit a transition plan as part of the due diligence phase. Option 2: Institution should engage and request large counterparties only to submit a transition plan as part of the due diligence phase. Option 3: Institution should consider collect ing forward -looking plans of at least large corporate counterparties, including transition plans disclosed under CSRD, and should determin e the scope of counterparties with whom to engage, taking into account outcomes of the materiality assessment and risk measurement methodologies . 8) Time horizons considered for banks’ plans Institutions need to consider several time horizons as part of their transition planning process . Therefore, while developing the current guidelines, the EBA has analysed four possible options: Option 1: To focus requirements on short -term time horizons. Option 2: To focus requirements on medium -term time horizons. Option 3: To focus requirements on long -term time horizons. FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 61 Option 4: To consider several time horizons, including a long -term time horizon articulated with short - and medium -term strategies . 9) Plans’ targets Institutions should define targe ts as part of the ir plans. Therefore, while developing the current guidelines, the EBA has analysed four possible options: Option 1: To predefine the full list of metrics that institutions should target. Option 2: Not to predefine the list of metrics that institutions should target and allow institutions to define their own list of metrics. Option 3: To include a minimum set of metrics that institutions should target while seeking to complement them . Option 4: To require institutions to consider using some metrics included in the guidelines while complementing them . E - Asse ssment of the options and preferred option 12. In respect to the different options considered, the EBA has assessed their potential cost and benefits, and has selected a preferred option in the nine main areas considered: 1) Scope of the ESG risks covered by the guidelines ESG risks include environmental, social and governance factors. Article 87a of the CRD VI mandates the EBA to issue guidelines on management practices for the full scope of these risks. However, the EU and international regulatory developments for environmental risks are more advanced than for social and governance risks. Although it is import ant to continue the development of management practices for the full set of ESG factors, it is also important to allow enough time for institutions to introduce the ne cessary changes. Therefore, in order to reduce the burden for institutions and the time pressure to adapt to the new regulatory developments, it is considered that the guidelines should focus on environmental risk s mainly, although introducing some high -level requirements to define the management practices for social and governance risks . This is indeed in line with the sequenced approach adopted under other EBA regulatory products (e.g. Pillar 3 ITS ). Therefore, the preferred option is Option 3: To mainly focus on environmental aspects but give some guidance on social and government aspects. 2) Frequency of the materiality assessment of ESG risks Institutions sh ould perform their ESG risk materiality assessment with sufficient frequency to ensure that any development in the external environment that could affect their exposure to ESG factors are adequately capture d. Focusing on the E factor, environmental changes can develop in a fast manner , for example in terms of new policies or technologies or shifts in market and consumer preferences, potentially affecting the level of banks’ exposures to environmental risks . For these reasons, the EBA consider s that banks’ materiality assessment should be carried out with a short -term periodicity to ensure that the relevant risk s are captured sufficiently and in time . However, performing such assessment requires an intensive use of resources. It may be disproportionate to request all types of institutions to perform such assessment with a regularity of up to a year, as small institutions have limited resources available and such request could be burdensome for them . An adequate balanced approach would allow SNCI s to perform the materiality assessment with lower regularity although keeping an adequate periodicity to FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 62 capture all potential risks. For these reasons, the preferred option is Option 3 : Every year for non-SNCIs and at least every two years for SNCIs. 3) Consideration of ESG risks in banks ’ business models and strategies The following reasons justify the consideration of ESG risks in bank’s business models and strategies: - The time horizon of ESG risks: the full impact of ESG risks is likely to unfold in a long - term period. Additionally, changes in business models may require some time to be implemented. Therefore, it seems reasonable that institutions follow a forward -lookin g approach and consider ESG risks when defining their strategies and a business model that will be viable and adequate when the ESG risks materialise. - Potential negative financial impact : when defining their business model, institutions should consider potential financial impacts that may be linked with their strategy. This includes the consideration of ESG risks. - Political actions in favour of transforming the current global economy into a more sus- tainable one : there are several examples of political actions at international and EU level targeting a transition to a more sustainable economy. T hese initiatives could push for significant changes in the business environment in the upcoming years . Banks should anticipate the potential negative impact of such transformation and take ad- vantages of the arising new opportunities in the redefinition of their business model. Moreover, i n recent years, some institutions have taken steps to account for ESG factors in their business strategies. However, as concluded in the EBA report on the m anagement and supervision of ESG risks for credit institutions and investment firms34, more progress is still needed to adequately incorporate ESG risks in banks ’ strategies and business models’ definition processes. Considering both the reasons that justify the integration of ESG risks in banks’ strategies and business models and the current insufficient implementation in banks ’ processes, the EBA considers that there is a need to incorporate such a requirement as part of the ESG risk management guidelines and therefore the preferred option is Option 1 : ESG risks should be considered in banks’ business models and strategies considering different time horizon s. Additionally, given the distinctive impacts of ESG risks across different time horizons, banks should consider different (including a long -term ) time horizons when defining their business models. 4) Data processes A robust risk management framework heavily relies on data to develop robust metrics and risk indicators. Well defined, strong data processes are key to adequately gather and exploit data to identify and measure ESG risks . However, as explained in the EBA report on the m anagement and supervision of ESG risks for credit institutions and investment firms , the lack of data to identify and measure ESG risks is one of the main challenges faced by institutions . The EBA has balanced these two aspects when defining the way data processes sh ould be integrated in banks ’ ESG risk management guidelines. Given the importance of having accurate data to adequately measure ESG risks, it is considered that institutions sh ould take action to better use and aggregate the data already available and that will be available as a result of EU and international developments on sustainability reporting on one hand (e.g. CSRD/ESRS) , and on 34 See report here . FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 63 the other hand, improve the availability of ESG data via the collection of relevant ESG information from their clients and counterparties as part of their business relationship. There are other ESG regulatory developments such as the Pillar 3 disclosure requirements as per Article 449(a) of Regulation (EU) 2019/876 that also push institutions to take action in a similar direction. However, the collection of detailed ESG -related data for all counterparties may create an excessive burden for institutions. In order to reduce such a burden, the EBA considers that institutions should be able to use external data in line with the outsourcing framework , as well as proxies , expert judgments and portfolio -level assessments in those cases where data is not available or its collection via engagement with clients and counterparties is considered excessively difficult. Therefore, the preferred option is Option 3: Institutions should gather and use the information needed to assess current and forward -looking ESG risks, bui lding on available ESG data but also considering where needed collecting data from clients and counterparties or using third -party data, and using where needed for certain counterparties proxies or portfolio -level assessments. 5) Features of reference methodologies for the identification and measurement of ESG risks When drafting these guidelines, the EBA has analysed which feature s should be of reference for institutions when defining their methodologies to identify and measure ESG risks. The possible types of methodologies that have been considered include: a) exposure -based methodologies, which provide a granular assessment of the ESG factors at counterparty level ; b) portfolio and sector -based methodologies which allow institutions to have a more compre- hensive risk assessment and to analyse the degree of alignment on a sectoral basis of insti- tution’s portfolios with climate -related sustainability targets ; c) scenario -based analyses to assess ESG risks allowing for a forward -looking perspective. The definition of methodologies to assess ESG risks at these different levels will answer to different risk management needs. Therefore , the EBA considers that all aforementioned perspectives are needed to adequately measure ESG risks in a comprehensive manner and taking into account the different time horizons in which ESG risks are expected to materialise. Therefore, the preferred optio n is Option 1: Institutions sh ould develop exposure -based, portfolio and sector -based , and scenario -based methodologies. 6) Materiality assessment Appropriate risk management frameworks as well as CRD -based plans should be based on a robust materiality assessment of the ESG risks faced by institutions . To guarantee consistency across all the processes in the institutions, the materiality assessment of ESG risks should be consistent with other materiality assessments carried out by the institution. To facilitate such standardisation , institutions should refer to clear definitions of ESG risks and th ere should be a minimum set of criteria, exposures and sectors to be considered as part of those assessments . Given the limitations of broad, purely sector -based classification s, it is more appropriate to not automatically define certain sectors as materially exposed to ESG risks but to emphasise banks’ responsibility to conduct robust assessments. Therefore, the preferred option is Option 3: Institutions should consider certain criteria, exposures and sectors in their assessments while remaining responsible for determining their materiality, substantiating and documenting their assessments. FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 64 7) Data and engagement with counterparties in relation to their transition plans Institutions need information about their counterparties’ risks during the transition process t o formulate and implement an adequate CRD-based plan. However, institutions may encounter some problems while collecting such information as first, not all counterparties may have developed a clear and structured transition plan and , second, institutions will need resources to collect transition plans from all counterparties, review and understand them and assess the relevant risks. In other words, the collection of all necessary data and information from counterparties is a complex and costly process for institutions. At the same time, a comprehensive set of information is needed to adequately evaluate the risks. The direct interaction between the institution and the counterparty to discuss the risks that the latter may face arising from the transition and possible options to mitigate them, is key to have a comprehensive assessment and management of risk s. In order to strike the right balance , the EBA considers tha t such information should be obtained or collected at least for the large corporate counterparties as defined by the CSRD . However, institutions should have all the relevant data at their disposal to adequately assess the level of transition risk for all counterparties. Therefore, the preferred option is Option 3: Institution should consider collect ing forward -looking plans of at least large corporate counterparties, including transition plans disclosed under CSRD, and should determine the scope of counterp arties with whom to engage, taking into account outcomes of the materiality assessment and risk measurement methodologies. 8) Time horizons considered for banks’ plans ESG risks have distinctive impacts across time horizons. This is also the case when referring to ESG risks arising from the transition process towards legal and regulatory objectives related to ESG factors. Therefore, institutions sh ould consider several time horizons when defining their plans. They should, however, include a horizon that is long enough to cover for those risks that may fully materiali se in the long term. The preferred option is Option 4: To consider several time horizons, including a long -term time horiz on articulated with short - and medium -term strategies 9) Plans’ targets Institutions should define targe ts as part of the ir plans. The EBA is aware that banks are already using some metrics either voluntarily or based on current or (expected) future EU legislation but that developments are still ongoing to design most appropriate metrics for target -setting . The EBA considers that requiring institutions to both monitor several metrics and consider using some of these metrics for target -setting purposes will help achieving comparable plans and support the work of supervisors in their reviews . At the same time, it is important to allow institutions flexibility in defining the exact combination of metric s and setting the level of targets they deem appropriate given their business strategies . It is also important to ensure that banks will take steps to progressively include metrics related to non-climate -related risks , in particular risks stemming from the degradation of ecosystems and biodiversity loss , and compute and use metrics relating to the financial implications of transition planning for their business and risk profile . Therefore, the preferred option is Option 4: To require institutions to consider using some metrics included in the guidelines while complementing them 7.2 Feedback on the public consultation Summary of responses to the consultation and the EBA’s analysis Comments Summary of responses received EBA analysis Amendments to the proposals General comments Overall, the Guidelines are broadly welcomed as stakeholders noted that efforts made by EU banks to assess and manage ESG risks have increased over recent years but still need to be amplified. A common European framework on the incorporation of ESG risks i n banks’ risk management and transition planning will help in that regard and enhance the resilience of the banking sector. E ffort s to give institutions clarity on the expectations substantiating the CRD requirements before setting out the implications in terms of supervision are appreciated. A wide range of views was nonetheless expressed on several issues and whether the Guidelines strike the right balance between ensuring a sufficiently robust and prudent management of ESG risks and accounting for feasibility considering dat a and methodological challenges. The EBA has taken note of the comments received and thanks respondents for their contributions. Answers to specific issues and comments are included below. Guidelines amended as described below. Risk-based approach The risk -based approach is supported but the Guidelines are not always consistent with it, for instance when referring to the EU Climate Law , measures prescribed by the European Scientific Advisory Board on Climate Change (ESABCC) , or the EU Taxonomy . The blurring of the prudential boundary is evident through the references to ‘objectives’ and ‘targets’ which appear to envisage the decarbonisation or reduction of institutions’ impact on ESG factors . The risk -based approach involves managing financial risks stemming from the transition process towards political objectives including carbon neutrality. EU climate law, measures by ESAB CC and ‘targets’ are explicitly mentioned in CRD. See below for EU Taxonomy and amendments to section 4.1. Section 4.1 amended. Alignment with EU objectives We wonder how the EBA conciliates its Guidelines that on the one hand explain not requiring an objective of fully aligning with Member States or The Guidelines do not require to align portfolios but to measure and monitor the Section 4.2 clarified. FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 66 Union sustainability objectives or one specific transition trajectory (i.e., a 1.5°C or NZE objective), and on the other hand the requirements on portfolio alignment. Where the EBA does believe that it is relevant to cite external political objectives and targets, it should clearly explain how institutions should consider alignment/misalignment in relation to their own planning and the risk implications. degree of alignment as an input to strategy and risk management decision -making in relation to climate transition risks. Transition finance The Guidelines should ensure that risk management strategies and plans help to support transition finance. Banks should be expected to develop a strategic perspective on capturing and supporting opportunities that arise in the transition, consistently with EU legal frameworks, but also to mitigate long -term risks arising from lack of climate action. The Guidelines require to consider ESG risks when formulating and implementing business strategies. The section on plans refers more explicitly to transition finance. Section 6 amended. ESG risks as risk drivers The EBA rightly considers ESG risks as risk drivers of traditional risk types and not as a separate risk type. This approach is however not consistently applied in the Guidelines where certain requirements suggest that ESG risks should be treated as a separate risk category. The definition of ESG risks provided in CRR applies throughout. To ensure that banks properly assess impacts of ESG risks on financial risk types, additional processes or modifications to existing processes are needed and detailed in the Guidelines. Sections 4.1, 5.3, 5.5 clarified. Level of prescriptiveness Not prescriptive enough. The G uidelines remain too principle based. The flexibility left and the lack of detailed requirements will undermine the quality of the exercise and could lead institutions to develop a purely administrative exercise to justify not changing their approach to ma nage ESG risks. We recommend EBA to provide additional minimum safeguards and clarifications on the practical implementation . Too prescriptive. The Guidelines should adopt a principles -based approach . The consultation paper sometimes takes an overly prescriptive approach that does not account for challenges faced by banks and would constrain the institutions’ learning curve on ESG risks. Sufficient flexibility should be left - and maintained over time – with regard to: methodologies and use of proxies; risk mitigation tools; engagement with counterparties; data sourcing and gathering; indicators, metrics and targets The EBA has considered the range of views received on the level of prescriptiveness of the draft Guidelines. The EBA recalls that its mandate is to specify minimum standards, criteria and methodologies for the identification, measurement, management and mo nitoring of ESG risks. Delivering on this mandate entails providing harmonised and generally applicable requirements with a degree of granularity. Given the fact that management of ESG risks is evolving, the Guidelines have nonetheless maintained a degree of flexibility for institutions to develop their methodologies. Institutions No fundamental changes. FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 67 as b anks should set their own metrics and targets based on their own strategies. The Guidelines should f ocus on institutions’ achievement of appropriate prudential risk outcomes rather than over -specifying the means and/or method by which institutions should identify, measure, monitor and manage ESG risks. A ""demand -based approach"" may be considered in which the objectives are explained to the institutions but the path to their implementation must be taken largely independently. As another possible model, we would like to recommend a ""solution -based approach"". Here, the tools for assess ment and for the management of ESG risks are developed and explained, even trained and then published by the supervisory authority. The Guidelines could b etter distinguish between mandatory requirements and recommendations for good practices. remain responsible for developing business strategies and for determining the best combination of risk mitigation tools they will implement. The EBA also recalls that Guidelines set requirements institutions should comply with, and not good practices. Time horizons The guidelines should reflect on what long term entails for prudential purposes. It coul d be clarified that long -term horizon is not expected for every risk management tool as this would be too excessive and demanding . The definition of long -term as at least 10 years should be specific to the climate and environmental elements and for the purposes of prudential transition plans. Medium and long -term assessments are expected to be mainly qualitative/ subjective/ expert based so supervisory expectations should be high level. Long -term horizon is not consistently applicable across E, S, G risks. More specifically, given the uncertainty around social and governance factors, along with the lack of clear long -term goals , long -term time horizons may not be relevant for S and G risk drivers. A sound management of ESG risks should consider the short, medium and long term as required under CRD. However, the Guidelines clarify that t he level of granularity and quantification of tools and indicators used by institutions should be higher for the short and medium term. Long -term time horizons should at least be considered from a qualitative perspective and support strategic consideration s. Sections 4.1, 5.5. and 6 amended. Scope – scenario analysis, disclosures, capital requirements More guidance is needed on how to perform ESG scenario analysis, foster transparency of institutions’ practices, and ensure that supervision and enforcement of the Guidelines will be effective. More support to green investments and/or h igher capital requirements for fossil fuel -related assets held by banks need to be considered in the prudential framework. These comments deal with aspects that are addressed by separate mandates on incorporation of ESG risks in scenario analysis, supervision, disclosures (revision of the Pillar 3 standards) and the prudential treatment of exposures. No change FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 68 Scope – banking book and credit risk The Guidelines should be limited to the banking book and focused on credit risk, while foreseeing a gradual approach for enlarging the scope to trading book and other risk types when they become more mature and/or material. Limited progress has been made on assessing climate -related financial risk transmission mechanisms for exposures held for trading. Positions held in the trading book are actively risk managed , held for very short time horizons and, as such, may not present a very meaningful reflection of how the bank is exposed to climate -related risk factors. If the trading book was to be in scope of the final Guidelines, it would be necessary to phase in the requirements to allow time for solving data and methodological i ssues. ESG risks can affect various financial risk types and banks should ensure a comprehensive assessment of ESG risks based on their business model and scope of activities. Given more advanced understanding on transmission channels to credit risk, more extensi ve requirements are included on the latter. No change Articulation with ECB Banks under direct SSM supervision are already under significant pressure by the ECB on environmental risks management. The Guidelines should be articulated with CRD on one hand and the supervisory practice on the other hand. It is desirable to have a common regulatory and supervisory attitude towards ESG . EBA and ECB should ensure alignment and clarity of application of the respective Guidelines. The Guidelines have been prepared with all competent supervisory authorities in the EU, including the SSM. They take into account supervisory experience on both shortcomings and progress of banks. The Guidelines apply to all EU banks and supervisors. No change International developments / Level playing field The framework for ESG risks is still evolving at the international level. Convergence of EU regulations with international standards is important to ensure the level playing field and avoid complexity having to comply with different requirements within the same group for international banks . Certain stringent requirements may generate unlevel playing field, with a risk that clients divert from EU institutions to the benefit of non -EU institutions that are not subject to such requirements. The treatment and relevance of financial institution transition planning is currently an area of active discussion and analysis at the international level. Given that the EBA’s mandate does not require the publication of these specific guidelines until 18 months following the entry into force of the CRD, the EBA could use the allowed time to engage with other authorities globally and work towards a more aligned approach. The EBA could conduct further consultation on the transition planning element in its dr aft Guidelines later to reflect international developments . The Guidelines take into account BCBS principles on climate -related risks and international developments (e.g. NGFS, BCBS) on transition planning, to which the EBA and its members contribute. They however provide further details as they are based on the EU legal framework. The EBA supports international convergence on ESG risks management and considers that sound risk management and transition planning strengthen banks’ business model. Future updates to the Guidelines may reflect international developments if needed. No change FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 69 EU requirements should be interoperable with future international standards, which may require future revisions to the EU approach. Date of publication and date of application The EBA state s that their intention is to publish the Guidelines towards end of 2024 and for the application date to be aligned with the application date of the amended Directive 2013/36/EU. However, the proposed amendments to CRD only require that the EBA publish these Guidelines within 18 months from date of entry into force of this amending Directive and do not set specific timelines for the application date of the Guidelines. We would question why the EBA is seeking to publish significantly in advance of this date . Clarification on the application date of the Guidelines would be appreciated. Considering the current state of methodological developments and the numerous regulatory requirements banks will have to comply with the next few years (notably CSRD), banks will need sufficient time for the application of the Guidelines. Implementation pe riod of at least two years is crucial, given the complexity of the topic and its interdisciplinary nature (data, IT, strategy, risk processes). Large institutions within the meaning of the CSRD that qualify as SNCIs and are treated as listed SMEs in the CSRD are only subject to the corresponding reporting obligations for the 2028 reporting year. This should be taken into consideration when finalizi ng the Guidelines. The EBA has published the Guidelines in advance of the deadline provided by the CRD and decided to align the date of application with the date of application of CRD6 i.e. January 2026, for most banks. This early publication ensures clarity over upcoming requirements and gives time to institutions to prepare for both the implementation of new obligations under CRD6 and compliance with the Guidelines. To ensure proportionality and considering other regulatory developments e.g. CSRD, a one - year phase -in is pro vided for the date of application of the Guidelines to SNCIs (i.e. application at the latest from January 2027). Date of application delayed by 1 year maximum for SNCIs. Question 1: EBA’s understanding of the plans required by Article 76(2) of the CRD, and articulation with other EU requirement s Definition of Plan(s) When respondents expressed their direct view on EBA’s understanding, they nearly all agreed it was an appreciated effort and solid tentative to provide directions and definition based on CRDVI mandate. Yet albeit appreciated, many had comments, questions, and suggestions about the definition of (transition) plan(s) and how many plans should exist and flexibility around it. Some respondents express their clear preference for focused, risk -based or The EBA Guidelines use the same language as per CRD where its mandate originates. To reflect the different but closely related strategic efforts spanning various EU requirements, the background now further clarifies that plans are output of a single transi tion planning process which includes all Background and section 6.1 updated. FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 70 single plans only, while others either appreciate the flexibility of the GLs or express strong single transition plan views. relevant strategic and implementation aspects. Articulation with EU and other practices Regarding the articulation with CSRD/CSDDD/ISSB/BCBS, answers revolve around three clear and complementing points on that matter: - (further) Clarification needed overall - The absolute necessity of (more) alignment and consistency with CSRD (and CSDDD and ISSB to a lesser extent) with another clarifica- tion sought on articulation and feeding directions between plans. - Avoiding overlaps between requirements and create complementing frameworks. Linkage with EU disclosure and due diligence frameworks is further recalled in the Guidelines background where the complementary purposes of the different EU requirements are stressed. See also below on section 6 and annex. Background updated Plans validation A few respondents asked for supervisors’ validation of plans, mostly through SREP while one respondent would prefer less formality. Supervision of CRD -based plans is out of scope of these Guidelines. The background however recalls that banking supervisors will assess their robustness as part of SREP, as per CRD6. Background updated Reference and pathways towards EU 2050 objective Respondents raised a ntagonistic views spanning ‘no pathway – no alignment – no need to align as it is risk choice ’ to improved and inclusive definition to explicitly mention EU 2050 objective in definition and/or scenarios or (more) pathways. Respondents also raised questions such as: - Does referring to CSRD suffice to imply that EU 2050 is a target – some would like it to be more explicit. - Some see no need to indicate or refer to pathways as this is a risk document. Which feeds which: CSRD is expected to feed CRD but CSRD is still evolving. The Guidelines stress that they are not prescribing a specific climate or ESG objective but require transition planning efforts to take into account the likely pathways implied by EU legislation and targets. See also above on alignment with EU objectives. Section 6 amended Group / SNCIs scope / Proportionality Some respondents preferred a scope of application at Group level only for a plan, while others preferred EU entity level and not at Group level or asked for more clarity overall. While proportionality is a recurring theme on various subtopics, there are explicit requests to remove demands for SNCIs or take into account the CRD6 waiver option, and not having to create a plan solely because CSRD disclosures are needed. The level of application of the Guidelines is aligned with the level of application specified in CRD article 109. With regard to SNCIs , CRD requires them to have a plan. It is clarified that in case Member States decide to use the CRD ‘waiver ’ Background updated FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 71 provision, the GLs will apply dependent on the transposition into national law. Sectors / Divesting Some respondents suggest explicit sectors divesting should be present in the requirements related to CRD -based plans (mostly fossil fuels). Overall divesting is seeing more cautiously from other respondents given it could have some unintended effects. The goal of CRD -based plans is not to force institutions to exit or divest from greenhouse gas-intensive sectors but to thoroughly assess risks and to prepare accordingly through structured transition planning, including by engaging clients and supporting them where appropriate, notwithstanding other mitigation actions consistent with sound risk management. No change Question 2: Proportionality approach Size versus business model and risk profile Proportionality seems to be mostly based on institution’ size as illustrated by the Guidelines’ references to SNCIs. Proportionality is a crucial principle for Pillar II and should be considered more holistically and not only with regard to the size of the institution. Proportionality should be better linked to the business model , risk profile of a bank and to the level and materiality of the financial risk . Smaller institutions may have even higher ESG risks due to less diversified portfolios and higher sectoral (e.g. agriculture) and/or geographical concentrations. Hence it would not be sound to reduc e or suspend requirements for them. Different institutions have varying capacities and resources. The process of adaptation to robust ESG risk management could be a significant challenge for many small institutions. Size is not the decisive factor in the Guidelines, rather the risk materiality associated with institutions’ activities and business model, in line with CRD art 87(a)(2 ) and recognising that smaller institutions are not necessarily less exposed to ESG risks . Nonetheless , smaller and less complex institutions can implement less sophisticated processes given their limited resources. Some simplifications are thus provided for SNCIs and in certain cases also for all non - large institutions. Background clarified Cost/benefit Proportionality should be ensured regarding the cost/benefit analysis of the measures proposed. The incorporation of ESG -related risks in the prudential A cost -benefit analysis is included in section 7.1. The benefits of the requirements of the Section 7.1 updated FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 72 framework will imply a significant workload for institutions – it is therefore important that the proposed requirements provide actual value -added both from an ESG risk management and supervisory perspective. Guidelines are considered to outweigh costs given the importance of a sound management of ESG risks . Proportionality throughout the Guidelines Proportionality should be applied throughout the Guidelines. A paragraph on the application of the proportionality principle may be added in Chapter 2 'Subject matter, scope and definitions' rather than only mentioned in the background. Proportionality should apply to all the Guidelines’ requirements, allowing institutions to focus on the most material risks. The Guidelines should clarify that all requirements are subject to the materiality principle. If materiality assessments of ESG risks do not identify material ESG risks transmission channels from counterparties, requirements such as identification data, engagement with counterparties, and internal reporting metrics should be considered in a propor tionate manner, regardless of the size of the institution. Based on this principle, only relevant risk category(ies) i.e. E, S or G factors should follow the processes indicated in the Guidelines . Excessively harsh or detailed requirements could entail the risk of ineffective mechanisms , a resource allocation inconsistent with the effective level of financial risk , creating a tick box list and/or banks withdrawing from some sectors hence jeopardizing the supply of credit required for the trans ition . The clarifications regarding the proportionality approach are reflected both in the background and in the main body of the Guidelines, such as sections 4.1 and 6.1. Proportionality cannot lead to a consideration of whether to implement the Guidelines or not. However, the extensiveness of the various risk management processes and procedures should be proportionate to the outcomes of the institution’s materiality assessment. Sections 4.1 and 6.1 clarified SME clients The principle of proportionality must extend beyond financial institutions to encompass their business partners in particular SMEs . SMEs should receive the necessary support to address ESG challenges without facing financial penalties or too demanding data collection efforts. Banks’ management of ESG risks for SMEs should be based only on data to be reported based on EFRAG ’s proportional and voluntary sustainability reporting standards . The Guidelines do not penalise SME financing and data collection efforts are targeted towards large corporates. A reference to voluntary reporting standard for SMEs has been included. Section 4.2.2 amended Scope of addressees A consistency with CSRD and CSDDD would mean that the addresses of the Guidelines are consistent with those of CSRD, CSDDD. Therefore, the Guidelines should not address SNCIs in general, but only bigger SNCIs, similar to CSRD. The Guidelines are based on CRD which appl ies to all institutions , but they embed proportionality , see above . No change FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 73 Specific business models The proportionality approach can be further promoted for some types of institutions with specific business models such as national promotional banks or institutions that focus on positive ESG -related activities and have lower exposure to regulatory, transi tional and reputational risks. A business model guided by the principles of the social economy cannot reasonably be interpreted as ""more"" prone to risk. It is of utmost importance that such banks be recognized as such, and that their business model be ackn owledged. It is not appropriate for the Guidelines to recognise or distinguish between specific business models, but proportionality should apply based on the ESG risk materiality associated with institutions’ activities. No change Support for small institutions To further support smaller institutions, the EBA should consider providing more tailored guidance or examples on understanding, defining, and implementing proportionate ESG risk management practices. Additionally, facilitating access to ESG data and risk a ssessment tools could help smaller institutions meet the Guidelines without disproportionate effort. The simplifications provided for SNCIs aim at facilitating their implementation of the Guidelines. See also below regarding access to ESG data. Background and section 4.2 amended Update frequency The option for small, non -complex institutions to carry out the review of risk strategies/policies only every two years, as set out in Art. 76 (1) CRD, should be used . Proportionality is provided regarding the frequency of updates of materiality assessments and plans, for the latter in line with Art 76(1) CRD. Section 6 clarified Identifying simplifications An annex to guidelines or a synoptic table outlining the facilitations or simplifications granted to SNCIs would be helpful in providing an overall view of the simplifications applied in line with the proportionality principle. Simplifications provided for SNCIs are outlined in the background . Background amended Question 3: Consideration of climate, environmental, and social and governance risks General comments Stakeholders broadly supported the Guidelines’ approach i.e. the emphasis put on E while including some general requirements on S and G risks. There is wide recognition that most progress has been achieved on climate -related risks in the financial sector and this should be reflected in the requirements. Two conflicting views have however been expressed: - A first category of respondents considers that a more comprehensive approach is needed and further guidance would be justified on non - climate aspects. S and G are also sources of financial risk and affect Overall the Guidelines maintain the emphasis put on environmental risks, while still containing minimum requirements for social and governance risks. A restricted scope on E would not be in line with the CRD provisions. However, the Guidelines recognise that approaches for social and governance risks are expected to Section 4.2 amended. FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 74 banks’ counterparties. The full spectrum of ESG factors is captured by frameworks such as CSRD, SFDR, SASB materiality mapping or the UN SDGs. More guidance is needed on how to approach social risks for specific customer segments or industries. - A second category of respondents on the other hand called for an even more gradual and phased approach, starting with environmen- tal considerations and in particular climate aspects. This would re- flect the maturity level reached on various dimensions (e.g. data, methodologies) and their specificities (e.g. differences in transmis- sion channels, time horizons, systemic nature of E versus idiosyn- cratic nature of S and G). The Guidelines should focus on climate and provide flexibility regarding management of S a nd G risks, with no mandatory KRIs and only qualitative requirements. They could fur- ther capture non -climate aspects at a later stage e.g. in future up- dates when analytical and operational challenges are addressed. be gradually enhanced in line with regulatory and methodological progress. CSRD and CSDDD The Guidelines could further build on CSRD. CSRD will result in more data available on all ESG aspects and also addresses risk management processes and strategies. The data that will be reported by counterparties should be the foundation of banks’ approach to social risks. CSRD also defines ESG factors as opposed to CRD. CSDDD refers to violations of rights and prohibitions included in international human rights agreements, with a long list of human rights and fundamental freedom conventions. The Guidelines could add that banks should pay attention to any risk deriving from the violation of legal duties established to pursue social goals in force at national level, in the jurisdiction of the client. Further alignment with CSRD has been ensured for instance in terms of data items institutions should collect. The Guidelines require banks to take into account adherence of counterparties to applicable social standards, in line with those mentioned in CSRD. Section 4.2. amended More support needed It would be useful to shape an internationally agreed roadmap for the gradual integration of social and governance factors towards quantitative measures. The EBA could consider developing a common risk taxonomy across ESG risk areas , including a taxonomy of nature related risk drivers. Such initiative would be welcomed by the EBA. The EBA is not necessarily best placed to do that, however developments on supervisory reporting are ongoing and the final Guidelines further refer to nature -related risks (see below). No change FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 75 Nature related risks – caution needed Greater distinction should be made between climate and non -climate aspects such as biodiversity, given the different maturity levels in the understanding, measurement and management of associated financial risks. The Guidelines require quantification of climate -related risks and proper understanding of nature -related risks. Background and section 4.2.1 amended Nature related risks – need for more requirements Assessment of nature -related financial risks can already be done. The financial sector is vulnerable to destabilising impacts of environmental changes, scientific evidence is available (IPBES assessments), half of world’s GDP is highly dependent on nature, and key sectors and companies have been identified as high -risk e.g. for deforestation. There are gaps in management and disclosure of nature -related risks and opportunities by financial institutions, and a need to integrate further forest and water relat ed risks in strategies. More recommendations on nature related risk management should be included in the Guidelines, starting with deforestation and/or building on first publications available (NGFS, TNFD, SBTN). An integrated approach is needed given the climate -nature nexus. The Guidelines have been amended to further explain the relevance of nature - related risks - covered by the definition of environmental risks in CRR - in the background as well as to clarify requirements in terms of materiality assessment and risk measureme nt methodologies. Section 4 amended Scope of E risks We understand that ecosystems degradation and biodiversity loss may be only examples of a broader range of elements, which leaves a certain degree of uncertainty. For example, would institutions be expected to include water and pollution matters in heat maps? Environmental risks are defined in CRR. Institutions should take into account a broad range of E factors. No change Interactions between E, S, G – conceptual comments ESG issues are interconnected and should be considered holistically, by considering macro trends and the entire production chain of economic activities e.g. for electric vehicles. The green transition can have both positive and adverse effects on social issues. See below regarding clarifications provided on interactions. No change Interactions between E, S, G - suggestions No guidance. It is difficult to provide generally applicable guidance on how to deal with interactions. Interdependencies between E, S, G risks would be best considered by institutions in individual risk assessments rather than through general requirements in the Guidelines . More guidance . The EBA could provide further guidance on how to handle interactions and/or illustrations on how to do it. Limited guidance. The Guidelines could specify that banks should understand interconnections between various dimensions and consider them in risk management practices. The Guidelines include a new paragraph which states that w ith regard to the interactions between the different categories of, respectively, environmental, social and governance risks, institutions should apply an approach that firstly assesses each category of risk taking into account its specific characteristics , before considering potential interconnections. This should prevent the Section 4.2.1 amended FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 76 Banks should avoid using aggregated scores for ESG and focus separately on each dimension to avoid black boxes or mixing risks of various nature and magnitude. Employing a differentiated approach is needed to take into account the different inherent characteristics of each category of risk Using the Taxonomy DNSH criteria – e.g. assessing if counterparties meet these criteria - can help to assess and mitigate risk across various environmental objectives. risk that institutions would mix or offset risks of various nature and magnitude. Transition plans The integration of s ocial and governance risks in transition plans is not clear . Banks should take a holistic approach rather than siloed with separate plans for different risks. In particular, one single plan for both climate and nature would be justified. Requirements on plans are focused on climate risks but other E and S&G risks cannot be ignored, in line with CRD. No fundamental change but section 6 clarified Para 26 - Double materiality Not for the Guidelines. Double materiality is relevant for sustainability reporting but not for micro -prudential risk management. We recommend that the Guidelines refer to financial materiality only since they are focused on risk management . The last sentence of para 26 – i.e. conditionality on financial risks – should be mentioned in the core text of the Guidelines, not only in the background. Need for more recognition . Double materiality should be recognised more clearly and integrated throughout the Guidelines, in line with CSRD approach. Targeted clarification. The Guidelines strike a good balance but could further clarify how (adverse) impact that a counterparty may have can entail financial risks for institutions, for instance through a range of risk categories including strategic , litigation and reputation risks . The Guidelines are focused on financial materiality in line with CRD but clarify that adverse impacts should be taken into account to the extent that they can drive financial risks and/or reputation, litigation and business model risks. Background clarified Question 4: Materiality assessment FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 77 General comment The materiality assessment is a key exercise as an inadequate assessment would undermine the adequacy of the risk management approach as a whole . The conclusions of the EBA monitoring exercise on the IFRS9 implementation serve as evidence for the need of such guidance, as the EBA has identified largely divergent practices of banks when handling forward - looking information for risk assessments . Robust materiality assessments are key and positioned as starting points for sound ESG risk management approaches. Section 4.1 amended as explained below Flexibility Not enough. Guidance should not be too prescriptive (one size fits all) and should enable some flexibility on how to approach materiality assessment as banks may have developed other internal indicators to identify homogeneous exposures in terms of ESG (e.g. as an al ternative to proposed activities, services, products segmentation). Individual institutions should have greater flexibility to assess the materiality of ESG risks in their specific portfolios and across their sectoral exposures. Too much. The expectations for the execution of the materiality assessment should be better specified completed with minimum safeguards to improve the reliability of the exercise. The introduction of qualitative/quantitative thresholds would be useful . The Guidelines strike a balance between providing minimum standards and criteria and maintaining the responsibility of banks to conduct materiality assessments that correspond to their business model and risk profile. The Guidelines do not specify threshol ds but require banks to document their methodologies including any threshold used. See also below on question 5. No change Significance of activities, services and products There should be further clarification on how materiality and how the significance of activities, services, products should be measured . The significance of activities, services and products could be determined through measurable indicators. §14b should clarify that the activities can be considered as most significant not only from the perspective of their relative size in the portfolio but most importantly from the perspective of the potential of these activities to generate substantial impac ts for instance in terms of reputation. It has been clarified that institutions should ensure that the scope of their materiality assessment sufficiently reflects the nature, size and complexity of their activities, portfolios, services and products . Institutions should document their methodologies including indicators. Section 4.1 clarified Quantification It should be clarified, when referring to the quantitative view to capture potential impacts of ESG risks, that it should not necessarily be a capital or P/L impact. Rather, the quantitative view may be supported by the determination of the amounts of exposures and revenues that are significantly exposed to the said risks. Clear differentiation should be promoted between the assessment of risks (using qualitative and It has been clarified that the determination of material ESG risks should consider both their impacts on financial risks categories and the amounts of exposures or revenues exposed to the risks. Quantitative information should be used at least for environmental risks. Section 4.1 amended FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 78 quantitative views) and risk quantification/measurement (which should be based on a capital or liquidity impact). For some aspects there are no established calculation methods for quantifying, therefore the guidelines should enable qualitative assessment where appropriate . Asset class versus sector and geography A sectoral and geographic classification of portfolio exposures should be required as part of the materiality assessment of climate -related risks. Reversely, the traditional classification per asset class should be discouraged, as the portfolio vulnerabilities to climate and transition risks depend on the sectors and geographies. It has been further clarified that sectoral and geographic location information should be taken into account as part of materiality assessments. Section 4.1 clarified E, S, G E, S and G materiality assessments should not be under similar requirements . Guidelines should include a reference to nature -related transition and physical risks . More detailed requirements are included for E risks. The Guidelines have been amended to refer to exposures towards sectors highly dependent on nature and ecosystem services . Section 4.1 amended Clarification on materiality assessment perimeter Guidelines should clarify if portfolio/exposures are encompassed in activities as per §14b? Guidelines should clarify the materiality assessment for non -UE exposures. It is proposed that it is circumscribed in terms of transition risk. The Guidelines clarify that portfolios are encompassed in activities. The transition risk assessment should take into account exposures’ vulnerabilities to relevant jurisdictions’ objectives. Section 4.1 clarified Time horizons The m ateriality assessment for the time horizon proposed (including at least 10 years) is too long to be used for financial resource planning: liquidity assessment (including stress testing & planning) focuses on short to medium term risks, making it difficult to cater for long term events; while a capital assessment focus (including stress testing and planning) beyond 5 years would not be meaningful. The business model of a bank when determining the length of the forecast horizon for assessing the materiality of ESG risks should be considered. Long-term time horizon of the materiality assessment should increase to 20 years or minimum of 25 years to align with transition planning. See above regarding the clarifications provided in paragraph 19 and below for the ICAAP section of the Guidelines. Section 4.2 and section 5.4 amended Materiality assessment Guidelines should elaborate further on the r elationship , synergies and differences between the materiality assessment as required under CSRD and The Guidelines have been amended to refer to consistency with CSRD and further align Section 4.1 amended FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 79 consistency with CSRD EFRAG guide and the materiality assessment as required in the EBA guidelines . Guidelines should enable reusing materiality assessment performed under CSRD . Definitions of time horizons should be consistent and Guidelines should clarify if severity in §15 is the same as in the ESRS (1§45). §15 likelihood and severity of the materialisation of the risks should be replaced by likelihood of occurrence and the potential magnitude of the financial effects ; to align with CSRD/ESRS with CSRD and EFRAG implementation guidance on the financial materiality assessment, including regarding terminology. Wording of former paragraph 15 has been aligned. Double materiality Pros Banks should also assess how their activities can do more good and less harm to the environment in order to mitigate risks that can be amplified in the financial system . Guidelines should include requirements on engagement with affected stakeholders or their representatives and the assessment of the impact of ESG risks on people and the environment . Cons Guidelines should clarify that their focus is on financial materiality and the management of financial risks to the institution only . It would help banks to deepen their analysis and efforts where the risks are material, in a consistent manner with the risk -based approach. The Guidelines are focused on financial materiality in line with the nature of the CRD but clarify that adverse impacts should be taken into account to the extent that they result in financial risks and/or reputational, litigation and business model risks. Background clarified More guidance More detailed guidance or best practice would be welcome on: likelihood regarding ESG risks ; the number and/or which scenario to be used under §14c including their time horizons and if different scenarios should be considered across time horizons; how counterparties are considered “most critical”. It has been clarified that likelihood refers to likelihood of occurrence, in line with CSRD. The EBA will develop further Guidelines on scenario analysis. The reference to most critical counterparties has been removed. Section 4.1 amended Divergence of counterparties from transition objectives Assessing the divergence of counterparties from transition objectives is too prescriptive , too broad for a bank wide materiality analysis and assumes an unproven correlation between transition recalcitrance and the counterparty risk. Institutions should be given the flexibility including making their own judgements as to whether counterparty divergence from transition objectives is a releva nt factor. Banks should not have to rigidly refer to a counterparty ’s alignment with different net -zero pathways to qua ntitatively assess financial risk . The degree of alignment or misalignment of portfolios with jurisdictions’ regulatory objectives is an input to materiality assessment in particular given its relevance to transition planning. Section 4.1 slightly amended FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 80 Link with transition planning Materiality should always be a relevant driver for the transition planning obligations (i.e., sectors that are not material for the institution ’s business model and/or capital should not be part of the transition plan) . Transition planning should address material ESG risks. Section 4.1.and section 6 clarified. S and G Guidelines should allow banks to carry out their materiality assessment in a way that is proportionate given the lack of clarification from the legislator/regulator on the risks to be precisely regulated. Due to missing social taxonomy, limitation of the use of S and G data should be more emphasized. See above regarding E versus S and G. No change Redrafting proposals • General: Guidelines should refer to ESG risk drivers rather than ESG risks • §14. With a view to comprehensively capturing the material potential impacts of ESG risks • §14a. The consideration and use of both qualitative and quantitative elements and data where these are available • §14c should clarify further that the banks should first explore the key propagation channels of climate impacts and transition impacts for the bank, per sector and country of activity of their counterparties, based on a range of information (including forward -looking infor- mation such as a range of scenarios). • §15 should include “expert” assessment when considering long term horizon. ESG risks is the term used in CRR. Comprehensive assessment is important. No change – but limited to E risks. The suggestions are considered to be captured by the Guidelines. See response on time horizons. No change No change No change – but limited to E risks. No change No change Frequency Reduced frequency of materiality assessment for SNCI is appreciated. Guidelines should set a 3 -year frequency in line with SREP guidelines. More generally, materiality assessment frequency should be on an ad hoc basis, when significant changes have occurred is more relevant. The minimum 2 -year frequency has been kept for SNCIs. Institutions can rely on past assessments but should ensure they remain valid as part of regular reviews. No change ICAAP §18 should be completed to clarify that the banks should justify how criteria are weighted relatively to each other. They should also document how they address the data gaps. The corresponding decisions with respect to the treatment of ESG risks should also be clearly documented, alongside the clear internal definition of materiality, which is already required in the ICAAP framework for all risks relevant to the institution. It has been further clarified that banks should substantiate and document their assessments and methodologies, including thresholds and conclusions. Section 4.1 clarified. No change FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 81 Guidelines should clarify whether the execution of the reference methodology should be formally in line with the internal mechanisms already established regarding ICAAP or should refer only to the materiality of such ICAAP mechanisms . Additionally, it should be further clarified how to entangle these material assessments with other materiality assessments conducted by institutions, i.e., whether one or the other (or both) should cross -reflect the risk identified in each assessment. The ESG risks materiality assessments should be consistent with and integrated into other assessments such as those made for ICAAP. Disclosure Transparency and credibility are key in materiality assessments. Guidelines should include requirements for banks to conduct third -party review and consultation and to disclose all details regarding its methodologies, processes and results. Disclosure is out of scope of these Guidelines and covered by other regulations (e.g. Pillar 3, CSRD). No change Question 5: Presumption of materiality for E and assessment of physical, S and G risks Minimum set of exposures (pros) Support to the general approach in §16, which is consistent with the climate benchmark regulation and Pillar 3 template 1 . However, this wide approach should be completed by a more targeted focus on a few critical sectors , coal, oil, gas. These sectors alone are influential enough to derail the Paris Agreement and the EU climate law. In addition, this will ensure more consistency with the CSRD. In particular exploration of new fossil fuel reserves represent s high transition risk . Care should be given to the justification provided for the purpose of §17. It is necessary to maintain the requirement for the bank to explain when it considers that these sectoral exposures are non -material . Guidelines should further specif y and extend the list to account for nature - related risks as well. In the identification of such sectors, it should be built on the extensive body of existing evidence (in particular, key sectors and companies have been identified as potentially high risk for deforestation ). The Guidelines have been amended to include a reference to exposures towards fossil fuel sector entities. It has been clarified that conclusions, including non -materiality ones, should be substantiated and documented. The Guidelines have clarified that nature degradation and dependencies on ecosystem services should be considered. Section 4.1. amended Section 4.1 clarified Section 4.1 clarified Use of taxonomy (pros) Taxonomy is a good proxy as it means the exposure meet the EU sustainability goals. Yet, the derogation provided in §17 may imply negative See below regarding the deletion of the reference to taxonomy -alignment as a proxy Section 4.1 amended FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 82 consequences as it does not provide strong guarantees and could benefit to oil/gas/coal mining exposures (e.g. high level of alignment is not clearly established). “S uch as” and “high level of [EU taxonomy] alignment” does not strictly provide mitigation to this derogation . Alignment with taxonomy should be 100% otherwise sectors could include activities that do not meet the DNSH criteria hence bear transition risk. The derogation should be complemented by a second criteria consisting in 100% of the sector/activity exposure to DNSH taxonomy criteria. Taxonomy may be used in combination with additional tools (e.g., CPRS , corporate emissions, elements of corporate transition plans ) given the lack of information on Taxonomy performance, especially for SMEs . 'Transitional' activities should be excluded from the derogation in §17 as medium -to-long -term transition risks carried by associated sectors remain high . for justifying derogation to presumption of materiality. Non -UE exposure treatment Guidelines should provide flexibility for group ins titutions based outside the EU managing activities outside the EU, such as referring to local taxonomy . Making sole reference to the EU Taxonomy as a proxy for non -materially would also pose significant extraterritorial effects for banks with presence in third countries. EU taxonomy will not be useful for banks with material exposure outside of EU or a portfolio composition with a potential lower share of eligible assets for GAR calculation. Voluntary or internally well justified green assessment should be likewise used for justification, or the materiality assessment will not allow for level playing field with respect to exclusion of exposure as materially affected. See below regarding taxonomy -alignment Section 4.1 amended Minimum set of exposures (cons) More flexibility should be provided as for the sectors to be included in the materiality assessment. D o not support that exposures should automatically qualify as materially subject to environmental transition risks on the basis of Institutions should conduct robust materiality assessments that reflect the nature, size and complexity of their activities. Section 4.1 amended FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 83 their sector ( §16). This would imply a significant data and assessment burden even when it is qualitatively obvious that the NACE sector in question poses no environme ntal risks to the firm. The reversal of the burden of proof makes the r isk inventory de facto absurd. Materiality categorisation can be applied e.g. per risk type and only when certain quantitative/qualitative materiality thresholds are reached. The categorisation of certain sectors as material does not automatically mean that they are material from an institution's perspective. Materiality for institutions depends, among other things, on the business model, risk, concentrations, maturity of the loans, the willingness/possibility of debtor to shift its business model, whether the sector itself has the possi bility to decarbonize etc. Therefore, para. 16 and 17 should be removed, and the approach to materiality assessment should be left to the discretion of the institutions . The financial materiality and risk -based approach of the prudential framework is not necessarily consistent with a purely sector -based approach. Other complementary factors will determine the financial materiality of an activity such as the time horizon, th e size of the exposure, the existence of mitigation mechanisms, effective transition paths or dedicated financing that are in line with an efficient transition, and stress assumptions. While close attention is given to high -emitting sectors, the materiali ty assessment should be commensurate to the size, business activity and types of risks carried by the institution. Sectoral approach including all activities listed in Sections A to H and Section L of Annex I to Regulation (EC) No 1893/2106 is too broad (e.g. insufficient differentiation at the level of NACE code 1), especially if including the level of granularity as NACE 2 -3-4 digits and does not take into account the specific/idiosyncratic client’s situation. This presumption will impose a disproportionate do cumentary and audit burden on banks to establish that The final Guidelines have removed the presumption of materiality for certain sectors considering the limitations of automatically classifying all exposures towards certain sectors as material. However, the Guidelines require institutions to thoroughly asse ss material ESG risks by taking into account a set of criteria and exposures, including their exposures towards sectors that highly contribute to climate change, with particular consideration given to exposures towards fossil fuel sector entities . Institut ions are responsible for conducting their assessments and should substantiate and document their conclusions, including non -materiality conclusions. FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 84 the exposure is not material . There will be many exemptions if classifying all listed sectors per se as materially subject to environmental transition risks. The list should be illustrative in stead of a mandatory. There is also the risk that there is no incentive to investigate exposures to sectors not covered by the predefined list. The list of sectors is not aligned with sectors covered by NZBA targets . This approach is also inconsistent with the list of sectors provided by the International Energy Agency (IEA) for their Net -Zero Emissions (NZE) scenarios, well -recognised and adopted globally, as the activities in sections E, F and G are not included in t he IEA NZE. Use of taxonomy (cons) The reference to the EU Taxonomy for the exclusion of some sectorial activities should be removed : assess ing Taxonomy alignment even when it is clear that the exposure is not relevant an d/or immaterial is too burdensome; high level of alignment is too ambiguous; t axonomy -eligible portion in the banking book is very small as benchmarks have shown for many banks . The mere alignment to the EU taxonomy does not directly imply less ESG risk as the EU taxonomy regulation classifies the activities as green not from a risk-based perspectiv e and the EU Taxonomy framework is not designed as a risk management tool. There is to date no evidence of a generalized positive risk differential according to green v s. brown features of counterparty activities. EU Taxonomy does not have a full coverage of all activities, some counterparties are not subject to it due to their sizes, there are products outside the taxonomy (e.g. SLN) with objectives to facilitate/enhance counterparties’ transition efforts that are not captured by the taxonomy. The taxonomy operates as a classification tool at the activity level, not at the sectoral level . In light of the removal of the presumption of materiality for certain sectors and the limitations of taxonomy -alignment from a financial risk assessment perspective, the paragraph outlining derogation options has been deleted. Section 4.1 amended FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 85 Similar requirements for S, G, physical (cons) Similar requirements should not be provided : social and governance risks are not comparable as a transmission channel of financial risk to environmental risks. It would be disproportionate to include them in the same manner. Social and governance risks are more related to client -idiosyncrasy. Trying to build a risk -assessment system or metrics for governance or social risks would be extremely burdensome and would not be supported by a cost/benefit analysis. Given the difficulties stemming from the identification of transition risk, it is unclear that a similar approach would provide better results on other type of risks (physical, social, governance ). The materiality assessment for social, governance, biodiversity risks should be done on a best effort basis at this stage . The Guidelines contain more detailed requirements for the materiality assessment of E risks. No change Similar requirements for S, G (pros) Guidelines should provide similar approach / requirements by consistently requiring 1/ use of qualitative and quantitative data, 2/ a risk -based approach to take into account likelihood and severity of the materialization of the risks. Guidelines should provide equivalent requirements for biodiversity risk, in particular deforestation. Biodiversity loss and deforestation pose significant environmental risks and have far -reaching social and governance implications, including impacts on local communities, indigenous rights, and supply chain integrity. Nature -related risks financial impact on individual banks has been well -documented . Guidelines should provide a minimum set of exposures to be considered as material for each type of risk - environmental (E), social (S), and governance (G). However, it is essential to recognise that materiality may vary depending on the context and nature of each financial institution's operations. Guidelines should extend the list to sectors A to U, as they involve risks from third parties (data processing including data centers, information and communication) on the physical, social and governance risks sides. The risk -based approach outlined in paragraph 13 of the final Guidelines applies to ESG risks. Quantitative information is only required for E. A reference to nature degradation and ecosystem services has been included. The materiality assessment should be supported by a mapping of ESG factors and transmission channels to financial risks. The list of sectors identified as highly impacting climate change relies on EU regulation. No change Section 4.1 amended. Section 4.1 amended. No change FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 86 Similar requirements for physical - suggestions Guidelines could refer to minimum set of asset classes to be considered (eg, secured by property) as well as to publicly available registers of natural hazards, which institutions should use in order to exclude exposure from minimum set . Areas and sectors at high risk of drought, flooding, marine submersion, water stress, soil erosion etc . (alone or combined) should be considered a priority for mater iality. Public actors are making efforts to identify the key risk exposures in Europe; as illustrated by the EEA’s European Cl imate Risk Assessment report . A possible way to integrate this as part of the present guidelines is to require that the banks update their list of mandatory material exposures on physical risks continuously according to public recommendations . A minimum list of physical risk hazards that are generally considered as ""material"" by geographical area - in example NUTS3 level would be helpful for the institution to evaluate the coverage of its own physical risk assessment framework. The Guidelines require institutions to take into account the geographical areas in which key assets of counterparties or physical collateral, in particular for real estate exposures, is located . There is no mandatory list of exposures for physical risks, but institutions are responsible for conducting robust assessments by using both qualitative and quantitative information and considering a sufficiently large scope of environmental factors. Ins titutions may use information stemming from EEA reports to supp ort their assessments. Section 4.1 amended Question 6: Data processes List of items to collect under §23a (pros) Strong support to list in point 23 the information that should at least be gathered when assessing the current and forward -looking ESG risk profile of counterparties. Points i, ii, iii, iv, v, vi, ix of the list are particularly relevant to assess the ESG risk profile of counterparties. Some data points should be made more prescriptive : • Current and forecasted greenhouse gas (GHG) scope 1, 2 and 3 emis- sions in both absolute and intensity terms. • Investment (capex) in fossil fuels, split between investment in exist- ing infrastructures and new ones, and operational expenses (opex) related to fossil fuel consumption and/or infrastructures. Such expo- sures bear particularly high financial stability risk. A minimum list of data points that institutions should consider obtaining or collecting for large corporates has been maintained in the Guidelines, with some adjustments. The Guidelines align with CSRD/ESRS i.e. absolute and where relevant intensity. The Guidelines require to consider counterparty’s dependency on fossil fuels. Section 4.2.2 amended. FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 87 Banks should collect some data related to biodiversity. It can start with data related to deforestation, with data on the dependency to high -risk activities - both in terms of economic factor inputs and revenue base and the investment (capex) in such activities. The Guidelines require to consider material impacts on biodiversity and related policies. List of items to collect under §23a (cons) In case the approach of a minimum requirement list is kept, data collection in retail banking should be limited to data on climate related factors such as greenhouse gas emissions (car financing) and energy efficiency (real estate financing). Institutions should determine which data points they will collect for retail counterparties by considering the list provided in the guidelines, which includes climate related factors. Section 4.2.2 clarified Transition plans Pros Strong support to the recognition of the counterparties ’ transition plans as a relevant source of forward -looking information for financial institutions ’ risk assessments. Once the transition plans in the non -financial sector are streamlined and made credible via the assurance function, such transition plans offer themselves as a credible and comparable source of information, which should contribute to the convergence of views on transition risk among financial institutions . Cons Do not support the obligation to use data from transition plans to assess large companies, particularly as there is no obligation to prepare such plans under the CSRD. The Guidelines have kept the transition plans as one of the data points that institutions should consider given their ability to inform the forward -looking risk assessment of counterparties. Wording has been clarified to refer to plans disclosed in accordance with CSRD, when available. No change Section 4.2.2 clarified Consistency with CSRD The list of data to be collected from counterparties listed in §23 should be primarily focused on data being published under CSRD , which has set up an extensive reporting framework for ESG data that is quite unique at international level, attempting to calibrate the reporting burden of companies and the need for ESG data. Data requirement should not go beyond what is required by CSRD and further align : emissions targets instead of forecasts, dependence of natural resources rather than on fossil fuels, risk of litigation not requested by CSRD . Timing of requirements of the guidelines should be consistent with that of disclosure under CSRD so banks can build out their data systems to house a variet y of non -financial datapoints f rom their clients and counterparties . The list of data is focused on data large corporates will have to disclose under CSRD. Alignment has been reinforced for example to refer to targets instead of forecasts. Although disclosure of litigation cases is not requested under CSRD, this informs the risk assessment institutions should perform and this has been moved to section 4.2.3. The Guidelines apply from 2026 or, for SNCI, 2027, allowing to make use of CSRD data to a large extent. Section 4.2 amended. FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 88 Client engagement compared with CSRD Guidelines should provide some clarification on the extent to which it is needed to engage with counterparts beyond the publicly available ESG data they provide. Client engagement should not be made necessary if primary data is publicly available under CSRD. S ome Member States appear to have asked financial institutions to limit bilateral outreach to corporates to collect data and rely as much as possible on data reported from CSRD and from data providers. This goes against the requirements from the Guideli nes to primarily engage with clients to collect data. Counterparties might face multiple asks from different banks at a time when they are deploying huge effort to produce CSRD data . The Guidelines require institutions to build on available ESG data, and to assess which other sources of data would effectively support the identification of ESG risks, such as information captured through engagement. Section 4.2.2 clarified Flexibility with respect to data to collect Data collection may prove to be very difficult, as banks will have to look through a large number of counterparties with which they can be engaged with . The list of data to be collected for large corporate counterparties should be indicative (or seen as recommendation) only as it does not depend on materiality analysis and does not include a proportionality approach based on the type of service offered to these customers . Counterparty data gathering (including for large corporate counterparties) should be based upon a materiality assessment of the risk of the counterparty , ESG risks identified, the type of clients, collateral and exposures, etc. Data requirements should be determined using a risk -based approach as some data points are more important to assess risk in certain sectors . The list of data points has been maintained but it has been clarified that institutions should consider obtaining or collecting this list, with a view to ensuring they have appropriate information to assess ESG risks. Data processes should also be develope d taking into account the outcomes of the materiality assessment, as clarified by paragraph 17. Section 4.2.2 amended Para 24 Guidelines should set a baseline for ESG -related data collection for non -large counterparties, to ensure a minimal level of data collection across institutions . As per the EBA Guidelines on Loan Origination and Monitoring §126, institutions may conduct portfolio -based evaluations for micro/small enterprises instead of borrower -specific assessments. This regulation is sensible as it reduces the burden on micro and small enterprises . Such approach should be foreseen in §24. Given data availability, the baseline is set for large corporates counterparties, but institutions should consider the list provided for those counterparties when determining data points needed for other counterparties. See also below on exposure -based met hod for SMEs. Section 4.2.2 clarified FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 89 Para 25 Guidelines should clarify expectations around the timeframe for reducing reliance on proxies, and quality assurance for data procured from third party providers. Guidelines should ensure the phase -out of proxies to help fill data gaps by specifying the exact timeline for doing so: 3 to 5 years maximum are recommended. No specific timeframe is included in the Guidelines but institutions should progressively seek to reduce use of proxies and improve practices and data quality. No change Data gaps More guidance is expected to address data gaps. Data gap may increase for the banks to assess ESG risks as the EC is proposing to increase the threshold for corporations to be c onsidered SMEs. It might reduce the scope of the corporations under the CSRD. Guidelines should stress that missing data or difficulties resolving gaps should not discourage banks from integrating these ESG risks and that institutions should take precautionary measures. The EBA notes that efforts are ongoing to address ESG data gaps in the EU. Institutions should leverage on these developments and assess remaining gaps and document remediating actions. No change Use of proxies Pros The use of proxies throughout the guidelines should be revised. T he collection of ESG data is still very challenging, with multiple issues ranging from comparability of data to coverage of data. Some se ctions of the guidelines give the impression that the use of estimated values and proxies is an inferior method. However, proxies can generally represent a good and justifiable measure, particularly in the volume business, and need not be inferior to the quality of raw data. Ulti mately, proxies also serve to avoid overburdening small companies and private customers. The use of proxies should therefore generally be made possible for all companies. Cons Proxies have some limitations such as being difficult to use in risk management functions; they are based on averages; they consider that all companies in a given sector are similar or they might have a limited time horizon . The use of estimates and/or proxies can only be contemplated as a last resort, and that both the choice to use them (lack of data or unreliable data) and the choice of a certain estimate and/or proxy instead of others must be justified. The Guidelines do not prevent the use of proxies but request institutions to make use of available data and assess which other sources may be useful. Proxies can represent an alternative to raw data in certain cases but also present limitations which justi fy efforts by institutions to seek to gradually reduce their use. Section 4.2.2 clarified FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 90 Guidance and support needed Guidelines should clarify how institutions should use proxies and estimates in the case of data unavailability. Guidance would be expected on which sources or proxies can be used for social and governance risk . The choice of specific proxies and estimates is the responsibility of institutions who should document and justify their choices. No change Data providers The data providers are not only used to obtain estimates when data is not directly available from the counterparts, but also to optimize the collection of the data from corporates even where those data are publicly available (avoiding the need for institutions to examine each of sustainability report of thousands of entities). Hence, using data providers should be left to the institutions in a consistent manner with the outsourcing framework. Guidelines should provide that banks rely on the data quality assurance of the data provider and make that an important criterion in the vendor evaluation process; the vendor should check the quality of its data and it should be select ed based on data quality. Requirements to verify the quality of the data will place on banks a responsibility and a cost of resources that is not proportionate to the role of the banks : data subject to external audit should be presumed of high quality. Non -audited data which are provided by the company should also be presumed to be reliable, except in the case of obvious inconsistency or public controverses. Guidelines should clarify how , in what context, for what purpose data from external parties can be used. The Guidelines have been amended to clarify that i nstitutions should assess which sources of data would effectively support the identification of ESG risks . Using data providers is not prohibited but, in line with sound governance and outsourcing practices, when institutions use services of third -party providers they should ensure sufficient understanding of the sources, data and methodologies used by data providers. Institutions should also have in place arrangements to assess and improve quality of data used . Section 4.2.2 clarified Clarification needs §23aiii. “Material” is not defined and could imply different assumption/interpretation among financial institutions. W ho assess es that impacts are material ? Should it l everage more explicitly on CSRD? §23aix. “ Adaptive capacity ” should be clarified , as adaptation is typically used in the context of climate physical risk, but here seems to refer to company transition plans. These topics require different datasets, and further clarification could help avoid confusion. A materiality assessment has to be performed under CSRD. Banks may rely on that assessment or decide to challenge it. No change. Wording has been clarified and ‘adaptive capacity’ removed. Section 4.2.2 clarified Drafting suggestions §20-21-25. The use of ESG risk -related data / ESG data / ESG profile / ESG risk profile should be harmonized to avoid misunderstandings. Wording has been harmoni sed to refer to ESG risk -related data or ESG data. Section 4.2.2 amended FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 91 §21. Should be amended so that ins titutions should be allowed to efficiently design data processes based on the relevance of business activities in relation to all risk types and the results of the materiality analysis. §23 could be amended to avoid the reference to generic statements such as “Governance practices ”, and point to more specific frameworks . §23.a.i. Regarding the collection of geographical location of key assets, we recommend that, at a minimum, longitude and latitude coordinates, addresses, square meters, and building type should be collected. §23. a.ii. Inconsistency with §94.a . where the metric is in absolute terms only. Due to known weaknesses of “monetary intensity” it is proposed to reshape this requirement and make a hierarchy of metrics). The intensity approach, whether promoted or accepted by SBTi and many industry alliances, does not reflect the fact that global warming is fed by actual emissions, not intensity, giving a false impression of progress towards a carbon neutral economy and making targets easier to reach. GHG emission reduction targets should at least be expre ssed in absolute amounts. §23.a.iii. and v. should be deleted. Institutions and supervisory authorities are in no position to judge or disincentivize environmental impact, as long as such impact is legitimate by law and does not constitute financial risk (e.g. GHG certificate prices) relevant for de fault risk. The mere fact of resource consumption, as long as legitimate under the law, does not constitute a financial ESG risk factor from any institution ’s point of view. §23.a.vi. More specific metrics should be provided as EPC is not yet standardized. §23.a.vii. Requirements for institutions should expand to report on their alignment with specific regulatory and framework disclosures, such as the CSRD and the Taskforce on Nature -related Financial Disclosures (TNFD) . §23.a.vii. The adherence to voluntary or mandatory climate and environmental reporting (point vii) will also not say much about the actual level of ESG risk exposure of the counterparty. §23.a.viii. T he inclusion of litigation risks may not be practical in all cases. Detailed information on imminent or pending litigation is likely to be Data processes should be proportionate to materiality assessments. Requirements have been amended to align with the Taxonomy and CSRD. Banks could decide to collect these data but the general requirement is to collect data enabling physical risk analysis. Guidelines now align with CSRD (absolute value and where relevant intensity). Adverse impacts and dependence on natural resources may result into financial risks. EPC has been removed. The Guidelines do not address disclosure requirements for institutions. This data item has been deleted. The assessment of litigation risk should support the risk identification and FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 92 restricted, and gaining sufficient information to determine the relevance, impact and likelihood of outcomes from a litigation will prove extremely difficult. § should be amended to include “where available”. An imminent litigation risk of the counterparty is likely to be provisioned by the counterparts. Hence, this consideration may lead to a double counting in the credit risk associated with this counterparty. §23.a.ix. Note that CSRD is a disclosure directive and does not require preparing a transition plan. § should be amended accordingly. §23.a. x. (new) third party assessments performed regarding environmental performance, notably credibility and robustness of corporate transition plans . As transition plan content is highly complex information, leveraging on third party assessment should be a useful source of information in order to avoid unnecessary burde n. §23.b.ii. More guidance is needed regarding governance practices. For instance, different categories of governance practices could be defined. This would make the assessment of different institutions ’ exposures to governance risk more understandable and comparable. 23.b.iv. should be deleted. ESG risk factors are only to be taken into account in exceptional cases where local circumstances are such that lawsuits against institutions or their clients are evidently imminent and could put the creditworthiness of borrowers at ris k. But this is so rare that the wording of item (iv) seems much too vague to capture it. Moreover, it i s already covered by item (v). §23.b.i -v. The below should replace current content: • due diligence procedures to ensure alignment with the OECD Guide- lines for Multinational Enterprises and the UN Guiding Principles on Business and Human Rights, including the principles and rights set out in the eight fundamental conventions identified in t he Declara- tion of the International Labour Organisation on Fundamental Prin- ciples and Rights at Work and the International Bill of Human Rights. (exact text of taxonomy minimum safeguards art. 18) measurement process. This has been moved to exposure -based method in section 4.2.3. Wording has been clarified. Institutions may decide to collect these assessments or assess counterparty’s plans directly. This requirement has been amended to align with CSRD and the EU Taxonomy. This requirement has been amended to align with CSRD and the EU Taxonomy. This requirement has been amended as suggested by the comment to align with CSRD and the minimum social safeguards of the EU Taxonomy. FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 93 • negative material impacts on own workers, workers in the value chain, affected communities and consumers/end -users (to align with CSRD ESRS 2 SBM 3 and ESRS S1 -S4) including information on due dil- igence efforts to avoid and address such impacts SNCI Guidelines should introduce an opening clause to allow LSIs or SNCIs to choose the metrics, with §23.a being used only as an example. SNCI should be excluded from §23b. The Guidelines should aim to provide additional guidance to SNCIs with limited data for their assessment of financial impacts stemming from ESG factors . SNCIs should also develop sound data processes but may implement less complex arrangements in line with the general proportionality approach. No change CSDDD Guidelines should clarif y how the data collection requirements relate to the due diligence requirements laid down in the CSDDD. S ocial fac tors and data on due diligence should be introduced progressively, in consistent manner with CSDDD, which only covers entities over 1000 employees, and which includes a review clause of 2 years for the application to financial services . The requirements in the Guidelines may support the implementation of CSDDD or leverage on due diligence procedures performed by counterparties. No change Data sources Institutions may consider below data sources: forests finance, Global Oil Gas Exit list, ENCORE. Institutions should build on available data and assess data quality. No change Data quality Guidelines should set clear standards for the quality and integrity of the ESG data collected. This guidance should mirror the specificity found in frameworks such as the PCAF's guidance on greenhouse gas emissions ensuring institutions can rely on high -quality, relevant data for risk assessments and decision -making. The Guidelines request banks to review their practices regularly and improve data quality. No change Question 7: Measurement and assessment principles More guidance needed on S&G risks Excessive focus on environmental issues. The EBA should provide guidance/requirements in terms of quantification for social and governance risks. See above regarding the emphasis put on E. Banks should progressively enhance practices towards quantification for S and G. No change Para. 26a Single -name information and mapping The EBA should clarify that institutions are expected to use analytical models that overcome sectoral approaches being able to evaluate single -name information. A combination of methodologies should be used, including at exposure level. No change FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 94 Mapping of exposures to individual risk drivers would be extremely challenging and would represent questionable benefit in terms of risk management information versus the effort/ cost involved for institutions. This mapping should be restricted to economically material exposures. Not every exposure needs to be mapped against all risk drivers but tools should allow to assess transmission of ESG risks drivers to financial risks. Para. 26b ESG risk concentration ESG risk concentration is not yet defined in regulation and implies first identification and evaluation of ESG risk. Ask for flexibility in the measurement of concentration risk. Call for a gradual implementation of this approach and to keep consistency with other concentration risk related initiatives in Pillar 1 and 2. See below regarding concentration risk. No change Proportionality and use of the three methods Support for the broad range of methods. Request for flexibility/discretion in the use of the three methods and proportionality in the application of them. The range of methods has been kept. They should be applied taking into account the materiality assessment. No change Para. 27 Clarification on use of three methods Request for further clarification about which particular methodology responds to which particular risk management need and how the three methodologies complement each other, how institutions can use different methodologies for different portfolios and what are the expectations regarding forward -looking measurement methods and what are the differences between portfolio and scenario -based methodologies. The structure of section 4.2 has been changed to clarify key principles for measurement and assessment methods first. Paragraph 30 specifies how the methods should be applied for complementary time horizons and purposes. Portfolio -based methodologies rely on scenarios but should be complemented by other types of scenario analyses, which will be specified by the EBA in complementary G uidelines. Section 4.2 amended Specify baseline criteria ESG risk measurement The integration of forward -looking scenarios, especially concerning environmental risks, enables institutions to gauge potential future states and adjust their strategies accordingly. While the EBA's approach is comprehensive, an alternative could involve specifying baseline quantitative criteria for ESG risk measurement to ensure consistency across institutions. The Guidelines specify criteria for exposure - based methods. The EBA will also issue Guidelines on climate scenario analysis. No change Allow use of qualitative instruments (esp. SME) Institutions should be allowed to put more focus on qualitative tools, e.g. questionnaires. EBA should welcome the possibility of using qualitative data, especially for counterparties with limited data (e.g., SMEs). Increased flexibility has been incorporated in the Guidelines regarding assessment of ESG risks for non -large corporate counterparties, including use of portfolio -based assessments, proxies and qualitative data where needed. Section 4.2.2 amended FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 95 Instead of (indirectly) obliging SMEs to collect data, all banks and companies involved should be allowed to use estimated values and proxies . This could be in the form of portfolio -based assessments instead of borrower -specific assessments, or sector data. Para. 27 Portfolio alignment methodology Portfolio alignment methodologies not considered as relevant, but seen as, mostly, an artificial level of technical complexity highly model -dependent. To some extent, one could consider that collective metrics performed at an economically sound perimeter (such for instance as a value chain or a sectoral -based perimeter ) might bear some relevance . Portfolio alignment metrics should only complement other approaches. See below regarding portfolio alignment methods. No change Para. 27 Sector -based approach While portfolio alignment tools are useful to provide the “big picture ”, they cannot provide sufficient granularity alone to inform and shift the decision - making process at sector and asset level. For that purpose, sector -specific analysis is necessary for the key sectors. A key entry point for banks is sector - specific finance (mortgages for buildings; infrastructure finance; energy finance; shipping finance, etc). The Guidelines clarify that institutions should use sector -based methods as part of their range of methods. Guidelines and section 4.2.3 clarified Quantification and probability of materialization It is unrealistic to require banks to quantify probabilities and consequences of environmental risks. EBA should clarify that both physical and transition risk should be included and own models should be allowed to be used. Quantification of E in particular climate - related risks is important for sound risk management. Both physical and transition risks form part of E. No change Para. 28 KRIs EBA should define specific guidance on what specific KRIs institutions should establish for the measurement of ESG risks. A KRI -list with examples is useful (e.g., transition: green asset ratio, scope 1,2,3 emissions, alignment measures per sector). Limit KRIs to large corporates (para 23) A list of metrics is included under section 5.7 of the Guidelines and can support institutions in the determination of appropriate KRIs, covering a scope of exposures consistent with the outcomes of the materiality assessment. No change Para. 29 Forward -looking assessment is difficult at this point and building scenario analysis methodology will take time. In future guidelines it would be advisable to include specific guidance on how to combine top -down and bottom -up scenarios . The EBA will issue Guidelines on climate scenario analysis. No change FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 96 It would be useful that regulatory expectations around measurement are framed recognizing those limitations and acknowledging that banks will have to take simplistic projection assumptions when going beyond three years. See above regarding clarification provided on time horizons. Due diligence Institutions should commit to performing due diligence to gather comprehensive data on ESG risks . This involves collecting information directly from counterparties and utilising data from diverse sources such as NGOs, governments, and civil society organisations. See above regarding data processes. Section 4.2.2 amended Asset -level approach EBA should integrate an asset -level approach for activities that bear a particularly high transition risk, such as fossil fuel extraction facilities, or fossil -fuel fired power plants Asset -level data is mentioned in the section on data processes. See also above on materiality assessment. No change Question 8 : Exposure -based methodology Support General support for use of the three methods . Support for the requirements for the exposure -based methodology Exposure -based methods are part of the final Guidelines. No change Request for discretion for the use of methods Clarify i n paragraphs 30 to 33 that institutions have discretion as to design appropriate methodologies i.e. a principle -based approach. The exposure -based method should be subject to materiality assessment in 4.1. Institutions should design methods by complying with the Guidelines and apply them subject to materiality. See also above on materiality. No change Use more methods The exposure -based method should be complemented by other tools, such as stress testing, scenario analysis and qualitative assessments. A range of methods is requested including scenario -based methods. No change Para. 30 Concerns about mandatory integration ESG aspects into PD modelling Integration of ESG aspects into PD modelling is challenging due to data unavailability, lack of evidence and the potential technical unsoundness, particularly when considering the long -term impact of E -factors. It would be premature to modify credit scorin g or rating models. It is assumed that banks are not obliged to incorporate ESG risks into their rating models, provided that an existing ESG score covers all E, S, and G components and is used as a decision criterion during the lending process. Request for further clarificat ion. Institutions should ensure that ESG factors, in particular environmental factors, are taken into account in the overall assessment of default risk of a borrower and, where justified by their materiality , embedded in the scoring or rating models . No change Para. 30 Need for adjustments in Question if a dedicated DoD definition related to ESG risk drives is needed. Introduce a shadow PD factoring in climate -related financial risks. Modifications in the Pillar 1 prudential framework are out of scope of the Guidelines. This is covered by EBA report of No change FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 97 prudential framework The prudential framework should be adjusted to allow for larger weight of forward -looking assessments. Introduce pragmatic solution such as the margin of conservatism or a downturn component. October 2023 and upcoming reports under CRR3. Para. 30 Use of scores/expert judgements Give institutions flexibility to rely on existing ESG scores used as decision criterion in the lending process or expert judgements/overrides. Institutions should design and use tools as specified by the Guidelines. See also clarification on the assessment of each category of risk. No change Make requirements discretionary Regarding the risk factors and criteria, change “at least’ into “where applicable” or alike, as the list is not relevant for all exposures and sets requirement regardless of portfolio materiality. Where applicable was already included. The method should be applied subject to materiality. No change Para. 31(a)(b) Degree of vulnerability Support for consideration vulnerability. Clarify what is meant by ‘the degree of vulnerability’ in 31(a)(b). Do not limit ‘degree of vulnerability’ to new technical developments (e.g., carbon capture projects). The degree of vulnerability should be assessed by institutions taking into account the factors listed in the Guidelines. No change On- and off - balance sheet Support EBA’s approach to cover both on - and off -balance sheet activities. Request that this should be made clear through the whole GL. CRD and the Guidelines require institutions to have risk management processes comprehensive and proportionate to the nature, scale and complexity of the ir activities . No change Para. 31b The EBA should ensure that GHG -emissions are analysed in absolute and intensity terms. Para. 31b should be amended as to clarify that GHG emissions as such are not a risk driver, as long as they are legitimate under the law, and as long as GHG certificate prices do not contribute to the underlying businesses risk of default. The analysis should be completed by the level of alignment of counterparties with the Paris objectives. Include scenario analysis in the evaluation of mortgage collateral. See above – alignment with CSRD. GHG emissions are not a direct predictor of financial risk but should be taken into account in the risk assessment. See portfolio alignment method. Banks should use scenario -based tools. Section 4.2.3 amended Para. 31b Consideration of transition plans EBA should include transition plans and the credibility and robustness of transition plans of the counterparty to mitigate these risks in para. 31b. Transition plans are part of the risk mitigating factors banks should take into account as clarified in paragraph 32. Section 4.2.3 clarified FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 98 Transition plans/objectives are important and given the drawbacks of the prudential framework (backward -looking; data limitations etc.), EBA is encouraged to work with other EU/international supervisors towards a common baseline approach to transition risk analyses and measurement . Para. 31c Difficulties with inclusion of supply -chain Concerns about the inclusion of the supply chain. Request for clarification of what is expected. Proportionality of the institutions and the counterparty should be considered. One respondent asks to only ask broad questions about the supply chain. Information required should not go beyond the CSRD. It should be made explicit that the supply chain is not the responsibility of the bank; reference is made to the CSDDD where the downstream value chain of financial institutions is out of scope. Some respondents note ‘likelihood’ estimation of critical disruptions to the business model/supply chain would remain complex in the near future and the supply chain element is too far -reaching and not manageable. One respondent asks to change ‘likelihood of critical disruptions’ into ‘exposure to critical disruptions’ to maintain flexibility. To properly assess ESG risks at the exposure level banks should understand if the business model or supply chain of the counterparty could be affected by critical disruptions due to ESG factors. This is without prejudice to the application of CSDDD and for ms part of sound risk management. The wording has been amended to refer to exposures to critical disruptions. Section 4.2.3. amended Para. 31c Currently there are no market standards or science based initiatives which provide such reliable impact assessment of biodiversity loss, water stress or pollution . Banks should gradually develop their practices and benefit from improving ESG data. No change Para. 31d Maturity Agree to include the maturity. Clarify that the maturity of the exposure is needed to identify which risks are relevant for the exposure, depending on their time -horizon of materialization . The maturity criteria has been maintained in the list of factors to consider. No change Para. 31e Risk mitigation Agreeance that risk mitigation aspects should be carefully considered to enable transition finance for both transition/physical risk. Especially the willingness of the customer to transit. Of possible use: client transition plans. Provide further clarification on the forward -looking element of risk mitigation opportunities and how this is expected to be embedded as part of the assessment. Risk mitigating factors including insurance and transition plans are part of the factors banks should consider when assessing ESG risks at exposure level, as clarified in paragraph 32 . Section 4.2.3 clarified FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 99 It is important that banks who are not in the first line, could deduct the insured portion of their loans and only keep the residual one when assessing their materiality. Para. 32 Engagement with small counterparties Difficulties of meeting the requirements in para. 32 re. the engagement with smaller counterparties to obtain data. Request for additional considerations and simplifications for SMEs, e.g., to use portfolio -based valuation methods like in the EBA GLOM, or the use proxies on portfolio level, expert judgement or data vendors. Data collection should only be done in the onboarding process to avoid burden for the bank and SME later. Respect principle of proportionality. Under no circumstances should the data requirements to be provided to SMEs exceed those in the reporting standard of the voluntary reporting standard for SMEs (VSME). The issues posed around obtaining useful vendor data would make it necessary for the EBA to clarify and possibly narrow its definition of counterparty to allow for institutions to be able to fulfil the requirements. See above regarding data processes and the increased flexibility incorporated for non - large counterparties. Section 4.2 amended Para. 33 Time horizon S and G factors Limit the time horizon for S+G risks to short -term as para. 33 contradicts para. 27. The requirements regarding the time horizons are too imprecise and clarification is requested of what is expected. The reference to time horizons has been removed in this specific paragraph. See also above on time horizons. Section 4.2.3 amended. Para. 33 Clarify due diligence requirements Support for the inclusion of social and governance due diligence. EBA should clarify that the due diligence assessment is limited to borrowers for whom such procedures are considered essential/suitable for the business relationship. More guidance on how the assessment should be implemented. Institutions should perform due diligence to assess financial risks stemming from S and G factors. This should be done by taking into account outcomes of materiality assessment. Section 4.2.3 clarified. Para. 33 It is not clear how S&G factors would drive prudential risk aside from certain severe scenarios – therefore we believe that institutions should be allowed to make their own assessment of the relevance of these factors to their risk management. Institutions should assess potential financial risks linked with S and G factors. Section 4.2.3 clarified. FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 100 Para. 33 Include that institutions can consider sector and count ry risk levels on social and governance matters as a way to assess exposure when limited counterparty data is available. When data is not available institutions should follow the steps outlined in the data processes section. No change Reach out to universities Financial Institutions may seek scientific validation from universities when developing and using new methodologies on S and G. Banks may decide to do so. No change Para. 33 There should be global alignment on social/governance aspects, as it cannot be expected of banks to reach out to all customers separately in different jurisdictions, or several times with regulation becoming more concrete and demanding. The responsibility placed on banks regarding due diligence is excessive and could lead to different outcomes in different institutions. Due diligence on clients is part of banks’ risk management, in line with materiality and proportionality considerations. No change Consideration of social and governance risk Para. 33 The evaluation of a counterparty's social and governance risks should extend beyond merely checking its compliance with international standards. It should also encompass an assessment of the effectiveness of the strategies implemented by the counterparty to mitigate these risks. Institutions should assess financial risks taking into account adherence to social and governance standards. Section 4.2.3 clarified Question 9: Portfolio alignment methodologies Alignment with other European regulatory initiatives EBA should work with other EU supervisory authorities , as well as non - financial authorities, to establish a set of scenarios for common use, as well as encourage further cross -institutional work on the sufficiently granular regional and sectoral pathways . Connect the sectoral portfolio alignment guidelines to the PiT distance to the IEA NZ 2050 scenario disclosed in the Pillar 3 ESG Templates. Profit from NACE code -level information, to connect the misalignment of exposures to these sectors, depending on the level of alignment (or non -alignment) of the relevant exposures to the EU taxonomy. The EBA will issue Guidelines on climate scenario analysis. See also below on the choice of scenarios. The Guidelines have been kept high -level; the (mis)alignment may be expressed in terms of point in time distance in percentage points. No change. Transition risk Alignment only means a lower risk if the economy gradually transforms towards CO2 neutrality. If this does not happen and the world remains in a hot house world scenario, sustainable exposures could even be riskier. The financial impacts analysis should take into account both Net Zero scenarios and ""most probable"" scenarios that Banks seek as appropriate in Banks should assess ESG risks based on a range of scenarios. The Guidelines include portfolio alignment methods as one of the tools banks should use to assess climate transition risks, and will be complemented by No change FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 101 order to perform sensitivity analysis related to the impacts stemming from setting Net Zero target strategies when the economy is not moving towards a Net Zero direction . Guidelines on climate scenario analysis considering a wider range of scenarios. General Consequences of misalignment Will penalties and/or remediation measures/actions be imposed when the portfolio's gap from these objectives is significant? In a perspective of aligning portfolios with the climate target, the regulator could clearly define the criteria that banks must consider in the loan origination process. The Guidelines do not address supervisory measures but explain how institutions should consider insights from alignment assessments. No change Para. 34 Focus should be on sector -level. EBA should dismiss portfolio -based methodologies and rather use asset -level assessment. To some extent sectoral -based metrics could be considered, leveraging notably on existing transition scenario trajectories and sectoral objectives . Portfolio -level metrics could encourage to finance climate - neutral sectors instead of facilitating the transition. Either make explicit that portfolio -based methodologies must include sector - based methodologies, or add a fourth level with sector -based methodologies. It has been clarified that the section deals with sector -based methods, portfolio -based and portfolio alignment methods. In particular alignment assessments should be conducted on a sectoral basis. Section 4.2.3 clarified Para. 34 Bank’s discretion in ESG risk management is not prescribing portfolio alignment Absent firm -level net -zero requirements (EU Climate Law holds for Member States) , why should be banks required to factor climate -related portfolio alignment into their risk management practice ? Firms may choose to shift the composition of their portfolio away from certain exposures/sectors to reduce transition risk, but they may equally decide to adopt other risk management strategies that allow them to retain their existing portfolio balance (e.g. through other hedging strategies). The Guidelines do not prescribe an alignment strategy. Institutions should decide which strategy they pursue. Portfolio alignment assessments should be taken into account in this process given insights provided into exposure to climate transition risks. Section 4.2.3 clarified Para. 34 Science -based methodologies We recommend specifying that while the banks may choose appropriate methodologies, these should be science -based. Caution regarding implied temperature alignment methodologies from third -party vendors, which should follow appropriate data and model risk management processes. Focus of the section is not on implied temperature alignment at the institution’s level but on assessment at the sector level, including through reference to science -based scenarios. Section 4.2.3 clarified Consideration of off-balance sheet exposures EBA should instruct institutions to have internal procedures in place to assess their off -balance sheet exposures and, in particular capital market activities . Procedures should be proportionate to ESG risks associated with different activities. No change Para. 35 Supplement the climate portfolio alignment methodologies with the energy supply -banking ratio (ESBR). ESBR compares the underwriting activity of Such metric has been added in section 5.7, see below on monitoring indicators. Section 5.7 amended FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 102 Energy supply - banking ratio banks in two sectors: low -carbon and fossil -fuel energy. It can be used to monitor the alignment of a bank with an investment trajectory that meets the Paris Agreement . Para. 35a Reference to GHG -emissions only Alignment with GHG emissions only could make financial institutions encounter more difficulty in supporting net -zero transition of hard -to-abate sectors (triggering financial institutions' divestment), which could hinder the real economy from achieving decarbonisation. The Guidelines do not require exit or de - financing; alignment assessments can be used as starting point to focus engagement on certain counterparties. Section 4.2.3 clarified Para. 35a 1990 base year not feasible The reference to the 1990 baseline is not workable for banks (e.g., did the current group structure exist already in 1990). We also would like to flag that under the EBA ST ""fit for 55"" exercise, banks were asked to work on a 2022 baseline. EBA should provide more flexibility. The priority for institutions should be to develop a methodology of portfolio alignment in relation to the wider EU target, in order to identify the gap between this target and institutions’ own portfolios and manage the risk arising from any gaps. The reference to 1990 should be understood in the context of the EU objective to reduce emissions at the jurisdiction’s level. It does not apply to 1990 banks portfolios but to decarbonisation pathways at EU level. Section 4.2.3 clarified Para. 35a - Financial risks It should be clarified that alignment gaps can be leading directly to financial risks for the bank . Alignment assessments support climate transition risks and related financial risks assessments. Section 4.2.3 clarified. Para. 35a Support for S&G matters Including S&G could provide more holistic view of sustainability. For social and governance matters the portfolio based methodology can point to social and governance related metrics of SFDR Principal Adverse Indicators as relevant portfolio level indices. Please provide more guidance on how to apply the portfolio -based methodology to social and governance risks . It is considered preferable to give institutions flexibility to develop their methodologies on S and G risks. No change Para. 35b - scope of paragraph Clarify whether paragraph 35b only relates to transition risk (i.e. in relation to 35a) and excludes physical risk. Portfolio alignment assessments are relevant for climate transition risk. Section 4.2.3 clarified Para. 36 List of sectors; range of comments 1. Remove list, as there is a risk of diverting resources from strategic indus- trial sectors such as automotive, aviation, and maritime transport, which are also essential in terms of def ence from a geopolitical perspective. 2. Take a more neutral approach – i.e. they should not define the sectors to which these methodologies apply, nor the scope within each sector. In- stead this should depend on institutions’ materiality risk assessment. The list of sectors against which portfolio alignment assessments should be performed has been amended to more clearly refer to institutions’ portfolios characteristics and materiality assessment. Institutions that disclose alignment metrics under Pillar 3 Section 4.2.3 amended FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 103 3. Need for a common understanding of the sectors which are potentially subject to higher transition risks . 4. Explain why only the limited list is included. 5. Add sectors (e.g., fossil fuel production; also extended to the entire value chain ( upstream, transformation , storage, refining, processing and distri- bution) ). 6. Align with NZBA sectors. 7. List is not consistent with sectors referred to in para. 72b. should take into account the minimum list of sectors included under Pillar 3 requirements. Large institutions Explain what is meant by “large institutions”. The CRR definition applies. No change Para. 36 Notes on IEA methods Support IEA approach. W here IEA sets targets in terms o f absolute and intensity, both should be considered. Clarify that the latest updated scenario should be used to prevent the use of outdated scenarios Up-to-date scenarios are required. See also below regarding IEA. Section 4.2.3 amended Para. 36 Use of other scenarios than IEA (flexibility) 1. Allow other scenarios than IEA, like NGFS, NZBA, GFANZ, IPCC sce- narios. 2. IEA scenarios have limitations (e.g., not specific enough and do not take into account national/regional specificities, account for sectors that are dependent on energy only). No scenarios available for the agricultural sector nor forestry, nor does it con sider land subsequent nature -based carbon sequestration. More sectoral pathways should be considered. Also, creates oligopoly situation and undue costs of smaller banks. 3. EBA should provide guidance on how institutions can account for dif- ferences between sectors, countries, and regions (to tackle critique on IEA scenario). Articulate whether regional scenarios could be con- sidered to distinguish between exposures in (a) emer ging markets and developing economies and (b) exposures in developed coun- tries. 4. Align with GFANZ's best practices on measuring portfolio alignment, and providing principles -based guidance, such as the Portfolio Align- ment Tool key design judgements. The Guidelines have been amended to keep the reference to IEA but as an example among a range of scenario providers. Key selection criteria (science -based, consistent with policy objective etc) are outlined in the Guidelines and institutions should documen t their methodological choices. Section 4.2.3 amended FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 104 5. The EBA should encourage European banks to voluntarily uptake Mortgage Portfolio Standard (given that mortgage portfolios are a material source of climate risk) as part of their strategies to decar- bonise their assets and to manage and act upon their ESG ri sks, and rely on the NZBA portfolio -level tools. European banks would then develop emissions metrics using on PCAF to quantify financed emis- sions, and finally set targets through SBTi. 6. Instead of using the IEA scenario as a baseline, use the Paris Agree- ment scenario. This is not only in line with the 1,5 -degree goal but also reflects an internationally signed and acknowledged framework. Para. 36 Representative samples of exposures for SNCI Explain/define 'representative samples of exposures' for SNCIs. Require that institutions explain how it manages to identify representative sample of exposures in their portfolios, as this determines the quality of the generalization of the results. The Guidelines have added an obligation for banks to document and justify their methodological choices including for SNCIs the identification of representative exposures. Section 4.2.3 amended Para. 36 Explain use of counterparty - level data Require institutions to highlight how they use counterparty -level data to perform portfolio analysis. Require the banks to explain when an aligned portfolio includes counterparties with high misalignment and that could lead to high -risk exposures for the b ank, for example in terms of strategic or reputation risk of the bank. Counterparty -level data is an input to portfolio analysis. Alignment analysis can also be performed at counterparty level. Section 4.2.3 amended Para. 37 More information requested on methods. Provide detailed information on specific scenarios and methodologies, specifically on regional characteristics (sectoral/jurisdictional). Ensure the methodology is acknowledged globally (not European). Lacking a credible approach/metrics to analyse portfolio misalignment with climate objectives as a source of transition risk, EBA should provide more guidance on the possible approaches for comparability. See above regarding the choice of scenarios and key criteria. The Guidelines specify main features of methods but leave a degree of flexibility to banks to develop their own tools. No change Para. 37 nature - related risks Provide further guidance on how portfolio -based methodologies can be applied to ESG risks, including nature, from both a financial and impact - related perspective. The requirement on nature has been clarified, still with flexibility left to institutions to develop their own tools. Section 4.2.3 clarified. Para. 37 Use of heatmaps The explicit mentioning of heatmaps raises questions, as floods seem to generate the most material damage in the EU. Heatmaps are a relevant tool and can be applied to a range of E (including floods), S and G factors. No change FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 105 Heatmaps for S&G will require more time in order to be able to identify relevant topics, exposures and metrics. Para. 38a Methods to identify natural capital dependencies 1. Support. 2. Provide additional guidance, e.g. indicators such as deforested hec- tares or utilising tools like ENCORE (Exploring Natural Capital Oppor- tunities, Risks, and Exposure) to assess the impact of environmental degradation on financial portfolios. 3. Tools mentioned are Impact Analysis tool (UNEP FI), the Biodiversity Risk Filer (WWF) and the Water Risk Filer (WWF). 4. Para. 38a should mention also ""impacts"" on nature and not only ""de- pendencies"" to better represent the environmental risks stemming from the portfolio exposures . The Guidelines do not require specific tools but institutions can consider the tools mentioned in the comments as well as potential other tools and data bases. Impacts on nature has been added with a view to assessing potential related financial risks. Section 4.2.3 amended Para. 38 Requirement goes beyond mandate; impact materiality Para. 38 is impact materiality. But either (i) the institution has made commitments and full transparency must be provided on the method and scope of these commitments, or (ii) it has not made a commitment and the guidelines must not create a framework and an obligation to make a commitment. Adverse impacts may result in financial effects. No change Para. 38b Remove SDG or concerns related 1. Support. 2. Remove reference to SDG goals; positive impact goes beyond risk perspective. The EU and member states utilize the SDGs as a frame- work for setting political goals in legislation. Therefore, alignment analyses implicitly cover the SDGs. 3. The CSRD sufficiently addresses how companies position themselves in relation to the SDGs. 4. The requirement is deemed restrictive and not consistent across the document. 5. Caution that in some business activities, conflicts between the SDG goals arise. 6. Why would EBA refer to SDGs when we have principal adverse im- pacts within SFDR? Couldn't the Regulatory Technical Standards be used for this? The requirement has been maintained as it only applies to large institutions and can inform the assessment of risks linked to a range of ESG factors, taking into account data requested or made available under other regulations such as CSRD and SFDR. No change FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 106 GL on scenario analysis In relation to the future Guidelines on scenario analysis, it would be helpful for the EBA to provide additional detail on the anticipated timelines and scope. The EBA will issue a consultation in Q1 2 025 and final Guidelines by end -2025. No change Question 10 : ESG risk management principles (par. 40) ESG as driver of traditional risk categories We welcome the recognition that ESG risks are not an independent risk type, but transversal in the sense that they influence traditional risk types. Depending on the paragraph ESG seems to be a separate risk instead of a driver of traditional risks. The definition of ESG risks provided in CRR applies throughout the Guidelines. No change (par. 42 intro) time horizons of 10 years - too short We encourage the EBA to consider a longer time horizon than 10 years because: need to capture the longer -term physical effects of climate change ; the (NGFS) scenarios tend to be longer term ; transition plans are aiming for net zero emissions by 2050 ; many net -zero commitment and climate pledges aiming for 2050. See above on time horizons and below on plans. Section 5.1 clarified (par. 42 intro) time horizon of 10 years - too long The 10 -year time horizon implies enormous challenges given the lack of available data, as well as the uncertainties inherent to the transition. Institutions should therefore be granted enough flexibility to set their own time horizons and interim milestone s under the Guidelines. A time horizon of 10 years or longer is feasible and adequate for many institutions. However, promotional banks and guarantee institutions members pursue business models and funding mandates that are characterised by shorter terms and observation periods. Th is also applies to the period typically considered in the risk management process for material risks. We therefore propose that the wording here be adapted to a long time horizon so that a suitable definition can be made for the institutions on the basis of the business model and the respective funding mandate. The section has clarified that banks should take into account the principles applied to the level of granularity and quantification tools outlined in paragraph 19. Challenges for long time horizons exist but various including long time horizons need to be integrated into comprehensive and forward -looking risk management approaches for ESG risks, as also required by CRD, which also specified the minimum 10 years perio d. Section 5.1 clarified (par. 42 intro) support The principles seem consistent to us and the ""minimum"" range of tools for managing and monitoring ESG risks seems sufficient to us. The comment has been noted. No change (par. 42 intro) too prescriptive We have found the requirements outlined in para. 42 to be somewhat restrictive. It should be at the discretion of the institutions which measures The requirement for institutions to determine which combination of tools they No change FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 107 they take to measure and mitigate risks. In the latter case, ""bearing a risk"" may also be a possible option that is not even considered by the EBA here. Regionally anchored institutions or institutions with a sector specialization are inherently less diver sified but have specialist knowledge . With regard to the tools to be considered (para. 42), we request that the wording ""at least"" be deleted and the measures mentioned be cited as examples , not intended to be mandatory . will apply, considering a range of tools specified by the Guidelines, is not considered overly prescriptive. Banks may decide to apply some tools to a higher/lesser extent, ensuring consistency with their risk appetite. (par. 42 intro) language In par 42d, the term “ESG-relevant criteria ” is not precise enough. It should be replaced by the term “ESG risk -relevant criteria ”. The term has been changed to ESG -risk relevant criteria. Section 5.1. amended (par. 42 intro) Proportionality The engagement policy should not be a binding tool in its scope (counterparty and services concerned) and in the elements to be included therein as it relates to the customer and trust relationship between the customer and the bank. We therefore recommend t hat the guidelines present this topic as a tool that the institution can consider in a proportionate manner . The banks should consider engaging counterparties for sound risk management and transition planning. See also clarification on the scope below. Section 5.1 amended (par. 42a) Engagement activities – suggestion to create dedicated EBA GL on this point, more guidance needed Need of EBA guidelines on institutions’ engagement with counterparties: for the paragraph 42 a), we strongly recommend EBA to develop such guidelines, as a follow up of these guidelines (ie in the course of 2025). Indeed, the points (a) to (d) are not deta iled enough and will very likely be difficult to implement and to monitor. For example, it is not specified at all what the “soundness” of counterparties’ transition plans should mean (ii) and how they should be assessed by institutions. For this critical issue of transition plan assessment, EBA should build on the ATP -COL global multi -stakeholder initiative, led by the World Benchmarking Alliance. What engagement means exactly should be specified by EBA. The EBA is not mandated to issue other, new Guidelines on engagement. However, requirements for engagement policies as well as for the assessment of counterparties’ ESG risks have been included in these final Guidelines on ESG risk management. No change (par. 42a Engagement activities as risk mitigation tool – need to be effective and credible We support the recognition of the role that engagement should play as a tool to mitigate ESG risks. However, EBA should clarify the expected measures to encourage counterparties to mitigate and disclose ESG risks. Institutions indeed cannot consider having mitigated their ESG risks if engagement does not result in mitigating actions at the level of the counterparty or in the integration of the actual risk . Engagement activities should therefore be linked to clear time -bound objectives, an escalation process and a The final Guidelines have incorporated in this section the requirements on engagement that were originally part of section 6, and which include aspects relating to counterparty -specific actions, including exit as a last resort. Escalation procedures should Section 5.1 amended. FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 108 divestment strategy for off -track counterparties or counterparties with no sound and credible transition plans. be specified in the engagement policies (see below). (par. 42a) Engagement activities – influence, feasibility/ flexibility, proportionality, potential clashes The lever with the counterparts highly depends on the type of services banks provide and the depth of their customer relationship . We fully share the EBA view on the importance of engagement policy to ensure consistency with banks ’ climate commitments. However, we are wondering whether these guidelines are an appropriate place to stipulate engagement policies. The first objective of the engagement policy is to collect relevant data which is consistent with the need of data quality. Beyond that, the need for banks to strive towards improving the counterparts ’ ESG profile (and relative metrics) should be left as a tool that banks may con sider managing their ESG risks or the implementation of their transition plans, instead of being required in these guidelines. We would like to highlight that there does not appear to be any proportionality around the proposed requirement for institutions to engage counterparties, as specified in para 42(a). These elements would be considered by banks in their engagement policies. The Guidelines refer to engagement as a means to gather relevant information in the data processes section. In addition, engagement as a tool in the risk management and transition planning toolbox is considered relevant also from a prudential perspective. The Guidelines have clarified that banks should determine the scope of counterparties with whom to engage. Section 5.1 amended (par. 42a(i, ii)) Which counterparties to engage with – more precision needed Need for specification: We call on EBA to provide more granular definitions on the terms most important and most critical counterparties, large counterparties and large corporate counterparties. We note that the Draft Guidelines include various qualifiers to describe the scope of counterparties that should be covered by engagement activities. A balance needs to be struck between encouraging institutions to meaningfully engage with counterparties who are most relevant to the management and mitigation of ESG risks, and avoiding creating an overburdening obligation to demonstrate engagement with ev ery possible counterparty. A key learning in relation to striking this balance was that prioritisation of stakeholders is vital. However, the group of relevant or priority counterparties can vary widely across financial institutions, depending e.g. on the business model of the firm, the sectors it provides financing to, or the geographic location of The final Guidelines require banks to determine the scope of counterparties with whom to engage, taking into account their materiality assessment and risk measurement methodologies to support their prioritisation choices. Section 5.1 amended. FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 109 the counterparties. In addition, it may make sense for an institution to evolve its stakeholder prioritisation over time . Importantly, the size of a counterparty may not necessarily be a reliable proxy of whether engagement with that counterparty should be prioritised, as size may not be a good indicator of the extent of that counterparties ’ relevance to the ESG -risk exposure of the financial institution and/or the success of its transition plan. In some cases, the financial exposure to a given counterparty may be more relevant. (par. 42a(i)) Which counterparties to engage with – materiality criteria and definition of criticality In the identification of priority counterparties where engagement should be carried, we also recommend EBA clarifying the factors of criticality. The size of the exposures, but also the sector, the availability of transition plans, the location and the deviation from initial transition targets are factors that should be considered. We would also emphasise that the scope of counterparty engagement should be linked to institutions materiality assessment , rather than solely size. That is the prerequisite to ensure efficient allocation of resources . See answer provided above. Section 5.1 amended (par. 42a(i)) Which counterparties to engage with – inclusion of SMEs needed We also contend that engagement strategies should also include SMEs. Non - large corporates will play an important role in the transition to a low -carbon economy, and institutions, through relationship managers, could contribute to this role. This would also prevent the generation of a portfolio -level blindspot, where small ESG -related risks could, in the aggregate, become material to institutions. SMEs may be included in the scope of counterparties to engage with, depending on institutions’ nature of activities. See clarification on scope below. Section 5.1 amended (par. 42a(ii)) Role of banks in assessing clients transition plans We support these ESG risk management principles, in particular paragraph 42 on the need to consider a range of risk management and mitigation tools, including engagement with counterparties on their transition plans to improve their ESG risk profile . No response needed . No change (par. 42a(ii)) Role of banks in assessing clients transition plans – Additional guidance on how this assessment should be performed must be provided, including on sectoral pathways to which corporate transition pathways could be compared . We believe it should be the responsibility of public institutions to put in place effective measures to assess and monitor the credibility and soundness of the counterparties ’ transition plans. Risk assessment methods are specified under 4.2, however do not remove banks’ responsibility to assess the risk profile and creditworthiness of their counterparties, by taking into account ESG risks and risk No change FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 110 methodological advice wanted We would appreciate any proposals on the methodology for evaluating clients transition plan, particularly regarding the feasibility of the plans . mitigating factors such as transition plans of counterparties. (par. 42a(ii)) Role of banks in assessing clients transition plans – need to rely on auditors, cannot be responsible It should be clarified that banks cannot be made responsible for the assessment of the credibility of clients ’ transition plans. Even with a limit to large counterparties, assessing the credibility of transition plans could in practice be a huge challenge for banks, especially without clear benchmarks and further guidance as to the depth of the assessments and a clear link to materiality of risks. In any case such requirement would go beyond what should be the responsibilities of banks. The expectations sh ould therefore be clarified, including on the role of auditors in the assessment of clients transition plans. While banks should be in the position to understand client s plans, they should be able to rely on the auditors assessment of the robustness, soundness and credibility of these plans. We should be able to presume that plans published under CSRD are credible, reliable, robust, and sound. Moreover, it should be noticed that if this process is to be made by every bank, it can come with different outcome s. The Guidelines do not refer to credibility but to transition plan of counterparties as potential risk mitigation factors. Assurance provided by auditors in the CSRD/ESRS context do not relieve banks’ responsibility for assessing the risk profile of their c lients. No change (par. 42a(iii)) - greenwashing risk Need for specification: provide further guidance on how to assess processes, and define escalation mechanisms where greenwashing risk is not mitigated . We have concerns about the evaluation of the processes of borrowers to identify and mitigate greenwashing risks. The requirement seems to go far in terms of banks’ interference in clients’ management. Banks should not be made responsible for the review of the risk of greenwashing of their counterparties (even the larger ones). From a proportionality point of view, at least LSIs and SNCIs should be excluded from the analysis of greenwashing risks. Requirements on the management of greenwashing risk have been removed from this section and consolidated in section 5. 6. Section 5.1 and section 5.6 amended (par. 42a(iv)) Engagement activities – encourage to mitigate risks Paragraph 42 a) iv. should also mention explicitly here the use of an escalation process as part of the engagement process, including the potential recourse by the bank to coalitions with other financial actors where relevant. This escalation process is key for the bank to make the most of its engagement with the counterparty in a context of risk management . See above on integration of requirements originally part of section 6, and below on engagement policies including escalation procedures to be specified under plans. Section 5.1 amended FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 111 In addition, we recommend a new point (vi) on divestment when needed as a last resort strategy, if the escalation process is deemed to fail. As a matter of fact, EBA mentions “last resort cessation of the relationship when continuation is considered incompatible with the institution ’s planning and risk appetite ”, in Pararaph 103. (par. 42b) more guidance The EBA could consider establishing more granular guidance on the operationalization of these management principles, such as methodologies for adjusting financial terms based on ESG risk assessments. The granularity of the Guidelines has been considered sufficient. No change (par. 42b) Engagement activities - adjusting financial terms and/or pricing - challenging At present, institutions may face challenges in empirically detecting the impact of ESG issues on the PD or calculating the ESG -sensitivity of the risk premium. This information is crucial for adjusting financial terms. While adjusted pricing policy may result from the credit rating of the counterparts it should not been seen as an automatic tool to use to manage ESG risks. Indeed, such a tool, if required by regulation, could result in level playing field issue where oth er banks will offer better prices. This could create important level playing field issues, resulting in EU banks becoming less competitive than non -EU banks, which do not face such requirements . It may also disincentivize institutions from providing transition finance. Also, in the case of syndicated loans where several banks are involved, it may be complex to unilaterally change financial terms and conditions . The EBA acknowledges that there are challenges but institutions should develop their practices to assess the impact of ESG risks on financial risk types. The Guidelines require banks to consider adjustments in their pricing policies, whe re relevant and in line with their risk appetite. No change. (par. 42c) Risk management/mi tigation - Risk limits We also ask for clarification that a limit is not set or derived solely on the basis of ESG aspects. Various risk drivers are responsible for this as part of risk management. This one -sided presentation of the limit (purely on the basis of ESG criteria) wo uld not be consistent and should not be understood as integration into the existing methods and procedures . To avoid misunderstandings, we request the following rewording: “considering ESG for the purpose of setting global, regional and / or sectoral limits, ... ”. The final Guidelines have been adjusted by clarifying that ESG risks should be considered when setting limits. Section 5.1 amended (par. 42c and e) Risk mitigation tools – role of The EBA should acknowledge the role of sectoral policies and especially fossil fuel sectoral policies and other restrictions in ESG risk mitigation: Today, many financial institutions already consider this, notably by adopting sectoral Sectoral policies have been added more clearly in the range of tools. In addition, fossil fuel sector entities are mentioned in the Section 4 and section 5.1 amended FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 112 sectoral and restriction policies policies that restrict their support to some activities and objectives to increase support to higher ESG -ranked activities or companies. In this regard, sectoral policies that apply to the fossil fuel sector are the most widespread and can especially contr ibute to proper risk management, but other ESG sectoral restrictions have been used (for example on tobacco). materiality assessment procedures, which should support the engagement policies and other risk management processes. (par. 42d) Risk management/ mitigation - diversification It is our belief that the information provided in para. 42 d), such as 'by economic sector or geographical area,' is intended as an illustrative example and should not be regarded as a mandatory criterion. The example could be removed as the bank establish es its own standards for diversification, considering various factors. Although ESG criteria are significant, they are of secondary importance in this context. We do not agree with the request for banks to diversify their lending and investment portfolios based on ESG -relevant criteria. EBA should not request banks to have a certain percentage of exposures towards green investments as a risk mitigation tool but must allow banks to as sign investments towards sustainable activities based on their overall commitments and investors ’ appetite. Banks should focus on the quality of their exposures, and not on the volumes of green exposures. Yes, ‘e.g. in terms of economic sector or geographical area’ is an example of possible application. As in the rest of the section, the requirement is to consider this tool as part of a risk management approach. Diversification can support institutions in managing ESG risks, without any requirement set in the Guidelines on the volumes of green exposures. No change Question 11: section 5.2 – ESG risks in strategies and business models General The provisions should be reinforced, via among others divestment from most environmentally harmful sectors or development of clear strategies to finance and push the transition. Banks remain responsible for setting particular strategies. See also list of risk management tools. No change General To ease the integration of ESG risks in institutions’ business model and strategic planning, EBA should provide a template or framework to operationalize the guidelines more effectively . See answers on section 6 below , also as regards the addition of an annex to the Guidelines . Annex added Para 43 Some flexibility should be given to institutions to run their business model and strategy, to define their risk appetite and to include ESG risks in their already existing framework (with no need for additional tools for strategic analysis or specific metr ics), as long as they can demonstrate they have put The section is not considered overly prescriptive. No change FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 113 in place a governance and a sound risk management framework . The provisions are considered too prescriptive. Para 43 Particular flexibility should be given to SNCIs (recommending only a qualitative analysis of strategy and risk appetite as part of the materiality assessment , with no need of transition planning) and to entities with a ‘social economy function’ (recognizing their mission, being social economy goals aligned with ESG factors per se). See answers provided on proportionality above. No change Para 43 In institutions’ business and risk strategies, also possible risk arbitrage at various horizon levels should be considered, as well as the need to ensure that short, medium and long -term objectives and targets interact and are well articulated . This aspect is covered under section 6. No change Para 43(a) Further guidance is needed regarding how business environment might affect ESG risks . Institutions should assess how ESG risks can affect the business environment. No change Para 43(d) EBA should reinforce provisions on KPIs, e.g. by making it clear that they should be accompanied by a risk/profitability analysis, rely on specific business and market assumptions and/or calibrated based on Paris Agreement and the 1.5°C target, and by recommending the disclosure of KPIs and amendments thereof over time . Other respondents disagree on mandatory KPIs . Targets are key to support strategies and their implementation should be monitored. More details are provided under section 6. No change Para 44 Considering the different level of details for ‘E’ risks, the EBA should clarify if the provisions are applicable to all ESG risks, eventually complementing the wording thereof. The EBA should clarify the scope of stress tests (EBA or other stress tests? SIs or also SNCIs taking a proportionality principle into account?) No change – the section refers to ESG , in particular E. See also above on C, E, S, G. It has been clarified that institutions should take into account their internal stress tests. Section 5.2 clarified. Paras 43, 44(a) and 45 The EBA should clarify the terms ‘ESG factors’ and ‘ESG perspective’, suggesting that they should be accompanied by the term ‘risk’, and the para 44(a) should be deleted. The Guidelines refer to the ESG risk perspective. Section 5.2 clarified Question 12: Section 5.3 – ESG risks in risk appetite (par. 48) “escalation” Paragraph 48 refers to an escalation process set out in section 5.8 but it looks like it is set out instead in section 6.5 paragraph 103. Escalation has been mentioned more explicitly in paragraph 80 in section 5. 7. Section 5.7 amended FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 114 Connection and need for consistency between risk appetite and strategic business model objectives Risk appetite is a framework for dialogue between strategy and risk considerations. It would be useful to take advantage of this framework to ensure overall consistency with any climate commitments made by the bank, the transition plan and its sector -speci fic dimensions on objectives (decarbonization, financing). All this should feed into the risk appetite and credit limits that the institution must set itself, if we assume that the prudential transition plan must contribute to (or not detract from) the climate transition plan. The Guidelines have added that the integration of ESG risks in the risk appetite should be consistent with the institution’s strategic objectives and commitments and with the plans and targets specified under section 6. Section 5.3 clarified (general) planetary boundaries Given the unprecedented urgency of the state of climate change and nature loss, we recommend EBA to express more prescriptive recommendations on what level of ESG risk appetite might be considered excessive or dangerous. In this, we suggest referring to th e planetary boundaries. The Guidelines specify risk management arrangements from a microprudential perspective . No change (general) insights from stress testing Additionally, the EBA could provide guidance on integrating ESG risks into stress testing frameworks, further informing risk appetite decisions with forward -looking insights. Inputs from stress testing should inform business strategies under 5.2 hence risk appetite. No change (general) ESG as stand - alone vs. driver of traditional risk categories It is not clear why ESG should play a separate role as a risk driver when determining risk appetite compared to traditional risks. Ultimately, it materializes in the known risk types for which risk limits and risk capital are set or allocated. The separate consideration of ESG as a risk driver when defining the bank’s risk appetite is questionable, as it affects the traditional risks. ESG risks need to be defined and addressed in risk appetite in order to manage their impacts as they materialise in traditional risk types. This is in line with BCBS principles and CRD6 which refers to “risk appetite in terms of ESG risks ”. No change (par. 46) no appetite (exclusion) Paragraph 46 outlines that the risk appetite should specify the type and extent of ESG risks institutions are willing to assume. This should be further nuanced indicating that this should include no appetite / exclusion areas, e.g knowingly lending to comp anies that will use the money to violate human rights. The Guidelines require banks to determine KRIs such as limits, thresholds or exclusions. No change (par. 46, 47) proportionality, flexibility, too much granularity required in the To ensure proportionality, the granularity of the requirements should be adjusted. Institutions should be granted more flexibility in defining their ESG risk appetite, taking into account factors such as business model, size, and portfolio structure. For e xample, it may be considered excessively granular for large institutions with a diversified business model to provide a higher level of detail than at the country level. As with other sections of this The final Guidelines have clarified that institutions should determine their KRIs based on their business model and have added a reference to risk limits set at a lower level within institutions, so that ESG risks are both captured at the highest level wit h Section 5.3 amended FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 115 current paragraph consultation paper, we kindly request that this be limited to key assets, material products, and services. We believe that the significance of identifying the type and degree of ESG risks at the granularity of the proposed guidance is minimal. It is difficult to have too many metrics in the RAS, only the most appropriate ones should be selected. In addition to being technically difficult to construct, such a level of granularity would make it difficult to understand and link with capital allocat ion. selected key indicators and at lower levels with potential additional indicators and limits, consistent with the overall risk appetite. (par. 47) further guidance on ESG KRIs We suggest that further guidance should be provided with regard to the term ""ESG -related key risk indicators"", i.e. in particular with regard to the catalogue of criteria, the framework and scope of this requirement. ESG-related KRIs should translate the risk appetite into concrete indicators, in line with the risk appetite function and design. No change (par. 47) minimum set of KRIs is too large Institutions should be allowed to justify removing KRI from the minimum set of KRIs to be used for defining the ESG risk appetite, e.g. in case of lacking data availability or alternative and comparable steering measure already in place. The final Guidelines have clarified that banks should determine which KRIs they include in the risk appetite, by considering metrics under 5. 7. Section 5.3 clarified (par. 47) language In paragraph 47, the term “ESG considerations ” gives rise to misunderstandings and should be replaced by “ESG risk considerations ”. The final Guidelines use the term ESG risks considerations. Section 5.3 clarified (par. 46, 47) need to distinguish between top - level RAF and lower -level limits framework In the proposed guidelines we do not see a clear differentiation between the Risk Appetite Framework (RAF) and the general limit/threshold framework that an entity can have at a lower management level. It is important to make this differentiation, to avoid hampering the correct functioning of the risk appetite framework. The RAF is a formally defined process, with a strict governance model. It is approved by the Board of Directors, and it is based on internal metrics. The risks included in the risk appetite framework must be quantitatively targeted, measurable, and monitored within a specific timeframe (monthly, quarterly). Moreover, they must be carefully selected as the most relevant within their risk category, as we are the top management level. Any other limit/threshold system should be left for lower management levels. The final Guidelines have clarified that institutions should determine their KRIs based on their business model and have added a reference to risk limits set at a lower level within institutions, so that ESG risks are both captured at the highest level wit h selected key indicators and at lower levels with potential additional indicators and limits, consistent with the overall risk appetite. Section 5.3 amended (par. 48) cascading not feasible, and For large institutions, metrics and targets must be set at consolidated level and it would not be feasible to run different sets of metrics at group level and The final Guidelines have been adjusted to require that institutions should ensure that all relevant group entities and business lines Section 5.3 amended FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 116 could lead to outsized focus on ESG inside RAF at more granular levels. This could create adverse effects and would certainly be too difficult to monitor. Also it seems important to keep in mind that adding too many metrics, targets and limits on ESG considerations may create dangerous unbalanced effects on the full edifice of the Risk appetite framework compared to other risks. As such, we recommend startin g with basic ones and to incorporate gradually as ESG factors become material new ones. In any case, banks should give enough flexibility to choose relevant metrics with targets and limits/ with a focus on the most material risks to its business model. The consideration of ESG risks in risk appetite should be aligned with the entities' management that already considers the embedding of such risks considering their geographical footprint, business diversification, among other factors. Banks should not be r equired to change their management processes due to the requirement to conduct a cascade down approach. Risk appetite should be monitored in those risks deemed material according to entities' own models and internal procedures (e. g., at client level, por tfolio level) . Rather than cascading, a combination of origination policies and close monitoring could prove much more efficient and would avoid potential adverse effects. and units bearing risk properly understand and implement the institution’s risk appetite. Risk limits set at different levels within institutions should be consistent with the overall risk appetite in terms of ESG risk. Question 13: Section 5.4 – ESG risks in internal culture, capabilities and controls (section 5.4 in general) supportive; tone from the top is key Strongly support the inclusion of the proposed guidance on culture, capabilities and controls within the scope of the EBA Draft GL. These all play a critical role in ensuring that companies are able to respond effectively to ESG risks, including by developing and implementing robust and credible transition plans. Key strength : integrating ESG risks into existing governance systems (including the 3 LODs ) as opposed to proposing separate, ESG - specific structures. Aligned with bring ing robust management of ESG risks into standard business practice, and importance of ""tone from the top"" (Par. No response needed. No change FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 117 50) which in our experience with leading companies (mature TPs) is flagged as a key success factor in securing organisational support for integrating climate transition planning into business strategy. Alignment with CSRD/ESRS Recommend to a lign section 5.4 on internal culture, capabilities and control with the European Sustainability Reporting Standards (ESRS) and particularly the ESRS G1 -1 on Corporate culture and business conduct policy . This section is consistent with ESRS and with EBA Guidelines on internal governance but focused on ESG risk management for banks . No change (section 5.4. in general) too prescriptive / redundant, suggestion to delete the whole section 5.4 The EBA GL on Internal Governance provide sufficient framework for the implementation of an appropriate risk culture and the concept of the 3 LODs. The explanations in section 5.4. are redundant with the mentioned GL and contrary to considering ESG as driv er of existing risk categories. Banks' internal governance and control guidelines already include specific instructions that affect the whole entity and should suffice. Separate policies and governance for ESG purposes should not be required. Banks should be granted the flexibility choosing the way they organize suiting their own circumstances and preferences, taking into consideration ESG factors when appropriate and integrate ESG into their existing processes. Standalone processes and controls to manage ESG risk factors should not be required. Section 5.4 is too restrictive of the organizational freedom of institutions with regard to ESG topics. We are in favour of deleting this section. The explicit incorporation of ESG risks into the overall risk culture and three lines of defence model is deemed an important part of sound risk management of ESG risks. The Guidelines specify what arrangements should be in place for ESG risks, ensuring consistency with internal governance Guidelines. This also reflects the BCBS principles for climate risk management. No change (par. 49) fit and proper - goes too far Agree on importance of train ing management on ESG given the novelty of these risks but it should not be a determinant factor in considering a member of the management bodies as unsuitable. Suitability assessments for managers and key function holders should not be used as a tool to choose decision -makers in institutions according to their overall ESG political preferences. These notions are in the CRD6 and will be further integrated in the Fit and proper EBA Guidelines . No change (par. 49); banks to engage with city experts & universities There may be scope for institutions to further develop relationships with universities, cities and city science offices to strengthen their internal culture, capabilities and control capacities – for understanding and interpreting scientifically verified E SG risks which are particular to environmental and social investments in regions, cities and urban environments. Although this is a possibility, banks are responsible for deciding how specifically they will increase their capabilities . No change (par. 49) expected ESG The recommendation for adequate training of the banks' management body and staff on ESG risks should be clarified. Expertise on climate & ESG risks is The Guidelines have added that training policies should be kept up to date and be Section 5.4 amended FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 118 skills require regularly updated guidance; GL should specify more detailed requirements for ESG trainin gs nascent and evolving, with a range of available approaches. EBA with other relevant authorities should provide banks with regularly updated guidance - seek to clarify the types of training, knowledge, experience and expected skills on ESG and climate -related risks that are appropriate for different staff categories, and that are necessary to ensure collective suitability of the bank's management bodies. The GL should specify more detailed requirements for ESG training programs, including core topics to be covered and recommended training frequencies. informed by scientific and regulatory developments. Requirements for the management body will be further specified by the update to the fit and proper EBA Guidelines. (par. 49) qualifications EBA should define clear minimum requirements for the evaluation of counterparties ’ ESG risk mitigation actions and particularly the qualifications of responsible staff to ensure that the latter follow a high standard. It is considered that the Guidelines reach a sufficient level of granularity on those points. No change (par. 49 and 50) language on ESG In pars. 49 -50 t he term ""ESG factors and risks"" is misunderstandable and should be replaced by ""ESG risk factors"". In paragraph 53 (d), the terms ""ESG features"" and ""ESG aspects"" should be replaced by ""ESG risk features"" and ""ESG risk aspects"", respectively, for clarity. It should not be a goal to impose bank supervisors' ESG policies and societal norms when it comes to the availability and pricing of financial services for individuals or corporates. Terminology has been adapted to refer to ESG factors and ESG risks. However, with regard to products it is considered more appropriate to refer to ESG features or ESG aspects. Section 5.4 amended (par. 49 / 50) ESG KPIs should feed into performance evaluation and remuneration KPIs should be integrated into performance evaluation and remuneration frameworks. Remuneration schemes must be consistent with the institution's prudential plan and formulated strategies, ensuring alignment with broader business objectives and risk management priorities. Remuneration schemes are key to ensure integration of ESG factors and risks in the bank's internal organization. EBA should recommend that banks adapt remuneration schemes to incentivize the staff in implementing the bank's prudential transitio n plan. The integration of ESG risks into remuneration policies is covered by the EBA Guidelines on remuneration policies which will be further specified to reflect CRD6 amendments. Section 6 also includes a reference to remuneration. Section 6 amended (par. 51) Role of external parties vs. 3 LODs, and role of internal teams with counterparty A specific technicity might be required (especially on climate/biodiversity topics) so financial institutions might leverage on external parties providing specific technical inputs and this could be explicated in the GL as this does not fit per se in the 3 LODs. Banks are responsible to decide how they will ensure sufficient capabilities to manage ESG risks. Regarding external parties, the existing framework and requirements for outsourcing arrangements apply. No change FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 119 ESG risk expertise Most financial institutions now have dedicated sustainable investment teams. In many institutions, these teams play active roles at multiple stages of the risk lifecycle: they may participate in counterparty risk assessments, assist in drafting and dissemi nating ESG elements in credit policies and procedures, or provide training to staff across the 1st, 2nd or 3rd LOD . They are a key organizational element to foster an ""ESG -aware"" culture. EBA GL should require large institutions to maintain a dedicated cou nterparty ESG risks as departments as owners of counterparty -related ESG processes. Dedicated teams can support the management of ESG risks within institutions, provided that this is appropriately reflected and feeds into regular risk management policies and practices. (par. 52) 1st LOD and product approval The draft p laces the approval process of new products within the first line of defense, which is in contradiction with the traditional role and responsibilities of the 2nd line compliance function. The approval process of new products has been removed from the 1st LOD paragraph. Section 5.4 amended (par. 52) 1 LOD - ESG risk considerations in client onboarding Regarding risk assessments which should be carried out by the 1st LOD (although ESG risk assessments should be conducted at different stages of the client relationship), ESG risk observance should not be as comprehensive in e.g. credit review process as is at client's onboarding. Exception to this should be clients from sectors under alignment objectives who need a more robust and continuous monitoring. The depth of assessment is not specified by the paragraph and can be adjusted provided that it ensures prudent assessment of ESG risks . No change (par. 52) Suggestion of additional wording to enrich description of 1 LOD role Propos al to a add the underlined words: The first line of defense should be responsible for undertaking ESG risks assessments based on applicable sustainability requirements and commitments , taking into account materiality and proportionality considerations, during the client onboarding, credit application and credit review processes, during investing processes , and in ongoing monitoring and engagement with clients as well as in new product or business approval processes. Staff in the first line of defense should have adequate knowledge , awareness and understanding of sustainability requirements and commitments to be able identify potential ESG risks. Rationale : The quality of 1st LOD work depends on their knowledge of applicable sustainability requirements and this should be explicit. Not just for lending but also investment. Staff, namely managers in the 1st LOD on all levels have key role and responsibility in this respect. “investment processes” and “knowledge” have been added. The explicit mentioning of sustainability requirements and commitments is not considered necessary and does not represent all the aspects t hat should be taken into account. Section 5.4 amended FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 120 (par. 53b) 2nd LOD – “sustainability commitments” Given the diverse nature of ESG -related goals (e.g., objectives, commitments, targets), we suggest including a more detailed definition of ""sustainability commitments"". The Guidelines have added claims and/or commitments. This may take different forms e.g. see EBA report on greenwashing. Section 5.4 amended (par. 53b) 2nd LOD – Compliance function responsibilities need aligning with various existing EBA GLs and ECB Guide Given that within standard corporate governance the compliance function does not usually bear the ultimate responsibility of the firm's adherence to laws and regulations, we suggest aligning th is with paragraph 209 of EBA GL on internal governance (EBA/GL/2021/05), with paragraph 47 of EBA G L on the role of the AML/CFT Compliance Officer (EBA/GL/2022/05) and with Expectation 5.5 of ECB Guide on C&E risks (2020) and thereby adopt a formulation similar to the ones mentioned, such as: ""the compliance function should advise the management body on measures to be taken to ensure compliance with"" applicable rules and regulations. The Guidelines have been further aligned with the Guidelines on internal governance and include language as suggested in the comment. Section 5.4 amended (par. 53b) Description of 2 LOD compliance function, explicit mention of the legal function and nuancing the split of responsibility inside operational risks Propos al to add the underlined words : The compliance function should oversee how the first line of defense ensures adherence to applicable ESG risks rules and regulations and should, in relation to the sustainability commitments made by the institution and the respective policies set, provide advice on reputational and conduct risks associated with the implementation or failure to implement such commitments. The legal function should provide advice on legal risks, including litigation risk associated with the implementation or failure to implement sustainability commitments . Rationale: As per dedicated EBA GL, the compliance function is a level 2 function and their main role is to oversee/to monitor the relevant 1st LOD, e.g. commercial units, as they are the owners of the risks. With respect to the advisory role of compliance function, wording should be precise to include only reputational and conduct risks, as part of compliance risks and not the whole range of operational risks, since different functions cover different types of operational risks. Legal risk, including litig ation risk, is traditionally covered by legal function and this should be reflected also in this EBA GL. The Guidelines have been further aligned with the Guidelines on internal governance and include wording as suggested in the comment, however without referring to the legal function which is not subject to particular requirements under EBA Guidelines on int ernal governance nor BCBS principles on climate risk management. It is however expected that all relevant functions contribute to the management of risks, including ESG risks, in line with sound governance arrangements. Section 5.4 amended FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 121 (par. 53b) 2nd LOD – Compliance function – not solely responsible for ensuring adherence to ESG commitments, and not at all responsible for some of them Ensuring adherence or providing advice regarding ESG risk rules or sustainability commitments does not have to be a sole responsibility of the compliance function. Assignment of the responsibilities can vary among institutions for different reasons. The compliance function is usually not the sole function responsible for advising on measures to be taken to ensure compliance with the entirety of rules, regulations and regulatory requirements - with prudential regulations in particular typically falling outside of its perimeter. We would like the EBA to provide further detail on the ""applicable ESG risks rules and regulations"" to clarify Compliance responsibilities. The role of Compliance as regards ""sustainability commitments made by the institution"" is not central. There are several sustainability/ESG related commitments which do not come under Compliance's scope nor require specific actions by Compliance, although Compliance has a coordination role regarding reputation risk. See answers provided above. The compliance function does not have to be the sole responsible for the aspects mentioned. Section 5.4 amended (par. 53b) 2nd LOD – Compliance function – not responsible for some of the risk types listed here, notably operational and legal risk – role of Legal function needs to be explicit here It should also be noted that as a matter of principle, each Function is responsible for risks within its perimeter, including ESG risk factors. Consequently, operational risk comes under RISK's scope, the same way legal risk is under the responsibility of Legal as a second line of defence (LoD2). As formulated, the draft GL do not reflect these organizational principles. We suggest that EBA comment on the envisioned role of 1st LoD in this context. Moreover, the EBA should further specify the role of Compliance in providing ""advice on operational risks"", as some of the risks listed (""legal, reputational and conduct"") might fall outside of the scope of Compliance responsibilities, depending on individual instit utional setups. In relation to [the Compliance function providing advice on operational risks (""legal, reputational and conduct risks"") associated with sustainability commitments, we recommend aligning with the EBA G L on internal governance and allow for all relevant functions to provide advice in their respective field of expertise. All relevant functions should provide advice in their respective field of expertise. The Guidelines focus on the 3 LODs, specified under BCBS principles and EBA Guidelines on internal governance. The operational risk has been removed from the paragraph on the compliance function. Section 5.4 amended. FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 122 Role of compliance for products Paragraph 53c accurately summarizes the role of Compliance as regards, for instance, new products with ESG features. No response needed. No change Role of other non-financial risks specialists such as Legal Agree with the role assigned to either the compliance or the risk management units as shapers of the business units decisions, during the design and approval process of new products with ESG features or for significant changes to existing products to embed ESG aspects; but we recommend to also include the rest of the non -financial risk specialists in this role, for example, the legal unit. See above – legal function should be involved in its area of expertise but the Guidelines focus on the risk management and compliance function. No change (par. 54) 3rd LOD Challenging specific metrics and calculations to establish the pathways goes beyond the I nternal Audit Function’s usual remit. They are built by LoD1 and reviewed by LoD2, and IAF should not be mandated to build specific capabilities for this. Once the data is built by LoD1 and LoD2, IAF must inspect to ensure that the data has been managed with integrity, and that the transition plans include the different aspects demanded by the regulation, but nothing further. The Guidelines do not mention challenging specific metrics and calculations but reviewing quality and effectiveness of the ESG risks governance framework. No change Question 14: Section 5.5 - ESG risks in ICAAP and ILAAP (par. 55) ESG as standalone drivers or not The ICAAP is a global p rocess that goes hand in hand with other internal processes. While we agree relevant ESG risk drivers should be incorporated into the process, these risk drivers should be indistinguishable from the rest of the risks, meaning that the ICAAP should take into account al l relevant risk drivers in the same manner. We support the approach to avoid a separate ESG ICAAP but rather include the ESG dimension within the existing ICAAP . This is consistent also with the overall approach that sees ESG risks affecting the traditional risk categories. ESG risks are defined in CRR; they materialise through the traditional categories of financial risks. The Guidelines have clarified that material ESG risks and their impacts on financial risk types should be captured in the ICAAP. Section 5.5 clarified Non -inclusion justification It is unclear what would be expected in the case where an institution sees that ESG risks do not affect the ICAAP (e.g. would a qualitative description as to why that is not the case be required?) . Institutions should provide sufficient information to understand their analysis of the capital implications of ESG risks . No change FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 123 Economic and regulatory perspectives To the best of our knowledge, the EBA has not used the terms “economic ” and “regulatory ” perspectives in its previous supervisory publications. A clear definition of these two terms is therefore necessary . These terms have been removed from the final Guidelines. Section 5.5 amended (par. 55) too early for E, S and G The climate risk dimension is fully integrated in our bank’s ICAAP. However, the EBA should take a sequential perspective and start incorporating environmental -related risk factors and not rush into including social and governance until we have enough data to ensure we do it in a sound manner. The BCBS Climate Principles, which are more narrowly scoped in terms of risk focus than the draft GL, recognize that ""climate -related financial risks will probably be incorporated into banks' internal capital and liquidity adequacy assessments iteratively a nd progressively, as the methodologies and data used to analyse these risks continue to mature over time and analytical gaps are addressed."" This consideration should also be applied by the EBA in terms of recognizing that the ability of banks to capture climate -related risk drivers in the ICAAP exceeds that of broader E/S/G risk drivers . It is recognised that banks’ practices are more advanced on climate -related risks. However, as explained in the Guidelines , tools and practices should be developed for other types of E risks and approaches to S and G should be gradually enhanced. CRD 6 in article 73 (ICAAP) refers to ESG risks. The section notes that banks should take into account the levels of availability and maturity of quantification methodologies for different risks . No change (par. 55) Concerns on ILAAP The banking industry is at an early stage in terms of understanding the transmission channels to liquidity risks . The lack of information is a significant obstacle to integrate ESG risks into the ILAAP , especially S and G. These draft recommendations are difficult to understand given the EBA/REP/2023/34 report on the role of E and S risks in the prudential framework, as no changes are expected regarding LCR and NSFR. Liquidity risk is a short -term risk, whereas climate and environmental risks are more expected to materialize over a longer -term horizon. The disconnection between these two timeframes means that the materialization of climate risks in the definition and management of liquidity buffers today for banks is not expected to be material. Nevertheless, to the extent that climate and environmental risk drivers could have consequences on liquidity , these consequences would have to be taken into account . Given the characteristics of ESG risks as drivers of liquidity risk , the evolving market practices and the regulatory framework, the final Guidelines have separated the requirements on ICAAP and on ILAAP to focus the latter on E and on appropriate time horizons within the scope of ILAAP coverage. Section 5.5 amended (par. 55) Long time horizon vs. Certain methodological features related to ESG risks conflict with ICAAP/ILAAP internal features and need to be further elaborated on before being requested. The forward -looking nature of ESG risks requires the use of Institutions should consider various time horizons for the assessment of ESG risks. In addition, CRD article 73 requires banks to Section 5.5 amended FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 124 ICAAP purposes (usually 3 years) long -term science -based scenarios that cannot serve as a basis for financial projections, because science -based ESG scenarios do not easily translate into financial risks scenarios. This requires a complete overhaul of current market practices in terms of scenarios and forecasts. Requesting an immediate inclusion of all ESG factors from longer term non -financial scenarios in financial forecasts of the ICAAP comes at the risk of basing analysis on forward -looking elements, whose impact on financial risks has not yet been evidenced. We assume that the risk observation horizon in the ICAAP remains unchanged in both the normative and economic perspectives. Additionally, we assume that no multi -year risk -bearing capacity calculation is required beyond the normative perspective period. The most frequent time horizon in the ICAAP is 3 years. A multi -year calculation going beyond this should not be mandatory . The longer -term time horizon of 10 years would serve to inform the normative and economic perspective with regard to possible ESG risk factors. Disagree with backing medium and long -term risks , which are not reliably quantifiable, with internal capital - this would be neither appropriate nor sensible. The time horizons considered for internal capital are fundamentally different from the time horizons considered for ESG purposes . For ICAAP, institutions make forecasts based on methodologies, historical data and plausible scenarios that cannot easily translate into longer term horizons. These forecasts influence business planning and practical decision -making, which can hardly be the case of 25 -year projections. Hence, time horizons that go beyond 10 years should only be informative and not serve as a base to the normative and internal allocation of capital. Capital should remain within the current prudential practises, and not cover hypothetical medium to long term ESG factors that will evolve in time, not necessarily translate into financial risks and be mitigated in time. take into account the short, medium and long terms for the coverage of ESG risks. The EBA recognises however that quantifying long - term potential risks and building capital planning for long time horizons raises challenges. The Guidelines clarify that when institutions take into account the short term, medium term and long term for the coverage of ESG risks, longer time horizons should be used as a source of information to ensure sufficient understanding of potential implications of ESG risks for capital pl anning. The time horizons considered for the determination of adequate internal capital to cover ESG risks should be consistent with time horizons used as part of the institutions’ overall and regular ICAAP. (par. 56) Limits It seems difficult to have specific limits/triggers regarding ESG impacts on an indicator like the CET1 ratio or the ICAAP. Institutions should describe limits set for material ESG risks. No change FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 125 (par. 57) gradual application? Integration of ESG risks (to be checked on correct understanding) in ICAAP and ILAAP should only come after making progress on common understanding and reliability of data as a first step for a dedicated treatment of related exposures. A gradual and methodological approach i s preferable over setting (fixed) parameters and metrics. It has been clarified that banks should use insights gained from risk assessment methods to support the (binding) integration of material ESG risks in ICAAP . Section 5.5 clarified (par. 57) ref. to Section 4.2 We request clarification with regard to the reference in paragraph 57 to section 4.2 that the reference is not intended to apply the longer -term alignment method in the ICAAP. Insights gained through risk assessment methods should be considered. See also above on long -term time horizons. No change (par. 57) methodologies and data Are institutions free in terms of methodologies to use for the evaluation of internal capital relative to their ESG risks/factors? Historical data is insufficient and there is no globally unified measurement method, so it is difficult to take into account ESG risks . Institutions should develop their methods and consider insights from methods required under 4.2, and document their analysis . No change (par. 57) pool of exposures Other approach es may exist such as to identify and measure internal capital need for pool of exposures homogenous in terms of ESG risks rather than individual exposures. The term ‘portfolio’ applies in this context to any group of exposures selected according to some criteria. No change (par. 55 – 57) too prescriptive and too broad vs current bank approaches & ECB expectations In line with the ECB Guide to ICAAP, the ICAAP is an internal process, and it remains the responsibility of individual institutions to implement it in a proportionate and credible manner. For now only risks arising from ESG consideration for part of the banking book are taken into consideration by banks in the ICAAP, if they are material. The assessment is based on climate scenarios. Internal methodologies will be capturing counterparties transition plans as they become available. We recommend aligning this section with ECB expectations on this part and what was done on materiality assessment by banks. EBA Guidelines specify new CRD6 requirements and will be subject to comply or explain processes for all EU competent authorities. No change (par. 57) ref. to Section 4.2 on scenario -based methodologies Supervisory scenario setting does not align with the internal character of ICAAP, and we propose to refrain from it . The required mandatory inclusion of E risk elements seems to have a permanent character, which does not correspond to the internal character of ICAAP stress tests under the normative perspective, which should address a financial institution ’s key vulnerabilities also taking into account the scenario horizon of (at least) 3 years. The Guidelines do not set a particular scenario, but a forward -looking view of capital adequacy considering potential future E risks is needed for sound risk management. No change FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 126 (par. 57) capital needs - Space for capital relief needed Agree with integration of ESG risks and transition plans in ICAAP and ILAAP. However it seems that such integration will only require capital add -ons but not capital relief. In the particular case of environmental risks, transition to a net zero economy sho uld be capital neutral. It is true that there will be winners (banks that orderly transition to net zero) and losers (banks that delay transition relative to peers). We believe credible transition plans should drive Pillar 2 capital relief while lagging p lans should attract capital add-ons. Supervision including Pillar 2 capital requirements is out of scope of these Guidelines. Banks should assess ESG risks implications for their solvency. No change (par. 58) supportive of scenario analysis for climate but not for (other) environmental risks We have planned to integrate considerations related to climate risks into the scenarios used for provisioning and capital planning. We have also implemented climate -related stress scenarios for specific risk analysis ( e.g. stress on cost -of-risk). But we do not plan to have capital planning scenarios driven primarily by environmental risks. We consider it excessive to impose such specific stress scenarios for capital planning in the ICAAP. Climate risks are part of E risks . The adverse scenario should include E risks elements but not necessarily be primarily driven by E risks. No change (par. 58) more granular guidance Request for more granular guidance on mode lling and quantifying the impacts of ESG risks within ICAAP and ILAAP frameworks, including examples of adverse scenarios and stress testing methodologies also to interpret/understand reverse stress testing regarding ESG . The Guidelines do not specify stress testing requirements as this is, and will further be, covered by dedicated EBA Guidelines. No change (par. 58) too early for full incorporation of E scenarios Recognize the relevance of scenario analysis as a forward -looking tool to assess the possible impacts of climate -related risk drivers in the future, given the long -term nature of climate change. But it is premature for banks to fully integrate E ris k related scenarios alongside the wider economic scenarios used for capital planning and projections, due to data and conceptual limitations. Climate risks are part of E risks, see also above on C, E, S and G . No change Question 15: S ection 5.6 – ESG risks in credit risk policies and procedures Challenges for social risks There are insufficient definitions concerning the social sphere to allow for an assessment of the adverse impact of such risks on an entity’s credit profile. It is deemed challenging to determine materiality associated with social risks See above on C, E, S, G. Quantitative credit risk metrics are required for E risks only in the Guidelines. No change FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 127 and establish appropriate quantitative criteria and methods for evaluating the impact on credit risk. Credit risk – quantitative methods Quantitative credit risk metrics regarding environmental risks have not yet been established and it is unclear what is specifically intended. Further guidance should be provided regarding the requirement to develop and implement quantitative credit risk metrics, such as a catalogue of criteria as well as a description of the framework and scope of this requirement. The Guidelines require to include quantitative metrics in credit risk policies /procedures to support the management of E risks. Institutions should set their metrics and can consider the metrics provided in 5. 7. No change Credit risk – (permanent) use of qualitative measures In addition to quantitative credit risk metrics, the use of qualitative methods should be explicitly considered. The credit ratings established today consider both, quantitative and qualitative aspects, including ESG risks. Some institutions may initially have to use qualitative methods if quantitative methods are not yet appropriate. Further, for certain areas and f or certain institutions, the use of qualitative methods should be permanently available. It has been clarified that institutions should implement a combination of qualitative and quantitative approaches. Section 5.6.1 clarified Insufficiency, incompleteness and incomparability of ESG data Especially in context of the application of quantitative credit risk metrics, the insufficiency, incompleteness, and incomparability of ESG data has to be considered. ESG factors can drive credit policies in terms of portfolio segmentation, credit allocation, target selection. The analysis of ESG risks could improve the ability to perform an efficient and effective creditworthiness assessment with a material impact on a t least the probability of default and the loss given default, if (and when) the underlined data is of appropriate quality. The most important barrier that can slower this process is represented by metrics and dataset. A lack of data is especially relevant for smaller institutions. See above on data. Section 4.2 amended ESG risk mitigation measures The section on credit risk policies and procedures could be more specific on the question of ESG risk mitigation measures. In particular an analysis of companies' transition plans in high -stake sectors would seem to be a priority. See above on the exposure -based method and risk mitigating factors including transition plan. Section 4 amended Integration of ESG risks in loan origination and monitoring processes Credit granting policies should be aligned to the alignment trajectories that some banks have publicly committed to follow. As part of credit policies, banks should clarify their procedures on counterparty and projects that persistently refuse or fail to implement a credible transition plan. Credit policy on large corporate counterparties Banks should ensure consistency between their strategy, risk appetite and risk management policies (see section 6) . Sections 5.1 and section 6 amended FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 128 should include a conditionality of credit to the counterpart ies’ credible plan. Such a policy should also include an escalation process . Engagement with counterparties is covered under sections 5.1 and 6.4. Credit risk metrics Banks should monitor physical and transition risks in segments of portfolios that are deemed to be material according to banks materiality assessment methodology. As opposed to regulatory requirements for pricing strategies and pricing decisions, a set of pricing best practices should be included. ESG -linked features in lending are not intended to compensate institutions for taking on ESG risks. Rather, the ESG adju sted interest rates and fees serve as an ‘incentive’ for the borrowers to meet specified ESG targets and, by this, mitigate their transition risks. A reference to the materiality assessment has been included. As already laid out in the EBA GL on loan origination, the pricing structure of a loan product sh ould r eflect the inherent risk profile of its counterparty, considering all aspects including also ESG factors. Best practi ces cannot be included. Section 5.6.1 amended. No change Proposed methodologies The EBA should encourage financial institutions to voluntarily adopt Mortgage Portfolio Standards (‘MPS’). For the purpose of valuing collateral the IVSC International Valuation Standards could be referred to as they are applied globally. Guidelines set requirements for banks. Specific details on the valuation of collateral are out of scope. No change Question 16: S ection 5.7 – ESG risks in policies and procedures for other risk types General comments Article 4.1 point 52d of the CRR provides that environmental, social and governance risk materialise indirectly through the traditional categories of financial risks. Therefore, when it comes to para 63 and 66 of the draft ESG Guidelines, the EBA should st ick to the CRR 3 and not go beyond its mandate. The Guidelines specify how ESG risks as defined by the CRR should be taken into account in policies for management of different risk types. No change Market risk In relation to market risk, it is difficult to identify ex ante which part is due to ESG as it is already embedded in the price of the products. Further a waiver should be allowed for some of the charges suggested by the report, such as adding a RRAO charge in FRTB -SA or asking for an RNIME in FRTB -IMA for explicitly ESG -linked derivatives, should the bank demonstrate to the satisfaction of competent auth orities that the possible losses associated to them are already covered in the prudential framework. Stress test metrics are considered to be most suited indicators to account for derivatives. Challenges are understood but banks should develop their approaches and understanding. Pillar 1 requirements are out of scope of these Guidelines. Forward -looking analyses are key and mentioned in paragraph 67. No change FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 129 Operational risk It is required to indicate whether the ESG factor flagging is required for each operational loss event. Further, it needs to be clarified whether the mapping should follow the 7 operational risk categories according to Basel methodology or operational risk factors (people, processes, systems, external events). Paragraph 63 could provide illustrative examples of potential future impacts from ESG -risks that could have an impact on operational risk as well as other non-financial risks such as litigation and reputational risks. The E flag is required when it is a driver of the loss event. Reference to Article 324 of CRR has been included regarding the different regulatory operational risk event types . ESG risks can impact operational risks through various channels such as physical risk drivers or litigation risk. Section 5.6.4 amended Operational risk losses – identification and labelling While the internal taxonomies already have a natural disaster label it is extremely difficult to differentiate between natural disasters that are directly caused by environmental factors and those which are not (and driven by cyclical factors). Further gui dance is needed on how to identify and label operational losses related to the environmental risks given the indirect nature of ESG drivers. The identification and labelling should be done consistently with the risk taxonomy and methodology to classify loss events specified by the dedicated RTS on this issue. Reference to RTS pursuant to Article 317(9) of CRR added. Section 5.6.4 amended Operational risk – Reputational risk Specifically in relation to the references to reputational risk in paragraphs 53 and 63 of the draft Guidelines, the current drafting seems to include reputational risk as a component of operational risk, however that is misaligned with the EU CRR3 definition of operational risk (which excludes reputational risk). We would suggest deleting these reference s to reputational risk in the final Guidelines for avoidance of confu sion. To clarify this issue the reputational risk is covered under a separate paragraph in the final Guidelines. Section 5.6 amended. Reputational risk related to transition plan An explicit reference should be made, that a core aspect of reputational / litigation risk is the discrepancy between bank s transition plan and actions. To address the reputational risk associated with banks failing to comply with their sustainability commitments or transitions plans, it is recommended that the EBA specifies that these plans are dependent on the EU’s and Member States’ commitments to achie ve climate neutrality, as outlined in the EU Climate Law. Further, reputational risks are not considered significant for LSIs in particular. Banks should not be held solely responsible in the event that the EU or member states fail to meet or change their targets. Discrepancy between plans and actions can lead to reputational and greenwashing risks as covered in the Guidelines. The EBA notes that external dependencies and assumptions should be explained by institutions when disclosing plans and targets. No change Para 67 Para 67 should move away from provisions for yearly risk provisioning and focus more on a dedicated RWA approach. Additionally, given that historical litigation experiences are not fully public due to the confidentiality of some Changes to RWAs are out of scope of these Guidelines. The relevance of forward -looking Section 5.6.4 amended FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 130 agreements, it is crucial to specify that any model incorporating historical data might inherently underestimate this specific ESG risk. Therefore, a dedicated RWA for each transaction above a very substantial amount (limited to a few transactions) could b e more than sufficient to manage this liability risk effectively. Regarding conduct, reputation, and litigation risk in para 67, we encourage more focus on human rights, discrimination and other social controversies which are known and tracked for corporate counterparties. analyses is however mentioned in paragraph 67. Violations of human and social rights have been added to illustrate potential ESG - related controversies. Greenwashing Para 67 refers to the ESAs high -level understanding of greenwashing (EBA/REP/2023/16). This is not a legal definition and should hence not be referenced in the EBA GL. The broad understanding of greenwashing reduces the legal certainty and therefore risks hampering financial institutions transition finance efforts. Clarification is needed if it is necessary to have a separate specific process to identify, prevent and manage litigation or reputation risks resulting from greenwashing or perceived greenwashing practices, or can it be catered for by regular internal proc esses and standard risk assessments. Paragraph 67 should be amended to consider situations where reputational risk can also arise through NOT lending to or NOT investing in businesses, because ESG -related controversies can and will go both ways, as experience shows. Clarification on whether banks should expect the final guidelines to be amended in accordance with the final report on Greenwashing, including concrete examples of greenwashing across investment value chain the financial institutions should build on. Reference has been kept as it provides a reference point to understand greenwashing in the financial sector . Clear, fair and non - misleading transition finance efforts should not be penalised. ESG risks including risks stemming from greenwashing should be captured by regular risk management processes. Institutions should consider various risk channels but this specific addition is not considered necessary. Reference to the final report has been included. Institutions can consult the report including for examples. Section 5.6.4 amended. Concentration risk The requirements included in the draft Guidelines on concentration risks could have adverse impacts on the financing of the transition as they would not consider counterparties transition strategies and pathways . A reference to risk mitigating factors, which can include counterparties ’ transition strategies, has been included. Banks remain responsible to set their risk appetite for ESG -related concentration risks. Section 5.6.5 slightly amended FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 131 The approach to concentration risk should remain flexible to allow banks to use their own methodologies and define and measure ESG concentration risk according to their own methodologies, risk appetite and business models. It is very difficult to carefully define concentration risk in the context of ESG risk factors; there is not currently a well -established definition in the EU or globally. Thresholds for what constitutes a high degree of concentratio n would likely be needed, including analysis of an appropriate way to define and calibrate such thresholds. Given that the risk assessment process is multidimensional, it is also necessary to avoid unintended consequences associated with reliance on certain characteristics (e.g. some of the proposed metrics in the draft GL, such as GHG emissions) which could indicate that certain sectors or geographies are more or less risky in a way that is too crude. Supervisors should not demand institutions attributing concentration risk where a sector may or might be prone to ESG risk factors. This is too subjective and could be influenced by political opinion, thereby masking the real risk drivers that would require the institutions’ attention. Sentence 2 of this paragraph the words ‘may be’ should be replaced by ‘demonstrably are’ (data -driven approach). Sentence 3 should be deleted, because it is not helpful for describing the process of how existing concentration risk (as opposed to assumedly problematic sectors) can be determined. An approach of looking purely at industry concentration goes against banks’ efforts to engage with clients to assess the consistency of the clients' transition plans with the i nstitution s transition planning. In addition, this contradicts paragraph of the section 6.5 of the Guidelines. Besides, concentration risk is already part of banks' risk management frameworks, including sector and geographical concentration, and it is also addressed in the Pillar 2 framework. The Guidelines require to manage ESG - related concentration risk understood as risks posed by concentrations of exposures or collaterals in single counterparties, interdependent counterparties or in some industries, economic sectors, or geographic regions which may present a higher degree of vulnerability to ESG risks ; however, for the purpose of the guidelines, thresholds for what constitutes high concentration risk should be determined by institutions in accordance with their risk appetite. Assessing concentration risk on a sectoral basis does not force institutions to adopt any particular risk mitigating action. Institutions should decide how to best manage ESG - related concentration risks considering section 5.1, which refers to engagement w ith counterparties as one possible tool. FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 132 Question 17: Section 5.8 – monitoring of ESG risks General ESG factors are already incorporated in other existing and publicly available reports, so there should not be any additional requirement to produce a standalone report. Paragraph 78 provides that banks may integrate ESG risks into regular risk reports or develop new dashboards. No change General Indicators should not be considered mandatory in the final guidelines, but sufficient flexibility should be given to banks in the identification of the most appropriate metrics. The EBA is mandated to specify standards, criteria and methods for the monitoring of ESG risks. However, the full list of indicators is only mandatory for large banks while others should monitor a range, that they will select. Section 5.7 amended General The focus is only on climate and considerations on other ""E"" risks and/or ""S"" and ""G"" should be included. It is recognised that progress on metrics is most advanced on climate. However, the section clarifies that large institutions should monitor metrics related to nature and biodiversity -related risks . Section 5.7 amended General The EBA should clarify that ESG risk monitoring also fully covers off balance sheet activities and that facilitated emissions should be monitored. It has been clarified that banks should have an institution wide view of ESG risks, adequately covering the nature, size and complexity of their activities. Section 5.7 clarified General The EBA should consider encouraging the development of industry -wide benchmarks or thresholds for ESG risk indicators, facilitating peer comparisons and transparency. The EBA considers that thresholds should be set by banks. Benchmarks can usefully be developed by the industry. The EBA is also developing a risk monitoring framework. No change General The EBA should clarify the expected frequency of monitoring activity. Given that some risks, could materialise over varying or yet unknown time horizons and especially climate -related impacts could worsen over time, institutions should be encouraged to take a long -term consideration of ESG - related financial risks and a proac tive dynamic risk management approach. Guidelines provide that institutions should monitor ESG risks on a continuous basis and implement frequent monitoring of counterparties and portfolios materially exposed to ESG risks. No change Level of application The monitoring of metrics should be limited at the group level and such indicators and thresholds should be set at a sector or portfolio level rather than at individual client or entity level. The Guidelines apply in line with the level of application specified under article 109 of CRD. No change FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 133 Proportionality The reference to the reporting requirement for SNCIs is unclear and the limited availability of ESG related data (in particular from SMEs) needs to be taken into better account. The granular and frequent monitoring of counterparties cannot be implemented for institutions that have a short -term lending business model or for leasing companies. The Guidelines have clarified that SNCI s and other non -large banks may monitor only a subset of indicators. Section 5.7 clarified Para 72 (a) The lack of data for historical losses should be considered. Historical losses should be monitored with specific indicators per type of ESG risk and more focus should be put on the monitoring of the exposures to physical climate risk. This metric covers ESG risks hence also physical risks. Data for historical losses may be built progressively. Wording clarified Para 72 (b) The KPI does not make sense at the NACE 1 aggregation level. The amount and share of sector -related income seems unsuitable to capture relevant ESG risks as it is unrelated to the risks of counterparties. Institutions should monitor also investments in fossil fuels and other high impact activities, besides the amount and share of income. This metric can inform institutions on potential business model dependencies. Reference to a mount and share of exposures and income to fossi l fuel sector entities has been included. Section 5.7 amended. Para 72 (c) Risks need to be monitored at sectoral -based perimeter, to help make connections with sectoral policies used to manage ESG risks. See portfolio alignment section. Section 5.7 amended Para 72 (d) Scope 3 emissions are deemed currently challenging to be recorded due to limited data availability . Scope 3 financed emissions is a crucial metric to assess the exposure of financial institutions to transition risks and suggest to make it mandatory for every sector and every portfolio. A clear guidance and a consistent approach on Scope 3 emissions methodologies are needed together with a request for qualitative information to complement the metric and interpret its evolution. Data challenges are recognised but ongoing efforts e.g. CSRD should progressively alleviate them. It is considered more appropriate to focus on sectors and portfolios identified on the basis of the materiality assessment. The Guidelines have clarified that qualitative information should supplement the metric to interpret its evolution. Section 5.7 amended Para 72 (e) The EBA should better specify how to define the percentage of counterparties with whom the institution has engaged and institutions should also report the objectives, the frequency and the governance behind the engagement. Such aspects should be specified under banks engagement policies, see section 6. Section 6 amended FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 134 It may be more suitable to refer to a volume measure, such as credit exposure and the proposed ratio is not risk -based metric. A metric in form of a ratio informs about the level of progress achieved by the bank to engage clients as part of risk management. Para 72 (f) The GAR should not be included among the metrics to be monitored considering that i) it is not a risk management tool, ii) it does not reflect the sustainability profile of institutions, iii) there are issues with its calculation methodology . The metric should be complemented with indicators showing the portion of exposures Taxonomy aligned based on the classification framework adopted (e.g. GFANZ, CBI or ACT Finance). The objective of this metric is to compare Taxonomy -aligned exposures for climate change mitigation to carbon -intense exposures. However, due to methodological challenges, metrics relating to adverse impacts on other objectives of the Taxonomy have been removed. Institutions may compute and monitor additional metrics, such as based on different classification frameworks adopted. Section 5.7 amended Para 72 (h) A reference to “water -stressed areas” risk among the physical risk drivers mentioned should be added. It has been added as an example of physical risk drivers. Section 5.7 amended Para 72 Additional metrics are suggested: • that reflect stakeholders' expectations regarding financial institu- tions' disclosures and their connection to real -economy transition plans; • related to portfolio -level dependencies on water or natural capital; • counterparties’ progress in doing their transition; • low carbon CapEx; • energy supply -banking ratio (ESBR); • sustainable power supply to fossil fuel financing ratio; • climate Value -at-Risk; • metrics related to physical, nature and biodiversity; • at portfolio level o portfolio alignment (by sector) with verified (externally) 1.5 degree goals; o portfolio alignment of verified (externally) credible transi- tion plans; The EBA has considered the suggestions and adjust ed the list of metrics. In particular, the following metrics have been added: - the energy supply banking ratio , - progress in the implementation of key financing strategies , which may includ e financial flows towards finan- cial assets or counterparties that share a common set of characteris- tics such as their alignment status relative to the applicable regulatory sustainability objectives and/or insti- tution’s risk appetite - exposures to fossil fuel sector enti- ties and portfolio -level dependencies on ecosystem services. Section 5.7 amended FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 135 o proportion of “green” (with breakdown specifically to sus- tainable power solutions) and “transition” exposure (with a comprehensive science -based definition); o proportion of fossil fuel (with breakdown of coal, oil, gas) ex- posure with and without credible transition plans; o proportion of high emitting hard -to-abate sector exposure with and without credible transition plans (with a compre- hensive definition). Question 18: Key principles for plans in accordance with Article 76(2) of the CRD CRD vs CSRD plans Several characteristics of comparability and interoperability between CRD and CSRD -related requirements on plans were raised: - ESRS alignment: respondents expressed a range of views e.g. closer / looser alignment (internal procedure only) / no guidance necessary - CSRD is not a plan but the reporting of a plan... - ...leading to expected unicity of plan – one transition plan with a risk side. - Avoid CSRD / CRD confusion (naming, scope, ...) In addition, disclosure scope was mentioned: - Only banks in CSRD and CSDDD scope should be required to disclose their CRD plans The Guidelines in the background and section 6 clarify that banks should ensure that their plans address forward -looking ESG risk management aspects while being consistent with other applicable requirements including those stemming from CSRD and CSDDD. CRD plans are not subject to specific disclosure but may partly be covered by other transparency requirements. Background and section 6 amended SNCIs SNCIs are only required to comply with the corresponding reporting obligations starting from the 2026 fiscal year if reporting is required for the first time. Therefore, it is recommended that any regulations for SNCIs should not be provided before this deadline The Guidelines provide a 1 -year phase -in for SNCIs to give additional time to implement necessary changes , as well as several proportionality measures. Section 6 amended Level of prescriptiveness Respon dents asked for more or less prescriptiveness of the principles with additional suggestions. Less prescriptiveness : o More flexibility in the implementation of the plans, recognising the different materiality of the risk for banks See response s on level of prescriptiveness and on alignment with EU objectives in general comments , and responses on materiality assessment, portfolio alignment and risk management tools. Section 6 amended. FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 136 o GLs should focus on risk management tools and not on decarbonisa- tion, alignment or sectorial targets o The transition plans should not have in scope the business strategy o Reference to EU law should not be interpreted as a requirement to reduce emissions by 55% by 2030 More prescriptiveness : - On scope: o fossil fuels and other harmful activities o decarbonization strategy, targets and their quality/align- ment. o elements related to financial planning o engagement activities and their consequences for compa- nies o link between plans and remuneration o due diligence requirement for banks. o the importance of supply chain analysis for banks o clarify sufficient capacity and resources (para 88.) o financial materiality should be better clarified. - On method: o more emphasis should be given to risk acceptance and capi- talisation of risks. o frequency of update of the plans o full ESG spectrum (e.g. E, S & G), their interdependencies across relevant time horizons o reference to the EU climate law should be clarified ( e.g. 1990 baseline) With regard to other comments: - exposures to fossil fuel sector enti- ties should be considered as part of materiality assessments, which form the basis for transition planning; - engagement including outcomes is more clearly referred to in the key contents of plans in section 6.4; - remuneration policies are referred to in the key contents of plans, reflect- ing new CRD6 provisions; - the frequency of updates of plans is clarified in section 6.5 and aligned with updates of strategies required by CRD; - the scope of risks captured by each part of the plan should be specified as per paragraph 108. Non -EU entities Respondents asked for clarifications or raised concerns regarding the inclusion of non -EU entities in the scope of the requirements given that non - EU entities have lower data availability and face less ambitious climate regulation. See response on level of application. The Guidelines state that parent institutions should take into account ESG risks that subsidiaries established outside of the Union are materially exposed to when elaborating No change FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 137 and implementing the consolidated plan, by having regard to applicable local legislation and ESG regulatory objectives. Time horizons The feedback revolves around Define / Reduce / Extend the time horizons. See responses above on time horizons. No change Question 19: Section 6.2 – Governance of plans required by the CRD Allocation of responsibilities Respondents raised comments regarding the following: o Specify more which management body should be driving what (strat- egy, operational plan, ...). o Consistency oversight with the overall bank strategy. o Recommend specific ESG committees within the management body. Requirements about the supervisory and management function of the management body as well as rules for the setting of committees are specified by the EBA Guidelines on internal governance. Consistency of plans with overall strategy is required in section 6.1. No change Risk appetite Specify alignment between transition targets and risk appetite. Section 6.1 and section 5.3 require alignment and consistency between plans and risk appetite. Section 5.3 amended. First line o Concerns expressed on over -expectation on counterparties / clients’ transition plan review. The credibility assessment should be per- formed externally. o S & G knowledge gap. The 1st line of defence plays an important role to assess the risk profile of counterparties including given their transition strategies. Expertise and capabilities should be developed, noting the emphasis put in the GLs on E. Section 6.2. clarified Second line The (perceived equal role) role of compliance vs. risk management in the GLs is being challenged: o Respondents suggested the removal of the reference to the compli- ance function from par. 86 b) as the risk limits referred to in this par- agraph are typically monitored by the risk management function. o In alignment with paragraphs 179 -187 of EBA Guidelines on internal governance (EBA/GL/2021/05), which assign to the risk management The reference to the compliance function has been removed from this paragraph to focus on the role of the risk management function. The compliance function’s responsibilities are specified under section 5.4. Section 6.2 amended FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 138 function the responsibility of the risk management framework in- cluding assessing the consistency of risk appetites and limits with the risk strategy Engagement with counterparties without transition plan Precise the expected engagement with counterparties with no transition plan because of their size, location, local regulation etc. The Guidelines require banks to determine, justify and document their engagement policies, including their scope. Transition plans of counterparties should be leveraged, where available. Section 5.1 and section 6.2 clarified. Question 20: Metrics and targets Targets and Metrics – Purposes (Strategic versus Prudential approach) The targets and metrics presented are strategic and unable to be used as risk management tools. T he content of the plans will be guided by public policy objectives aimed at carbon neutrality . Therefore, it does not appear clear how the targets and metrics will aid banks in the assessment of prudential risk. To solve this problem, two options could be considered: - Paragraph 90 could be amended, by deleting “risk management and” or replacing “with a view to mitigating risks” with “with a view to achieve strategic goals”. - In order for plans to both serve risk management and strategic steer- ing purposes, metrics and targets could be defined as per the ESRS with potential additional datapoints to fulfil specific requirements of the prudential risk approach. The metrics and targets in 5.7, 6.3 or 6.4 are meant to focus on risk management aspects such as integration in the risk management framework, assessment and monitoring of exposures / emissions / portfolios alignment, engagement with clients etc. The choice of specific targets is the responsibility of banks. ESRS are disclosure purpose based and CRD is focused on prudential / risk aspects. See also response above on 5.7 and Annex tool for indicative ESRS references . Section 6.3.4 amended Purposes (Physical risk) A reference to physical risks could be added in paragraph 90 (“risks stemming from the physical impacts of changing climate”). Physical risks are integral part of requirements as set in background (para. 20 – 30), in 4.1 - materiality assessment (para. 16), and metrics within 5.7 monitoring . No change Targets and metrics – Consistency with CSRD The guidelines should require data based on ESRS requirements. As of now, the metrics and targets lack consistency with CSRD. More specifically, the EBA should align the target -setting horizon of prudential plans with CSRD (2030 and 2050 instead of a short -term 3 -year horizon). Consistency with See responses above on data, time horizons and metrics. The 3 -years horizon reference has been removed. Section 6.3 amended FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 139 future sector -specific ESRS for the financial sector should also be taken into account. The annex provides ESRS cross -references vs. each part of the 6.4 output plan. Targets and metrics – Consistency with NZBA The guidelines are not consistent enough with voluntary commitments such as NZBA, especially because paragraph 94 raises concerns on the methodology of alignment used (absolute vs relative emissions). Moreover, it should be sufficient for CRD plans to refer to strategic climate targets taken as voluntary commitments. GLs set regulatory requirements for all institutions. Alignment metrics are requested and may be computed based on emissions intensity . Consistency with voluntary commitments is now mentioned . Section 6.1 amended Consistency with P3 The guidelines should be more consistent with Pillar 3 reports. Some metrics and parts of plans are interconnected with parts of Pillar 3 and where relevant consistency has been ensured and references included in the Annex . However, plans have their own, internal risk management purpose and go beyond Pillar 3. No change Targets and metrics – Proportionality This section of the guidelines could expressly recall the proportionality principle as compliance with this section would be disproportionate for small and medium -sized institutions. Proportionality is recalled within several parts of the GLs and specifically in application of the metrics in 6.3.4 and 6.4. Section 6.3 and section 6.4 amended Targets – Extension of the scope of activities covered The targets should cover all activities and jurisdictions and paragraph 89 should be re -written as “all activities and business lines are covered by targets and metrics”. Institutions should set specific sector -based targets for the most environmentally ha rmful sectors. These targets should be based on the evolution of the sector in a 1.5° no/low overshoot scenario (with limited volume of negative emissions). Metrics and targets – including sector alignment metrics – are meant to monitor and address material ESG risks identified on the basis of comprehensive materiality assessments. No change Targets - different scales Cascading down the targets at economic activities level (i.e. individual technologies) seems too detailed and associated with uncertainties regarding data quality and availability . In some cases, metrics and targets can apply to specific economic activities. Section 6.4 clarified Metrics – Optional nature The metrics should be viewed as suggestions, rather than compulsory. The guidelines are too prescriptive and would benefit from more flexibility given to institutions ( to tailor targets and metrics to the specific needs of each institution ). The guidelines should not require institutions to set targets for metrics that are based on specific scenarios (e.g. the IEA NZ2050 ). If The Guidelines require banks to consider the metrics listed in 5.7 for the purpose of target setting. Banks should determine, taking into account their business strategies and risk appetite, which other risk -based and forward -looking metrics and targets th ey will Section 6.3.4 amended FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 140 minimum requirements are kept, they should be concentrated to climate - related factors. The question of the limits to be set was also raised, with several respondents calling for targets and limits to be imposed only on the most relevant metrics. include in their plans. Banks are responsible for setting specific targets levels. See also above on IEA scenario. Metrics – Mandatory nature The mandatory nature of metrics is welcomed. The EBA could even take further actions for a more prescriptive approach on the format and content of transition plans . See response in row above. Section 6.3.4 amended Metrics – Nature -related risks The guidelines should include metrics related to nature -related risks (including by adopting a double materiality approach informed by the recommendations of the TNFD) . The Guidelines require banks to take steps to progressively include metrics that support risk assessment and strategic steering related to institutions ’ exposure to, and management of, environmental risks other than climate -related, e.g. risks stemming from the degradation of ecosystems and biodiversity loss. Section 6.3.4 amended Metrics - Transparency Banks must be transparent with the methodologies used to calculate metrics . CRD based plans are not required to be disclosed. However, documentation of metrics and plans is required in section 5.7 and section 6.4 . Section 5.7 and section 6.4 clarified Metrics – Forward -looking nature Point -in-time metrics might not be relevant and do not distinguish between investments in a high -emitting sector which are designed to decarbonise, versus those which finance the status quo. The guidelines need to lay out forward -looking metrics related to emissions such as Expe cted Emissions Reductions (EER). The combination of both point -in-time and forward looking metrics is needed in order to get a “complete picture” of expected transition and physical risks exposures. The GLs mention that i nstitutions should compute, use and monitor forward -looking ESG risks metrics and indicators. See also amendments to section 5.7 in particular on financed emissions (cf row below). Section 5.7 and section 6 clarified Metrics – Comments and proposed changes – Paragraph 94a) was subject to many proposals, among which: - Consider consistency with the methodology developed under NZBA (targets are expressed as intensities and not as absolute emissions for sectors other than oil and gas under NZBA methodology) The metric related to financed emission has been amended. Para. 94a) is now 81c) and includes: Section 5.7 amended. FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 141 Financed emissions - GHG emission intensity metrics can be misleading and should not be required (variety of formulas for calculating relative emissions, inten- sity per euros is misleading, need to reduce absolute emissions) - Extend emission coverage to include facilitated emissions - Emissions targets to be differentiated to cover individual sectors, as- set classes, and gases, as well as aggregated across portfolios, and gases (by using the metric of CO2 -equivalent). - Consider a hierarchy with i. financed GHG emissions (absolute emis- sions, in tons CO2 equivalent, and where relevant in intensity per unit of production, or by default, intensity of revenues, associated with a portfolio) and ii. Current and forecasted (shor t, middle and long -term) GHG emissions in absolute, and where relevant in inten- sity per unit of production, or, by default, in intensity such as per million -euro revenues - Set targets for the total emissions of the companies financed, both at a sectoral and portfolio -wide level, without using an attribution factor Financed GHG emissions by scope 1, 2 and 3 emissions in absolute value and where relevant intensity relative to units of production or revenues, split by sectors, using a sectoral differentiation as granular as possible and at least for selected sectors de termined on the basis of the materiality assessment. Institutions should complement this metric with qualitative or quantitative information and criteria supporting the interpretation of its evolution, including any temporary increase due to provision of transition finance to greenhouse gas-intense counterpa rties, and identifying the underlying drivers of emissions change. Metrics – Comments and proposed changes – Portfolio alignment Paragraph 94b) was subject to some comments: - Clarify the definition of “production capacities operated by clients” - Limit portfolio alignment metrics or replace them with sectoral align- ment metrics - Take into account the fact that (mis)alignment of a counterpart to a given sectoral pathway might not be representative of the financial risks it carries Para. 94b) is now 81b) and includes: Portfolio alignment metrics at sectoral level. Institutions should complement this indicator with information related to the assessment of potential financial risks impacts resulting from misalignments . Production capacities operated by client may capture physical output vs. emissions. Section 5.7 amended Metrics – Comments and proposed changes – Share of income Regarding 94c), respondents suggest to: o Add the total share of income related to business with counterpar- ties operating in sectors that highly contribute to nature degradation o Add capex metrics for high -risk sectors, starting with coal, oil and gas The metric might not allow the consideration of counterparty -specific factors (e.g. best -in-class) or the nature of exposures. Para. 94c) is now 81a) and includes: a) Amount and share of exposures to and income. A metric related to nature -related risks has been included and a reference to monitoring exposures to fossil fuel sector entities added. Section 5.7 amended FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 142 Metrics – Comments and proposed changes – Energy efficiency of collaterals Regarding 94d), the following comments were made: o The lack of harmonization at EU level between EPC regulations is a strong limit to the use of this metric. o Banks could also assess the financed emissions of their real estate assets (in addition to energy efficiency) . No mention of EPC anymore in the GLs. Changed to: Energy efficiency . Section 5.7 amended Metrics – Comments and proposed changes – Engagement with counterparties Paragraph 94e) could be amended to: Clarification: o Clarify the definitions of (positive) engagement and “percentage of borrowers” o Show a more direct connection with counterparties’ transition plans (“including in relation to counterparties’ transition plans”) Counterparties: o Reflect that engagement should be performed for companies that need to take further transition actions (concentration of engage- ment on companies that are already sustainable would not mitigate transition risk) o Limit the metric to counterparties that have been identified as ma- terial, are included in a portfolio subject to the alignment targets and are on the top of the consideration of the level of services the bank is providing to this counterpart Metric: o Add a metric for the engagement stage the companies are in and dis- close the cases where engagement was unsuccessful and led to di- vestment o Separate the metric into 2 indicators: (i) the first focusing on moni- toring the engagement activities of the institution, (ii) the other fo- cusing on monitoring the performance of counterparties Evaluate progress observed over time against individual institution’s transitio n plan assessment methodologies Para. 94e) is now 81e): - Clarification: The percentage of coun- terparties for which an assessment of ESG risks has been performed, also as regards their transition strategies and where available transition plans - There is no concept of material client but banks should determine, justify and document the scope of engage- ment - A range of counterparty -specific ac- tions may be taken in line with sec- tion 5.1, this is reflected in follow -up actions taken by the institution . Section 5.7 amended Metric – Comments and Paragraph 96) proposed amendment: Given the importance of both physical risks and concentration risks (from a transition Section 5.7 amended FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 143 proposed changes – Paragraph 96 o Regarding physical risks, institutions should perform a comprehen- sive assessment that distinguishes between chronic and acute risk impacts, across various climate scenarios, as well as appropriate granularity depending on the use case. o Regarding ESG -related concentration risk, the work done is imma- ture (the concept has not been yet defined in the regulation), which could justify a phased implementation and physical risks perspective), metrics related to these risks are included in 5.7. Metrics – Proposals for new metrics The guidelines could impose new metrics, such as: o Environment o Sector -specific o Indicators related to fossil fuel (e.g. forward -looking metrics regard- ing the total portfolio exposure to fossil fuels, including details about how this breaks down according to fossil fuel type (coal, oil, gas), value chain exposure (upstream, midstream, and storage), as well as regional breakd owns where possible) o An indicator on the sustainable power supply to fossil fuel financing ratio (e.g. ESBR) o Indicators on sustainable exposures and carbon -intensive exposures mentioned in Section 5.8 paragraph 72 o Proportion of high emitting hard -to-abate sector exposure with and without credible transition plans o Portfolio alignment (by sector) with verified 1.5 -degree goals and with verified credible transition plans (verified externally) o Others o Financial projections, including revenue, Capital Expenditures (CAPEX) and Operational Expenditures (OPEX) o An indicator reflecting the Climate Value -at-Risk of counterparties under a range of climate scenarios and across multiple time -horizons o Assessment of the emissions profile for mortgages and real estate assets See response above on metrics included in 5.7. The GLs in paragraph 81 listing minimum metrics is completed by paragraph 104: - Institutions should determine, taking into account their business strategies and risk appetite, which other risk - based and forward -looking metrics and targets they will include in their plans with a view to monitoring and addressing ESG risks. This include s assessing, computing and using met- rics to evaluate the financial implica- tions of transition planning for insti- tutions’ business and risk profile - In addition, the Annex supporting tool offers several examples of addi- tional metrics spanning E, S & G Section 5.7 amended FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 144 o Proportion of “green” exposures with breakdown specifically to sus- tainable power solutions o Proportion of “transition” exposures with a comprehensive science - based definition o An indicator related to nature -related risks o An indicator related to the mitigation of physical risks o An indicator that requires to show the consistency between sustain- ability -related risk targets and impact targets • Social & Governance o Indicators related to remuneration (e.g. proportion of individuals with remuneration linked to transition plan progress) or training (e.g. percentage of staff receiving transition plan -related training) o Indicators inspired by social and governance Principal Adverse Im- pact indicators of SFDR as well as social and governance metrics of CSRD ESRS Question 21: Climate and environmental scenarios and pathways General comments – Proportionality The requirements set in Section 6.4 might not be suitable for small and medium -sized institutions. Paragraph 97 is seen as too detailed and paragraph 97a should be the only paragraph formulated as binding for SNCIs. As paragraph 98 requires a significant amount of information to fulfil these requirements, the EBA should consider a phased approach to implementation. The Guidelines now provide that the complexity of the scenarios should be proportional to the size and complexity of institutions. Non -large institutions may rely on a simplified set of main parameters and assumptions, included risks, time horizons considered, and regional breakdown of impacts. Section 6.3.1 amended General comments – Binding nature The EBA should specify that the list of scenarios mentioned is representative and not mandatory. If scenarios are publicly recognized and science -based, banks should be given more flexibility. The Guidelines do not preclude and even ask banks to use public, science -based scenarios. Scenarios may now be nationa l on top of EU or international. See also above on portfolio alignment assessments. Section 6.3.1 amended FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 145 Type of scenarios / Suggestions for adding new scenarios The EBA should consider including NGFS, IPCC and the scenarios used for the Fit-for-55 exercise as sources for publicly available scenarios. The guidelines should also explicitly mention that banks are allowed to develop their own internally designed scena rios. It could also be useful to encourage banks to also use worst -case scenarios and clarify the need to use among the different scenarios those with high tail risks. The guidelines should also consider scenarios where financed NFCs won't be able to timely achieve a transition that is fully aligned with benchmark one. See above on portfolio alignment methods. The guidelines now further emphasise that banks should understand their sensitivity to ESG risks under different scenarios and understand how different scenarios may affect their transition planning efforts. Section 6.3.1 amended Type of scenarios / Clarifications expected from the EBA Risk management and strategic steering as different use cases for climate scenarios and pathways would require banks to also consider “real -world” projections of decarbonisation trajectories in addition to “normative” pathways (such as the IEA Net zero emission scenario). Moreover, the guidelines should specify that a uniform scenario does not necessarily have to be used on a company -wide basis, as different jurisdictions have different transition pathways. See above on the clarification regarding consideration of different scenarios. In addition, the Guidelines provide that the geographical reference and granularity, such as in terms of regional breakdowns, of the scenarios and pathways used by institutions should be relevant to their business model and exposures. Section 6.3.1 amended Type of scenarios / Global vs. regional scenarios The publicly available scenarios quoted do generally not provide regional breakdowns (global scenarios). Reflecting geographical aspects and granularity will require the consideration of additional or alternative scenarios. Moreover, national authorities often publish their own scenarios, which might be more tailored to portfolios with a national focus. These scenarios in line with EU objectives could offer valuable data. See above for: national consideration, geographical differences. Furthermore, para. 95 provides : addressing the specific environmental risks that may stem from the process of adjustment towards the climate and environmental - related regulatory objectives of the jurisdictions where they operate. Section 6.3.1 amended Negative emissions / climate overshoot The EBA should provide clear guidance specifying that the method ology must be based on a 1.5 °C scenario with no or low overshoot and with limited reliance of negative emissions . Para. 95b) refers to para. 38, which r equires sectoral decarbonisation pathways to be consistent with the applicable policy objective, such as the EU objective to reach net-zero GHG emissions by 2050 and to reduce emissions by 55% by 2030 compared No change FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 146 to the 1990 level, or any national objective where applicable. In addition, methodological choices should be justified and documented. Limitations in the use of scenarios The guidelines should identify explicitly limitations in the use of scenarios. The economic models used for climate scenarios analysis were developed to deal with traditional financial risks and are not suitable for climate -related risks . Tipping points and feedback mechanisms are not modelled and the models ignore some severe impacts of climate change (sea -level rise, migration, etc). The risks could therefore be underestimated. Each scenario comes with its own limitation in both design and application. Banks should understand implications of different scenarios, as set out in these GLs and future GLs on scenario analysis. Section 6.3.1 amended Transparency Institutions should provide transparency on the underlyin g model choices and assumptions. Disclosure is out of scope but banks should justify and document their methodological choices . No change Question 22: Section 6.5 – transition planning Structure & relation with other sections The structure of Section 6.5 should be reviewed for further clarity. In particular, the EBA could establish clearer links with sections 6.1 and 6.2, whose themes are closely interrelated with transition planning. The structure of section 6 has been reviewed including to specify transition planning aspects before setting out the key contents of plans. Section 6 restructured Alignment of the section with GFANZ framework Section 6.5 could be aligned with the GFANZ framework by grouping paragraphs 101, 102, 104 and 105 under the heading “Implementation Strategy Section” and paragraph 103 as the “Engagement Strategy Section” in order to provide a visible signal of internatio nal consistency. Section 6.4 detailing the key contents of plans now includes two parts catering for implementation and engagement (para. 109d) e)). Section 6.4 amended Engaging with counterparties – Clarifications needed The guidelines should stress the importance of engagement as the main driver of a transition plan (as scope 3 represents most of a bank's emissions) . It would therefore seem worthwhile clarifying some of the EBA's expectations, including the definition of engagement, based on time -bound objectives and an escalation strategy (incl. exit strategy). Section 6.4 includes requirements for engagement, including policies, processes and outcomes. See also response on section 5.1. Section 6.4 amended Engaging with counterparties – Difficulties raised The requirements set by the EBA are too extensive (reviewing counterparties transition plans is seen as very resource intensive, whereas banks could rely on ESG scores instead for instance). See answers provided above on counterparties engagement. Section 5.1 and section 6 amended FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 147 counterparties plans – Scope too narrow Requesting transition pl ans for only large counterpartie s might generat e a portfolio -level blind spot. Moreover, the exclusion of financial corporates in paragraph 102 is not justified. See answers provided above on the scope of client engagement. Section 5.1 and section 6 amended counterparties plans – Scope too large Difficulties with the engagement process were raised, including the fact that it is not possible to engage with all clients. One way of solving this issue would be to implement a phased approach. These difficulties are further exacerbated f or institutions that have a short -term lending business model. See answers provided above on the scope of client engagement. Section 5.1 and section 6 amended counterparties plans – Verification of counterparty actions External verification of counterparties transition plans should be encouraged to enhance credibility. The plan should be accompanied by an annual Scope 1, 2 and 3 emissions inventory that is complete, accurate, transparent, consistent, relevant and verified by a third party. Moreover, the guidelines should define the way the bank entails course corrections when the plan is proven infeasible. See answers provided above on the bank’s responsibility to assess the risk profile of counterparties. No change Transition planning processes Further details could be provided for certain aspects, such as clarification on how to assess the implications of transition planning on the business and risk profile s. Transition planning processes could be presented more precisely, by describing them as the collection of interoperable metrics from corporates and setting interim targets. Transition planning has been reviewed and expanded . An expected roadmap with interim objectives is present in 6.4 Section 6 amended The role of banks in the transition Even though institutions play a key role in the transition process, the role given to banks is too broad. Se ction 6.5 seems to suggest that the task of transition is exclusively reserved for banks . It is therefore seen as too far - reaching to ask banks to consider “ adjustments to the product offering, the agreement of an action plan and remediation measures to support an improved transition path for the counterparty ” (paragraph 103). The guidelines and the range of actions listed as potential risk management tools aim at supporting banks’ safety and soundness, including in the process of the transition. No change Question 23: Level of granularity for the plans Areas needing more details On top of answers stating “more details needed” without further precision, respondents highlighted the need for more details on transition plan credibility. Transition planning (now section 6.3) has been fully revamped and their output (6.4) are specified with more details. Section 6 amended FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 148 In addition, sector (e.g. fossil fuels) commitments / action plan should be more detailed, including carbon offsets management. S&G would deserve more details. Finally, inter alia, targets, governance, monitoring or materiality assessment were cited as needing more details. Areas too detailed (and why) Few respondents thought the guidelines were too detailed with too many rules and should remain high level – need for flexibility and principles -based guidelines, especially on transition plan, decarbonisation strategies, ESG risk metrics … The guidelines were also deemed too detailed and overwhelming for SNCIs / LSIs. Para. 110 caters specifically for SNCIs with less requirements in the plans content (6.4). Section 6.4 amended Question 24: Common format for the plans required by the CRD General views The answers were quite polarised with most respondents asking for a common format type of template, while other respondents having a negative view on the proposal. Many positive respondents did not elaborate except it would improve interoperability with greater standardisation including proportionality for SNCIs. Induced qualities brought by a potential template were: Comparability; Efficiency / cost; Consistency; Ease of approval / review On the negative side, demand for flexibility dominates and a loose (or NZBA’s) framework catering for every need is preferred. There was no specific trend expressed on the structure or tool to be considered for the common format but some features mostly around interoperability. Taking into account the comments received, the EBA has decided to include a supporting tool for institutions in the Annex. This does not introduce additional requirements but provides for each key content required by the guidelines some examples, reference s and potential metrics that institutions may consider as they structure and formalise their plans. Institutions may adapt the format of this common approach provided they ensure that all required key contents are included in their plans. Annex included Improving interoperability Most of the ideas proposed invokes a starting or mixed format including other EU requirements (at least CSRD / ESRS) to be complemented by CRD plans or at least a conversion table between ESRS and EBA GL is mentioned. Key is to align targets, metrics, KPIs…or at least leverage same data across frameworks. The annex supporting tool provides references to CSRD / ESRS to foster interconnections and consistency. Annex included FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 149 Some respondents recall it is the transition plan expected role to unify the frameworks. Question 25: Other challenges Capital neutrality It is important to ensure that transition to a net zero economy is capital neutral. Regulators have the opportunity to deliver capital relief to those banks delivering on credible transition plans. A capital add -on only approach for ESG risks will be a missed opportunity. The Guidelines do not address supervisory measures such as capital add -ons. No change Risk methodology complexity The guidelines propose a combination of methodologies, including exposure - based, portfolio -based, and scenario -based, to measure ESG risks. Implementing and integrating these approaches might pose challenges due to their complexity and the level of expertise required. There should be sufficient clear instructions for banks to integrate ESG factors into credit, market, operational risk models. With many of these topics (outside of climate) being at early stage of development, we see a potential risk that individual institutions will follow fairly different routes and approaches. Additional tools or frameworks, particularly for the complex methodologies suggested for ESG risk assessment should be provided. Providing more examples and use cases can certainly improve the understanding of the document and facilitate the application of the rules by the institution. More explicit guidance on predicting and preparing for future ESG risks, including potential changes in technology, regulations, or industry practices would help. The Guidelines provide harmonised requirements on the types of methodologies, and main features for each type, to be used by institutions to assess ESG risks. Given data and methodological developments, institutions should improve practices and develop the ir own complementary methods over time. Institutions remain responsible to properly understand, assess and manage risks they face, including ESG risks. No change but also see above on section 4.2 Question 26: Other comments Supervisory gold plating As the EBA has already flagged that the Guidelines will be eventually integrated into the SREP, institutions should not expect to have to meet a secondary set of supervisory expectations on top of the Guidelines’ requirements. The EBA SREP G uidelines will be addressed to competent authorities and not include requirements for institutions. No change FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 150 Integrate transition plans in other sections As transition plans are recognised by the Guidelines as a risk management tool, provisions on transition plans should be integrated into the respective sections on materiality assessment, risk management, monitoring, governance, ILAAP and ICAAP - rather th an being singled out in the section 6, which led to certain requirements being duplicative/overlapping . The EBA has considered several options. Integrating requirements on plans in a dedicated section of the Guidelines allows to provide clarity on all requirements, which should be read in conjunction. Duplications have been removed and cross -references added . Section 6 amended Recognise governance structures The Guidelines should recognize differences in institutional setups and allow room for implementation in accordance with existing governance structures . The Guidelines should be applied by banks regardless of their governance structure. See Guidelines on internal governance. No change Mutualisation of banks’ data collection In order to avoid high reporting burden f or corporates, it could be relevant to suggest financial institution s to rely on mutualization of efforts (e.g. mutualized questionnaire, common initiatives…)? The banking industry might explore such avenue. The Guidelines list certain data points to consider for the assessment of ESG risks, hence supporting harmonisation. No change Engagement with stakeholders We recommend continuous engagement with industry stakeholders to keep the Guidelines relevant and practical , including by involving employees and trade unions in the development , implementation and update process of the Guidelines. The EBA engages with stakeholders and will conduct public consultations in case of future updates . No change Risk neutrality of public administration The Public Administration (i.e. central governments, regional governments, local authorities and public sector entities) should be considered ESG risk neutral and therefore excluded from risk assessments for the following reasons: high availability of public funds for climate emergencies, exclusion of expenses for emergencies from public budget deficit, essential public services mechanism, interventions to support public services continuity and sustainabi lity, exclusion from EU Taxonomy. Banks should assess ESG risks stemming from exposures towards various types of counterparties, taking into account specific risk mitigating factors. No change Regulatory risk to banks Regulatory risk could be added in the risk descriptions, as authorities and politics increasingly seem to view the bank and finance industry as part of the ""solution"" or a part of the toolbox. This results in increased obligations and expectations for the industry also in non -bank regulations (e.g., the building en ergy directive, potentially in the deforestation regulation, etc.). The Guidelines require banks to take into account regulatory developments as part of risk management and transition planning. Section 6 clarified FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 151 Real economy transition The real economy is still at the beginning of its transitioning process. Hence, ESG transition also in the financial sector remains a challenge, most likely over several years to come. This needs to be taken into consideration. As part of the range of considerations to support strategy and risk management decision -making, banks should consider the real economy transition progress. UNGPs and OECD MNE Guidelines The UN Guiding Principles on Business and Human Rights (UNGPs) and OECD Guidelines for Multinational Enterprises (OECD MNE Guidelines) provide a common reference point for responsible business conduct including as it relates to environment and social sustainability. All businesses, including financial market participants, have a responsibility to respect human rights and that should be implemented through a process of human rights due diligence. The UNGPs and OECD MNE Guidelines have gained wide legitimacy and are referenced in ESG related EU regulation . The Guidelines require banks to implement due diligence processes with a view to assessing financial impacts stemming from S and G factors, taking into account the adherence of corporate counterparties to social and governance standards , including the UNGPs and OECD MNE Guidelines. Section 4.2 amended"
dbfs:/Volumes/workspace/hackathoncompliancedoc/documents/GwG.pdf,"Ein Service des Bundesministeriums der Justiz sowie des Bundesamts für Justiz ‒ www.gesetze-im-internet.de Gesetz über das Aufspüren von Gewinnen aus schweren Straftaten (Geldwäschegesetz - GwG) GwG Ausfertigungsdatum: 23.06.2017 Vollzitat: ""Geldwäschegesetz vom 23. Juni 2017 (BGBl. I S. 1822), das zuletzt durch Artikel 8 des Gesetzes vom 27. Dezember 2024 (BGBl. 2024 I Nr. 438) geändert worden ist"" Stand: Zuletzt geändert durch Art. 8 G v. 27.12.2024 I Nr. 438 Änderung durch Art. 41 Nr. 1 G v. 2.12.2024 I Nr. 387 mWv 6.12.2024 ist nicht ausführbar, da § 50c nicht vorhanden ist Mittelbare Änderung durch Art. 154a Nr. 3 Buchst. a G v. 20.11.2019 I 1626 ist nicht ausführbar, da das geänderte G v. 21.6.2019 I 846 zum Zeitpunkt des Inkrafttretens des mittelbaren Änderungsgesetzes bereits zum 1.11.2019 in Kraft getreten ist Ersetzt G 7613-2 v. 13.8.2008 I 1690 (GwG 2008) Fußnote (+++ Textnachweis ab: 26.6.2017 +++) (+++ Zur Anwendung vgl. § 14 Abs. 1 u. 3, § 15 Abs. 2, § 19 Abs. 2, § 23a Abs. 1, § 26 Abs. 1, § 38 Abs. 4, § 43 Abs. 5 Satz 3, § 46 Abs. 1 Satz 5, § 59 Abs. 3 +++) (+++ Zur Anwendung d. § 8 vgl. § 25i Abs. 3 KredWG +++) (+++ Zur Anwendung d. § 47 Abs. 5 vgl. § 25h Abs. 3 KredWG +++) (+++ Zur Anwendung d. § 43 Abs. 1 vgl. § 54 Abs. 3 VAG 2016 +++)  Das G wurde als Art. 1 des G v. 23.6.2017 I 1822 vom Bundestag mit Zustimmung des Bundesrates beschlossen. Es ist gem. Art. 24 Satz 1 dieses G am 26.6.2017 in Kraft getreten. Inhaltsübersicht Abschnitt 1 Begriffsbestimmungen, Verpflichtete und risikobasierter Ansatz § 1 Begriffsbestimmungen § 2 Verpflichtete, Verordnungsermächtigung § 3 Wirtschaftlich Berechtigter § 3a Risikobasierter Ansatz, nationale Risikoanalyse  Abschnitt 2 Risikomanagement § 4 Risikomanagement § 5 Risikoanalyse § 6 Interne Sicherungsmaßnahmen § 7 Geldwäschebeauftragter § 8 Aufzeichnungs- und Aufbewahrungspflicht § 9 Gruppenweite Pflichten  Abschnitt 3 - Seite 1 von 77 - Ein Service des Bundesministeriums der Justiz sowie des Bundesamts für Justiz ‒ www.gesetze-im-internet.de Sorgfaltspflichten in Bezug auf Kunden § 10 Allgemeine Sorgfaltspflichten § 11 Identifizierung, Erhebung von Angaben zum Zweck der Identifizierung § 11a Verarbeitung personenbezogener Daten durch Verpflichtete § 12 Überprüfung von Angaben zum Zweck der Identifizierung, Verordnungsermächtigung § 13 Verfahren zur Überprüfung von Angaben zum Zweck der Identifizierung, Verordnungsermächtigung § 14 Vereinfachte Sorgfaltspflichten, Verordnungsermächtigung § 15 Verstärkte Sorgfaltspflichten, Verordnungsermächtigung § 15a Verstärkte Sorgfaltspflichten bei der Übertragung von Kryptowerten von einer selbst gehosteten oder an eine selbst gehostete Adresse § 16 Besondere Vorschriften für das Glücksspiel im Internet § 16a Verbot der Barzahlung beim Erwerb von Immobilien § 17 Ausführung der Sorgfaltspflichten durch Dritte, vertragliche Auslagerung  Abschnitt 4 Transparenzregister § 18 Einrichtung des Transparenzregisters und registerführende Stelle § 19 Angaben zum wirtschaftlich Berechtigten § 19a Angaben zu Immobilien § 19b Erfassung und Zuordnung von Immobilien § 20 Transparenzpflichten im Hinblick auf bestimmte Vereinigungen § 20a Automatische Eintragung für Vereine § 21 Transparenzpflichten im Hinblick auf bestimmte Rechtsgestaltungen § 22 Zugängliche Dokumente und Datenübermittlung an das Transparenzregister, Verordnungsermächtigung § 23 Einsichtnahme in das Transparenzregister, Verordnungsermächtigung § 23a Meldung von Unstimmigkeiten an die registerführende Stelle § 24 Gebühren und Auslagen, Verordnungsermächtigung § 25 Übertragung der Führung des Transparenzregisters, Verordnungsermächtigung § 26 Europäisches System der Registervernetzung, Verordnungsermächtigung § 26a Abruf durch bestimmte Behörden  Abschnitt 5 Zentralstelle für Finanztransaktionsuntersuchungen § 27 Zentrale Meldestelle § 28 Aufgaben, Aufsicht und Zusammenarbeit § 29 Verarbeitung personenbezogener Daten durch die Zentralstelle für Finanztransaktionsuntersuchungen § 30 Analyse von Meldungen und Informationen § 31 Auskunftsrecht gegenüber inländischen öffentlichen Stellen, Datenzugriffsrecht, Verordnungsermächtigung § 32 Datenübermittlungsverpflichtung an inländische öffentliche Stellen § 32a Datenübermittlung an Europol - Seite 2 von 77 - Ein Service des Bundesministeriums der Justiz sowie des Bundesamts für Justiz ‒ www.gesetze-im-internet.de § 33 Datenaustausch mit Mitgliedstaaten der Europäischen Union § 34 Informationsersuchen im Rahmen der internationalen Zusammenarbeit § 35 Datenübermittlung im Rahmen der internationalen Zusammenarbeit § 36 Automatisierter Datenabgleich im europäischen Verbund § 37 Berichtigung, Einschränkung der Verarbeitung und Löschung personenbezogener Daten aus automatisierter Verarbeitung und bei Speicherung in automatisierten Dateien § 38 Berichtigung, Einschränkung der Verarbeitung und Vernichtung personenbezogener Daten, die weder automatisiert verarbeitet werden noch in einer automatisierten Datei gespeichert sind § 38a Protokollierung von Informationsersuchen, Statistik, Verordnungsermächtigung § 39 Errichtungsanordnung § 40 Sofortmaßnahmen § 41 Rückmeldung an Verpflichtete und Behörden § 42 Benachrichtigung von inländischen öffentlichen Stellen an die Zentralstelle für Finanztransaktionsuntersuchungen  Abschnitt 6 Pflichten im Zusammenhang mit Meldungen von Sachverhalten § 43 Meldepflicht von Verpflichteten, Verordnungsermächtigung § 44 Meldepflicht von Aufsichtsbehörden § 45 Form der Meldung, Registrierungspflicht, Ausführung durch Dritte, Verordnungsermächtigung § 46 Durchführung von Transaktionen § 47 Verbot der Informationsweitergabe, Verordnungsermächtigung § 48 Freistellung von der Verantwortlichkeit § 49 Informationszugang und Schutz der meldenden Beschäftigten  Abschnitt 7 Aufsicht, Zusammenarbeit, Bußgeldvorschriften, Datenschutz § 50 Zuständige Aufsichtsbehörde § 51 Aufsicht § 51a Verarbeitung personenbezogener Daten durch Aufsichtsbehörden § 52 Mitwirkungspflichten § 53 Hinweise auf Verstöße § 54 Verschwiegenheitspflicht § 55 Zusammenarbeit mit anderen Behörden § 56 Bußgeldvorschriften § 57 Bekanntmachung von bestandskräftigen Maßnahmen und von unanfechtbaren Bußgeldentscheidungen § 58 (weggefallen) § 59 Übergangsregelung Anlage 1 Faktoren für ein potenziell geringeres Risiko Anlage 2 Faktoren für ein potenziell höheres Risiko Abschnitt 1 - Seite 3 von 77 - Ein Service des Bundesministeriums der Justiz sowie des Bundesamts für Justiz ‒ www.gesetze-im-internet.de Begriffsbestimmungen, Verpflichtete und risikobasierter Ansatz § 1 Begriffsbestimmungen (1) Geldwäsche im Sinne dieses Gesetzes ist eine Straftat nach § 261 des Strafgesetzbuchs. (2) Terrorismusfinanzierung im Sinne dieses Gesetzes ist 1. die Bereitstellung oder Sammlung von Vermögensgegenständen mit dem Wissen oder in der Absicht, dass diese Vermögensgegenstände ganz oder teilweise dazu verwendet werden oder verwendet werden sollen, eine oder mehrere der folgenden Straftaten zu begehen: a) eine Tat nach § 129a des Strafgesetzbuchs, auch in Verbindung mit § 129b des Strafgesetzbuchs, oder  b) eine andere der in den Artikeln 3, 5 bis 10 und 12 der Richtlinie (EU) 2017/541 des Europäischen Parlaments und des Rates vom 15. März 2017 zur Terrorismusbekämpfung und zur Ersetzung des Rahmenbeschlusses 2002/475/JI des Rates und zur Änderung des Beschlusses 2005/671/JI des Rates (ABl. L 88 vom 31.3.2017, S. 6) umschriebenen Straftaten,  2. die Begehung einer Tat nach § 89c des Strafgesetzbuchs oder  3. die Anstiftung oder Beihilfe zu einer Tat nach Nummer 1 oder 2.  (3) Identifizierung im Sinne dieses Gesetzes besteht aus 1. dem Erheben von Angaben zum Zweck der Identifizierung und  2. der Überprüfung dieser Angaben zum Zweck der Identifizierung.  (4) Geschäftsbeziehung im Sinne dieses Gesetzes ist jede Beziehung, die unmittelbar in Verbindung mit den gewerblichen oder beruflichen Aktivitäten der Verpflichteten steht und bei der beim Zustandekommen des Kontakts davon ausgegangen wird, dass sie von gewisser Dauer sein wird. (5) Transaktion im Sinne dieses Gesetzes ist oder sind eine oder, soweit zwischen ihnen eine Verbindung zu bestehen scheint, mehrere Handlungen, die eine Geldbewegung oder eine sonstige Vermögensverschiebung bezweckt oder bezwecken oder bewirkt oder bewirken. Bei Vermittlungstätigkeiten von Verpflichteten nach § 2 Absatz 1 Nummer 14 und 16 gilt als Transaktion im Sinne dieses Gesetzes das vermittelte Rechtsgeschäft. (6) Trust im Sinne dieses Gesetzes ist eine Rechtgestaltung, die als Trust errichtet wurde, wenn das für die Errichtung anwendbare Recht das Rechtsinstitut des Trusts vorsieht. Sieht das für die Errichtung anwendbare Recht ein Rechtsinstitut vor, das dem Trust nachgebildet ist, so gelten auch Rechtsgestaltungen, die unter Verwendung dieses Rechtsinstituts errichtet wurden, als Trust. (7) Vermögensgegenstand im Sinne dieses Gesetzes ist 1. jeder Vermögenswert, ob körperlich oder nichtkörperlich, beweglich oder unbeweglich, materiell oder immateriell, sowie  2. Rechtstitel und Urkunden in jeder Form, einschließlich der elektronischen und digitalen Form, die das Eigentumsrecht oder sonstige Rechte an Vermögenswerten nach Nummer 1 verbriefen.  (7a) Immobilien im Sinne dieses Gesetzes sind Grundstücke, grundstücksgleiche Rechte und Miteigentumsanteile an Grundstücken, die im Bestandsverzeichnis eines Grundbuchblattes aufgeführt sind. (8) Glücksspiel im Sinne dieses Gesetzes ist jedes Spiel, bei dem ein Spieler für den Erwerb einer Gewinnchance ein Entgelt entrichtet und der Eintritt von Gewinn oder Verlust ganz oder überwiegend vom Zufall abhängt. (9) Güterhändler im Sinne dieses Gesetzes ist, wer gewerblich Güter veräußert, unabhängig davon, in wessen Namen oder auf wessen Rechnung. (10) Hochwertige Güter im Sinne dieses Gesetzes sind Gegenstände, 1. die sich aufgrund ihrer Beschaffenheit, ihres Verkehrswertes oder ihres bestimmungsgemäßen Gebrauchs von Gebrauchsgegenständen des Alltags abheben oder  - Seite 4 von 77 - Ein Service des Bundesministeriums der Justiz sowie des Bundesamts für Justiz ‒ www.gesetze-im-internet.de 2. die aufgrund ihres Preises keine Alltagsanschaffung darstellen.  Zu ihnen gehören insbesondere 1. Edelmetalle wie Gold, Silber und Platin,  2. Edelsteine,  3. Schmuck und Uhren,  4. Kunstgegenstände und Antiquitäten,  5. Kraftfahrzeuge, Schiffe und Motorboote sowie Luftfahrzeuge.  (11) Immobilienmakler im Sinne dieses Gesetzes ist, wer gewerblich den Abschluss von Kauf-, Pacht- oder Mietverträgen über Grundstücke, grundstücksgleiche Rechte, gewerbliche Räume oder Wohnräume vermittelt. (12) Politisch exponierte Person im Sinne dieses Gesetzes ist jede Person, die ein hochrangiges wichtiges öffentliches Amt auf internationaler, europäischer oder nationaler Ebene ausübt oder ausgeübt hat oder ein öffentliches Amt unterhalb der nationalen Ebene, dessen politische Bedeutung vergleichbar ist, ausübt oder ausgeübt hat. Zu den politisch exponierten Personen gehören insbesondere 1. Personen, die folgende Funktionen innehaben: a) Staatschefs, Regierungschefs, Minister, Mitglieder der Europäischen Kommission, stellvertretende Minister und Staatssekretäre,  b) Parlamentsabgeordnete und Mitglieder vergleichbarer Gesetzgebungsorgane,  c) Mitglieder der Führungsgremien politischer Parteien,  d) Mitglieder von obersten Gerichtshöfen, Verfassungsgerichtshöfen oder sonstigen hohen Gerichten, gegen deren Entscheidungen im Regelfall kein Rechtsmittel mehr eingelegt werden kann,  e) Mitglieder der Leitungsorgane von Rechnungshöfen,  f) Mitglieder der Leitungsorgane von Zentralbanken,  g) Botschafter, Geschäftsträger und Verteidigungsattachés,  h) Mitglieder der Verwaltungs-, Leitungs- und Aufsichtsorgane staatseigener Unternehmen,  i) Direktoren, stellvertretende Direktoren, Mitglieder des Leitungsorgans oder sonstige Leiter mit vergleichbarer Funktion in einer zwischenstaatlichen internationalen oder europäischen Organisation;  2. Personen, die Ämter innehaben, welche in der nach Artikel 1 Nummer 13 der Richtlinie (EU) 2018/843 des Europäischen Parlaments und des Rates vom 30. Mai 2018 zur Änderung der Richtlinie (EU) 2015/849 zur Verhinderung der Nutzung des Finanzsystems zum Zwecke der Geldwäsche und der Terrorismusfinanzierung und zur Änderung der Richtlinien 2009/138/EG und 2013/36/EU (ABl. L 156 vom 19.6.2018, S. 43) von der Europäischen Kommission veröffentlichten Liste enthalten sind.  Das Bundesministerium der Finanzen erstellt, aktualisiert und übermittelt der Europäischen Kommission eine Liste gemäß Artikel 1 Nummer 13 der Richtlinie (EU) 2018/843. Organisationen nach Satz 2 Nummer 1 Buchstabe i mit Sitz in Deutschland übermitteln dem Bundesministerium der Finanzen hierfür jährlich zum Jahresende eine Liste mit wichtigen öffentlichen Ämtern nach dieser Vorschrift. (13) Familienmitglied im Sinne dieses Gesetzes ist ein naher Angehöriger einer politisch exponierten Person, insbesondere 1. der Ehepartner oder eingetragene Lebenspartner,  2. ein Kind und dessen Ehepartner oder eingetragener Lebenspartner sowie  3. jeder Elternteil.  (14) Bekanntermaßen nahestehende Person im Sinne dieses Gesetzes ist eine natürliche Person, bei der der Verpflichtete Grund zu der Annahme haben muss, dass diese Person 1. gemeinsam mit einer politisch exponierten Person a) wirtschaftlich Berechtigter einer Vereinigung nach § 20 Absatz 1 ist oder  - Seite 5 von 77 - Ein Service des Bundesministeriums der Justiz sowie des Bundesamts für Justiz ‒ www.gesetze-im-internet.de b) wirtschaftlich Berechtigter einer Rechtsgestaltung nach § 21 ist,  2. zu einer politisch exponierten Person sonstige enge Geschäftsbeziehungen unterhält oder  3. alleiniger wirtschaftlich Berechtigter a) einer Vereinigung nach § 20 Absatz 1 ist oder  b) einer Rechtsgestaltung nach § 21 ist,  bei der der Verpflichtete Grund zu der Annahme haben muss, dass die Errichtung faktisch zugunsten einer politisch exponierten Person erfolgte.  (15) Mitglied der Führungsebene im Sinne dieses Gesetzes ist eine Führungskraft oder ein leitender Mitarbeiter eines Verpflichteten mit ausreichendem Wissen über die Risiken, denen der Verpflichtete in Bezug auf Geldwäsche und Terrorismusfinanzierung ausgesetzt ist, und mit der Befugnis, insoweit Entscheidungen zu treffen. Ein Mitglied der Führungsebene muss nicht zugleich ein Mitglied der Leitungsebene sein. (16) Gruppe im Sinne dieses Gesetzes ist ein Zusammenschluss von Unternehmen, der besteht aus 1. einem Mutterunternehmen,  2. den Tochterunternehmen des Mutterunternehmens,  3. den Unternehmen, an denen das Mutterunternehmen oder seine Tochterunternehmen eine Beteiligung halten, und  4. Unternehmen, die untereinander verbunden sind durch eine Beziehung im Sinne des Artikels 22 Absatz 1 der Richtlinie 2013/34/EU des Europäischen Parlaments und des Rates vom 26. Juni 2013 über den Jahresabschluss, den konsolidierten Abschluss und damit verbundene Berichte von Unternehmen bestimmter Rechtsformen und zur Änderung der Richtlinie 2006/43/EG des Europäischen Parlaments und des Rates und zur Aufhebung der Richtlinien 78/660/EWG und 83/349/EWG des Rates (ABl. L 182 vom 29.6.2013, S. 19).  (17) Drittstaat im Sinne dieses Gesetzes ist ein Staat, 1. der nicht Mitgliedstaat der Europäischen Union ist und  2. der nicht Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum ist.  (18) E-Geld im Sinne dieses Gesetzes ist E-Geld nach § 1 Absatz 2 Satz 3 und 4 des Zahlungsdiensteaufsichtsgesetzes. (19) Aufsichtsbehörde im Sinne dieses Gesetzes ist die zuständige Aufsichtsbehörde nach § 50. (20) Die Zuverlässigkeit eines Mitarbeiters im Sinne dieses Gesetzes liegt vor, wenn der Mitarbeiter die Gewähr dafür bietet, dass er 1. die in diesem Gesetz geregelten Pflichten, sonstige geldwäscherechtliche Pflichten und die beim Verpflichteten eingeführten Strategien, Kontrollen und Verfahren zur Verhinderung von Geldwäsche und von Terrorismusfinanzierung sorgfältig beachtet,  2. Tatsachen nach § 43 Absatz 1 dem Vorgesetzten oder dem Geldwäschebeauftragten, sofern ein Geldwäschebeauftragter bestellt ist, meldet und  3. sich weder aktiv noch passiv an zweifelhaften Transaktionen oder Geschäftsbeziehungen beteiligt.  (21) Korrespondenzbeziehung im Sinne dieses Gesetzes ist eine Geschäftsbeziehung, in deren Rahmen folgende Leistungen erbracht werden: 1. Bankdienstleistungen, wie die Unterhaltung eines Kontokorrent- oder eines anderen Zahlungskontos und die Erbringung damit verbundener Leistungen wie die Verwaltung von Barmitteln, die Durchführung von internationalen Geldtransfers oder Devisengeschäften und die Vornahme von Scheckverrechnungen, durch Verpflichtete nach § 2 Absatz 1 Nummer 1 (Korrespondenten) für CRR-Kreditinstitute oder für Unternehmen in einem Drittstaat, die Tätigkeiten ausüben, die denen solcher Kreditinstitute gleichwertig sind (Respondenten), oder  - Seite 6 von 77 - Ein Service des Bundesministeriums der Justiz sowie des Bundesamts für Justiz ‒ www.gesetze-im-internet.de 2. ähnliche Dienstleistungen, soweit diese Leistungen nach den jeweiligen gesetzlichen Vorschriften durch Verpflichtete nach § 2 Absatz 1 Nummer 1 bis 3 und 6 bis 9 (Korrespondenten) erbracht werden dürfen für folgende Respondenten: a) andere CRR-Kreditinstitute oder Finanzinstitute im Sinne des Artikels 3 Nummer 2 der Richtlinie (EU) 2015/849 oder  b) Unternehmen oder Personen in einem Drittstaat, die Tätigkeiten ausüben, die denen solcher Kreditinstitute oder Finanzinstitute gleichwertig sind.  Davon umfasst sind insbesondere Beziehungen, die für Wertpapiergeschäfte oder Geldtransfers aufgenommen wurden.  (22) Bank-Mantelgesellschaft im Sinne dieses Gesetzes ist 1. ein CRR-Kreditinstitut oder ein Finanzinstitut nach Artikel 3 Nummer 2 der Richtlinie (EU) 2015/849 oder  2. ein Unternehmen, a) das Tätigkeiten ausübt, die denen eines solchen Kreditinstituts oder Finanzinstituts gleichwertig sind, und das in einem Land in ein Handelsregister oder ein vergleichbares Register eingetragen ist, in dem die tatsächliche Leitung und Verwaltung nicht erfolgen, und  b) das keiner regulierten Gruppe von Kredit- oder Finanzinstituten angeschlossen ist.  (23) Kunstvermittler im Sinne dieses Gesetzes ist, wer gewerblich den Abschluss von Kaufverträgen über Kunstgegenstände vermittelt, auch als Auktionator oder Galerist. Kunstlagerhalter im Sinne dieses Gesetzes ist, wer gewerblich Kunstgegenstände lagert. Unerheblich ist, in wessen Namen oder auf wessen Rechnung die Tätigkeit nach Satz 1 oder 2 erfolgt. (24) Finanzunternehmen im Sinne dieses Gesetzes ist ein Unternehmen, dessen Haupttätigkeit darin besteht, 1. Beteiligungen zu erwerben, zu halten oder zu veräußern,  2. Geldforderungen mit Finanzierungsfunktion entgeltlich zu erwerben,  3. mit Finanzinstrumenten auf eigene Rechnung zu handeln,  4. Finanzanlagenvermittler nach § 34f Absatz 1 Satz 1 der Gewerbeordnung und Honorar- Finanzanlagenberater nach § 34h Absatz 1 Satz 1 der Gewerbeordnung zu sein, es sei denn, die Vermittlung oder Beratung bezieht sich ausschließlich auf Anlagen, die von Verpflichteten nach diesem Gesetz vertrieben oder emittiert werden,  5. Unternehmen über die Kapitalstruktur, die industrielle Strategie und die damit verbundenen Fragen zu beraten sowie bei Zusammenschlüssen und Übernahmen von Unternehmen diese Unternehmen zu beraten und ihnen Dienstleistungen anzubieten oder  6. Darlehen zwischen Kreditinstituten zu vermitteln (Geldmaklergeschäfte).  Holdinggesellschaften, die ausschließlich Beteiligungen an Unternehmen außerhalb des Kreditinstituts- , Finanzinstituts- und Versicherungssektors halten und die nicht über die mit der Verwaltung des Beteiligungsbesitzes verbundenen Aufgaben hinaus unternehmerisch tätig sind, sind keine Finanzunternehmen im Sinne dieses Gesetzes. (25) Mutterunternehmen im Sinne dieses Gesetzes ist ein Unternehmen, dem mindestens ein anderes Unternehmen nach Absatz 16 Nummer 2 bis 4 nachgeordnet ist, und dem kein anderes Unternehmen übergeordnet ist. (26) Finanzinformationen im Sinne dieses Gesetzes sind alle Arten von Informationen oder Daten, insbesondere Daten über finanzielle Vermögenswerte, Geldbewegungen oder finanzgeschäftliche Beziehungen, die bereits bei der Zentralstelle für Finanztransaktionsuntersuchungen oder anderen zentralen Meldestellen im Sinne des Artikels 32 der Richtlinie (EU) 2015/849 vorhanden sind, um Geldwäsche und Terrorismusfinanzierung zu verhüten, aufzudecken und zu bekämpfen. (27) Finanzanalyse im Sinne dieses Gesetzes ist das Ergebnis der von der Zentralstelle für Finanztransaktionsuntersuchungen oder einer anderen zentralen Meldestelle im Sinne des Artikel 32 der Richtlinie (EU) 2015/849 für die Erfüllung ihrer Aufgaben nach der Richtlinie (EU) 2015/849 bereits durchgeführten operativen und strategischen Analyse. - Seite 7 von 77 - Ein Service des Bundesministeriums der Justiz sowie des Bundesamts für Justiz ‒ www.gesetze-im-internet.de (28) Die Bezeichnung 1. Richtlinie (EU) 2015/849 bezeichnet die Richtlinie (EU) 2015/849 des Europäischen Parlamentes und des Rates vom 20. Mai 2015 zur Verhinderung der Nutzung des Finanzsystems zum Zweck der Geldwäsche und der Terrorismusfinanzierung, zur Änderung der Verordnung (EU) Nr. 648/2012 des Europäischen Parlaments und des Rates und zur Aufhebung der Richtlinie 2005/60/EG des Europäischen Parlaments und des Rates und der Richtlinie 2006/70/EG der Kommission, die zuletzt durch die Richtlinie (EU) 2018/843 des Europäischen Parlamentes und des Rates vom 30. Mai 2018 zur Änderung der Richtlinie (EU) 2015/849 zur Verhinderung der Nutzung des Finanzsystems zum Zweck der Geldwäsche und der Terrorismusfinanzierung und zur Änderung der Richtlinien 2009/138/EG und 2013/36/EU geändert worden ist;  2. Richtlinie (EU) 2019/1153 bezeichnet die Richtlinie (EU) 2019/1153 des Europäischen Parlamentes und des Rates vom 20. Juni 2019 zur Festlegung von Vorschriften zur Erleichterung der Nutzung von Finanz- und sonstigen Informationen für die Verhütung, Aufdeckung, Untersuchung oder Verfolgung bestimmter Straftaten und zur Aufhebung des Beschlusses 2000/642/JI des Rates;  3. Verordnung (EU) 2016/794 bezeichnet die Verordnung (EU) 2016/794 des Europäischen Parlamentes und des Rates vom 11. Mai 2016 über die Agentur der Europäischen Union für die Zusammenarbeit auf dem Gebiet der Strafverfolgung (Europol) und zur Ersetzung und Aufhebung der Beschlüsse 2009/371/JI, 2009/934/JI, 2009/935/JI, 2009/936/JI und 2009/968/JI;  4. Verordnung (EU) 2023/1113 bezeichnet die Verordnung (EU) 2023/1113 des Europäischen Parlaments und des Rates vom 31. Mai 2023 über die Übermittlung von Angaben bei Geldtransfers und Transfers bestimmter Kryptowerte und zur Änderung der Richtlinie (EU) 2015/849 (ABl. L 150 vom 9.6.2023, S. 1);  5. Verordnung (EU) 2023/1114 bezeichnet die Verordnung (EU) 2023/1114 des Europäischen Parlaments und des Rates vom 31. Mai 2023 über Märkte für Kryptowerte und zur Änderung der Verordnungen (EU) Nr. 1093/2010 und (EU) Nr. 1095/2010 sowie der Richtlinien 2013/36/EU und (EU) 2019/1937 (ABl. L 150 vom 9.6.2023, S. 40).  (29) Kryptowerte im Sinne dieses Gesetzes sind Kryptowerte im Sinne des Artikels 3 Nummer 14 der Verordnung (EU) 2023/1113. (30) Kryptowertetransfer im Sinne dieses Gesetzes ist jeder Kryptowertetransfer im Sinne des Artikels 3 Nummer 10 der Verordnung (EU) 2023/1113. (31) Anbieter von Kryptowerte-Dienstleistungen im Sinne dieses Gesetzes sind Anbieter von Kryptowerte- Dienstleistungen im Sinne des Artikels 3 Absatz 1 Nummer 15 der Verordnung (EU) 2023/1114, wenn sie eine oder mehrere Kryptowerte-Dienstleistungen im Sinne des Artikels 3 Absatz 1 Nummer 16 der Verordnung (EU) 2023/1114 erbringen, mit Ausnahme der Beratung zu Kryptowerten im Sinne des Artikels 3 Absatz 1 Nummer 16 Buchstabe h der Verordnung (EU) 2023/1114. (32) Emittenten vermögenswertreferenzierter Token im Sinne dieses Gesetzes sind Emittenten vermögenswertreferenzierter Token nach Artikel 16 Absatz 1 Buchstabe a der Verordnung (EU) 2023/1114, die vermögenswertreferenzierte Token nicht ausschließlich über einen Anbieter von Kryptowerte-Dienstleistungen öffentlich anbieten oder die deren Zulassung zum Handel nicht ausschließlich über einen Anbieter von Kryptowerte-Dienstleistungen beantragen. (33) Selbst gehostete Adresse im Sinne dieses Gesetzes ist eine selbst gehostete Adresse im Sinne des Artikels 3 Nummer 20 der Verordnung (EU) 2023/1113. § 2 Verpflichtete, Verordnungsermächtigung (1) Verpflichtete im Sinne dieses Gesetzes sind, soweit sie in Ausübung ihres Gewerbes oder Berufs handeln, 1. Kreditinstitute nach § 1 Absatz 1 des Kreditwesengesetzes, mit Ausnahme der in § 2 Absatz 1 Nummer 3 bis 8 des Kreditwesengesetzes genannten Unternehmen, und im Inland gelegene Zweigstellen und Zweigniederlassungen von Kreditinstituten mit Sitz im Ausland,  2. Finanzdienstleistungsinstitute nach § 1 Absatz 1a des Kreditwesengesetzes, mit Ausnahme der in § 2 Absatz 6 Satz 1 Nummer 3 bis 10 und 12 und Absatz 10 des Kreditwesengesetzes genannten Unternehmen, im Inland gelegene Zweigstellen und Zweigniederlassungen von Finanzdienstleistungsinstituten mit Sitz im Ausland, Wertpapierinstitute nach § 2 Absatz 1 - Seite 8 von 77 - Ein Service des Bundesministeriums der Justiz sowie des Bundesamts für Justiz ‒ www.gesetze-im-internet.de des Wertpapierinstitutsgesetzes und im Inland gelegene Niederlassungen vergleichbarer Unternehmen mit Sitz im Ausland sowie Anbieter von Kryptowerte-Dienstleistungen und Emittenten vermögenswertreferenzierter Token,  3. Zahlungsinstitute und E-Geld-Institute nach § 1 Absatz 3 des Zahlungsdiensteaufsichtsgesetzes und im Inland gelegene Zweigstellen und Zweigniederlassungen von vergleichbaren Instituten mit Sitz im Ausland,  4. Agenten nach § 1 Absatz 9 des Zahlungsdiensteaufsichtsgesetzes und E-Geld-Agenten nach § 1 Absatz 10 des Zahlungsdiensteaufsichtsgesetzes sowie diejenigen Zahlungsinstitute und E-Geld-Institute mit Sitz in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum, die im Inland über Agenten nach § 1 Absatz 9 des Zahlungsdiensteaufsichtsgesetzes oder über E-Geld-Agenten nach § 1 Absatz 10 des Zahlungsdiensteaufsichtsgesetzes niedergelassen sind,  5. selbständige Gewerbetreibende, die E-Geld eines Kreditinstituts nach § 1 Absatz 2 Satz 1 Nummer 2 des Zahlungsdiensteaufsichtsgesetzes vertreiben oder rücktauschen,  6. Finanzunternehmen sowie im Inland gelegene Zweigstellen und Zweigniederlassungen von Finanzunternehmen mit Sitz im Ausland, soweit sie nicht bereits von den Nummern 1 bis 5, 7, 9, 10, 12 oder 13 erfasst sind,  7. Versicherungsunternehmen nach Artikel 13 Nummer 1 der Richtlinie 2009/138/EG des Europäischen Parlaments und des Rates vom 25. November 2009 betreffend die Aufnahme und Ausübung der Versicherungs- und der Rückversicherungstätigkeit (Solvabilität II) (ABl. L 335 vom 17.12.2009, S. 1) und im Inland gelegene Niederlassungen solcher Unternehmen mit Sitz im Ausland, soweit sie jeweils a) Lebensversicherungstätigkeiten, die unter diese Richtlinie fallen, anbieten,  b) Unfallversicherungen mit Prämienrückgewähr anbieten,  c) Darlehen im Sinne von § 1 Absatz 1 Satz 2 Nummer 2 des Kreditwesengesetzes vergeben oder  d) Kapitalisierungsprodukte anbieten,  8. Versicherungsvermittler nach § 59 des Versicherungsvertragsgesetzes, soweit sie die unter Nummer 7 fallenden Tätigkeiten, Geschäfte, Produkte oder Dienstleistungen vermitteln, mit Ausnahme der gemäß § 34d Absatz 6 oder 7 Nummer 1 der Gewerbeordnung tätigen Versicherungsvermittler, und im Inland gelegene Niederlassungen entsprechender Versicherungsvermittler mit Sitz im Ausland,  9. Kapitalverwaltungsgesellschaften nach § 17 Absatz 1 des Kapitalanlagegesetzbuchs, im Inland gelegene Zweigniederlassungen von EU-Verwaltungsgesellschaften und ausländischen AIF- Verwaltungsgesellschaften sowie ausländische AIF-Verwaltungsgesellschaften, für die die Bundesrepublik Deutschland Referenzmitgliedstaat ist und die der Aufsicht der Bundesanstalt für Finanzdienstleistungsaufsicht gemäß § 57 Absatz 1 Satz 3 des Kapitalanlagegesetzbuchs unterliegen,  10. Rechtsanwälte, Kammerrechtsbeistände, Patentanwälte sowie Notare, soweit sie a) für den Mandanten an der Planung oder Durchführung von folgenden Geschäften mitwirken: aa) Kauf und Verkauf von Immobilien oder Gewerbebetrieben,  bb) Verwaltung von Geld, Wertpapieren oder sonstigen Vermögenswerten,  cc) Eröffnung oder Verwaltung von Bank-, Spar- oder Wertpapierkonten,  dd) Beschaffung der zur Gründung, zum Betrieb oder zur Verwaltung von Gesellschaften erforderlichen Mittel,  ee) Gründung, Betrieb oder Verwaltung von Treuhandgesellschaften, Gesellschaften oder ähnlichen Strukturen,  b) im Namen und auf Rechnung des Mandanten Finanz- oder Immobilientransaktionen durchführen,  c) den Mandanten im Hinblick auf dessen Kapitalstruktur, dessen industrielle Strategie oder damit verbundene Fragen beraten,  d) Beratung oder Dienstleistungen im Zusammenhang mit Zusammenschlüssen oder Übernahmen erbringen oder  e) geschäftsmäßig Hilfeleistung in Steuersachen erbringen,  11. Rechtsbeistände, die nicht Mitglied einer Rechtsanwaltskammer sind, und registrierte Personen nach § 10 des Rechtsdienstleistungsgesetzes, soweit sie Tätigkeiten nach Nummer 10 Buchstabe a bis d - Seite 9 von 77 - Ein Service des Bundesministeriums der Justiz sowie des Bundesamts für Justiz ‒ www.gesetze-im-internet.de erbringen, ausgenommen die Erbringung von Inkassodienstleistungen im Sinne des § 2 Absatz 2 Satz 1 des Rechtsdienstleistungsgesetzes,  12. Wirtschaftsprüfer, vereidigte Buchprüfer, Steuerberater, Steuerbevollmächtigte und die in § 4 Nummer 11 des Steuerberatungsgesetzes genannten Vereine  13. Dienstleister für Gesellschaften und für Treuhandvermögen oder Treuhänder, die nicht den unter den Nummern 10 bis 12 genannten Berufen angehören, wenn sie für Dritte eine der folgenden Dienstleistungen erbringen: a) Gründung einer juristischen Person oder Personengesellschaft,  b) Ausübung der Leitungs- oder Geschäftsführungsfunktion einer juristischen Person oder einer Personengesellschaft, Ausübung der Funktion eines Gesellschafters einer Personengesellschaft oder Ausübung einer vergleichbaren Funktion,  c) Bereitstellung eines Sitzes, einer Geschäfts-, Verwaltungs- oder Postadresse und anderer damit zusammenhängender Dienstleistungen für eine juristische Person, für eine Personengesellschaft oder für eine Rechtsgestaltung nach § 3 Absatz 3,  d) Ausübung der Funktion eines Treuhänders für eine Rechtsgestaltung nach § 3 Absatz 3,  e) Ausübung der Funktion eines nominellen Anteilseigners für eine andere Person, bei der es sich nicht um eine auf einem organisierten Markt notierte Gesellschaft nach § 2 Absatz 11 des Wertpapierhandelsgesetzes handelt, die dem Gemeinschaftsrecht entsprechenden Transparenzanforderungen im Hinblick auf Stimmrechtsanteile oder gleichwertigen internationalen Standards unterliegt,  f) Schaffung der Möglichkeit für eine andere Person, die in den Buchstaben b, d und e genannten Funktionen auszuüben,  14. Immobilienmakler,  15. Veranstalter und Vermittler von Glücksspielen, soweit es sich nicht handelt um a) Betreiber von Geldspielgeräten nach § 33c der Gewerbeordnung,  b) Vereine, die das Unternehmen eines Totalisatoren nach § 1 des Rennwett- und Lotteriegesetzes betreiben,  c) Lotterien, für die die Veranstalter und Vermittler über eine glücksspielrechtliche Erlaubnis der in Deutschland jeweils zuständigen Behörde verfügen, und  d) (weggefallen)  16. Güterhändler, Kunstvermittler und Kunstlagerhalter, soweit die Lagerhaltung in Zollfreigebieten erfolgt.  (2) Das Bundesministerium der Finanzen kann durch Rechtsverordnung ohne Zustimmung des Bundesrates Verpflichtete gemäß Absatz 1 Nummer 1 bis 9 und 16, die Finanztätigkeiten, die keinen Finanztransfer im Sinne von § 1 Absatz 1 Satz 2 Nummer 6 des Zahlungsdiensteaufsichtsgesetzes darstellen, nur gelegentlich oder in sehr begrenztem Umfang ausüben und bei denen ein geringes Risiko der Geldwäsche oder der Terrorismusfinanzierung besteht, vom Anwendungsbereich dieses Gesetzes ausnehmen, wenn 1. die Finanztätigkeit auf einzelne Transaktionen beschränkt ist, die in absoluter Hinsicht je Kunde und einzelne Transaktion den Betrag von 1 000 Euro nicht überschreitet,  2. der Umsatz der Finanztätigkeit insgesamt nicht über 5 Prozent des jährlichen Gesamtumsatzes der betroffenen Verpflichteten hinausgeht,  3. die Finanztätigkeit lediglich eine mit der ausgeübten Haupttätigkeit zusammenhängende Nebentätigkeit darstellt und  4. die Finanztätigkeit nur für Kunden der Haupttätigkeit und nicht für die allgemeine Öffentlichkeit erbracht wird.  In diesem Fall hat es die Europäische Kommission zeitnah zu unterrichten. (3) Für Gerichte, die öffentliche Versteigerungen durchführen, gelten im Rahmen der Zwangsversteigerung von Grundstücken, von im Schiffsregister eingetragenen Schiffen, von Schiffsbauwerken, die im Schiffsbauregister eingetragen sind oder in dieses Register eingetragen werden können, und Luftfahrzeugen im Wege der Zwangsvollstreckung die in den Abschnitten 3, 5 und 6 genannten Identifizierungs- und Meldepflichten sowie - Seite 10 von 77 - Ein Service des Bundesministeriums der Justiz sowie des Bundesamts für Justiz ‒ www.gesetze-im-internet.de die Pflicht zur Zusammenarbeit mit der Zentralstelle für Finanztransaktionsuntersuchungen entsprechend, soweit Transaktionen mit Barzahlungen über mindestens 10 000 Euro getätigt werden. Die Identifizierung des Erstehers soll unmittelbar nach Erteilung des Zuschlags erfolgen, spätestens jedoch bei Einzahlung des Bargebots; dabei ist bei natürlichen Personen die Erhebung des Geburtsorts und der Staatsangehörigkeit sowie bei rechtsfähigen Personengesellschaften und juristischen Personen die Erhebung der Namen sämtlicher Mitglieder des Vertretungsorgans oder sämtlicher gesetzlicher Vertreter nicht erforderlich. (4) Für Behörden sowie Körperschaften und Anstalten des öffentlichen Rechts, die öffentliche Versteigerungen durchführen, gelten die in den Abschnitten 3, 5 und 6 genannten Identifizierungs- und Meldepflichten sowie die Pflicht zur Zusammenarbeit mit der Zentralstelle für Finanztransaktionsuntersuchungen entsprechend, soweit Transaktionen mit Barzahlungen über mindestens 10 000 Euro getätigt werden. Satz 1 gilt nicht, soweit im Rahmen der Zwangsvollstreckung gepfändete Gegenstände verwertet werden. Die Identifizierung des Erstehers soll bei Zuschlag erfolgen, spätestens jedoch bei Einzahlung des Bargebots. Nach Satz 1 verpflichtete Behörden sowie Körperschaften und Anstalten des öffentlichen Rechts können bei der Erfüllung ihrer Pflichten nach Satz 1 auf Dritte zurückgreifen. § 3 Wirtschaftlich Berechtigter (1) Wirtschaftlich Berechtigter im Sinne dieses Gesetzes ist 1. die natürliche Person, in deren Eigentum oder unter deren Kontrolle eine juristische Person, sonstige Gesellschaft oder eine Rechtsgestaltung im Sinne des Absatzes 3 letztlich steht, oder  2. die natürliche Person, auf deren Veranlassung eine Transaktion letztlich durchgeführt oder eine Geschäftsbeziehung letztlich begründet wird.  Zu den wirtschaftlich Berechtigten zählen insbesondere die in den Absätzen 2 bis 4 aufgeführten natürlichen Personen. (2) Bei juristischen Personen außer rechtsfähigen Stiftungen und bei sonstigen Gesellschaften, die nicht an einem organisierten Markt nach § 2 Absatz 11 des Wertpapierhandelsgesetzes notiert sind und keinen dem Gemeinschaftsrecht entsprechenden Transparenzanforderungen im Hinblick auf Stimmrechtsanteile oder gleichwertigen internationalen Standards unterliegen, zählt zu den wirtschaftlich Berechtigten jede natürliche Person, die unmittelbar oder mittelbar 1. mehr als 25 Prozent der Kapitalanteile hält,  2. mehr als 25 Prozent der Stimmrechte kontrolliert oder  3. auf vergleichbare Weise Kontrolle ausübt.  Mittelbare Kontrolle liegt insbesondere vor, wenn entsprechende Anteile von einer oder mehreren Vereinigungen nach § 20 Absatz 1 gehalten werden, die von einer natürlichen Person kontrolliert werden. Kontrolle liegt insbesondere vor, wenn die natürliche Person unmittelbar oder mittelbar einen beherrschenden Einfluss auf die Vereinigung nach § 20 Absatz 1 ausüben kann. Für das Bestehen eines beherrschenden Einflusses gilt § 290 Absatz 2 bis 4 des Handelsgesetzbuchs entsprechend. Wenn auch nach Durchführung umfassender Prüfungen und ohne dass Tatsachen nach § 43 Absatz 1 vorliegen von der meldepflichtigen Vereinigung nach § 20 Absatz 1 kein wirtschaftlich Berechtigter nach Absatz 1 oder nach den Sätzen 1 bis 4 ermittelt werden kann, gilt als wirtschaftlich Berechtigter der gesetzliche Vertreter, der geschäftsführende Gesellschafter oder der Partner des Vertragspartners. (3) Bei rechtsfähigen Stiftungen und Rechtsgestaltungen, mit denen treuhänderisch Vermögen verwaltet oder verteilt oder die Verwaltung oder Verteilung durch Dritte beauftragt wird, oder bei diesen vergleichbaren Rechtsformen zählt zu den wirtschaftlich Berechtigten: 1. jede natürliche Person, die als Treugeber (Settlor), Verwalter von Trusts (Trustee) oder Protektor, sofern vorhanden, handelt,  2. jede natürliche Person, die Mitglied des Vorstands der Stiftung ist,  3. jede natürliche Person, die als Begünstigte bestimmt worden ist,  4. die Gruppe von natürlichen Personen, zu deren Gunsten das Vermögen verwaltet oder verteilt werden soll, sofern die natürliche Person, die Begünstigte des verwalteten Vermögens werden soll, noch nicht bestimmt ist,  5. jede natürliche Person, die auf sonstige Weise unmittelbar oder mittelbar beherrschenden Einfluss auf die Vermögensverwaltung oder Ertragsverteilung ausübt und  - Seite 11 von 77 - Ein Service des Bundesministeriums der Justiz sowie des Bundesamts für Justiz ‒ www.gesetze-im-internet.de 6. jede natürliche Person, die unmittelbar oder mittelbar beherrschenden Einfluss auf eine Vereinigung ausüben kann, die a) Mitglied des Vorstands der Stiftung ist oder die als Begünstigte der Stiftung bestimmt worden ist, oder  b) als Treugeber (Settlor), Verwalter von Trusts (Trustee) oder Protektor handelt oder die als Begünstigte der Rechtsgestaltung bestimmt worden ist.  (4) Bei Handeln auf Veranlassung zählt zu den wirtschaftlich Berechtigten derjenige, auf dessen Veranlassung die Transaktion durchgeführt wird. Soweit der Vertragspartner als Treuhänder handelt, handelt er ebenfalls auf Veranlassung. Fußnote (+++ § 3 Abs. 1 u. 2: Zur Anwendung vgl. § 19 Abs. 2 +++) (+++ § 3 Abs 1 u. 3: Zur Anwendung vgl. § 19 Abs. 2 +++) § 3 Abs. 3 Nr. 6 Buchst. b Kursivdruck: Aufgrund offensichtlicher Unrichtigkeit wurde das Wort ""Begünstige"" durch das Wort ""Begünstigte"" ersetzt § 3a Risikobasierter Ansatz, nationale Risikoanalyse (1) Die Verhinderung und Bekämpfung von Geldwäsche und Terrorismusfinanzierung nach den Anforderungen dieses Gesetzes folgt einem risikobasierten Ansatz. Die spezielleren Regelungen der nachfolgenden Abschnitte dieses Gesetzes bleiben hiervon unberührt. (2) Die für die Verhinderung und Bekämpfung von Geldwäsche und Terrorismusfinanzierung zuständigen Behörden des Bundes sowie die Länder wirken an der vom Bundesministerium der Finanzen koordinierten nationalen Risikoanalyse mit. Die Verpflichteten nach diesem Gesetz werden bei Erstellung der nationalen Risikoanalyse eingebunden und über die Ergebnisse unterrichtet. Die nationale Risikoanalyse berücksichtigt die Risikobewertung der Europäischen Kommission nach Artikel 6 der Richtlinie (EU) 2015/849 und wird regelmäßig aktualisiert. Nach Bedarf werden spezifische sektorale Risikoanalysen erstellt. Abschnitt 2 Risikomanagement § 4 Risikomanagement (1) Die Verpflichteten müssen zur Verhinderung von Geldwäsche und von Terrorismusfinanzierung über ein wirksames Risikomanagement verfügen, das im Hinblick auf Art und Umfang ihrer Geschäftstätigkeit angemessen ist. (2) Das Risikomanagement umfasst eine Risikoanalyse nach § 5 sowie interne Sicherungsmaßnahmen nach § 6. (3) Verantwortlich für das Risikomanagement sowie für die Einhaltung der geldwäscherechtlichen Bestimmungen in diesem und anderen Gesetzen sowie in den aufgrund dieses und anderer Gesetze ergangenen Rechtsverordnungen ist ein zu benennendes Mitglied der Leitungsebene. Die Risikoanalyse und interne Sicherungsmaßnahmen bedürfen der Genehmigung dieses Mitglieds. (4) Verpflichtete nach § 2 Absatz 1 Nummer 14 müssen über ein wirksames Risikomanagement einschließlich gruppenweiter Verfahren verfügen: 1. bei der Vermittlung von Kaufverträgen und  2. bei der Vermittlung von Miet- oder Pachtverträgen mit einer monatlichen Nettokaltmiete oder Nettokaltpacht in Höhe von mindestens 10 000 Euro.  (5) Verpflichtete nach § 2 Absatz 1 Nummer 16 müssen über ein wirksames Risikomanagement einschließlich gruppenweiter Verfahren verfügen: 1. als Güterhändler bei folgenden Transaktionen: a) Transaktionen im Wert von mindestens 10 000 Euro über Kunstgegenstände,  - Seite 12 von 77 - Ein Service des Bundesministeriums der Justiz sowie des Bundesamts für Justiz ‒ www.gesetze-im-internet.de b) Transaktionen über hochwertige Güter nach § 1 Absatz 10 Satz 2 Nummer 1, bei welchen sie Barzahlungen über mindestens 2 000 Euro selbst oder durch Dritte tätigen oder entgegennehmen, oder  c) Transaktionen über sonstige Güter, bei welchen sie Barzahlungen über mindestens 10 000 Euro selbst oder durch Dritte tätigen oder entgegennehmen, und  2. als Kunstvermittler und Kunstlagerhalter bei Transaktionen im Wert von mindestens 10 000 Euro.  § 5 Risikoanalyse (1) Die Verpflichteten haben diejenigen Risiken der Geldwäsche und der Terrorismusfinanzierung zu ermitteln und zu bewerten, die für Geschäfte bestehen, die von ihnen betrieben werden. Dabei haben sie insbesondere die in den Anlagen 1 und 2 genannten Risikofaktoren sowie die Informationen, die auf Grundlage der nationalen Risikoanalyse zur Verfügung gestellt werden, zu berücksichtigen. Der Umfang der Risikoanalyse richtet sich nach Art und Umfang der Geschäftstätigkeit der Verpflichteten. (2) Die Verpflichteten haben 1. die Risikoanalyse zu dokumentieren,  2. die Risikoanalyse regelmäßig zu überprüfen und gegebenenfalls zu aktualisieren und  3. der Aufsichtsbehörde auf Verlangen die jeweils aktuelle Fassung der Risikoanalyse zur Verfügung zu stellen.  (3) Für Verpflichtete als Mutterunternehmen einer Gruppe gelten die Absätze 1 und 2 in Bezug auf die gesamte Gruppe. (4) Die Aufsichtsbehörde kann einen Verpflichteten auf dessen Antrag von der Dokumentation der Risikoanalyse befreien, wenn der Verpflichtete darlegen kann, dass die in dem jeweiligen Bereich bestehenden konkreten Risiken klar erkennbar sind und sie verstanden werden. § 6 Interne Sicherungsmaßnahmen (1) Verpflichtete haben angemessene geschäfts- und kundenbezogene interne Sicherungsmaßnahmen zu schaffen, um die Risiken von Geldwäsche und von Terrorismusfinanzierung in Form von Grundsätzen, Verfahren und Kontrollen zu steuern und zu mindern. Angemessen sind solche Maßnahmen, die der jeweiligen Risikosituation des einzelnen Verpflichteten entsprechen und diese hinreichend abdecken. Die Verpflichteten haben die Funktionsfähigkeit der internen Sicherungsmaßnahmen zu überwachen und sie bei Bedarf zu aktualisieren. (2) Interne Sicherungsmaßnahmen sind insbesondere: 1. die Ausarbeitung von internen Grundsätzen, Verfahren und Kontrollen in Bezug auf a) den Umgang mit Risiken nach Absatz 1,  b) die Kundensorgfaltspflichten nach den §§ 10 bis 17,  c) die Erfüllung der Meldepflicht nach § 43 Absatz 1,  d) die Aufzeichnung von Informationen und die Aufbewahrung von Dokumenten nach § 8 und  e) die Einhaltung der sonstigen geldwäscherechtlichen Vorschriften,  2. die Bestellung eines Geldwäschebeauftragten und seines Stellvertreters gemäß § 7,  3. für Verpflichtete, die Mutterunternehmen einer Gruppe sind, die Schaffung von gruppenweiten Verfahren gemäß § 9,  4. die Schaffung und Fortentwicklung geeigneter Maßnahmen zur Verhinderung des Missbrauchs von neuen Produkten und Technologien zur Begehung von Geldwäsche und von Terrorismusfinanzierung oder für Zwecke der Begünstigung der Anonymität von Geschäftsbeziehungen oder von Transaktionen,  5. die Überprüfung der Mitarbeiter auf ihre Zuverlässigkeit durch geeignete Maßnahmen, insbesondere durch Personalkontroll- und Beurteilungssysteme der Verpflichteten,  - Seite 13 von 77 - Ein Service des Bundesministeriums der Justiz sowie des Bundesamts für Justiz ‒ www.gesetze-im-internet.de 6. die erstmalige und laufende Unterrichtung der Mitarbeiter in Bezug auf Typologien und aktuelle Methoden der Geldwäsche und der Terrorismusfinanzierung sowie die insoweit einschlägigen Vorschriften und Pflichten, einschließlich Datenschutzbestimmungen, und  7. die Überprüfung der zuvor genannten Grundsätze und Verfahren durch eine unabhängige Prüfung, soweit diese Überprüfung angesichts der Art und des Umfangs der Geschäftstätigkeit angemessen ist.  (3) Soweit ein Verpflichteter nach § 2 Absatz 1 Nummer 10 bis 14 und 16 seine berufliche Tätigkeit als Angestellter eines Unternehmens ausübt, obliegen die Verpflichtungen nach den Absätzen 1 und 2 diesem Unternehmen. (4) Verpflichtete nach § 2 Absatz 1 Nummer 15 haben über die in Absatz 2 genannten Maßnahmen hinaus Datenverarbeitungssysteme zu betreiben, mittels derer sie in der Lage sind, sowohl Geschäftsbeziehungen als auch einzelne Transaktionen im Spielbetrieb und über ein Spielerkonto nach § 16 zu erkennen, die als zweifelhaft oder ungewöhnlich anzusehen sind aufgrund des öffentlich verfügbaren oder im Unternehmen verfügbaren Erfahrungswissens über die Methoden der Geldwäsche und der Terrorismusfinanzierung. Sie haben diese Datenverarbeitungssysteme zu aktualisieren. Die Aufsichtsbehörde kann Kriterien bestimmen, bei deren Erfüllung Verpflichtete nach § 2 Absatz 1 Nummer 15 vom Einsatz von Datenverarbeitungssystemen nach Satz 1 absehen können. (4a) Anbieter von Kryptowerte-Dienstleistungen haben angemessene Maßnahmen zu treffen, die die Einhaltung der Vorgaben der Verordnung (EU) 2023/1113 gewährleisten. (5) Die Verpflichteten haben im Hinblick auf ihre Art und Größe angemessene Vorkehrungen zu treffen, damit es ihren Mitarbeitern und Personen in einer vergleichbaren Position unter Wahrung der Vertraulichkeit ihrer Identität möglich ist, Verstöße gegen geldwäscherechtliche Vorschriften geeigneten Stellen zu berichten. (6) Die Verpflichteten treffen Vorkehrungen, um auf Anfrage der Zentralstelle für Finanztransaktionsuntersuchungen oder auf Anfrage anderer zuständiger Behörden Auskunft darüber zu geben, ob sie während eines Zeitraums von fünf Jahren vor der Anfrage mit bestimmten Personen eine Geschäftsbeziehung unterhalten haben und welcher Art diese Geschäftsbeziehung war. Sie haben sicherzustellen, dass die Informationen sicher und vertraulich an die anfragende Stelle übermittelt werden. Verpflichtete nach § 2 Absatz 1 Nummer 10 und 12 können die Auskunft verweigern, wenn sich die Anfrage auf Informationen bezieht, die sie im Rahmen von Tätigkeiten der Rechtsberatung oder Prozessvertretung erhalten haben. Die Pflicht zur Auskunft bleibt bestehen, wenn der Verpflichtete weiß, dass die Rechtsberatung oder Prozessvertretung für den Zweck der Geldwäsche oder der Terrorismusfinanzierung genutzt wurde oder wird. (7) Die Verpflichteten dürfen die internen Sicherungsmaßnahmen im Rahmen von vertraglichen Vereinbarungen durch einen Dritten durchführen lassen, wenn sie dies vorher der Aufsichtsbehörde angezeigt haben. Die Aufsichtsbehörde kann die Übertragung dann untersagen, wenn 1. der Dritte nicht die Gewähr dafür bietet, dass die Sicherungsmaßnahmen ordnungsgemäß durchgeführt werden,  2. die Steuerungsmöglichkeiten der Verpflichteten beeinträchtigt werden oder  3. die Aufsicht durch die Aufsichtsbehörde beeinträchtigt wird.  Die Verpflichteten haben in ihrer Anzeige darzulegen, dass die Voraussetzungen für eine Untersagung der Übertragung nach Satz 2 nicht vorliegen. Die Verantwortung für die Erfüllung der Sicherungsmaßnahmen bleibt bei den Verpflichteten. (8) Die Aufsichtsbehörde kann im Einzelfall Anordnungen erteilen, die geeignet und erforderlich sind, damit der Verpflichtete die erforderlichen internen Sicherungsmaßnahmen schafft. (9) Die Aufsichtsbehörde kann anordnen, dass auf einzelne Verpflichtete oder Gruppen von Verpflichteten wegen der Art der von diesen betriebenen Geschäfte und wegen der Größe des Geschäftsbetriebs unter Berücksichtigung der Risiken in Bezug auf Geldwäsche oder Terrorismusfinanzierung die Vorschriften der Absätze 1 bis 6 risikoangemessen anzuwenden sind. § 7 Geldwäschebeauftragter (1) Verpflichtete nach § 2 Absatz 1 Nummer 1 bis 3, 6, 7, 9 und 15 haben einen Geldwäschebeauftragten auf Führungsebene sowie einen Stellvertreter zu bestellen. Der Geldwäschebeauftragte ist für die Einhaltung der - Seite 14 von 77 - Ein Service des Bundesministeriums der Justiz sowie des Bundesamts für Justiz ‒ www.gesetze-im-internet.de geldwäscherechtlichen Vorschriften zuständig; die Verantwortung der Leitungsebene bleibt hiervon unberührt. Der Geldwäschebeauftragte ist der Geschäftsleitung unmittelbar nachgeordnet. (2) Die Aufsichtsbehörde kann einen Verpflichteten von der Pflicht, einen Geldwäschebeauftragten zu bestellen, befreien, wenn sichergestellt ist, dass 1. die Gefahr von Informationsverlusten und -defiziten aufgrund arbeitsteiliger Unternehmensstruktur nicht besteht und  2. nach risikobasierter Bewertung anderweitige Vorkehrungen getroffen werden, um Geschäftsbeziehungen und Transaktionen zu verhindern, die mit Geldwäsche oder Terrorismusfinanzierung zusammenhängen.  (3) Die Aufsichtsbehörde kann anordnen, dass Verpflichtete nach § 2 Absatz 1 Nummer 4, 5, 8, 10 bis 14 und 16 einen Geldwäschebeauftragten zu bestellen haben, wenn sie dies für angemessen erachtet. Bei Verpflichteten nach § 2 Absatz 1 Nummer 16 soll die Anordnung erfolgen, wenn die Haupttätigkeit des Verpflichteten im Handel mit hochwertigen Gütern besteht. (4) Die Verpflichteten haben der Aufsichtsbehörde die Bestellung des Geldwäschebeauftragten und seines Stellvertreters oder ihre Entpflichtung vorab anzuzeigen. Die Bestellung einer Person zum Geldwäschebeauftragten oder zu seinem Stellvertreter muss auf Verlangen der Aufsichtsbehörde widerrufen werden, wenn die Person nicht die erforderliche Qualifikation oder Zuverlässigkeit aufweist. (5) Der Geldwäschebeauftragte muss seine Tätigkeit im Inland ausüben. Er muss Ansprechpartner sein für die Strafverfolgungsbehörden, für die für Aufklärung, Verhütung und Beseitigung von Gefahren zuständigen Behörden, für die Zentralstelle für Finanztransaktionsuntersuchungen und für die Aufsichtsbehörde in Bezug auf die Einhaltung der einschlägigen Vorschriften. Ihm sind ausreichende Befugnisse und die für eine ordnungsgemäße Durchführung seiner Funktion notwendigen Mittel einzuräumen. Insbesondere ist ihm ungehinderter Zugang zu sämtlichen Informationen, Daten, Aufzeichnungen und Systemen zu gewähren oder zu verschaffen, die im Rahmen der Erfüllung seiner Aufgaben von Bedeutung sein können. Der Geldwäschebeauftragte hat der Geschäftsleitung unmittelbar zu berichten. Soweit der Geldwäschebeauftragte die Erstattung einer Meldung nach § 43 Absatz 1 beabsichtigt oder ein Auskunftsersuchen der Zentralstelle für Finanztransaktionsuntersuchungen nach § 30 Absatz 3 beantwortet, unterliegt er nicht dem Direktionsrecht durch die Geschäftsleitung. (6) Der Geldwäschebeauftragte darf Daten und Informationen ausschließlich zur Erfüllung seiner Aufgaben verwenden. (7) Dem Geldwäschebeauftragten und dem Stellvertreter darf wegen der Erfüllung ihrer Aufgaben keine Benachteiligung im Beschäftigungsverhältnis entstehen. Die Kündigung des Arbeitsverhältnisses ist unzulässig, es sei denn, dass Tatsachen vorliegen, welche die verantwortliche Stelle zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigen. Nach der Abberufung als Geldwäschebeauftragter oder als Stellvertreter ist die Kündigung innerhalb eines Jahres nach der Beendigung der Bestellung unzulässig, es sei denn, dass die verantwortliche Stelle zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigt ist. § 8 Aufzeichnungs- und Aufbewahrungspflicht (1) Vom Verpflichteten aufzuzeichnen und aufzubewahren sind 1. die im Rahmen der Erfüllung der Sorgfaltspflichten erhobenen Angaben und eingeholten Informationen a) über die Vertragspartner, die Vertragsparteien des vermittelten Rechtsgeschäfts nach § 11 Absatz 2 und gegebenenfalls über die für die Vertragspartner oder die Vertragsparteien des vermittelten Rechtsgeschäfts auftretenden Personen und wirtschaftlich Berechtigten,  b) über Geschäftsbeziehungen und Transaktionen, insbesondere Transaktionsbelege, soweit sie für die Untersuchung von Transaktionen erforderlich sein können,  2. hinreichende Informationen über die Durchführung und über die Ergebnisse der Risikobewertung nach § 10 Absatz 2, § 14 Absatz 1 und § 15 Absatz 3 und über die Angemessenheit der auf Grundlage dieser Ergebnisse ergriffenen Maßnahmen,  3. die Ergebnisse der Untersuchung nach § 15 Absatz 6 Nummer 1,  4. von den Beteiligten vorgelegte Nachweise nach § 16a Absatz 2,  - Seite 15 von 77 - Ein Service des Bundesministeriums der Justiz sowie des Bundesamts für Justiz ‒ www.gesetze-im-internet.de 5. die Erwägungsgründe und eine nachvollziehbare Begründung des Bewertungsergebnisses eines Sachverhalts hinsichtlich der Meldepflicht nach § 43 Absatz 1 und  6. die Entscheidung eines Anbieters von Kryptowerte-Dienstleistungen über die Beendigung einer grenzüberschreitenden Korrespondenzbeziehung aus Gründen der Prävention von Geldwäsche oder von Terrorismusfinanzierung.  Die Aufzeichnungen nach Satz 1 Nummer 1 Buchstabe a schließen Aufzeichnungen über die getroffenen Maßnahmen zur Ermittlung des wirtschaftlich Berechtigten sowie die Dokumentation der Eigentums- und Kontrollstruktur nach § 12 Absatz 4 Satz 1 ein. Bei Personen, die nach § 3 Absatz 2 Satz 5 als wirtschaftlich Berechtigte gelten, sind zudem die Maßnahmen zur Überprüfung der Identität nach § 11 Absatz 5 und etwaige Schwierigkeiten, die während des Überprüfungsvorgangs aufgetreten sind, aufzuzeichnen. (2) Zur Erfüllung der Pflicht nach Absatz 1 Satz 1 Nummer 1 Buchstabe a sind in den Fällen des § 12 Absatz 1 Satz 1 Nummer 1 auch die Art, die Nummer und die Behörde, die das zur Überprüfung der Identität vorgelegte Dokument ausgestellt hat, aufzuzeichnen. Soweit zur Überprüfung der Identität einer natürlichen Person Dokumente nach § 12 Absatz 1 Satz 1 Nummer 1, 4 oder 5 oder zur Überprüfung der Identität einer juristischen Person Unterlagen nach § 12 Absatz 2 vorgelegt werden oder soweit Dokumente, die aufgrund einer Rechtsverordnung nach § 12 Absatz 3 bestimmt sind, vorgelegt oder herangezogen werden, haben die Verpflichteten das Recht und die Pflicht, Kopien dieser Dokumente oder Unterlagen anzufertigen oder sie optisch digitalisiert zu erfassen oder, bei einem Vor-Ort-Auslesen nach § 18a des Personalausweisgesetzes, nach § 78 Absatz 5 Satz 2 des Aufenthaltsgesetzes oder nach § 13 des eID-Karte-Gesetzes, das dienste- und kartenspezifische Kennzeichen sowie die Tatsache aufzuzeichnen, dass die Daten im Wege des Vor-Ort- Auslesens übernommen wurden. Diese gelten als Aufzeichnung im Sinne des Satzes 1. Die Aufzeichnungs- und Aufbewahrungspflicht nach Absatz 1 Satz 1 Nummer 1 Buchstabe a umfasst auch die zur Erfüllung geldwäscherechtlicher Sorgfaltspflichten angefertigten Aufzeichnungen von Video- und Tonaufnahmen. Wird nach § 11 Absatz 3 Satz 1 von einer erneuten Identifizierung abgesehen, so sind der Name des zu Identifizierenden und der Umstand, dass er bei früherer Gelegenheit identifiziert worden ist, aufzuzeichnen. Im Fall des § 12 Absatz 1 Satz 1 Nummer 2 ist anstelle der Art, der Nummer und der Behörde, die das zur Überprüfung der Identität vorgelegte Dokument ausgestellt hat, das dienste- und kartenspezifische Kennzeichen und die Tatsache, dass die Prüfung anhand eines elektronischen Identitätsnachweises erfolgt ist, aufzuzeichnen. Bei der Überprüfung der Identität anhand einer qualifizierten Signatur nach § 12 Absatz 1 Satz 1 Nummer 3 ist auch deren Validierung aufzuzeichnen. Bei Einholung von Angaben und Informationen durch Einsichtnahme in elektronisch geführte Register oder Verzeichnisse gemäß § 12 Absatz 2 gilt die Anfertigung eines Ausdrucks als Aufzeichnung der darin enthaltenen Angaben oder Informationen. (3) Die Aufzeichnungen können auch digital auf einem Datenträger gespeichert werden. Die Verpflichteten müssen sicherstellen, dass die gespeicherten Daten 1. mit den festgestellten Angaben und Informationen übereinstimmen,  2. während der Dauer der Aufbewahrungsfrist verfügbar sind und  3. jederzeit innerhalb einer angemessenen Frist lesbar gemacht werden können.  (4) Die Aufzeichnungen und sonstigen Belege nach den Absätzen 1 bis 3 sind fünf Jahre aufzubewahren, soweit nicht andere gesetzliche Bestimmungen über Aufzeichnungs- und Aufbewahrungspflichten eine längere Frist vorsehen. In jedem Fall sind die Aufzeichnungen und sonstigen Belege spätestens nach Ablauf von zehn Jahren zu vernichten. Die Aufbewahrungsfrist im Fall des § 10 Absatz 3 Satz 1 Nummer 1 beginnt mit dem Schluss des Kalenderjahres, in dem die Geschäftsbeziehung endet. In den übrigen Fällen beginnt sie mit dem Schluss des Kalenderjahres, in dem die jeweilige Angabe festgestellt worden ist. (5) Soweit aufzubewahrende Unterlagen einer öffentlichen Stelle vorzulegen sind, gilt für die Lesbarmachung der Unterlagen § 147 Absatz 5 der Abgabenordnung entsprechend. Fußnote (+++ § 8: Zur Anwendung vgl. § 25i Abs. 3 Satz 2 KredWG +++) § 9 Gruppenweite Pflichten (1) Verpflichtete, die Mutterunternehmen einer Gruppe sind, haben eine Risikoanalyse für alle Zweigstellen, Zweigniederlassungen und gruppenangehörigen Unternehmen nach § 1 Absatz 16 Nummer 2 bis 4, die - Seite 16 von 77 - Ein Service des Bundesministeriums der Justiz sowie des Bundesamts für Justiz ‒ www.gesetze-im-internet.de geldwäscherechtlichen Pflichten unterliegen, durchzuführen. Auf Grundlage dieser Risikoanalyse haben sie gruppenweit folgende Maßnahmen zu ergreifen: 1. die Einrichtung von einheitlichen internen Sicherungsmaßnahmen nach § 6 Absatz 2,  2. die Bestellung eines Geldwäschebeauftragten, der für die Erstellung einer gruppenweiten Strategie zur Verhinderung von Geldwäsche und Terrorismusfinanzierung sowie für die Koordinierung und Überwachung ihrer Umsetzung zuständig ist,  3. die Schaffung von Verfahren für den Informationsaustausch innerhalb der Gruppe zur Verhinderung von Geldwäsche und von Terrorismusfinanzierung sowie  4. die Schaffung von Vorkehrungen zum Schutz von personenbezogenen Daten.  Sie haben sicherzustellen, dass die von ihnen getroffenen Maßnahmen nach Satz 2 Nummer 1, 3 und 4 von ihren Zweigstellen, Zweigniederlassungen und gruppenangehörigen Unternehmen nach § 1 Absatz 16 Nummer 2 bis 4, soweit diese geldwäscherechtlichen Pflichten und dem beherrschenden Einfluss des Mutterunternehmens unterliegen, wirksam umgesetzt werden. Für die Bestellung eines Geldwäschebeauftragten nach Satz 2 Nummer 2 gelten die Regelungen des § 7 Absatz 4 bis 7 entsprechend. (2) Verpflichtete, die Mutterunternehmen einer Gruppe sind, haben sicherzustellen, dass Zweigniederlassungen und gruppenangehörige Unternehmen nach § 1 Absatz 16 Nummer 2 bis 4, die mehrheitlich in ihrem Besitz stehen und die in einem anderen Mitgliedstaat der Europäischen Union ansässig sind, nach dessen Recht sie Pflichten zur Verhinderung von Geldwäsche und von Terrorismusfinanzierung unterliegen, die dort geltenden nationalen Rechtsvorschriften zur Umsetzung der Richtlinie (EU) 2015/849 einhalten. (3) Verpflichtete, die Mutterunternehmen einer Gruppe sind, haben sicherzustellen, dass Zweigstellen und gruppenangehörige Unternehmen nach § 1 Absatz 16 Nummer 2 bis 4, die mehrheitlich in ihrem Besitz stehen und ihren Sitz in einem Drittstaat haben, in dem die Mindestanforderungen zur Verhinderung von Geldwäsche und von Terrorismusfinanzierung geringer sind als die Anforderungen für Unternehmen mit Sitz in Deutschland, die Anforderungen nach diesem Gesetz erfüllen, soweit das Recht des Drittstaats dies zulässt. Soweit eine Umsetzung der in Absatz 1 Satz 2 Nummer 1, 3 und 4 genannten Maßnahmen nach dem Recht des Drittstaats nicht zulässig ist, sind die Mutterunternehmen verpflichtet, 1. sicherzustellen, dass ihre in Satz 1 genannten Zweigstellen und gruppenangehörigen Unternehmen, die mehrheitlich in ihrem Besitz stehen, zusätzliche Maßnahmen ergreifen, um dem Risiko der Geldwäsche und der Terrorismusfinanzierung wirksam zu begegnen, und  2. die nach § 50 zuständige Aufsichtsbehörde über die getroffenen Maßnahmen zu informieren.  Reichen die getroffenen Maßnahmen nicht aus, so ordnet die nach § 50 zuständige Aufsichtsbehörde an, dass die Mutterunternehmen sicherstellen, dass die in Satz 1 genannten Zweigstellen und gruppenangehörigen Unternehmen nach § 1 Absatz 16 Nummer 2 bis 4 in diesem Drittstaat weder eine Geschäftsbeziehung begründen oder fortsetzen noch Transaktionen durchführen. (4) Die Absätze 1 bis 3 gelten entsprechend für Verpflichtete, 1. die gruppenangehörige Unternehmen nach § 1 Absatz 16 Nummer 2 bis 4 sind, soweit ihnen mindestens ein anderes Unternehmen nach § 1 Absatz 16 Nummer 2 bis 4 nachgeordnet ist und ihrem beherrschenden Einfluss unterliegt, und  2. deren Mutterunternehmen weder nach Absatz 1 noch nach dem Recht des Staates, in dem es ansässig ist, gruppenweite Maßnahmen ergreifen muss.  (5) Verpflichtete, die gruppenangehörige Unternehmen nach § 1 Absatz 16 Nummer 2 bis 4 eines Mutterunternehmens im Sinne von Absatz 1 sind, haben die in Absatz 1 Satz 2 Nummer 1, 3 und 4 genannten Maßnahmen umzusetzen. Alle anderen gruppenangehörigen Verpflichteten müssen die in Absatz 1 Satz 2 Nummer 3 und 4 genannten Maßnahmen umsetzen. Die Pflichten nach den Sätzen 1 und 2 gelten unbeschadet der von den Verpflichteten zu beachtenden eigenen gesetzlichen Verpflichtung zur Erfüllung sonstiger geldwäscherechtlicher Vorschriften. Abschnitt 3 Sorgfaltspflichten in Bezug auf Kunden § 10 Allgemeine Sorgfaltspflichten (1) Die allgemeinen Sorgfaltspflichten sind: - Seite 17 von 77 - Ein Service des Bundesministeriums der Justiz sowie des Bundesamts für Justiz ‒ www.gesetze-im-internet.de 1. die Identifizierung des Vertragspartners und gegebenenfalls der für ihn auftretenden Person nach Maßgabe des § 11 Absatz 4 und des § 12 Absatz 1 und 2 sowie die Prüfung, ob die für den Vertragspartner auftretende Person hierzu berechtigt ist,  2. die Abklärung, ob der Vertragspartner für einen wirtschaftlich Berechtigten handelt, und, soweit dies der Fall ist, die Identifizierung des wirtschaftlich Berechtigten nach Maßgabe des § 11 Absatz 5 und des § 12 Absatz 3 und 4; dies umfasst in Fällen, in denen der Vertragspartner keine natürliche Person ist, die Pflicht, die Eigentums- und Kontrollstruktur des Vertragspartners mit angemessenen Mitteln in Erfahrung zu bringen,  3. die Einholung und Bewertung von Informationen über den Zweck und über die angestrebte Art der Geschäftsbeziehung, soweit sich diese Informationen im Einzelfall nicht bereits zweifelsfrei aus der Geschäftsbeziehung ergeben,  4. die Feststellung mit angemessenen, risikoorientierten Verfahren, ob es sich bei dem Vertragspartner oder dem wirtschaftlich Berechtigten um eine politisch exponierte Person, um ein Familienmitglied oder um eine bekanntermaßen nahestehende Person handelt, und  5. die kontinuierliche Überwachung der Geschäftsbeziehung einschließlich der Transaktionen, die in ihrem Verlauf durchgeführt werden, zur Sicherstellung, dass diese Transaktionen übereinstimmen a) mit den beim Verpflichteten vorhandenen Dokumenten und Informationen über den Vertragspartner und gegebenenfalls über den wirtschaftlich Berechtigten, über deren Geschäftstätigkeit und Kundenprofil und,  b) soweit erforderlich, mit den beim Verpflichteten vorhandenen Informationen über die Herkunft der Vermögenswerte;  im Rahmen der kontinuierlichen Überwachung haben die Verpflichteten sicherzustellen, dass die jeweiligen Dokumente, Daten oder Informationen unter Berücksichtigung des jeweiligen Risikos im angemessenen zeitlichen Abstand aktualisiert werden.  (2) Der konkrete Umfang der Maßnahmen nach Absatz 1 Nummer 2 bis 5 muss dem jeweiligen Risiko der Geldwäsche oder Terrorismusfinanzierung, insbesondere in Bezug auf den Vertragspartner, die Geschäftsbeziehung oder Transaktion, entsprechen. Die Verpflichteten berücksichtigen dabei insbesondere die in den Anlagen 1 und 2 genannten Risikofaktoren. Darüber hinaus zu berücksichtigen haben sie bei der Bewertung der Risiken zumindest 1. den Zweck des Kontos oder der Geschäftsbeziehung,  2. die Höhe der von Kunden eingezahlten Vermögenswerte oder den Umfang der ausgeführten Transaktionen sowie  3. die Regelmäßigkeit oder die Dauer der Geschäftsbeziehung.  Verpflichtete müssen gegenüber den Aufsichtsbehörden auf deren Verlangen darlegen, dass der Umfang der von ihnen getroffenen Maßnahmen im Hinblick auf die Risiken der Geldwäsche und der Terrorismusfinanzierung angemessen ist. (3) Die allgemeinen Sorgfaltspflichten sind von Verpflichteten zu erfüllen: 1. bei der Begründung einer Geschäftsbeziehung,  2. bei Transaktionen, die außerhalb einer Geschäftsbeziehung durchgeführt werden, wenn es sich handelt um a) Geldtransfers nach Artikel 3 Nummer 9 der Verordnung (EU) 2015/847 des Europäischen Parlaments und des Rates vom 20. Mai 2015 über die Übermittlung von Angaben bei Geldtransfers und zur Aufhebung der Verordnung (EU) Nr. 1781/2006 (ABl. L 141 vom 5.6.2015, S. 1) und dieser Geldtransfer einen Betrag von 1 000 Euro oder mehr ausmacht,  b) die Durchführung einer sonstigen Transaktion im Wert von 15 000 Euro oder mehr,  c) Kryptowertetransfers, die zum Zeitpunkt der Durchführung des Kryptowertetransfers einem Gegenwert von 1 000 Euro oder mehr entsprechen,  3. ungeachtet etwaiger nach diesem Gesetz oder anderen Gesetzen bestehender Ausnahmeregelungen, Befreiungen oder Schwellenbeträge beim Vorliegen von Tatsachen, die darauf hindeuten, dass - Seite 18 von 77 - Ein Service des Bundesministeriums der Justiz sowie des Bundesamts für Justiz ‒ www.gesetze-im-internet.de a) es sich bei Vermögensgegenständen, die mit einer Transaktion oder Geschäftsbeziehung im Zusammenhang stehen, um den Gegenstand von Geldwäsche handelt oder  b) die Vermögensgegenstände im Zusammenhang mit Terrorismusfinanzierung stehen,  4. bei Zweifeln, ob die aufgrund von Bestimmungen dieses Gesetzes erhobenen Angaben zu der Identität des Vertragspartners, zu der Identität einer für den Vertragspartner auftretenden Person oder zu der Identität des wirtschaftlich Berechtigten zutreffend sind.  (3a) Die Verpflichteten müssen die allgemeinen Sorgfaltspflichten bei allen neuen Kunden erfüllen. Bei bereits bestehenden Geschäftsbeziehungen müssen sie die allgemeinen Sorgfaltspflichten zu geeigneter Zeit auf risikobasierter Grundlage erfüllen, insbesondere dann, wenn 1. sich bei einem Kunden maßgebliche Umstände ändern,  2. der Verpflichtete rechtlich verpflichtet ist, den Kunden im Laufe des betreffenden Kalenderjahres zu kontaktieren, um etwaige einschlägige Informationen über den wirtschaftlich Berechtigten zu überprüfen, oder  3. der Verpflichtete gemäß der Richtlinie 2011/16/EU des Rates vom 15. Februar 2011 über die Zusammenarbeit der Verwaltungsbehörden im Bereich der Besteuerung und zur Aufhebung der Richtlinie 77/799/EWG (ABl. L 64 vom 11.3.2011, S. 1) dazu verpflichtet ist.  (4) Nehmen Verpflichtete nach § 2 Absatz 1 Nummer 3 bis 5 Bargeld bei der Erbringung von Zahlungsdiensten nach § 1 Absatz 1 Satz 2 des Zahlungsdiensteaufsichtsgesetzes an, so haben sie die allgemeinen Sorgfaltspflichten nach Absatz 1 Nummer 1 und 2 zu erfüllen. (5) Verpflichtete nach § 2 Absatz 1 Nummer 15 haben die allgemeinen Sorgfaltspflichten bei Transaktionen in Form von Gewinnen oder Einsätzen eines Spielers in Höhe von 2 000 Euro oder mehr zu erfüllen, es sei denn, das Glücksspiel wird im Internet angeboten oder vermittelt. Der Identifizierungspflicht kann auch dadurch nachgekommen werden, dass der Spieler bereits beim Betreten der Spielbank oder der sonstigen örtlichen Glücksspielstätte identifiziert wird, wenn vom Verpflichteten zusätzlich sichergestellt wird, dass Transaktionen im Wert von 2 000 Euro oder mehr einschließlich des Kaufs oder Rücktauschs von Spielmarken dem jeweiligen Spieler zugeordnet werden können. (6) Verpflichtete nach § 2 Absatz 1 Nummer 14 haben die allgemeinen Sorgfaltspflichten zu erfüllen: 1. bei der Vermittlung von Kaufverträgen und  2. bei der Vermittlung von Miet- oder Pachtverträgen bei Transaktionen mit einer monatlichen Nettokaltmiete oder Nettokaltpacht in Höhe von mindestens 10 000 Euro.  (6a) Verpflichtete nach § 2 Absatz 1 Nummer 16 haben die allgemeinen Sorgfaltspflichten zu erfüllen: 1. als Güterhändler bei folgenden Transaktionen: a) Transaktionen im Wert von mindestens 10 000 Euro über Kunstgegenstände,  b) Transaktionen über hochwertige Güter nach § 1 Absatz 10 Satz 2 Nummer 1, bei welchen sie Barzahlungen über mindestens 2 000 Euro selbst oder durch Dritte tätigen oder entgegennehmen oder  c) Transaktionen über sonstige Güter, bei welchen sie Barzahlungen über mindestens 10 000 Euro selbst oder durch Dritte tätigen oder entgegennehmen, und  2. als Kunstvermittler und Kunstlagerhalter bei Transaktionen im Wert von mindestens 10 000 Euro.  (7) Für Verpflichtete nach § 2 Absatz 1 Nummer 4 und 5, die bei der Ausgabe von E-Geld tätig sind, gilt § 25i Absatz 1 des Kreditwesengesetzes mit der Maßgabe, dass lediglich die Pflichten nach Absatz 1 Nummer 1 und 4 zu erfüllen sind. § 25i Absatz 2 und 4 des Kreditwesengesetzes gilt entsprechend. (8) Versicherungsvermittler nach § 2 Absatz 1 Nummer 8, die für ein Versicherungsunternehmen nach § 2 Absatz 1 Nummer 7 Prämien einziehen, haben diesem Versicherungsunternehmen mitzuteilen, wenn Prämienzahlungen in bar erfolgen und den Betrag von 15 000 Euro innerhalb eines Kalenderjahres übersteigen. - Seite 19 von 77 - Ein Service des Bundesministeriums der Justiz sowie des Bundesamts für Justiz ‒ www.gesetze-im-internet.de (8a) Soweit ein Verpflichteter nach § 2 Absatz 1 Nummer 10 als Syndikusrechtsanwalt oder als Syndikuspatentanwalt oder ein Verpflichteter nach § 2 Absatz 1 Nummer 12 als Syndikussteuerberater für ein Unternehmen tätig wird, das selbst Verpflichteter nach § 2 Absatz 1 ist, obliegen die Verpflichtungen nach Absatz 1 diesem Unternehmen. (9) Ist der Verpflichtete nicht in der Lage, die allgemeinen Sorgfaltspflichten nach Absatz 1 Nummer 1 bis 4 zu erfüllen, so darf die Geschäftsbeziehung nicht begründet oder nicht fortgesetzt werden und darf keine Transaktion durchgeführt werden. Soweit eine Geschäftsbeziehung bereits besteht, ist sie vom Verpflichteten ungeachtet anderer gesetzlicher oder vertraglicher Bestimmungen durch Kündigung oder auf andere Weise zu beenden. Die Sätze 1 und 2 gelten für Verpflichtete nach § 2 Absatz 1 Nummer 10 und 12 nicht, wenn Tätigkeiten der Rechtsberatung oder Prozessvertretung erbracht werden sollen, es sei denn, der Verpflichtete weiß, dass die Rechtsberatung oder Prozessvertretung bewusst für den Zweck der Geldwäsche oder der Terrorismusfinanzierung genutzt wurde oder wird. Solange der Vertragspartner seiner Pflicht nach § 12 Absatz 4 Satz 1, eine Vereinigung mit Sitz im Ausland ihrer Mitteilungspflicht nach § 20 Absatz 1 Satz 2 und 3 oder ein Trustee, der außerhalb der Europäischen Union seinen Wohnsitz oder Sitz hat, seiner Mitteilungspflicht nach § 21 Absatz 1 Satz 2 Alternative 2 und Satz 3 nicht nachkommt, hat der Notar die Beurkundung abzulehnen; § 15 Absatz 2 der Bundesnotarordnung gilt insoweit entsprechend. Fußnote (+++ § 10 Abs. 2 Satz 4: Zur Anwendung vgl. § 14 Abs. 1 +++) (+++ § 10 Abs. 2 Satz 4: Zur Anwendung vgl. § 15 Abs. 2 +++) (+++ § 10 Abs. 9: Zur Anwendung vgl. § 14 Abs. 3 +++) § 11 Identifizierung; Erhebung von Angaben zum Zweck der Identifizierung (1) Verpflichtete haben Vertragspartner, gegebenenfalls für diese auftretende Personen und wirtschaftlich Berechtigte vor Begründung der Geschäftsbeziehung oder vor Durchführung der Transaktion zu identifizieren, indem sie die Angaben nach den Absätzen 4 und 5 erheben und diese nach § 12 überprüfen. Die Identifizierung kann auch noch während der Begründung der Geschäftsbeziehung unverzüglich abgeschlossen werden, wenn dies erforderlich ist, um den normalen Geschäftsablauf nicht zu unterbrechen, und wenn ein geringes Risiko der Geldwäsche und der Terrorismusfinanzierung besteht. (2) Abweichend von Absatz 1 haben Verpflichtete nach § 2 Absatz 1 Nummer 14 die Vertragsparteien des vermittelten Rechtsgeschäfts, gegebenenfalls für diese auftretende Personen und wirtschaftlich Berechtigte zu identifizieren, sobald ein ernsthaftes Interesse der Vertragsparteien an der Durchführung des vermittelten Rechtsgeschäfts besteht und die Vertragsparteien hinreichend bestimmt sind. Sind für beide Vertragsparteien des vermittelten Rechtsgeschäfts Verpflichtete nach § 2 Absatz 1 Nummer 14 tätig, so muss jeder Verpflichtete nur die Vertragspartei identifizieren, für die er handelt. (3) Von einer Identifizierung kann abgesehen werden, wenn der Verpflichtete die zu identifizierende Person bereits bei früherer Gelegenheit im Rahmen der Erfüllung seiner Sorgfaltspflichten identifiziert hat und die dabei erhobenen Angaben aufgezeichnet hat. Muss der Verpflichtete aufgrund der äußeren Umstände Zweifel hegen, ob die bei der früheren Identifizierung erhobenen Angaben weiterhin zutreffend sind, hat er eine erneute Identifizierung durchzuführen. (4) In Bezug auf Vertragspartner und gegebenenfalls für diese auftretende Personen hat der Verpflichtete zum Zweck der Identifizierung folgende Angaben zu erheben: 1. bei einer natürlichen Person: a) Vorname und Nachname,  b) Geburtsort,  c) Geburtsdatum,  d) Staatsangehörigkeit und  e) eine Wohnanschrift oder, sofern kein fester Wohnsitz mit rechtmäßigem Aufenthalt in der Europäischen Union besteht und die Überprüfung der Identität im Rahmen des Abschlusses eines Basiskontovertrags im Sinne von § 38 des Zahlungskontengesetzes erfolgt, die postalische Anschrift, unter der der Vertragspartner sowie die gegenüber dem Verpflichteten auftretende Person erreichbar ist; - Seite 20 von 77 - Ein Service des Bundesministeriums der Justiz sowie des Bundesamts für Justiz ‒ www.gesetze-im-internet.de  2. bei einer juristischen Person oder bei einer Personengesellschaft: a) Firma, Name oder Bezeichnung,  b) Rechtsform,  c) Registernummer, falls vorhanden,  d) Anschrift des Sitzes oder der Hauptniederlassung und  e) die Namen der Mitglieder des Vertretungsorgans oder die Namen der gesetzlichen Vertreter und, sofern ein Mitglied des Vertretungsorgans oder der gesetzliche Vertreter eine juristische Person ist, von dieser juristischen Person die Daten nach den Buchstaben a bis d.  (5) In Bezug auf einen wirtschaftlich Berechtigten hat der Verpflichtete zum Zweck der Identifizierung zumindest dessen Vor- und Nachnamen und, soweit dies in Ansehung des im Einzelfall bestehenden Risikos der Geldwäsche oder der Terrorismusfinanzierung angemessen ist, weitere Identifizierungsmerkmale zu erheben. Geburtsdatum, Geburtsort und Anschrift des wirtschaftlich Berechtigten dürfen unabhängig vom festgestellten Risiko erhoben werden. Die Erhebung der Angaben hat beim Vertragspartner oder der gegebenenfalls für diesen auftretenden Personen zu erfolgen; eine Erhebung der Angaben aus dem Transparenzregister genügt zur Erfüllung der Pflicht zur Erhebung der Angaben nicht. Werden bei Trusts oder anderen Rechtsgestaltungen nach § 21 die wirtschaftlich Berechtigten nach besonderen Merkmalen oder nach einer Kategorie bestimmt, so hat der Verpflichtete ausreichende Informationen über den wirtschaftlich Berechtigten einzuholen, um zum Zeitpunkt der Ausführung der Transaktion oder der Ausübung seiner Rechte die Identität des wirtschaftlich Berechtigten feststellen zu können. (5a) (weggefallen) (6) Der Vertragspartner eines Verpflichteten hat dem Verpflichteten die Informationen und Unterlagen zur Verfügung zu stellen, die zur Identifizierung erforderlich sind. Ergeben sich im Laufe der Geschäftsbeziehung Änderungen, hat er diese Änderungen unverzüglich dem Verpflichteten anzuzeigen. Der Vertragspartner hat gegenüber dem Verpflichteten offenzulegen, ob er die Geschäftsbeziehung oder die Transaktion für einen wirtschaftlich Berechtigten begründen, fortsetzen oder durchführen will. Mit der Offenlegung hat er dem Verpflichteten auch die Identität des wirtschaftlich Berechtigten nachzuweisen. Die Sätze 1 bis 4 gelten entsprechend für die Vertragsparteien des vermittelten Rechtsgeschäfts im Sinne des Absatzes 2, die nicht Vertragspartner des Verpflichteten nach § 2 Absatz 1 Nummer 14 sind. (7) Verwalter von Rechtsgestaltungen im Sinne des § 3 Absatz 3 haben dem Verpflichteten ihre Verwaltereigenschaft offenzulegen und ihm unverzüglich die Angaben zu übermitteln, die nach Absatz 5 zur Identifizierung aller wirtschaftlich Berechtigten im Sinne des § 3 Absatz 3 erforderlich sind, wenn sie in dieser Position eine Geschäftsbeziehung aufnehmen oder eine Transaktion oberhalb der in § 10 Absatz 3 Nummer 2, Absatz 5, Absatz 6 oder Absatz 6a genannten Schwellenbeträge durchführen. Im Falle von Trusts und anderen Rechtsgestaltungen nach § 21 sind dem Verpflichteten die Angaben nach § 21 Absatz 1 und 2 unverzüglich zu übermitteln. § 11a Verarbeitung personenbezogener Daten durch Verpflichtete (1) Verpflichtete nach § 2 dürfen personenbezogene Daten nur verarbeiten, soweit dies auf Grundlage dieses Gesetzes für Zwecke der Verhinderung von Geldwäsche und Terrorismusfinanzierung erforderlich ist. (2) Soweit ein den Vorschriften dieses Gesetzes unterliegender Verpflichteter nach § 2 personenbezogene Daten für Zwecke gemäß Absatz 1 an die zuständigen Aufsichtsbehörden oder die Personen und Einrichtungen, deren sich die zuständigen Aufsichtsbehörden bei der Durchführung ihrer Aufgaben bedienen, oder an die Zentralstelle für Finanztransaktionsuntersuchungen übermittelt, bestehen die Pflicht zur Information der betroffenen Person nach Artikel 13 Absatz 3 der Verordnung (EU) 2016/679 und das Recht auf Auskunft der betroffenen Person nach Artikel 15 der Verordnung (EU) 2016/679 nicht. (3) Die Absätze 1 und 2 finden entsprechende Anwendung auf Dritte im Sinne von § 17, auf die ein Verpflichteter zur Erfüllung der allgemeinen Sorgfaltspflichten nach § 10 Absatz 1 Nummer 1 bis 4 zurückgreift. § 12 Überprüfung von Angaben zum Zweck der Identifizierung, Verordnungsermächtigung (1) Die Überprüfung der nach § 11 Absatz 4 erhobenen Angaben zum Vertragspartner und gegebenenfalls für diesen auftretende Personen hat bei natürlichen Personen zu erfolgen anhand - Seite 21 von 77 - Ein Service des Bundesministeriums der Justiz sowie des Bundesamts für Justiz ‒ www.gesetze-im-internet.de 1. eines gültigen amtlichen Ausweises, der ein Lichtbild des Inhabers enthält und mit dem die Pass- und Ausweispflicht im Inland erfüllt wird, insbesondere anhand eines inländischen oder nach ausländerrechtlichen Bestimmungen anerkannten oder zugelassenen Passes, Personalausweises oder Pass- oder Ausweisersatzes,  2. eines elektronischen Identitätsnachweises nach § 18 des Personalausweisgesetzes, nach § 12 des eID- Karte-Gesetzes oder nach § 78 Absatz 5 des Aufenthaltsgesetzes,  3. einer qualifizierten elektronischen Signatur nach Artikel 3 Nummer 12 der Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates vom 23. Juli 2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG (ABl. L 257 vom 28.8.2014, S. 73),  4. eines nach Artikel 8 Absatz 2 Buchstabe c in Verbindung mit Artikel 9 der Verordnung (EU) Nr. 910/2014 notifizierten elektronischen Identifizierungssystems oder  5. von Dokumenten nach § 1 Absatz 1 der Verordnung über die Bestimmung von Dokumenten, die zur Identifizierung einer nach dem Geldwäschegesetz zu identifizierenden Person zum Zwecke des Abschlusses eines Zahlungskontovertrags zugelassen werden.  Im Fall der Identitätsüberprüfung anhand einer qualifizierten elektronischen Signatur gemäß Satz 1 Nummer 3 hat der Verpflichtete eine Validierung der qualifizierten elektronischen Signatur nach Artikel 32 Absatz 1 der Verordnung (EU) Nr. 910/2014 vorzunehmen. Er hat in diesem Falle auch sicherzustellen, dass eine Transaktion unmittelbar von einem Zahlungskonto im Sinne des § 1 Absatz 17 des Zahlungsdiensteaufsichtsgesetzes erfolgt, das auf den Namen des Vertragspartners lautet, bei einem Verpflichteten nach § 2 Absatz 1 Satz 1 Nummer 1 oder Nummer 3 oder bei einem Kreditinstitut, das ansässig ist in einem 1. anderen Mitgliedstaat der Europäischen Union,  2. Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum oder  3. Drittstaat, in dem das Kreditinstitut Sorgfalts- und Aufbewahrungspflichten unterliegt, die den in der Richtlinie (EU) 2015/849 festgelegten Sorgfalts- und Aufbewahrungspflichten entsprechen und deren Einhaltung in einer mit Kapitel IV Abschnitt 2 der Richtlinie (EU) 2015/849 im Einklang stehenden Weise beaufsichtigt wird.  (2) Die Überprüfung der nach § 11 Absatz 4 erhobenen Angaben zum Vertragspartner und gegebenenfalls für diesen auftretende Personen hat bei juristischen Personen oder bei rechtsfähigen Personengesellschaften zu erfolgen anhand 1. eines Auszuges aus dem Handels- oder Genossenschaftsregister oder aus einem vergleichbaren amtlichen Register oder Verzeichnis,  2. von Gründungsdokumenten oder von gleichwertigen beweiskräftigen Dokumenten oder  3. einer eigenen dokumentierten Einsichtnahme des Verpflichteten in die Register- oder Verzeichnisdaten.  (3) Zur Überprüfung der nach § 11 Absatz 5 erhobenen Angaben zu den wirtschaftlich Berechtigten hat sich der Verpflichtete durch risikoangemessene Maßnahmen zu vergewissern, dass die Angaben zutreffend sind. Im Falle der Identifizierung anlässlich der Begründung einer neuen Geschäftsbeziehung mit einer Vereinigung nach § 20 oder einer Rechtsgestaltung nach § 21 hat der Verpflichtete einen Nachweis der Registrierung nach § 20 Absatz 1 oder § 21 oder einen Auszug der im Transparenzregister zugänglichen Daten einzuholen. Der Verpflichtete muss bei Geschäftsbeziehungen oder Transaktionen mit Vereinigungen nach § 20 oder Rechtsgestaltungen nach § 21 keine über die Einsicht in das Transparenzregister hinausgehenden Maßnahmen zur Erfüllung seiner Pflicht nach Satz 1 ergreifen, wenn die nach § 11 Absatz 5 erhobenen Angaben mit den Angaben zu den wirtschaftlich Berechtigten im Transparenzregister übereinstimmen und keine sonstigen Anhaltspunkte bestehen, die Zweifel an der Identität der wirtschaftlich Berechtigten, ihrer Stellung als wirtschaftlich Berechtigten oder der Richtigkeit sonstiger Angaben nach § 19 Absatz 1 begründen oder die auf ein höheres Risiko der Geldwäsche und der Terrorismusfinanzierung gemäß § 15 Absatz 2 hindeuten. (4) Sofern der Vertragspartner bei einem Erwerbsvorgang nach § 1 des Grunderwerbsteuergesetzes für eine Rechtsform im Sinne von § 3 Absatz 2 oder 3 handelt, hat der beurkundende Notar vor der Beurkundung die Identität des wirtschaftlich Berechtigten anhand einer von dem jeweiligen Vertragspartner in Textform vorzulegenden Dokumentation der Eigentums- und Kontrollstruktur auf ihre Schlüssigkeit zu überprüfen. Die Dokumentation ist der Zentralstelle für Finanztransaktionsuntersuchungen sowie den Strafverfolgungsbehörden auf Verlangen zur Verfügung zu stellen. - Seite 22 von 77 - Ein Service des Bundesministeriums der Justiz sowie des Bundesamts für Justiz ‒ www.gesetze-im-internet.de (5) Das Bundesministerium der Finanzen kann im Einvernehmen mit dem Bundesministerium des Innern, für Bau und Heimat durch Rechtsverordnung ohne Zustimmung des Bundesrates weitere Dokumente bestimmen, die zur Überprüfung der Identität geeignet sind. Fußnote (+++ Hinweis: Die Änderung d. Art. 6 Abs. 1 G v. 21.6.2019 I 846 durch Art. 154a Nr. 3 Buchst. a G v. 20.11.2019 I 1626 (Verschiebung d. Inkrafttretens zum 1.11.2020) ist nicht ausführbar, da Art. 5 d. G v. 21.6.2019 I 846 zum Zeitpunkt d. Inkrafttretens d. G v. 20.11.2019 I 1626 bereits mWv 1.11.2019 in Kraft getreten war +++) § 13 Verfahren zur Überprüfung von Angaben zum Zweck der Identifizierung, Verordnungsermächtigung (1) Verpflichtete überprüfen die zum Zweck der Identifizierung erhobenen Angaben bei natürlichen Personen mit einem der folgenden Verfahren: 1. durch angemessene Prüfung des vor Ort vorgelegten Dokuments oder  2. mittels eines sonstigen Verfahrens, das zur geldwäscherechtlichen Überprüfung der Identität geeignet ist und ein Sicherheitsniveau aufweist, das dem in Nummer 1 genannten Verfahren gleichwertig ist.  (2) Das Bundesministerium der Finanzen kann im Einvernehmen mit dem Bundesministerium des Innern, für Bau und Heimat durch Rechtsverordnung, die nicht der Zustimmung des Bundesrates bedarf, 1. Konkretisierungen oder weitere Anforderungen an das in Absatz 1 genannte Verfahren und an die sich dieses Verfahrens bedienenden Verpflichteten sowie die Aufzeichnungs- und Aufbewahrungspflichten bei Nutzung dieses Verfahrens festlegen,  2. Verfahren bestimmen, die zur geldwäscherechtlichen Identifizierung nach Absatz 1 Nummer 2 geeignet sind und  3. Verfahren bestimmen, deren Eignung zur geldwäscherechtlichen Überprüfung der Identität erprobt wird und bei denen zu ermitteln ist, ob sie ein Sicherheitsniveau aufweisen, das dem in Absatz 1 Nummer 1 genannten Verfahren gleichwertig ist.  Bei Verfahren nach Nummer 3 können die Aufsichtsbehörden nach § 50 dazu ermächtigt werden, die Nutzung der Verfahren befristet, unter Vorbehalt eines Widerrufs und unter Auflagen zuzulassen. Eine Zulassung elektronischer Verfahren nach Nummer 3 erfolgt nur, wenn das Bundesamt für Sicherheit in der Informationstechnik bei einer vorherigen Überprüfung des Verfahrens das für die Erprobung notwendige Sicherheitsniveau festgestellt hat. § 14 Vereinfachte Sorgfaltspflichten, Verordnungsermächtigung (1) Verpflichtete müssen nur vereinfachte Sorgfaltspflichten erfüllen, soweit sie unter Berücksichtigung der in den Anlagen 1 und 2 genannten Risikofaktoren feststellen, dass in bestimmten Bereichen, insbesondere im Hinblick auf Kunden, Transaktionen und Dienstleistungen oder Produkte, nur ein geringes Risiko der Geldwäsche oder der Terrorismusfinanzierung besteht. Vor der Anwendung vereinfachter Sorgfaltspflichten haben sich die Verpflichteten zu vergewissern, dass die Geschäftsbeziehung oder Transaktion tatsächlich mit einem geringeren Risiko der Geldwäsche oder Terrorismusfinanzierung verbunden ist. Für die Darlegung der Angemessenheit gilt § 10 Absatz 2 Satz 4 entsprechend. (2) Bei Anwendbarkeit der vereinfachten Sorgfaltspflichten können Verpflichtete 1. den Umfang der Maßnahmen, die zur Erfüllung der allgemeinen Sorgfaltspflichten zu treffen sind, angemessen reduzieren und  2. insbesondere die Überprüfung der zum Zweck der Identifizierung nach § 11 erhobenen Angaben abweichend von den §§ 12 und 13 auf der Grundlage von sonstigen Dokumenten, Daten oder Informationen durchführen, die von einer glaubwürdigen und unabhängigen Quelle stammen und für die Überprüfung geeignet sind.  Die Verpflichteten müssen in jedem Fall die Überprüfung von Transaktionen und die Überwachung von Geschäftsbeziehungen in einem Umfang sicherstellen, der es ihnen ermöglicht, ungewöhnliche oder verdächtige Transaktionen zu erkennen und zu melden. - Seite 23 von 77 - Ein Service des Bundesministeriums der Justiz sowie des Bundesamts für Justiz ‒ www.gesetze-im-internet.de (3) Ist der Verpflichtete nicht in der Lage, die vereinfachten Sorgfaltspflichten zu erfüllen, so gilt § 10 Absatz 9 entsprechend. (4) Das Bundesministerium der Finanzen kann im Einvernehmen mit dem Bundesministerium des Innern, für Bau und Heimat durch Rechtsverordnung ohne Zustimmung des Bundesrates Fallkonstellationen festlegen, in denen insbesondere im Hinblick auf Kunden, Produkte, Dienstleistungen, Transaktionen oder Vertriebskanäle ein geringeres Risiko der Geldwäsche oder der Terrorismusfinanzierung bestehen kann und die Verpflichteten unter den Voraussetzungen von Absatz 1 nur vereinfachte Sorgfaltspflichten in Bezug auf Kunden erfüllen müssen. Bei der Festlegung sind die in den Anlagen 1 und 2 genannten Risikofaktoren zu berücksichtigen. (5) Die Verordnung (EU) 2015/847 findet keine Anwendung auf Inlandsgeldtransfers auf ein Zahlungskonto eines Begünstigten, auf das ausschließlich Zahlungen für die Lieferung von Gütern oder Dienstleistungen vorgenommen werden können, wenn 1. der Zahlungsdienstleister des Begünstigten den Verpflichtungen dieses Gesetzes unterliegt,  2. der Zahlungsdienstleister des Begünstigten in der Lage ist, anhand einer individuellen Transaktionskennziffer über den Begünstigten den Geldtransfer bis zu der Person zurückzuverfolgen, die mit dem Begünstigten eine Vereinbarung über die Lieferung von Gütern und Dienstleistungen getroffen hat, und  3. der überwiesene Betrag höchstens 1 000 Euro beträgt.  § 15 Verstärkte Sorgfaltspflichten, Verordnungsermächtigung (1) Die verstärkten Sorgfaltspflichten sind zusätzlich zu den allgemeinen Sorgfaltspflichten zu erfüllen. (2) Verpflichtete haben verstärkte Sorgfaltspflichten zu erfüllen, wenn sie im Rahmen der Risikoanalyse oder im Einzelfall unter Berücksichtigung der in den Anlagen 1 und 2 genannten Risikofaktoren feststellen, dass ein höheres Risiko der Geldwäsche oder Terrorismusfinanzierung bestehen kann. Die Verpflichteten bestimmen den konkreten Umfang der zu ergreifenden Maßnahmen entsprechend dem jeweiligen höheren Risiko der Geldwäsche oder der Terrorismusfinanzierung. Für die Darlegung der Angemessenheit gilt § 10 Absatz 2 Satz 4 entsprechend. (3) Ein höheres Risiko liegt insbesondere vor, wenn es sich 1. bei einem Vertragspartner des Verpflichteten oder bei einem wirtschaftlich Berechtigten um eine politisch exponierte Person, ein Familienmitglied oder um eine bekanntermaßen nahestehende Person handelt,  2. um eine Geschäftsbeziehung oder Transaktion handelt, an der ein von der Europäischen Kommission nach Artikel 9 Absatz 2 der Richtlinie (EU) 2015/849, der durch Artikel 1 Nummer 5 der Richtlinie (EU) 2018/843 geändert worden ist, ermittelter Drittstaat mit hohem Risiko oder eine in diesem Drittstaat ansässige natürliche oder juristische Person beteiligt ist; dies gilt nicht für Zweigstellen von in der Europäischen Union niedergelassenen Verpflichteten nach Artikel 2 Absatz 1 der Richtlinie (EU) 2015/849, der durch Artikel 1 Nummer 1 der Richtlinie (EU) 2018/843 geändert worden ist, und für mehrheitlich im Besitz dieser Verpflichteten befindliche Tochterunternehmen, die ihren Standort in einem Drittstaat mit hohem Risiko haben, sofern sich diese Zweigstellen und Tochterunternehmen uneingeschränkt an die von ihnen anzuwendenden gruppenweiten Strategien und Verfahren nach Artikel 45 Absatz 1 der Richtlinie (EU) 2015/849 halten,  3. um eine Transaktion handelt, die im Vergleich zu ähnlichen Fällen a) besonders komplex oder ungewöhnlich groß ist,  b) einem ungewöhnlichen Transaktionsmuster folgt oder  c) keinen offensichtlichen wirtschaftlichen oder rechtmäßigen Zweck hat, oder  4. für Verpflichtete nach § 2 Absatz 1 Nummer 1 bis 3 und 6 bis 8 um eine grenzüberschreitende Korrespondenzbeziehung mit Respondenten mit Sitz in einem Drittstaat oder, vorbehaltlich einer Beurteilung durch die Verpflichteten als erhöhtes Risiko, in einem Staat des Europäischen Wirtschaftsraums handelt.  (4) In einem der in den Absätzen 2 und 3 Nummer 1 genannten Fälle sind mindestens folgende verstärkte Sorgfaltspflichten zu erfüllen: - Seite 24 von 77 - Ein Service des Bundesministeriums der Justiz sowie des Bundesamts für Justiz ‒ www.gesetze-im-internet.de 1. die Begründung oder Fortführung einer Geschäftsbeziehung bedarf der Zustimmung eines Mitglieds der Führungsebene,  2. es sind angemessene Maßnahmen zu ergreifen, mit denen die Herkunft der Vermögenswerte bestimmt werden kann, die im Rahmen der Geschäftsbeziehung oder der Transaktion eingesetzt werden, und  3. die Geschäftsbeziehung ist einer verstärkten kontinuierlichen Überwachung zu unterziehen.  Wenn im Fall des Absatzes 3 Nummer 1 der Vertragspartner oder der wirtschaftlich Berechtigte erst im Laufe der Geschäftsbeziehung ein wichtiges öffentliches Amt auszuüben begonnen hat oder der Verpflichtete erst nach Begründung der Geschäftsbeziehung von der Ausübung eines wichtigen öffentlichen Amts durch den Vertragspartner oder den wirtschaftlich Berechtigten Kenntnis erlangt, so hat der Verpflichtete sicherzustellen, dass die Fortführung der Geschäftsbeziehung nur mit Zustimmung eines Mitglieds der Führungsebene erfolgt. Bei einer ehemaligen politisch exponierten Person haben die Verpflichteten für mindestens zwölf Monate nach Ausscheiden aus dem öffentlichen Amt das Risiko zu berücksichtigen, das spezifisch für politisch exponierte Personen ist, und so lange angemessene und risikoorientierte Maßnahmen zu treffen, bis anzunehmen ist, dass dieses Risiko nicht mehr besteht. (5) In dem in Absatz 3 Nummer 2 genannten Fall haben Verpflichtete mindestens folgende verstärkte Sorgfaltspflichten zu erfüllen: 1. sie müssen einholen: a) zusätzliche Informationen über den Vertragspartner und den wirtschaftlich Berechtigten,  b) zusätzliche Informationen über die angestrebte Art der Geschäftsbeziehung,  c) Informationen über die Herkunft der Vermögenswerte und des Vermögens des Vertragspartners,  d) Informationen über die Herkunft der Vermögenswerte und des Vermögens des wirtschaftlich Berechtigten mit Ausnahme der Person, die nach § 3 Absatz 2 Satz 5 als wirtschaftlich Berechtigter gilt,  e) Informationen über die Gründe für die geplante oder durchgeführte Transaktion und  f) Informationen über die geplante Verwendung der Vermögenswerte, die im Rahmen der Transaktion oder Geschäftsbeziehung eingesetzt werden, soweit dies zur Beurteilung der Gefahr von Terrorismusfinanzierung erforderlich ist,  2. die Begründung oder Fortführung einer Geschäftsbeziehung bedarf der Zustimmung eines Mitglieds der Führungsebene und  3. bei einer Geschäftsbeziehung müssen sie die Geschäftsbeziehung verstärkt überwachen durch a) häufigere und intensivere Kontrollen sowie  b) die Auswahl von Transaktionsmustern, die einer weiteren Prüfung bedürfen.  (5a) In dem in Absatz 3 Nummer 2 genannten Fall und zusätzlich zu den in Absatz 5 genannten verstärkten Sorgfaltspflichten können die zuständigen Aufsichtsbehörden risikoangemessen und im Einklang mit den internationalen Pflichten der Europäischen Union eine oder mehrere von den Verpflichteten zu erfüllende verstärkte Sorgfaltspflichten anordnen, die auch folgende Maßnahmen umfassen können: 1. die Meldung von Finanztransaktionen an die Zentralstelle für Finanztransaktionsuntersuchungen,  2. die Beschränkung oder das Verbot geschäftlicher Beziehungen oder Transaktionen mit natürlichen oder juristischen Personen aus Drittstaaten mit hohem Risiko,  3. das Verbot für Verpflichtete mit Sitz in einem Drittstaat mit hohem Risiko, im Inland Tochtergesellschaften, Zweigniederlassungen oder Repräsentanzen zu gründen,  4. das Verbot, Zweigniederlassungen oder Repräsentanzen in einem Drittstaat mit hohem Risiko zu gründen,  5. die Verpflichtung für Zweigniederlassungen und Tochtergesellschaften von Verpflichteten mit Sitz in einem Drittstaat mit hohem Risiko, sich einer verschärften Prüfung der Einhaltung der geldwäscherechtlichen Pflichten a) durch die zuständige Aufsichtsbehörde zu unterziehen oder  b) durch einen externen Prüfer zu unterziehen,  - Seite 25 von 77 - Ein Service des Bundesministeriums der Justiz sowie des Bundesamts für Justiz ‒ www.gesetze-im-internet.de 6. die Einführung verschärfter Anforderungen in Bezug auf eine externe Prüfung nach Nummer 5 Buchstabe b,  7. für Verpflichtete nach § 2 Absatz 1 Nummer 1 bis 3 und 6 bis 9 die Überprüfung, Änderung oder erforderlichenfalls Beendigung von Korrespondenzbankbeziehungen zu Respondenten in einem Drittstaat mit hohem Risiko.  Bei der Anordnung dieser Maßnahmen gilt für die zuständigen Aufsichtsbehörden Absatz 10 Satz 2 entsprechend. (6) In dem in Absatz 3 Nummer 3 genannten Fall sind mindestens folgende verstärkte Sorgfaltspflichten zu erfüllen: 1. die Transaktion sowie deren Hintergrund und Zweck sind mit angemessenen Mitteln zu untersuchen, um das Risiko der jeweiligen Geschäftsbeziehung oder Transaktionen in Bezug auf Geldwäsche oder auf Terrorismusfinanzierung überwachen und einschätzen zu können und um gegebenenfalls prüfen zu können, ob die Pflicht zu einer Meldung nach § 43 Absatz 1 vorliegt, und  2. die der Transaktion zugrunde liegende Geschäftsbeziehung, soweit vorhanden, ist einer verstärkten kontinuierlichen Überwachung zu unterziehen, um das mit der Geschäftsbeziehung und mit einzelnen Transaktionen verbundene Risiko in Bezug auf Geldwäsche oder auf Terrorismusfinanzierung einschätzen und bei höherem Risiko überwachen zu können.  (7) In dem in Absatz 3 Nummer 4 genannten Fall haben Verpflichtete nach § 2 Absatz 1 Nummer 1 bis 3 und 6 bis 9 bei Begründung einer Geschäftsbeziehung mindestens folgende verstärkte Sorgfaltspflichten zu erfüllen: 1. es sind ausreichende Informationen über den Respondenten einzuholen, um die Art seiner Geschäftstätigkeit in vollem Umfang verstehen und seine Reputation, seine Kontrollen zur Verhinderung der Geldwäsche und Terrorismusfinanzierung sowie die Qualität der Aufsicht bewerten zu können,  2. es ist vor Begründung einer Geschäftsbeziehung mit dem Respondenten die Zustimmung eines Mitglieds der Führungsebene einzuholen,  3. es sind vor Begründung einer solchen Geschäftsbeziehung die jeweiligen Verantwortlichkeiten der Beteiligten in Bezug auf die Erfüllung der Sorgfaltspflichten festzulegen und nach Maßgabe des § 8 zu dokumentieren,  4. es sind Maßnahmen zu ergreifen, um sicherzustellen, dass sie keine Geschäftsbeziehung mit einem Respondenten begründen oder fortsetzen, von dem bekannt ist, dass seine Konten von einer Bank- Mantelgesellschaft genutzt werden, und  5. es sind Maßnahmen zu ergreifen, um sicherzustellen, dass der Respondent keine Transaktionen über Durchlaufkonten zulässt.  Handelt es sich um eine grenzüberschreitende Korrespondenzbeziehung zwischen Anbietern von Kryptowerte- Dienstleistungen, hat der Verpflichtete zusätzlich zu den verstärkten Sorgfaltspflichten nach Satz 1 Nummer 1 Informationen über die Zulassung oder Eintragung des Respondenten einzuholen. (8) Liegen Tatsachen, einschlägige Evaluierungen, Berichte oder Bewertungen nationaler oder internationaler für die Verhinderung oder Bekämpfung der Geldwäsche oder der Terrorismusfinanzierung zuständiger Stellen vor, die die Annahme rechtfertigen, dass über die in Absatz 3 genannten Fälle hinaus ein höheres Risiko besteht, so kann die Aufsichtsbehörde anordnen, dass die Verpflichteten die Transaktionen oder Geschäftsbeziehungen einer verstärkten Überwachung unterziehen und zusätzliche, dem Risiko angemessene Sorgfaltspflichten sowie erforderliche Gegenmaßnahmen zu erfüllen haben. (9) Ist der Verpflichtete nicht in der Lage, die verstärkten Sorgfaltspflichten zu erfüllen, so gilt § 10 Absatz 9 entsprechend. (10) Das Bundesministerium der Finanzen kann durch Rechtsverordnung, die nicht der Zustimmung des Bundesrates bedarf, 1. Fallkonstellationen bestimmen, in denen insbesondere im Hinblick auf Staaten, Kunden, Produkte, Dienstleistungen, Transaktionen oder Vertriebskanäle ein potenziell höheres Risiko der Geldwäsche oder der Terrorismusfinanzierung besteht und die Verpflichteten bestimmte verstärkte Sorgfaltspflichten und Gegenmaßnahmen zu erfüllen haben,  - Seite 26 von 77 - Ein Service des Bundesministeriums der Justiz sowie des Bundesamts für Justiz ‒ www.gesetze-im-internet.de 2. für Fallkonstellationen im Sinne des Absatzes 3 Nummer 2 bestimmte verstärkte Sorgfaltspflichten und Gegenmaßnahmen anordnen sowie für die Anordnung und Ausgestaltung verstärkter Sorgfaltspflichten durch die zuständigen Aufsichtsbehörden nach Absatz 5a Regelungen treffen.  Das Bundesministerium der Finanzen hat bei Erlass einer Rechtsverordnung nach dieser Vorschrift einschlägige Evaluierungen, Bewertungen oder Berichte internationaler Organisationen oder von Einrichtungen für die Festlegung von Standards mit Kompetenzen im Bereich der Verhinderung von Geldwäsche und der Bekämpfung von Terrorismusfinanzierung hinsichtlich der von einzelnen Drittstaaten ausgehenden Risiken zu berücksichtigen. § 15a Verstärkte Sorgfaltspflichten bei der Übertragung von Kryptowerten von einer selbst gehosteten oder an eine selbst gehostete Adresse (1) Verpflichtete, die eine Übertragung von Kryptowerten ausführen, deren Begünstigter oder Auftraggeber eine selbst gehostete Adresse ist, haben das mit der Übertragung verbundene Risiko des Missbrauchs zum Zwecke der Geldwäsche und Terrorismusfinanzierung sowie das Risiko der Nichtumsetzung und Umgehung gezielter Finanzsanktionen und gezielter Finanzsanktionen im Zusammenhang mit Proliferationsfinanzierung zu ermitteln und zu bewerten sowie angemessene Maßnahmen zur Risikominderung zu treffen. (2) Risikomindernde Maßnahmen nach Absatz 1 umfassen mindestens eine der folgenden Maßnahmen, gegebenenfalls auch in Kombination miteinander: 1. die Erhebung, Überprüfung und Speicherung der Identität des Begünstigten oder Auftraggebers sowie des wirtschaftlich Berechtigten der selbst gehosteten Adresse,  2. Maßnahmen zur Ermittlung der Herkunft und des Ziels der zu übertragenden Kryptowerte,  3. die verstärkte, kontinuierliche Überwachung dieser Transaktionen und der mit diesen Transaktionen in Verbindung stehenden Geschäftsbeziehung oder  4. andere Maßnahmen zur Minderung und Beherrschung der Risiken von Geldwäsche und von Terrorismusfinanzierung sowie des Risikos der Nichtumsetzung und Umgehung gezielter Finanzsanktionen und gezielter Finanzsanktionen im Zusammenhang mit Proliferationsfinanzierung.  § 16 Besondere Vorschriften für das Glücksspiel im Internet (1) Für Verpflichtete nach § 2 Absatz 1 Nummer 15 gelten, soweit sie das Glücksspiel im Internet anbieten oder vermitteln, die besonderen Vorschriften der Absätze 2 bis 8. Bei der Anwendung der allgemeinen Sorgfaltspflichten findet der Schwellenbetrag nach § 10 Absatz 5 keine Anwendung. (2) Der Verpflichtete darf einen Spieler erst zu einem Glücksspiel im Internet zulassen, wenn er zuvor für den Spieler auf dessen Namen ein Spielerkonto eingerichtet hat. (3) Der Verpflichtete darf auf dem Spielerkonto weder Einlagen noch andere rückzahlbare Gelder vom Spieler entgegennehmen. Das Guthaben auf dem Spielerkonto darf nicht verzinst werden. Für die entgegengenommenen Geldbeträge gilt § 3 Absatz 3 Satz 3 des Zahlungsdiensteaufsichtsgesetzes entsprechend. (4) Der Verpflichtete muss sicherstellen, dass Transaktionen des Spielers auf das Spielerkonto nur erfolgen 1. durch die Ausführung eines Zahlungsvorgangs a) mittels einer Lastschrift nach § 1 Absatz 1 Satz 2 Nummer 3 Buchstabe a des Zahlungsdiensteaufsichtsgesetzes,  b) mittels einer Überweisung nach § 1 Absatz 1 Satz 2 Nummer 3 Buchstabe c des Zahlungsdiensteaufsichtsgesetzes oder  c) mittels einer auf den Namen des Spielers ausgegebenen Zahlungskarte nach § 1 Absatz 1 Satz 2 Nummer 3 Buchstabe b des Zahlungsdiensteaufsichtsgesetzes und  2. von einem Zahlungskonto nach § 1 Absatz 17 des Zahlungsdiensteaufsichtsgesetzes, das auf den Namen des Spielers bei einem Verpflichteten nach § 2 Absatz 1 Nummer 1 oder 3 errichtet worden ist.  Von der Erfüllung der Verpflichtung nach Satz 1 Nummer 1 Buchstabe c und Nummer 2 kann der Verpflichtete absehen, wenn gewährleistet ist, dass die Zahlung zur Teilnahme am Spiel für eine einzelne Transaktion 25 Euro und für mehrere Transaktionen innerhalb eines Kalendermonats 100 Euro nicht überschreitet. - Seite 27 von 77 - Ein Service des Bundesministeriums der Justiz sowie des Bundesamts für Justiz ‒ www.gesetze-im-internet.de (5) Der Verpflichtete hat die Aufsichtsbehörde unverzüglich zu informieren über die Eröffnung und Schließung eines Zahlungskontos nach § 1 Absatz 17 des Zahlungsdiensteaufsichtsgesetzes, das auf seinen eigenen Namen bei einem Verpflichteten nach § 2 Absatz 1 Nummer 1 oder 3 eingerichtet ist und auf dem Gelder eines Spielers zur Teilnahme an Glücksspielen im Internet entgegengenommen werden. (6) Wenn der Verpflichtete oder ein anderer Emittent einem Spieler für Transaktionen auf einem Spielerkonto monetäre Werte ausstellt, die auf einem Instrument nach § 2 Absatz 1 Nummer 10 des Zahlungsdiensteaufsichtsgesetzes gespeichert sind, hat der Verpflichtete oder der andere Emittent sicherzustellen, dass der Inhaber des monetären Werts mit dem Inhaber des Spielerkontos identisch ist. (7) Der Verpflichtete darf Transaktionen an den Spieler nur vornehmen 1. durch die Ausführung eines Zahlungsvorgangs nach Absatz 4 und  2. auf ein Zahlungskonto, das auf den Namen des Spielers bei einem Verpflichteten nach § 2 Absatz 1 Nummer 1 oder 3 eingerichtet worden ist.  Bei der Transaktion hat der Verpflichtete den Verwendungszweck dahingehend zu spezifizieren, dass für einen Außenstehenden erkennbar ist, aus welchem Grund der Zahlungsvorgang erfolgt ist. Für diesen Verwendungszweck können die Aufsichtsbehörden Standardformulierungen festlegen, die vom Verpflichteten zu verwenden sind. (8) Abweichend von § 11 kann der Verpflichtete bei einem Spieler, für den er ein Spielerkonto einrichtet, eine vorläufige Identifizierung durchführen. Die vorläufige Identifizierung kann anhand einer elektronisch oder auf dem Postweg übersandten Kopie eines Dokuments nach § 12 Absatz 1 Satz 1 Nummer 1 erfolgen. Eine vollständige Identifizierung ist unverzüglich nachzuholen. Sowohl die vorläufige als auch die vollständige Identifizierung kann auch anhand der glücksspielrechtlichen Anforderungen an Identifizierung und Authentifizierung erfolgen. § 16a Verbot der Barzahlung beim Erwerb von Immobilien (1) Bei Rechtsgeschäften, die auf den Kauf oder Tausch von inländischen Immobilien gerichtet sind, kann eine geschuldete Gegenleistung nur mittels anderer Mittel als Bargeld, Kryptowerten, Gold, Platin oder Edelsteinen bewirkt werden. Dasselbe gilt für den Erwerb von Anteilen an Gesellschaften, zu deren Vermögen unmittelbar oder mittelbar eine inländische Immobilie gehört. Übergibt der Schuldner Bargeld, Gold, Platin oder Edelsteine oder überträgt er Kryptowerte als Gegenleistung, kann er diese nach den Vorschriften des Bürgerlichen Gesetzbuchs über die Herausgabe einer ungerechtfertigten Bereicherung herausverlangen; die §§ 815 und 817 Satz 2 des Bürgerlichen Gesetzbuchs sind nicht anzuwenden. (2) Bei Rechtsgeschäften nach Absatz 1 Satz 1 haben die Beteiligten gegenüber dem Notar, der den Antrag auf Eintragung des Erwerbers als Eigentümer oder Erbbauberechtigter beim Grundbuchamt einreichen soll, nachzuweisen, dass die Gegenleistung mit anderen Mitteln als Bargeld, Kryptowerten, Gold, Platin oder Edelsteinen erbracht wurde. Als Nachweis sind insbesondere Zahlungsbestätigungen von auf Veräußerer- oder Erwerberseite an der Transaktion beteiligten Kreditinstituten geeignet. Bei vertraglichen Änderungen an Rechtsgeschäften nach Absatz 1 Satz 1, welche die Gegenleistung betreffen und die nach einer bindend gewordenen Auflassung vorgenommen werden, haben die Beteiligten dem Notar zum Zweck der Durchführung der Prüfung nach den Absätzen 3 und 4 übereinstimmende Erklärungen zu diesen Änderungen vorzulegen. (3) Bei Rechtsgeschäften nach Absatz 1 Satz 1 hat der mit der Einreichung des Eintragungsantrags beauftragte Notar die ihm nach Absatz 2 Satz 1 vorgelegten Nachweise auf Schlüssigkeit zu prüfen. Er darf den Antrag auf Eintragung des Erwerbers als Eigentümer oder Erbbauberechtigter beim Grundbuchamt erst stellen, wenn er 1. in Bezug auf den Nachweis a) dessen Schlüssigkeit festgestellt hat oder  b) in dem Fall, in dem ihm in angemessener Zeit nach der Fälligkeit der Gegenleistung kein schlüssiger Nachweis vorgelegt wurde, die Beteiligten erfolglos zur Vorlage des Nachweises innerhalb einer angemessenen Frist aufgefordert hat und  2. in dem Fall, in dem er nach § 43 Absatz 1 zu einer Meldung verpflichtet ist, diese Meldung abgegeben hat und § 46 dem mit der Maßgabe nicht entgegensteht, dass die Transaktion frühestens durchgeführt werden darf, wenn der fünfte Werktag nach dem Abgangstag der Meldung verstrichen ist.  - Seite 28 von 77 - Ein Service des Bundesministeriums der Justiz sowie des Bundesamts für Justiz ‒ www.gesetze-im-internet.de (4) Soweit bei Rechtsgeschäften nach Absatz 1 Satz 1 die Gegenleistung nach der Vereinbarung der Beteiligten vollständig oder teilweise erst nach der Einreichung des Eintragungsantrags zu erbringen ist, hat der Notar die Schlüssigkeit des Nachweises innerhalb angemessener Zeit nach Fälligkeit zu prüfen. Werden innerhalb eines Jahres nach Einreichung des Eintragungsantrags mehrere Teilleistungen fällig, kann der Notar nach Ablauf eines Jahres eine Prüfung der Schlüssigkeit des Nachweises hinsichtlich der bis zu diesem Zeitpunkt fällig gewordenen Teilleistungen vornehmen. Bedarf es zur Bestimmung des Datums der Fälligkeit der Kenntnis von Umständen, die dem Notar bei der Antragstellung nicht bekannt sind, haben die Beteiligten den Notar über diese Umstände nachträglich zu informieren. Hinsichtlich des vor der Eintragung fällig werdenden Anteils richtet sich die Prüfpflicht nach Absatz 3. Absatz 2 gilt entsprechend. Wurde dem Notar in angemessener Zeit nach der Fälligkeit der Gegenleistung oder nach dem in Satz 2 geregelten Zeitpunkt kein schlüssiger Nachweis vorgelegt, so hat er die Beteiligten zur Vorlage des Nachweises innerhalb einer angemessenen Frist aufzufordern. Soweit die Gegenleistung später als ein Jahr nach der Einreichung des Eintragungsantrags zu erbringen ist, entfällt die Prüfpflicht nach Satz 1. (5) Die Absätze 2 bis 4 gelten nicht, wenn die geschuldete Gegenleistung einen Betrag von 10 000 Euro nicht übersteigt oder soweit sie über ein Anderkonto des mit der Einreichung des Eintragungsantrags beauftragten Notars erbracht wird. Zudem gilt ein schlüssiger Nachweis im Sinne der Absätze 3 und 4 auch dann als erbracht, wenn dem Notar über einen Wert von nicht mehr als 10 000 Euro der geschuldeten Gegenleistung kein schlüssiger Nachweis nach Absatz 2 vorliegt. Absatz 4 gilt nicht, wenn es nach der Vertragsgestaltung ausgeschlossen erscheint, dass die Vereinbarung der nachträglichen Erbringung der Gegenleistung darauf beruht, dass die Gegenleistung aus einer strafbaren Handlung stammt, die eine Vortat der Geldwäsche darstellen könnte, oder dass der Erwerbsvorgang im Zusammenhang mit Terrorismusfinanzierung steht. § 17 Ausführung der Sorgfaltspflichten durch Dritte, vertragliche Auslagerung (1) Zur Erfüllung der allgemeinen Sorgfaltspflichten nach § 10 Absatz 1 Nummer 1 bis 4 kann ein Verpflichteter auf Dritte zurückgreifen. Dritte dürfen nur sein 1. Verpflichtete nach § 2 Absatz 1,  2. Verpflichtete gemäß Artikel 2 Absatz 1 der Richtlinie (EU) 2015/849 in einem anderen Mitgliedstaat der Europäischen Union oder in einem Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum,  3. Mitgliedsorganisationen oder Verbände von Verpflichteten nach Nummer 2 oder in einem Drittstaat ansässige Institute und Personen, sofern diese Sorgfalts- und Aufbewahrungspflichten unterliegen, a) die den in der Richtlinie (EU) 2015/849 festgelegten Sorgfalts- und Aufbewahrungspflichten entsprechen und  b) deren Einhaltung in einer mit Kapitel VI Abschnitt 2 der Richtlinie (EU) 2015/849 im Einklang stehenden Weise beaufsichtigt wird.  Die Verantwortung für die Erfüllung der allgemeinen Sorgfaltspflichten bleibt bei dem Verpflichteten. (2) Verpflichtete dürfen nicht auf einen Dritten zurückgreifen, der in einem Drittstaat mit hohem Risiko niedergelassen ist. Ausgenommen hiervon sind 1. Zweigstellen von in der Europäischen Union niedergelassenen Verpflichteten nach Artikel 2 Absatz 1 der Richtlinie (EU) 2015/849, wenn die Zweigstelle sich uneingeschränkt an die gruppenweit anzuwendenden Strategien und Verfahren gemäß Artikel 45 der Richtlinie (EU) 2015/849 hält, und  2. Tochterunternehmen, die sich im Mehrheitsbesitz von in der Europäischen Union niedergelassenen Verpflichteten nach Artikel 2 Absatz 1 der Richtlinie (EU) 2015/849 befinden, wenn das Tochterunternehmen sich uneingeschränkt an die gruppenweit anzuwendenden Strategien und Verfahren gemäß Artikel 45 der Richtlinie (EU) 2015/849 hält.  (3) Wenn ein Verpflichteter auf Dritte zurückgreift, muss er sicherstellen, dass die Dritten 1. bei der Identifizierung von im Inland ansässigen Personen den Vorschriften dieses Gesetzes entsprechen,  2. die Informationen einholen, die für die Durchführung der Sorgfaltspflichten nach § 10 Absatz 1 Nummer 1 bis 4 notwendig sind, und  3. ihm diese Informationen unverzüglich und unmittelbar übermitteln.  - Seite 29 von 77 - Ein Service des Bundesministeriums der Justiz sowie des Bundesamts für Justiz ‒ www.gesetze-im-internet.de Er hat zudem angemessene Schritte zu unternehmen, um zu gewährleisten, dass die Dritten ihm auf seine Anforderung hin unverzüglich Kopien derjenigen Dokumente, die maßgeblich zur Feststellung und Überprüfung der Identität des Vertragspartners, gegebenenfalls der für diesen auftretenden Personen und eines etwaigen wirtschaftlich Berechtigten sind, einschließlich Informationen, soweit diese verfügbar sind, die mittels elektronischer Mittel nach § 12 Absatz 1 Satz 1 Nummer 4 eingeholt wurden, sowie andere maßgebliche Unterlagen vorlegen. Die Dritten sind befugt, zu diesem Zweck Kopien von Ausweisdokumenten zu erstellen und weiterzuleiten. (3a) Der Dritte kann zur Identifizierung des Vertragspartners, einer gegebenenfalls für ihn auftretenden Person und eines wirtschaftlich Berechtigten auch auf anlässlich einer zu einem früheren Zeitpunkt erfolgten Identifizierung dieser Person eingeholte Informationen nach Absatz 3 Satz 1 Nummer 2 zurückgreifen, sofern 1. die Identifizierung im Rahmen der Begründung einer eigenen Geschäftsbeziehung des Dritten und nicht unter Anwendung vereinfachter Sorgfaltspflichten erfolgt ist,  2. die Identifizierung oder die letzte Aktualisierung unter Einhaltung des § 12 vor nicht mehr als 24 Monaten abgeschlossen wurde,  3. für den Verpflichteten aufgrund äußerer Umstände keine Zweifel an der Richtigkeit der ihm übermittelten Informationen bestehen und  4. das Gültigkeitsdatum eines im Rahmen der Identifizierung oder der letzten Aktualisierung unter Einhaltung des § 12 gegebenenfalls verwendeten Identifikationsdokuments noch nicht abgelaufen ist.  Absatz 3 Satz 2 und 3 gilt entsprechend. (4) Die Voraussetzungen der Absätze 1 und 3 gelten als erfüllt, wenn 1. der Verpflichtete auf Dritte zurückgreift, die derselben Gruppe angehören wie er selbst,  2. die in dieser Gruppe angewandten Sorgfaltspflichten, Aufbewahrungsvorschriften, Strategien und Verfahren zur Verhinderung von Geldwäsche und von Terrorismusfinanzierung mit den Vorschriften der Richtlinie (EU) 2015/849 oder gleichwertigen Vorschriften im Einklang stehen und  3. die effektive Umsetzung dieser Anforderungen auf Gruppenebene von einer Behörde beaufsichtigt wird.  (5) Ein Verpflichteter kann die Durchführung der Maßnahmen, die zur Erfüllung der Sorgfaltspflichten nach § 10 Absatz 1 Nummer 1 bis 4 erforderlich sind, auf andere geeignete Personen und Unternehmen als die in Absatz 1 genannten Dritten übertragen. Die Übertragung bedarf einer vertraglichen Vereinbarung und der Verpflichtete hat sicherzustellen, dass die anderen geeigneten Personen und Unternehmen den Vorschriften dieses Gesetzes entsprechen. Die Maßnahmen der Personen oder der Unternehmen werden dem Verpflichteten als eigene Maßnahmen zugerechnet. Absatz 3 gilt entsprechend. (6) Durch die Übertragung nach Absatz 5 dürfen nicht beeinträchtigt werden 1. die Erfüllung der Pflichten nach diesem Gesetz durch den Verpflichteten,  2. die Steuerungs- oder Kontrollmöglichkeiten der Geschäftsleitung des Verpflichteten und  3. die Aufsicht der Aufsichtsbehörde über den Verpflichteten.  (7) Vor der Übertragung nach Absatz 5 hat sich der Verpflichtete von der Zuverlässigkeit der Personen oder der Unternehmen, denen er Maßnahmen übertragen will, zu überzeugen. Während der Zusammenarbeit muss er sich durch Stichproben von der Angemessenheit und Ordnungsmäßigkeit der Maßnahmen überzeugen, die diese Personen oder Unternehmen getroffen haben. (8) Soweit eine vertragliche Vereinbarung nach Absatz 5 mit deutschen Botschaften, Auslandshandelskammern oder Konsulaten geschlossen wird, gelten diese kraft Vereinbarung als geeignet. Absatz 7 findet keine Anwendung. (9) Bei der Übertragung nach Absatz 5 bleiben die Vorschriften über die Auslagerung von Aktivitäten und Prozessen nach § 25b des Kreditwesengesetzes und nach Artikel 73 der Verordnung (EU) 2023/1114 unberührt. Abschnitt 4 Transparenzregister - Seite 30 von 77 - Ein Service des Bundesministeriums der Justiz sowie des Bundesamts für Justiz ‒ www.gesetze-im-internet.de § 18 Einrichtung des Transparenzregisters und registerführende Stelle (1) Es wird ein Register zur Erfassung und Zugänglichmachung von Angaben über den wirtschaftlich Berechtigten (Transparenzregister) eingerichtet. (2) Das Transparenzregister wird als hoheitliche Aufgabe des Bundes von der registerführenden Stelle elektronisch geführt. Daten, die im Transparenzregister gespeichert sind, werden als chronologische Datensammlung angelegt. (3) Ist eine Mitteilung nach § 20 unvollständig, unklar oder bestehen Zweifel, welcher Vereinigung nach § 20 Absatz 1 die in der Mitteilung enthaltenen Angaben zum wirtschaftlich Berechtigten zuzuordnen sind, kann die registerführende Stelle von der in der Mitteilung genannten Vereinigung verlangen, dass diese die für eine Eintragung in das Transparenzregister erforderlichen Informationen innerhalb einer angemessenen Frist übermittelt. Dies gilt entsprechend für Mitteilungen von Rechtsgestaltungen nach § 21. (3a) Die registerführende Stelle ist berechtigt, der Behörde nach § 56 Absatz 5 Satz 2 die Informationen und Unterlagen zu übermitteln, die für die Erfüllung der Aufgaben der Behörde nach § 56 Absatz 5 Satz 2 erforderlich sind. (4) Die registerführende Stelle erstellt auf Antrag Ausdrucke von Daten, die im Transparenzregister gespeichert sind, und Bestätigungen, dass im Transparenzregister keine aktuelle Eintragung aufgrund einer Mitteilung nach § 20 Absatz 1 oder § 21 vorliegt. Sie beglaubigt auf Antrag, dass die übermittelten Daten mit dem Inhalt des Transparenzregisters übereinstimmen. Mit der Beglaubigung ist keine Gewähr für die Richtigkeit und Vollständigkeit der Angaben zum wirtschaftlich Berechtigten verbunden. Ein Antrag auf Ausdruck von Daten, die lediglich über das Transparenzregister gemäß § 22 Absatz 1 Satz 1 Nummer 4 bis 9 zugänglich gemacht werden, kann auch über das Transparenzregister an das Gericht vermittelt werden. Dies gilt entsprechend für die Vermittlung eines Antrags auf Ausdruck von Daten, die gemäß § 22 Absatz 1 Satz 1 Nummer 2 und 3 zugänglich gemacht werden, an den Betreiber des Unternehmensregisters. (5) Die registerführende Stelle erstellt ein Informationssicherheitskonzept für das Transparenzregister, aus dem sich die getroffenen technischen und organisatorischen Maßnahmen zum Datenschutz ergeben. (6) Das Bundesministerium der Finanzen wird ermächtigt, durch Rechtsverordnung, die nicht der Zustimmung des Bundesrates bedarf, die technischen Einzelheiten zu Einrichtung und Führung des Transparenzregisters einschließlich der Speicherung historischer Datensätze sowie die Einhaltung von Löschungsfristen für die im Transparenzregister gespeicherten Daten zu regeln. § 19 Angaben zum wirtschaftlich Berechtigten (1) Im Transparenzregister sind im Hinblick auf Vereinigungen nach § 20 Absatz 1 Satz 1 und Rechtsgestaltungen nach § 21 folgende Angaben zum wirtschaftlich Berechtigten nach Maßgabe des § 23 zugänglich: 1. Vor- und Nachname,  2. Geburtsdatum,  3. Wohnort,  4. Art und Umfang des wirtschaftlichen Interesses und  5. alle Staatsangehörigkeiten.  (2) Für die Bestimmung des wirtschaftlich Berechtigten von Vereinigungen im Sinne des § 20 Absatz 1 Satz 1 mit Ausnahme der rechtsfähigen Stiftungen gilt § 3 Absatz 1 und 2 entsprechend. Für die Bestimmung des wirtschaftlich Berechtigten von Rechtsgestaltungen nach § 21 und rechtsfähigen Stiftungen gilt § 3 Absatz 1 und 3 entsprechend. (3) Die Angaben zu Art und Umfang des wirtschaftlichen Interesses nach Absatz 1 Nummer 4 zeigen, woraus die Stellung als wirtschaftlich Berechtigter folgt, und zwar 1. bei Vereinigungen nach § 20 Absatz 1 Satz 1 mit Ausnahme der rechtsfähigen Stiftungen aus a) der Beteiligung an der Vereinigung selbst, insbesondere der Höhe der Kapitalanteile oder der Stimmrechte,  - Seite 31 von 77 - Ein Service des Bundesministeriums der Justiz sowie des Bundesamts für Justiz ‒ www.gesetze-im-internet.de b) der Ausübung von Kontrolle auf sonstige Weise, insbesondere aufgrund von Absprachen zwischen einem Dritten und einem Anteilseigner oder zwischen mehreren Anteilseignern untereinander, oder aufgrund der einem Dritten eingeräumten Befugnis zur Ernennung von gesetzlichen Vertretern oder anderen Organmitgliedern oder  c) der Funktion des gesetzlichen Vertreters, geschäftsführenden Gesellschafters oder Partners,  2. bei Rechtsgestaltungen nach § 21 und rechtsfähigen Stiftungen aus einer der in § 3 Absatz 3 aufgeführten Funktionen.  In den Fällen des Satzes 1 Nummer 1 Buchstabe c ist anzugeben, ob ermittelt wurde, dass keine natürliche Person die Voraussetzungen eines wirtschaftlich Berechtigten nach § 3 Absatz 1 oder Absatz 2 Satz 1 bis 4 erfüllt, oder ob die Ermittlung eines wirtschaftlich Berechtigten nach § 3 Absatz 1 oder Absatz 2 Satz 1 bis 4 nach Durchführung umfassender Prüfungen nicht möglich war. § 19a Angaben zu Immobilien Im Transparenzregister sind im Hinblick auf Vereinigungen nach § 20 Absatz 1, die als Berechtigte von Immobilien in Abteilung I des Grundbuchs eingetragen sind, folgende Angaben zu diesen Immobilien nach Maßgabe des § 23 zugänglich: 1. zuständiges Amtsgericht,  2. Grundbuchbezirk,  3. Nummer des Grundbuchblattes,  4. alle im Bestandsverzeichnis des Grundbuchblattes eingetragenen Grundstücke, jeweils mit a) Gemarkung,  b) Flur und  c) Flurstück,  5. Art und Umfang der Berechtigung,  6. Beginn und Ende der Berechtigung.  § 19b Erfassung und Zuordnung von Immobilien (1) Die Grundbuchämter übermitteln der registerführenden Stelle folgende Informationen zu allen bei ihnen geführten Grundbuchblättern: 1. zuständiges Amtsgericht,  2. Grundbuchbezirk,  3. Nummer des Grundbuchblattes,  4. alle im Bestandsverzeichnis des Grundbuchblattes eingetragenen Grundstücke, jeweils mit a) Gemarkung,  b) Flur und,  c) Flurstück,  5. alle in Abteilung I geführten Eigentümer, jeweils, soweit vorhanden, mit a) Name oder Firma,  b) Sitz,  c) Registergericht,  d) Registerart,  e) Registernummer,  f) Datum der Eintragung.  Die Übermittlung erfolgt auf Basis bereits verfügbarer strukturierter Daten. Sie erfolgt einmalig bis spätestens zum 31. Juli 2023 mit einem Stand der Daten zum 30. Juni 2023. - Seite 32 von 77 - Ein Service des Bundesministeriums der Justiz sowie des Bundesamts für Justiz ‒ www.gesetze-im-internet.de (2) Die Grundbuchämter übermitteln der registerführenden Stelle ab dem 1. Juli 2023 in einem automatisierten Verfahren Veränderungen der grundbuchmäßigen Bezeichnung des Grundstücks und die Eintragung eines Eigentümers. Die Übermittlung erfolgt in einem strukturierten Datenformat auf Basis bereits verfügbarer strukturierter Daten. (3) Die registerführende Stelle erfasst anhand der ihr aus den Grundbüchern übermittelten Informationen die Angaben nach § 19a in Bezug auf Immobilien, ordnet sie Vereinigungen nach § 20 Absatz 1 zu und speichert sie. Übermittelte Daten, die für diesen Zweck nicht erforderlich sind, sind von der registerführenden Stelle unverzüglich zu löschen. (4) Abweichend von den Absätzen 1 und 2 können die Länder eine Übermittlung der Daten durch die für die Führung der Liegenschaftskataster zuständigen Behörden vorsehen. Die Grundbuchämter und die für die Führung der Liegenschaftskataster zuständigen Behörden können mit der registerführenden Stelle Vereinbarungen über das zu verwendende Datenformat treffen. § 20 Transparenzpflichten im Hinblick auf bestimmte Vereinigungen (1) Juristische Personen des Privatrechts und eingetragene Personengesellschaften haben die in § 19 Absatz 1 aufgeführten Angaben zu den wirtschaftlich Berechtigten dieser Vereinigungen einzuholen, aufzubewahren, auf aktuellem Stand zu halten und der registerführenden Stelle unverzüglich zur Eintragung in das Transparenzregister mitzuteilen. Die Pflicht nach Satz 1 gilt auch für Vereinigungen mit Sitz im Ausland, wenn sie Eigentum an einer im Inland gelegenen Immobilie halten oder sich verpflichten, solches Eigentum zu erwerben, wenn Anteile im Sinne des § 1 Absatz 3 des Grunderwerbsteuergesetzes sich bei ihr vereinigen oder auf sie übergehen, oder wenn sie im Sinne des § 1 Absatz 3a des Grunderwerbsteuergesetzes aufgrund eines Rechtsvorgangs eine wirtschaftliche Beteiligung innehaben. Die Pflicht nach Satz 1 gilt nicht für in Satz 2 genannte Vereinigungen, wenn sie die Angaben nach Artikel 1 Nummer 15 Buchstabe c der Richtlinie (EU) 2018/843 und nach § 19 Absatz 1 bereits an ein anderes Register eines Mitgliedstaates der Europäischen Union übermittelt haben. Die Mitteilung hat elektronisch in einer Form zu erfolgen, die ihre elektronische Zugänglichmachung ermöglicht. Bei den Angaben zu Art und Umfang des wirtschaftlichen Interesses nach § 19 Absatz 1 Nummer 4 ist anzugeben, woraus nach § 19 Absatz 3 die Stellung als wirtschaftlich Berechtigter folgt. (2) Eine juristische Person des Privatrechts oder eine eingetragene Personengesellschaft, die nach Absatz 1 Satz 1 mitteilungspflichtig ist und die nicht im Handelsregister, Genossenschaftsregister, Gesellschaftsregister, Partnerschaftsregister oder Vereinsregister eingetragen ist, hat der registerführenden Stelle unverzüglich mitzuteilen, wenn 1. sich ihre Bezeichnung oder ihr Sitz geändert hat,  2. sie verschmolzen worden ist,  3. sie aufgelöst worden ist oder  4. ihre Rechtsform geändert wurde.  (3) Wirtschaftlich Berechtigte von Vereinigungen nach Absatz 1 haben diesen Vereinigungen die zur Erfüllung der Pflichten nach Absatz 1 notwendigen Angaben mitzuteilen und jede Änderung dieser Angaben unverzüglich mitzuteilen. Anteilseigner, die wirtschaftlich Berechtigte sind oder die von dem wirtschaftlich Berechtigten unmittelbar kontrolliert werden, haben den Vereinigungen nach Absatz 1 die zur Erfüllung der Pflichten nach Absatz 1 notwendigen Angaben mitzuteilen und jede Änderung dieser Angaben unverzüglich mitzuteilen. Kontrolliert ein Mitglied eines Vereins oder einer Genossenschaft mehr als 25 Prozent der Stimmrechte, so trifft die Mitteilungspflicht nach Satz 1 dieses Mitglied. Bei Stiftungen trifft die Mitteilungspflicht nach Satz 1 die Personen nach § 3 Absatz 3. (3a) Hat die Vereinigung keine Angaben der wirtschaftlich Berechtigten nach Absatz 3 erhalten, so hat sie von ihren Anteilseignern, soweit sie ihr bekannt sind, in angemessenem Umfang Auskunft zu den wirtschaftlich Berechtigten der Vereinigung zu verlangen. Die Anteilseigner sind verpflichtet, das Auskunftsersuchen innerhalb angemessener Frist zu beantworten. Die Pflicht, Auskunft nach Satz 1 zu verlangen, gilt nicht, wenn der Vereinigung die Angaben zum wirtschaftlich Berechtigten nach § 19 bereits anderweitig bekannt sind. Die Vereinigung hat die Auskunftsersuchen sowie die eingeholten Informationen zu dokumentieren. (3b) Gelangt der Anteilseigner zu der Erkenntnis, dass sich der wirtschaftlich Berechtigte der Vereinigung geändert hat, so muss er dies der Vereinigung innerhalb einer angemessenen Frist mitteilen. Satz 1 gilt nicht, wenn - Seite 33 von 77 - Ein Service des Bundesministeriums der Justiz sowie des Bundesamts für Justiz ‒ www.gesetze-im-internet.de 1. die Angaben zu dem neuen wirtschaftlich Berechtigten bereits über das Transparenzregister zugänglich sind, oder  2. der Anteilseigner anderweitig positive Kenntnis davon hat, dass der Vereinigung der neue wirtschaftlich Berechtigte bekannt ist.  Der Anteilseigner hat die Mitteilung an die Vereinigung zu dokumentieren und aufzubewahren. (4) Die Angabepflicht nach Absatz 3 entfällt, wenn die Anteilseigner, Mitglieder und wirtschaftlich Berechtigten die erforderlichen Angaben bereits in anderer Form mitgeteilt haben. (5) Die Zentralstelle für Finanztransaktionsuntersuchungen und die Aufsichtsbehörden können im Rahmen ihrer Aufgaben und Befugnisse die nach Absatz 1 aufbewahrten Angaben einsehen oder sich vorlegen lassen. Die Angaben sind ihnen unverzüglich zur Verfügung zu stellen. § 20a Automatische Eintragung für Vereine (1) Für eingetragene Vereine nach § 21 des Bürgerlichen Gesetzbuchs erstellt die registerführende Stelle anhand der im Vereinsregister eingetragenen Daten eine Eintragung in das Transparenzregister, ohne dass es hierfür einer Mitteilung nach § 20 Absatz 1 Satz 1 bedarf. Im Rahmen dieser Eintragung werden alle Mitglieder des Vorstands eines Vereins mit den Daten nach § 19 Absatz 1 als wirtschaftliche Berechtigte nach § 3 Absatz 2 Satz 5 im Transparenzregister erfasst. Soweit diese Daten nicht im Vereinsregister vorhanden sind, wird als Wohnsitzland Deutschland und als einzige Staatsangehörigkeit die deutsche Staatsangehörigkeit angenommen. Die nach Satz 1 eingetragenen Daten gelten als Angaben des Vereins, soweit der Verein der registerführenden Stelle keine abweichenden Angaben mitgeteilt hat. (2) Abweichend von § 20 Absatz 1 Satz 1 muss ein eingetragener Verein nach § 21 des Bürgerlichen Gesetzbuchs die in § 19 Absatz 1 aufgeführten Angaben zu den wirtschaftlich Berechtigten der registerführenden Stelle nur dann zur Eintragung mitteilen, wenn 1. eine Änderung des Vorstands nicht unverzüglich zur Eintragung in das Vereinsregister angemeldet worden ist,  2. mindestens ein wirtschaftlich Berechtigter nach § 3 Absatz 2 Satz 1 bis 4 vorhanden ist oder  3. die Annahmen nach Absatz 1 Satz 3 nicht zutreffen.  Eine Eintragung durch die registerführende Stelle nach Absatz 1 wird nicht vorgenommen, wenn der Verein der registerführenden Stelle Angaben nach § 19 Absatz 1 zur Eintragung in das Transparenzregister mitgeteilt hat. Dies gilt nicht, wenn der Verein der registerführenden Stelle mitgeteilt hat, dass die mitgeteilten Angaben nach § 19 Absatz 1 nicht mehr gelten sollen. Die Mitteilung nach Satz 3 hat elektronisch über die Webseite des Transparenzregisters zu erfolgen. (3) Eine Eintragung nach Absatz 1 erfolgt erstmals spätestens zum 1. Januar 2023. Danach erfolgt die automatische Eintragung anlassbezogen. (4) Bei Eintragung nach Absatz 1 handelt die registerführende Stelle nach § 18 Absatz 2 im Rahmen der hoheitlichen Aufgaben des Bundes. Zu diesem Zweck ist die registerführende Stelle beim Abruf von Daten aus den Vereinsregistern von der Zahlung der Gebühren nach § 2 Absatz 1 des Justizverwaltungskostengesetzes befreit. § 21 Transparenzpflichten im Hinblick auf bestimmte Rechtsgestaltungen (1) Verwalter von Trusts (Trustees) mit Wohnsitz oder Sitz in Deutschland haben die in § 19 Absatz 1 aufgeführten Angaben zu den wirtschaftlich Berechtigten des Trusts, den sie verwalten, einzuholen, aufzubewahren, auf aktuellem Stand zu halten und der registerführenden Stelle unverzüglich zur Eintragung in das Transparenzregister mitzuteilen. Die Pflicht nach Satz 1 gilt auch für Trustees, die außerhalb der Europäischen Union ihren Wohnsitz oder Sitz haben, wenn sie für den Trust eine Geschäftsbeziehung mit einem Vertragspartner mit Sitz in Deutschland aufnehmen oder sich verpflichten, Eigentum an einer im Inland gelegenen Immobilie zu erwerben, wenn Anteile im Sinne des § 1 Absatz 3 des Grunderwerbsteuergesetzes sich bei ihr vereinigen oder auf sie übergehen, oder wenn sie im Sinne des § 1 Absatz 3a des Grunderwerbsteuergesetzes aufgrund eines Rechtsvorgangs eine wirtschaftliche Beteiligung innehaben. Die Pflicht nach Satz 1 gilt nicht für die in Satz 2 genannten Trustees, wenn ein Trustee die Angaben nach Artikel 1 Nummer 16 Buchstabe a der Richtlinie (EU) 2018/843 und nach § 19 Absatz 1 bereits an ein anderes Register eines Mitgliedstaates der Europäischen Union übermittelt hat und - Seite 34 von 77 - Ein Service des Bundesministeriums der Justiz sowie des Bundesamts für Justiz ‒ www.gesetze-im-internet.de 1. der Trustee in diesem Mitgliedstaat der Europäischen Union ebenfalls einen Wohnsitz oder Sitz unterhält oder  2. einer der Vertragspartner, zu dem ein Trust mit Wohnsitz oder Sitz außerhalb der Europäischen Union ebenfalls eine Geschäftsbeziehung unterhält, in diesem Mitgliedstaat seinen Sitz hat.  (1a) Die Mitteilung hat elektronisch in einer Form zu erfolgen, die ihre elektronische Zugänglichmachung ermöglicht. Der Trust ist in der Mitteilung eindeutig zu bezeichnen. Bei den Angaben zu Art und Umfang des wirtschaftlichen Interesses nach § 19 Absatz 1 Nummer 4 ist anzugeben, woraus nach § 19 Absatz 3 Nummer 2 die Stellung als wirtschaftlich Berechtigter folgt. (1b) Der registerführenden Stelle ist ferner durch den nach Absatz 1 zur Mitteilung Verpflichteten unverzüglich mitzuteilen, wenn der Trust 1. umbenannt wurde,  2. aufgelöst wurde oder  3. nicht mehr nach Absatz 1 verpflichtet ist.  (2) Die Pflichten der Absätze 1, 1a und 1b gelten entsprechend auch für Treuhänder mit Wohnsitz oder Sitz in Deutschland folgender Rechtsgestaltungen: 1. nichtrechtsfähige Stiftungen, wenn der Stiftungszweck aus Sicht des Stifters eigennützig ist, und  2. Rechtsgestaltungen, die solchen Stiftungen in ihrer Struktur oder Funktion entsprechen.  (3) Die Zentralstelle für Finanztransaktionsuntersuchungen und die Aufsichtsbehörden können im Rahmen ihrer Aufgaben und Befugnisse die von Trustees nach Absatz 1 und von Treuhändern nach Absatz 2 aufbewahrten Angaben einsehen oder sich vorlegen lassen. Die Angaben sind ihnen unverzüglich zur Verfügung zu stellen. (4) Das Bundesministerium der Finanzen wird ermächtigt, im Einvernehmen mit dem Bundesministerium der Justiz und für Verbraucherschutz durch Rechtsverordnung, die nicht der Zustimmung des Bundesrates bedarf, die Einzelheiten zu regeln, welche Trusts und trustähnlichen Rechtsgestaltungen von § 21 Absatz 1 und 2 erfasst sind und durch welche Merkmale sich diese auszeichnen. § 22 Zugängliche Dokumente und Datenübermittlung an das Transparenzregister, Verordnungsermächtigung (1) Über die Internetseite des Transparenzregisters sind nach Maßgabe des § 23 zugänglich: 1. Eintragungen im Transparenzregister zu Meldungen nach § 20 Absatz 1 Satz 1 und nach § 21 sowie Immobilien nach § 19a,  2. Bekanntmachungen des Bestehens einer Beteiligung nach § 20 Absatz 6 des Aktiengesetzes,  3. Stimmrechtsmitteilungen nach den §§ 40 und 41 des Wertpapierhandelsgesetzes,  4. Listen der Gesellschafter von Gesellschaften mit beschränkter Haftung und Unternehmergesellschaften nach § 8 Absatz 1 Nummer 3, § 40 des Gesetzes betreffend die Gesellschaften mit beschränkter Haftung sowie Gesellschafterverträge gemäß § 8 Absatz 1 Nummer 1 in Verbindung mit § 2 Absatz 1a Satz 2 des Gesetzes betreffend die Gesellschaften mit beschränkter Haftung, sofern diese als Gesellschafterliste gelten, nach § 2 Absatz 1a Satz 4 des Gesetzes betreffend die Gesellschaften mit beschränkter Haftung,  5. Eintragungen im Handelsregister,  6. Eintragungen im Partnerschaftsregister,  7. Eintragungen im Genossenschaftsregister,  8. Eintragungen im Vereinsregister,  9. Eintragungen in das Gesellschaftsregister.  Zugänglich in dem nach den besonderen registerrechtlichen Vorschriften für die Einsicht geregelten Umfang sind nur solche Dokumente und Eintragungen nach Satz 1 Nummer 2 bis 9, die aus dem Handelsregister, Genossenschaftsregister, Partnerschaftsregister, Unternehmensregister oder Vereinsregister elektronisch abrufbar sind. - Seite 35 von 77 - Ein Service des Bundesministeriums der Justiz sowie des Bundesamts für Justiz ‒ www.gesetze-im-internet.de (2) Um die Eröffnung des Zugangs zu den Originaldaten nach Absatz 1 Satz 1 Nummer 2 bis 9 über die Internetseite des Transparenzregisters zu ermöglichen, sind dem Transparenzregister die dafür erforderlichen Daten (Indexdaten) zu übermitteln. Der Betreiber des Unternehmensregisters übermittelt die Indexdaten zu den Originaldaten nach Absatz 1 Satz 1 Nummer 2 und 3 dem Transparenzregister. Die Landesjustizverwaltungen übermitteln die Indexdaten zu den Originaldaten nach Absatz 1 Satz 1 Nummer 4 bis 8 dem Transparenzregister. Die Indexdaten dienen nur der Zugangsvermittlung und dürfen nicht zugänglich gemacht werden. (3) Das Bundesministerium der Finanzen wird ermächtigt, im Benehmen mit dem Bundesministerium der Justiz und für Verbraucherschutz für die Datenübermittlung nach Absatz 2 Satz 3 durch Rechtsverordnung, die der Zustimmung des Bundesrates bedarf, technische Einzelheiten der Datenübermittlung zwischen den Behörden der Länder und dem Transparenzregister einschließlich der Vorgaben für die zu verwendenden Datenformate und zur Sicherstellung von Datenschutz und Datensicherheit zu regeln. Abweichungen von den Verfahrensregelungen durch Landesrecht sind ausgeschlossen. (4) Das Bundesministerium der Finanzen wird ermächtigt, im Benehmen mit dem Bundesministerium der Justiz und für Verbraucherschutz durch Rechtsverordnung, die nicht der Zustimmung des Bundesrates bedarf, Registrierungsverfahren für die Mitteilungsverpflichteten nach den §§ 20 und 21 sowie technische Einzelheiten der Datenübermittlung nach Absatz 2 Satz 2 sowie nach den §§ 20 und 21 einschließlich der Vorgaben für die zu verwendenden Datenformate und Formulare sowie zur Sicherstellung von Datenschutz und Datensicherheit zu regeln. § 23 Einsichtnahme in das Transparenzregister, Verordnungsermächtigung (1) Bei Vereinigungen nach § 20 Absatz 1 Satz 1 und Rechtsgestaltungen nach § 21 ist die Einsichtnahme gestattet: 1. den Behörden, Gerichten sowie den in § 2 Absatz 4 genannten Stellen, soweit die Einsichtnahme zur Erfüllung ihrer gesetzlichen Aufgaben erforderlich ist,  2. den Verpflichteten, sofern sie der registerführenden Stelle darlegen, dass die Einsichtnahme zur Erfüllung ihrer Sorgfaltspflichten in einem der in § 10 Absatz 3 und 3a genannten Fälle erfolgt, und  3. allen Mitgliedern der Öffentlichkeit.  In diesen Fällen ist die registerführende Stelle befugt, die zugänglichen Daten an den Einsichtnehmenden zu übermitteln. In den Fällen des Satzes 1 Nummer 1 und 2 übermittelt die registerführende Stelle neben den Angaben nach § 19 Absatz 1 auch die Eigentums- und Kontrollstrukturübersichten nach § 23a Absatz 3a, soweit diese zu den übermittelten Angaben nach § 19 Absatz 1 aufgrund einer abgeschlossenen Unstimmigkeitsmeldung vorhanden sind. Im Fall des Satzes 1 Nummer 3 sind neben den Angaben nach § 19 Absatz 1 Nummer 1 und 4 nur Monat und Jahr der Geburt des wirtschaftlich Berechtigten, sein Wohnsitzland und alle Staatsangehörigkeiten der Einsichtnahme zugänglich und dürfen übermittelt werden. Gegenüber den Behörden, Gerichten, den in § 2 Absatz 4 genannten Stellen und gegenüber Verpflichteten nach § 2 Absatz 1 Nummer 1 bis 3 und 7 sowie gegenüber Notaren sind zusätzlich die Angaben nach § 19a zu allen im Transparenzregister erfassten Immobilien der Einsichtnahme zugänglich und dürfen übermittelt werden. (2) Auf Antrag des wirtschaftlich Berechtigten beschränkt die registerführende Stelle die Einsichtnahme in das Transparenzregister und die Übermittlung der Daten nach § 19 Absatz 1 vollständig oder teilweise, wenn ihr der wirtschaftlich Berechtigte darlegt, dass der Einsichtnahme und der Übermittlung unter Berücksichtigung aller Umstände des Einzelfalls überwiegende schutzwürdige Interessen des wirtschaftlich Berechtigten entgegenstehen. Schutzwürdige Interessen liegen vor, wenn 1. Tatsachen die Annahme rechtfertigen, dass die Einsichtnahme und Übermittlung den wirtschaftlich Berechtigten der Gefahr aussetzen würde, Opfer einer der folgenden Straftaten zu werden: a) eines Betrugs (§ 263 des Strafgesetzbuchs),  b) eines erpresserischen Menschenraubs (§ 239a des Strafgesetzbuchs),  c) einer Geiselnahme (§ 239b des Strafgesetzbuchs),  d) einer Erpressung oder räuberischen Erpressung (§§ 253, 255 des Strafgesetzbuchs),  e) einer strafbaren Handlung gegen Leib oder Leben (§§ 211, 212, 223, 224, 226, 227 des Strafgesetzbuchs),  f) einer Nötigung (§ 240 des Strafgesetzbuchs),  - Seite 36 von 77 - Ein Service des Bundesministeriums der Justiz sowie des Bundesamts für Justiz ‒ www.gesetze-im-internet.de g) einer Bedrohung (§ 241 des Strafgesetzbuchs) oder  2. der wirtschaftlich Berechtigte minderjährig oder geschäftsunfähig ist.  Schutzwürdige Interessen des wirtschaftlich Berechtigten liegen nicht vor, wenn sich die Daten bereits aus den in § 22 Absatz 1 genannten Registern ergeben. Die Beschränkung der Einsichtnahme und Übermittlung nach Satz 1 ist nicht möglich gegenüber Behörden, Gerichten und den in § 2 Absatz 4 genannten Stellen, gegenüber Verpflichteten nach § 2 Absatz 1 Nummer 1 bis 3 und 7 sowie gegenüber Notaren. Die registerführende Stelle hat jährlich eine Statistik über die Anzahl der bewilligten Beschränkungen und darüber, ob die Beschränkungen nach Satz 2 Nummer 1 oder 2 erfolgt sind, zu erstellen, auf ihrer Internetseite zu veröffentlichen und an die Europäische Kommission zu übermitteln. (3) Behörden, Gerichte und die in § 2 Absatz 4 genannte Stellen sowie diejenigen in § 23 Absatz 1 Satz 1 Nummer 2 genannten Verpflichteten, gegenüber denen die Beschränkung der Einsichtnahme und Übermittlung nach § 23 Absatz 2 Satz 4 nicht möglich ist, können die Einsichtnahme mittels eines durch die registerführende Stelle geschaffenen und nach ihren Vorgaben ausgestalteten automatisierten Einsichtnahmeverfahrens durchführen. Die registerführende Stelle ist befugt, den in Satz 1 genannten Stellen die nach Maßgabe des Absatzes 1 zugänglichen Daten im automatisierten Verfahren zu übermitteln. Bestehen Zweifel daran, dass die Einsichtnahme zur Erfüllung der gesetzlichen Aufgaben einer Behörde, eines Gerichts oder einer in § 2 Absatz 4 genannten Stelle erforderlich ist oder zur Erfüllung der Sorgfaltspflicht eines Verpflichteten nach Satz 1 erfolgt, ist die registerführende Stelle berechtigt, die Verfahren nach den Sätzen 1 und 2 zu sperren. Sie kann die Behörde nach Satz 1 zur Bestätigung, dass die Einsichtnahme zur Erfüllung der gesetzlichen Aufgaben erforderlich ist, auffordern und den Verpflichteten nach Satz 1 dauerhaft auf das für alle Verpflichteten geltende Verfahren nach Absatz 1 verweisen. Die Bestätigung nach Satz 4 hat durch den Dienstvorgesetzten zu erfolgen. Die beteiligten Stellen haben zu gewährleisten, dass für Einsichtnahmen und Datenübermittlungen im automatisierten Verfahren die erforderlichen technischen und organisatorischen Maßnahmen nach den Artikeln 24, 25 und 32 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG zur Sicherstellung von Datenschutz und Datensicherheit getroffen werden, die insbesondere die Vertraulichkeit und Unversehrtheit der Daten gewährleisten. (4) Die Einsichtnahme ist nur nach vorheriger Online-Registrierung des Nutzers möglich und kann zum Zweck der Kontrolle, wer Einsicht genommen hat, protokolliert werden. Die registerführende Stelle ist nicht befugt, gegenüber Vereinigungen nach § 20 und Rechtsgestaltungen nach § 21 offenzulegen, wer Einsicht in die Angaben genommen hat, die die Vereinigungen und Rechtsgestaltungen zu ihren wirtschaftlich Berechtigten gemacht haben. (5) Das Transparenzregister erlaubt die Suche nach Vereinigungen nach § 20 Absatz 1 Satz 1 und Rechtsgestaltungen nach § 21 über alle eingestellten Daten sowie über sämtliche Indexdaten. (6) Die Einsichtnahme und Übermittlung der Daten aus dem Transparenzregister nach Absatz 1 Nummer 1 an einsichtnehmende Behörden, Gerichte und in § 2 Absatz 4 genannte Stellen erfolgt ausschließlich zum Zweck der Erfüllung der jeweiligen gesetzlichen Aufgabe. Die Einsichtnahme und Übermittlung der Daten aus dem Transparenzregister an einsichtnehmende Verpflichtete erfolgt ausschließlich zur Erfüllung der Sorgfaltspflichten des jeweiligen Verpflichteten. (7) Das Bundesministerium der Finanzen wird ermächtigt, durch Rechtsverordnung, die nicht der Zustimmung des Bundesrates bedarf, die Einzelheiten der Einsichtnahme, Datenübermittlung und Beschränkung, insbesondere der Online-Registrierung und der Protokollierung wie die zu protokollierenden Daten und die Löschungsfrist für die protokollierten Daten nach Absatz 3, der Darlegungsanforderungen für die Einsichtnahme und Übermittlung nach Absatz 1 Satz 1 Nummer 2 und 3 und der Darlegungsanforderungen für die Beschränkung der Einsichtnahme und Übermittlung nach Absatz 2 zu bestimmen. (8) Auf Antrag ist dem wirtschaftlich Berechtigten durch die registerführende Stelle Auskunft über die nach § 23 Absatz 1 Satz 1 Nummer 3 erfolgten Einsichtnahmen zu erteilen. Der wirtschaftlich Berechtigte hat bei Antragstellung die Vereinigung nach § 20 oder die Rechtsgestaltung nach § 21 anzugeben, für die eine Auskunft beantragt wird. Die Auskunft beinhaltet folgende Informationen: 1. die beauskunfteten personenbezogenen Daten des wirtschaftlich Berechtigten,  2. die monatsweise dargestellte Anzahl der seit der letzten Antragstellung erfolgten Einsichtnahmen,  3. der Zeitpunkt der jeweiligen Einsichtnahmen,  - Seite 37 von 77 - Ein Service des Bundesministeriums der Justiz sowie des Bundesamts für Justiz ‒ www.gesetze-im-internet.de 4. eine anonymisierte Auflistung der natürlichen Personen, die Einsicht genommen haben und  5. bei Einsichtnahme durch juristische Personen deren Bezeichnung.  Die beantragte Auskunft ist mindestens einmal im Kalenderjahr, höchstens jedoch einmal im Quartal zu erteilen. Der wirtschaftlich Berechtigte belegt im Rahmen der Antragstellung nach Satz 1 seine Identität und seine Stellung als wirtschaftlich Berechtigter der im Antrag in Bezug genommenen Vereinigung nach § 20 oder Rechtsgestaltung nach § 21 anhand geeigneter Nachweise. Geeignete Nachweise sind solche nach § 12. Die Antragstellung und Auskunftserteilung nach diesem Absatz ist ausschließlich über die Internetseite des Transparenzregisters nach den Vorgaben der registerführenden Stelle möglich. Fußnote (+++ § 23 Abs. 1 bis 3: Zur Anwendung vgl. § 26 Abs. 1 u. § 59 Abs. 3 +++) § 23a Meldung von Unstimmigkeiten an die registerführende Stelle (1) Verpflichtete nach § 23 Absatz 1 Satz 1 Nummer 2 haben der registerführenden Stelle Unstimmigkeiten unverzüglich zu melden, die sie zwischen den Angaben über die wirtschaftlich Berechtigten, die im Transparenzregister zugänglich sind, und den ihnen zur Verfügung stehenden Angaben und Erkenntnissen über die wirtschaftlich Berechtigten feststellen. § 43 Absatz 2 gilt entsprechend. Die Aufsichtsbehörden, die Behörde nach § 25 Absatz 6 und nach § 56 Absatz 5 Satz 2 sowie die Zentralstelle für Finanztransaktionsuntersuchungen trifft die Pflicht nach Satz 1, sofern dadurch die Aufgabenwahrnehmung der Behörden nicht beeinträchtigt wird. Eine Unstimmigkeit nach Satz 1 besteht, wenn Eintragungen nach § 20 Absatz 1 sowie nach § 21 Absatz 1 und 2 fehlen, einzelne Angaben zu den wirtschaftlich Berechtigten nach § 19 Absatz 1 abweichen oder wenn abweichende wirtschaftlich Berechtigte ermittelt wurden. Die der Unstimmigkeitsmeldung zugrunde liegende Ermittlung der wirtschaftlich Berechtigten hat nach den Vorgaben des § 3 zu erfolgen. (2) Die registerführende Stelle hat auf der Internetseite des Transparenzregisters deutlich sichtbar eine Vorkehrung einzurichten, über die Unstimmigkeitsmeldungen nach Absatz 1 abzugeben sind. (3) Die registerführende Stelle hat die Unstimmigkeitsmeldung nach Absatz 1 unverzüglich zu prüfen. Hierzu kann sie von dem Erstatter der Unstimmigkeitsmeldung, der betroffenen Vereinigung nach § 20 oder der Rechtsgestaltung nach § 21 die zur Aufklärung erforderlichen Informationen und Unterlagen verlangen. (3a) Im Rahmen der Prüfung der Unstimmigkeitsmeldung erstellt die registerführende Stelle auf Basis der in den anderen Registern vorhandenen Informationen sowie der aufgrund von Nachfragen nach Absatz 3 erhaltenen Informationen und Unterlagen Eigentums- und Kontrollstrukturübersichten der betroffenen Vereinigung nach § 20 oder der Rechtsgestaltung nach § 21, soweit dies im Einzelfall zur Prüfung der Unstimmigkeitsmeldung erforderlich ist. Sie hat diese Übersichten bis zum Ablauf von zwei Jahren nach der Auflösung der Vereinigung nach § 20 und der Rechtsgestaltung nach § 21 aufzubewahren und danach zu löschen. Die Eigentums- und Kontrollstrukturübersicht wird nicht Teil der Eintragung im Transparenzregister. Die Eigentums- und Kontrollstrukturübersichten sollen den Stand wiedergeben, der zum Abschluss der Prüfung der Unstimmigkeitsmeldung vorgelegen hat. (4) Die registerführende Stelle übergibt die Unstimmigkeitsmeldung mit allen erforderlichen Unterlagen der Behörde nach § 56 Absatz 5 Satz 2 im Rahmen ihrer Zuständigkeit für die Verfolgung von Ordnungswidrigkeiten nach § 56 Absatz 1 Satz 1 Nummer 54 bis 66, wenn 1. sie zu der Erkenntnis gelangt, dass die im Transparenzregister enthaltenen Angaben zum wirtschaftlich Berechtigten nicht zutreffend sind oder  2. sie die Prüfung der Unstimmigkeitsmeldung aufgrund unklarer Sachlage nicht abschließen konnte.  (5) Die registerführende Stelle hat dem Erstatter der Unstimmigkeitsmeldung die von ihr ermittelten Angaben zum wirtschaftlich Berechtigten im Sinne des § 19 Absatz 1 nach Abschluss der Prüfung unverzüglich zu übermitteln. Dabei werden auch die Eigentums- und Kontrollstrukturübersichten nach Absatz 3a an den Erstatter der Meldung übermittelt. Die Eigentums- und Kontrollstrukturübersichten dürfen durch den Erstatter ausschließlich im Rahmen der Erfüllung eigener Sorgfaltspflichten verwendet und nicht weitergegeben werden. Das Verfahren zur Prüfung der Unstimmigkeitsmeldung gilt als abgeschlossen, wenn die registerführende Stelle oder die Behörde nach § 56 Absatz 5 Satz 2 aufgrund der nach Absatz 3 erlangten Erkenntnisse oder aufgrund einer neuen oder berichtigenden Mitteilung der Vereinigung nach § 20 oder der Rechtsgestaltung nach § 21, die Gegenstand der Unstimmigkeitsmeldung ist, zu dem Ergebnis gekommen ist, dass die Unstimmigkeit ausgeräumt ist. - Seite 38 von 77 - Ein Service des Bundesministeriums der Justiz sowie des Bundesamts für Justiz ‒ www.gesetze-im-internet.de (6) Nach Eingang der Unstimmigkeitsmeldung nach Absatz 1 hat die registerführende Stelle auf dem Registerauszug sichtbar zu vermerken, dass die Angaben zu den wirtschaftlich Berechtigten der Vereinigung nach § 20 oder der Rechtsgestaltung nach § 21 der Prüfung unterliegen. Der Abschluss des Verfahrens zur Prüfung der Unstimmigkeitsmeldung ist auf dem Registerauszug zu vermerken. § 24 Gebühren und Auslagen, Verordnungsermächtigung (1) Für die Führung des Transparenzregisters erhebt die registerführende Stelle von Vereinigungen nach § 20 und von Rechtsgestaltungen nach § 21 Gebühren. Dies gilt auf Antrag nicht für Vereinigungen nach § 20, die einen steuerbegünstigten Zweck im Sinne der §§ 52 bis 54 der Abgabenordnung verfolgen und dies mittels einer Bescheinigung des zuständigen Finanzamtes gegenüber der registerführenden Stelle nachweisen. Ein Nachweis nach Satz 2 ist nicht erforderlich, wenn im Antrag die Verfolgung der nach den §§ 52 bis 54 der Abgabenordnung steuerbegünstigten Zwecke versichert und das Einverständnis darüber erklärt werden, dass die registerführende Stelle beim zuständigen Finanzamt eine Bestätigung der Verfolgung dieser steuerbegünstigten Zwecke einholen darf. Die registerführende Stelle erhebt keine Gebühren von Vereinigungen nach § 20, wenn sich die Verfolgung der nach den §§ 52 bis 54 der Abgabenordnung steuerbegünstigten Zwecke unmittelbar aus dem Zuwendungsempfängerregister nach § 60b der Abgabenordnung ergibt. Die durch die Gebührenbefreiung entstehenden Mindereinnahmen werden der registerführenden Stelle durch den Bund erstattet. (2) Für die Einsichtnahme in die dem Transparenzregister nach § 20 Absatz 1 und § 21 mitgeteilten Daten und deren Übermittlung erhebt die registerführende Stelle zur Deckung des Verwaltungsaufwands Gebühren und Auslagen. Dasselbe gilt für die Erstellung von Ausdrucken, Bestätigungen und Beglaubigungen nach § 18 Absatz 4. Behörden, Gerichte und die in § 2 Absatz 4 genannte Stellen haben keine Gebühren und Auslagen nach den Sätzen 1 und 2 zu entrichten. § 8 Absatz 2 Satz 1 des Bundesgebührengesetzes ist nicht anzuwenden. (2a) Für die Registrierung und Identifizierung von wirtschaftlich Berechtigten im Zusammenhang mit einem Antrag nach § 23 Absatz 6 erhebt die registerführende Stelle zur Deckung des Verwaltungsaufwands Gebühren und Auslagen von den Antragstellern nach § 23 Absatz 6. (3) Das Bundesministerium der Finanzen wird ermächtigt, durch Rechtsverordnung, die nicht der Zustimmung des Bundesrates bedarf, Einzelheiten zu Folgendem näher zu regeln: 1. die gebührenpflichtigen Tatbestände,  2. die Gebührenschuldner,  3. die Gebührensätze nach festen Sätzen oder als Rahmengebühren,  4. die Auslagenerstattung und  5. das Verfahren für eine Gebührenbefreiung nach Absatz 1 Satz 2.  § 25 Übertragung der Führung des Transparenzregisters, Verordnungsermächtigung (1) Das Bundesministerium der Finanzen wird ermächtigt, durch Rechtsverordnung, die nicht der Zustimmung des Bundesrates bedarf, eine juristische Person des Privatrechts mit den Aufgaben der registerführenden Stelle und mit den hierfür erforderlichen Befugnissen zu beleihen. (2) Eine juristische Person des Privatrechts darf nur beliehen werden, wenn sie die Gewähr für die ordnungsgemäße Erfüllung der ihr übertragenen Aufgaben, insbesondere für den langfristigen und sicheren Betrieb des Transparenzregisters, bietet. Sie bietet die notwendige Gewähr, wenn 1. die natürlichen Personen, die nach Gesetz, dem Gesellschaftsvertrag oder der Satzung die Geschäftsführung und Vertretung ausüben, zuverlässig und fachlich geeignet sind,  2. sie grundlegende Erfahrungen mit der Zugänglichmachung von registerrechtlichen Informationen, insbesondere von Handelsregisterdaten, Gesellschaftsbekanntmachungen und kapitalmarktrechtlichen Informationen, hat,  3. sie die zur Erfüllung ihrer Aufgaben notwendige Organisation sowie technische und finanzielle Ausstattung hat und  4. sie sicherstellt, dass sie die Vorschriften zum Schutz personenbezogener Daten einhält.  - Seite 39 von 77 - Ein Service des Bundesministeriums der Justiz sowie des Bundesamts für Justiz ‒ www.gesetze-im-internet.de (3) Die Dauer der Beleihung ist zu befristen. Sie soll fünf Jahre nicht unterschreiten. Die Möglichkeit, bei Vorliegen eines wichtigen Grundes die Beleihung vor Ablauf der Frist zu beenden, ist vorzusehen. Haben die Voraussetzungen für die Beleihung nicht vorgelegen oder sind sie nachträglich entfallen, soll die Beleihung jederzeit beendet werden können. Es ist sicherzustellen, dass mit Beendigung der Beleihung dem Bundesministerium der Finanzen oder einer von ihm bestimmten Stelle alle für den ordnungsgemäßen Weiterbetrieb des Transparenzregisters erforderlichen Softwareprogramme und Daten unverzüglich zur Verfügung gestellt werden und die Rechte an diesen Softwareprogrammen und an der für das Transparenzregister genutzten Internetadresse übertragen werden. (4) Der Beliehene ist berechtigt, das kleine Bundessiegel zu führen. Es wird vom Bundesministerium der Finanzen zur Verfügung gestellt. Das kleine Bundessiegel darf ausschließlich zur Beglaubigung von Ausdrucken aus dem Transparenzregister und zu Bestätigungen nach § 18 Absatz 4 genutzt werden. (5) Der Beliehene ist befugt, die Gebühren nach § 24 zu erheben. Das Gebührenaufkommen steht ihm zu. In der Rechtsverordnung kann das Bundesministerium der Finanzen die Vollstreckung der Gebührenbescheide dem Beliehenen übertragen sowie die Ausgestaltung der Erstattung nach § 24 Absatz 1 Satz 5 näher regeln. (6) Der Beliehene untersteht der Rechts- und Fachaufsicht durch das Bundesverwaltungsamt. Das Bundesverwaltungsamt kann sich zur Wahrnehmung seiner Aufsichtstätigkeit jederzeit über die Angelegenheiten des Beliehenen unterrichten, insbesondere durch Einholung von Auskünften und Berichten sowie durch das Verlangen nach Vorlage von Aufzeichnungen aller Art, rechtswidrige Maßnahmen beanstanden sowie entsprechende Abhilfe verlangen. Der Beliehene ist verpflichtet, den Weisungen des Bundesverwaltungsamts nachzukommen. Dieses kann, wenn der Beliehene den Weisungen nicht oder nicht fristgerecht nachkommt, die erforderlichen Maßnahmen an Stelle und auf Kosten des Beliehenen selbst durchführen oder durch einen anderen durchführen lassen. Die Bediensteten und sonstigen Beauftragten des Bundesverwaltungsamts sind befugt, zu den Betriebs- und Geschäftszeiten Betriebsstätten, Geschäfts- und Betriebsräume des Beliehenen zu betreten, zu besichtigen und zu prüfen, soweit dies zur Erfüllung ihrer Aufgaben erforderlich ist. Gegenstände oder geschäftliche Unterlagen können im erforderlichen Umfang eingesehen und in Verwahrung genommen werden. (7) Für den Fall, dass keine juristische Person des Privatrechts beliehen wird, oder für den Fall, dass die Beleihung beendet wird, kann das Bundesministerium der Finanzen die Führung des Transparenzregisters auf eine Bundesoberbehörde in seinem Geschäftsbereich oder im Einvernehmen mit dem zuständigen Bundesministerium auf eine Bundesoberbehörde in dessen Geschäftsbereich übertragen. § 26 Europäisches System der Registervernetzung, Verordnungsermächtigung (1) Die in § 22 Absatz 1 Satz 1 Nummer 1 aufgeführten Daten sind, sofern sie Vereinigungen nach § 20 sowie Rechtsgestaltungen nach § 21 betreffen, über die durch Artikel 22 Absatz 1 der Richtlinie (EU) 2017/1132 des Europäischen Parlaments und des Rates vom 14. Juni 2017 über bestimmte Aspekte des Gesellschaftsrechts geschaffene zentrale Europäische Plattform zugänglich. § 23 Absatz 1 bis 3 gilt entsprechend. Zur Zugänglichmachung über die zentrale Europäische Plattform übermittelt die registerführende Stelle die dem Transparenzregister nach § 20 Absatz 1 und § 21 mitgeteilten Daten sowie die nach Maßgabe der von der Europäischen Kommission gemäß Artikel 31a der Richtlinie (EU) 2018/843 erlassenen Durchführungsakte erforderlichen Daten sowie die Indexdaten nach § 22 Absatz 2 an die zentrale Europäische Plattform nach Artikel 22 Absatz 1 der Richtlinie (EU) 2017/1132 und Artikel 4a Absatz 1 der Richtlinie 2009/101/EG des Europäischen Parlaments und des Rates vom 16. September 2009 zur Koordinierung der Schutzbestimmungen, die in den Mitgliedstaaten den Gesellschaften im Sinne des Artikels 48 Absatz 2 des Vertrags im Interesse der Gesellschafter sowie Dritter vorgeschrieben sind, um diese Bestimmungen gleichwertig zu gestalten (ABl. L 258 vom 1.10.2009, S. 11), die zuletzt durch die Richtlinie 2013/24/EU (ABl. L 158 vom 10.6.2013, S. 365) geändert worden ist, sofern die Übermittlung für die Eröffnung eines Zugangs zu den Originaldaten über den Suchdienst auf der Internetseite der zentralen Europäischen Plattform erforderlich ist. (2) Das Transparenzregister ist mit den Registern anderer Mitgliedstaaten der Europäischen Union im Sinne von Artikel 22 Absatz 2 der Richtlinie (EU) 2017/1132 über die durch Artikel 22 Absatz 1 der Richtlinie (EU) 2017/1132 geschaffene zentrale Europäische Plattform zu vernetzen. Die Vernetzung der Register der Mitgliedstaaten über die Plattform erfolgt nach Maßgabe der technischen Spezifikationen und Verfahren, die durch von der Europäischen Kommission gemäß Artikel 24 der Richtlinie (EU) 2017/1132 und Artikel 1 Nummer 17 der Richtlinie (EU) 2018/843 erlassene Durchführungsrechtsakte festgelegt werden. - Seite 40 von 77 - Ein Service des Bundesministeriums der Justiz sowie des Bundesamts für Justiz ‒ www.gesetze-im-internet.de (3) Daten nach § 22 Absatz 1 Satz 1, soweit sie Vereinigungen nach § 20 oder Rechtsgestaltungen nach § 21 betreffen, sind nach Abschluss der Abwicklung und, soweit sie registerlich geführt sind, nach Löschung im Register der juristischen Personen des Privatrechts, eingetragenen Personengesellschaften oder Rechtsgestaltungen noch für einen Zeitraum von mindestens fünf und höchstens zehn Jahren über das Transparenzregister und die durch Artikel 22 Absatz 1 der Richtlinie (EU) 2017/1132 geschaffene zentrale Europäische Plattform zugänglich. (4) Das Bundesministerium der Finanzen wird im Benehmen mit dem Bundesministerium der Justiz und für Verbraucherschutz ermächtigt, durch Rechtsverordnung, die der Zustimmung des Bundesrates bedarf, die erforderlichen Bestimmungen über die Einzelheiten des elektronischen Datenverkehrs und seiner Abwicklung nach Absatz 1 einschließlich Vorgaben über Datenformate und Zahlungsmodalitäten zu treffen, soweit keine Regelungen in den von der Europäischen Kommission gemäß Artikel 24 der Richtlinie (EU) 2017/1132 und Artikel 31a der Richtlinie (EU) 2018/843 erlassenen Durchführungsrechtsakten enthalten sind. § 26a Abruf durch bestimmte Behörden (1) Die registerführende Stelle übermittelt die erforderlichen Informationen aus dem Transparenzregister an 1. die Zentralstelle für Finanztransaktionsuntersuchungen für Zwecke nach § 28 Absatz 1 Satz 3 Nummer 2, 4 und 8,  2. die Strafverfolgungsbehörden für ihre Aufgabenerfüllung,  3. die Aufsichtsbehörden, soweit dies im Einzelfall für die Erfüllung ihrer Aufgaben nach § 51 erforderlich ist,  4. das Bundeszentralamt für Steuern und die örtlichen Finanzbehörden nach § 6 Absatz 2 Nummer 5 der Abgabenordnung, soweit dies im Einzelfall für die Erfüllung ihrer jeweiligen Aufgaben erforderlich ist,  5. die Verfassungsschutzbehörden des Bundes und der Länder, soweit dies im Einzelfall zur Erfüllung ihrer Aufgaben erforderlich ist,  6. das Zollkriminalamt, soweit dies im Einzelfall zur Erfüllung seiner Aufgaben nach § 4 Absatz 2 und 3 des Zollfahndungsdienstgesetzes erforderlich ist,  7. die nach § 13 des Außenwirtschaftsgesetzes zuständigen Behörden, soweit dies im Einzelfall zur Erfüllung ihrer Aufgaben erforderlich ist,  8. den Bundesnachrichtendienst, soweit dies erforderlich ist a) zur politischen Unterrichtung der Bundesregierung, wenn durch die Auskunft Informationen über das Ausland gewonnen werden können, die von außen- und sicherheitspolitischer Bedeutung für die Bundesrepublik Deutschland sind und zu deren Aufklärung das Bundeskanzleramt den Bundesnachrichtendienst beauftragt hat, oder  b) zur Früherkennung von aus dem Ausland drohenden Gefahren von internationaler Bedeutung, wenn durch die Auskunft Erkenntnisse gewonnen werden können mit Bezug zu den in § 4 Absatz 3 Nummer 1 des BND-Gesetzes genannten Gefahrenbereichen oder zum Schutz der in § 4 Absatz 3 Nummer 2 und 3 des BND-Gesetzes genannten Rechtsgüter,  9. die Zentralstelle für Sanktionsdurchsetzung, soweit dies im Einzelfall zur Erfüllung ihrer Aufgaben erforderlich ist.  (2) Die Übermittlung erfolgt im Wege des automatisierten Abrufs. Die registerführende Stelle richtet für Abfragen nach Absatz 1 einen nach den Vorgaben der registerführenden Stelle ausgestalteten automatisierten Zugriff auf die im Transparenzregister gespeicherten Daten ein, der auch die Suche nach 1. wirtschaftlich Berechtigten einer Vereinigung nach § 20 oder einer Rechtsgestaltung nach § 21 über die Angaben „Name“ und „Vorname“ sowie zusätzlich „Geburtsdatum“, „Wohnort“ oder „Staatsangehörigkeit“ des wirtschaftlich Berechtigten oder  2. Immobilien über alle Angaben nach § 19a  erlaubt. § 23 bleibt unberührt. (3) Die beteiligten Stellen haben zu gewährleisten, dass für Abfragen nach Absatz 1 dem jeweiligen Stand der Technik entsprechende Maßnahmen zur Sicherstellung von Datenschutz und Datensicherheit getroffen werden, die insbesondere die Vertraulichkeit und Unversehrtheit der Daten gewährleisten. - Seite 41 von 77 - Ein Service des Bundesministeriums der Justiz sowie des Bundesamts für Justiz ‒ www.gesetze-im-internet.de Abschnitt 5 Zentralstelle für Finanztransaktionsuntersuchungen § 27 Zentrale Meldestelle (1) Zentrale Meldestelle zur Verhinderung, Aufdeckung und Unterstützung bei der Bekämpfung von Geldwäsche und Terrorismusfinanzierung nach Artikel 32 Absatz 1 der Richtlinie (EU) 2015/849 ist die Zentralstelle für Finanztransaktionsuntersuchungen. (2) Die Zentralstelle für Finanztransaktionsuntersuchungen ist organisatorisch eigenständig und arbeitet im Rahmen ihrer Aufgaben und Befugnisse fachlich unabhängig. § 28 Aufgaben, Aufsicht und Zusammenarbeit (1) Die Zentralstelle für Finanztransaktionsuntersuchungen hat die Aufgabe der Erhebung und Analyse von Informationen im Zusammenhang mit Geldwäsche oder Terrorismusfinanzierung und der Weitergabe dieser Informationen an die zuständigen inländischen öffentlichen Stellen zum Zwecke der Aufklärung, Verhinderung oder Verfolgung solcher Taten. Bei der Wahrnehmung ihrer Aufgaben folgt die Zentralstelle für Finanztransaktionsuntersuchungen einem risikobasierten Ansatz. Ihr obliegen in diesem Zusammenhang: 1. die Entgegennahme und Sammlung von Meldungen nach diesem Gesetz,  2. die Durchführung von operativen Analysen einschließlich der Bewertung von Meldungen und sonstigen Informationen,  3. der Informationsaustausch und die Koordinierung mit inländischen Aufsichtsbehörden,  4. die Zusammenarbeit und der Informationsaustausch mit zentralen Meldestellen anderer Staaten,  5. die Untersagung von Transaktionen und die Anordnung von sonstigen Sofortmaßnahmen,  6. die Übermittlung der sie betreffenden Ergebnisse der operativen Analyse nach Nummer 2 und zusätzlicher relevanter Informationen an die zuständigen inländischen öffentlichen Stellen,  7. die Rückmeldung an den Verpflichteten, der eine Meldung nach § 43 Absatz 1 abgegeben hat,  8. die Durchführung von strategischen Analysen und Erstellung von Berichten aufgrund dieser Analysen,  9. der Austausch mit den Verpflichteten sowie mit den inländischen Aufsichtsbehörden und für die Aufklärung, Verhinderung oder Verfolgung der Geldwäsche und der Terrorismusfinanzierung zuständigen inländischen öffentlichen Stellen insbesondere über entsprechende Typologien und Methoden,  10. die Erstellung von Statistiken zu den in Artikel 44 Absatz 2 der Richtlinie (EU) 2015/849 genannten Zahlen und Angaben und die Veröffentlichung einer konsolidierten Statistik auf Jahresbasis in einem Jahresbericht,  11. die Veröffentlichung eines Jahresberichts über die erfolgten operativen Analysen,  12. die Teilnahme an Treffen nationaler und internationaler Arbeitsgruppen und  13. die Wahrnehmung der Aufgaben, die ihr darüber hinaus nach anderen Bestimmungen übertragen worden sind.  (1a) Bei Erfüllung der ihr nach Absatz 1 Satz 1 übertragenen Aufgabe wirkt die Zentralstelle für Finanztransaktionsuntersuchungen auch an der Feststellung von Geldern und wirtschaftlichen Ressourcen bestimmter Personen oder Personengesellschaften mit, die aufgrund eines im Amtsblatt der Europäischen Gemeinschaften oder der Europäischen Union veröffentlichten unmittelbar geltenden Rechtsaktes der Europäischen Gemeinschaften oder der Europäischen Union, die der Durchführung einer vom Rat der Europäischen Union im Bereich der Gemeinsamen Außen- und Sicherheitspolitik beschlossenen wirtschaftlichen Sanktionsmaßnahme dient, einer Verfügungsbeschränkung unterliegen. Absatz 1 Satz 2 gilt entsprechend. (2) Die Zentralstelle für Finanztransaktionsuntersuchungen untersteht der Aufsicht des Bundesministeriums der Finanzen. Bei der Wahrnehmung der Aufsicht ist die fachliche Unabhängigkeit der Zentralstelle für Finanztransaktionsuntersuchungen nach § 27 Absatz 2 zu berücksichtigen. In den Fällen des Absatzes 1 Satz 3 Nummer 1, 2, 5 und 6 ist die Aufsicht auf die Rechtsaufsicht beschränkt. (3) Die Zentralstelle für Finanztransaktionsuntersuchungen sowie die sonstigen für die Aufklärung, Verhütung und Verfolgung der Geldwäsche, Terrorismusfinanzierung und sonstiger Straftaten sowie die zur Gefahrenabwehr - Seite 42 von 77 - Ein Service des Bundesministeriums der Justiz sowie des Bundesamts für Justiz ‒ www.gesetze-im-internet.de zuständigen inländischen öffentlichen Stellen und die inländischen Aufsichtsbehörden arbeiten zur Durchführung dieses Gesetzes zusammen und unterstützen sich gegenseitig. (4) Die Zentralstelle für Finanztransaktionsuntersuchungen informiert, soweit erforderlich, die für das Besteuerungsverfahren oder den Schutz der sozialen Sicherungssysteme zuständigen Behörden über Sachverhalte, die ihr bei der Wahrnehmung ihrer Aufgaben bekannt werden und die sie nicht an eine andere zuständige staatliche Stelle übermittelt hat. § 28a Unterrichtung des Deutschen Bundestages (1) Das Bundesministerium der Finanzen unterrichtet in Abständen von höchstens sechs Monaten ein Gremium des Deutschen Bundestages über die Erfüllung der Aufgaben der Zentralstelle für Finanztransaktionsuntersuchungen gemäß § 28 Absatz 1 und 1a. (2) Der Deutsche Bundestag bestimmt die Zahl der Mitglieder, die Zusammensetzung und die Arbeitsweise des Gremiums. Das Bundesministerium der Finanzen und die Zentralstelle für Finanztransaktionsuntersuchungen sind ständig vertreten. Das Gremium beschließt anlassbezogen über die Hinzuziehung weiterer Stellen, soweit deren gesetzliche Zuständigkeiten betroffen sind. (3) Die Mitglieder des Gremiums sind zur Geheimhaltung aller Angelegenheiten verpflichtet, die ihnen bei ihrer Tätigkeit bekannt geworden sind. Dies gilt auch für die Vertreterinnen und Vertreter der hinzugezogenen weiteren Stellen. § 29 Verarbeitung personenbezogener Daten durch die Zentralstelle für Finanztransaktionsuntersuchungen (1) Die Zentralstelle für Finanztransaktionsuntersuchungen darf personenbezogene Daten verarbeiten, die aufgrund dieses Gesetzes übermittelt, erhoben oder abgefragt werden, soweit dies zur Erfüllung ihrer Aufgaben erforderlich ist. (2) Die Zentralstelle für Finanztransaktionsuntersuchungen darf personenbezogene Daten, die sie zur Erfüllung ihrer Aufgaben gespeichert hat, mit anderen Daten abgleichen, wenn dies nach diesem Gesetz oder nach einem anderen Gesetz zulässig ist. (2a) Die Zentralstelle für Finanztransaktionsuntersuchungen darf bei der Verarbeitung personenbezogener Daten nach Absatz 1 und beim Abgleich dieser personenbezogenen Daten mit anderen Daten nach Absatz 2 automatisierte Anwendungen zur Datenanalyse einsetzen 1. zur Risikobewertung nach § 30 Absatz 2 Satz 3,  2. bei der operativen Analyse nach § 28 Absatz 1 Satz 3 Nummer 2 und  3. bei der strategischen Analyse nach § 28 Absatz 1 Satz 3 Nummer 8  von Meldungen und sonstigen Informationen nach diesem Gesetz. Folgende personenbezogene Daten dürfen in automatisierten Anwendungen zur Datenanalyse nach Satz 1 nicht verarbeitet werden: 1. Daten, die ursprünglich durch den Bundesnachrichtendienst, das Bundesamt für Verfassungsschutz, die Verfassungsschutzbehörden der Länder oder den Militärischen Abschirmdienst erhoben wurden;  2. Daten, die durch eine Maßnahme nach den §§ 100a, 100b, 100c, 100f, 100g, 100h, 100i, 100k Absatz 1 Satz 2, den §§ 110a, 163f der Strafprozessordnung oder aus vergleichbar schwerwiegenden Eingriffen in die informationelle Selbstbestimmung gewonnen wurden;  3. biometrische Daten.  Folgende Datenarten dürfen mittels einer automatisierten Anwendung zur Datenanalyse verarbeitet werden: der Familienname, die Vornamen, frühere Namen, andere Namen, Aliaspersonalien, abweichende Namensschreibweisen, Name der juristischen Person, das Geschlecht, das Geburtsdatum, der Geburtsort, der Geburtsstaat, der Familienstand, die aktuellen und bisherigen Staatsangehörigkeiten, die gegenwärtigen und bisherigen Anschriften, die Nummer eines Legitimationsdokumentes einschließlich der ausstellenden öffentlichen Stelle, eigene oder jeweils genutzte Telekommunikationsanschlüsse sowie Adressen für elektronische Post, elektronische Adressen für neue Zahlungsmethoden (Wallet-Adressen), sonstige Angaben zur beruflichen Erreichbarkeit und Daten über die Geschäftsbeziehung gemäß § 1 Absatz 4 einer Person mit einem Verpflichteten nach § 2, insbesondere Daten eines bei einem Verpflichteten geführten Kontos. Personenbezogene Daten aus allgemein zugänglichen Quellen dürfen nicht automatisiert in die Verarbeitung personenbezogener Daten in automatisierten Anwendungen zur Datenanalyse einbezogen werden. - Seite 43 von 77 - Ein Service des Bundesministeriums der Justiz sowie des Bundesamts für Justiz ‒ www.gesetze-im-internet.de (2b) Durch den Einsatz automatisierter Anwendungen zur Datenanalyse nach Absatz 2a können Meldungen und sonstige Informationen im Datenbestand der Zentralstelle für Finanztransaktionsuntersuchungen dahingehend bewertet und identifiziert werden, ob relevante Anhaltspunkte bestehen, dass ein Vermögensgegenstand mit Geldwäsche, mit Terrorismusfinanzierung oder mit einer sonstigen Straftat im Zusammenhang steht. Hierzu können Beziehungen zwischen Personen, Personengruppierungen, Institutionen, Organisationen, Objekten und Sachen hergestellt, unbedeutende Informationen und Erkenntnisse ausgeschlossen und die eingehenden Erkenntnisse bekannten Sachverhalten zugeordnet werden. Hierzu werden die von den Verpflichteten bei der Abgabe einer Meldung anzugebenden Informationen und sonstige Informationen im Datenbestand der Zentralstelle für Finanztransaktionsuntersuchungen mit den Parametern für die Risikobewertung nach § 30 Absatz 2 Satz 2 bis 8 oder Parametern für die operative und strategische Analyse automatisiert auf Beziehungen und mögliche Übereinstimmungen abgeglichen. Selbstlernende und automatisierte Systeme, die eigenständig Gefährlichkeitsaussagen über Personen treffen können, sind unzulässig. (2c) Die Zentralstelle für Finanztransaktionsuntersuchungen darf zur Erfüllung ihrer Aufgaben nach diesem Gesetz Informationen nach § 28 Absatz 1 Satz 3 Nummer 2 erheben, verarbeiten und mit anderen Daten abgleichen. (3) Die Zentralstelle für Finanztransaktionsuntersuchungen darf personenbezogene Daten, die bei ihr vorhanden sind, zu Fortbildungszwecken oder zu statistischen Zwecken verarbeiten, soweit eine Verarbeitung anonymisierter Daten zu diesen Zwecken nicht möglich ist. (4) Die Zentralstelle für Finanztransaktionsuntersuchungen darf personenbezogene Daten, die bei ihr vorhanden sind, verarbeiten, um den Einsatz automatisierter Anwendungen zur Datenanalyse vorzubereiten, die sie zur Erfüllung ihrer Aufgaben nach diesem Gesetz einsetzt. (5) Die Zentralstelle für Finanztransaktionsuntersuchungen stellt durch organisatorische und technische Maßnahmen sicher, dass Daten nur gemäß ihrer rechtlichen Verwendbarkeit verarbeitet werden. Hierbei sind auch Begrenzungen der Zugriffsmöglichkeiten auf die automatisierten Anwendungen zur Datenanalyse vorzusehen. (6) Die Zentralstelle für Finanztransaktionsuntersuchungen stellt durch Schulungen sicher, dass das eingesetzte Personal mit den geltenden europäischen und nationalen Datenschutzbestimmungen vertraut ist. (7) Die oder der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit führt mindestens alle zwei Jahre Kontrollen der Datenverarbeitung im Zusammenhang mit der Verarbeitung von personenbezogenen Daten nach Absatz 1 durch. Diese Kontrollen erfolgen unbeschadet ihrer oder seiner in § 14 des Bundesdatenschutzgesetzes genannten Aufgaben. (8) Sofern die oder der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Verstöße nach § 16 Absatz 2 des Bundesdatenschutzgesetzes beanstandet hat, kann sie oder er geeignete Maßnahmen anordnen, wenn dies zur Beseitigung eines erheblichen Verstoßes gegen datenschutzrechtliche Vorschriften erforderlich ist. § 30 Analyse von Meldungen und Informationen (1) Die Zentralstelle für Finanztransaktionsuntersuchungen hat zur Erfüllung ihrer Aufgaben folgende Meldungen und Informationen entgegenzunehmen und zu verarbeiten: 1. Meldungen von Verpflichteten nach § 43 sowie Meldungen von Aufsichtsbehörden nach § 44,  2. Mitteilungen von Finanzbehörden nach § 31b der Abgabenordnung,  3. Informationen, die ihr übermittelt werden a) nach Artikel 5 Absatz 1 der Verordnung (EG) Nr. 1889/2005 des Europäischen Parlaments und des Rates vom 26. Oktober 2005 über die Überwachung von Barmitteln, die in die Gemeinschaft oder aus der Gemeinschaft verbracht werden (ABl. L 309 vom 25.11.2005, S. 9), und  b) nach § 12a des Zollverwaltungsgesetzes, und  4. sonstige Informationen aus öffentlichen und nicht öffentlichen Quellen im Rahmen ihres Aufgabenbereiches.  (2) Die Zentralstelle für Finanztransaktionsuntersuchungen analysiert verdächtige Transaktionen und sonstige Informationen, die im Hinblick auf Geldwäsche, damit zusammenhängende Vortaten oder Terrorismusfinanzierung von Belang sind, mit dem Ziel der Verhinderung, Aufdeckung und Unterstützung bei der Bekämpfung - Seite 44 von 77 - Ein Service des Bundesministeriums der Justiz sowie des Bundesamts für Justiz ‒ www.gesetze-im-internet.de von Geldwäsche und Terrorismusfinanzierung. Art und Umfang der Analyse haben sich am Risiko der Geldwäsche oder Terrorismusfinanzierung zu orientieren. Für die risikogerechte Identifikation relevanter Meldungen und Informationen kann die Zentralstelle für Finanztransaktionsuntersuchungen automatisierte Anwendungen zur Datenanalyse nach § 29 Absatz 2a (Risikobewertungssysteme) einsetzen. Dabei soll auch der Grundsatz der Wirtschaftlichkeit der Verwaltung berücksichtigt werden. Die Übermittlung von Sachverhalten nach § 32 Absatz 2 Satz 1 wird durch einen Amtsträger veranlasst. Die Risikobewertungssysteme sind regelmäßig auf ihre Zielerfüllung einschließlich einer Zufallsauswahl zu überprüfen. Die Zentralstelle für Finanztransaktionsuntersuchungen legt die Parameter der Prüfung in automatisierten Anwendungen zur Datenanalyse nach § 29 Absatz 2a Satz 1 Nummer 1 im Benehmen mit Vertretern der Strafverfolgungsbehörden, des Bundesamtes für Verfassungsschutz, des Bundesnachrichtendienstes und des Militärischen Abschirmdienstes des Bundesministeriums der Verteidigung fest. Die Zentralstelle für Finanztransaktionsuntersuchungen kann hierbei über die Analysepflicht nach Satz 1 hinaus Parameter für die Identifikation von Meldungen und Informationen, die im Hinblick auf sonstige Straftaten von Belang sind, berücksichtigen. Für die Bereiche Inneres, Justiz und Finanzen bestimmt das jeweils zuständige Landesministerium oder die jeweils zuständige Senatsverwaltung die Vertreter der Strafverfolgungsbehörden des jeweiligen Landes, für den Generalbundesanwalt beim Bundesgerichtshof das Bundesministerium der Justiz. Einzelheiten der Risikobewertungssysteme dürfen nicht veröffentlicht werden, soweit die Veröffentlichung die gesetzliche Aufgabenerfüllung der Zentralstelle für Finanztransaktionsuntersuchungen, der Strafverfolgungsbehörden, des Bundesamtes für Verfassungsschutz, des Bundesnachrichtendienstes oder des Militärischen Abschirmdienstes des Bundesministeriums der Verteidigung gefährden könnte. (2a) Die Zentralstelle für Finanztransaktionsuntersuchungen ist befugt, unabhängig vom Vorliegen einer Meldung nach den §§ 43 und 44 Analysen durchzuführen, soweit dies zur Erfüllung ihrer Aufgaben erforderlich ist. (3) Die Zentralstelle für Finanztransaktionsuntersuchungen kann unabhängig vom Vorliegen einer Meldung Informationen von Verpflichteten einholen, soweit dies zur Erfüllung ihrer Aufgaben erforderlich ist. Zur Beantwortung ihres Auskunftsverlangens gewährt sie dem Verpflichteten eine angemessene Frist. Verpflichtete nach § 2 Absatz 1 Nummer 10 und 12 können die Auskunft verweigern, soweit sich das Auskunftsverlangen auf Informationen bezieht, die sie im Rahmen der Rechtsberatung oder der Prozessvertretung des Vertragspartners erhalten haben. Die Auskunftspflicht bleibt jedoch bestehen, wenn der Verpflichtete weiß, dass der Vertragspartner die Rechtsberatung für den Zweck der Geldwäsche oder der Terrorismusfinanzierung in Anspruch genommen hat oder nimmt. Fußnote (+++ § 30 Abs. 2 Satz 9: Zur Geltung vgl. § 43 Abs. 5 Satz 3 u. § 46 Abs. 1 Satz 5 +++) § 31 Auskunftsrecht gegenüber inländischen öffentlichen Stellen, Datenzugriffsrecht, Verordnungsermächtigung (1) Die Zentralstelle für Finanztransaktionsuntersuchungen kann, soweit es zur Erfüllung ihrer Aufgaben erforderlich ist, bei inländischen öffentlichen Stellen Daten erheben; zu den inländischen öffentlichen Stellen zählt auch die inländische benannte Behörde im Sinne des Artikel 3 Absatz 2 der Richtlinie (EU) 2019/1153. Die inländischen öffentlichen Stellen erteilen der Zentralstelle für Finanztransaktionsuntersuchungen zur Erfüllung von deren Aufgaben auf deren Ersuchen Auskunft, soweit der Auskunft keine in diesem oder in anderen Gesetzen geregelten Übermittlungsbeschränkungen entgegenstehen. (2) Die Anfragen sind von der inländischen öffentlichen Stelle unverzüglich zu beantworten. Daten, die mit der Anfrage im Zusammenhang stehen, sind zur Verfügung zu stellen. (3) Die Zentralstelle für Finanztransaktionsuntersuchungen soll ein automatisiertes Verfahren für die Übermittlung personenbezogener Daten, die bei anderen inländischen öffentlichen Stellen gespeichert sind und zu deren Erhalt die Zentralstelle für Finanztransaktionsuntersuchungen gesetzlich berechtigt ist, durch Abruf einrichten, soweit gesetzlich nichts anderes bestimmt ist und diese Form der Datenübermittlung unter Berücksichtigung der schutzwürdigen Interessen der betroffenen Personen wegen der Vielzahl der Übermittlungen oder wegen ihrer besonderen Eilbedürftigkeit angemessen ist. Zur Kontrolle der Zulässigkeit des automatisierten Abrufverfahrens hat die Zentralstelle für Finanztransaktionsuntersuchungen schriftlich festzulegen: 1. den Anlass und den Zweck des Abgleich- oder Abrufverfahrens,  2. die Dritten, an die übermittelt wird,  3. die Art der zu übermittelnden Daten und  - Seite 45 von 77 - Ein Service des Bundesministeriums der Justiz sowie des Bundesamts für Justiz ‒ www.gesetze-im-internet.de 4. die technischen und organisatorischen Maßnahmen zur Gewährleistung des Datenschutzes.  (4) Die Zentralstelle für Finanztransaktionsuntersuchungen ist berechtigt, soweit dies zur Erfüllung ihrer Aufgaben nach § 28 Absatz 1 Satz 3 Nummer 2 erforderlich ist, die in ihrem Informationssystem gespeicherten, personenbezogenen Daten mit den im polizeilichen Informationsverbund nach § 29 Absatz 1 und 2 des Bundeskriminalamtgesetzes enthaltenen, personenbezogenen Daten automatisiert abzugleichen. Wird im Zuge des Abgleichs nach Satz 1 eine Übereinstimmung übermittelter Daten mit im polizeilichen Informationsverbund gespeicherten Daten festgestellt, so erhält die Zentralstelle für Finanztransaktionsuntersuchungen automatisiert die Information über das Vorliegen eines Treffers und ist berechtigt, die dazu im polizeilichen Informationsverbund vorhandenen Daten automatisiert abzurufen. Haben die Teilnehmer am polizeilichen Informationsverbund Daten als besonders schutzwürdig eingestuft und aus diesem Grund einen Datenabruf der Zentralstelle für Finanztransaktionsuntersuchungen nach Satz 2 ausgeschlossen, erhält der datenbesitzende Teilnehmer am polizeilichen Informationsverbund automatisiert die Information über das Vorliegen eines Treffers. Zugleich erhält die Zentralstelle für Finanztransaktionsuntersuchungen in den Fällen nach Satz 3 die Information über das Vorliegen eines Treffers sowie die Information, wer datenbesitzender Teilnehmer am polizeilichen Informationsverbund ist. Bei Information über das Vorliegen eines Treffers nach Satz 3 obliegt es dem jeweiligen datenbesitzenden Teilnehmer des polizeilichen Informationsverbunds, mit der Zentralstelle für Finanztransaktionsuntersuchungen unverzüglich Kontakt aufzunehmen und ihr die Daten zu übermitteln, soweit dem keine Übermittlungsbeschränkungen entgegenstehen. Die Regelungen der Sätze 1 bis 5 gehen der Regelung des § 29 Absatz 8 des Bundeskriminalamtgesetzes vor. Die Einrichtung eines weitergehenden automatisierten Abrufverfahrens für die Zentralstelle für Finanztransaktionsuntersuchungen ist mit Zustimmung des Bundesministeriums des Innern, für Bau und Heimat, des Bundesministeriums der Finanzen und der Innenministerien und Senatsinnenverwaltungen der Länder zulässig, soweit diese Form der Datenübermittlung unter Berücksichtigung der schutzwürdigen Interessen der Betroffenen wegen der Vielzahl der Übermittlungen oder wegen der besonderen Eilbedürftigkeit angemessen ist. (4a) Die Zentralstelle für Finanztransaktionsuntersuchungen ist berechtigt, soweit dies zur Erfüllung ihrer Aufgaben nach § 28 Absatz 1 Satz 3 Nummer 2 erforderlich ist, unter Angabe des Vornamens, des Nachnamens sowie zusätzlich des Geburtsdatums, des Geburtsortes oder der letzten bekannten Anschrift einer natürlichen Person Auskunft aus dem Zentralen Staatsanwaltschaftlichen Verfahrensregister automatisiert einzuholen. Wird im Zuge der Auskunftseinholung nach Satz 1 eine Übereinstimmung übermittelter Daten mit den im Zentralen Staatsanwaltschaftlichen Verfahrensregister gespeicherten Daten festgestellt, so erhält die Zentralstelle für Finanztransaktionsuntersuchungen automatisiert die Information über das Vorliegen eines Treffers und ist berechtigt, die dazu im Zentralen Staatsanwaltschaftlichen Verfahrensregister vorhandenen Daten automatisiert abzurufen. Die aus dem Zentralen Staatsanwaltschaftlichen Verfahrensregister erhobenen personenbezogenen Daten dürfen nur für die Zwecke der operativen Analyse verwendet werden. (5) Finanzbehörden erteilen der Zentralstelle für Finanztransaktionsuntersuchungen nach Maßgabe des § 31b Absatz 1 Nummer 5 der Abgabenordnung Auskunft und teilen ihr nach § 31b Absatz 2 der Abgabenordnung die dort genannten Informationen mit. Die Zentralstelle für Finanztransaktionsuntersuchungen darf zur Wahrnehmung ihrer Aufgaben nach § 28 Absatz 1 Satz 3 Nummer 2 folgende, nach § 30 der Abgabenordnung dem Steuergeheimnis unterliegende Daten im automatisierten Verfahren abrufen, soweit aufgrund der Analyse einer Meldung, Mitteilung oder Information nach § 30 Absatz 1 vorliegender Tatsachen diese Daten für die weitere Analyse erforderlich sind: 1. beim Bundeszentralamt für Steuern die nach § 5 Absatz 1 Nummer 13 des Finanzverwaltungsgesetzes vorgehaltenen Daten,  2. bei den Landesfinanzbehörden die zu einem Steuerpflichtigen gespeicherten Grundinformationen, die die Steuernummer, die Gewerbekennzahl, die Grund- und Zusatzkennbuchstaben, die Bankverbindung, die vergebene Umsatzsteuer-Identifikationsnummer, sowie das zuständige Finanzamt umfassen.  Bei Abrufen nach Satz 2 sind hinsichtlich natürlicher Personen der Vorname, der Nachname und die Anschrift oder das Geburtsdatum, hinsichtlich juristischer Personen und Personenvereinigungen der Name oder die Firma sowie der Ort der Geschäftsleitung oder des Sitzes anzugeben. Die Verantwortung für die Zulässigkeit eines Datenabrufs nach Satz 2 trägt die Zentralstelle für Finanztransaktionsuntersuchungen. Die Zentralstelle für Finanztransaktionsuntersuchungen prüft unverzüglich, inwieweit sie die als Antwort übermittelten Daten im konkreten Einzelfall benötigt; nicht benötigte Daten löscht sie unverzüglich. Wird das Ergebnis der Analyse nicht nach § 32 Absatz 2 Satz 1 an die zuständige Strafverfolgungsbehörde übermittelt, werden die nach den Sätzen 1 und 2 erhobenen Daten unverzüglich gelöscht. Im Übrigen gilt für die Verarbeitung der Daten, die die Zentralstelle für Finanztransaktionsuntersuchungen nach Satz 1 oder Satz 2 erhält, § 29 Absatz 1; eine Übermittlung der nach den Sätzen 1 oder 2 erhobenen Daten an die für Verfahren im Sinne des § 32 Absatz 3 - Seite 46 von 77 - Ein Service des Bundesministeriums der Justiz sowie des Bundesamts für Justiz ‒ www.gesetze-im-internet.de Satz 2 Nummer 2 und 3 zuständigen Stellen ist nicht zulässig. Soweit zu befürchten ist, dass ein Datenabruf nach Satz 2 Nummer 1 den Untersuchungszweck eines Ermittlungsverfahrens im Sinne des § 30 Absatz 2 Nummer 1 Buchstabe b der Abgabenordnung gefährdet, so kann die für dieses Verfahren zuständige Finanzbehörde oder die zuständige Staatsanwaltschaft anordnen, dass kein Datenabruf nach Satz 2 erfolgen darf. § 480 Absatz 1 Satz 1 und 2 der Strafprozessordnung findet Anwendung, soweit die Daten Verfahren betreffen, die zu einem Strafverfahren geführt haben. Weitere Einzelheiten des Abrufverfahrens nach Satz 2, insbesondere zu den technischen Formaten der abrufbaren Daten, zur Erteilung und zum Umfang der Abrufberechtigungen, zur Protokollierung und zur Prüfung der Abrufe und sonstiger datenschutzrechtlich erforderlicher technischer und organisatorischer Maßnahmen, regelt eine Rechtsverordnung des Bundesministeriums der Finanzen im Einvernehmen mit dem Bundesministerium der Justiz und für Verbraucherschutz, die der Zustimmung des Bundesrates bedarf. Ein Abruf anderer als der in Satz 2 genannten Daten, die bei den Finanzbehörden gespeichert sind und die nach § 30 der Abgabenordnung dem Steuergeheimnis unterliegen, durch die Zentralstelle für Finanztransaktionsuntersuchungen ist nur zulässig, soweit dies nach § 31b der Abgabenordnung oder sonst in den Steuergesetzen zugelassen ist. Abweichend von den Sätzen 2 bis 9 findet für den Abruf von Daten, die bei den Finanzbehörden der Zollverwaltung gespeichert sind und für deren Erhalt die Zentralstelle für Finanztransaktionsuntersuchungen die gesetzliche Berechtigung hat, Absatz 3 Anwendung. (5a) Wird von der Verordnungsermächtigung des § 22a des Grunderwerbsteuergesetzes zur elektronischen Übermittlung der Anzeige im Sinne des § 18 des Grunderwerbsteuergesetzes Gebrauch gemacht, darf die Zentralstelle für Finanztransaktionsuntersuchungen unter den Voraussetzungen des Absatzes 5 Satz 2 bei den Landesfinanzbehörden die dort hierzu eingegangenen Datensätze erheben und in sonstiger Weise verarbeiten, soweit Tatsachen die Annahme rechtfertigen, dass die Transaktion einen Zusammenhang mit einem nach § 18 Absatz 1 Satz 1 des Grunderwerbsteuergesetzes anzuzeigenden Vorgang aufweist. Absatz 5 Satz 3 bis 5, 7 und 10 gilt entsprechend. (6) Verpflichtete nach § 2 Absatz 1 Nummer 1 haben das nach § 24c Absatz 1 des Kreditwesengesetzes zu führende Dateisystem auch für Abrufe der Zentralstelle für Finanztransaktionsuntersuchungen zu führen. Entsprechendes gilt für Verpflichtete nach § 2 Absatz 1 Nummer 3 in Bezug auf das nach § 27 des Zahlungsdiensteaufsichtsgesetzes zu führende Dateisystem sowie für Verpflichtete nach § 2 Absatz 1 Nummer 9 in Bezug auf das nach § 28 des Kapitalanlagegesetzbuchs zu führende Dateisystem. Die Zentralstelle für Finanztransaktionen darf zur Erfüllung ihrer Aufgaben Daten aus diesen Dateisystemen im automatisierten Verfahren abrufen. § 24c Absatz 4 bis 8 des Kreditwesengesetzes gilt entsprechend. (7) Soweit zur Überprüfung der Personalien des Betroffenen erforderlich, darf die Zentralstelle für Finanztransaktionsuntersuchungen im automatisierten Abrufverfahren nach den §§ 34a und 38 des Bundesmeldegesetzes über die in § 34 Absatz 1 Satz 1 des Bundesmeldegesetzes aufgeführten Daten hinaus folgende Daten abrufen: 1. Ausstellungsbehörde, Ausstellungsdatum, Gültigkeitsdauer, Seriennummer des Personalausweises, vorläufigen Personalausweises oder Ersatzpersonalausweises, des anerkannten Passes oder Passersatzpapiers,  2. Tatsachen zu den Pass- und Ausweisdaten nach § 3 Absatz 2 Nummer 4 des Bundesmeldegesetzes sowie  3. Daten zum Wohnungsgeber nach § 3 Absatz 2 Nummer 10 des Bundesmeldegesetzes.  Entsprechendes gilt, soweit konkrete Anhaltspunkte dafür bestehen, dass dies zur Erfüllung der Aufgaben nach § 28 Absatz 1 Satz 3 Nummer 2 erforderlich ist. In den Fällen des Satzes 2 sind die nach Satz 1 abgerufenen Daten unverzüglich zu löschen, wenn sich nach Abschluss der operativen Analyse ergibt, dass die Voraussetzungen für eine Übermittlung nach § 32 Absatz 2 Satz 1 nicht vorliegen. § 32 Datenübermittlungsverpflichtung an inländische öffentliche Stellen (1) Meldungen nach § 43 Absatz 1, § 44 sind von der Zentralstelle für Finanztransaktionsuntersuchungen unverzüglich an das Bundesamt für Verfassungsschutz zu übermitteln, soweit tatsächliche Anhaltspunkte dafür bestehen, dass die Übermittlung dieser Informationen für die Erfüllung der Aufgaben des Bundesamtes für Verfassungsschutz erforderlich ist. (2) Stellt die Zentralstelle für Finanztransaktionsuntersuchungen bei der operativen Analyse fest, dass ein Vermögensgegenstand mit Geldwäsche, mit Terrorismusfinanzierung oder mit einer sonstigen Straftat im Zusammenhang steht, übermittelt sie das Ergebnis ihrer Analyse sowie alle sachdienlichen Informationen unverzüglich an die zuständigen Strafverfolgungsbehörden. Die in Satz 1 genannten Informationen sind außerdem an den Bundesnachrichtendienst zu übermitteln, soweit tatsächliche Anhaltspunkte vorliegen, dass diese Übermittlung für die Erfüllung der Aufgaben des Bundesnachrichtendienstes erforderlich ist. - Seite 47 von 77 - Ein Service des Bundesministeriums der Justiz sowie des Bundesamts für Justiz ‒ www.gesetze-im-internet.de Im Fall von Absatz 1 übermittelt die Zentralstelle für Finanztransaktionsuntersuchungen außerdem dem Bundesamt für Verfassungsschutz zu der zuvor übermittelten Meldung auch das entsprechende Ergebnis ihrer operativen Analyse sowie alle sachdienlichen Informationen. Anstelle der Übermittlung an die zuständigen Strafverfolgungsbehörden nach Satz 1 kann die Zentralstelle für Finanztransaktionsuntersuchungen die Informationen zu sonstigen Straftaten zum automatisierten Datenabruf nach Absatz 4 bereitstellen. (3) Die Zentralstelle für Finanztransaktionsuntersuchungen übermittelt von Amts wegen oder auf Ersuchen Daten aus Finanzinformationen und Finanzanalysen, auch soweit sie personenbezogene Daten enthalten, an die Strafverfolgungsbehörden, das Bundesamt für Verfassungsschutz, den Bundesnachrichtendienst oder den Militärischen Abschirmdienst des Bundesministeriums der Verteidigung, soweit dies erforderlich ist für 1. die Aufklärung von Geldwäsche und Terrorismusfinanzierung oder die Durchführung von diesbezüglichen Strafverfahren oder  2. die Aufklärung sonstiger Gefahren und die Durchführung von anderen, nicht von Nummer 1 erfassten Strafverfahren.  Die Zentralstelle für Finanztransaktionsuntersuchungen übermittelt von Amts wegen oder auf Ersuchen Daten aus Finanzinformationen und Finanzanalysen, auch soweit sie personenbezogene Daten enthalten, an andere als in Satz 1 benannte, zuständige inländische öffentliche Stellen, soweit dies erforderlich ist für 1. Besteuerungsverfahren,  2. Verfahren zum Schutz der sozialen Sicherungssysteme oder  3. die Aufgabenwahrnehmung der Aufsichtsbehörden.  (3a) Die Zentralstelle für Finanztransaktionsuntersuchungen übermittelt auf Ersuchen unverzüglich Daten aus Finanzinformationen und Finanzanalysen, auch soweit sie personenbezogene Daten enthalten, an die inländische benannte Behörde im Sinne des Artikel 3 Absatz 2 der Richtlinie (EU) 2019/1153, soweit dies zur Erfüllung ihrer gesetzlichen Aufgaben bei der Verhinderung oder Verfolgung und Ahndung schwerer Straftaten im Sinne des Anhangs I der VO (EU) 2016/794 erforderlich ist. (3b) Die Zentralstelle für Finanztransaktionsuntersuchungen übermittelt darüber hinaus von Amts wegen oder auf Ersuchen unverzüglich Daten aus Finanzinformationen und Finanzanalysen, auch soweit sie personenbezogene Daten enthalten, an die zuständigen inländischen öffentlichen Stellen, soweit dies für die Überwachung der Einhaltung von durch den Rat der Europäischen Union im Bereich der Gemeinsamen Außen- und Sicherheitspolitik beschlossenen wirtschaftlichen Sanktionsmaßnahmen erforderlich ist. (4) In den Fällen des Absatzes 3 Satz 1 Nummer 1 und 2 sind die Strafverfolgungsbehörden und das Bundesamt für Verfassungsschutz sowie die inländische benannte Behörde im Sinne des Artikel 3 Absatz 2 der Richtlinie (EU) 2019/1153 berechtigt, die Daten zur Erfüllung ihrer Aufgaben automatisiert bei der Zentralstelle für Finanztransaktionsuntersuchungen abzurufen, soweit dem keine Übermittlungsbeschränkungen entgegenstehen. Zur Kontrolle der Zulässigkeit des automatisierten Abrufverfahrens hat die abrufende Behörde schriftlich festzulegen: 1. den Anlass und den Zweck des Abrufverfahrens,  2. die Dritten, an die übermittelt wird,  3. die Art der zu übermittelnden Daten und  4. die technischen und organisatorischen Maßnahmen zur Gewährleistung des Datenschutzes.  (5) Die Übermittlung nach den Absätzen 3 bis 3b unterbleibt, soweit 1. sich die Bereitstellung der Daten negativ auf den Erfolg laufender Ermittlungen oder Analysen der zuständigen inländischen öffentlichen Stellen auswirken könnte oder  2. die Weitergabe der Daten unverhältnismäßig wäre.  In den Fällen des Absatzes 3a begründet die Zentralstelle für Finanztransaktionsuntersuchungen das Unterbleiben einer Übermittlung gegenüber der ersuchenden Stelle. Soweit ein Abruf nach Absatz 4 zu Daten erfolgt, zu denen Übermittlungsbeschränkungen dem automatisierten Abruf grundsätzlich entgegenstehen, wird die Zentralstelle für Finanztransaktionsuntersuchungen automatisiert durch Übermittlung aller Anfragedaten über die Abfrage unterrichtet. Ihr obliegt es in diesem Fall, unverzüglich mit der anfragenden Behörde Kontakt aufzunehmen, um im Einzelfall zu klären, ob Erkenntnisse nach Absatz 3 übermittelt werden können. - Seite 48 von 77 - Ein Service des Bundesministeriums der Justiz sowie des Bundesamts für Justiz ‒ www.gesetze-im-internet.de (6) Falls die Strafverfolgungsbehörde ein Strafverfahren aufgrund eines nach Absatz 2 übermittelten Sachverhalts eingeleitet hat, teilt sie den Sachverhalt zusammen mit den zugrunde liegenden Tatsachen der zuständigen Finanzbehörde mit, wenn eine Transaktion festgestellt wird, die für die Finanzverwaltung für die Einleitung oder Durchführung von Besteuerungs- oder Steuerstrafverfahren Bedeutung haben könnte. Zieht die Strafverfolgungsbehörde im Strafverfahren Aufzeichnungen nach § 11 Absatz 1 heran, dürfen auch diese der Finanzbehörde übermittelt werden. Die Mitteilungen und Aufzeichnungen dürfen für Besteuerungsverfahren und für Strafverfahren wegen Steuerstraftaten verwendet werden. (7) Der Empfänger darf die ihm übermittelten personenbezogenen Daten nur zu dem Zweck verwenden, zu dem sie ihm übermittelt worden sind. Eine Verwendung für andere Zwecke ist zulässig, soweit die Daten auch dafür hätten übermittelt werden dürfen. Im Falle einer Übermittlung nach Absatz 3a ist eine Verwendung für andere Zwecke zulässig, soweit die Daten auch dafür hätten übermittelt werden dürfen und die Zentralstelle für Finanztransaktionsuntersuchungen dieser Verwendung zuvor zugestimmt hat. § 32a Datenübermittlung an Europol (1) Die Zentralstelle für Finanztransaktionsuntersuchungen ist befugt, auf ordnungsgemäß begründete Ersuchen von Europol Finanzinformationen und Finanzanalysen, auch soweit sie personenbezogene Daten enthalten, zu übermitteln, soweit dies in einem Einzelfall im Rahmen der Zuständigkeiten von Europol und zur Erfüllung der Aufgaben von Europol gemäß Artikel 4 der Verordnung (EU) 2016/794 erforderlich und nach Artikel 18 der Verordnung (EU) 2016/794 zulässig ist. Sie übermittelt diese Informationen zeitnah über das Bundeskriminalamt in seiner Aufgabe als nationale Stelle nach § 1 Nummer 1 des Europol-Gesetzes. (2) Die Übermittlung kann verweigert werden, soweit 1. sich die Bereitstellung der Daten negativ auf den Erfolg laufender Ermittlungen oder Analysen der zuständigen inländischen öffentlichen Stellen auswirken könnte oder  2. die Weitergabe der Daten unverhältnismäßig wäre oder  3. die angeforderten Finanzinformationen und Finanzanalysen Daten enthalten, die von einer zentralen Meldestelle eines ausländischen Staates übermittelt wurden und diese einer Weiterübermittlung nicht zugestimmt hat, es sei denn, die Informationen stammen aus öffentlich zugänglichen Quellen.  Sie unterbleibt darüber hinaus in den in Artikel 7 Absatz 7 der Verordnung (EU) 2016/794 genannten Fällen. (3) Die Zentralstelle für Finanztransaktionsuntersuchungen hat die Verweigerung einer Übermittlung gegenüber Europol zu begründen. (4) Die Übermittlung ist mit der Bedingung zu verbinden, dass Europol die ihm übermittelten personenbezogenen Daten nur zu dem Zweck verwenden darf, zu dem sie ihm übermittelt worden sind. Eine Verwendung zu anderen Zwecken bedarf der Zustimmung der Zentralstelle für Finanztransaktionsuntersuchungen. § 33 Datenaustausch mit Mitgliedstaaten der Europäischen Union (1) Der Datenaustausch mit den für die Verhinderung, Aufdeckung und Bekämpfung von Geldwäsche und von Terrorismusfinanzierung zuständigen zentralen Meldestellen anderer Mitgliedstaaten der Europäischen Union ist unabhängig von der Art der Vortat der Geldwäsche und auch dann, wenn die Art der Vortat nicht feststeht, zu gewährleisten. Insbesondere steht eine im Einzelfall abweichende Definition der Steuerstraftaten, die nach nationalem Recht eine taugliche Vortat zur Geldwäsche sein können, einem Informationsaustausch mit zentralen Meldestellen anderer Mitgliedstaaten der Europäischen Union nicht entgegen. Geht bei der Zentralstelle für Finanztransaktionsuntersuchungen eine Meldung nach § 43 Absatz 1 ein, die die Zuständigkeit eines anderen Mitgliedstaates betrifft, so leitet sie diese Meldung umgehend an die zentrale Meldestelle des betreffenden Mitgliedstaates weiter. Hierzu kann die Zentralstelle für Finanztransaktionsuntersuchungen mit den Zentralstellen anderer Mitgliedstaaten ein System zur verschlüsselten automatisierten Weiterleitung einrichten und betreiben. (2) Für die Übermittlung der Daten gelten die Vorschriften über die Datenübermittlung im internationalen Bereich nach § 35 Absatz 2 bis 6 entsprechend. § 35 Absatz 2 gilt mit der Maßgabe, dass die Zentralstelle für Finanztransaktionsuntersuchungen bei der Beantwortung eines Auskunftsersuchens die ihr nach diesem Gesetz zur Erhebung und Weiterleitung von Informationen zustehenden Befugnisse zu nutzen hat. § 35 Absatz 2 Satz 4 gilt mit der Maßgabe, dass die Zentralstelle für Finanztransaktionsuntersuchungen die Anfrage zeitnah zu beantworten hat; richtet sich die Anfrage auf Finanzinformationen oder Finanzanalysen, die im Zusammenhang mit Terrorismus oder mit organisierter Kriminalität mit Bezug zu Terrorismus von Belang sein - Seite 49 von 77 - Ein Service des Bundesministeriums der Justiz sowie des Bundesamts für Justiz ‒ www.gesetze-im-internet.de können, so hat sich die Zentralstelle für Finanztransaktionsuntersuchungen um eine umgehende Beantwortung zu bemühen. Die Verantwortung für die Zulässigkeit der Datenübermittlung trägt die Zentralstelle für Finanztransaktionsuntersuchungen. Für den Datenaustausch mit zentralen Meldestellen anderer Mitgliedstaaten nutzt die Zentralstelle für Finanztransaktionsuntersuchungen gesicherte Kommunikationskanäle. (3) Sind zusätzliche Informationen über einen in Deutschland tätigen Verpflichteten, der in einem anderen Mitgliedstaat der Europäischen Union in einem öffentlichen Register eingetragen ist, erforderlich, richtet die Zentralstelle für Finanztransaktionsuntersuchungen ihr Ersuchen an die zentrale Meldestelle dieses anderen Mitgliedstaates der Europäischen Union. Geht bei der Zentralstelle für Finanztransaktionsuntersuchungen ein Ersuchen einer zentralen Meldestelle eines anderen Mitgliedstaates um zusätzliche Informationen über einen in ihrem Hoheitsgebiet tätigen Verpflichteten ein, der in Deutschland eingetragen ist, so nutzt die Zentralstelle für Finanztransaktionsuntersuchen die ihr nach diesem Gesetz zur Erhebung und Weiterleitung von Informationen zustehenden Befugnisse. Die Übermittlung von Anfragen und Antworten nach den Sätzen 1 und 2 hat unverzüglich zu erfolgen. (4) Die Zentralstelle für Finanztransaktionsuntersuchungen darf ein Ersuchen um Informationsübermittlung, das eine zentrale Meldestelle eines Mitgliedstaates der Europäischen Union im Rahmen ihrer Aufgabenerfüllung an sie gerichtet hat, nur ablehnen, wenn 1. durch die Informationsübermittlung die innere oder äußere Sicherheit oder andere wesentliche Interessen der Bundesrepublik Deutschland gefährdet werden könnten,  2. im Einzelfall die Informationsübermittlung, auch unter Berücksichtigung des öffentlichen Interesses an der Datenübermittlung, mit den Grundprinzipien des deutschen Rechts nicht in Einklang zu bringen ist,  3. durch die Informationsübermittlung strafrechtliche Ermittlungen oder die Durchführung eines Gerichtsverfahrens behindert oder gefährdet werden könnten oder  4. rechtshilferechtliche Bedingungen ausländischer Stellen entgegenstehen, die von den zuständigen Behörden zu beachten sind.  Die Gründe für die Ablehnung des Informationsersuchens legt die Zentralstelle für Finanztransaktionsuntersuchungen der ersuchenden zentralen Meldestelle angemessen schriftlich dar, außer wenn die operative Analyse noch nicht abgeschlossen ist oder soweit die Ermittlungen hierdurch gefährdet werden könnten. (5) Übermittelt die Zentralstelle für Finanztransaktionsuntersuchungen einer zentralen Meldestelle eines Mitgliedstaates der Europäischen Union auf deren Ersuchen Informationen, so soll sie in der Regel umgehend und unabhängig von der Art der Vortaten, die damit in Zusammenhang stehen können, ihre Einwilligung dazu erklären, dass diese Informationen an andere Behörden dieses Mitgliedstaates weitergeleitet werden dürfen. Die Zentralstelle für Finanztransaktionsuntersuchungen darf ihre Einwilligung nur aus den in Absatz 4 genannten Gründen verweigern. Die Gründe für die Verweigerung der Einwilligung legt die Zentralstelle für Finanztransaktionsuntersuchungen angemessen dar. Die Verwendung der Informationen zu anderen Zwecken bedarf der vorherigen Zustimmung der Zentralstelle für Finanztransaktionsuntersuchungen. (6) Die Zentralstelle für Finanztransaktionsuntersuchungen benennt eine zentrale Kontaktstelle, die für die Annahme von Informationsersuchen der zentralen Meldestellen anderer Mitgliedstaaten nach dieser Vorschrift zuständig ist. § 34 Informationsersuchen im Rahmen der internationalen Zusammenarbeit (1) Die Zentralstelle für Finanztransaktionsuntersuchungen kann die zentralen Meldestellen anderer Staaten, die mit der Verhinderung, Aufdeckung und Bekämpfung von Geldwäsche, von Vortaten der Geldwäsche sowie von Terrorismusfinanzierung befasst sind, um die Erteilung von Auskünften einschließlich der personenbezogenen Daten oder der Übermittlung von Unterlagen ersuchen, wenn diese Informationen und Unterlagen erforderlich sind zur Erfüllung ihrer Aufgaben. (2) Für ein Ersuchen kann die Zentralstelle für Finanztransaktionsuntersuchungen personenbezogene Daten übermitteln, soweit dies erforderlich ist, um ein berechtigtes Interesse an der begehrten Information glaubhaft zu machen und wenn überwiegende berechtigte Interessen des Betroffenen nicht entgegenstehen. (3) In dem Ersuchen muss die Zentralstelle für Finanztransaktionsuntersuchungen den Zweck der Datenerhebung offenlegen und die beabsichtigte Weitergabe der Daten an andere inländische öffentliche Stellen mitteilen. Die Zentralstelle für Finanztransaktionsuntersuchungen darf die von einer zentralen Meldestelle eines anderen Staates übermittelten Daten nur verwenden - Seite 50 von 77 - Ein Service des Bundesministeriums der Justiz sowie des Bundesamts für Justiz ‒ www.gesetze-im-internet.de 1. zu den Zwecken, zu denen um die Daten ersucht wurde, und  2. zu den Bedingungen, unter denen die Daten zur Verfügung gestellt wurden.  Sollen die übermittelten Daten nachträglich an eine andere öffentliche Stelle weitergegeben werden oder für einen Zweck genutzt werden, der über die ursprünglichen Zwecke hinausgeht, so ist vorher die Zustimmung der übermittelnden zentralen Meldestelle einzuholen. § 35 Datenübermittlung im Rahmen der internationalen Zusammenarbeit (1) Geht bei der Zentralstelle für Finanztransaktionsuntersuchungen eine Meldung nach § 43 Absatz 1 ein, die die Zuständigkeit eines anderen Staates betrifft, so kann sie diese Meldung umgehend an die zentrale Meldestelle des betreffenden Staates weiterleiten. Sie weist die zentrale Meldestelle des betreffenden Staates darauf hin, dass die personenbezogenen Daten nur zu dem Zweck genutzt werden dürfen, zu dem sie übermittelt worden sind. (2) Die Zentralstelle für Finanztransaktionsuntersuchungen kann einer zentralen Meldestelle eines anderen Staates auf deren Ersuchen personenbezogene Daten übermitteln 1. für eine von der zentralen Meldestelle des anderen Staates durchzuführende operative Analyse,  2. im Rahmen einer beabsichtigten Sofortmaßnahme nach § 40, soweit Tatsachen darauf hindeuten, dass der Vermögensgegenstand a) sich in Deutschland befindet und  b) im Zusammenhang steht mit einem Sachverhalt, der der zentralen Meldestelle des anderen Staates vorliegt, oder  3. zur Erfüllung der Aufgaben einer anderen ausländischen öffentlichen Stelle, die der Verhinderung, Aufdeckung und Bekämpfung von Geldwäsche oder von Vortaten der Geldwäsche oder von Terrorismusfinanzierung dient.  Sie kann hierbei auf ihr vorliegende Informationen zurückgreifen. Enthalten diese Informationen auch Daten, die von anderen in- oder ausländischen Behörden erhoben oder von diesen übermittelt wurden, so ist eine Weitergabe dieser Daten nur mit Zustimmung dieser Behörden zulässig, es sei denn, die Informationen stammen aus öffentlich zugänglichen Quellen. Die Ersuchen einer zentralen Meldestelle eines anderen Staates sind in angemessener Zeit zu beantworten. Die Zentralstelle für Finanztransaktionsuntersuchungen kann nach Maßgabe der §§ 28, 30 und 31 andere inländische öffentliche Stellen um Auskunft ersuchen oder von Verpflichteten Auskunft verlangen. (3) Die Übermittlung personenbezogener Daten an eine zentrale Meldestelle eines anderen Staates ist nur zulässig, wenn das Ersuchen mindestens folgende Angaben enthält: 1. die Bezeichnung, die Anschrift und sonstige Kontaktdaten der ersuchenden Behörde,  2. die Gründe des Ersuchens und die Benennung des Zwecks, zu dem die Daten verwendet werden sollen, nach Absatz 2,  3. erforderliche Einzelheiten zur Identität der betroffenen Person, sofern sich das Ersuchen auf eine bekannte Person bezieht,  4. die Beschreibung des Sachverhalts, der dem Ersuchen zugrunde liegt, sowie die Behörde, an die die Daten gegebenenfalls weitergeleitet werden sollen, und  5. die Angabe, inwieweit der Sachverhalt mit Geldwäsche oder mit Terrorismusfinanzierung im Zusammenhang steht.  (4) Die Zentralstelle für Finanztransaktionsuntersuchungen kann auch ohne Ersuchen personenbezogene Daten an eine zentrale Meldestelle eines anderen Staates übermitteln, wenn Tatsachen darauf hindeuten, dass natürliche oder juristische Personen auf dem Hoheitsgebiet dieses Staates Handlungen, die wegen Geldwäsche oder Terrorismusfinanzierung strafbar sind, begangen haben. Dies gilt unabhängig von der Art der Vortat der Geldwäsche und auch, wenn die Art der Vortat nicht feststeht. (5) Die Verantwortung für die Zulässigkeit der Übermittlung trägt die Zentralstelle für Finanztransaktionsuntersuchungen. Sie kann bei der Übermittlung von Daten an eine ausländische zentrale Meldestelle Einschränkungen und Auflagen für die Verwendung der übermittelten Daten festlegen. - Seite 51 von 77 - Ein Service des Bundesministeriums der Justiz sowie des Bundesamts für Justiz ‒ www.gesetze-im-internet.de (6) Der Empfänger personenbezogener Daten ist darauf hinzuweisen, dass die personenbezogenen Daten nur zu dem Zweck genutzt werden dürfen, zu dem sie übermittelt worden sind. Sollen die Daten von der ersuchenden ausländischen zentralen Meldestelle an eine andere Behörde in dem Staat weitergeleitet werden, muss die Zentralstelle für Finanztransaktionsuntersuchungen dem unter Berücksichtigung des Zwecks und der schutzwürdigen Interessen des Betroffenen an den Daten zuvor zustimmen. Soweit die Informationen als Beweismittel in einem Strafverfahren verwendet werden sollen, gelten die Regeln der grenzüberschreitenden Zusammenarbeit in Strafsachen. (7) Die Übermittlung personenbezogener Daten an eine ausländische zentrale Meldestelle unterbleibt, soweit 1. durch die Übermittlung die innere oder äußere Sicherheit oder andere wesentliche Interessen der Bundesrepublik Deutschland verletzt werden könnten,  2. einer Übermittlung besondere bundesgesetzliche Übermittlungsvorschriften entgegenstehen oder  3. im Einzelfall, auch unter Berücksichtigung des besonderen öffentlichen Interesses an der Datenübermittlung, die schutzwürdigen Interessen der betroffenen Person überwiegen.  Zu den schutzwürdigen Interessen der betroffenen Person gehört auch das Vorhandensein eines angemessenen Datenschutzniveaus im Empfängerstaat. Die schutzwürdigen Interessen der betroffenen Person können auch dadurch gewahrt werden, dass der Empfängerstaat oder die empfangende zwischen- oder überstaatliche Stelle im Einzelfall einen angemessenen Schutz der übermittelten Daten garantiert. (8) Die Übermittlung personenbezogener Daten soll unterbleiben, wenn 1. strafrechtliche Ermittlungen oder die Durchführung eines Gerichtsverfahrens durch die Übermittlung behindert oder gefährdet werden könnten oder  2. nicht gewährleistet ist, dass die ersuchende ausländische zentrale Meldestelle einem gleichartigen deutschen Ersuchen entsprechen würde.  (9) Die Gründe für die Ablehnung eines Informationsersuchens sollen der ersuchenden zentralen Meldestelle angemessen dargelegt werden. (10) Die Zentralstelle für Finanztransaktionsuntersuchungen hat den Zeitpunkt, die übermittelten Daten sowie die empfangende zentrale Meldestelle aufzuzeichnen. Unterbleibt die Datenübermittlung, so ist dies entsprechend aufzuzeichnen. Sie hat diese Daten drei Jahre aufzubewahren und danach zu löschen. Fußnote (+++ § 35 Abs. 2 bis 6: Zur Anwendung vgl. § 33 Abs. 2 +++) § 36 Automatisierter Datenabgleich im europäischen Verbund Die Zentralstelle für Finanztransaktionsuntersuchungen kann im Verbund mit zentralen Meldestellen anderer Mitgliedstaaten der Europäischen Union ein System zum verschlüsselten automatisierten Abgleich von dazu geeigneten Daten, die die nationalen zentralen Meldestellen im Rahmen ihrer Aufgabenerfüllung erhoben haben, einrichten und betreiben. Zweck dieses Systems ist es, Kenntnis davon zu erlangen, ob zu einer betreffenden Person bereits durch zentrale Meldestellen anderer Mitgliedstaaten der Europäischen Union eine Analyse nach § 30 durchgeführt wurde oder anderweitige Informationen zu dieser Person dort vorliegen. § 37 Berichtigung, Einschränkung der Verarbeitung und Löschung personenbezogener Daten aus automatisierter Verarbeitung und bei Speicherung in automatisierten Dateien (1) Die Zentralstelle für Finanztransaktionsuntersuchungen berichtigt unrichtig gespeicherte personenbezogene Daten, die sie automatisiert verarbeitet. (2) Die Zentralstelle für Finanztransaktionsuntersuchungen löscht gespeicherte personenbezogene Daten, wenn die Speicherung dieser Daten unzulässig ist oder die Kenntnis dieser Daten für die Aufgabenerfüllung nicht mehr erforderlich ist. (3) An die Stelle einer Löschung tritt eine Einschränkung der Verarbeitung der gespeicherten personenbezogenen Daten, wenn - Seite 52 von 77 - Ein Service des Bundesministeriums der Justiz sowie des Bundesamts für Justiz ‒ www.gesetze-im-internet.de 1. Anhaltspunkte vorliegen, dass durch die Löschung schutzwürdige Interessen eines Betroffenen beeinträchtigt würden,  2. die Daten für laufende Forschungsarbeiten benötigt werden oder  3. eine Löschung wegen der besonderen Art der Speicherung nur mit unverhältnismäßigem Aufwand möglich ist.  Der eingeschränkten Verarbeitung unterliegende Daten dürfen nur für den Zweck verarbeitet werden, für den die Löschung unterblieben ist. Sie dürfen auch verarbeitet werden, soweit dies zur Durchführung eines laufenden Strafverfahrens unerlässlich ist oder der Betroffene einer Verarbeitung zustimmt. (4) Die Zentralstelle für Finanztransaktionsuntersuchungen prüft bei der Einzelfallbearbeitung und nach festgesetzten Fristen, ob gespeicherte personenbezogene Daten zu berichtigen, zu löschen oder in der Verarbeitung einzuschränken sind. (5) Die Fristen beginnen mit dem Tag, an dem die Zentralstelle für Finanztransaktionsuntersuchungen die operative Analyse nach § 30 abgeschlossen hat. (6) Die Zentralstelle für Finanztransaktionsuntersuchungen ergreift angemessene Maßnahmen, um zu gewährleisten, dass personenbezogene Daten, die unrichtig, unvollständig oder in der Verarbeitung eingeschränkt sind, nicht übermittelt werden. Zu diesem Zweck überprüft sie, soweit durchführbar, die Qualität der Daten vor ihrer Übermittlung. Bei jeder Übermittlung von personenbezogenen Daten fügt sie nach Möglichkeit Informationen bei, die es dem Empfänger gestatten, die Richtigkeit, die Vollständigkeit und die Zuverlässigkeit der personenbezogenen Daten zu beurteilen. (7) Stellt die Zentralstelle für Finanztransaktionsuntersuchungen fest, dass sie unrichtige, zu löschende oder in der Verarbeitung einzuschränkende personenbezogene Daten übermittelt hat, so teilt sie dem Empfänger dieser Daten die Berichtigung, Löschung oder Einschränkung der Verarbeitung mit, wenn eine Mitteilung erforderlich ist, um schutzwürdige Interessen des Betroffenen zu wahren. Fußnote (+++ § 37 Abs. 3 Satz 2 u. 3: Zur Anwendung vgl. § 38 Abs. 4 +++) § 38 Berichtigung, Einschränkung der Verarbeitung und Vernichtung personenbezogener Daten, die weder automatisiert verarbeitet werden noch in einer automatisierten Datei gespeichert sind (1) Die Zentralstelle für Finanztransaktionsuntersuchungen hält in geeigneter Weise fest, wenn 1. sie feststellt, dass personenbezogene Daten, die weder automatisiert verarbeitet werden noch in einer automatisierten Datei gespeichert sind, unrichtig sind, oder  2. die Richtigkeit der personenbezogenen Daten, die weder automatisiert verarbeitet werden noch in einer automatisierten Datei gespeichert sind, von dem Betroffenen bestritten wird.  (2) Die Zentralstelle für Finanztransaktionsuntersuchungen schränkt die Verarbeitung personenbezogener Daten, die weder automatisiert verarbeitet werden noch in einer automatisierten Datei gespeichert sind, ein, wenn sie im Einzelfall feststellt, dass 1. ohne die Einschränkung der Verarbeitung schutzwürdige Interessen des Betroffenen beeinträchtigt würden und  2. die Daten für die Aufgabenerfüllung nicht mehr erforderlich sind.  Die personenbezogenen Daten sind auch dann in der Verarbeitung einzuschränken, wenn für sie eine Löschungsverpflichtung nach § 37 Absatz 2 besteht. (3) Die Zentralstelle für Finanztransaktionsuntersuchungen vernichtet die Unterlagen mit personenbezogenen Daten entsprechend den Bestimmungen über die Aufbewahrung von Akten, wenn diese Unterlagen insgesamt zur Erfüllung der Aufgaben der Zentralstelle für Finanztransaktionsuntersuchungen nicht mehr erforderlich sind. (4) Die Vernichtung unterbleibt, wenn 1. Anhaltspunkte vorliegen, dass anderenfalls schutzwürdige Interessen des Betroffenen beeinträchtigt würden, oder  - Seite 53 von 77 - Ein Service des Bundesministeriums der Justiz sowie des Bundesamts für Justiz ‒ www.gesetze-im-internet.de 2. die Daten für laufende Forschungsarbeiten benötigt werden.  In diesen Fällen schränkt die Zentralstelle für Finanztransaktionsuntersuchungen die Verarbeitung der Daten ein und versieht die Unterlagen mit einem Einschränkungsvermerk. Für die Einschränkung gilt § 37 Absatz 3 Satz 2 und 3 entsprechend. (5) Anstelle der Vernichtung nach Absatz 3 sind die Unterlagen an das zuständige Archiv abzugeben, sofern diesen Unterlagen ein bleibender Wert nach § 3 des Bundesarchivgesetzes vom 10. März 2017 (BGBl. I S. 410), das zuletzt durch Artikel 1 des Gesetzes vom 9. April 2021 (BGBl. I S. 750) geändert worden ist, in der jeweils geltenden Fassung zukommt. (6) Für den Fall, dass unrichtige, zu löschende oder in der Verarbeitung einzuschränkende personenbezogene Daten übermittelt worden sind, gilt § 37 Absatz 7 entsprechend. § 38a Protokollierung von Informationsersuchen, Statistik, Verordnungsermächtigung (1) Die Zentralstelle für Finanztransaktionsuntersuchungen protokolliert Ersuchen um Auskunft in den Fällen des § 32 Absatz 3a, des § 32a, des § 33 Absatz 2 Satz 3 Halbsatz 2 sowie in den Fällen des § 31, wenn die Zentralstelle für Finanztransaktionsuntersuchungen Daten bei der inländischen benannten Behörde im Sinne des Artikels 3 Absatz 2 der Richtlinie (EU) 2019/1153 erhebt. (2) Die Protokolle enthalten mindestens folgende Angaben: 1. Die Bezeichnung und Kontaktdaten derjenigen Behörde sowie den Namen derjenigen Person, die das Ersuchen an die Zentralstelle für Finanztransaktionsuntersuchungen gerichtet hat sowie – sofern bekannt – den Namen derjenigen Person, die das Ergebnis des Ersuchens empfängt;  2. das Aktenzeichen des nationalen Falles, hinsichtlich dessen das Ersuchen an die Zentralstelle für Finanztransaktionsuntersuchungen gerichtet wird;  3. den Gegenstand des Ersuchens und  4. alle Maßnahmen, die getroffen werden, um dem Ersuchen nachzukommen.  (3) Die Protokolle werden über einen Zeitraum von fünf Jahren nach ihrer Erstellung zugriffsgeschützt aufbewahrt. Sie dienen ausschließlich dem Zweck der Datenschutzkontrolle. Die Zentralstelle für Finanztransaktionsuntersuchungen stellt auf Anforderung der oder dem Bundesbeauftragten für den Datenschutz und die Informationssicherheit alle erforderlichen Protokolle zur Verfügung. Nach Ablauf der Aufbewahrungsfrist sind die Protokolle unverzüglich zu löschen, sofern sie nicht für laufende Kontrollverfahren erforderlich sind. (4) Die Zentralstelle für Finanztransaktionsuntersuchungen führt eine Statistik über Ersuchen um Auskunft in den Fällen des § 33 Absatz 2 Satz 3 Halbsatz 2. Sie erhebt hierfür die Zahl der Ersuchen sowie die Reaktionszeit sowie nach Möglichkeit die Kosten der Bearbeitung der Ersuchen und stellt die Daten dem Bundesministerium der Finanzen zur Verfügung. Das Bundesministerium der Finanzen wird ermächtigt, durch Rechtsverordnung, die nicht der Zustimmung des Bundesrates bedarf, das Nähere zu den zu erhebenden Daten, deren Aufbereitung, Auswertung und Bereitstellung zu regeln. § 39 Errichtungsanordnung (1) Die Zentralstelle für Finanztransaktionsuntersuchungen erlässt für jedes automatisierte Verfahren zur Verarbeitung personenbezogener Daten nach § 29 Absatz 2a, das sie zur Erfüllung ihrer Aufgaben führt, eine Errichtungsanordnung. Die Errichtungsanordnung bedarf der Zustimmung des Bundesministeriums der Finanzen. Vor Erlass einer Errichtungsanordnung ist die oder der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit anzuhören. (2) In der Errichtungsanordnung sind festzulegen: 1. Bezeichnung der verantwortlichen Stelle,  2. Rechtsgrundlage und Zweck der Verarbeitung,  3. Personenkreis, über den Daten gespeichert werden,  4. Arten der zu speichernden personenbezogenen Daten,  5. Arten der personenbezogenen Daten, die der Erschließung der Sammlung dienen,  6. Anlieferung oder Eingabe der zu speichernden Daten,  - Seite 54 von 77 - Ein Service des Bundesministeriums der Justiz sowie des Bundesamts für Justiz ‒ www.gesetze-im-internet.de 7. Voraussetzungen, unter denen gespeicherte personenbezogene Daten an welche Empfänger und in welchen Verfahren übermittelt werden,  8. Prüffristen und Speicherungsdauer sowie  9. Protokollierung.  (3) Ist im Hinblick auf die Dringlichkeit der Aufgabenerfüllung der Zentralstelle für Finanztransaktionsuntersuchungen eine Mitwirkung der in Absatz 1 genannten Stellen nicht möglich, so kann die Generalzolldirektion eine Sofortanordnung treffen. Gleichzeitig unterrichtet die Generalzolldirektion das Bundesministerium der Finanzen und legt ihm die Sofortanordnung vor. Das Verfahren nach Absatz 1 ist unverzüglich nachzuholen. (4) In angemessenen Abständen ist die Notwendigkeit der Weiterführung oder der Änderung der Errichtungsanordnung zu überprüfen. § 40 Sofortmaßnahmen (1) Liegen der Zentralstelle für Finanztransaktionsuntersuchungen Anhaltspunkte dafür vor, dass eine Transaktion im Zusammenhang mit Geldwäsche oder einer Straftat nach § 18 Absatz 1 des Außenwirtschaftsgesetzes steht oder der Terrorismusfinanzierung dient, so kann sie die Durchführung der Transaktion untersagen, um diesen Anhaltspunkten nachzugehen und die Transaktion zu analysieren. Außerdem kann sie unter den Voraussetzungen des Satzes 1 1. einem Verpflichteten nach § 2 Absatz 1 Nummer 1 bis 3 untersagen, a) Verfügungen von einem bei ihm geführten Konto oder Depot auszuführen und  b) sonstige Finanztransaktionen durchzuführen,  2. einen Verpflichteten nach § 2 Absatz 1 Nummer 1 anweisen, dem Vertragspartner und allen sonstigen Verfügungsberechtigten den Zugang zu einem Schließfach zu verweigern, oder  3. gegenüber einem Verpflichteten anderweitige Anordnungen in Bezug auf eine Transaktion treffen.  (2) Maßnahmen nach Absatz 1 können von der Zentralstelle für Finanztransaktionsuntersuchungen aufgrund des Ersuchens einer zentralen Meldestelle eines anderen Staates getroffen werden. Ein Ersuchen hat die Angaben entsprechend § 35 Absatz 3 zu enthalten. Die Zentralstelle für Finanztransaktionsuntersuchungen soll die Gründe für die Ablehnung eines Ersuchens angemessen darlegen. (3) Maßnahmen nach Absatz 1 werden von der Zentralstelle für Finanztransaktionsuntersuchungen aufgehoben, sobald oder soweit die Voraussetzungen für die Maßnahmen nicht mehr vorliegen. (4) Maßnahmen nach Absatz 1 enden 1. spätestens mit Ablauf eines Monats nach Anordnung der Maßnahmen durch die Zentralstelle für Finanztransaktionsuntersuchungen,  2. mit Ablauf des fünften Werktages nach Abgabe des Sachverhalts an die zuständige Strafverfolgungsbehörde, wobei der Samstag nicht als Werktag gilt, oder  3. zu einem früheren Zeitpunkt, wenn ein solcher von der Zentralstelle für Finanztransaktionsuntersuchungen festgelegt wurde.  (5) Die Zentralstelle für Finanztransaktionsuntersuchungen kann Vermögensgegenstände, die einer Maßnahme nach Absatz 1 Satz 2 unterliegen, auf Antrag der betroffenen Person oder einer Personenvereinigung freigeben, soweit diese Vermögensgegenstände einem der folgenden Zwecke dienen: 1. der Deckung des notwendigen Lebensunterhalts der Person oder ihrer Familienmitglieder,  2. der Bezahlung von Versorgungsleistungen oder Unterhaltsleistungen oder  3. vergleichbaren Zwecken.  (6) Gegen Maßnahmen nach Absatz 1 kann der Verpflichtete oder ein anderer Beschwerter Widerspruch erheben. Der Widerspruch hat keine aufschiebende Wirkung. - Seite 55 von 77 - Ein Service des Bundesministeriums der Justiz sowie des Bundesamts für Justiz ‒ www.gesetze-im-internet.de § 41 Rückmeldung an Verpflichtete und Behörden (1) Die Zentralstelle für Finanztransaktionsuntersuchungen bestätigt dem Verpflichteten, der eine Meldung nach § 43 Absatz 1 durch elektronische Datenübermittlung abgegeben hat, unverzüglich den Eingang seiner Meldung. (2) Die Zentralstelle für Finanztransaktionsuntersuchungen gibt dem Verpflichteten in angemessener Zeit Rückmeldung zur Relevanz seiner Meldung. Der Verpflichtete darf hierdurch erlangte personenbezogene Daten nur zur Verbesserung seines Risikomanagements, der Erfüllung seiner Sorgfaltspflichten und seines Meldeverhaltens nutzen. Er hat diese Daten zu löschen, wenn sie für den jeweiligen Zweck nicht mehr erforderlich sind, spätestens jedoch nach einem Jahr. (3) Die Absätze 1 und 2 Satz 1 gelten auch im Falle des § 44 dieses Gesetzes und des § 31b Absatz 2 der Abgabenordnung. § 42 Benachrichtigung von inländischen öffentlichen Stellen an die Zentralstelle für Finanztransaktionsuntersuchungen (1) In Strafverfahren, in denen die Zentralstelle für Finanztransaktionsuntersuchungen Informationen weitergeleitet hat, teilt die zuständige Staatsanwaltschaft der Zentralstelle für Finanztransaktionsuntersuchungen die Erhebung der öffentlichen Klage und den Ausgang des Verfahrens einschließlich aller Einstellungsentscheidungen mit. Die Mitteilung erfolgt durch Übersendung einer Kopie der Anklageschrift, der begründeten Einstellungsentscheidung oder des Urteils. (2) Leitet die Zentralstelle für Finanztransaktionsuntersuchungen Informationen an sonstige inländische öffentliche Stellen weiter, so benachrichtigt die empfangende Stelle die Zentralstelle für Finanztransaktionsuntersuchungen über die abschließende Verwendung der bereitgestellten Informationen und über die Ergebnisse der auf Grundlage der bereitgestellten Informationen durchgeführten Maßnahmen, soweit andere Rechtsvorschriften der Benachrichtigung nicht entgegenstehen. § 30 Absatz 1 der Abgabenordung steht dem nicht entgegen. Fußnote § 42 Abs. 2 Satz 2: Eingef. durch Art. 1 Nr. 32 G v. 12.12.2019 I 2602 mWv 1.1.2020 (Kursivdruck: Müsste richtig ""Abgabenordnung"" lauten) Abschnitt 6 Pflichten im Zusammenhang mit Meldungen von Sachverhalten § 43 Meldepflicht von Verpflichteten, Verordnungsermächtigung (1) Liegen Tatsachen vor, die darauf hindeuten, dass 1. ein Vermögensgegenstand, der mit einer Geschäftsbeziehung, einem Maklergeschäft oder einer Transaktion im Zusammenhang steht, aus einer strafbaren Handlung stammt, die eine Vortat der Geldwäsche darstellen könnte,  2. ein Geschäftsvorfall, eine Transaktion oder ein Vermögensgegenstand im Zusammenhang mit Terrorismusfinanzierung steht oder  3. der Vertragspartner seine Pflicht nach § 11 Absatz 6 Satz 3, gegenüber dem Verpflichteten offenzulegen, ob er die Geschäftsbeziehung oder die Transaktion für einen wirtschaftlich Berechtigten begründen, fortsetzen oder durchführen will, nicht erfüllt hat,  so hat der Verpflichtete diesen Sachverhalt unabhängig vom Wert des betroffenen Vermögensgegenstandes oder der Transaktionshöhe unverzüglich der Zentralstelle für Finanztransaktionsuntersuchungen zu melden. Gibt der Verpflichtete zusätzlich zu der Meldung eines nach Satz 1 meldepflichtigen Sachverhalts auch eine Strafanzeige oder einen Strafantrag ab, so teilt er dies der Zentralstelle für Finanztransaktionsuntersuchungen mit Abgabe der Meldung mit. (2) Abweichend von Absatz 1 sind Verpflichtete nach § 2 Absatz 1 Nummer 10 und 12 nicht zur Meldung verpflichtet, wenn sich der meldepflichtige Sachverhalt auf Informationen bezieht, die sie im Rahmen von Tätigkeiten der Rechtsberatung oder Prozessvertretung erhalten haben. Die Meldepflicht bleibt jedoch bestehen, wenn der Verpflichtete weiß, dass der Vertragspartner die Rechtsberatung oder Prozessvertretung für den Zweck - Seite 56 von 77 - Ein Service des Bundesministeriums der Justiz sowie des Bundesamts für Justiz ‒ www.gesetze-im-internet.de der Geldwäsche, der Terrorismusfinanzierung oder einer anderen Straftat genutzt hat oder nutzt, oder ein Fall des Absatzes 6 vorliegt. (3) Ein Mitglied der Führungsebene eines Verpflichteten hat eine Meldung nach Absatz 1 an die Zentralstelle für Finanztransaktionsuntersuchungen abzugeben, wenn 1. der Verpflichtete über eine Niederlassung in Deutschland verfügt und  2. der zu meldende Sachverhalt im Zusammenhang mit einer Tätigkeit der deutschen Niederlassung steht.  (4) Wenn ein nach Absatz 1 gegenüber der Zentralstelle für Finanztransaktionsuntersuchungen gemeldeter Sachverhalt zugleich die für eine Anzeige nach § 261 Absatz 8 des Strafgesetzbuches erforderlichen Angaben enthält, gilt die Meldung zugleich als Selbstanzeige im Sinne von § 261 Absatz 8 des Strafgesetzbuches. Die Pflicht zur Meldung nach Absatz 1 schließt die Freiwilligkeit der Anzeige nach § 261 Absatz 8 des Strafgesetzbuches nicht aus. (5) Die Zentralstelle für Finanztransaktionsuntersuchungen kann im Benehmen mit Aufsichtsbehörden typisierte Transaktionen bestimmen, die stets nach Absatz 1 zu melden sind. Sie kann im Benehmen mit Strafverfolgungsbehörden, Aufsichtsbehörden und sonstigen Behörden nach diesem Gesetz auch typisierte Transaktionen bestimmen, die nicht von der Meldepflicht nach Absatz 1 erfasst sind. § 30 Absatz 2 Satz 9 gilt entsprechend. (6) Das Bundesministerium der Finanzen kann im Einvernehmen mit dem Bundesministerium der Justiz und für Verbraucherschutz durch Rechtsverordnung ohne Zustimmung des Bundesrates Sachverhalte bei Erwerbsvorgängen nach § 1 des Grunderwerbsteuergesetzes bestimmen, die von Verpflichteten nach § 2 Absatz 1 Nummer 10 und 12 stets nach Absatz 1 zu melden sind. Fußnote (+++ § 43 Abs. 1: Zur Anwendung vgl. § 54 Abs. 3 VAG 2016 +++) (+++ § 43 Abs. 2: Zur Anwendung vgl. § 23a Abs. 1 +++) § 44 Meldepflicht von Aufsichtsbehörden (1) Liegen Tatsachen vor, die darauf hindeuten, dass ein Vermögensgegenstand mit Geldwäsche oder mit Terrorismusfinanzierung im Zusammenhang steht, meldet die Aufsichtsbehörde diese Tatsachen unverzüglich der Zentralstelle für Finanztransaktionsuntersuchungen. Dies gilt nicht, wenn Verpflichtete nach § 2 Absatz 1 Nummer 10 und 12 gemäß § 43 Absatz 2 nicht zur Meldung verpflichtet sind und daher von einer Meldung abgesehen haben. (2) Absatz 1 gilt entsprechend für Behörden, die für die Überwachung der Aktien-, Devisen- und Finanzderivatemärkte zuständig sind. § 45 Form der Meldung, Registrierungspflicht, Ausführung durch Dritte, Verordnungsermächtigung (1) Die Meldung nach § 43 Absatz 1 oder § 44 hat elektronisch zu erfolgen. Verpflichtete nach § 2 Absatz 1 haben sich unabhängig von der Abgabe einer Verdachtsmeldung bei der Zentralstelle für Finanztransaktionsuntersuchungen elektronisch zu registrieren. Bei einer Störung der elektronischen Datenübermittlung ist die Übermittlung auf dem Postweg zulässig. Dies gilt auch für die aufsichtführenden Landesbehörden. (2) Auf Antrag kann die Zentralstelle für Finanztransaktionsuntersuchungen zur Vermeidung von unbilligen Härten auf die elektronische Übermittlung einer Meldung eines Verpflichteten verzichten und die Übermittlung auf dem Postweg genehmigen. Die Ausnahmegenehmigung kann befristet werden. (3) Für die Übermittlung auf dem Postweg ist der amtliche Vordruck zu verwenden. (4) Bei Erfüllung der Meldepflicht nach § 43 Absatz 1 kann ein Verpflichteter entsprechend § 6 Absatz 7 auf Dritte zurückgreifen. (5) Das Bundesministerium der Finanzen kann durch Rechtsverordnung ohne Zustimmung des Bundesrates nähere Bestimmungen über die erforderlichen Angaben und die Form der Meldung nach § 43 Absatz 1 oder § 44 - Seite 57 von 77 - Ein Service des Bundesministeriums der Justiz sowie des Bundesamts für Justiz ‒ www.gesetze-im-internet.de erlassen. Von Absatz 1 und den Regelungen einer Rechtsverordnung nach Satz 1 kann durch Landesrecht nicht abgewichen werden. § 46 Durchführung von Transaktionen (1) Eine Transaktion, wegen der eine Meldung nach § 43 Absatz 1 erfolgt ist, darf frühestens durchgeführt werden, wenn 1. dem Verpflichteten die Zustimmung der Zentralstelle für Finanztransaktionsuntersuchungen oder der Staatsanwaltschaft zur Durchführung übermittelt wurde oder  2. der dritte Werktag nach dem Abgangstag der Meldung verstrichen ist, ohne dass die Durchführung der Transaktion durch die Zentralstelle für Finanztransaktionsuntersuchungen oder die Staatsanwaltschaft untersagt worden ist.  Für die Berechnung der Frist gilt der Samstag nicht als Werktag. Die Zentralstelle für Finanztransaktionsuntersuchungen bestimmt im Benehmen mit Vertretern der Strafverfolgungsbehörden Kriterien, bei deren Vorliegen sie einen Sachverhalt grundsätzlich innerhalb der Frist nach Satz 1 Nummer 2 analysiert. Hierbei können solche Sachverhalte bestimmt werden, die bereits vor Ablauf der Frist nach Satz 1 Nummer 2 mit vereinfachter Analyse an die zuständigen Strafverfolgungsbehörden übermittelt werden. § 30 Absatz 2 Satz 9 gilt entsprechend. (2) Ist ein Aufschub der Transaktion, bei der Tatsachen vorliegen, die auf einen Sachverhalt nach § 43 Absatz 1 hindeuten, nicht möglich oder könnte durch den Aufschub die Verfolgung einer mutmaßlichen strafbaren Handlung behindert werden, so darf die Transaktion durchgeführt werden. Die Meldung nach § 43 Absatz 1 ist vom Verpflichteten unverzüglich nachzuholen. § 47 Verbot der Informationsweitergabe, Verordnungsermächtigung (1) Ein Verpflichteter darf den Vertragspartner, den Auftraggeber der Transaktion und sonstige Dritte nicht in Kenntnis setzen von 1. einer beabsichtigten oder erstatteten Meldung nach § 43 Absatz 1,  2. einem Ermittlungsverfahren, das aufgrund einer Meldung nach § 43 Absatz 1 eingeleitet worden ist, und  3. einem Auskunftsverlangen nach § 30 Absatz 3 Satz 1.  (2) Das Verbot gilt nicht für eine Informationsweitergabe 1. an staatliche Stellen,  2. zwischen Verpflichteten nach § 2 Absatz 1 Nummer 1 bis 3 und 6 bis 8, die derselben Unternehmensgruppe angehören,  3. zwischen Verpflichteten nach § 2 Absatz 1 Nummer 1 bis 3 und 6 bis 8, die Mutterunternehmen nach § 9 Absatz 1 sind, und ihren in Drittstaaten ansässigen und dort geldwäscherechtlichen Pflichten unterliegenden Zweigstellen und gruppenangehörigen Unternehmen gemäß § 1 Absatz 16 Nummer 2, sofern diese die Maßnahmen nach § 9 Absatz 1 Satz 2 Nummer 1, 3 und 4 wirksam umgesetzt haben,  4. zwischen Verpflichteten nach § 2 Absatz 1 Nummer 10 bis 12 aus Mitgliedstaaten der Europäischen Union oder aus Drittstaaten, in denen die Anforderungen an ein System zur Verhinderung von Geldwäsche und von Terrorismusfinanzierung denen der Richtlinie (EU) 2015/849 entsprechen, sofern die betreffenden Personen ihre berufliche Tätigkeit a) selbständig ausüben,  b) angestellt in derselben juristischen Person ausüben oder  c) angestellt in einer Struktur ausüben, die einen gemeinsamen Eigentümer oder eine gemeinsame Leitung hat oder über eine gemeinsame Kontrolle in Bezug auf die Einhaltung der Vorschriften zur Verhinderung der Geldwäsche oder der Terrorismusfinanzierung verfügt,  5. zwischen Verpflichteten nach § 2 Absatz 1 Nummer 1 bis 3, 6, 7, 9, 10 und 12 in Fällen, die sich auf denselben Vertragspartner und auf dieselbe Transaktion beziehen, an der zwei oder mehr Verpflichtete beteiligt sind, wenn - Seite 58 von 77 - Ein Service des Bundesministeriums der Justiz sowie des Bundesamts für Justiz ‒ www.gesetze-im-internet.de a) die Verpflichteten ihren Sitz in einem Mitgliedstaat der Europäischen Union oder in einem Drittstaat haben, in dem die Anforderungen an ein System zur Verhinderung von Geldwäsche und Terrorismusfinanzierung den Anforderungen der Richtlinie (EU) 2015/849 entsprechen,  b) die Verpflichteten derselben Berufskategorie angehören und  c) für die Verpflichteten vergleichbare Verpflichtungen in Bezug auf das Berufsgeheimnis und auf den Schutz personenbezogener Daten gelten.  Nach Satz 1 Nummer 2 bis 5 weitergegebene Informationen dürfen ausschließlich zum Zweck der Verhinderung der Geldwäsche oder der Terrorismusfinanzierung verwendet werden. (3) Soweit in diesem oder anderen Gesetzen nicht etwas anderes geregelt ist, dürfen andere staatliche Stellen als die Zentralstelle für Finanztransaktionsuntersuchungen, die Kenntnis von einer nach § 43 Absatz 1 abgegebenen Meldung erlangt haben, diese Informationen nicht weitergeben an 1. den Vertragspartner des Verpflichteten,  2. den Auftraggeber der Transaktion,  3. den wirtschaftlich Berechtigten,  4. eine Person, die von einer der in den Nummern 1 bis 3 genannten Personen als Vertreter oder Bote eingesetzt worden ist, und  5. den Rechtsbeistand, der von einer der in den Nummern 1 bis 4 genannten Personen mandatiert worden ist.  Eine Weitergabe dieser Informationen an diese Personen ist nur zulässig, wenn die Zentralstelle für Finanztransaktionsuntersuchungen vorher ihr Einverständnis erklärt hat und durch die Weitergabe dieser Informationen der ursprüngliche Zweck der Verdachtsmeldung nicht verändert wird. (4) Nicht als Informationsweitergabe gilt, wenn sich Verpflichtete nach § 2 Absatz 1 Nummer 10 bis 12 bemühen, einen Mandanten davon abzuhalten, eine rechtswidrige Handlung zu begehen. (5) Verpflichtete nach § 2 Absatz 1 Nummer 1 bis 9 dürfen einander andere als die in Absatz 1 genannten Informationen über konkrete Sachverhalte, die auf Geldwäsche, eine ihrer Vortaten oder Terrorismusfinanzierung hindeutende Auffälligkeiten oder Ungewöhnlichkeiten enthalten, zur Kenntnis geben, wenn sie davon ausgehen können, dass andere Verpflichtete diese Informationen benötigen für 1. die Risikobeurteilung einer entsprechenden oder ähnlichen Transaktion oder Geschäftsbeziehung oder  2. die Beurteilung, ob eine Meldung nach § 43 Absatz 1 oder eine Strafanzeige nach § 158 der Strafprozessordnung erstattet werden sollte.  Die Informationen dürfen auch unter Verwendung von Datenbanken zur Kenntnis gegeben werden, unabhängig davon, ob diese Datenbanken von den Verpflichteten nach § 2 Absatz 1 Nummer 1 bis 9 selbst oder von Dritten betrieben werden. Die weitergegebenen Informationen dürfen ausschließlich zum Zweck der Verhinderung der Geldwäsche, ihrer Vortaten oder der Terrorismusfinanzierung und nur unter den durch den übermittelnden Verpflichteten vorgegebenen Bedingungen verwendet werden. (6) Das Bundesministerium der Finanzen kann im Einvernehmen mit dem Bundesministerium des Innern, für Bau und Heimat, dem Bundesministerium der Justiz und für Verbraucherschutz und dem Bundesministerium für Wirtschaft und Energie durch Rechtsverordnung ohne Zustimmung des Bundesrates weitere Regelungen treffen, nach denen in Bezug auf Verpflichtete aus Drittstaaten mit erhöhtem Risiko nach Artikel 9 der Richtlinie (EU) 2015/849 keine Informationen weitergegeben werden dürfen. Fußnote (+++ § 47 Abs. 5: Zur Anwendung vgl. § 25h Abs. 3 Satz 4 KredWG +++) § 48 Freistellung von der Verantwortlichkeit (1) Wer Sachverhalte nach § 43 meldet oder eine Strafanzeige nach § 158 der Strafprozessordnung erstattet, darf deshalb nicht nach zivilrechtlichen oder strafrechtlichen Vorschriften verantwortlich gemacht oder disziplinarrechtlich verfolgt werden, es sei denn, die Meldung oder Strafanzeige ist vorsätzlich oder grob fahrlässig unwahr erstattet worden. - Seite 59 von 77 - Ein Service des Bundesministeriums der Justiz sowie des Bundesamts für Justiz ‒ www.gesetze-im-internet.de (2) Absatz 1 gilt auch, wenn 1. ein Beschäftigter einen Sachverhalt nach § 43 Absatz 1 seinem Vorgesetzten meldet oder einer Stelle meldet, die unternehmensintern für die Entgegennahme einer solchen Meldung zuständig ist, und  2. ein Verpflichteter oder einer seiner Beschäftigten einem Auskunftsverlangen der Zentralstelle für Finanztransaktionsuntersuchungen nach § 30 Absatz 3 Satz 1 nachkommt.  § 49 Informationszugang und Schutz der meldenden Beschäftigten (1) Ist die Analyse aufgrund eines nach § 43 gemeldeten Sachverhalts noch nicht abgeschlossen, so kann die Zentralstelle für Finanztransaktionsuntersuchungen dem Betroffenen auf Anfrage Auskunft über die zu ihm vorliegenden Informationen geben, wenn dadurch der Analysezweck nicht beeinträchtigt wird. Gibt sie dem Betroffenen Auskunft, so macht sie die personenbezogenen Daten der Einzelperson, die die Meldung nach § 43 Absatz 1 abgegeben hat, unkenntlich. (2) Ist die Analyse aufgrund eines nach § 43 gemeldeten Sachverhalts abgeschlossen, aber nicht an die Strafverfolgungsbehörde übermittelt worden, so kann die Zentralstelle für Finanztransaktionsuntersuchungen auf Anfrage des Betroffenen über die zu ihm vorliegenden Informationen Auskunft geben. Sie verweigert die Auskunft, wenn ein Bekanntwerden dieser Informationen negative Auswirkungen hätte auf 1. internationale Beziehungen,  2. Belange der inneren oder äußeren Sicherheit der Bundesrepublik Deutschland,  3. die Durchführung eines anderen strafrechtlichen Ermittlungsverfahrens oder  4. die Durchführung eines laufenden Gerichtsverfahrens.  In der Auskunft macht sie personenbezogene Daten der Einzelperson, die eine Meldung nach § 43 Absatz 1 abgegeben hat oder die einem Auskunftsverlangen der Zentralstelle für Finanztransaktionsuntersuchungen nachgekommen ist, unkenntlich. Auf Antrag des Betroffenen kann sie Ausnahmen von Satz 3 zulassen, wenn schutzwürdige Interessen des Betroffenen überwiegen. (3) Die Zentralstelle für Finanztransaktionsuntersuchungen ist nicht mehr befugt, dem Betroffenen Auskunft zu geben, nachdem sie den jeweiligen Sachverhalt an die Strafverfolgungsbehörde übermittelt hat. Ist das Verfahren durch die Staatsanwaltschaft oder das Gericht abgeschlossen worden, ist die Zentralstelle für Finanztransaktionsuntersuchungen wieder befugt, dem Betroffenen Auskunft zu erteilen. In diesem Fall gilt Absatz 2 entsprechend. (4) Steht die Person, die eine Meldung nach § 43 Absatz 1 abgegeben hat oder die dem Verpflichteten intern einen solchen Sachverhalt gemeldet hat, in einem Beschäftigungsverhältnis zum Verpflichteten, so darf ihr aus der Meldung keine Benachteiligung im Beschäftigungsverhältnis entstehen. (5) Einer Person, die aufgrund der Abgabe einer Meldung nach § 43 Absatz 1 oder aufgrund der internen Meldung eines solchen Sachverhalts an den Verpflichteten entgegen dem Benachteiligungsverbot des Absatzes 4 einer Benachteiligung im Zusammenhang mit ihrem Beschäftigungsverhältnis ausgesetzt ist, steht bei der zuständigen Aufsichtsbehörde nach § 50 das Recht der Beschwerde zu. Der Rechtsweg bleibt von dem Beschwerdeverfahren unberührt. Dem Beschwerdeführer steht für die Einreichung der Beschwerde nach Satz 1 das vertrauliche Informationssystem der Aufsichtsbehörde nach § 53 Absatz 1 Satz 2 zur Verfügung. Abschnitt 7 Aufsicht, Zusammenarbeit, Bußgeldvorschriften, Datenschutz § 50 Zuständige Aufsichtsbehörde Zuständige Aufsichtsbehörde für die Durchführung dieses Gesetzes ist 1. die Bundesanstalt für Finanzdienstleistungsaufsicht für a) Kreditinstitute mit Ausnahme der Deutschen Bundesbank,  b) Finanzdienstleistungsinstitute sowie Zahlungsinstitute nach § 1 Absatz 1 Satz 1 Nummer 1 des Zahlungsdiensteaufsichtsgesetzes, E-Geld-Institute nach § 1 Absatz 2 Satz 1 Nummer 1 des Zahlungsdiensteaufsichtsgesetzes, Wertpapierinstitute nach § 2 Absatz 1 des - Seite 60 von 77 - Ein Service des Bundesministeriums der Justiz sowie des Bundesamts für Justiz ‒ www.gesetze-im-internet.de Wertpapierinstitutsgesetzes, Anbieter von Kryptowerte-Dienstleistungen und Emittenten vermögenswertreferenzierter Token  c) im Inland gelegene Zweigstellen und Zweigniederlassungen von Kreditinstituten mit Sitz im Ausland, von Finanzdienstleistungsinstituten mit Sitz im Ausland, von Zahlungsinstituten mit Sitz im Ausland und von Wertpapierinstituten mit Sitz im Ausland,  d) Kapitalverwaltungsgesellschaften nach § 17 Absatz 1 des Kapitalanlagegesetzbuchs,  e) im Inland gelegene Zweigniederlassungen von EU-Verwaltungsgesellschaften nach § 1 Absatz 17 des Kapitalanlagegesetzbuchs sowie von ausländischen AIF-Verwaltungsgesellschaften nach § 1 Absatz 18 des Kapitalanlagegesetzbuchs,  f) ausländische AIF-Verwaltungsgesellschaften, für die die Bundesrepublik Deutschland Referenzmitgliedstaat ist und die der Aufsicht der Bundesanstalt für Finanzdienstleistungsaufsicht nach § 57 Absatz 1 Satz 3 des Kapitalanlagegesetzbuchs unterliegen,  g) Zahlungsinstitute und E-Geld-Institute mit Sitz in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum, Agenten und E-Geld-Agenten nach § 2 Absatz 1 Nummer 4,  h) Unternehmen und Personen nach § 2 Absatz 1 Nummer 5 und  i) die Kreditanstalt für Wiederaufbau,  2. für Versicherungsunternehmen nach § 2 Absatz 1 Nummer 7 die jeweils zuständige Aufsichtsbehörde für das Versicherungswesen,  3. für Rechtsanwälte und Kammerrechtsbeistände nach § 2 Absatz 1 Nummer 10 die jeweils örtlich zuständige Rechtsanwaltskammer (§§ 60, 163 Satz 4 der Bundesrechtsanwaltsordnung),  4. für Patentanwälte nach § 2 Absatz 1 Nummer 10 die Patentanwaltskammer (§ 53 der Patentanwaltsordnung),  5. für Notare nach § 2 Absatz 1 Nummer 10 a) der jeweilige Präsident des Landgerichts, in dessen Bezirk der Notar seinen Sitz hat (§ 92 Absatz 1 Nummer 1 der Bundesnotarordnung),  b) im Fall des § 92 Absatz 3 der Bundesnotarordnung der jeweilige Präsident des Landgerichts, dem die Zuständigkeit zugewiesen wurde,  5a. für Verpflichtete nach § 2 Absatz 1 Nummer 11 das Bundesamt für Justiz,  6. für Wirtschaftsprüfer und vereidigte Buchprüfer nach § 2 Absatz 1 Nummer 12 die Wirtschaftsprüferkammer (§ 57 Absatz 2 Nummer 17 der Wirtschaftsprüferordnung),  7. für Steuerberater und Steuerbevollmächtigte nach § 2 Absatz 1 Nummer 12 die jeweils örtlich zuständige Steuerberaterkammer (§ 76 des Steuerberatungsgesetzes),  7a. für Vereine nach § 4 Nummer 11 des Steuerberatungsgesetzes die für die Aufsicht nach § 27 des Steuerberatungsgesetzes zuständige Behörde,  8. für die Veranstalter und Vermittler von Glücksspielen nach § 2 Absatz 1 Nummer 15, soweit das Landesrecht nichts anderes bestimmt, die für die glücksspielrechtliche Aufsicht zuständige Behörde und  9. im Übrigen die jeweils nach Bundes- oder Landesrecht zuständige Stelle.  § 51 Aufsicht (1) Die Aufsichtsbehörden üben die Aufsicht über die Verpflichteten aus. (2) Die Aufsichtsbehörden können im Rahmen der ihnen gesetzlich zugewiesenen Aufgaben die geeigneten und erforderlichen Maßnahmen und Anordnungen treffen, um die Einhaltung der in diesem Gesetz und der in aufgrund dieses Gesetzes ergangenen Rechtsverordnungen festgelegten Anforderungen sicherzustellen. Insbesondere können die Aufsichtsbehörden in diesem Rahmen durch erforderliche Maßnahmen und Anordnungen sicherstellen, dass die Verpflichteten diese Anforderungen auch im Einzelfall einhalten und nicht entgegen diesen Anforderungen Geschäftsbeziehungen begründen oder fortsetzen und Transaktionen durchführen. Sie können hierzu auch die ihnen für sonstige Aufsichtsaufgaben eingeräumten Befugnisse ausüben. Widerspruch und Anfechtungsklage gegen diese Maßnahmen haben keine aufschiebende Wirkung. - Seite 61 von 77 - Ein Service des Bundesministeriums der Justiz sowie des Bundesamts für Justiz ‒ www.gesetze-im-internet.de (2a) Die Aufsichtsbehörde nach § 50 Nummer 1 übt, unbeschadet der Aufsicht nach Absatz 1, die Aufsicht über die Einhaltung der Verordnung (EU) 2023/1113 durch Anbieter von Kryptowerte-Dienstleistungen aus. Sie kann die erforderlichen Anordnungen treffen, um die Einhaltung der Verordnung (EU) 2023/1113 durch Anbieter von Kryptowerte-Dienstleistungen sicherzustellen. (3) Die Aufsichtsbehörde nach § 50 Nummer 1, soweit sich die Aufsichtstätigkeit auf die in § 50 Nummer 1 Buchstabe g und h genannten Verpflichteten oder die in § 50 Nummer 1 Buchstabe b genannten Verpflichteten, soweit sie die Voraussetzungen des § 2 Absatz 6 Nummer 16 des Kreditwesengesetzes erfüllen, bezieht, und die Aufsichtsbehörden nach § 50 Nummer 3 bis 9 können bei den Verpflichteten Prüfungen zur Einhaltung der in diesem Gesetz festgelegten Anforderungen durchführen. Die Prüfungen können ohne besonderen Anlass vor Ort und anderswo erfolgen. Die Aufsichtsbehörden können die Durchführung der Prüfungen vertraglich auf sonstige Personen und Einrichtungen übertragen. Häufigkeit und Intensität der Prüfungen haben sich am Risikoprofil der Verpflichteten im Hinblick auf Geldwäsche und Terrorismusfinanzierung zu orientieren, das in regelmäßigen Abständen und bei Eintritt wichtiger Ereignisse oder Entwicklungen in deren Geschäftsleitung und Geschäftstätigkeit neu zu bewerten ist. (4) Für Maßnahmen und Anordnungen nach dieser Vorschrift kann die Aufsichtsbehörde nach § 50 Nummer 8 und 9 zur Deckung des Verwaltungsaufwands Kosten erheben. (5) Die Aufsichtsbehörde nach § 50 Nummer 1, soweit sich die Aufsichtstätigkeit auf die in § 50 Nummer 1 Buchstabe g und h genannten Verpflichteten oder die in § 50 Nummer 1 Buchstabe b genannten Verpflichteten, soweit sie die Voraussetzungen des § 2 Absatz 6 Nummer 16 des Kreditwesengesetzes erfüllen, bezieht, und die Aufsichtsbehörden nach § 50 Nummer 3 bis 9 können einem Verpflichteten, dessen Tätigkeit einer Zulassung bedarf und durch die Aufsichtsbehörde zugelassen wurde, die Ausübung des Geschäfts oder Berufs vorübergehend untersagen oder ihm gegenüber die Zulassung widerrufen, wenn der Verpflichtete vorsätzlich oder fahrlässig 1. gegen die Bestimmungen dieses Gesetzes, gegen die zur Durchführung dieses Gesetzes erlassenen Verordnungen oder gegen Anordnungen der zuständigen Aufsichtsbehörde verstoßen hat,  2. trotz Verwarnung durch die zuständige Aufsichtsbehörde dieses Verhalten fortsetzt und  3. der Verstoß nachhaltig ist.  Hat ein Mitglied der Führungsebene oder ein anderer Beschäftigter eines Verpflichteten vorsätzlich oder fahrlässig einen Verstoß nach Satz 1 begangen, kann die Aufsichtsbehörde nach § 50 Nummer 1, soweit sich die Aufsichtstätigkeit auf die in § 50 Nummer 1 Buchstabe g und h genannten Verpflichteten oder die in § 50 Nummer 1 Buchstabe b genannten Verpflichteten, soweit sie die Voraussetzungen des § 2 Absatz 6 Nummer 16 des Kreditwesengesetzes erfüllen, bezieht, und können die Aufsichtsbehörden nach § 50 Nummer 3 bis 9 dem Verstoßenden gegenüber ein vorübergehendes Verbot zur Ausübung einer Leitungsposition bei Verpflichteten nach § 2 Absatz 1 aussprechen. Handelt es sich bei der Aufsichtsbehörde nicht um die Behörde, die dem Verpflichteten für die Ausübung seiner Tätigkeit die Zulassung erteilt hat, führt die Zulassungsbehörde auf Verlangen derjenigen Aufsichtsbehörde, die einen Verstoß nach Satz 1 festgestellt hat, das Verfahren entsprechend Satz 1 oder 2 durch. (5a) Ist die für die Aufsicht über einen Verpflichteten nach § 50 Nummer 1 Buchstabe g und h oder die in § 50 Nummer 1 Buchstabe b genannten Verpflichteten, soweit sie die Voraussetzungen des § 2 Absatz 6 Nummer 16 des Kreditwesengesetzes erfüllen, zuständige Behörde eine Behörde in einem anderen Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum, kann die Aufsichtsbehörde nach § 50 Nummer 1, wenn die ausländische Behörde selbst keine Maßnahmen ergreift oder sich die von ihr ergriffenen Maßnahmen als unzureichend erweisen und eine sofortige Abhilfe geboten ist, nach Unterrichtung der zuständigen ausländischen Behörde die zur Behebung eines schweren Verstoßes erforderlichen Maßnahmen ergreifen. Soweit erforderlich, kann sie die Durchführung neuer Geschäfte im Inland untersagen. In dringenden Fällen kann die Aufsichtsbehörde nach § 50 Nummer 1 vor Unterrichtung die erforderlichen Maßnahmen ergreifen. Die Maßnahmen müssen befristet und im Hinblick auf den mit ihnen verfolgten Zweck, der Abwendung schwerer Verstöße gegen die Bestimmungen dieses Gesetzes, gegen die zur Durchführung dieses Gesetzes erlassenen Verordnungen oder gegen Anordnungen der zuständigen Aufsichtsbehörden, angemessen sein. Sie sind zu beenden, wenn die festgestellten schweren Verstöße abgewendet wurden. In dringenden Fällen des Satzes 3 ist die ausländische Behörde über die ergriffenen Maßnahmen unverzüglich zu unterrichten. (5b) Verpflichtete nach § 2 Absatz 1 Nummer 13 haben sich unter Angabe ihrer konkreten Tätigkeit bei der Aufsichtsbehörde zu registrieren, wenn sie nicht bereits nach anderen Vorschriften einer Anmeldung, Eintragung, - Seite 62 von 77 - Ein Service des Bundesministeriums der Justiz sowie des Bundesamts für Justiz ‒ www.gesetze-im-internet.de Erlaubnis oder Zulassung bedürfen. Soweit nicht nach anderen Vorschriften die Befugnis hierzu besteht, kann die Aufsichtsbehörde Mitglieder der Führungs- und Leitungsebene des Verpflichteten abberufen, soweit begründete Tatsachen die Annahme rechtfertigen, dass diese nicht die erforderliche Eignung oder Zuverlässigkeit besitzen. Die Aufsichtsbehörde kann Verpflichteten, bei denen begründete Tatsachen die Annahme rechtfertigen, dass der wirtschaftlich Berechtigte die erforderliche Eignung oder Zuverlässigkeit nicht besitzt, die Ausübung der Dienstleistung nach § 2 Absatz 1 Nummer 13 untersagen. Absatz 5 Satz 1 und 2 gilt entsprechend. (6) Die nach § 50 Nummer 9 zuständige Aufsichtsbehörde übt zudem die Aufsicht aus, die ihr übertragen ist nach Artikel 55 Absatz 1 der Verordnung (EU) Nr. 1031/2010 der Kommission vom 12. November 2010 über den zeitlichen und administrativen Ablauf sowie sonstige Aspekte der Versteigerung von Treibhausgasemissionszertifikaten gemäß der Richtlinie 2003/87/EG des Europäischen Parlaments und des Rates über ein System für den Handel mit Treibhausgasemissionszertifikaten in der Gemeinschaft (ABl. L 302 vom 18.11.2010, S. 1). (7) Die nach § 50 Nummer 8 und 9 zuständige Aufsichtsbehörde für Verpflichtete nach § 2 Absatz 1 Nummer 15 kann zur Erfüllung ihrer Aufgaben im Einzelfall bei einem Verpflichteten nach § 2 Absatz 1 Nummer 1 oder Nummer 3 Auskünfte einholen zu Zahlungskonten nach § 1 Absatz 17 des Zahlungsdiensteaufsichtsgesetzes und zu darüber ausgeführten Zahlungsvorgängen 1. eines Veranstalters oder Vermittlers von Glücksspielen im Internet, unabhängig davon, ob er im Besitz einer glücksspielrechtlichen Erlaubnis ist, sowie  2. eines Spielers.  (8) Die Aufsichtsbehörde stellt den Verpflichteten regelmäßig aktualisierte Auslegungs- und Anwendungshinweise für die Umsetzung der Sorgfaltspflichten und der internen Sicherungsmaßnahmen nach den gesetzlichen Bestimmungen zur Verhinderung von Geldwäsche und von Terrorismusfinanzierung zur Verfügung. Sie kann diese Pflicht auch dadurch erfüllen, dass sie solche Hinweise, die durch Verbände der Verpflichteten erstellt worden sind, genehmigt. (9) Die Aufsichtsbehörden haben zur Dokumentation ihrer Aufsichtstätigkeit folgende Daten in Form einer Statistik vorzuhalten: 1. Daten zur Aufsichtstätigkeit pro Kalenderjahr, insbesondere: a) die Anzahl der in der Aufsichtsbehörde beschäftigten Personen, gemessen in Vollzeitäquivalenten, die mit der Aufsicht über die Verpflichteten nach § 2 Absatz 1 betraut sind;  b) die Anzahl der durchgeführten Vor-Ort-Prüfungen und der sonstigen ergriffenen Prüfungsmaßnahmen, differenziert nach den betroffenen Verpflichteten nach § 2 Absatz 1;  c) die Anzahl der Maßnahmen nach Buchstabe b, bei denen die Aufsichtsbehörde eine Pflichtverletzung nach diesem Gesetz oder nach einer auf der Grundlage dieses Gesetzes erlassenen Rechtsverordnung festgestellt hat, sowie die Anzahl der Fälle, in denen die Aufsichtsbehörde anderweitig Kenntnis von einer solchen Pflichtverletzung erlangt hat, und  d) Art und Umfang der daraufhin von der Aufsichts- und Verwaltungsbehörde rechtskräftig ergriffenen Maßnahmen; dazu gehören die Anzahl aa) der erteilten Verwarnungen,  bb) der festgesetzten Bußgelder einschließlich der jeweiligen Höhe, differenziert danach, ob und inwieweit eine Bekanntmachung nach § 57 erfolgte,  cc) der angeordneten Abberufungen von Geldwäschebeauftragten oder Mitgliedern der Geschäftsführung,  dd) der angeordneten Erlaubnisentziehungen,  ee) der sonstigen ergriffenen Maßnahmen;  e) Art und Umfang der Maßnahmen, um die Verpflichteten nach § 2 Absatz 1 über die von ihnen einzuhaltenden Sorgfaltspflichten und internen Sicherungsmaßnahmen zu informieren;  2. die Anzahl der von der Aufsichtsbehörde nach § 44 abgegebenen Verdachtsmeldungen pro Kalenderjahr, differenziert nach den betroffenen Verpflichteten nach § 2 Absatz 1.  - Seite 63 von 77 - Ein Service des Bundesministeriums der Justiz sowie des Bundesamts für Justiz ‒ www.gesetze-im-internet.de Die Aufsichtsbehörden haben dem Bundesministerium der Finanzen und der Zentralstelle für Finanztransaktionsuntersuchungen die Daten nach Satz 1 mit Stand zum 31. Dezember des Berichtsjahres bis zum 31. März des Folgejahres in elektronischer Form zu übermitteln. Das Bundesministerium der Finanzen und die Zentralstelle für Finanztransaktionsuntersuchungen können dazu einen gemeinsamen Vordruck vorsehen. Die Aufsichtsbehörden teilen der Zentralstelle für Finanztransaktionsuntersuchungen ihre Kontaktdaten, ihre Angaben zu ihrem Zuständigkeitsbereich und ihre Änderungen der Daten unverzüglich mit. (10) Die zuständigen Aufsichtsbehörden unterrichten das Bundesministerium der Finanzen vor der Anordnung oder der Anwendung der in § 15 Absatz 5a genannten Maßnahmen. Das Bundesministerium der Finanzen unterrichtet die Europäische Kommission vor der Anordnung oder der Anwendung der in § 15 Absatz 5a genannten Maßnahmen durch die zuständigen Aufsichtsbehörden sowie über den Erlass einer Rechtsverordnung nach § 15 Absatz 10 Satz 1 Nummer 2. § 51a Verarbeitung personenbezogener Daten durch Aufsichtsbehörden (1) Die nach diesem Gesetz zuständigen Aufsichtsbehörden sind befugt, personenbezogene Daten zu verarbeiten, soweit dies zur Erfüllung ihrer gesetzlichen Aufgaben erforderlich ist. (2) Verarbeiten die nach diesem Gesetz zuständigen Aufsichtsbehörden im Zuge einer aufsichtsrechtlichen Maßnahme nach diesem Gesetz oder auf Grundlage der nach diesem Gesetz ergangenen Rechtsverordnungen personenbezogene Daten, stehen den betroffenen Personen die Rechte aus den Artikeln 15 bis 18 und 20 bis 22 der Verordnung (EU) 2016/679 nicht zu, soweit die Erfüllung der Rechte der betroffenen Personen Folgendes gefährden würde: 1. den Zweck der Maßnahme,  2. die Stabilität der Finanzmärkte der Bundesrepublik Deutschland oder eines oder mehrerer Mitgliedstaaten des Europäischen Wirtschaftsraums,  3. ein sonstiges wichtiges Ziel des allgemeinen öffentlichen Interesses der Bundesrepublik Deutschland oder eines oder mehrerer Mitgliedstaaten des Europäischen Wirtschaftsraums, insbesondere ein wichtiges wirtschaftliches oder finanzielles Interesse oder  4. die Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder die Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit.  Unter diesen Voraussetzungen ist die zuständige Aufsichtsbehörde auch von den Pflichten nach den Artikeln 12 bis 14, 19 und 34 sowie den Transparenzpflichten nach Artikel 5 der Verordnung (EU) 2016/679 befreit. Die Sätze 1 und 2 gelten entsprechend für Personen und Einrichtungen, derer sich die zuständige Aufsichtsbehörde bei der Durchführung ihrer Aufgaben bedient sowie für die registerführende Stelle. (3) Die betroffene Person ist über den Wegfall der Beschränkung zu informieren, sofern dies nicht dem Zweck der Beschränkung abträglich ist. (4) Wird der betroffenen Person in den Fällen des Absatzes 2 Satz 1 bis 3 keine Auskunft erteilt, so ist auf ihr Verlangen je nach Zuständigkeit dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit oder der nach Landesrecht für den Datenschutz zuständigen Aufsichtsbehörde die Auskunft zu erteilen, soweit nicht im Einzelfall festgestellt wird, dass dadurch die öffentliche Sicherheit des Bundes oder eines Landes oder die Stabilität und Integrität der Finanzmärkte gefährdet würde. Die Mitteilung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit oder der nach Landesrecht für den Datenschutz zuständigen Aufsichtsbehörde an die betroffene Person über das Ergebnis der datenschutzrechtlichen Prüfung darf keine Rückschlüsse auf den Erkenntnisstand der zuständigen Aufsichtsbehörde und der Personen und Einrichtungen, derer sich die zuständige Aufsichtsbehörde bei der Durchführung ihrer Aufgaben bedient, zulassen, sofern diese nicht einer weitergehenden Auskunft zustimmt. § 52 Mitwirkungspflichten (1) Ein Verpflichteter, die Mitglieder seiner Organe und seine Beschäftigten haben der nach § 50 Nummer 1 zuständigen Aufsichtsbehörde, soweit sich die Aufsichtstätigkeit auf die in § 50 Nummer 1 Buchstabe g und h genannten Verpflichteten bezieht, der nach § 50 Nummer 3 bis 9 zuständigen Aufsichtsbehörde sowie den Personen und Einrichtungen, derer sich diese Aufsichtsbehörden zur Durchführung ihrer Aufgaben bedienen, auf Verlangen unentgeltlich 1. Auskunft über alle Geschäftsangelegenheiten und Transaktionen zu erteilen und  2. Unterlagen vorzulegen,  - Seite 64 von 77 - Ein Service des Bundesministeriums der Justiz sowie des Bundesamts für Justiz ‒ www.gesetze-im-internet.de die für die Einhaltung der in diesem Gesetz festgelegten Anforderungen von Bedeutung sind. Im Rahmen der Pflicht nach Satz 1 Nummer 2 hat der Verpflichtete der Behörde die vorzulegenden Unterlagen im Original, in Form von Kopien oder in digitaler Form auf elektronischem Wege oder auf einem digitalen Speichermedium zur Verfügung zu stellen. (2) Bei den Prüfungen nach § 51 Absatz 3 ist es den Bediensteten der Aufsichtsbehörde und den sonstigen Personen, derer sich die zuständige Aufsichtsbehörde bei der Durchführung der Prüfungen bedient, gestattet, die Geschäftsräume des Verpflichteten innerhalb der üblichen Betriebs- und Geschäftszeiten zu betreten und zu besichtigen. (3) Die Betroffenen haben Maßnahmen nach Absatz 2 zu dulden. (4) Der zur Erteilung einer Auskunft Verpflichtete kann die Auskunft auf solche Fragen verweigern, deren Beantwortung ihn selbst oder einen der in § 383 Absatz 1 Nummer 1 bis 3 der Zivilprozessordnung bezeichneten Angehörigen der Gefahr strafrechtlicher Verfolgung oder eines Verfahrens nach dem Gesetz über Ordnungswidrigkeiten aussetzen würde. (5) Verpflichtete nach § 2 Absatz 1 Nummer 10 und 12 können die Auskunft auch auf Fragen verweigern, wenn sich diese Fragen auf Informationen beziehen, die sie im Rahmen der Rechtsberatung oder der Prozessvertretung des Vertragspartners erhalten haben. Die Pflicht zur Auskunft bleibt bestehen, wenn der Verpflichtete weiß, dass sein Mandant seine Rechtsberatung für den Zweck der Geldwäsche oder der Terrorismusfinanzierung in Anspruch genommen hat oder nimmt. (6) Personen, bei denen aufgrund ihrer Geschäftstätigkeit Tatsachen die Annahme rechtfertigen, dass sie Verpflichtete nach § 2 Absatz 1 sind, haben der nach § 50 zuständigen Aufsichtsbehörde auf Verlangen unentgeltlich Auskunft über alle Geschäftsangelegenheiten zu erteilen und Unterlagen vorzulegen, soweit dies für die Feststellung der Verpflichteteneigenschaft erforderlich ist. Absatz 1 Satz 2 sowie die Absätze 4 und 5 gelten entsprechend. § 53 Hinweise auf Verstöße (1) Die Aufsichtsbehörden errichten ein System zur Annahme von Hinweisen zu potenziellen oder tatsächlichen Verstößen gegen dieses Gesetz und gegen auf Grundlage dieses Gesetzes erlassene Rechtsverordnungen und gegen andere Bestimmungen zur Verhinderung von Geldwäsche und von Terrorismusfinanzierung, bei denen es die Aufgabe der Aufsichtsbehörde ist, die Einhaltung der genannten Rechtsvorschriften sicherzustellen oder Verstöße gegen die genannten Rechtsvorschriften zu ahnden. Das System hat die Abgabe von Hinweisen über einen geschützten Kommunikationsweg zu ermöglichen. Die Hinweise können auch anonym abgegeben werden. (2) Die Aufsichtsbehörden sind zu diesem Zweck befugt, personenbezogene Daten zu verarbeiten, soweit dies zur Erfüllung ihrer Aufgaben erforderlich ist. (3) Die Aufsichtsbehörden machen die Identität einer Person, die einen Hinweis abgegeben hat, nur bekannt, wenn sie zuvor die ausdrückliche Zustimmung dieser Person eingeholt haben. Sie geben die Identität einer Person, die Gegenstand eines Hinweises ist, nicht bekannt. Die Sätze 1 und 2 gelten nicht, wenn 1. eine Weitergabe der Information im Kontext weiterer Ermittlungen oder nachfolgender Verwaltungs- oder Gerichtsverfahren aufgrund eines Gesetzes erforderlich ist oder  2. die Offenlegung durch einen Gerichtsbeschluss oder in einem Gerichtsverfahren angeordnet wird.  (4) Das Informationsfreiheitsgesetz findet auf die Vorgänge nach dieser Vorschrift keine Anwendung. (5) Mitarbeiter, die bei Unternehmen und Personen beschäftigt sind, die von den zuständigen Aufsichtsbehörden nach Absatz 1 beaufsichtigt werden, oder bei anderen Unternehmen oder Personen beschäftigt sind, auf die Tätigkeiten von beaufsichtigten Unternehmen oder Personen ausgelagert wurden, und die einen Hinweis nach Absatz 1 abgeben, dürfen wegen dieses Hinweises weder nach arbeitsrechtlichen oder nach strafrechtlichen Vorschriften verantwortlich gemacht noch zum Ersatz von Schäden herangezogen oder anderweitig benachteiligt werden. Satz 1 gilt nicht, wenn der Hinweis vorsätzlich unwahr oder grob fahrlässig unwahr abgegeben worden ist. (5a) Mitarbeitern im Sinne des Absatzes 5, die aufgrund der Abgabe eines Hinweises nach Absatz 1 und entgegen dem Benachteiligungsverbot des Absatzes 5 einer Benachteiligung im Zusammenhang mit ihrem Beschäftigungsverhältnis ausgesetzt sind, steht bei der zuständigen Aufsichtsbehörde das Recht der Beschwerde - Seite 65 von 77 - Ein Service des Bundesministeriums der Justiz sowie des Bundesamts für Justiz ‒ www.gesetze-im-internet.de zu. Der Rechtsweg bleibt von dem Beschwerdeverfahren unberührt. Dem Beschwerdeführer steht für die Einreichung der Beschwerde nach Satz 1 der geschützte Kommunikationsweg nach Absatz 1 Satz 2 zur Verfügung. (6) Nicht vertraglich eingeschränkt werden darf die Berechtigung zur Abgabe von Hinweisen nach Absatz 1 durch Mitarbeiter, die beschäftigt sind bei 1. Unternehmen und Personen, die von den Aufsichtsbehörden nach Absatz 1 beaufsichtigt werden, oder  2. anderen Unternehmen oder Personen, auf die Tätigkeiten von beaufsichtigten Unternehmen oder Personen ausgelagert wurden.  Dem entgegenstehende Vereinbarungen sind unwirksam. (7) Durch die Einrichtung und Führung des Systems zur Abgabe von Hinweisen zu Verstößen werden die Rechte einer Person, die Gegenstand eines Hinweises ist, nicht eingeschränkt, insbesondere nicht die Rechte nach den 1. §§ 28 und 29 des Verwaltungsverfahrensgesetzes,  2. §§ 68 bis 71 der Verwaltungsgerichtsordnung und  3. §§ 137, 140, 141 und 147 der Strafprozessordnung.  (8) Soweit die Bundesanstalt für Finanzdienstleistungsaufsicht als zuständige Behörde im Sinne des § 50 für die Errichtung eines Systems im Sinne von Absatz 1 zuständig ist, richten sich die Errichtung und der Betrieb nach § 4d des Finanzdienstleistungsaufsichtsgesetzes. Die Absätze 3 bis 7 finden insoweit keine Anwendung. § 54 Verschwiegenheitspflicht (1) Soweit Personen, die bei den zuständigen Aufsichtsbehörden nach § 50 beschäftigt sind oder für diese Aufsichtsbehörden tätig sind, Aufgaben nach § 51 Absatz 1 erfüllen, dürfen sie die ihnen bei ihrer Tätigkeit bekannt gewordenen Tatsachen nicht unbefugt offenbaren oder verwerten, wenn die Geheimhaltung dieser Tatsachen, insbesondere Geschäfts- und Betriebsgeheimnisse, im Interesse eines von ihnen beaufsichtigten Verpflichteten oder eines Dritten liegt. Satz 1 gilt auch, wenn sie nicht mehr im Dienst sind oder ihre Tätigkeit beendet ist. Die datenschutzrechtlichen Bestimmungen, die von den beaufsichtigten Verpflichteten zu beachten sind, bleiben unberührt. (2) Absatz 1 gilt auch für andere Personen, die durch dienstliche Berichterstattung Kenntnis von den in Absatz 1 Satz 1 bezeichneten Tatsachen erhalten. (3) Ein unbefugtes Offenbaren oder Verwerten liegt insbesondere nicht vor, wenn Tatsachen im Sinne von Absatz 1 weitergegeben werden, soweit der Weitergabe keine anderen Rechtsvorschriften entgegenstehen, 1. in zusammengefasster oder aggregierter Form, so dass einzelne Verpflichtete nicht identifiziert werden können, oder  2. an eine der folgenden Stellen, soweit diese Stellen die Informationen zur Erfüllung ihrer Aufgaben benötigen: a) an die Strafverfolgungsbehörden, an die für Straf- und Bußgeldsachen zuständigen Behörden und Gerichte,  b) an andere Stellen, die kraft Gesetzes oder im öffentlichen Auftrag mit der Aufklärung und Verhinderung von Geldwäsche oder von Terrorismusfinanzierung oder mit der Aufsicht über Kredit- und Finanzinstitute im Sinne von Artikel 3 der Richtlinie (EU) 2015/849 betraut sind, sowie an Personen, die von diesen Stellen beauftragt werden,  c) an die Europäische Zentralbank, soweit sie im Einklang mit der Verordnung (EU) Nr. 1024/2013 des Rates vom 15. Oktober 2013 zur Übertragung besonderer Aufgaben im Zusammenhang mit der Aufsicht über Kreditinstitute auf die Europäische Zentralbank tätig wird,  d) an die zentralen Meldestellen im Sinne von Artikel 32 Absatz 1 der Richtlinie (EU) 2015/849 und  e) an andere Stellen, die kraft Gesetzes oder im öffentlichen Auftrag mit der Aufsicht über das allgemeine Risikomanagement oder über die Compliance von Verpflichteten betraut sind, sowie an Personen, die von diesen Stellen beauftragt sind.  - Seite 66 von 77 - Ein Service des Bundesministeriums der Justiz sowie des Bundesamts für Justiz ‒ www.gesetze-im-internet.de (4) Befindet sich eine der in Absatz 3 genannten Stellen in einem anderen Staat oder handelt es sich um eine supranationale Stelle, so dürfen Tatsachen im Sinne von Absatz 1 nur weitergegeben werden, wenn die bei dieser Stelle beschäftigten Personen oder die im Auftrag dieser Stelle handelnden Personen einer Verschwiegenheitspflicht unterliegen, die der Verschwiegenheitspflicht nach den Absätzen 1 bis 3 weitgehend entspricht. Die ausländische oder supranationale Stelle ist von der weitergebenden Stelle darauf hinzuweisen, dass sie die Tatsachen nur zu dem Zweck verwenden darf, zu dessen Erfüllung ihr diese übermittelt werden. Tatsachen, die aus einem anderen Staat stammen, dürfen nur weitergegeben werden 1. mit ausdrücklicher Zustimmung der zuständigen Behörden, die diese Tatsachen mitgeteilt haben, und  2. für solche Zwecke, denen die zuständigen Behörden zugestimmt haben.  § 55 Zusammenarbeit mit anderen Behörden (1) Die Aufsichtsbehörden arbeiten zur Verhinderung und zur Bekämpfung von Geldwäsche und von Terrorismusfinanzierung bei der Wahrnehmung ihrer Aufgaben nach § 51 untereinander sowie mit den in § 54 Absatz 3 genannten Stellen umfassend zusammen. Im Rahmen dieser Zusammenarbeit sind die Aufsichtsbehörden verpflichtet, einander von Amts wegen und auf Ersuchen Informationen einschließlich personenbezogener Daten und die Ergebnisse der Prüfungen zu übermitteln, soweit deren Kenntnis für die Erfüllung der Aufgaben der Aufsichtsbehörden nach § 51 erforderlich ist. Die zuständige Aufsichtsbehörde übermittelt im Einzelfall von Amts wegen sämtliche Informationen an die zuständige Verwaltungsbehörde, soweit diese für die Erfüllung der Aufgaben der Verwaltungsbehörde erforderlich sind. Bei Anhaltspunkten für strafrechtliche Verstöße informieren die Aufsichtsbehörden unverzüglich die zuständigen Strafverfolgungsbehörden. (2) Die nach § 155 Absatz 2 der Gewerbeordnung in Verbindung mit dem jeweiligen Landesrecht nach § 14 Absatz 1 der Gewerbeordnung zuständigen Behörden übermitteln auf Ersuchen den nach § 50 Nummer 9 zuständigen Aufsichtsbehörden kostenfrei die Daten aus der Gewerbeanzeige gemäß den Anlagen 1 bis 3 der Gewerbeanzeigenverordnung über Verpflichtete nach § 2 Absatz 1, soweit die Kenntnis dieser Daten zur Wahrnehmung der Aufgaben der Aufsichtsbehörden nach § 51 erforderlich ist. (3) Die Registerbehörde nach § 11a Absatz 1 der Gewerbeordnung übermittelt auf Ersuchen den nach § 50 Nummer 9 zuständigen Aufsichtsbehörden kostenfrei die in § 6 der Finanzanlagenvermittlungsverordnung und die in § 8 der Versicherungsvermittlungsverordnung genannten Daten, soweit die Kenntnis dieser Daten zur Wahrnehmung der Aufgaben der Aufsichtsbehörden nach § 51 erforderlich ist. (3b) Zur Aufgabenwahrnehmung nach § 50c Absatz 2 Nummer 5 sind die Koordinierenden Stellen der Länder befugt, bei den zuständigen Finanzbehörden die Mitteilung von Name und Anschrift zu den durch die Aufsichtsbehörden des Landes nach § 50 Nummer 9 zu beaufsichtigenden Verpflichteten im Sinne des § 2 Absatz 1 Nummer 13, 14 oder 16, geordnet nach Wirtschaftszweigen und Betriebsgrößenklassen, zu verlangen. Sammelersuchen sind zulässig. (4) Weitergehende Befugnisse der Aufsichtsbehörden zur Verarbeitung von personenbezogenen Daten nach anderen Rechtsvorschriften bleiben unberührt. (5) In grenzüberschreitenden Fällen koordinieren die zusammenarbeitenden Aufsichtsbehörden und die in § 54 Absatz 3 genannten Stellen ihre Maßnahmen. Unterhält ein Verpflichteter, der seinen Sitz in einem anderen Mitgliedstaat der Europäischen Union hat, eine oder mehrere Zweigstellen oder Zweigniederlassungen in Deutschland, so arbeiten die in Satz 1 genannten Aufsichtsbehörden und Stellen mit den zuständigen Behörden des Mitgliedstaats zusammen, in dem der Verpflichtete seinen Hauptsitz hat. (6) Soweit die Aufsichtsbehörden die Aufsicht über die Verpflichteten nach § 2 Absatz 1 Nummer 1 bis 3 und 6 bis 9 ausüben, stellen sie der Europäischen Bankenaufsichtsbehörde auf deren Verlangen alle Informationen zur Verfügung, die erforderlich sind zur Durchführung von ihren Aufgaben aufgrund der Richtlinie (EU) 2015/849 sowie der Verordnung (EU) Nr. 1093/2010 des Europäischen Parlaments und des Rates vom 24. November 2010 zur Errichtung einer Europäischen Aufsichtsbehörde (Europäische Bankenaufsichtsbehörde), zur Änderung des Beschlusses Nr. 716/2009/EG und zur Aufhebung des Beschlusses 2009/78/EG der Kommission (ABl. L 331 vom 15.12.2010, S. 12). Die Informationen sind zur Verfügung zu stellen nach Maßgabe des Artikels 35 der Verordnung (EU) Nr. 1093/2010. (6a) Die zuständigen Aufsichtsbehörden unterrichten die Europäische Bankenaufsichtsbehörde über Fälle, in denen bei Verpflichteten nach § 2 Absatz 1 Nummer 1 bis 3 und 6 bis 9, die Mutterunternehmen einer Gruppe - Seite 67 von 77 - Ein Service des Bundesministeriums der Justiz sowie des Bundesamts für Justiz ‒ www.gesetze-im-internet.de sind, eine Umsetzung der in § 9 Absatz 1 Satz 2 Nummer 1, 3 und 4 genannten Maßnahmen nach dem Recht des Drittstaates nicht zulässig ist. (6b) Die Aufsichtsbehörde nach § 50 Nummer 1 dient in Kooperation mit den weiteren Aufsichtsbehörden nach § 50 Nummer 2 und 9 als Kontaktstelle für die Europäische Bankenaufsichtsbehörde hinsichtlich der Verpflichteten nach § 2 Absatz 1 Nummer 1 bis 3 und 6 bis 9. (7) Dem Informationsaustausch mit den zuständigen Aufsichtsbehörden anderer Mitgliedstaaten der Europäischen Union stehen nicht entgegen: 1. ein Bezug des Ersuchens zu steuerlichen Belangen,  2. Vorgaben des nationalen Rechts, nach denen die Verpflichteten die Vertraulichkeit oder Geheimhaltung zu wahren haben, außer in Fällen, in denen a) die einschlägigen Informationen, auf die sich das Ersuchen bezieht, durch ein Zeugnisverweigerungsrecht geschützt werden oder  b) ein Berufsgeheimnis gemäß § 43 Absatz 2 Satz 1 greift,  3. die Anhängigkeit eines Ermittlungsverfahrens, einer Untersuchung oder eines Verfahrens in dem ersuchenden Mitgliedstaat, es sei denn, das Ermittlungsverfahren, die Untersuchung oder das Verfahren würde durch die Amtshilfe beeinträchtigt,  4. Unterschiede in der Art und Stellung der ersuchenden und der ersuchten Behörde.  (8) Die zuständigen Aufsichtsbehörden gemäß § 50 Nummer 1 und 2 können mit den zuständigen Behörden von Drittstaaten, die diesen zuständigen Aufsichtsbehörden entsprechen, Kooperationsvereinbarungen zur Zusammenarbeit und zum Austausch von Tatsachen im Sinne von § 54 Absatz 1 schließen. Solche Kooperationsvereinbarungen werden auf Basis der Gegenseitigkeit und nur dann geschlossen, wenn gewährleistet ist, dass die übermittelten Tatsachen zumindest den in § 54 Absatz 1 enthaltenen Anforderungen unterliegen. Die gemäß diesen Kooperationsvereinbarungen weitergegebenen Tatsachen müssen der Erfüllung der aufsichtsrechtlichen Aufgaben dieser Behörden dienen. § 54 Absatz 4 gilt entsprechend. § 56 Bußgeldvorschriften (1) Ordnungswidrig handelt, wer vorsätzlich oder leichtfertig 1. entgegen § 5 Absatz 1 Satz 1 Risiken nicht ermittelt oder nicht bewertet,  2. entgegen § 5 Absatz 2 Nummer 1 und Nummer 2 die Risikoanalyse nicht dokumentiert oder regelmäßig überprüft und gegebenenfalls aktualisiert,  3. entgegen § 6 Absatz 1 keine angemessenen geschäfts- und kundenbezogenen internen Sicherungsmaßnahmen schafft oder entgegen § 6 Absatz 1 Satz 3 die Funktionsfähigkeit der Sicherungsmaßnahmen nicht überwacht oder wer geschäfts- und kundenbezogene interne Sicherungsmaßnahmen nicht regelmäßig oder nicht bei Bedarf aktualisiert,  4. entgegen § 6 Absatz 4 keine Datenverarbeitungssysteme betreibt oder sie nicht aktualisiert,  5. einer vollziehbaren Anordnung nach § 6 Absatz 9 nicht nachkommt,  6. entgegen § 8 Absatz 1 und 2 eine Angabe, eine Information, Ergebnisse der Untersuchung, Erwägungsgründe oder eine nachvollziehbare Begründung des Bewertungsergebnisses nicht, nicht richtig oder nicht vollständig aufzeichnet oder aufbewahrt,  7. entgegen § 8 Absatz 4 Satz 1 eine Aufzeichnung oder einen sonstigen Beleg nicht fünf Jahre aufbewahrt,  8. entgegen § 9 Absatz 1 Satz 2, auch in Verbindung mit Absatz 4, keine gruppenweit einheitlichen Vorkehrungen, Verfahren und Maßnahmen schafft,  9. entgegen § 9 Absatz 1 Satz 3, auch in Verbindung mit Absatz 4, nicht die wirksame Umsetzung der gruppenweit einheitlichen Pflichten und Maßnahmen sicherstellt,  10. entgegen § 9 Absatz 2, auch in Verbindung mit Absatz 4, nicht sicherstellt, dass die in einem anderen Mitgliedstaat der Europäischen Union befindlichen gruppenangehörigen Unternehmen gemäß § 1 Absatz 16 Nummer 2 bis 4, die dort Pflichten zur Verhinderung von Geldwäsche und Terrorismusfinanzierung unterliegen, die geltenden nationalen Rechtsvorschriften zur Umsetzung der Richtlinie (EU) 2015/849 einhalten,  - Seite 68 von 77 - Ein Service des Bundesministeriums der Justiz sowie des Bundesamts für Justiz ‒ www.gesetze-im-internet.de 11. entgegen § 9 Absatz 3 Satz 2, auch in Verbindung mit Absatz 4, nicht sicherstellt, dass die in einem Drittstaat ansässigen Zweigstellen und gruppenangehörigen Unternehmen nach § 1 Absatz 16 Nummer 2 zusätzliche Maßnahmen ergreifen, um dem Risiko der Geldwäsche oder der Terrorismusfinanzierung wirksam zu begegnen, oder die nach § 50 zuständige Aufsichtsbehörde nicht über die getroffenen Maßnahmen informiert,  12. einer vollziehbaren Anordnung nach § 9 Absatz 3 Satz 3, auch in Verbindung mit Absatz 4, zuwiderhandelt,  13. entgegen § 9 Absatz 5 Satz 1 die in Absatz 1 Satz 2 Nummer 1, 3 und 4 genannten Maßnahmen nicht umsetzt,  14. entgegen § 9 Absatz 5 Satz 2 die in Absatz 1 Satz 2 Nummer 3 und 4 genannten Maßnahmen nicht umsetzt.  15. entgegen § 10 Absatz 1 Nummer 1 eine Identifizierung des Vertragspartners oder einer für den Vertragspartner auftretenden Person nicht, nicht richtig, nicht vollständig oder nicht in der vorgeschriebenen Weise vornimmt oder nicht prüft, ob die für den Vertragspartner auftretende Person hierzu berechtigt ist,  16. entgegen § 10 Absatz 1 Nummer 2 nicht prüft, ob der Vertragspartner für einen wirtschaftlich Berechtigten handelt,  17. entgegen § 10 Absatz 1 Nummer 2 den wirtschaftlich Berechtigten nicht identifiziert,  18. entgegen § 10 Absatz 1 Nummer 3 keine Informationen über den Zweck und die angestrebte Art der Geschäftsbeziehung einholt oder diese Informationen nicht bewertet,  19. entgegen § 10 Absatz 1 Nummer 4 nicht oder nicht richtig feststellt, ob es sich bei dem Vertragspartner oder bei dem wirtschaftlich Berechtigten um eine politisch exponierte Person, um ein Familienmitglied oder um eine bekanntermaßen nahestehende Person handelt,  20. entgegen § 10 Absatz 1 Nummer 5 die Geschäftsbeziehung, einschließlich der in ihrem Verlauf durchgeführten Transaktionen, nicht oder nicht richtig kontinuierlich überwacht,  21. entgegen § 10 Absatz 2 Satz 1 den konkreten Umfang der allgemeinen Sorgfaltspflichten nicht entsprechend dem jeweiligen Risiko der Geldwäsche oder Terrorismusfinanzierung bestimmt,  22. entgegen § 10 Absatz 2 Satz 4 oder entgegen § 14 Absatz 1 Satz 2 nicht darlegt, dass der Umfang der von ihm getroffenen Maßnahmen im Hinblick auf die Risiken der Geldwäsche und der Terrorismusfinanzierung als angemessen anzusehen ist,  23. entgegen § 10 Absatz 6 oder Absatz 6a den Sorgfaltspflichten nicht nachkommt,  24. entgegen § 10 Absatz 8 keine Mitteilung macht,  25. entgegen § 10 Absatz 9, § 14 Absatz 3 oder § 15 Absatz 9 in Verbindung mit § 15 Absatz 3 Nummer 1, 3 und 4 die Geschäftsbeziehung begründet, fortsetzt, sie nicht kündigt oder nicht auf andere Weise beendet oder die Transaktion durchführt,  26. entgegen § 11 Absatz 1 Vertragspartner, für diese auftretenden Personen oder wirtschaftlich Berechtigte nicht rechtzeitig identifiziert,  27. entgegen § 11 Absatz 2 die Vertragsparteien für diese auftretende Personen oder wirtschaftlich Berechtigte nicht oder nicht rechtzeitig identifiziert,  28. entgegen § 11 Absatz 3 Satz 2 keine erneute Identifizierung durchführt,  29. entgegen § 11 Absatz 4 Nummer 1 oder 2 die Angaben nicht oder nicht vollständig erhebt,  30. entgegen § 11 Absatz 5 Satz 1 zur Feststellung der Identität des wirtschaftlich Berechtigten dessen Namen nicht erhebt,  31. entgegen § 14 Absatz 2 Satz 2 nicht die Überprüfung von Transaktionen und die Überwachung von Geschäftsbeziehungen in einem Umfang sicherstellt, der es ermöglicht, ungewöhnliche oder verdächtige Transaktionen zu erkennen und zu melden,  32. entgegen § 15 Absatz 2 keine verstärkten Sorgfaltspflichten erfüllt,  33. entgegen § 15 Absatz 4 Satz 1 Nummer 1 in Verbindung mit Absatz 2 oder Absatz 3 Nummer 1 vor der Begründung oder Fortführung einer Geschäftsbeziehung nicht die Zustimmung eines Mitglieds der Führungsebene einholt,  - Seite 69 von 77 - Ein Service des Bundesministeriums der Justiz sowie des Bundesamts für Justiz ‒ www.gesetze-im-internet.de 34. entgegen § 15 Absatz 4 Satz 1 Nummer 2 in Verbindung mit Absatz 2 oder Absatz 3 Nummer 1 keine Maßnahmen ergreift,  35. entgegen § 15 Absatz 4 Satz 1 Nummer 3 in Verbindung mit Absatz 2 oder Absatz 3 Nummer 1 die Geschäftsbeziehung keiner verstärkten kontinuierlichen Überwachung unterzieht,  36. entgegen § 15 Absatz 5 Nummer 1 Buchstabe a bis f in Verbindung mit Absatz 3 Nummer 2 keine Informationen einholt,  37. entgegen § 15 Absatz 5 Nummer 2 in Verbindung mit Absatz 3 Nummer 2 nicht die Zustimmung eines Mitglieds der Führungsebene einholt,  38. entgegen § 15 Absatz 5 Nummer 3 in Verbindung mit Absatz 3 Nummer 2 die Geschäftsbeziehung nicht einer verstärkten Überwachung unterzieht,  39. entgegen § 15 Absatz 6 Nummer 1 in Verbindung mit Absatz 3 Nummer 3 die Transaktion nicht untersucht,  40. entgegen § 15 Absatz 6 Nummer 2 in Verbindung mit Absatz 3 Nummer 3 die zugrunde liegende Geschäftsbeziehung keiner verstärkten kontinuierlichen Überwachung unterzieht,  41. entgegen § 15 Absatz 7 Nummer 1 in Verbindung mit Absatz 3 Nummer 4 keine ausreichenden Informationen einholt,  42. entgegen § 15 Absatz 7 Nummer 2 in Verbindung mit Absatz 3 Nummer 4 nicht die Zustimmung eines Mitglieds der Führungsebene einholt,  43. entgegen § 15 Absatz 7 Nummer 3 in Verbindung mit Absatz 3 Nummer 4 die Verantwortlichkeiten nicht festlegt oder nicht dokumentiert,  44. entgegen § 15 Absatz 7 Nummer 4 oder Nummer 5 in Verbindung mit Absatz 3 Nummer 4 keine Maßnahmen ergreift,  44a. entgegen § 15a keine Maßnahmen zur Risikoermittlung, Risikobewertung oder zur Risikominderung trifft,  45. entgegen § 15 Absatz 5a und 8 einer vollziehbaren Anordnung der Aufsichtsbehörde zuwiderhandelt,  46. entgegen § 16 Absatz 2 einen Spieler zum Glücksspiel zulässt,  47. entgegen § 16 Absatz 3 Einlagen oder andere rückzahlbare Gelder entgegennimmt,  48. entgegen § 16 Absatz 4 Transaktionen des Spielers an den Verpflichteten auf anderen als den in § 16 Absatz 4 Nummer 1 und 2 genannten Wegen zulässt,  49. entgegen § 16 Absatz 5 seinen Informationspflichten nicht nachkommt,  50. entgegen § 16 Absatz 7 Satz 1 Nummer 2 Transaktionen auf ein Zahlungskonto vornimmt,  51. entgegen § 16 Absatz 7 Satz 2 trotz Aufforderung durch die Aufsichtsbehörde den Verwendungszweck nicht hinreichend spezifiziert,  52. entgegen § 16 Absatz 8 Satz 3 die vollständige Identifizierung nicht oder nicht rechtzeitig durchführt,  53. entgegen § 17 Absatz 2 die Erfüllung der Sorgfaltspflichten durch einen Dritten ausführen lässt, der in einem Drittstaat mit hohem Risiko ansässig ist,  54. entgegen § 18 Absatz 3 Informationen nicht oder nicht rechtzeitig zur Verfügung stellt,  55. entgegen § 20 Absatz 1 Angaben zu den wirtschaftlich Berechtigten a) nicht einholt,  b) nicht, nicht richtig oder nicht vollständig aufbewahrt,  c) nicht auf aktuellem Stand hält oder  d) nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig der registerführenden Stelle mitteilt,  56. entgegen § 20 Absatz 2 seine Mitteilungspflicht nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig erfüllt,  57. ohne von der mitteilungspflichtigen Vereinigung dazu ermächtigt worden zu sein, der registerführenden Stelle Angaben zu den wirtschaftlich Berechtigten zur Eintragung in das Transparenzregister elektronisch mitteilt,  58. entgegen § 20 Absatz 3 seine Mitteilungspflicht nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig erfüllt,  - Seite 70 von 77 - Ein Service des Bundesministeriums der Justiz sowie des Bundesamts für Justiz ‒ www.gesetze-im-internet.de 59. entgegen § 20 Absatz 3a Satz 1 bis 3 oder Absatz 3b Satz 1 seine Mitteilungspflicht nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig erfüllt,  60. entgegen § 20 Absatz 3a Satz 4 oder Absatz 3b Satz 3 seiner Dokumentationspflicht nicht nachkommt,  61. entgegen § 21 Absatz 1 oder 2 Angaben zu den wirtschaftlich Berechtigten a) nicht einholt,  b) nicht, nicht richtig oder nicht vollständig aufbewahrt,  c) nicht auf aktuellem Stand hält oder  d) nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig der registerführenden Stelle mitteilt,  62. entgegen § 21 Absatz 1b seine Mitteilungspflicht nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig erfüllt,  63. eine unrichtige Mitteilung nach § 20 Absatz 1 oder § 21 Absatz 1 nicht berichtigt,  64. die Einsichtnahme in das Transparenzregister entgegen § 23 Absatz 1 Satz 1 Nummer 2 unter Vorspiegelung falscher Tatsachen erschleicht oder sich auf sonstige Weise widerrechtlich Zugriff auf das Transparenzregister verschafft,  65. entgegen § 23a Absatz 1 Satz 1 seine Mitteilungspflicht nicht erfüllt,  66. als Verpflichteter entgegen § 23a Absatz 3 Informationen oder Dokumente nicht oder nicht rechtzeitig zur Verfügung stellt,  67. entgegen § 30 Absatz 3 einem Auskunftsverlangen nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig nachkommt,  68. entgegen § 40 Absatz 1 Satz 1 oder 2 einer Anordnung oder Weisung nicht, nicht rechtzeitig oder nicht vollständig nachkommt,  69. entgegen § 43 Absatz 1 eine Meldung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig abgibt,  70. entgegen § 46 Absatz 2 Satz 2 die Meldung nicht unverzüglich nachholt,  71. eine Untersagung nach § 51 Absatz 5 nicht beachtet,  72. Auskünfte nach § 51 Absatz 7 nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig gibt,  73. entgegen § 52 Absatz 1 und 6 a) Auskünfte nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig erteilt oder  b) Unterlagen nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig vorlegt oder  74. entgegen § 52 Absatz 3 eine Prüfung nicht duldet.  Die Ordnungswidrigkeit kann bei vorsätzlicher Begehung mit einer Geldbuße bis zu einhundertfünfzigtausend Euro, im Übrigen mit einer Geldbuße bis zu einhunderttausend Euro geahndet werden. (2) Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig 1. entgegen § 4 Absatz 3 Satz 1 kein Mitglied der Leitungsebene benennt,  2. entgegen § 7 Absatz 1 keinen Geldwäschebeauftragten oder keinen Stellvertreter bestellt,  3. einer vollziehbaren Anordnung nach § 7 Absatz 3 nicht oder nicht rechtzeitig nachkommt,  4. entgegen § 9 Absatz 1 Satz 2, auch in Verbindung mit Absatz 4, keinen Gruppengeldwäschebeauftragten bestellt,  5. entgegen § 15 Absatz 9 in Verbindung mit § 15 Absatz 3 Nummer 2 die Geschäftsbeziehung begründet, fortsetzt, sie nicht kündigt oder nicht auf andere Weise beendet oder die Transaktion durchführt,  6. entgegen § 46 Absatz 1 Satz 1 eine Transaktion durchführt,  7. entgegen § 47 Absatz 1 in Verbindung mit Absatz 2 den Vertragspartner, den Auftraggeber oder einen Dritten in Kenntnis setzt und  8. einer vollziehbaren Anordnung nach § 51 Absatz 2a Satz 2 nicht oder nicht rechtzeitig nachkommt.  Die Ordnungswidrigkeit kann bei vorsätzlicher Begehung mit einer Geldbuße bis zu einhundertfünfzigtausend Euro, bei leichtfertiger Begehung mit einer Geldbuße bis zu einhunderttausend Euro, im Übrigen mit einer Geldbuße bis zu fünfzigtausend Euro geahndet werden. - Seite 71 von 77 - Ein Service des Bundesministeriums der Justiz sowie des Bundesamts für Justiz ‒ www.gesetze-im-internet.de (3) Die Ordnungswidrigkeit nach Absatz 1 und bei vorsätzlicher oder leichtfertiger Begehung nach Absatz 2 kann geahndet werden mit einer 1. Geldbuße bis zu einer Million Euro oder  2. Geldbuße bis zum Zweifachen des aus dem Verstoß gezogenen wirtschaftlichen Vorteils,  wenn es sich um einen schwerwiegenden, wiederholten oder systematischen Verstoß handelt. Der wirtschaftliche Vorteil umfasst erzielte Gewinne und vermiedene Verluste und kann geschätzt werden. Gegenüber Verpflichteten gemäß § 2 Absatz 1 Nummer 1 bis 3 und 6 bis 9, die juristische Personen oder Personenvereinigungen sind, kann über Satz 1 hinaus eine höhere Geldbuße verhängt werden. In diesen Fällen darf die Geldbuße den höheren der folgenden Beträge nicht übersteigen: 1. fünf Millionen Euro oder  2. 10 Prozent des Gesamtumsatzes, den die juristische Person oder die Personenvereinigung im Geschäftsjahr, das der Behördenentscheidung vorausgegangen ist, erzielt hat.  Gegenüber Verpflichteten gemäß § 2 Absatz 1 Nummer 1 bis 3 und 6 bis 9, die natürliche Personen sind, kann über Satz 1 hinaus eine Geldbuße bis zu fünf Millionen Euro verhängt werden. (4) Gesamtumsatz im Sinne des Absatzes 3 Satz 4 Nummer 2 ist 1. bei Kreditinstituten, Zahlungsinstituten, Wertpapierinstituten und Finanzdienstleistungsinstituten nach § 340 des Handelsgesetzbuchs der Gesamtbetrag, der sich ergibt aus dem auf das Institut anwendbaren nationalen Recht im Einklang mit Artikel 27 Nummer 1, 3, 4, 6 und 7 oder Artikel 28 Abschnitt B Nummer 1 bis 4 und 7 der Richtlinie 86/635/EWG des Rates vom 8. Dezember 1986 über den Jahresabschluss und den konsolidierten Abschluss von Banken und anderen Finanzinstituten (ABl. L 372 vom 31.12.1986, S. 1), abzüglich der Umsatzsteuer und sonstiger direkt auf diese Erträge erhobener Steuern,  2. bei Versicherungsunternehmen der Gesamtbetrag, der sich ergibt aus dem auf das Versicherungsunternehmen anwendbaren nationalen Recht im Einklang mit Artikel 63 der Richtlinie 91/674/EWG des Rates vom 19. Dezember 1991 über den Jahresabschluss und den konsolidierten Abschluss von Versicherungsunternehmen (ABl. L 374 vom 31.12.1991, S. 7), abzüglich der Umsatzsteuer und sonstiger direkt auf diese Erträge erhobener Steuern,  3. im Übrigen der Betrag der Nettoumsatzerlöse nach Maßgabe des auf das Unternehmen anwendbaren nationalen Rechts im Einklang mit Artikel 2 Nummer 5 der Richtlinie 2013/34/EU.  Handelt es sich bei der juristischen Person oder Personenvereinigung um ein Mutterunternehmen oder um ein Tochterunternehmen, so ist anstelle des Gesamtumsatzes der juristischen Person oder Personenvereinigung der jeweilige Gesamtbetrag in demjenigen Konzernabschluss des Mutterunternehmens maßgeblich, der für den größten Kreis von Unternehmen aufgestellt wird. Wird der Konzernabschluss für den größten Kreis von Unternehmen nicht nach den in Satz 1 genannten Vorschriften aufgestellt, ist der Gesamtumsatz nach Maßgabe der den in Satz 1 Nummer 1 bis 3 vergleichbaren Posten des Konzernabschlusses zu ermitteln. Ist ein Jahresabschluss oder Konzernabschluss für das maßgebliche Geschäftsjahr nicht verfügbar, so ist der Jahresabschluss oder Konzernabschluss für das unmittelbar vorausgehende Geschäftsjahr maßgeblich. Ist auch der Jahresabschluss oder Konzernabschluss für das unmittelbar vorausgehende Geschäftsjahr nicht verfügbar, so kann der Gesamtumsatz geschätzt werden. (5) Die jeweils nach § 50 Nummer 1, 5a und 7a bis 9 zuständige Aufsichtsbehörde ist auch Verwaltungsbehörde nach § 36 Absatz 1 Nummer 1 des Gesetzes über Ordnungswidrigkeiten. Für Ordnungswidrigkeiten nach Absatz 1 Satz 1 Nummer 54 bis 66 ist Verwaltungsbehörde nach § 36 Absatz 1 Nummer 1 des Gesetzes über Ordnungswidrigkeiten das Bundesverwaltungsamt. (5a) Soweit nach Absatz 5 Satz 1 die Finanzbehörde Verwaltungsbehörde ist, gelten § 387 Absatz 2, § 410 Absatz 1 Nummer 2, 6 bis 11, Absatz 2 und § 412 der Abgabenordnung sinngemäß. (6) Die zuständige Verwaltungsbehörde übermittelt, sofern sie nicht zugleich zuständige Aufsichtsbehörde ist, auf Ersuchen sämtliche Informationen einschließlich personenbezogener Daten an die zuständige Aufsichtsbehörde, soweit die Informationen für die Erfüllung der Aufgaben der Aufsichtsbehörde, insbesondere für die Vorhaltung der Statistik nach § 51 Absatz 9, erforderlich sind. (7) Die Aufsichtsbehörden überprüfen im Bundeszentralregister, ob eine einschlägige Verurteilung der betreffenden Person vorliegt. - Seite 72 von 77 - Ein Service des Bundesministeriums der Justiz sowie des Bundesamts für Justiz ‒ www.gesetze-im-internet.de (8) Die zuständigen Aufsichtsbehörden nach § 50 Nummer 1, 2 und 9 informieren die Europäische Bankenaufsichtsbehörde hinsichtlich der Verpflichteten nach § 2 Absatz 1 Nummer 1 bis 3 und 6 bis 9 über 1. die gegen diese Verpflichteten verhängten Geldbußen,  2. sonstige Maßnahmen aufgrund von Verstößen gegen Vorschriften dieses Gesetzes oder anderer Gesetze zur Verhinderung von Geldwäsche oder von Terrorismusfinanzierung und  3. diesbezügliche Rechtsmittelverfahren und deren Ergebnisse.  § 57 Bekanntmachung von bestandskräftigen Maßnahmen und von unanfechtbaren Bußgeldentscheidungen (1) Die zuständigen Aufsichts- und Verwaltungsbehörden und die Behörde nach § 56 Absatz 5 Satz 2 haben bestandskräftige Maßnahmen und unanfechtbare Bußgeldentscheidungen, die sie wegen eines Verstoßes gegen dieses Gesetz oder die auf seiner Grundlage erlassenen Rechtsverordnungen verhängt haben, nach Unterrichtung des Adressaten der Maßnahme oder Bußgeldentscheidung auf ihrer Internetseite oder auf einer gemeinsamen Internetseite bekannt zu machen. Dies gilt auch für gerichtliche Entscheidungen, soweit diese unanfechtbar geworden sind und die Verhängung eines Bußgeldes zum Gegenstand haben. In der Bekanntmachung sind Art und Charakter des Verstoßes und die für den Verstoß verantwortlichen natürlichen Personen und juristischen Personen oder Personenvereinigungen zu benennen. (2) Die Bekanntmachung nach Absatz 1 ist aufzuschieben, solange die Bekanntmachung 1. das Persönlichkeitsrecht natürlicher Personen verletzen würde oder eine Bekanntmachung personenbezogener Daten aus sonstigen Gründen unverhältnismäßig wäre,  2. die Stabilität der Finanzmärkte der Bundesrepublik Deutschland oder eines oder mehrerer Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum gefährden würde oder  3. laufende Ermittlungen gefährden würde.  Anstelle einer Aufschiebung kann die Bekanntmachung auf anonymisierter Basis erfolgen, wenn hierdurch ein wirksamer Schutz nach Satz 1 Nummer 1 gewährleistet ist. Ist vorhersehbar, dass die Gründe der anonymisierten Bekanntmachung innerhalb eines überschaubaren Zeitraums wegfallen werden, so kann die Bekanntmachung der Informationen nach Satz 1 Nummer 1 entsprechend aufgeschoben werden. Die Bekanntmachung erfolgt, wenn die Gründe für den Aufschub entfallen sind. (3) Eine Bekanntmachung darf nicht erfolgen, wenn die Maßnahmen nach Absatz 2 nicht ausreichend sind, um eine Gefährdung der Finanzmarktstabilität auszuschließen oder die Verhältnismäßigkeit der Bekanntmachung sicherzustellen. (4) Eine Bekanntmachung muss fünf Jahre auf der Internetseite der Aufsichtsbehörde veröffentlicht bleiben. Abweichend von Satz 1 sind personenbezogene Daten zu löschen, sobald die Bekanntmachung nicht mehr erforderlich ist. § 58 (weggefallen) § 59 Übergangsregelung (1) Die Mitteilungen nach § 20 Absatz 1 und § 21 haben erstmals bis zum 1. Oktober 2017 an das Transparenzregister zu erfolgen. (2) Die Eröffnung des Zugangs zu Eintragungen im Vereinsregister, welche § 22 Absatz 1 Satz 1 Nummer 8 vorsieht, erfolgt ab dem 26. Juni 2018. Bis zum 25. Juni 2018 werden die technischen Voraussetzungen geschaffen, um diejenigen Indexdaten nach § 22 Absatz 2 zu übermitteln, welche für die Eröffnung des Zugangs zu den Originaldaten nach § 22 Absatz 1 Satz 1 Nummer 8 erforderlich sind. Für den Übergangszeitraum vom 26. Juni 2017 bis zum 25. Juni 2018 enthält das Transparenzregister stattdessen einen Link auf das gemeinsame Registerportal der Länder. (3) § 23 Absatz 3 findet ab dem 1. Januar 2023 Anwendung. (4) Gewährte Befreiungen der Aufsichtsbehörden nach § 50 Nummer 8 gegenüber Verpflichteten nach § 2 Absatz 1 Nummer 15, soweit sie Glücksspiele im Internet veranstalten oder vermitteln, bleiben in Abweichung zu § 16 bis zum 30. Juni 2018 wirksam. - Seite 73 von 77 - Ein Service des Bundesministeriums der Justiz sowie des Bundesamts für Justiz ‒ www.gesetze-im-internet.de (5) Ist am 25. Juni 2015 ein Gerichtsverfahren betreffend die Verhinderung, Aufdeckung, Ermittlung oder Verfolgung von mutmaßlicher Geldwäsche oder Terrorismusfinanzierung anhängig gewesen und besitzt ein Verpflichteter Informationen oder Unterlagen im Zusammenhang mit diesem anhängigen Verfahren, so darf der Verpflichtete diese Informationen oder Unterlagen bis zum 25. Juni 2020 aufbewahren. (6) Die Pflicht zur Registrierung nach § 45 Absatz 1 Satz 2 besteht mit Inbetriebnahme des neuen Informationsverbundes der Zentralstelle für Finanztransaktionsuntersuchungen, spätestens jedoch ab dem 1. Januar 2024. Das Bundesministerium der Finanzen gibt den Tag der Inbetriebnahme des neuen Informationsverbundes der Zentralstelle für Finanztransaktionsuntersuchungen im Bundesgesetzblatt bekannt. Für Güterhändler, die nicht mit Kunst, Schmuck, Uhren, Edelmetall, Edelsteinen, Kraftfahrzeugen, Schiffen, Motorbooten oder Luftfahrzeugen handeln, besteht die Pflicht zur Registrierung spätestens ab dem 1. Januar 2027. Die Registrierungspflicht gilt nicht für Annahmestellen, die nach Maßgabe des § 29 Absatz 6 des Glücksspielstaatsvertrages 2021 Sportwetten vermitteln. (7) Bis zur technischen Umsetzung des Verfahrens nach § 31 Absatz 6, längstens jedoch bis zum 31. Dezember 2027, darf die Zentralstelle für Finanztransaktionsuntersuchungen das Bundeszentralamt für Steuern ersuchen, bei den Kreditinstituten die in § 93b Absatz 1 und 1a der Abgabenordnung bezeichneten Daten, ausgenommen die Identifikationsnummer nach § 139b der Abgabenordnung, abzurufen (§ 93 Absatz 8 der Abgabenordnung). Bei einem Ersuchen nach Satz 1 gilt § 93 Absatz 8a bis 10 der Abgabenordnung entsprechend. Das Bundeszentralamt übermittelt der Zentralstelle für Finanztransaktionsuntersuchungen in Beantwortung des Ersuchens nur solche Daten, die die Zentralstelle nach § 31 Absatz 6 abrufen darf. (8) Juristische Personen des Privatrechts und eingetragene Personengesellschaften nach § 20 Absatz 1, deren Pflicht zur Mitteilung an das Transparenzregister am 31. Juli 2021 nach der bis einschließlich zum 31. Juli 2021 geltenden Fassung des § 20 Absatz 2 als erfüllt galt, haben die in § 19 Absatz 1 aufgeführten Angaben, 1. sofern es sich um eine Aktiengesellschaft, SE, Kommanditgesellschaft auf Aktien handelt bis zum 31. März 2022,  2. sofern es sich um eine Gesellschaft mit beschränkter Haftung, Genossenschaft, Europäische Genossenschaft oder Partnerschaft handelt bis zum 30. Juni 2022,  3. in allen anderen Fällen bis spätestens zum 31. Dezember 2022  der registerführenden Stelle zur Eintragung in das Transparenzregister mitzuteilen. (9) § 56 Absatz 1 Nummer 55 und 58 bis 60 sind nicht anwendbar auf juristische Personen des Privatrechts oder eingetragene Personengesellschaften nach § 20 Absatz 1, deren Pflicht zur Mitteilung an das Transparenzregister am 31. Juli 2021 nach der bis einschließlich zum 31. Juli 2021 geltenden Fassung des § 20 Absatz 2 als erfüllt galt, 1. sofern es sich um eine Aktiengesellschaft, SE, Kommanditgesellschaft auf Aktien handelt bis zum 31. März 2023,  2. sofern es sich um eine Gesellschaft mit beschränkter Haftung, Genossenschaft, Europäische Genossenschaft oder Partnerschaft handelt bis zum 30. Juni 2023,  3. in allen anderen Fällen bis spätestens zum 31. Dezember 2023.  (10) Abweichend von § 23a Absatz 1 sind Unstimmigkeitsmeldungen wegen des Fehlens einer Eintragung nach § 20 bis zum 1. April 2023 nicht abzugeben, wenn nach der bis einschließlich zum 31. Juli 2021 geltenden Fassung des § 23a Absatz 1 in Verbindung mit § 20 Absatz 2 keine Pflicht zur Abgabe einer Unstimmigkeitsmeldung an das Transparenzregister bestanden hätte. (11) § 16a findet keine Anwendung auf Rechtsgeschäfte, die vor dem 1. April 2023 geschlossen wurden. (12) § 19 Absatz 3 Satz 2 findet ab dem 1. Januar 2023 Anwendung auf Mitteilungen nach § 20. Soweit Vereinigungen vor diesem Zeitpunkt Angaben zur Eintragung in das Transparenzregister mitgeteilt haben, ist eine Aktualisierung nur zu Art und Umfang des wirtschaftlichen Interesses gemäß § 19 Absatz 3 Satz 2 nicht erforderlich. (13) Soweit Vereinigungen mit Sitz im Ausland von der Pflicht des § 20 Absatz 1 Satz 2 erfasst sind, weil sie seit einem Zeitpunkt vor dem 1. Januar 2020 Eigentum an einer im Inland gelegenen Immobilie halten oder weil sich seit einem Zeitpunkt vor dem 1. August 2021 Anteile im Sinne des § 1 Absatz 3 des Grunderwerbsteuergesetzes bei ihr vereinigen oder sie seit einem Zeitpunkt vor dem 1. August 2021 im Sinne des § 1 Absatz 3a des - Seite 74 von 77 - Ein Service des Bundesministeriums der Justiz sowie des Bundesamts für Justiz ‒ www.gesetze-im-internet.de Grunderwerbsteuergesetzes aufgrund eines Rechtsvorgangs eine wirtschaftliche Beteiligung innehaben, sind die in § 19 Absatz 1 aufgeführten Angaben bis zum 30. Juni 2023 der registerführenden Stelle zur Eintragung in das Transparenzregister mitzuteilen. (14) § 23 Absatz 1 Satz 3 und § 23a Absatz 5 Satz 2 findet nur auf solche Eigentums- und Kontrollstrukturübersichten Anwendung, bei denen die Prüfung der Unstimmigkeitsmeldung nach dem 30. Juni 2023 abgeschlossen wurde. Die Übermittlung von Eigentums- und Kontrollübersichten aufgrund von Einzelanfragen einer Behörde außerhalb des Einsichtnahmeverfahrens bleibt unberührt. (15) Informationen können erstmalig nach § 32 Absatz 2 Satz 4 zum automatisierten Datenabruf bereitgestellt werden, sobald das Verfahren zum automatisierten Datenabruf es ermöglicht, dass die Zentralstelle für Finanztransaktionsuntersuchungen Informationen spezifisch für den Abruf durch eine oder mehrere Strafverfolgungsbehörden kennzeichnet. Ab diesem Zeitpunkt werden für die Dauer von zwei Jahren die Informationen für Strafverfolgungsbehörden, die am automatisierten Abruf nach § 32 Absatz 4 teilnehmen, anstelle einer Übermittlung nur automatisiert bereitgestellt. Nach Ablauf dieser Frist kann die Zentralstelle für Finanztransaktionsuntersuchungen gegenüber allen Strafverfolgungsbehörden von einer Übermittlung absehen, wenn eine Evaluierung des Bundesministeriums der Finanzen im Einvernehmen mit dem Bundesministerium des Innern und für Heimat und dem Bundesministerium der Justiz ergibt, dass sich eine Bereitstellung zum automatisierten Abruf anstelle der Übermittlung in der Praxis bewährt hat. Anlage 1 (zu den §§ 5, 10, 14, 15) Faktoren für ein potenziell geringeres Risiko (Fundstelle: BGBl. I 2017, 1858; bzgl. der einzelnen Änderungen vgl. Fußnote)  Die Liste ist eine nicht abschließende Aufzählung von Faktoren und möglichen Anzeichen für ein potenziell geringeres Risiko nach § 14: 1. Faktoren bezüglich des Kundenrisikos: a) öffentliche, an einer Börse notierte Unternehmen, die (aufgrund von Börsenordnungen oder von Gesetzes wegen oder aufgrund durchsetzbarer Instrumente) solchen Offenlegungspflichten unterliegen, die Anforderungen an die Gewährleistung einer angemessenen Transparenz hinsichtlich des wirtschaftlichen Eigentümers auferlegen,  b) öffentliche Verwaltungen oder Unternehmen,  c) Kunden mit Wohnsitz in geografischen Gebieten mit geringerem Risiko nach Nummer 3.  2. Faktoren bezüglich des Produkt-, Dienstleistungs-, Transaktions- oder Vertriebskanalrisikos: a) Lebensversicherungspolicen mit niedriger Prämie,  b) Versicherungspolicen für Rentenversicherungsverträge, sofern die Verträge weder eine Rückkaufklausel enthalten noch als Sicherheit für Darlehen dienen können,  c) Rentensysteme und Pensionspläne oder vergleichbare Systeme, die den Arbeitnehmern Altersversorgungsleistungen bieten, wobei die Beiträge vom Gehalt abgezogen werden und die Regeln des Systems den Begünstigten nicht gestatten, ihre Rechte zu übertragen,  d) Finanzprodukte oder -dienste, die bestimmten Kunden angemessen definierte und begrenzte Dienstleistungen mit dem Ziel der Einbindung in das Finanzsystem („financial inclusion“) anbieten,  e) Produkte, bei denen die Risiken der Geldwäsche und der Terrorismusfinanzierung durch andere Faktoren wie etwa Beschränkungen der elektronischen Geldbörse oder die Transparenz der Eigentumsverhältnisse gesteuert werden (z. B. bestimmte Arten von E-Geld).  3. Faktoren bezüglich des geografischen Risikos – Registrierung, Niederlassung, Wohnsitz in: a) Mitgliedstaaten,  b) Drittstaaten mit gut funktionierenden Systemen zur Verhinderung, Aufdeckung und Bekämpfung von Geldwäsche und von Terrorismusfinanzierung,  c) Drittstaaten, in denen Korruption und andere kriminelle Tätigkeiten laut glaubwürdigen Quellen schwach ausgeprägt sind,  - Seite 75 von 77 - Ein Service des Bundesministeriums der Justiz sowie des Bundesamts für Justiz ‒ www.gesetze-im-internet.de d) Drittstaaten, deren Anforderungen an die Verhinderung, Aufdeckung und Bekämpfung von Geldwäsche und von Terrorismusfinanzierung laut glaubwürdigen Quellen (z. B. gegenseitige Evaluierungen, detaillierte Bewertungsberichte oder veröffentlichte Follow-up-Berichte) den überarbeiteten FATF (Financial Action Task Force)-Empfehlungen entsprechen und die diese Anforderungen wirksam umsetzen.  Anlage 2 (zu den §§ 5, 10, 14, 15) Faktoren für ein potenziell höheres Risiko (Fundstelle: BGBl. I 2017, 1859; bzgl. der einzelnen Änderungen vgl. Fußnote)  Die Liste ist eine nicht erschöpfende Aufzählung von Faktoren und möglichen Anzeichen für ein potenziell höheres Risiko nach § 15: 1. Faktoren bezüglich des Kundenrisikos: a) außergewöhnliche Umstände der Geschäftsbeziehung,  b) Kunden, die in geografischen Gebieten mit hohem Risiko gemäß Nummer 3 ansässig sind,  c) juristische Personen oder Rechtsvereinbarungen, die als Instrumente für die private Vermögensverwaltung dienen,  d) Unternehmen mit nominellen Anteilseignern oder als Inhaberpapiere emittierten Aktien,  e) bargeldintensive Unternehmen,  f) angesichts der Art der Geschäftstätigkeit als ungewöhnlich oder übermäßig kompliziert erscheinende Eigentumsstruktur des Unternehmens,  g) der Kunde ist ein Drittstaatsangehöriger, der Aufenthaltsrechte oder die Staatsbürgerschaft eines Mitgliedstaats im Austausch gegen die Übertragung von Kapital, den Kauf von Immobilien oder Staatsanleihen oder Investitionen in Gesellschaften in diesem Mitgliedstaat beantragt;  2. Faktoren bezüglich des Produkt-, Dienstleistungs-, Transaktions- oder Vertriebskanalrisikos: a) Betreuung vermögender Privatkunden,  b) Produkte oder Transaktionen, die Anonymität begünstigen könnten,  c) Geschäftsbeziehungen oder Transaktionen ohne persönliche Kontakte und ohne bestimmte Sicherungsmaßnahmen wie elektronische Mittel für die Identitätsfeststellung, einschlägige Vertrauensdienste gemäß der Definition in der Verordnung (EU) Nr. 910/2014 oder andere von den einschlägigen nationalen Behörden regulierte, anerkannte, gebilligte oder akzeptierte sichere Verfahren zur Identifizierung aus der Ferne oder auf elektronischem Weg,  d) Eingang von Zahlungen unbekannter oder nicht verbundener Dritter,  e) neue Produkte und neue Geschäftsmodelle einschließlich neuer Vertriebsmechanismen sowie Nutzung neuer oder in der Entwicklung begriffener Technologien für neue oder bereits bestehende Produkte,  f) Transaktionen in Bezug auf Öl, Waffen, Edelmetalle, Tabakerzeugnisse, Kulturgüter und andere Artikel von archäoloischer , historischer, kultureller oder religiöser Bedeutung oder von außergewöhnlichem wissenschaftlichem Wert sowie Elfenbein und geschützte Arten;  3. Faktoren bezüglich des geografischen Risikos: a) unbeschadet des Artikels 9 der Richtlinie (EU) 2015/849 ermittelte Länder, deren Finanzsysteme laut glaubwürdigen Quellen (z. B. gegenseitige Evaluierungen, detaillierte Bewertungsberichte oder veröffentlichte Follow-up-Berichte) nicht über hinreichende Systeme zur Verhinderung, Aufdeckung und Bekämpfung von Geldwäsche und Terrorismusfinanzierung verfügen,  b) Drittstaaten, in denen Korruption oder andere kriminelle Tätigkeiten laut glaubwürdigen Quellen signifikant stark ausgeprägt sind,  c) Staaten, gegen die beispielsweise die Europäische Union oder die Vereinten Nationen Sanktionen, Embargos oder ähnliche Maßnahmen verhängt hat oder haben,  - Seite 76 von 77 - Ein Service des Bundesministeriums der Justiz sowie des Bundesamts für Justiz ‒ www.gesetze-im-internet.de d) Staaten, die terroristische Aktivitäten finanziell oder anderweitig unterstützen oder in denen bekannte terroristische Organisationen aktiv sind.  Fußnote Anlage 2 Nr. 2 Buchst. f: Eingef. durch Art. 1 Nr. 49 Buchst. b DBuchst. cc G v. 12.12.2019 I 2602 mWv 1.1.2020 (Kursivdruck: Müsste richtig archäologischer"" lauten) - Seite 77 von 77 -"
dbfs:/Volumes/workspace/hackathoncompliancedoc/documents/minimum-requirements-for-risk-management-mindestanforderungen-an-das-risikomanagement-marisk-data.pdf,"Federal Financial Supervisory Authority (BaFin) Minimum Requirements for Risk Management (MaRisk) – Page 1 of 22 BaFin Translation - The present English text is furnished for information purposes only. The original German text is binding in all respects.- Minimum Requirements for Risk Management Mindestanforderungen an das Risikomanagement MaRisk AT 1 Preliminary remarks...........................................................................3 AT 2 Scope of application...........................................................................4 AT 2.1 Affected institut ions......................................................................4 AT 2.2 Risks ..........................................................................................4 AT 2.3 Transactions................................................................................5 AT 3 Overall responsibili ty of the management board.....................................5 AT 4 General requirements for risk management...........................................5 AT 4.1 Risk-bearing capacity....................................................................5 AT 4.2 Strategies ...................................................................................6 AT 4.3 Internal control system .................................................................6 AT 4.3.1 Organisational and operat ional structure ....................................6 AT 4.3.2 Processes for identifying, assessing, treating, monitoring and communicating risks ................. ...........................................................7 AT 4.4 Internal audit ..............................................................................7 AT 5 Organisational guidelines ...... ..............................................................8 AT 6 Documentation..................................................................................8 AT 7 Resources.........................................................................................8 AT 7.1 Personnel....................................................................................8 AT 7.2 Technical facilities and rela ted processes .........................................9 AT 7.3 Contingency plan .........................................................................9 AT 8 Activities in new products or on new markets.........................................9 AT 9 Outsourcing ....................................................................................10 BT 1 Special requirements for the inte rnal control system.............................11 BTO Requirements for the organisational and operational structure................11 BTO 1 Lending business ........................................................................12 BTO 1.1 Segregation of functions an d voting .........................................12 BTO 1.2 Requirements for lending bu siness processes ............................12 BTO 1.2.1 Granting of loans .............................................................13 BTO 1.2.2 Further processing of loans ...............................................14 BTO 1.2.3 Monitoring of loan processing ............................................14 BTO 1.2.4 Intensified loan management ............................................14 BTO 1.2.5 Treatment of problem loans ..............................................14 BTO 1.2.6 Risk provisioning .............................................................15 BTO 1.3 Procedure for the early detec tion of risks ..................................15 BTO 1.4 Risk classification procedu re ...................................................15 BTO 2 Trading business.........................................................................15 BTO 2.1 Segregation of functions... ......................................................15 BTO 2.2 Requirements for trading bu siness processes ............................16 BTO 2.2.1 Trading ..........................................................................16 BTO 2.2.2 Settlement and control .....................................................16 BTO 2.2.3 Positions to be covered by the risk co ntrol function...............17 Federal Financial Supervisory Authority (BaFin) Minimum Requirements for Risk Management (MaRisk) – Page 2 of 22 BTR Requirements for processes for identifying, assessing, treating, monitoring and communicating risks..........................................................................17 BTR 1 Counterparty risks.......................................................................18 BTR 2 Market price risks........................................................................18 BTR 2.1 General requirements.............................................................18 BTR 2.2 Market price ri sks in the trad ing book.......................................19 BTR 2.3 Market price risks in the bankin g book (including interest rate risks) ......................................................................................................19 BTR 3 Liquidity risks .............................................................................20 BTR 4 Operational risks.........................................................................20 BT 2 Special requirements for the inte rnal audit ..........................................20 BT 2.1 Duties of the internal audit ..........................................................20 BT 2.2 General principles for the inte rnal audit .........................................21 BT 2.3 Planning and conducting of the audit.............................................21 BT 2.4 Reporting obligation.................................................................21 BT 2.5 Reaction to findings ..... ............................................................22 Federal Financial Supervisory Authority (BaFin) Minimum Requirements for Risk Management (MaRisk) – Page 3 of 22 AT1 1 Preliminary remarks 1 This Circular provides a flexible, hands-on framework for risk management at institutions based on section 25a (1) of the German Banking Act (Kreditwesengesetz – KWG). Further- more it refines the requirements placed on a proper business organisation for the outsourced activities and processes pursuant to section 25a (2) KWG. Within the meaning of this Circu- lar, risk management–taking into account the institution’s risk-bearing capacity–includes in particular the determination of appropriate strategies, as well as the establishment of appro-priate internal surveillance procedures. The inte rnal surveillance procedures comprise the in- ternal control system and internal audit.In particular, the internal control system covers - rules regarding the organisational and operational structure and - processes for identifying, assessing, treating, monitoring and communicating risks. To this extent, this Circular aims primarily to ensure the establishment of appropriate inter-nal governance structures. This also means that the supervisory body is involved as appro- priate to ensure that it can perform its supervisory duties properly. 2 The Circular also provides a qualitative framework for the implementation of Articles 22 and 123 of the Directive 2006/48/EC (Capital Requir ements Directive (CRD)). These provisions state that institutions have to set up appropriate ‘Robust Governance Arrangements’, as well as strategies and processes that ensure adequate internal capital to cover all material risks (“Internal Capital Adequacy Assessment Proce ss”). The Supervisory Authority shall assess the quality of these processes on a regular ba sis in accordance with Article 124 of the CRD (“Supervisory Review and Evaluation Process”). As a result, and taking into account the prin- ciple of double proportionality, this Circular shall provide a regulatory framework for the new qualitative supervisory system in Germany (“Supervisory Review Process”). With regard to the new methods for the calculation of regulatory own funds in accordance with the CRD, the requirements of this Circular have been formul ated in a neutral manner, to the extent that compliance is possible irrespective of the method chosen. The Supervisory Authority expects audits to be in-line with the flexible overall structure of the Circular. As a result, audits have to be performed based on a risk-oriented approach. 3 By way of section 33 (1) of the Securities Trading Act (WpHG) in conjunction with section 25a (1) KWG this Circular also implements Art. 13 of the Directive 2004/39/EC (Markets in Financial Instruments Directive) provided it is likewise applicable to credit institutions and fi- nancial services institutions. This regards the general organisational requirements pursuant to Art. 5, as well as the risk management and internal audit requirements pursuant to Art. 7 and 8, the requirements relative to management board responsibility pursuant to Art. 9 and to outsourcings pursuant to Art. 13 and 14 of the Directive 2006/73/EC (Implementing Di-rective for the Markets in Financial Instruments Directive). These requirements serve to achieve the objective of the Markets in Financial Instruments Directive, namely to harmonise the financial markets in the European Union in the interests of cross-border financial services and to converge investor-protection standards. 4 This Circular gives due consideration to the diversity of institutional structures and business activities. It contains several opening clauses which enable simplified implementation de- pending on the size of the institution, its core business activities and its risk profile. In par-ticular, this permits flexible implementation for smaller institutions. This Circular is open to the ongoing development of risk management pr ocesses and procedures, provided that such development does comply with the objectives of the Circular. In this context, the Supervi-sory Authority will maintain an ongoing dialogue with the industry. 5 The Supervisory Authority expects audits to be in line with the flexible overall structure of the Circular. As a result, audits have to be performed based on a risk-oriented approach. 6 The Circular has a modular structure so that any necessary adaptations to individual regula- tory sections can be confined to the immediate overhaul of individual modules. A general part (AT module) provides basic principles for risk management. Specific requirements with 1 The abbreviations referring to the corresponding parts of the modular structure of the MaRisk are adopted in the English text as given in the original text (AT = Ge neral Part; BT = Special Part; BTO = Special Part regard- ing requirements for the organisational and operational structure; BTR = Spec ial Part referring to the processes for identifying, assessing, treating, monitoring and communicating certain risks) Federal Financial Supervisory Authority (BaFin) Minimum Requirements for Risk Management (MaRisk) – Page 4 of 22 regard to the organisation of the lending and trading business, as well as those relating to the identification, assessment, management, monitoring and communicating of counterparty risks, market price risks, liquidity risks and operational risks are set forth in a special part (BT module). The latter also provides a framework for the internal audit of institutions. AT 2 Scope of application 1 The institutions’ compliance with this Circular’s requirements is intended to contribute to the elimination of deficiencies in the banking and financial services industries which may jeop-ardise the security of the assets entrusted to th e institutions or impair the proper conduct of banking transactions or financial services, or which may create substantial disadvantages for the economy as a whole. When performing secu rities services and ancillary securities ser- vices the institutions must also comply with the requirements subject to the proviso that they protect the interests of the securities service customer. AT 2.1 Affected institutions 1 The requirements of this Circular are to be observed by all institutions within the meaning of sections 1 (1b) or 53 (1) KWG. They also appl y to the foreign branches of German institu- tions. They do not apply to branches of comp anies domiciled in another state of the Euro- pean Economic Area pursuant to section 53b KWG. The parent company or the parent finan- cial conglomerate company of a group of institutions, a financial holding group or a financial conglomerate have to set up a procedure to en sure that material risks at group level are treated and monitored appropriately and in accordance within the restrictions set by com- pany law. 2 Financial services institutions and securities trading banks have to comply with the require- ments of the Circular to the extent that this appears necessary, based on the size of the in- stitution and the nature, scale, complexity and risk content of its business activities, in order to ensure compliance with the statutory obligations in accordance with section 25a KWG. This applies in particular to the mo dules AT 3, AT 5, AT 7 and AT 9. 3 The requirements set forth in this Circular apply to investment companies within the mean- ing of section 2 (6) of the Investment Act ( Investmentgesetz ) subject to the proviso that a) BTO 1 does not apply to investment companies, b) BTO 2 and BTR do not apply to activities and processes related to fund management and individual asset management; the requir ements contained in these modules apply only mutatis mutandis to activities and processes related to the investment company’s own account business, c) the requirements contained in the AT only apply to the extent that they are not explic- itly defined in special frameworks of rules and regulations for investment companies. AT 2.2 Risks 1 The requirements set forth in this Circular rela te to the management of material risks of the institution, as well as risk concentrations associated with these risks. In order to assess whether or not a risk is deemed material, the management has to obtain an overview of the overall risk profile of the institution. As a general rule, the types of risk to be taken into consideration include: a) counterparty risks (including country risks), b) market price risks, c) liquidity risks and d) operational risks. Federal Financial Supervisory Authority (BaFin) Minimum Requirements for Risk Management (MaRisk) – Page 5 of 22 AT 2.3 Transactions 1 In general, lending transactions within the meaning of this Circular include all transactions in accordance with section 19 (1) KWG (balance sheet assets and off-balance-sheet transac- tions entailing a counterparty risk). 2 Lending decisions within the meaning of this Circ ular include all decisions on new loans, loan increases, participating interests, the exceeding of limits, the determination of borrower- related limits, as well as counterparty and issuer limits, prolongations and changes to risk-relevant circumstances on which the lending decision was based (e.g. collateral, loan pur-pose). The issue as to whether the decision was taken by the institution only or together with other institutions (syndicated lending) is immaterial. 3 As a general rule, “trading business” covers all activities based on a a) money market transaction, b) securities transaction, c) foreign exchange transaction, d) transaction in fungible receivables (e.g. trading in borrowers’ notes). e) transaction in commodities f) transaction in derivatives and which are concluded in the institution’s own name and for its own account. Securities transactions also include transactions with registered bonds and securities lending, but not the initial issue of securities. Trading transactions also include - regardless of the underlying - any form of repurchase agreement. 4 Transactions in derivatives include forward transactions with prices which derive from an un- derlying asset, a reference price, a reference in terest rate, a reference index or an event de- fined in advance. AT 3 Overall responsibility of the management board 1 Management board (section 1 (2) KWG) is responsible - irrespective of their internal respon- sibilities - for ensuring that the company has a proper business organisation and that this organisation is developed further. This responsibility encompasses all material aspects of risk management and has to take into account outs ourced activities and processes. Management board is only capable of meeting this responsibility if the risk management system allows them to assess the risks and take the necessary measures to limit them. AT 4 General requirements for risk management AT 4.1 Risk-bearing capacity 1 On the basis of the overall risk profile, the in stitution has to ensure that the material risks are covered by the risk taking potential at all times, taking into account any correlation be- tween risks where appropriate, and that the institution is therefore able to bear its material risks. 2 An institution’s risk-bearing capacity has to be taken into account when determining strate- gies (AT 4.2) and adjusting these strategies. Appropriate processes for identifying, assess-ing, treating, monitoring and communicating risks (AT 4.3.2) have to be established in order to implement the strategies and guarantee the institution’s risk-bearing capacity. 3 Institutions have to define all material risks which are not included in the assessment of their risk-bearing capacity (e.g. liquidity risks). Institutions have to state clearly the reasons for Federal Financial Supervisory Authority (BaFin) Minimum Requirements for Risk Management (MaRisk) – Page 6 of 22 the non-inclusion of such risks. Institutions have to ensure that the processes for identifying, assessing, treating, monitoring and communicating risks give appropriate consideration to such risks. 4 The individual institution is responsible for selecting the methods employed to determine its risk-bearing capacity. The assumptions on wh ich the methods are based have to be ex- plained clearly. The responsible employees ha ve to examine the methods at least once a year to assess their suitability. AT 4.2 Strategies 1 The management board has to define a business strategy and a consistent risk strategy. The risk strategy has to take into account the objectives and plans of the institution’s material business activities as set forth in the business strategy, as well as the risks of material out- sourcings (AT 9 item 2). Responsibility for the determination of these strategies cannot be delegated. The management board is required to ensure the implementation of the strate- gies. The level of detail contained in the strate gies depends on the scope and complexity, as well as the risk content of the planned business activities. 2 The risk strategy has to contain the objectives of risk treatment with regard to the institu- tion’s material business activities. It may be divided into sub-strategies where appropriate (e.g. a strategy for counterparty risks). The level of detail of these sub-strategies may vary. Appropriate consideration has to be given to the limitation of risk concentrations when de-termining the risk strategy. 3 The management board has to review the strategies at least once per year and adjust them as appropriate. The supervisory body of the instit ution has to be notified of all strategies and given an opportunity to discuss them. 4 The content of the risk strategy as well as an y amendments thereto, together with the busi- ness strategy where appropriate, have to be communicated in a suitable manner within the institution. AT 4.3 Internal control system 1 Depending on the nature, scale, complexity and risk content of its business activities, each institutions has to a) set forth regulations regarding the organisational and operational structure and b) establish processes for identifying, assessing, treating, monitoring and communicating risks. AT 4.3.1 Organisational and operational structure 1 When determining the organisational and operational structure, the institution has to ensure that incompatible activities are performed by different employees. 2 Processes, as well as the related tasks, competencies, responsibilities, controls and commu- nication channels have to be clearly defined and attuned to one another. This also applies to the linkage to material outsourcings. Federal Financial Supervisory Authority (BaFin) Minimum Requirements for Risk Management (MaRisk) – Page 7 of 22 AT 4.3.2 Processes for identifying, assessing, treating, monitoring and communicating risks 1 The institution has to establish appropriate processes which ensure that material risks can be a) identified, b) assessed, c) treated and d) monitored and communicated. These processes should be included in an integrated risk-return management system (“Ge- samtbanksteuerung”). 2 The processes for identifying, assessing, treati ng, monitoring and communicating risks have to ensure that material risks – including those arising from outsourced activities and proc- esses – can be identified at an early stage, captured completely and presented in an appro- priate manner. The processes should take an y correlations between the various types of risk into account. 3 Appropriate scenarios are to be employed on a regular basis to assess the risks used to de- termine the institution’s risk-bearing capacity. 4 The management board has to require submission of a report on the risk situation and the result of the scenario assessments at appropriat e intervals. The risk report has to be writ- ten clearly and concisely, and has to contain both a description and an assessment of the risk situation. Suggested actions, e.g. to reduce risk, are also to be included in the risk re- port where required. Details on risk reporting can be found in BTR 1 to BTR 4. 5 Information which is important from a risk point of view has to be communicated immedi- ately to the management board, the responsible members of staff and, where appropriate, internal audit, so that appropriate measures and/or audits can be initiated at an early stage. 6 The management board has to submit an appropriate written report on the institution’s risk situation to the supervisory body on a quarterly basis. 7 The processes for identifying, assessing, treati ng, monitoring and communicating risks have to be amended to reflect any changes in the overall situation as soon as possible. AT 4.4 Internal audit 1 Each institution must have a functioning internal audit in place. The functions of an internal audit may be carried out by a member of the management board if it would be dispropor-tionate with respect to the size of the institution to establish an internal audit. 2 The internal audit as an instrument of the ma nagement board is under its direct control and has to report to the management board. It can also be subject to the direct control of one executive in the management board, who should, if possible, be the chairperson. 3 The internal audit has to examine and assess, in a manner which is risk-focused and inde- pendent of individual processes, the effectiv eness and appropriateness of the “risk manage- ment in general”, and the internal control system in particular, as well as the extent to which all activities and processes comply with the appropriate regulations regardless of whether these are outsourced or not. This does not affect BT 2.1 item 3. 4 In order to enable it to perform its duties, the internal audit has to be granted a full, unlim- ited right to information. This right has to be ensured at all times. In this respect, the inter- nal audit has to be immediately provided with the necessary information, the required documents and an opportunity to review the institution’s activities, processes and IT sys-tems. Federal Financial Supervisory Authority (BaFin) Minimum Requirements for Risk Management (MaRisk) – Page 8 of 22 5 The internal audit has to be informed of any management board directives and resolutions that could be relevant to its activities. It has to be informed of any material changes to the risk management in a timely manner. 6 With respect to its risk management at group level group internal audit shall supplement the activities of the internal audit of subsidiaries. Group internal audit may also make use of the findings of the internal audit of the subsidiary companies. AT 5 Organisational guidelines 1 The institution has to ensure that its business activities are conducted on the bases of organ- isational guidelines (e.g. manuals, work documentation or workflow procedures). The level of complexity of the organisational guidelines depends on the nature, scale, complexity and risk content of the business activities in question. 2 The organisational guidelines have to be set down in writing and communicated to the staff members concerned in a suitable manner. Care has to be taken to ensure that the latest version of these guidelines is available to these staff members. The guidelines have to be amended to reflect any changes in the institutions’ activities and processes as soon as possi- ble. 3 Most importantly, the organisational guidelines has to contain the following information: a) rules regarding the organisational and operational structure, as well as the assignment of tasks, the decision-making hierarchy and the various responsibilities, b) rules on the processes for identifying, assessing, treating, monitoring and communicat- ing risk, c) rules for the internal audit, d) rules which ensure compliance with statutory provisions and other requirements (e.g. dataprotection, compliance) and e) rules for procedures for material outsourcings. 4 The organisational guidelines have to enable the internal audit to conduct an audit. AT 6 Documentation 1 As a general rule, all business, control and monitoring records have to be drawn up system- atically and in a manner which is clear to knowledgeable third parties and, subject to statu- tory regulations, retained for two years. Files have to be kept up to date and processes are to be in place to ensure that the contents are complete. 2 Any material actions and decisions that are relevant for compliance with this Circular have to be documented in a clear manner. This also includes decisions with regard to the use of sig- nificant opening clauses, for which grounds have to be stated, where appropriate. AT 7 Resources AT 7.1 Personnel 1 The staffing of the institution has to be based, in both quantitative and qualitative terms, on the institution’s internal operational needs, business activities and risk situation. This also applies to the assignment of temporary staff. 2 The employees and their deputies have to have the knowledge and experience required as determined by their duties, competencies and responsibilities. Suitable measures have to be taken to ensure that the employees have the appropriate qualifications. Federal Financial Supervisory Authority (BaFin) Minimum Requirements for Risk Management (MaRisk) – Page 9 of 22 3 Employee absence, or resignation from the institution, should not result in any long-term impairment of operations. 4 The remuneration and incentive systems must not contradict the aims set forth in the strategies. AT 7.2 Technical facilitie s and related processes 1 The scope and quality of the institution’s technical facilities and related processes have to be based, in particular, on the institution’s operational needs, business activities and risk situa- tion. 2 The IT systems (hardware and software components) and the related IT processes have to ensure data integrity, availability, authenticity and confidentiality. In order to ensure this, the IT systems and the related IT processes have to be based on established standards as a general principle. The suitability of these systems and processes has to be assessed on a regular basis by the employees responsible for the technical and professional aspects of the relevant processes and systems. 3 The IT systems have to be tested before they are used for the first time and after any mate- rial changes have been made. They have to th en be approved by both the staff responsible for the relevant processes and the staff responsible for the systems. As a general rule, the production and testing environments has to be kept separate. 4 Enhancements and changes to technical specific ations (e.g. the adjustment of parameters) have to involve both the staff responsible for the relevant processes and the staff responsi- ble for the systems. Technical approval need not be user-specific. AT 7.3 Contingency plan 1 Provisions are to be made for emergencies relating to time-critical activities and processes (contingency plan). The measures set forth in the contingency plan have to aim at reducing the scale of any possible impact. The effectiveness and suitability of the plan have to be as- sessed on a regular basis by means of contingency testing. The results of the contingency tests have to be communicated to the responsible members of staff. If time-critical activities and processes are outsourced, the outsourcing in stitution and the external service provider are to have contingency plans that are coordinated with each other. 2 The contingency plan has to include business continuity and recovery plans. The business continuity plans have to ensure that alternat ive solutions are available in the event of an emergency as soon as possible. The recovery pl ans have to ensure the restoration of normal operations within an appropriate period of ti me. The contingency plans have to provide the communication channels to be used in the event of an emergency and have to be provided to the affected employees. AT 8 Activities in new products or on new markets 1 A plan has to be drawn up prior to commencing business activities that relate to new prod- ucts or markets (including new distribution channels). This plan is to be based on the result of the risk content analysis performed for these new business activities. It has to describe the main consequences of the new activities on risk management. 2 The decision as to whether or not activities involve a new product or market have to be made in conjunction with an area independent of front office and trading (BTO 1 item 2). 3 As far as trading activities are concerned, a test phase has to, as a general rule, be intro- duced before continuous trading in the new product or on the new market commences. Dur-ing the test phase, trading has to be limited to a manageable scale. Care has to be taken to ensure that continuous trading begins only once the test phase has been completed success- fully and appropriate processes for identifying, assessing, treating, monitoring and commu-nicating risks are in place. Federal Financial Supervisory Authority (BaFin) Minimum Requirements for Risk Management (MaRisk) – Page 10 of 22 4 The organisational units which will be involved in the operations of the new business at a later stage have to participate in the drafting of the plan and in the test phase; the internal audit has to be involved in line with its duties. 5 The plan and the commencement of ongoing busine ss activities have to be approved by the professional responsible management board member, in cooperation with the management board member responsible for monitoring the ac tivities in question. These approval proc- esses can be delegated, provided that clear guidelines are in place and that the management board is informed of the decisions as soon as possible. 6 If the organisational units to be involved in the operation of the new business at a later stage believe that the activities in a new product or on a new market can be managed ap- propriately, AT 8 need not be applied. AT 9 Outsourcing 1 Outsourcing is the assignment of another company to carry out activities or processes re- lated to the execution of banking transactions, financial services or other typical services that would otherwise be performed by the institution itself. 2 On the basis of a risk analysis the institution shall determine on its own responsibility which outsourcings of activities and processes are material with regard to risks (material outsourc- ings). The respective operational units are to be involved in the preparation of the risk analysis. The internal audit shall also be involved within the scope of its functions. The risk analysis has to be revised when material changes occur in the risk situation. 3 Outsourcings which are non-material with regard to risk have to comply with the general re- quirements on proper organisation pursuant to section 25a (1) KWG. 4 As a general rule, all activities and processes may be outsourced when this does not impair proper business organisation pursuant to section 25a (1) KWG. Outsourcing must not lead to the delegation of management board responsibility to the insourcing company. Management board functions must not be outsourced. Special requirements for outsourcing measures may also arise from specific statutory regulations, for example those for Building Societies (Bausparkassen) with respect to the risk control/management of the home savings collective (Kollektivsteuerung). 5 If the institution intends to terminate a material outsourcing contract it shall take measures to ensure continuitity and quality of the outsou rced activities and processes after termination of the respective contracts. 6 The following terms shall be agreed in the outsourcing contract for material outsourcings: a) specification and if necessary description of service to be performed by the insourcing company, b) stipulation of information and audit rights of the internal audit and external audits, c) ensuring BaFin’s information and examin ing rights and control capabilitiy, d) rights to give directives if necessary, e) regulations that ensure compliance with data protection provisions, f) appropriate periods of notice, g) regulations on the possibility and the moda lities of sub-outsourcing that guarantee that the institutions continue to comply with the banking supervisory requirements, h) the commitment of the insourcing firm to inform the institution of any developments that may impair the proper performance of the outsourced activities and processes. 7 The institution shall manage the risks associated with material outsourcings in an appropri- ate manner and monitor the execution of the outsourced activities and processes in a proper manner. This also includes a regular evaluation of the service of the insourcing firm on the basis of specific criteria. The institution must assign clear responsibilities for management and monitoring. 8 If internal audit is to be outsourced complete ly the management board shall appoint an audit officer who has to ensure that internal audit is functioning properly. The requirements of AT 4.4 and BT 2 are to be taken into account accordingly. Federal Financial Supervisory Authority (BaFin) Minimum Requirements for Risk Management (MaRisk) – Page 11 of 22 9 The requirements on the outsourcing of activiti es and processes must also be complied with when outsourced activities and processes are sub-outsourced. BT 1 Special requirements for the internal control sys- tem 1 This module sets out the special requirements for the internal control system. These re- quirements relate primarily to the organisational and operational structure in the lending and trading business (BTO) and the processes for identifying, assessing, treating, monitoring and communicating risks for counterparty risks, market price risks, liquidity risks and operational risks (BTR). BTO Requirements for the organisational and operational structure 1 The purpose of this module is to set forth the requirements that apply to the organisational and operational structure in the lending and trading business. The BTO requirements can be applied in a simplified manner depending on the size of the institution, its business focus and its risk situation. 2 This Circular distinguishes between the following areas: a) the area which initiates lending transactions and has a vote in the lending decisions (“front office”), b) the area which has an additional vote on lending decisions (“back office”) and c) “trading”. Furthermore, a distinction is also ma de between the following functions: d) those functions which serve to monitor and communicate risks (“risk control function”) and e) those functions which serve to settle and control trading transactions (“settlement and control function”). 3 As a general rule, care has to be taken to ensure that the structure of the front office and trading areas are kept separate, up to and including the management board level, from those areas or functions set forth in item 2 b), d) and e), as well as in BTO 1.1 item 7, BTO 1.2 item 1, BTO 1.2.4 item 1, BTO 1.2.5 item 1 and BTO 1.4 item 2. 4 Market price risk control functions have to be separated, up to and including the manage- ment board level, from those areas which are responsible for positions. 5 The segregation of functions has also to be obse rved at deputy level. In principle, the desig- nated deputy can also be a suitable member of staff below management board level. 6 The involvement of the management board member responsible for the risk control functions in a committee entrusted by management board with risk management duties does not con- flict with the principle of the segregation of functions. 7 The section responsible for accounting (accounting department), in particular the preparation of the account allocation rules and development of the system of accounts, has to be inde- pendent of the front offi ce and trading areas. 8 As a general rule, material legal risks are to be assessed by asection which is independent of the front office and trading areas (e.g. the legal department). 9 In the case of IT-based processing, the segreg ation of functions is to be ensured by means of corresponding procedures and precautions. Federal Financial Supervisory Authority (BaFin) Minimum Requirements for Risk Management (MaRisk) – Page 12 of 22 BTO 1 Lending business 1 This module sets out the requirements that apply to the organisational and operational structure, the procedures for the early detectio n of risks and the procedures for the classifi- cation of risks in the lending business. As far as trading transactions and participating inter- ests are concerned, the implementation of indi vidual requirements set forth in this module may be waived provided that their implementati on is not deemed to be appropriate in view of the specific features of these types of bu siness (e.g. the requirement to monitor the loan purpose set forth in BTO 1.2.2 item 1). BTO 1.1 Segregation of functions and voting 1 The basic principle that applies to the structur e of processes in lending business is the clear structural separation of the front office and back office up to and including the management board level. In the case of small institutions, exceptions may be made under certain circum- stances with regard to the segregation of functions. 2 Depending on the nature, scale, complexity and risk content of the exposure in question, a lending decision requires two consenting votes by both the front and back office. This is without prejudice to any further-reaching de cision-making rules (e.g. KWG, memorandum and articles of association). If these decisions are made by a single committee, the majority structure within that committee has to be defined in such a way that the back office cannot be outvoted. 3 In the case of trading transactions, counterparty and issuer limits are to be set by means of a back office vote. 4 In the case of lending decisions which are deemed immaterial from a risk point of view, the institution may decide that only one vote is necessary (“non-risk relevant lending transac- tions”). The process can also be simplified in the case of lending transactions initiated by third parties. In this respect, the structural se paration between front office and back office is only relevant to lending transactions where the risk involved makes two votes necessary. If a second vote is not necessary, care has to be taken to ensure the proper implementation of the requirements set forth in BTO 1.2. 5 Each management board member may, within th e limits of the individual decision-making power, take lending decisions independently and also maintain customer contact; this does not affect the structural separation between the front office and the back office. In addition, two votes are required where risk aspects render this necessary. In the event that decisions made within the framework of an individual’s decision-making power deviate from the votes or if such decisions are made by the manage ment board member responsible for the back office, they have to be highlighted in the risk report (BTR 1 item 7). 6 The institution has to define a clear and consistent decision-making hierarchy for decisions in lending business. If the votes are split, clear decision-making rules have to be defined in this hierarchy. In such cases, the loan has to be ei ther rejected or passed on to the next hierar- chy level for a decision (escalation procedure). 7 The review of certain types of collateral – to be determined under risk aspects – is to be conducted outside the front office. This also applies to suggestions regarding risk provision-ing for significant exposures. The organisational integration of all other processes or sub- processes listed in BTO 1.2 is at the institutions' discretion (such as loan processing or sub- processes of loan processing), unless this Circular states otherwise. BTO 1.2 Requirements for lending business processes 1 The institution has to set up loan processing procedures (the granting and further processing of the loan), the monitoring of loan processing, intensified loan management, the processing Federal Financial Supervisory Authority (BaFin) Minimum Requirements for Risk Management (MaRisk) – Page 13 of 22 of problem loans and risk provisioning. Respon sibility for the development and quality of these processes has to lie outside of the front office. 2 The institution has to formulate processing guidelines for lending business processes, which are to be broken down (e.g. by loan type) where appropriate. It has to set up also proce- dures for the monitoring, administration and realisation of pledged collateral. 3 All aspects material to the counterparty risk of a lending exposure have to be identified and assessed, with the intensity of these activities depending on the risk content of the expo- sures. Recourse may also be made to external sources when assessing counterparty risk. Sector and, where appropriate, country risks have to be given the appropriate consideration. Critical issues concerning an exposure are to be highlighted and, where applicable, consid- ered under various scenarios. 4 With respect to property/project financing, the loan processing procedure has to ensure that not only the economic aspects, but also those aspects regarding the technical feasibility and development, as well as the legal risks associated with the property/project, are included in the assessment. Recourse may also be made to the expertise of an appropriate organisa-tional unit independent of the borrower. When ever external sources are consulted for these purposes, their qualification has to be assessed in advance. 5 Depending on the risk content of the loans, the risks related to an exposure are to be evalu- ated using a risk classification procedure, either as part of the lending decision or in the case of regular or ad hoc assessments. The risk classification is to be reviewed annually. 6 There should be a verifiable link between the cla ssification in the risk classification procedure and the terms and conditions of the loan. 7 The institution has to establish a procedure that conforms to the decision-making hierarchy, for dealing with the exceeding of limits. To the extent acceptable in terms of the risk, the re- quirements set forth in BTO 1.1. and BTO 1.2 may be applied in a simplified fashion to the exceeding of limits and prolongations on the basis of clear rules. 8 A procedure has to be set up to monitor the timely submission of the necessary lending documents and ensure timely evaluation. A dunning procedure is to be implemented for overdue documents. 9 The institution has to use standardised lending documents, to the extent that this is possible and appropriate with respect to the type of lending business in question, with the structure of the credit documents depending on the nature, scale, complexity and risk content of the business. 10 Contractual agreements relating to lending business have to be concluded on the basis of le- gally validated documentation. 11 Legally validated standard texts, which have to be updated on an ongoing basis, have to be used for individual loan agreements. Where a de viation from the standard texts is necessary for a given exposure (such as in the case of customised agreements), an examination has to be conducted by a section that is independent of the front office prior to signing the agree- ment, to the extent that this is deemed necessary from a risk point of view. BTO 1.2.1 Granting of loans 1 The process of granting loans encompasses all necessary workflows up to the loan payout. All factors which are material to risk assessment have to be analysed and assessed, taking particular account of the debt-servicing abil ity of the borrower or the property/project, whereby the intensity of the assessment depends on the risk content of the exposure (e.g. credit assessment, risk classification or an assessment based on a simplified procedure). 2 As a general rule, the value and legal validity of collateral has to be assessed prior to the granting of the loan. Existing collateral values may be used if there are no indications of changes in value. 3 If the value of the collateral is dependent to a substantial degree on the financial situation of a third party (e.g. guarantee), the counterparty risk of the third party has to be reviewed as appropriate. 4 The institution has to set forth the types of collateral it is willing to accept and the method of calculating the value of collateral. Federal Financial Supervisory Authority (BaFin) Minimum Requirements for Risk Management (MaRisk) – Page 14 of 22 BTO 1.2.2 Further processing of loans 1 Whether or not the borrower is complying with the terms of the contract has to be monitored in the further processing of loans. In the case of special-purpose loans, the institution has to monitor whether or not the funds made available are being used as agreed (monitoring of the loan purpose). 2 Counterparty risk is to be assessed annually, whereby the intensity of ongoing assessments depends on the risk content of the exposure (e .g. credit assessment, risk classification as part of the risk classification procedure, or assessment based on a simplified procedure). 3 The value and legal validity of collateral has to be assessed at suitable intervals within the framework of further loan processing, depending on the type of collateral and if higher than a threshold set by the institution in accordance with the risk involved. 4 Ad hoc reviews of exposures, including collateral, have to be conductedimmediately, at least whenever the institution obtains knowledge, from either internal or external sources, which would indicate a substantial negative change in the risk assessment of the exposures or the collateral. Such information has to be forwarded to all of the organisational units involved immediately. BTO 1.2.3 Monitoring of loan processing 1 Process-related controls have to be established for loan processing to ensure compliance with the organisational guidelines. Controls may also be conducted via the standard “four-eyes” principle. 2 The monitoring procedure has to focus, in particular, on whether or not the loan approval was in line with the defined decision-making hierarchy and whether or not the prerequisites or requirements of the loan agreement were met prior to the granting of the loan. BTO 1.2.4 Intensified loan management 1 The institution has to set forth criteria to determine when an exposure requires special ob- servation (intensified loan management). Responsibility for the development and quality, as well as the regular review of these criteria has to lie outside of the front office. 2 Exposures under intensified loan management are to be reviewed at regularly scheduled in- tervals, in order to determine what sort of fu rther handling they require (further intensified loan management, return to normal management , transfer to winding up or restructuring). BTO 1.2.5 Treatment of problem loans 1 The institution has to forth criteria governing the transfer of an exposure to the staff or ar- eas specialising in restructuring and winding up, and/or their involvement. Responsibility for the development and quality, as well as the regular review of these criteria has to lie outside of the front office. The lead responsibility for the restructuring or winding-up process and the monitoring thereof need not be exercised by the front office. 2 If the criteria have been met, an assessment is to be conducted as to the feasibility and/or desirability of a restructuring with respect to the borrower. 3 If the institution decides to support a restructur ing, it has to require submission of a restruc- turing plan. The implementation of the restru cturing plan and the effects of the measures are to be monitored by the institution. 4 In the case of significant exposures, the re sponsible management board members have to be informed of the status of the restructuring process on a regular basis. If necessary, re- course can be taken to outside specialists with relevant expertise for the restructuring proc- ess. 5 In the event that an exposure is to be wound up, a winding-up plan needs to be developed. Employees (or external specialists where appropriate) with relevant expertise are to be in- volved in the collateral realisation process. Federal Financial Supervisory Authority (BaFin) Minimum Requirements for Risk Management (MaRisk) – Page 15 of 22 BTO 1.2.6 Risk provisioning 1 The institution has to set forth criteria which are to form the basis for value allowances, write-downs and loan loss provisions (including country risk provisioning), taking due ac-count of the accounting standards in use (e.g. an internal valuation procedure for loans). 2 The calculations of necessary risk provisioning are to be kept up to date. In the event that substantial risk provisioning is required, the management board has to be notified immedi-ately. BTO 1.3 Procedure for the early detection of risks 1 The procedure for the early detection of risks is intended primarily to identify, in a timely manner, borrowers whose loans are beginning to show signs of increased risk. With such a system in hand, the institution shall be able to initiate countermeasures at the earliest pos- sible stage (e.g. intensified loan management). 2 To this end, the institution has to develop indicators for the early identification of risks based on quantitative and qualitative risk features. 3 The institution is permitted to exempt certain types of lending business to be defined under risk aspects or lending transactions below certain thresholds from the application of the pro-cedure for the early detection of risks. The func tion of early detection of risks may also be performed by a risk classification procedure, provided that this procedure adequately allows early detection of risks. BTO 1.4 Risk classi fication procedure 1 Clear risk classification procedures are to set up at every institution for the initial, regular or ad hoc assessment of counterparty risk and, as appropriate, property/project risk. Criteria have to be defined to ensure that risks are clearly assigned to a risk class for the purpose of their assessment. 2 Responsibility for the development, quality and monitoring of the use of risk classification procedures must not lie with the front office. 3 Key indicators for determining counterparty risk in the risk classification procedure have to include not only quantitative criteria but, wherever possible, also qualitative criteria. In par- ticular, account has to be taken of the borrower’s ability to generate income in the future in order to repay the loan. 4 The classification procedures are to be adeq uately incorporated into the lending business processes and, where appropriate, into the decision-making hierarchy. BTO 2 Trading business 1 The main purpose of this module is to set forth the requirements that apply to the organisa- tional and operational structure in the trading business. BTO 2.1 Segregation of functions 1 The basic principle that applies to processes in the trading business is the clear structural separation between the trading area and the “risk control function” and “settlement and con- trol function” up to and including the management board level. Federal Financial Supervisory Authority (BaFin) Minimum Requirements for Risk Management (MaRisk) – Page 16 of 22 2 An institution may refrain from the segregation of functions including the management board level if the whole of trading activities focus on trading transactions deemed immaterial from a risk point of view (""non-risk-relevant trading activities""). BTO 2.2 Requirements for tr ading business processes BTO 2.2.1 Trading 1 When a trade is transacted, the terms and conditions, including any ancillary agreements, have to be agreed in full. 2 As a general rule, transactions which are not in-line with market conditions are not permit- ted. Exceptions may be made in individual cases if a) they are made at the client’s request, can be justified and the deviation from market conditions is clearly visible from the documentation, b) they are made on the basis of internal rules governing the types of transaction, the cli- ent group, the scale and the structure of these transactions, c) the deviation from market conditions is disclosed to the client in the trade confirmation and d) the management has been informed in the case of material transactions. 3 Trading outside the business premises is only admissible within the scope of internal rules; theses rules have to specify, in particular, the authorised individuals, scope and recording. The counterparty has to make an immediate telex confirmation for such trades. These trades are to be reported immediately by the trader to his own institution in a suitable form, they are to be marked and brought to the notice of the responsible management board member or an organisational unit authorised by that member. 4 Audio recordings should be made of traders' conversations relating to transactions, and these recordings are to be retained for at least three months. 5 Immediately after their conclusion, trades must be recorded together with all of the relevant transaction data, taken into account when determining the respective position (updating of positions) and passed on to the settlement func tion together with all documentation. The transaction data may also be transferred automatically by a settlement system. 6 Where data is recorded directly in an IT system, care has to be taken to ensure that a trader can enter transactions solely under his own trader ID. The recording date and time as well as the transaction’s serial number are to be entered automatically by the system and must be impossible for the trader to alter. 7 Trades concluded after the cut-off time for settlement (late trades) are to be marked as such and included in that day's positions (including subsequent settlement) if they result in sub- stantial changes. The transaction data and docume ntation relating to late trades have to be passed immediately to an area which is independent of trading. 8 Prior to the conclusion of agreements in connection with trading activities, especially in the case of master agreements, netting agreements and collateral agreements, assessments are to be performed by a section which is independent of trading, to determine whether and, if so, to what extent they are legally enforceable. 9 With regard to money transfers employees belonging to the trading area in organisational terms may only have joint signature authority with employees from an areawhich is inde- pendent of trading. BTO 2.2.2 Settlement and control 1 Processing involves the issuing of trade confir mations or contract notes on the basis of the transaction data received from trading and performing subsequent settlement tasks. 2 As a matter of principle, every trade is to be confirmed immediately in writing or in equiva- lent form. The confirmation has to contain the required transaction data. If the trade is transacted via a broker, the broker is to be named. Assessments are to be performed to en- Federal Financial Supervisory Authority (BaFin) Minimum Requirements for Risk Management (MaRisk) – Page 17 of 22 sure that the corresponding counter-confirmatio ns are received immediately, whereby care has to be taken to ensure that the incoming counter-confirmations are passed directly to the settlement function in the first instance and are not addressed to trading. Missing or in- complete counter-confirmations have to be repo rted to the counterparty immediately, unless all parts of the trade in question have been executed correctly. 3 The institution may refrain from confirmation in the case of trades cleared via a settlement system that ensures the automatic reconciliation of the relevant transaction data (“match- ing”) and executes trades only where the data matches. In the event that there is no auto- matic matching of the relevant transaction data, the institution may refrain from confirma-tion if the settlement system allows both counter parties to access the transaction data at all times and these are kept monitored. 4 Transactions are to be subject to ongoing monitoring. In particular, assessments have to be made to ascertain whether a) the transaction documents are complete and have been submittedas soon as possible, b) the data supplied by traders is correct an d complete and - where available - matches the data in the brokers' confirmations, print-outs from trading systems or other rele-vant sources, c) the transactions fall within the defined limits with regard to their type and scope, d) the terms agreed are in line with market conditions, and e) any deviations from predefined standards (e.g. master data, delivery instructions methods of payment) have been agreed. Changes and cancellations related to transaction data or booking have to be assessed inde- pendent of the trading section. 5 Appropriate procedures, broken down by trade type as appropriate, must be set up to allow assessments to be performed on the extent to which transactions comply with market condi-tions. The management board member responsible for these assessments has to be in- formed immediately if, in deviation from BTO 2.2.1 item 2, the terms and conditions of exe- cuted trades do no comply with market conditions. 6 Any discrepancies identified during settlement and control has to be remedied immediately by an area independent of trading. 7 The positions established in the trading area are to be matched with the positions in the downstream processes and functions (e.g. settlement, accounting) on a regular basis. BTO 2.2.3 Positions to be covere d by the risk control function 1 Trades, including ancillary agreements which result in positions, have to be covered by the risk control function immediately. BTR Requirements for processes for identifying, assess- ing, treating, monitoring and communicating risks 1 This module contains special requirements for the structure of processes for identifying, as- sessing, treating, monitoring and communicating risks (AT 4.3.2) with regard to a) counterparty risks (BTR 1), b) market price risks (BTR 2), c) liquidity risks (BTR 3) and d) operational risks (BTR 4). Federal Financial Supervisory Authority (BaFin) Minimum Requirements for Risk Management (MaRisk) – Page 18 of 22 BTR 1 Counterparty risks 1 The institution has to introduce appropriate measures to ensure that counterparty risks can be limited, taking into account its risk-bearing capacity. 2 No lending transaction may be entered into without a borrower-related limit (borrower limits, borrower unit limits), i.e. without a lending decision. 3 As a general rule, trades may only be executed with contractual partners for which counter- party limits apply. All transactions concluded with a particular counterparty are to be counted towards that counterparty's individual limit. Replacement risks und settlement risks have to be taken into account when determining the extent to which the counterparty limits have been utilised. The individuals responsible for the positions in question have to be in- formed of the limits that apply to them and their current utilisation level as soon as possible. 4 Furthermore, issuer limits generally have to be set up for trades also. If limits do not exist for particular issuers in trading, issuer limits for trading purposes may be defined at short notice based on clear rules, without the need to perform the full loan processing procedure- defined in the relevant organisational guidelines according to risk aspects. The relevant loan processing procedure has to be initiated within three months. 5 Transactions are to be counted towards the borrower-related limits immediately. Compliance with the limits has to be monitored. Records are to be kept of any instances in which limits are exceeded, as well as of any measures ta ken as a result. The exceeding of counterparty and issuer limits that exceed a level determined from a risk point of view has to be reported to the responsible management board members on a daily basis. 6 Suitable measures have to be taken to ensure that significant overall business risks (sector- related risks, distribution of exposures by size category and risk class, and, where appropri- ate, country risks and other concentration risks) can be treated and monitored. 7 A risk report, which has to include the key structural characteristics of the lending business, has to be drawn up at regular intervals, but at least on a quarterly basis, and provided to the management board. The risk report has to contain the following information: a) the performance of the lending portfolio, e.g. by sector, country, risk class and size or collateral category, b) the extent of limits granted and extern al lines; moreover, large exposures and other noteworthy exposures (e.g. material problem loans) have to be listed and commented on, c) where appropriate, a separate analysis of country risks, d) any instances where limits were exceeded to a substantial degree (including reasons), e) the scale and development of new business, f) the development of the institution’s risk provisioning, g) any major lending decisions made which deviate from the strategies and h) lending decisions taken by management board members acting within their individual decision-making power which differ from th e votes or were taken by a management board member responsible for the back office. BTR 2 Market price risks BTR 2.1 General requirements 1 A limit system has to be set up on the basis of the institution’s risk-bearing capacity in order to limit market price risks. 2 No transaction that incurs market price risks may be entered into in the absence of a market price risk limit. Federal Financial Supervisory Authority (BaFin) Minimum Requirements for Risk Management (MaRisk) – Page 19 of 22 3 The procedures used to assess market price risks have to be reviewed on a regular basis. 4 The results calculated by the accounting department and the risk control function have tobe subjected to regular plausibility checks. 5 A risk report, which has to include details of the market price risks incurred by the institu- tion, has to be drawn up at regular intervals, but at least on a quarterly basis, and provided to the management board. The report has to contain the following information: a) an overview of the risk development and pe rformance of positions that incur market price risks, b) any instances in which the limits ha ve been substantially exceeded, and c) changes to key assumptions or parameters which form the basis of the market price risk assessment procedures. BTR 2.2 Market price risks in the trading book 1 The institution has to ensure that trading book transactions which incur market price risks are counted immediately towards the corresponding limits and that the individual responsible for a position is informed as soon as possible of the limits relevant to him and of their cur- rent level of utilisation. Suitable measures have to be introduced in the event that these lim- its are exceeded; an escalation procedure has to be initiated as appropriate. 2 The trading book positions that incur market price risks have to be valuated on a daily basis. 3 Trading book results have to be calculated on a daily basis. The existing risk positions have to be consolidated into overall risk positions at least once a day at the close of trading. In principle, the overall risk positions, results and limit utilisation levels have to be reported to the management board member responsible for risk control function as soon as possible on the next business day. This report has to be agreed with the trading areas. 4 Risk figures derived from risk simulation models have to be continuously compared with ac- tual trends. BTR 2.3 Market price risks in the banking book (including interest rate risks) 1 The banking book positions that incur market price risks have to be valued on a quarterly basis at the very least. 2 Furthermore, the banking book results have to be calculated on at least a quarterly basis. 3 Suitable measures have to be taken to ensure that situations in which limits are exceeded due to interim changes in risk positions can be avoided. 4 Depending on the nature, scale, complexity and risk content of the positions in the banking book, valuation, calculation and communication of risks may also be necessary on a daily, weekly or monthly basis. 5 The procedure used to assess interest rate risks in the banking book have to cover the key characteristics of interest rate risk. 6 The determination of interest rate risks can be based either on the effects of interest rate changes on accounting P&L of the institution or on the market or present value of the posi- tions in question. In determining the impact on accounting P&L, possible developments after the balance sheet date have to be taken into account as appropriate. 7 Appropriate assumptions have to be established with regard to the consideration of positions with indeterminate capital tie-up or interest terms. 8 Institutions which incur material interest rate risks in various currencies have to assess the interest rate risks in each currency. Federal Financial Supervisory Authority (BaFin) Minimum Requirements for Risk Management (MaRisk) – Page 20 of 22 BTR 3 Liquidity risks 1 The institution has to ensure that it can meet its payment obligations at all times. At the same time, it has to guarantee a sufficient level of diversification, primarily with regard to its asset and capital structure. 2 The institution has to prepare a liquidity overview covering an appropriate period of time, which has to compare the institution’s expected inflows with its expected outflows of funds. It has to specify the assumptions on which the expected in- and outflows are based. Appro- priate scenario assessments have to be performed on a regular basis when preparing the li-quidity overview. 3 Assessments have to be performed on an ongoing basis to determine the extent to which the institution is in a position to cover any liquidity requirement which may arise. These assess-ments have to focus, in particular, on the liquidity of the institution’s assets. 4 The institution has to set forth which measures are to be taken in the event of a liquidity squeeze. This involves specifying the sources of liquidity available, taking into account any liquidation shortfalls. The institution has to determine also the communication channels to be used in the event of a liquidity squeeze. 5 A report on the institution’s liquidity situation has to be submitted to the management board on a regular basis. BTR 4 Operational risks 1 The institution has to introduce appropriate measures to account for operational risks. 2 Care has to be taken to ensure that material operational risks are identified and assessed at least once a year. 3 Major losses are to be analysed immediately with regard to their causes. 4 A report on major losses and material operational risks has to be provided to the manage- ment board at least once a year. This report has to include the type of loss or risk, the causes, the scope of the loss or risk and, where appropriate, any countermeasures which have been introduced. 5 The report is to be used as the basis for decisions as to whether measures have to be taken to remedy the causes, and, if so, which measures, or which risk management measures (e.g. insurance policies, alternative procedures, reorientation of business activities, catastro- phe protection measures). The implementation of these measures has to be monitored. BT 2 Special requirements for the internal audit BT 2.1 Duties of the internal audit 1 As a general rule, the audit activities of the internal audit have to cover all of a institution’s activities and processes based on a risk-oriented approach. 2 The internal audit should be involved in key projects, although it has to preserve its inde- pendence and avoid conflicts of interest. 3 In the case of material outsourcings to another company the internal audit of the institution may not carry out own audit activities provided that the auditing work carried out within the insourcing company meets the requirements of AT 4.4 and BT 2. The internal audit of the outsourcing institution shall satisfy itself at regular intervals that these prerequisites are ful- filled. The audit findings concerning the institution are to be passed on to the internal audit of the outsourcing institution. Federal Financial Supervisory Authority (BaFin) Minimum Requirements for Risk Management (MaRisk) – Page 21 of 22 BT 2.2 General principles for the internal audit 1 The internal audit department has to perform its duties in an autonomous and independent fashion. In particular, it has to ensure that it is not subject to any instructions with regard to its reporting and evaluation activities. The management’s right to order additional audits does not conflict with the autonomy and inde pendence of the internal audit department. 2 As a general rule, members of staff employed in the internal audit may not be entrusted with tasks which are not related to auditing. They may not, under any circumstances, perform tasks which are not consistent with auditing activities. Provided that the internal audit de-partment maintains its independence, it may provide advisory support to management or other organisational units of the institution within the realm of its duties. 3 As a general rule, members of staff employed in other organisational units of the institution may not be entrusted with internal audit tasks. This does not, however, rule out justified situations in which other employees can, due to their particular expertise, conduct activities for the internal audit on a temporary basis. BT 2.3 Planning and conducting of the audit 1 The activities of the internal audit have to be based on a comprehensive audit plan which has to be updated on a yearly basis. Audit plan ning has to be risk-oriented. The activities and processes of the institution, even if thes e are outsourced, have to be audited at appro- priate intervals, as a general rule within three years. Auditing has to be performed annually if particular risks exist. 2 Audit planning, audit methods and quality are to be reviewed and developed further on an ongoing basis. 3 It has to be ensured that any special audits requ ired at short notice, e.g. due to deficiencies which have arisen or certain informational requirements, can be performed at any time. 4 Audit planning, as well as any major adjustments to it, has to be approved by the manage- ment board. BT 2.4 Reporting obligation 1 Internal audit has to prepare a written report on each audit as soon as possible and, as a general rule, submit this report to the responsible management board members. In particu-lar, the report has to include a description of the subject of the audit and the findings, in- cluding any planned measures where appropriate. Any major findings have to be highlighted. The results of the audit also have to be assesse d. In the event of severe findings, the report has to be submitted to the management board immediately. 2 The audits are to be documented by working documents. These must show the work carried out, the findings, the conclusions and must be drawn in a manner that is transparent for competent third parties. 3 If a consensus cannot be reached between the au dited organisational unit and internal audit with regard to the implementation of measures necessary for the remedy of findings, the audited organisational unit has to make an official statement. 4 Internal audit has to prepare an overall report of all of the audits performed in the course of the financial year as soon as possible and present this report to the management board as soon as possible. The overall report has to provide information on major findings and the remedy measures taken. It has to state whether or not and to what extent the audit plan has been adhered to. 5 The management board has to be informed immedi ately in the event that the audit identifies severe findings against management board me mbers. The management board then immedi- ately has to inform the chairperson of the su pervisory body and the supervisory authorities (BaFin, Deutsche Bundesbank). If the management board fails to meet its reporting obliga- tion or if it fails to implement appropriate measures, internal audit has to inform the chair-person of the supervisory body. Federal Financial Supervisory Authority (BaFin) Minimum Requirements for Risk Management (MaRisk) – Page 22 of 22 6 The management board has to provide the superv isory body with a concise report on severe findings and on the major findings which have not yet been remedied at least once a year. Severe findings, the measures resolved to remedy them and the implementation of these measures have to be highlighted in this report. The management board has to inform the supervisory body of particularly severe findings immediately. 7 Audit reports and working documents are to be kept for six years. BT 2.5 Reaction to findings 1 The internal audit has to perform appropriate assessments to ensure that any findings iden- tified in the course of the audit are remedied within the required period. Where appropriate, it has to perform a follow-up audit. 2 If the major findings are not remedied within an appropriate period, the head of internal au- dit at first has to inform the responsible member of the management board in writing. If the findings remain unresolved, the management board has to be informed of these findings in writing in the next overall report at the latest."


In [0]:
# Initialize the tokenizer for OpenAI models using the "cl100k_base" encoding.
# This tokenizer is used to split text into tokens compatible with OpenAI's embedding models.
tokenizer = tiktoken.get_encoding("cl100k_base")

# Set the maximum number of tokens per chunk for embedding.
# OpenAI's embedding models have a token limit; using 500 tokens ensures each chunk is safely within the model's constraints.
MAX_TOKENS = 500  # safe for embedding

In [0]:
# This function splits extracted PDF text into smaller chunks suitable for embedding and downstream processing.
# It iterates over batches of rows, tokenizes the text, and slices it into segments of MAX_TOKENS length.
# Each chunk is associated with its document path for traceability.
# The output is a DataFrame with columns: doc_path and chunk_text.
# This chunking is necessary because embedding models have a maximum token limit per input,
# and smaller chunks improve retrieval accuracy and efficiency in RAG (Retrieval-Augmented Generation) workflows.

def chunk_pdf_text(batch_iter):
    import pandas as pd
    rows_out = []

    for batch in batch_iter:
        for _, row in batch.iterrows():
            text = row["text"]
            path = row["path"]

            tokens = tokenizer.encode(text)

            for i in range(0, len(tokens), MAX_TOKENS):
                slice_tokens = tokens[i:i+MAX_TOKENS]
                chunk_text = tokenizer.decode(slice_tokens)
                rows_out.append({
                    "doc_path": path,
                    "chunk_text": chunk_text
                })

    yield pd.DataFrame(rows_out)

schema = StructType([
    StructField("doc_path", StringType(), True),
    StructField("chunk_text", StringType(), True)
])

chunk_final_df = extracted_df.mapInPandas(chunk_pdf_text, schema=schema)
display(chunk_final_df.limit(5))

doc_path,chunk_text
dbfs:/Volumes/workspace/hackathoncompliancedoc/documents/Final Guidelines on the management of ESG risks.pdf,"EBA/ GL/2025/01 08/01/2025 Final Report Guidelines o n the management of environmental, social and governance (ESG) risks FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 2 Contents 1. Executive Summary 3 2. Background and rationale 4 3. Guidelines 13 4. Reference methodology for the identification and measurement of ESG risks 18 5. Minimum standards and reference methodology for the management and monitoring of ESG risks 27 6. Plans in accordance with Article 76(2) of Directive 2013/36 /EU 38 7. Accompanying documents 46 FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 3 1. Executive Summary The EBA is mandated in accordance with Article 87a(5) of Directive 2013/36/EU to issue guidelines on minimum standards and reference methodologies for the identification, measurement, management and monitoring of environmental, social and governance (ESG) risks by institutions . ESG risks , in particular environmental risks through transition and physical risk drivers , pos e challenges to the safety and soundness of institutions and may affect all traditional categories of financial risks to which they are exposed. To ensure the resilience of the business model and risk profile of institutions in the short, medium and long term, the guidelines set requirements for the internal processes and ESG risk management arrangements that institutions should have in place . Institutions, based on regular and comprehensive materiality assessments of ESG risks , should ensure that they are able to properly identify and measure ESG risks through sound data processes and a combination of methodologies, including exposure -, portfolio - and sector -based , portfolio alignment and scenario -based methodologies. Institutio ns should integrate ESG risks in to their regular risk management framework by considering their role as potential drivers of all traditional categories of financial risks, including credit, market, operational, reputational, liquidity, business model, and concentration risks. Institutions should have a robust and sound approach to managing and mitigating ESG risks over the short, medium and long term"
dbfs:/Volumes/workspace/hackathoncompliancedoc/documents/Final Guidelines on the management of ESG risks.pdf,", including a time horizon of at least 10 years , and should apply a range of risk management tools including engagement with counterparties . Institutions should embed ESG risks in th eir regular processes including in the risk appetite, internal controls and ICAAP. Besides, institutions should monitor ESG risks through effective internal reporting frameworks and a range of backward - and forward -looking ESG risk metrics and indicators. Institutions should develop specific plans to address the risks arising from the transition and process of adjustment of the economy towards the regulatory objectives related to ESG factors of the jurisdictions they operate in . To this end, institutions should assess and embed forward -looking ESG risk considerations in their strategies , policies and risk management processes through transition planning considering short -, medium - and long -term time horizons. CRD -based plans take a risk - based view and contribute to the overall resilience of institutions towards ESG risk s and should be consistent with transition plans prepared or d isclosed by institutions under other pieces of EU legislation . Next steps The guidelines will apply from 11 January 2026 except for small and non -complex institutions for which the guidelines will apply at the lates t from 11 January 2027. FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 4 2. Background and rationale 2.1 Impact of ESG risks 1. Climate change, environmental degradation, biodiversity loss, social issues and other environmental, social and governance (ESG) factors pos e considerable challenges for the economy. The impact of acute and chronic physical risk events, the need to transition to a low-carbon, resource -efficient and sustainable economy , as well as other ESG challenges , are caus ing and will continue to cause profound economic transformations that impact the financial sector. 2. The Commission’s Renewed Sustainable Finance Strategy and the banking package (Directive 2013/36/EU (Capital Requirements Directive , CRD) and Regulation (EU) No 575/2013 (Capital Requirements Regulation, CRR) ) recognise that t he financial sector has an important role to play both in terms of supporting the transition towards a climate -neutral and sustainable"
dbfs:/Volumes/workspace/hackathoncompliancedoc/documents/Final Guidelines on the management of ESG risks.pdf,"economy , as enshrined in the Paris Agreement, the United Nations 2030 Agenda for Sustainable Development and t he European Green Deal , and for managing the financial risks that this transition may entail and /or those stemming from other ESG factors. 3. Environmental risks , including climate -related risks , are expected inter alia to become even more prominent going forward through different possible combinations of transition and physical risks. Th ese may affect all traditional categories of financial risks to which institutions are exposed. In addition , institutions’ counterparties or invested assets may be subject to the negative impact of social factors , such as breaches of human rights, demographic change , digitalisation, health or working conditions , and governanc e factors , such as shortcomings in executive leadership or bribery and corruption , which may in turn lead to financial risks that institutions should assess and manage . 4. To maintain adequate resilience to the negative impacts of ESG factors, institutions established in the EU need to be able to systematically identify, measure and manage ESG risks. However , the specificities of ESG risks such as their forward -looking nature and distinct impacts over various time horizons , as well as the lack of relevant historical experience , means that understanding, measurement and management practices can differ significantly across institutions. The EBA’s observations stemming from the monitoring of supervisory colleges , as well as supervisory experience from competent authorities , also show that the management of ESG risks is still at an early stage and ‘work in progress ’, with only nascent practices on ESG risks other than climate -related risks in most EU institutions . Despite action taken in recent years , several shortcomings have been observed in th e inclusion of ESG risks in business strategies and risk management frameworks that may pose challenge s to the safety and soundness of institutions as the EU transitions towards a more sustainable economy and the materialisation of ESG risks intensifies . FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 5 2.2 Legal mandate and objective of these guidelines 5. To enhance the prudential framework ’s focus on ESG risks faced by institutions, new provisions have been introduced and adjustments have been made to several Articles in the"
dbfs:/Volumes/workspace/hackathoncompliancedoc/documents/Final Guidelines on the management of ESG risks.pdf,"CRD and in the CRR. In particular and to ensure a uniform understanding of ESG risks, definitions of ESG risks, environmental risk, physical risk, transition risk, social risk and governance risk have been laid down in Article 4 of the CRR. Article s 73 and 74 of the CRD have been amended to require that short -, medium - and long -term horizons of ESG risks be included in credit institutions’ strategies and processes for evaluating internal capital needs as well as adequate internal governance. A reference to the current and forward -looking impacts of ESG risks and a request for the management body to develop concrete plans to address these risks have also been introduced in Article 76 of the CRD . 6. In addition, a new Article 87a has been included in the CRD , according to which : 1. Competent authorities shall ensure that institutions have, as part of their robust governance arrangements including risk management framework required under Article 74(1), robust strategies, policies, processes and systems for the identification, measurem ent, management and monitoring of ESG risks over the short, medium and long term . 2. The strategies, policies, processes and systems referred to in paragraph 1 shall be proportionate to the scale, nature and complexity of the ESG risks of the business model and scope of the institution’s activities, and consider the short and medium term , and a long -term time horizon of at least 10 years. 3. Competent authorities shall ensure that institutions test their resilience to long - term negative impacts of ESG factors, both under baseline and adverse scenarios within a given timeframe, starting with climate -related factors. For such resilience testing, competent authorities shall ensure that institutions include a number of ESG scenarios reflecting potential impacts of environmental and social changes and associated public policies on the long -term business environment . Competent authorities shall ensur e that in the resilience testing process, institutions use credible scenarios, based on the scenarios elaborated by international organisations . 4. Competent authorities shall assess and monitor developments of institutions’ practices concerning their ESG strategy and risk management, including the plans , quantifiable targets and processes to monitor and address the ESG risks arising in"
dbfs:/Volumes/workspace/hackathoncompliancedoc/documents/Final Guidelines on the management of ESG risks.pdf,"the short, medium and long -term, to be prepared in accordance with Article 76(2). This assessment shall take into account the institutions’ sustainability -related product offering, their transition finance policies, related loan origination policies, and ESG-related tar gets and limits. Competent authorities shall assess the robustness of those plans as part of the supervisory review and evaluation process. FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 6 Where relevant, for the assessment referred to in the first subparagraph, competent authorities may cooperate with authorities or public bodies in charge of climate change and environmental supervision. 7. To foster robust risk management practices and ensure convergence across the Union , the EBA has been empowered in Article 87a (5) of the CRD to issue guidelines to specify : a) minimum standards and reference methodologies for the identification, measurement, management and monitoring of ESG risks; b) the content of plans to be prepared in accordance with Article 76 (2) of the CRD, which shall include specific timelines and intermediate quantifiable targets and milestones, in order to monitor and address the financial risks stemming from ESG factors , including those arising from the process of adjustment and transition trends towards the relevant Member States and Union regulatory objectives in relation to ESG factors, in particular the objective to achieve climate neutrality by 2050 as set out in Regulation (EU) 2021/1119, as well as, where relevant for internationally active institu tions, third - country legal and regulatory objectives ; c) qualitative and quantitative criteria for the assessment of the impact of ESG risks on the risk profile and solvency of institutions in the short, medium and long term; d) criteria for setting the scenarios referred to in paragraph 3 of Article 87 a of the CRD , including the parameters and assumptions to be used in each of the scenarios , specific risks and time horizons . 8. These guidelines address the aspects included in points a), b) and c ) of the mandate entrusted to the EBA. Point d) of the mandate will be addressed through the development of complementary guidelines on scenario analysis related to ESG factors . Therefore, these guidelines on the management of ESG"


In [0]:
# This code displays the 20 longest text chunks from the chunk_final_df DataFrame.
# It calculates the length of each chunk, extracts a 150-character sample, and orders by length descending.
# This helps inspect chunk sizes and verify chunking logic for embedding and retrieval.

display(
    chunk_final_df.selectExpr(
        "length(chunk_text) AS len",
        "substr(chunk_text,1,150) AS sample"
    ).orderBy(col("len").desc()).limit(20)
)

len,sample
3371,Federal Financial Supervisory Authority (BaFin) Minimum Requirements for Risk Management (MaRisk) – Page 1 of 22 BaFin Translation - The present Eng
2981,14 BTO 1.2.5 Treatment of problem loans ..............................................14 BTO 1.2.6 Risk provisioning .............................
2623,"the general organisational requirements pursuant to Art. 5, as well as the risk management and internal audit requirements pursuant to Art. 7 and 8,"
2620,.2 Internal processes and capacity 91. Institutions should ensure meaningful and regular interaction and exchanges at all levels of the organi sati
2606,BA has identified largely divergent practices of banks when handling forward - looking information for risk assessments . Robust materiality assessme
2588,"certain sectors as materially exposed to ESG risks but to emphasise banks’ responsibility to conduct robust assessments. Therefore, the preferred o"
2585,", by having regard to applicable local legislation and ESG regulatory objectives, and should be able to demonstrate a wel l- informed consolidated ap"
2559,"the calibration of their liquidity buffers or their liquidity risk management framework. 72. In addition, with regard to environmental risks, ins"
2555,/legal -content/EN/TXT/?uri=CELEX:32023H1425 FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 8 requirements for the monitoring and
2552,", however, include a horizon that is long enough to cover for those risks that may fully materiali se in the long term. The preferred option is Optio"


In [0]:
# Convert the Spark DataFrame 'chunk_final_df' to a Pandas DataFrame for local processing and inspection.
# This is useful for tasks that require Pandas functionality, such as embedding generation, similarity search, or visualization.
chunks_pd = chunk_final_df.toPandas()
chunks_pd.head()  # Display the first few rows to verify the conversion and inspect the chunked text data.

Unnamed: 0,doc_path,chunk_text
0,dbfs:/Volumes/workspace/hackathoncompliancedoc...,\n \n \nEBA/ GL/2025/01 \n08/01/2025 \n \n \...
1,dbfs:/Volumes/workspace/hackathoncompliancedoc...,", including a time horizon of at least 10 yea..."
2,dbfs:/Volumes/workspace/hackathoncompliancedoc...,"economy , as enshrined in the Paris Agreement,..."
3,dbfs:/Volumes/workspace/hackathoncompliancedoc...,CRD and in the CRR. In particular and to ensu...
4,dbfs:/Volumes/workspace/hackathoncompliancedoc...,"the short, medium and long -term, to be prepar..."


In [0]:
# This function generates a vector embedding for a given text using OpenAI's embedding model.
# It first tokenizes the input text and checks if the number of tokens exceeds MAX_TOKENS.
# If the text is too long, it raises an error to prevent issues with the embedding API.
# Then, it calls OpenAI's API to get the embedding and returns it as a NumPy array.
# Embeddings are used for semantic search, similarity comparison, and retrieval in RAG workflows.
import openai
openai.api_key = dbutils.widgets.get("openai_key")

def get_embedding_safe(text):
    response = openai.embeddings.create(
        input=text,
        model="text-embedding-3-small"
    )
    return np.array(response.data[0].embedding, dtype="float32")


In [0]:
# This code builds a FAISS index for fast similarity search over document chunk embeddings.
# It stacks all chunk embeddings into a matrix, initializes a FAISS index for L2 distance,
# and adds the embeddings to the index. This enables efficient retrieval of the most similar
# document chunks to a query embedding, which is essential for RAG workflows.
# Generate embeddings for each chunk
chunks_pd["embedding"] = chunks_pd["chunk_text"].apply(get_embedding_safe)

print("Generated embeddings:", len(chunks_pd))
print("Sample embedding size:", len(chunks_pd['embedding'].iloc[0]))

import faiss

embedding_matrix = np.stack(chunks_pd["embedding"].values)
dimension = embedding_matrix.shape[1]

faiss_index = faiss.IndexFlatL2(dimension)
faiss_index.add(embedding_matrix)

print("FAISS index size:", faiss_index.ntotal)

Generated embeddings: 413
Sample embedding size: 1536
FAISS index size: 413


In [0]:
# This function retrieves the top-k most similar document chunks to a given query using FAISS.
# Steps:
# 1. Generate an embedding for the query using OpenAI's embedding model.
# 2. Search the FAISS index for the k nearest document chunk embeddings.
# 3. For each result, collect its rank, similarity score, source document path, and a text snippet.
# 4. Return the results as a Pandas DataFrame for inspection or downstream use.
# This is used to efficiently find the most relevant document chunks for a query, supporting semantic search and RAG workflows.

def retrieve_top_k(query, k=5):
    q_embed = get_embedding_safe(query).reshape(1, -1)
    D, I = faiss_index.search(q_embed, k)

    out = []
    for rank, idx in enumerate(I[0]):
        out.append({
            "rank": rank + 1,
            "score": float(D[0][rank]),
            "source": chunks_pd.iloc[idx]["doc_path"],
            "text_snippet": chunks_pd.iloc[idx]["chunk_text"][:500]
        })
    return pd.DataFrame(out)

# Test
retrieve_top_k("What are BaFin ESG risk management requirements?")

Unnamed: 0,rank,score,source,text_snippet
0,1,0.755549,dbfs:/Volumes/workspace/hackathoncompliancedoc...,"the short, medium and long -term, to be prepar..."
1,2,0.762324,dbfs:/Volumes/workspace/hackathoncompliancedoc...,"economy , as enshrined in the Paris Agreement,..."
2,3,0.769957,dbfs:/Volumes/workspace/hackathoncompliancedoc...,BA considers that there is a need to incorpora...
3,4,0.775456,dbfs:/Volumes/workspace/hackathoncompliancedoc...,climate -related financial risks10. They also...
4,5,0.77871,dbfs:/Volumes/workspace/hackathoncompliancedoc...,it is important that institutions progressive...


In [0]:
# This function implements a Retrieval-Augmented Generation (RAG) workflow for compliance Q&A.
# It retrieves the most relevant document chunks for a query, builds a context, and prompts an LLM for an answer.
# Steps:
# 1. Copy chunked document data for local processing.
# 2. Generate an embedding for the query using OpenAI's embedding model.
# 3. Compute cosine similarity between the query embedding and each chunk embedding.
# 4. Select the top 3 most similar chunks as context.
# 5. Construct a prompt with the context and query, instructing the LLM to answer using only the provided context.
# 6. Call OpenAI's chat completion API to generate a concise, compliance-focused answer.
# 7. Return the answer and the source chunks used for context.
# This approach ensures answers are grounded in source documents, supporting trustworthy and explainable compliance responses.

def generate_rag_answer(query):
    local_chunks = chunks_pd.copy()
    query_embedding = get_embedding_safe(query)

    local_chunks["similarity"] = local_chunks["embedding"].apply(
        lambda emb: float(
            np.dot(emb, query_embedding) /
            (np.linalg.norm(emb) * np.linalg.norm(query_embedding))
        )
    )

    top_chunks = local_chunks.sort_values("similarity", ascending=False).head(3)

    context = "\n\n".join(top_chunks["chunk_text"].tolist())

    prompt = f"""
    You are a German banking compliance assistant (BaFin, MaRisk, GwG, CSRD, ESRS).

    Use ONLY the following context to answer the question.

    CONTEXT:
    {context}

    QUESTION:
    {query}

    Provide a short, correct summary referencing BaFin/ESG concepts.
    """

    response = openai.chat.completions.create(
        model="gpt-4o-mini",
        messages=[{"role": "user", "content": prompt}],
        max_tokens=250
    )

    answer = response.choices[0].message.content

    source_cols = ["chunk_text", "similarity"]
    if "doc_path" in top_chunks.columns:
        source_cols.append("doc_path")

    sources = top_chunks[source_cols].reset_index(drop=True)

    return answer, sources

In [0]:
# The following code demonstrates how to use a Retrieval-Augmented Generation (RAG) workflow
# to answer a compliance-related query using document chunks and an LLM (Large Language Model).
# 1. The query is defined as a string about BaFin ESG risk management requirements.
# 2. The generate_rag_answer function is called, which retrieves relevant document chunks,
#    builds a context, and prompts the LLM to generate a concise answer.
# 3. The answer is printed, followed by the source chunks used for context, displayed in a rich format.
# This process ensures that the answer is grounded in the source documents and references
# BaFin/ESG compliance concepts, supporting trustworthy and explainable responses.

query = "What are BaFin ESG risk management requirements?"
answer, sources = generate_rag_answer(query)

print("ANSWER:\n")
print(answer)

print("\nSOURCES (all columns):")
display(sources)

ANSWER:

BaFin's ESG risk management requirements emphasize that institutions must systematically identify, measure, and manage environmental, social, and governance (ESG) risks. This is essential due to the forward-looking nature of ESG risks and their potential impacts over various time horizons. Institutions are expected to integrate ESG considerations into their business models and strategies, ensuring they account for short, medium, and long-term challenges. 

Key aspects include:

1. Development of robust metrics and risk indicators for ESG risks, necessitating strong data processes.
2. Consideration of different time horizons when defining business models.
3. The necessity for institutions to utilize both available data and improve the collection of ESG-related information from clients and counterparties.
4. Compliance with regulatory frameworks, including adherence to guidelines issued by the European Banking Authority (EBA) concerning minimum standards for the management of ES

chunk_text,similarity,doc_path
"the short, medium and long -term, to be prepared in accordance with Article 76(2). This assessment shall take into account the institutions’ sustainability -related product offering, their transition finance policies, related loan origination policies, and ESG-related tar gets and limits. Competent authorities shall assess the robustness of those plans as part of the supervisory review and evaluation process. FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 6 Where relevant, for the assessment referred to in the first subparagraph, competent authorities may cooperate with authorities or public bodies in charge of climate change and environmental supervision. 7. To foster robust risk management practices and ensure convergence across the Union , the EBA has been empowered in Article 87a (5) of the CRD to issue guidelines to specify : a) minimum standards and reference methodologies for the identification, measurement, management and monitoring of ESG risks; b) the content of plans to be prepared in accordance with Article 76 (2) of the CRD, which shall include specific timelines and intermediate quantifiable targets and milestones, in order to monitor and address the financial risks stemming from ESG factors , including those arising from the process of adjustment and transition trends towards the relevant Member States and Union regulatory objectives in relation to ESG factors, in particular the objective to achieve climate neutrality by 2050 as set out in Regulation (EU) 2021/1119, as well as, where relevant for internationally active institu tions, third - country legal and regulatory objectives ; c) qualitative and quantitative criteria for the assessment of the impact of ESG risks on the risk profile and solvency of institutions in the short, medium and long term; d) criteria for setting the scenarios referred to in paragraph 3 of Article 87 a of the CRD , including the parameters and assumptions to be used in each of the scenarios , specific risks and time horizons . 8. These guidelines address the aspects included in points a), b) and c ) of the mandate entrusted to the EBA. Point d) of the mandate will be addressed through the development of complementary guidelines on scenario analysis related to ESG factors . Therefore, these guidelines on the management of ESG",0.6222257018089294,dbfs:/Volumes/workspace/hackathoncompliancedoc/documents/Final Guidelines on the management of ESG risks.pdf
"economy , as enshrined in the Paris Agreement, the United Nations 2030 Agenda for Sustainable Development and t he European Green Deal , and for managing the financial risks that this transition may entail and /or those stemming from other ESG factors. 3. Environmental risks , including climate -related risks , are expected inter alia to become even more prominent going forward through different possible combinations of transition and physical risks. Th ese may affect all traditional categories of financial risks to which institutions are exposed. In addition , institutions’ counterparties or invested assets may be subject to the negative impact of social factors , such as breaches of human rights, demographic change , digitalisation, health or working conditions , and governanc e factors , such as shortcomings in executive leadership or bribery and corruption , which may in turn lead to financial risks that institutions should assess and manage . 4. To maintain adequate resilience to the negative impacts of ESG factors, institutions established in the EU need to be able to systematically identify, measure and manage ESG risks. However , the specificities of ESG risks such as their forward -looking nature and distinct impacts over various time horizons , as well as the lack of relevant historical experience , means that understanding, measurement and management practices can differ significantly across institutions. The EBA’s observations stemming from the monitoring of supervisory colleges , as well as supervisory experience from competent authorities , also show that the management of ESG risks is still at an early stage and ‘work in progress ’, with only nascent practices on ESG risks other than climate -related risks in most EU institutions . Despite action taken in recent years , several shortcomings have been observed in th e inclusion of ESG risks in business strategies and risk management frameworks that may pose challenge s to the safety and soundness of institutions as the EU transitions towards a more sustainable economy and the materialisation of ESG risks intensifies . FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 5 2.2 Legal mandate and objective of these guidelines 5. To enhance the prudential framework ’s focus on ESG risks faced by institutions, new provisions have been introduced and adjustments have been made to several Articles in the",0.6188379526138306,dbfs:/Volumes/workspace/hackathoncompliancedoc/documents/Final Guidelines on the management of ESG risks.pdf
"BA considers that there is a need to incorporate such a requirement as part of the ESG risk management guidelines and therefore the preferred option is Option 1 : ESG risks should be considered in banks’ business models and strategies considering different time horizon s. Additionally, given the distinctive impacts of ESG risks across different time horizons, banks should consider different (including a long -term ) time horizons when defining their business models. 4) Data processes A robust risk management framework heavily relies on data to develop robust metrics and risk indicators. Well defined, strong data processes are key to adequately gather and exploit data to identify and measure ESG risks . However, as explained in the EBA report on the m anagement and supervision of ESG risks for credit institutions and investment firms , the lack of data to identify and measure ESG risks is one of the main challenges faced by institutions . The EBA has balanced these two aspects when defining the way data processes sh ould be integrated in banks ’ ESG risk management guidelines. Given the importance of having accurate data to adequately measure ESG risks, it is considered that institutions sh ould take action to better use and aggregate the data already available and that will be available as a result of EU and international developments on sustainability reporting on one hand (e.g. CSRD/ESRS) , and on 34 See report here . FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 63 the other hand, improve the availability of ESG data via the collection of relevant ESG information from their clients and counterparties as part of their business relationship. There are other ESG regulatory developments such as the Pillar 3 disclosure requirements as per Article 449(a) of Regulation (EU) 2019/876 that also push institutions to take action in a similar direction. However, the collection of detailed ESG -related data for all counterparties may create an excessive burden for institutions. In order to reduce such a burden, the EBA considers that institutions should be able to use external data in line with the outsourcing framework , as well as proxies , expert judgments and portfolio -level assessments in those cases where data is not available or its collection via engagement with clients and counterparties is considered excessively difficult",0.6150214076042175,dbfs:/Volumes/workspace/hackathoncompliancedoc/documents/Final Guidelines on the management of ESG risks.pdf


In [0]:
# The following code demonstrates how to use a Retrieval-Augmented Generation (RAG) workflow
# to answer a compliance-related query using document chunks and an LLM (Large Language Model).
# 1. The query is defined as a string about BaFin ESG risk expectations.
# 2. The generate_rag_answer function is called, which retrieves relevant document chunks,
#    builds a context, and prompts the LLM to generate a concise answer.
# 3. The answer is printed, followed by the source chunks used for context, displayed in a rich format.
# This process ensures that the answer is grounded in the source documents and references
# BaFin/ESG compliance concepts, supporting trustworthy and explainable responses.

query = "What are BaFin ESG risk expectations?"
answer, sources = generate_rag_answer(query)

print(answer)
display(sources)

BaFin's expectations regarding ESG risks are aligned with the guidelines set forth by the EBA in the context of managing financial risks associated with environmental, social, and governance (ESG) factors. Institutions are expected to systematically identify, measure, and manage ESG risks as part of their overall risk management frameworks. This involves assessing the potential financial impacts of ESG factors, including climate-related risks, on their risk profile and solvency over short, medium, and long-term horizons. 

Furthermore, BaFin emphasizes the integration of ESG considerations into institutions' business strategies, loan origination policies, and governance arrangements. Regulatory bodies may collaborate with environmental authorities to ensure robust risk management practices, and institutions must prepare comprehensive plans that include specific targets and timelines for addressing these risks, in line with the EU's objectives for achieving climate neutrality by 2050. O

chunk_text,similarity,doc_path
"the short, medium and long -term, to be prepared in accordance with Article 76(2). This assessment shall take into account the institutions’ sustainability -related product offering, their transition finance policies, related loan origination policies, and ESG-related tar gets and limits. Competent authorities shall assess the robustness of those plans as part of the supervisory review and evaluation process. FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 6 Where relevant, for the assessment referred to in the first subparagraph, competent authorities may cooperate with authorities or public bodies in charge of climate change and environmental supervision. 7. To foster robust risk management practices and ensure convergence across the Union , the EBA has been empowered in Article 87a (5) of the CRD to issue guidelines to specify : a) minimum standards and reference methodologies for the identification, measurement, management and monitoring of ESG risks; b) the content of plans to be prepared in accordance with Article 76 (2) of the CRD, which shall include specific timelines and intermediate quantifiable targets and milestones, in order to monitor and address the financial risks stemming from ESG factors , including those arising from the process of adjustment and transition trends towards the relevant Member States and Union regulatory objectives in relation to ESG factors, in particular the objective to achieve climate neutrality by 2050 as set out in Regulation (EU) 2021/1119, as well as, where relevant for internationally active institu tions, third - country legal and regulatory objectives ; c) qualitative and quantitative criteria for the assessment of the impact of ESG risks on the risk profile and solvency of institutions in the short, medium and long term; d) criteria for setting the scenarios referred to in paragraph 3 of Article 87 a of the CRD , including the parameters and assumptions to be used in each of the scenarios , specific risks and time horizons . 8. These guidelines address the aspects included in points a), b) and c ) of the mandate entrusted to the EBA. Point d) of the mandate will be addressed through the development of complementary guidelines on scenario analysis related to ESG factors . Therefore, these guidelines on the management of ESG",0.6001867651939392,dbfs:/Volumes/workspace/hackathoncompliancedoc/documents/Final Guidelines on the management of ESG risks.pdf
"climate -related financial risks10. They also take into account the analysis performed and recommendations included in the EBA Report on the management and supervision of ESG risks , guidance published by supervisors or networks of central banks such as the Network for Greening the Financial System (NGFS) , various initiatives related to transition planning and plans11 as well as supervisory experience regarding institutions’ practices on the management of climate and environmental risks. 33. These guidelines are consistent with and include cross -references to other EBA guidelines or standards which refer to ESG risks, such as the EBA Guidelines on loan origination and monitoring (with respect to integration of ESG risks in credit risk policies ), the EBA Guidelines on internal governance (with respect to integration of ESG risks in governance arrangements ), and the EBA Implementing Technical Standards on Pillar 3 disclosure of ESG risks (with respect to ESG risk metrics ). In addition, based on t he recent amendments to the CRD, the EBA will introduce or incorporate further ESG risk considerations when developing future guidelines on scenario analysis and when updating its guidelines on internal governance , guidelines on fit-and-proper assessments and guidelines on remuneration policies . These future developments and updates will be done in a way that ensur es consistency with these guidelines on the management of ESG risks , complementing them in specific areas such as scenario analysis, the responsibilities of the management body or the integration of ESG risks into institutio ns’ remuneration frameworks . 34. These guidelines are part of the EBA’s mandates and tasks in the area of sustainable finance and ESG risks which cover the three pillars of the prudential framework for banks as well as other areas related to sustainable finance and the assessment and monitoring of ESG risks , as laid out in the EBA’s roadmap on sustainable finance12. 10 BCBS Principles for the effective management and supervision of climate -related financial risks https://www.bis.org/bcbs/publ/d532.htm 11 Non-exhaustive examples include publications by the NGFS, EU Platform on Sustainable Finance, UK Transition Plan Taskforce, Taskforce on Nature -related Financial Disclosures . 12 EBA roadmap",0.5975419878959656,dbfs:/Volumes/workspace/hackathoncompliancedoc/documents/Final Guidelines on the management of ESG risks.pdf
"economy , as enshrined in the Paris Agreement, the United Nations 2030 Agenda for Sustainable Development and t he European Green Deal , and for managing the financial risks that this transition may entail and /or those stemming from other ESG factors. 3. Environmental risks , including climate -related risks , are expected inter alia to become even more prominent going forward through different possible combinations of transition and physical risks. Th ese may affect all traditional categories of financial risks to which institutions are exposed. In addition , institutions’ counterparties or invested assets may be subject to the negative impact of social factors , such as breaches of human rights, demographic change , digitalisation, health or working conditions , and governanc e factors , such as shortcomings in executive leadership or bribery and corruption , which may in turn lead to financial risks that institutions should assess and manage . 4. To maintain adequate resilience to the negative impacts of ESG factors, institutions established in the EU need to be able to systematically identify, measure and manage ESG risks. However , the specificities of ESG risks such as their forward -looking nature and distinct impacts over various time horizons , as well as the lack of relevant historical experience , means that understanding, measurement and management practices can differ significantly across institutions. The EBA’s observations stemming from the monitoring of supervisory colleges , as well as supervisory experience from competent authorities , also show that the management of ESG risks is still at an early stage and ‘work in progress ’, with only nascent practices on ESG risks other than climate -related risks in most EU institutions . Despite action taken in recent years , several shortcomings have been observed in th e inclusion of ESG risks in business strategies and risk management frameworks that may pose challenge s to the safety and soundness of institutions as the EU transitions towards a more sustainable economy and the materialisation of ESG risks intensifies . FINAL REPORT ON GUIDELINES ON THE MANAGEMENT OF ESG RISKS 5 2.2 Legal mandate and objective of these guidelines 5. To enhance the prudential framework ’s focus on ESG risks faced by institutions, new provisions have been introduced and adjustments have been made to several Articles in the",0.5967636108398438,dbfs:/Volumes/workspace/hackathoncompliancedoc/documents/Final Guidelines on the management of ESG risks.pdf
