Blogpost

Krypto-Geschäft: Zielgerichtete End-to-End-Beratung zur BaFin-Lizenz

Das Krypto-Geschäft beziehungsweise Dienstleistungen rund um das Anbieten, Handeln und Verwahren von Krypto-Währungen spielen eine zunehmend wichtigere Rolle bei den Finanzakteuren, insbesondere wenn es darum geht, mögliche zusätzliche Einnahmequellen zu erschließen. Darauf reagiert auch die Aufsicht. Aber: Die aufsichtliche Regulierung zum Krypto-Geschäft entwickelt sich gerade erst.

693
17 Minuten Lesezeit

Key Take Aways für Eilige…

  • Die aufsichtliche Regulierung zum Krypto-Geschäft entwickelt sich noch.
  • Mit MiCa und DORA wird allerdings bald ein einheitlicher europäischer Rahmen geschaffen.
  • Bis dahin sind auf nationaler Ebene diverse Merkblätter der BaFin zu beachten.
  • Im Rahmen eines Lizenzprozesses sind sowohl Financial- als auch Non-Financial Risks angemessen zu bewerten (Gewichtung hängt vom konkreten Geschäftsmodell/Dienstleistung ab).
  • Herkömmliche Erfahrungen und Skills sind dabei jedoch nur bedingt auf das Krypto-Geschäft übertragbar.
  • Wir beraten Sie ganzheitlich und begleiten Sie zielgerichtet zur BaFin-Lizenz.

Krypto-Geschäft: Ausgangslage, Chancen und Risiken

Das Krypto-Geschäft beziehungsweise Dienstleistungen rund um das Anbieten, Handeln und Verwahren von Krypto-Währungen spielen eine zunehmend wichtigere Rolle bei den Finanzakteuren, insbesondere wenn es darum geht, mögliche zusätzliche Einnahmequellen zu erschließen.

Krypto-Währungen sind, genauso wie Non-Fungible Token (kurz NFT), untrennbar verknüpft mit der Blockchain- beziehungsweise Distributed Ledger Technologie (DLT). Die für die Abbildung von Krypto-Währungen (zum Beispiel Bitcoin) erforderlichen Informationen werden hierzu auf vielen verschiedenen Rechnern abgelegt und mittels kryptographischer Methoden verknüpft und gesichert.

Anders als die herkömmlichen etablierten sogenannten FIAT-Währungen (lateinisch für „es werde“ im Sinne von „Geldschöpfung“ mittels Zentralbanken), also von Zentralbanken ausgegebene und gesicherte Währungen (EUR, USD etc.), basieren Krypto-Währungen also auf einer dezentral privatwirtschaftlich organisierten Distributionskette.

Während in den letzten Jahren eine Vielzahl „bunter Hunde“ in Form von mehr oder weniger schillernden FinTechs auf den Markt sichtbar waren und teilweise auch schon wieder verschwunden sind (zum Beispiel FTX), nimmt in letzter Zeit das Interesse etablierter Banken stark zu, ebenfalls ein Stück vom „Krypto-Kuchen“ abzubekommen.

Dies gilt umso mehr, wenn es gelingt, das mit dem jeweiligen Krypto-Geschäft einhergehende Risiko einigermaßen einzugrenzen, etwa indem man nur einen bestimmten Teil der Wertschöpfungskette besetzt, wie zum Beispiel das Anbieten der Krypto-Verwahrung als Dienstleistung für den Endkunden.

Etablierte Banken argumentieren hier oft zu Recht, dass sie im Vergleich zu FinTechs bereits seit vielen Jahren am Markt sichtbar sind und bereits das Vertrauen ihrer Kunden und Investoren genießen. Gleichwohl, auch wenn diese Argumentation durchaus zutreffend ist, so müssen sich natürlich auch diese „Old-School-Player“ mit den auch für sie teils sehr neuartigen und sehr komplexen Risiken auseinandersetzen, die mit dem Krypto-Geschäft einhergehen.

Ein eher entspanntes Zurücklehnen aufgrund der langjährigen Erfahrungen mit anderen eher klassischen Geschäften und Risikoarten ist in dem Zuge kaum möglich. Vielmehr muss man sich meist „from the scratch“ mit meist völlig neuartigen Risiken befassen, sie begreifen und bewerten und ihnen möglichst geeignete Risiko-Mitigierungsmaßnahmen entgegensetzen.

Doch es kommen noch eine Reihe weiterer Faktoren hinzu, die den Umgang mit Risiken aus dem Krypto-Geschäft so anspruchsvoll machen:

Krypto-Geschäft, Wesentliche Handlungsfelder im Rahmen einer Bafin-Lizensierung, eigene Darstellung

Abbildung 1: Wesentliche Handlungsfelder im Rahmen einer Bafin-Lizensierung, eigene Darstellung

Da ist zum einen die Vielzahl aufsichtlicher Vorgaben zu nennen, die mittlerweile zu berücksichtigen sind. Die internationalen (BIS), europäischen (EBA/EU) und nationalen (BaFin) Regulatoren haben mittlerweile diverse Regulierungspakete und Rundschreiben auf den Weg gebracht, um zumindest einen groben Rahmen für das Management und die Beaufsichtigung der zahlreichen Dienstleistungen rund um das Krypto-Geschäft zu definieren.

Der eine oder andere mag diese Entwicklung eher als „Klotz am Bein“ wahrnehmen. Auf der anderen Seite tut es wohl gerade dieser noch jungen Technologie ganz gut, wenn zumindest ein gewisser regulatorischer Basis-Rahmen vorhanden ist, um das Vertrauen der Verbraucher in diese Technologien aber auch das Vertrauen der Akteure untereinander zu stärken.

Und letztlich wird dem übergeordneten Ziel einer Regulierung Rechnung getragen, so dass das Finanzsystem an sich möglichst stabil bleibt. Auch diese Frage wird im Zusammenhang mit dem Krypto-Geschäft immer wieder intensiv diskutiert.

Mögliche Ansteckungseffekte, die vom Krypto-Geschäft auf die Old-Economy ausgehen könnten, sind wohl nicht von der Hand zu weisen. Jedoch ist auch hier zu differenzieren beziehungsweise jeder Einzelfall für sich zu betrachten –  wie der aktuelle „Fall“ der Silicon Valley Bank, die zwar verhältnismäßig hoch in FinTechs (auch aus dem Krypto-Geschäft) investiert war, jedoch eher über klassische Probleme, wie eine massive Abwertung eigener Anlagen im Bestand und in der Folge über eine nicht ausreichende kurzfristige Liquidität, gestolpert  ist.

Neben einem Investitionsrisiko, dem natürlich auch Verbraucher ausgesetzt sind, bestehen insbesondere operationelle Risiken, wenn man als Bank eigenständig Dienstleistungen zum Krypto-Geschäft anbieten möchte.

Diese operationellen Risiken sind unter anderem auf die Natur des Krypto-Geschäfts beziehungsweise der Krypto-Währungen selbst zurückzuführen. Der angemessene Umgang mit den sehr spezifischen IT-Risiken, die mit dem Krypto-Geschäft untrennbar einhergehen, also etwa mit der Distributed Ledger Technologie (DLT), den Verschlüsselungstechniken oder auch den allgemeinen Cyber-Risiken, muss oftmals erst erlernt werden, und zwar meist über alle Ebenen hinweg (nicht nur in der IT-Abteilung, sondern auch im Risikomanagement, in der Compliance-Funktion und auch auf Vorstandsebene).  Doch Risiken drohen nicht nur durch eigene Schwächen. Gerade das Krypto-Geschäft ist in hohem Maße durch Arbeitsteilung, also (auch grenzüberschreitende) Zusammenarbeit mit Dritten, gekennzeichnet. Auf die Auswahl und Überwachung dieser Dritten (Third Party Management) muss also ebenfalls ein besonderes Augenmerk gelegt werden.

Regulatorischer Rahmen

Die deutschen Aufsichtsbehörden verweisen hinsichtlich der Regulierung des Krypto-Geschäfts zunächst einmal auf die bereits bestehenden aufsichtlichen Anforderungen zur Erbringung von Finanzdienstleistungen, soweit (noch) keine konkreteren rechtlichen Vorgaben definiert wurden.

Insbesondere das Kryptoverwahrgeschäft und die Kryptowertpapierregisterführung wurden jedoch mittlerweile als neue Finanzdienstleistung in das Kreditwesengesetz aufgenommen. Dementsprechend hat die Aufsicht (BaFin) hierzu auch schon entsprechende Merkblätter zum Erlaubnisverfahren veröffentlicht.

Auf europäischer Ebene werden jedoch aktuell spezifische aufsichtsrechtliche Anforderungen zum Krypto-Geschäft und den damit verbundenen Technologien entwickelt. Hier ist insbesondere die Europäische Verordnung zu Markets in Crypto-Assets (Europäische Verordnung zu Markets in Crypto-Assets (MiCA-Verordnung)), als auch die Verordnung über digitale Betriebsstabilität (DORA) zu nennen.

Beide Verordnungen sind Teil des Pakets zur Digitalisierung des Finanzsektors der EU, wozu auch eine Verordnung über eine Pilotregelung für auf der Distributed-Ledger-Technologie basierende Marktinfrastrukturen gehört.

Die MiCA-Verordnung – wesentliche Regelungsbereiche

Die Verordnung sieht insbesondere die folgenden Regelungsbereich vor:

  • Gegenstand, Anwendungsbereich und Begriffsbestimmungen
  • Regeln zum Öffentlichen Angebot und zur Vermarktung von Krypto-Werten
  • Verfahren zur Zulassung und sonstigen Pflichten von Emittenten
  • Verfahren zur Zulassung von Emittenten von E-Geld-Token
  • Bedingungen zur Zulassung von Krypto-Dienstleistern (siehe unten)
  • Regeln zur Verhinderung von Marktmissbrauch
  • Verwaltungsrechtliche Sanktionen und Maßnahmen

Die von der MiCA-Verordnung definierten Anforderungen zur Zulassung von Krypto-Dienstleistern decken sich weitgehend mit den allgemeinen Anforderungen zur Zulassung von Finanzdienstleistern. Allerdings sind naturgemäß einige zusätzliche Anforderungen zu beachten, was der Natur des Geschäfts mit Krypto-Werten geschuldet ist.

Wesentliche Bedingungen zur Zulassung von Krypto-Dienstleistern (gemäß MiCA)

  • Ausreichende Kenntnisse und Erfahrungen der Leitungsorgane
  • Tragfähiger Geschäftsplan
  • Regeln zur Unternehmensführung
  • Beschreibung der Internen Kontrollmechanismen
  • Beschreibung der IT-Systeme und Sicherheitsvorkehrungen
  • Maßnahmen zur Betriebskontinuität
  • Verfahren zur Risikobewertung
  • Verfahren zur Steuerung und Überwachung von Dritten (Outsourcing)
  • Vorkehrungen zur Verhinderung von Geldwäsche und Terrorismusfinanzierung
  • Umgang mit Kundenbeschwerden
  • Regeln zur Vermeidung von Marktmissbrauch
  • Beschreibung der Verwahrstrategie
  • Betriebsvorschriften zur Handelsplattform
  • Grundsätze zur Auftragsausführung

Die MiCA-Verordnung definiert zudem Mindestkapitalanforderungen je nach Krypto-Dienstleistung.

Außerdem statuiert die MiCA-Verordnung die Pflicht zu ehrlichem, fairem und professionellem Handeln im besten Interesse der Kunden. Damit gelten für das Krypto-Geschäft beziehungsweise Krypto-Währungen sehr ähnliche Anforderungen, wie bisher schon für das Wertpapiergeschäft.

Neben der MiCA-Verordnung spielt die künftige DORA-Verordnung (Digital Operational Resilience Act) ebenfalls eine wichtige Rolle, denn mit der DORA-Verordnung wird ein einheitlicher europäischer Standard für sichere Informations- und Kommunikationstechnologien (IKT) geschaffen. Zwar sind hierzu auch auf nationaler Ebene bereits wesentliche Elemente bekannt, aufgrund der zunehmenden Vernetzung der Finanzdienstleistungen, der zunehmenden grenzüberschreitenden Arbeitsteilung sowie zunehmender Bedrohungen von Außen (Cyber-Risiken) soll nunmehr eine einheitliche europäische Verordnung für mehr Sicherheit und Einheitlichkeit im Umgang mit Informations- und Kommunikationstechnologien sorgen:

Wesentliche Regelungsbereiche der DORA-Verordnung:

  • Governance und Kontrollrahmen für starke operationelle Resilienz
  • Verantwortung des Leitungsorgans
  • IKT-Risikomanagementrahmen zum Schutz sämtlicher IT-Assets
  • IKT-Strategie mit Festlegung einer Risiko-Toleranzschwelle für IKT-Risiken, IKT-Referenzarchitektur, Tests der digitalen operationellen Resilienz, Kommunikationsstrategie für IKT-bezogene Vorfälle
  • IKT-Systeme, -Protokolle und -Tools
  • Schutz und Prävention (Informationssicherheitsleitlinie, Authentifizierung etc.)
  • Mechanismen zur Erkennung anomaler Aktivitäten
  • IKT-Geschäftsfortführungsleitlinie
  • Methoden zur Wiederherstellung
  • Prozesse zur kontinuierlichen Verbesserung
  • Regelmäßige Berichterstattung an das Leitungsorgan
  • Unabhängige Kontrollfunktionen zur Vermeidung von Interessenkonflikten
  • Mindestens jährliche Überprüfung des IKT-Risikomanagements
  • Regelmäßige Überprüfung durch die Interne Revision (mit ausreichend Fachkenntnis)
  • Prozess und Behandlung zu IKT-bezogenen Vorfällen (mit Frühwarnindikatoren, Klassifizierung etc.)
  • Berichterstattung schwerwiegender IKT-bezogener Vorfällen an Behörden
  • Testen der digitalen operationellen Resilienz
  • Management des IKT-Drittparteienrisikos (vertragliche Mindestbestandteile, Überwachungsrahmen, Meldepflichten, Informationsregister etc.)

Für Deutschland hat die BaFin mit dem Rundschreiben zu den Besonderen Anforderungen an die IT (BAIT) bereits einen Regelungsrahmen geschaffen, der große Teile der DORA-Verordnung abdeckt. Allerdings geht die DORA-Verordnung in Teilen darüber hinaus. So sieht die DORA-Verordnung unter anderem einen umfangreichen Katalog an Mindestbestandteilen für Verträge mit Dritten vor. Auch eine Meldepflicht für schwerwiegende IKT-bezogene Vorfälle sieht die BAIT bisher nicht vor.

Überblick zu wichtigen aufsichtlichen Anforderungen an das Krypto-Geschäft

BCBS / FSB EU/EBA DE/BaFin
  • Prudential Treatment of cryptoasset exposures (BCBS Paper, d545, 12/2022)
  • Addressing the risks in crypto: laying out the options (BIS Bulletin, 01/2023)
  • International Regulation of Crypto-asset Activities: A proposed framework – questions for consultation (FSB, 10/2022)
  • The Financial Stability Risks of Decentralised Finance (FSB, 02/2023)
  • Basler Mindeststandards für Banken
  • Project Pyxtrial, as data collection to monitor liabilities of fiat-backed stablecoins and the assets that back them (BIS)
  • Europäische Verordnung über Märkte für Krypto-Werte (MiCA)
  • Europäische Verordnung über digitale Betriebsstabilität (DORA)
  • EBA-Leitlinien für das Management von IKT- und Sicherheitsrisiken
  • EBA-Leitlinien zu Auslagerungen
  • EN ISO-Standards
  • Capital Requirements Regulation (CRR)
  • Capital Requirements Directive (CRD)
  • Future financial services regulatory regime for cryptoassets (UK HM Treasury)
  • Kreditwesengesetz
  • Wertpapierinstitutsgesetz
  • Zahlungsdiensteaufsichtsgesetz
  • Kryptowertetransferverordnung
  • Geldtransferverordnung
  • Mindestanforderung an das Risikomanagement (MaRisk)
  • Bankaufsichtlichen Anforderungen an die IT (BAIT)
  • Diverse Merkblätter der BaFin zum Erlaubnisverfahren (z. B. Merkblatt zum Kryptoverwahrgeschäft, Merkblatt zur Kryptowertpapierregisterführung)
  • Geldwäscherechtliche Hinweise der BaFin
  • BSI-Standards (IT)

Die zwei Dimensionen der Regulierung – Financial- und Non-Financial Risks

Die Regulierung für das Krypto-Geschäft zielt auf die angemessene Handhabung sowohl der Financial- als auch der Non-Financial Risks ab.

Je nachdem, welche Art von Dienstleistung beziehungsweise welches Paket von Dienstleistungen zum Krypto-Geschäft angeboten werden soll, kann der Schwerpunkt zwischen diesen beiden Dimensionen variieren. Insbesondere, wenn der Anbieter das Marktpreis- und Liquiditätsrisiko zum Crypto-Geschäft trägt, bekommt die Dimension Financial Risk eine deutlich stärkere Bedeutung, die dann auch im Rahmen eines Lizensierungs-Prozesses angemessen zu würdigen ist.

Financial Risks

Zu den Financial Risks, die im Rahmen der verschiedenen Geschäftsmodelle rund um das Krypto-Geschäft auftreten können, zählen die

  • Kreditrisiken,
  • Marktpreisrisiken,
  • Liquiditätsrisiken,
  • Gegenpartei(ausfall)risiken,
  • Konzentrationsrisiken sowie

Ob und welche finanziellen Risiken tatsächlich relevant sind und welche Mitigierungsmaßnahmen zur Reduzierung des jeweiligen Risikos angemessen sind, ist anhand des jeweiligen Geschäftsmodells beziehungsweise entlang der individuellen Gestaltung der Wertschöpfungskette zu beurteilen.

So werden etwa Kreditrisiken oder Markpreisrisiken im Rahmen des Kryptoverwahrgeschäfts weniger beziehungsweise gar nicht relevant sein, während dieselben Risiken bei  Geschäftsmodellen, die auf den Handel oder den Tausch von Krypto-Währungen abstellen, ganz wesentlich sind.

Eine verbindliche spezifische Regulierung zum Krypto-Geschäft existiert bisher jedoch nicht zu den Financial Risks, weder auf internationaler noch auf europäischer oder auf nationaler Ebene. Allerdings hat das Baseler Committee on Banking Supervision (BCBS) mittlerweile (im Dezember 2022) einen finalen Standard (Prudential Treatment of Cryptoasset Exposures) veröffentlicht, der künftig als Teil der sogenannten Basler Mindeststandards auch Teil der Europäischen und damit auch Teil der nationalen Regulierung (über die europaweit gültige Capital Requirements Regulation, CRR) werden soll.

Die deutsche Aufsicht betont indes, dass mitnichten ein rechtsfreier Raum gegeben sei, was die aufsichtliche Behandlung des Krypto-Geschäfts angeht. Anbieter von Dienstleistungen rund um das Krypto-Geschäft müssen die bestehenden regulatorischen Anforderungen zum Umgang mit finanziellen und nicht-finanziellen Risiken (zur Ermittlung der Eigenmittelanforderungen) bis auf weiteres analog anwenden.

Hierin liegt eine besondere Herausforderung, denn das Erkennen und Bewerten von mit dem Krypto-Geschäft verbundenen finanziellen Risiken dürfte für die allermeisten Akteure aus dem Risikomanagement und auch auf Vorstandsebene bisher eher neuartig sein.

Dies ist auf die Neuartigkeit der zugrunde liegenden Technologien, die Komplexität der typischen Wertschöpfungskette mit den vielfältigen eingebundenen Parteien und letztlich auch auf das noch ausbaufähige Vertrauen in das Geschäftsmodell zurückzuführen.

Das Papier vom BCBS (Prudential Treatment of Crypto-Asset Exposures) definiert jedoch Mindeststandards zum Umgang mit finanziellen Risiken (Säule 1, Eigenmittelanforderungen) aus Krypto-Assets:

Abbildung 2: Klassifizierung Kryptp-Assets (Quelle: BCBS)

Das BCBS klassifiziert also zunächst in zwei Gruppen von Crypto-Assets:

Crypto-Assets der Gruppe 1: Tokinisierte traditionelle Assets und Stablecoins.

Crypto-Assets der Gruppe 2: Tokinisierte traditionelle Assets, Stablecoins und ungesicherte Crypto-Assets, die bestimmte Kriterien nicht erfüllen.

Bei Assets der Gruppe 2 sieht das Papier sogar einen Vollabzug vom Kapital vor, um den mit dieser Kategorie verbundenen Risiken angemessen zu begegnen.

Sollte es soweit kommen, wäre natürlich auch der mit diesem Geschäftsvorhaben geplante mögliche Ertrag nicht mehr wirklich zu realisieren.

Ohne an dieser Stelle weiter auf die Details aus dem Papier vom BCBS einzugehen, macht es dennoch Sinn, ein paar grundlegende Logiken und Anforderungen aus dem Papier zu nennen:

  • Für Unbacked Crypto-Assets sind deutlich mehr Eigenmittel zu hinterlegen, als für Crypto-Assets, die mit traditionellen Assets abgesichert beziehungsweise verbunden sind.
  • Ein pauschaler Add-on für das Infrastructure Risk soll Aufsichtsbehörden die Möglichkeit einräumen, bei Bedarf einen weiteren Aufschlag auf die Kapitalanforderungen zu erheben.
  • Ein Redemption Risk Test soll sicherstellen, dass am Ende auch tatsächlich genügend traditionelle Assets vorhanden sind, falls Endkunden ihre Crypto-Assets in traditionelle Werte zurücktauschen wollen.
  • Bei Crypto-Assets mit Stabilisierungsmechanismus (zum Beispiel Stablecoins) müssen die zugrunde liegenden traditionellen Assets ebenfalls im Rahmen eines Look-Through-Approaches bewertet werden.
  • Um ein niedrigeres Risikogewicht in Anspruch nehmen zu dürfen, müssen alle financial und non-financial risks angemessen bewertet und gesteuert werden. Der Standard führt unter den non-financial risks insbesondere das Third Party Risk, den Datenschutz, das Geldwäsche-Risiko und Operationelle Risiken auf.
  • Der Anbieter hat zudem sicherzustellen, dass das gesamte Konstrukt (also die zugrunde liegende Technik, die eingebundenen Akteure, etc.), das dem Service zugrunde liegt, stabil ist und auch im Stress-Szenario verlässlich funktioniert.
  • Neben den Financial Risks soll das Risikomanagement insbesondere das Crypto-Asset Technology Risk angemessen berücksichtigen, also insbesondere das mit der Distributed Ledger Technology verbundene Risiko, die Service-Erreichbarkeit, Verlässlichkeit der Third Parties, das Cyber-Risiko, etc.
  • Im Rahmen eines angemessenen Risikomanagements müssen auch angemessen Vorkehrungen zur Bekämpfung von Geldwäsche und Terrorismusfinanzierung getroffen werden.

Interessant ist dabei, dass ähnlich wie bei der Verwendung Interner Modelle, zur Ermittlung der Eigenmittelanforderungen (RWA) unter Säule 1 auch klassische eher prozessuale Anforderungen unter Säule 2 zum Risikomanagement definiert werden, um in den Genuss geringerer Eigenmittelanforderungen unter Säule 1 zu gelangen.

Schließlich statuiert das Papier noch entsprechende Offenlegungspflichten (Säule 3) zu den jeweiligen Tätigkeiten und Risiken des angebotenen Krypto-Geschäfts sowie Informations- beziehungsweise Anzeigepflichten gegenüber der Aufsicht.

Erfolgreiche Lizensierung – Herausforderungen und Erfolgsfaktoren

Für eine erfolgreiche Lizensierung im Bereich der Krypto-Dienstleistungen sind erfahrungsgemäß immer sehr ähnliche Handlungsstränge zu bearbeiten, die sich recht gut in verschiedene Arbeitspakte aufteilen lassen.

Je nach Geschäftsmodell beziehungsweise je nach konkreter Ausgestaltung der Wertschöpfungskette liegt der Schwerpunkt entweder auf den Financial oder auf den Non-Financial Risks. Indes, unabhängig wo der Schwerpunkt am Ende tatsächlich liegt, die IT-Risiken spielen im Krypto-Geschäft naturgemäß immer eine entscheidende Rolle.

Inhaltliche Schwerpunkte im Lizensierungsprozess

Abbildung 3: Inhaltliche Schwerpunkte im Lizensierungsprozess

Die deutsche Aufsicht hat mittlerweile verschiedene Merkblätter und Hinweise zum Erlaubnisverfahren beziehungsweise zur Lizensierung von Krypto-Dienstleistungen veröffentlicht, etwa die Hinweise zum Erlaubnisantrag für das Kryptoverwahrgeschäft oder die Hinweise zum Erlaubnisverfahren zur Kryptowertpapierregisterführung.

Übergeordnet ist auch das Merkblatt zur Erteilung einer Erlaubnis zum Erbringen von Finanzdienstleistungen gemäß § 32 Absatz 1 KWG zu beachten.

Wesentliche Anforderungen und sinnvolle Arbeitspakete

Nach unserer Erfahrung sowie aus den Merkblättern der Aufsicht und den einschlägigen Gesetzen lassen sich damit folgende vier Schwerpunkte ableiten, die im Rahmen eines Erlaubnisverfahrens bearbeitet werden sollten:

Arbeitspaket 1: Analyse und Umgang mit finanziellen Risiken (Marktpreisrisiko, Liquidität etc.)

Arbeitspaket 2: Analyse und Umgang mit nicht-finanziellen Risiken (Cyberrisiken, Fraud etc.)

Arbeitspaket 3: Analyse und Umgang mit Auslagerungen beziehungsweise Third Party Risks

Arbeitspaket 4: Analyse und Umgang mit Geldwäscherisiken (Compliance im engeren Sinne)

Die wesentlichen Dimensionen finanzieller Risiken (hier: Arbeitspaket 1) wurden bereits oben (Abschnitt 2 „Regulatorischer Rahmen“) skizziert.

Schwerpunkt IT-Risiken

Die IT-Risiken stellen im Krypto-Geschäft naturgemäß den Schwerpunkt der nicht-finanziellen Risiken (hier: Arbeitspaket 2) dar. Die Aufsicht erwartet hier die Bearbeitung und Einreichung mindestens folgender Themen:

  • Es ist die IT-Strategie detailliert darzustellen, welche die Anforderungen nach AT 4.2 der MaRisk zu erfüllen hat. Dies beinhaltet insbesondere, dass die Geschäftsleitung eine nachhaltige IT-Strategie festlegt, in der die Ziele sowie die Maßnahmen zur Erreichung dieser Ziele dargestellt werden.
  • Eine umfassende Beschreibung der Architektur der IT-Systeme sollte beigefügt werden. Diese sollte sowohl Netzwerk- als auch Backup-Elemente enthalten.
  • Dem Antrag ist zudem eine Darstellung der Sicherheitsstrategie beizufügen. Die implementierten technischen und organisatorischen Sicherheitsmaßnahmen sind zu erläutern.
  • Es sollten Angaben zu (wesentlichen) Auslagerungen und genutzten Cloud-Lösungen gemacht werden. Dabei sollten sämtliche Kooperationspartner, die bei der Durchführung der Dienstleistung (zum Beispiel Kryptoverwahrgeschäft oder Kryptowertpapierregisterführung) mitwirken, genannt und deren jeweilige Rolle erläutert werden. Ebenfalls sollten die MaRisk AT 9 sowie das Merkblatt „Orientierungshilfe zu Auslagerungen an Cloud-Anbieter“ berücksichtigt werden.
  • Das Unternehmen sollte eine Risikobewertung durchführen und Auswirkungen und Maßnahmen erläutern, etwa im Hinblick auf die Schutzbedarfsziele, insbesondere mit Bezug zum Aufzeichnungssystem aber auch anderer maßgeblicher Daten und der IT-Infrastruktur.
  • Das Unternehmen sollte eine Identifizierung der Rollen mit Zugang zu den für die Führung des Kryptowertpapierregisters relevanten Systeme durchführen und Angaben zu dem Rechte- und Rollenkonzept oder dem Berechtigungsmanagement machen (vgl. Ziffer 5 der BAIT).
  • Der Antragsteller sollte eine Darstellung der eingerichteten Überwachungsverfahren, etwa des implementierten Monitorings der Systeme, einreichen.

Compliance- und Auslagerungsrisiken

Zwar lassen sich Compliance- und Auslagerungsrisiken durchaus unter die Kategorie der nicht-finanziellen Risiken fassen, in der Praxis hat sich jedoch gezeigt, dass diese beiden Risikodimensionen für das Krypto-Geschäft so bedeutend sind, dass man hierzu besser abgegrenzte eigenständige Arbeitspakte definieren und bearbeiten sollte.

Ganz gleich, ob es sich um ein Start-up oder um eine bereits etablierte Bank handelt, aus Sicht einer Compliance-Funktion sind mögliche neue oder kritische Compliance-Risiken rund um die künftige neue Dienstleistung zu bewerten und durch entsprechende Kontrollmaßnahmen abzudecken. Hier sind etwa Reputationsrisiken oder Datenschutzrisiken anzuführen aber insbesondere auch Geldwäscherisiken. Gerade im Krypto-Geschäft kann in der Einhaltung der etablierten Sorgfaltsmaßnahmen (angemessene Risikoanalyse, Feststellung des wirtschaftlich Berechtigten, die kontinuierliche Überwachung der Geschäftsbeziehung etc.) zur Verhinderung von Geldwäsche eine besondere Herausforderung liegen. Hierzu sind angemessene Maßnahmen (technisch, prozessual, fachlich) zu treffen.

Herausforderungen und Erfolgsfaktoren

Unserer Erfahrung nach liegt in der Beurteilung und Beschreibung der IT-Risiken sowie den damit verbundenen Risiko-Mitigierungsmaßnahmen der Schwerpunkt im Rahmen eines Lizensierungsverfahrens. Die hierbei zu beachtenden Aspekte und Anforderungen wurden oben bereits aufgeführt.

Herkömmliche Erfahrungen und Methoden zur Einwertung von finanziellen und nicht-finanziellen Risiken sind nur bedingt auf das Krypto-Geschäft übertragbar. Vielmehr hat man sich ganz konkret, je nachdem, welche Dienstleistung/en zum Krypto-Geschäft angeboten werden soll/en, mit den spezifischen Risiken dieses Geschäfts zu befassen und dabei auch das Gesamtkonstrukt, also das Zusammenspiel der geplanten Prozesse, Technologien und eingebundenen Partner, zu bewerten.

Zudem ist die Beurteilung und Einwertung der finanziellen Risiken gerade im Krypto-Geschäft eng verbunden mit den eingesetzten Technologien und Partnern, also eng verbunden mit den nicht-finanziellen Risiken. Crypto-Börsen arbeiten in der Regel mit automatisierten IT-Kontrollen beziehungsweise Algorithmen, um finanzielle Risiken wie zum Beispiel Marktpreis- oder Liquiditätsrisiken einzudämmen. Erst das Verständnis auch dieser IT-Kontrollen führt zu einem ganzheitlichen Verständnis der finanziellen Risiken beziehungsweise zur Angemessenheit der hierzu vorgesehenen Risiko-Mitigierungsmaßnahmen (zum Beispiel das automatisierte Eindecken mit FIAT-Währungen oder der automatisierte Abschluss von zusätzlichen Gegengeschäften zum Beispiel bei bestehenden Fremdwährungsrisiken).

Wir empfehlen zudem, die Abarbeitung der verschiedenen Arbeitspakete nicht auf zu viele Unternehmen beziehungsweise zu großen Teams zu verteilen. Es sollte vielmehr die Maxime gelten: Less is more!

Alexander Nölle

leitet bei msg for banking den Bereich Regulatory Compliance & Non-Financial Risk. Er berät Finanzunternehmen und FinTechs im Bereich Risikomanagement, Compliance, Revision und Lizenzanträgen. Er ist Referent bei Verbänden, Lehrbeauftragter an Hochschulen und Herausgeber des Newsletters Aufsichtsrecht.

Schreiben Sie einen Kommentar

Sie müssen sich anmelden, um einen Kommentar zu schreiben.