Blogpost

White-Label-Krypto-Infrastruktur: Das große Missverständnis

Die Trennung zwischen Technologieanbieter und reguliertem Finanzakteur verschwimmt. Genau darin liegt für viele Krypto-Infrastrukturanbieter ein unterschätztes Risiko.

Emanuel Gedeon
10
7 Minuten Lesezeit
White-Label Crypto Infrastructure

Über Jahre hinweg operierten FinTech- und Krypto-Infrastrukturanbieter unter einer scheinbar einfachen Annahme. Wir sind die Technologie-Layer. Der lizenzierte Partner hält die Kundenbeziehung. Das regulierte Institut trägt die Compliance-Verantwortung. Die Bank verantwortet AML. Das E-Geld-Institut hält die Lizenz. Wir liefern lediglich die Infrastruktur.

Diese Abgrenzung beginnt nun zu kollabieren und die Unternehmen, die ihre Operating Models auf genau dieser Annahme aufgebaut haben, werden feststellen, wie tragend diese Konstruktion tatsächlich war.

Das Infrastrukturzeitalter schuf eine nützliche Fiktion

Das vergangene Jahrzehnt der Finanzmarktinfrastruktur war außergewöhnlich: modular, API-basiert, White-Label-getrieben. Finanzdienstleistungen wurden in einzelne Komponenten zerlegt, die sich mit hoher Geschwindigkeit kombinieren, integrieren und distribuieren ließen. Banking-as-a-Service (BaaS). Embedded Lending. Tokenization Engines. Wallet-Orchestrierung. Compliance-APIs. Custody-Infrastruktur. Settlement-Layer.

Die Innovation war real. Die Geschäftsmodelle waren überzeugend. Und auch die regulatorische Logik schien zunächst klar: Das lizenzierte Institut an der Spitze der Wertschöpfungskette trägt die regulatorische Verantwortung. Der darunterliegende Infrastrukturanbieter liefert lediglich Technologie.

Diese Logik funktionierte, solange Aufsichtsbehörden Finanzdienstleistungen primär anhand von Verträgen und Lizenzen bewerteten. Sie funktioniert deutlich schlechter, sobald Aufsicht danach fragt, wer tatsächlich welche Funktionen operativ ausführt.

Und genau darauf richtet sich der Fokus zunehmend.

Das Fragmentierungsproblem

Je modularer Finanzmarktinfrastrukturen werden, desto stärker fragmentiert eine einzelne Customer Journey über unterschiedliche Anbieter hinweg, wobei jeder Beteiligte davon ausgeht, außerhalb des regulatorischen Perimeters zu operieren, weil ein anderer Akteur in der Kette die formale Lizenz hält.

Ein Retailkunde, der ein Embedded-Investment-Produkt nutzt, interagiert heute möglicherweise mit:

  • einem Neobank-Frontend,
  • einer Execution-Infrastruktur,
  • einem Custody-Provider,
  • einer Token-Issuance-Plattform,
  • sowie einer Compliance-API.

Keiner dieser Anbieter hält die direkte Kundenbeziehung. Und gleichzeitig gehen alle davon aus, dass das lizenzierte Institut oberhalb der Infrastrukturkette die regulatorische Verantwortung absorbiert.

Aufsichtsbehörden und zunehmend auch institutionelle Partner akzeptieren diese Analyse jedoch nicht mehr uneingeschränkt. Die entscheidende Frage lautet heute nicht mehr, wer die Lizenz hält, sondern wer die operativ kritischen Funktionen tatsächlich ausführt.

Über Krypto Infrastrukturen, Tokenisierungsplattformen, Bankdienstleistungsstrukturen und Embedded Finance Architekturen hinweg verdichtet sich die Antwort zunehmend auf einen Akteur: den Infrastrukturanbieter.

Das große Missverständnis

Viele Infrastrukturanbieter haben ihre Operating Models auf der Annahme aufgebaut, dass Verträge die regulatorische Verantwortung definieren. Aufsichtsbehörden bewerten jedoch zunehmend etwas anderes: operative Substanz, tatsächliche Kontrolle und funktionalen Einfluss.

Betrachtet man typische Tokenisierungsplattformen, wird die Problematik schnell sichtbar. Sie strukturieren die Issuance-Logik. Sie verwalten den Lebenszyklus der Token. Sie kontrollieren Investor-Onboarding-Prozesse. Sie definieren, wie Vermögenswerte distribuiert werden, wie Rücknahmen verarbeitet werden und wie Cap Tables gepflegt werden. Teilweise hosten sie Wallets. Teilweise führen sie Compliance-Prüfungen durch. Nicht selten sind sie die einzige Instanz innerhalb der gesamten Prozesskette mit vollständiger Sicht auf den End-to-End-Transaktionsfluss. Und dennoch bezeichnen sie sich als reine Infrastruktur.

Aufsichtsbehörden und institutionelle Partner betrachten diese Beschreibung zunehmend als rechtliche Positionierung, nicht als operative Realität. Der vertragliche Hinweis, ein lizenzierter Partner „übernehme die Compliance“, verliert erheblich an Überzeugungskraft, wenn Compliance-Logik, Monitoring-Regeln, Risk Scoring und Onboarding-Flows operativ in den Systemen des Infrastrukturproviders implementiert sind.

Ein Krypto-Infrastrukturanbieter mag ernsthaft davon ausgehen, dass der lizenzierte Partner AML verantwortet. Wenn jedoch Transaktionsmonitoring, Wallet-Orchestrierung, Risk Scoring und Onboarding-Entscheidungslogiken operativ in die Plattform des Providers eingebettet sind, wird die Trennlinie zwischen „Infrastruktur“ und „operativem Teilnehmer“ unter regulatorischer Prüfung zunehmend schwer aufrechtzuerhalten.

Diese Prüfung ist längst nicht mehr hypothetisch. Sie manifestiert sich bereits heute in:

  • Due-Diligence-Fragebögen,
  • Outsourcing-Audits,
  • institutionellen Onboarding-Prozessen,
  • und zunehmend auch in unmittelbarer aufsichtsrechtlicher Aufmerksamkeit.

Tokenisierung – dort, wo die Perimeterfrage besonders relevant wird

Viele Tokenisierungsunternehmen operieren derzeit unter der Annahme, dass MiCA ihre regulatorische Exponierung weitgehend geklärt habe. Für Kryptowerte innerhalb des MiCA-Anwendungsbereichs (wie z.B. etwa Utility Token, E-Money-Token oder Asset-Referenced Token) schafft die Verordnung tatsächlich regulatorische Klarheit. Für einen erheblichen Teil dessen, was die Tokenisierungsindustrie tatsächlich entwickelt, gilt das jedoch nicht.

Tokenisierte Anleihen, tokenisierte Darlehen, tokenisierte Yield-Produkte, tokenisierte Forderungen oder tokenisierte Fondsanteile bewegen sich unmittelbar in den Bereich:

  • des Wertpapierrechts,
  • von MiFID II,
  • der Prospektverordnung,
  • der Verbriefungsregulierung,
  • sowie der Regulierung von Anlageprodukten.

MiCA reguliert diese Strukturen nicht. Es greift vielmehr das bestehende Kapitalmarktrecht.

Und dieses regulatorische Framework wurde für eine Welt entwickelt, in der Emittent, Distributor und Infrastrukturanbieter klar voneinander getrennte Akteure mit eindeutig zugewiesener regulatorischer Verantwortung waren. Tokenisierungsinfrastrukturen verwischen diese Grenzen strukturell.

Eine Plattform, die innerhalb eines einzigen technischen Workflows ein tokenisiertes Instrument emittiert, distribuiert, verwaltet und abwickelt, ist unter einem regulatorischen Rahmenwerk, das danach fragt, wer die regulierte Tätigkeit tatsächlich ausgeführt hat, nicht ohne Weiteres „nur Technologie“.

Dies ist kein Argument gegen Tokenisierung. Die Technologie ist leistungsfähig und die Anwendungsfälle sind real. Es ist vielmehr die Feststellung, dass die regulatorische Analyse, die viele Tokenisierungsunternehmen bislang noch nicht vollständig durchgeführt haben, früher oder später unausweichlich wird, entweder durch die Aufsicht, durch die Compliance-Abteilung eines institutionellen Partners oder durch Investoren im Rahmen einer Due Diligence.

DORA und das Ende unsichtbarer Infrastruktur

Selbst dort, wo ein Anbieter tatsächlich außerhalb des unmittelbaren regulatorischen Perimeters operiert – also dort, wo sowohl die vertragliche als auch die operative Analyse die Position „reine Infrastruktur“ tatsächlich stützt – bleibt diese Infrastruktur regulatorisch zunehmend nicht mehr unsichtbar.

Unter DORA, das seit Januar 2025 EU-weit Anwendung findet, sind Finanzunternehmen verpflichtet:

  • ein Register sämtlicher ICT-Drittdienstleister zu führen,
  • Risikoanalysen wesentlicher Abhängigkeiten durchzuführen,
  • Mindestvertragsstandards zu Sicherheit, Resilienztests, Incident Reporting und Exit-Strategien durchzusetzen,
  • sowie gegenüber Aufsichtsbehörden nachzuweisen, dass ihre Outsourcing- und Technologiesupplychains kontrollierbar und auditierbar sind.

Der Infrastrukturanbieter mag davon ausgehen, nicht Teil des regulatorischen Perimeters zu sein. Die Outsourcing-Abteilung der Bank sieht das häufig anders.

Die vertraglichen Anforderungen, die Banken heute durchsetzen – etwa Governance-Dokumentation, Auditrechte, Incident Notification, Transparenz über Subunternehmer oder Resilienztests – sind faktisch der regulatorische Perimeter, der indirekt beim Infrastrukturanbieter ankommt. Und das ist nicht nur rechtlich relevant, sondern ebenso kommerziell.

Ein Infrastrukturanbieter, der die Governance- und Auditierbarkeitsanforderungen eines europäischen Banken-Vendor-Risk-Frameworks nicht erfüllen kann, ist unabhängig von der Qualität seiner Technologie kein tragfähiger Partner für diese Bank.

Die eigentliche Hürde ist nicht die Lizenzierung. Sondern Vertrauen.

Die Unternehmen, die institutionelle Partnerschaften innerhalb der europäischen Finanzmarktinfrastruktur erfolgreich skalieren werden, sind nicht zwangsläufig jene mit der besten Technologie oder der günstigsten regulatorischen Einordnung.

Es sind jene Unternehmen, die institutionelle Partner (also Banken, Asset Manager, Versicherungen oder Pensionsfonds) bereit sind, in ihren operativen Infrastruktur-Stack zu integrieren.

Diese Bewertung erfolgt zunehmend nicht anhand des Produkts, sondern anhand von:

  • Governance-Reife,
  • operativer Glaubwürdigkeit,
  • Outsourcing-Strukturen,
  • AML-Frameworks,
  • Resilienzfähigkeit,
  • und der nachweisbaren Fähigkeit, als verantwortungsvoller Teilnehmer innerhalb eines regulierten Finanzsystems zu agieren.

Europäische Institute stellen heute eine Frage, die vor fünf Jahren noch ungewöhnlich gewirkt hätte: Würden wir dieses Unternehmen als Teil unserer Finanzmarktinfrastruktur akzeptieren? Und die Antwort darauf wird nicht dadurch bestimmt, was die Technologie eines Unternehmens leistet, sondern dadurch, wie dessen Operating Structure gestaltet, dokumentiert und gesteuert ist.

Genau an diesem Punkt geraten viele Infrastrukturanbieter unter Druck. Das Operating Model, das schnelles Wachstum ermöglicht hat, ist häufig dasselbe Operating Model, das institutioneller Prüfung nicht standhält. Nicht weil die Technologie mangelhaft wäre, sondern weil die Struktur darum herum nie für die Anforderungen institutioneller Skalierung ausgelegt wurde.

Was sich jetzt verändert

Die Ära, in der sich FinTech- und Krypto-Infrastrukturanbieter glaubhaft als „reine Technologieanbieter“ positionieren konnten, und sich dadurch regulatorischen sowie institutionellen Erwartungen weitgehend entziehen konnten, endet. Dabei handelt es sich nicht um einen regulatorischen Crackdown. Es ist eine strukturelle Reifung des Marktes.

Die Finanzindustrie wird in einem Ausmaß infrastrukturbasiert, dessen systemische Relevanz inzwischen von Aufsichtsbehörden, institutionellen Marktteilnehmern und letztlich auch der Öffentlichkeit verstanden wird. Die daraus resultierenden Governance-Anforderungen sind keine innovationsfeindliche Überreaktion, sondern eine verhältnismäßige Konsequenz dieser Entwicklung.

Die Unternehmen, die die nächste Phase europäischer Finanzmarktinfrastruktur prägen werden, sind nicht jene, die sich dieser Realität widersetzen. Es sind jene, die ihr vorauslaufen, d.h. die Operating Structures aufbauen, die institutioneller Prüfung standhalten, bevor diese Prüfung einsetzt und nicht erst danach.

Ein Infrastrukturanbieter, der heute in seine Governance investiert, verlangsamt sich nicht. Er baut die Grundlage auf, die institutionelle Skalierung tatsächlich voraussetzt. Und genau diese Unterscheidung wird entscheidend sein – nicht erst in fünf Jahren, sondern bereits im nächsten Due-Diligence-Gespräch.

Share: LinkedIn Xing X Facebook
Emanuel Gedeon

Emanuel Gedeon

bringt langjährige Erfahrung in Compliance, regulatorischer Beratung und der Optimierung von Steuerungsprozessen für Finanzinstitute mit. Als Executive Partner bei msg for banking leitet er den Bereich Governance & Regulatory Advisory. Zuvor war er in leitenden Positionen bei internationalen Beratungsunternehmen tätig.

Schreiben Sie einen Kommentar

Sie müssen sich anmelden, um einen Kommentar zu schreiben.

Verwandte Beiträge

Entdecken Sie noch mehr interessante Beiträge zu diesem Thema.

Blogpost
5 Minuten Lesezeit

AMLR definiert die Risikoanalyse neu: Fünf Stolpersteine der praktischen Umsetzung

Blogpost
7 Minuten Lesezeit

MiCA kommt nicht erst. MiCA ist da. Und die Zeit läuft ab.

Emanuel Gedeon
Audio
4 Minuten Lesezeit

banKIng³ – Folge 29: Souveränität, Sicherheit, Systeme – Warum Banken jetzt handeln müssen