Kryptoverwahrgeschäft – Überflüssiges „gold plating“ oder sinnvolle Ergänzung für mehr Rechtssicherheit?


Seit Anfang des Jahres ist der neue Tatbestand des Kryptoverwahrgeschäfts nun „offiziell“ in den Club regulierter Finanzdienstleistungen aufgestiegen. Erstmals äußerte sich nun auch die BaFin zu den - aus ihrer Sicht - entscheidenden Fragen für Kryptoverwahrer und solche, die es noch werden wollen. In ihrem neuen Merkblatt veröffentlichte sie Informationen zur Krypto-Regulierung und gab einige Hinweise auf ihre diesbezüglich zu erwartende Verwaltungspraxis. Ob damit jedoch eine erhöhte Rechtssicherheit für alle Beteiligten verbunden ist, erscheint diskussionswürdig. Denn auch nach der Lektüre bleibt die Frage: BaFin-Erlaubnis, ja / nein / vielleicht?

Bis zum 10. Januar 2020 hatte der deutsche Gesetzgeber Zeit, die sich aus der 5. Geldwäscherichtlinie ergebenden Vorgaben umzusetzen, wonach auch die bislang nicht erfassten Anbieter elektronischer Geldbörsen zur Verwahrung virtueller Währungen wie bspw. Bitcoins in den Kreis geldwäschegesetzlich Verpflichteter aufzunehmen sind (wir berichteten hier und hier).

Ganz im Geiste der Mitte September 2019 vorgestellten „Blockchain-Strategie“ (wir berichteten hier), nahm der deutsche Gesetzgeber die Umsetzungs-Verpflichtung zum Anlass, die „Krypto-Regulierung“ des Standorts Deutschland voranzutreiben. Ergebnis ist ein deutscher Sonderweg, der – in Europa bislang selten – nicht nur für die FinTech-Branche aufsichtsrechtliche Besonderheiten mit sich bringt.

Regulierung „made in Germany“

Durch die Einführung des sog. Kryptoverwahrgeschäfts als neue Finanzdienstleistung im Sinne des Kreditwesengesetzes („KWG“) sind die jeweiligen Dienstleistungsanbieter (sog. „Kryptoverwahrer“) seit dem 1. Januar 2020 geldwäscherechtlich Verpflichtete, soweit sie nicht schon zuvor als solche einzuordnen waren. Entsprechend der Regelungen des Geldwäschegesetzes („GwG“) zählen  alle Unternehmen, welche Finanzdienstleistungen im Sinne des KWG erbringen (ausgenommen  wenige Ausnahmen), zum Kreis der geldwäscherechtlich Verpflichteten – seit 1. Januar 2020 somit auch Kryptoverwahrer.

Dies gilt unabhängig davon, ob der jeweilige Kryptoverwahrer bereits über eine – nunmehr durch die Einstufung als Finanzdienstleistung erforderliche – Erlaubnis verfügt oder nicht. Mit Rücksicht auf zahlreiche bereits tätige Kryptoverwahrer hat der Gesetzgeber diesen eine „Schonfrist“ zur Beantragung einer solchen Erlaubnis eingeräumt. Durch die Einführung einer Übergangsvorschrift wird Kryptoverwahrern ermöglicht, ihr Geschäft noch bis zum 30. November 2020 weiterzuführen, ohne einen entsprechenden  Erlaubnisantrag bei der Bundesanstalt für Finanzdienstleistungsaufsicht („BaFin“) eingereicht zu haben.

Spätestens dann soll aber Schluss mit lustig sein. Hat ein Kryptoverwahrer zum Ende der Übergangsfrist keinen vollständigen Erlaubnisantrag eingereicht, so kann und muss die BaFin diesem Kryptoverwahrer den Betrieb des Geschäftes untersagen. Sollte der Kryptoverwahrer dennoch (ohne rechtzeitige Beantragung der Erlaubnis) seine Geschäfte weiter betreiben, so kann dies mit einer Freiheitsstrafe von bis zu fünf Jahren geahndet werden.

Mit vorgenannter Regulierung ging der Gesetzgeber hierzulande einige (Regulierung-)Schritte weiter, als auf europäischer Ebene gefordert (ausführlich zum deutschen „gold plating“ hier).

Kryptoverwahrgeschäft

Kryptoverwahrgeschäft im Sinne von § 1 Abs. 1a S. 2 Nr. 6 KWG erbringt, wer

  • Kryptowerte (1.) oder private kryptografische Schlüssel, die dazu dienen, Kryptowerte zu halten, zu speichern oder zu übertragen (2.)
  • für andere (3.)
  • verwahrt, verwaltet und sichert (4.)

Für Kryptoverwahrer, wobei es auf die Rechtsform des Kryptoverwahrers (natürliche Person, Personengesellschaft, juristische Person) nach Ansicht der BaFin nicht ankommt, ist diese Neu-Regulierung mit beachtlichen Organisations- und Verhaltenspflichten verbunden. Daher hat auch die BaFin- als zuständige Aufsichtsbehörde mit ihrem Merkblatt „Hinweise zum Tatbestand des Kryptoverwahrgeschäfts“ vom 2. März 2020 („Merkblatt“) nun erstmals das Kryptoverwahrgeschäft adressiert.

1. Kryptowerte

Unter dem (Sammel-)Begriff der Kryptowerte (§ 1 Abs. 11 S. 4 KWG) sind

  • digitale Darstellungen eines Wertes,
  • der von keiner Zentralbank oder öffentlichen Stelle emittiert wurde oder garantiert wird und
  • nicht den gesetzlichen Status einer Währung oder von Geld besitzt, aber
  • von natürlichen oder juristischen Personen aufgrund einer
    • Vereinbarung oder tatsächlichen Übung als
    • Tausch- oder Zahlungsmittel akzeptiert wird oder
    • Anlagezwecken dient und der
  • auf elektronischem Wege übertragen, gespeichert und gehandelt werden kann,

zu verstehen.

Ausdrücklich nicht als Kryptowerte gelten gem. § 1 Abs. 11 S. 5 KWG:

  • E-Geld im Sinne des § 1 Abs. 2 Satz 3 des Zahlungsdiensteaufsichtsgesetzes (ZAG) oder
  • ein monetärer Wert, der
    • die Anforderungen des § 2 Abs. 1 Nr. 10 ZAG erfüllt (Zahlungssysteme in limitierten Netzen oder mit sehr limitierter Produktpalette und Instrumente zu sozialen oder steuerlichen Zwecken) oder
    • nur für Zahlungsvorgänge nach § 2 Abs. 1 Nr. 11 ZAG (Zahlungsvorgänge bei elektronischen Kommunikationsnetzen/-diensten) eingesetzt wird.

Kryptowerte sind durch den Gesetzgeber als eine neue Art von Finanzinstrument festgelegt  worden. Zu den traditionellen Finanzinstrumenten zählen etwa Aktien, Schuldtitel oder Derivate.

Die BaFin legt in diesem Zusammenhang besonders großen Wert darauf, dass es sich bei dem neuen Finanzinstrument um einen Auffangtatbestand handeln soll. Die Vorschrift soll demnach nur zur Anwendung kommen, wenn die Voraussetzungen für das Vorliegen sämtlicher traditioneller Finanzinstrumente nicht vorliegen (Subsidiarität des Kryptoverwahrgeschäftes). Sobald die Voraussetzungen eines anderen Finanzinstrumentes erfüllt sind, kommt demnach eine Einordnung als Kryptowert nicht in Betracht.

Eine nähere Erläuterung der einzelnen Tatbestandsmerkmale eines Kryptowertes liefert die BaFin in ihrem Merkblatt allerdings nicht. Stattdessen führt die BaFin eine Reihe von Negativ-Beispielen an.

Nicht vom Begriff des Kryptowertes erfasst seien etwa reine elektronische Gutscheine, die nicht handelbar sind und aufgrund ihrer Ausgestaltung keine investorenähnliche Erwartungshaltung an die Wertentwicklung des Gutscheins oder an die allgemeine Unternehmensentwicklung des Emittenten oder eines Dritten wert- oder rechnungsmäßig abbilden. Entscheidende Ausschlusskriterien sind den Ausführungen der BaFin zu Folge:

  • fehlende Handelbarkeit; oder
  • mangelnde Eignung oder Bestimmung als allgemeines Tausch- und Zahlungsmittel bzw. keine Schaffung einer Erwartungshaltung einer wie auch immer gearteten Wertentwicklung (investorenähnliche Erwartungshaltung).

Ein Teil der sog. „Utility Token“ (Token vergleichbar mit digitalen Gutscheinen, die sich idR nur auf bestimmte Waren oder Dienstleistungen – beispielsweise Nutzung eines Cloud-Speicherdienstes – beziehen) dürften daher regelmäßig nicht unter den Tatbestand des Kryptowertes fallen.

Im Umkehrschluss dürften allerdings  insbesondere solche digitalen Einheiten unter den Begriff des Kryptowertes im Sinne des § 1 Abs. 11 S. 5 KWG fallen, die

  • handelbar sind,
  • sich als allgemeines Tausch- und/oder Zahlungsmittel eignen bzw. hierzu bestimmt sind („Currency Token“) oder
  • eine investorenähnliche Erwartungshaltung schaffen („Security Token“ und teilweise Utility Token).

Misch-Formen aus Currency-, Security- und/oder Utility-Token (sog. „Hybride-Token“) wiederum dürften dementsprechend in jedem Fall – und vorbehaltlich anderer vorrangiger Finanzinstrumente – Kryptowerte darstellen (detaillierte Erläuterungen der verschiedenen Begriffe hier).

Sowohl Currency- als auch Security-Token wurden allerdings, je nach konkreter Ausgestaltung, bereits vor Umsetzung der 5. Geldwäscherichtlinie in deutsches (Aufsichts-)Recht unterschiedlichen Kategorien der Finanzinstrumente nach § 1 Abs. 11 S. 1 KWG zugeordnet.

So geht die BaFin zum Beispiel – auch weiterhin – davon aus, dass Bitcoins vorrangig unter den Begriff der Rechnungseinheit (§ 1 Abs. 11 S. 1 Nr. 7 KWG) fallen (mehr zu dieser kontroversen Ansicht hier).

Security Token sind ggf. als Wertpapiere (zB Aktien oder Schuldtitel), Vermögensanlage oder Investmentvermögen nach § 1 Abs. 11 S. 1 Nr. 2, 3 und 5 KWG einzustufen. Sofern sie übertragbar, handelbar und mit wertpapierähnlichen Rechten ausgestattet sind, dürften Security Token vorrangig Wertpapiere darstellen (näheres hier).

Insofern führt die Einführung des Kryptoverwahrgeschäftes in Bezug auf solche Currency- und Security-Token, welche den Tatbestand eines anderen Finanzinstrumentes oder aber den Tatbestand des E-Geldes erfüllen, letztendlich zu keiner Veränderung der rechtlichen Einordnung. Eine Vielzahl der Token dürfte daher nach wie vor von den traditionellen Finanzinstrumenten erfasst werden. Das Kryptoverwahrgeschäft kommt als Auffangtatbestand nur dann in Betracht, wenn alle anderen traditionellen Finanzinstrumente ausscheiden.

2. Kryptografische Schlüssel

Größere praktische Relevanz dürfte hingegen der Einbeziehung sog. privater kryptografischer Schlüssel („private Schlüssel“) in den Tatbestand des Kryptoverwahrgeschäftes zukommen. Pendant ist der sog. öffentliche kryptografische Schlüssel („öffentlicher Schlüssel“). Beide werden üblicherweise in längeren Zahlen- und Buchstabenreihen dargestellt, unterscheiden sich jedoch grundlegend in ihrer Funktion.

Der öffentliche Schlüssel ist vergleichbar mit einer IBAN, da er öffentlich bekannt sein muss. Der private Schlüssel wiederum ähnelt einer Girokarte mit sog. persönlicher Identifikationsnummer (kurz PIN). Wo der öffentliche Schlüssel die Zuordnung der Kryptowerte erlaubt, ermöglicht der private Schlüssel deren Übertragung. Ebenso wie die PIN, ist daher auch der private Schlüssel nur dem Überweisenden bekannt, weil ansonsten auch Unbefugte über die zugehörigen Kryptowerte verfügen können.

Sofern also private Schlüssel für Tokeninhaber verwahrt werden, stellt dies Kryptoverwahrgeschäft dar. Hintergrund der Erfassung auch von privaten Schlüsseln ist es, dass diese zur Übertragung von Kryptowerten eine entscheidende Bedeutung haben – und damit häufig Gegenstand von Hackerangriffen sind, dem ua durch die Regulierung der Schlüsselverwahrer entgegengewirkt werden soll.

3. „für andere“

Nach Ansicht der BaFin wird das Kryptoverwahrgeschäft „für andere“ erbracht, wenn die Verwahrung, Verwaltung oder Speicherung für eine Person oder Personenmehrheit („Dritte“) außer dem eigenen Unternehmen erfolgt, sofern die Tätigkeit nicht in offener Stellvertretung erbracht wird. Die Tätigkeit als Kryptoverwahrer muss daher nach „außen“ erfolgen, d.h. als Dienstleistung gegenüber Kunden angeboten werden. Unklar bleibt aber, was die BaFin mit der Ausnahme für „offene Stellvertretung“ meint.

Dritter kann dabei grundsätzlich auch ein Emittent von Kryptowerten sein, wenn er beispielsweise die Verwahrung der von ihm erschaffenen Currency Token einem Dienstleister mit entsprechender IT-Sicherheit überträgt, bevor diese an die Nutzer herausgegeben werden.

Grundsätzlich nicht erfasst ist allerdings die unentgeltliche Verwaltung von Kryptowerten für den „engsten Familienverbund“. Ebenso wie die Verwahrung, Verwaltung oder Speicherung von Kryptowerten durch den Inhaber selbst oder dessen Beschäftigte, erfolgt die Tätigkeit dann nämlich gerade nicht „für andere“.

4. Verwahrung, Verwaltung und Sicherung

Laut BaFin ist unter Verwahrung die Inobhutnahme der Kryptowerte als Dienstleistung für Dritte zu verstehen. Damit sind insbesondere die Anbieter von Software und Hardware-Wallets erfasst, die Kryptowerte / private Schlüssel vor unbefugtem Zugriff schützen sollen. Nicht erfasst hingegen sind Entwickler / Produzenten von Hard- und Software, da hier der Bezug zur Verwahrung von Kryptowerten / privaten Schlüsseln zu abstrakt ist bzw. fehlt.

Mit „Verwalten“ ist die laufende Wahrnehmung der Rechte aus einem Kryptowert gemeint, bei Security Token beispielsweise die Entgegennahme einer Gewinnbeteiligung. Hiervon können sognannte Staking Infrastructure Provider (SIP) erfasst sein, die sich Token von deren Inhabern „ausleihen“, um damit neue Blocks zu verifizieren und als „Belohnung“ dafür Token erhalten, die sie mit den Inhabern teilen. Ebenso umfasst dürfte auch die Ausübung von mit dem Kryptowert verbundenen Stimmrechten sein.

Unter Sicherung ist sowohl die digitale Speicherung der privaten Schlüssel Dritter, als auch die Aufbewahrung physischer Datenträger (z. B. ein USB-Stick oder ein Blatt Papier), auf denen solche Schlüssel gespeichert sind, zu verstehen. Nach Ansicht der BaFin hiervon nicht erfasst ist aber die bloße Zurverfügungstellung von (Cloud-)Speicherplatz, solange diese ihre Dienste nicht ausdrücklich für die Speicherung der privaten Schlüssel anbieten.

Auch wenn der Wortlaut es anders vermuten lässt, so besteht bereits eine Erlaubnispflicht dann, wenn nur eine der drei Varianten verwirklicht wird.

5. Fazit

Das Merkblatt bestätigt, was im Hinblick auf das abermalige „gold plating“ durch den deutschen Gesetzgeber zu erwarten war: die Bestrebung einer möglichst flächendeckenden Regulierung von „Blockchain-Geschäftsmodellen“ gleich welcher Form. Ergebnis ist eine eher pauschale Regelung mit einem breiten Tatbestand, aber tatsächlich wohl geringem Anwendungsbereich.

So dürfte der EU-weit in dieser Form einzigartige Tatbestand – aufgrund seiner durch die BaFin unterstrichenen Subsidiarität – jedenfalls hinsichtlich der Verwahrung von Kryptowerten in Form von Currency- oder Security-Token größtenteils ins Leere laufen. Die Auswirkungen der Regulierung des Kryptoverwahrgeschäftes werden dagegen voraussichtlich insbesondere solche Unternehmen zu spüren bekommen, welche kryptografische Schlüssel verwahren oder aber Rechte aus einem Kryptowert wahrnehmen. Sie scheinen bislang einer der wenigen Betroffenen der neuen „Krypto-Regulierung“ zu sein.

Es bleibt abzuwarten, welche weiteren konkretisierenden Hinweise gegeben werden – was sich insb. dann zeigen wird, wenn erste Erlaubnisse erteilt wurden und die weitere Ausformung der neuen „Krypto-Regulierung“ in der Praxis erfolgt.