Bereits am 2.3.2020 hatte sie ihr „Merkblatt: Hinweise zum Tatbestand des Kryptoverwahrgeschäfts“ und davor am 17.1.2020 ihre „Hinweise zur Auslegung des § 64y KWG“ veröffentlicht. Die jeweiligen Hinweise geben die geltende Aufsichtspraxis der BaFin rund um das Thema Kryptoverwahrung wieder und werden nachstehend zusammengefasst.
Tatbestand der Kryptoverwahrung - Hinweise vom 2.3.2020
Der Tatbestand der Kryptoverwahrung wurde durch das im Wesentlichen am 1.1.2020 in Kraft getretene Gesetz zur Umsetzung der Änderungsrichtlinie zur Vierten EU-Geldwäscherichtlinie (im Folgenden Änderungs-RiLi-UmsG) als neue Finanzdienstleistung in das Kreditwesengesetz (§ 1 Abs. 1a S. 2 Nr. 6 KWG) eingeführt.
Kryptoverwahrung ist die
- Verwahrung, die Verwaltung und die Sicherung von
- Kryptowerten oder privaten kryptografischen Schlüsseln, die dazu dienen, Kryptowerte zu halten, zu speichern oder zu übertragen,
- für andere.
Kryptowerte
Mit dem Änderungs-RiLi-UmsG wurde zugleich der Kryptowert als neu definiertes Finanzinstrument in das KWG aufgenommen (§ 1 Abs. 11 S. 1 Nr. 10, S. 4 KWG).
Hinweis: Kryptowert als Finanzinstrument - Konsequenz der Qualifizierung des Kryptowertes als Finanzinstrument ist, dass alle regulierten Tätigkeiten, soweit sie an den Begriff des Finanzinstruments anknüpfen, nunmehr auch Tätigkeiten in Bezug auf Kryptowerte in die Regulierung einbeziehen, soweit Kryptowerte aufgrund ihrer Ausgestaltung nicht ohnehin schon bisher als Finanzinstrumente einzuordnen waren.
Ein Kryptowert ist nach der neuen Definition die digitale Darstellung eines Wertes,
- der von keiner Zentralbank oder öffentlichen Stelle emittiert wurde oder garantiert wird und der nicht den gesetzlichen Status einer Währung oder von Geld besitzt,
- der aber von natürlichen oder juristischen Personen aufgrund einer Vereinbarung oder tatsächlichen Übung als Tausch- oder Zahlungsmittel akzeptiert wird oder Anlagezwecken dient und
- der auf elektronischem Wege übertragen, gespeichert und gehandelt werden kann
Die BaFin stellt zutreffend klar, dass es sich bei dem Begriff der Kryptowerte um einen Auffangtatbestand handelt, da Kryptowerte auf Grund ihrer vielfältigen Ausgestaltungen bereits unter eine der im KWG normierten anderen Kategorien von Finanzinstrumenten fallen können. Gleichzeitig sind die bestehenden Kategorien nicht ausreichend, um alle potentiellen Anwendungsfälle von virtuellen Währungen abzudecken.
In Übereinstimmung mit der Gesetzesbegründung zum Änderungs-RiLi-UmsG erläutert die BaFin, dass von der Definition der Kryptowerte nach dem Kreditwesengesetz nicht in- und ausländische gesetzliche Zahlungsmittel, E-Geld, Verbundzahlungssysteme und Zahlungsvorgänge von Anbietern elektronischer Kommunikationsnetze oder -dienste erfasst sind. Ebenso gehören hierzu nicht im Austausch gegen einen entsprechenden Gegenwert vom Emittenten oder Dritten ausgegebene elektronische Waren- oder Dienstleistungsgutscheine.
Voraussetzung ist, dass diesen Gutscheinen bestimmungsgemäß nur durch Einlösung gegenüber dem Emittenten eine wirtschaftliche Funktion zukommt, so dass sie nicht handelbar sind, und dass sie aufgrund ihrer Ausgestaltung keine investorenähnliche Erwartungshaltung an ihre Wertentwicklung oder an die allgemeine Unternehmensentwicklung des Emittenten oder eines Dritten wert- oder rechnungsmäßig abbilden. Gleiches, so ergänzt die BaFin, gilt auch für elektronische Gutscheine in Multipartnerprogrammen, soweit auch diese nicht gehandelt werden können und sich nicht als allgemeine Tausch- und Zahlungsmittel eignen oder als solche zum Einsatz kommen sollen.
Hinweis: Technische Ausgestaltung - Kryptowerte basieren technisch in der Regel auf der Distributed Ledger-Technology (DLT) oder der Blockchain-Technologie. Beide nutzen üblicherweise eine Form der asymmetrischen Verschlüsselung, um unbefugte Eingriffe in das System zu verhindern. Diese Verschlüsselungsmethode basiert auf der Verwendung von Schlüsselpaaren, bestehend aus je einem öffentlichen und einem privaten kryptografischen Schlüssel in Form alphanumerischer Zeichenfolgen. Der öffentliche Schlüssel dient als Kontoadresse eines Nutzers im System, da er regelmäßig öffentlich einsehbar ist und die an einer Transaktion beteiligten Empfänger- und Absender-Kontoadressen in einem System identifiziert. Ihm können die vom jeweiligen System unterstützten Kryptowerte zugeordnet werden. Der zu einem öffentlichen Schlüssel passende private Schlüssel ist regelmäßig nur dem Berechtigten bekannt und ist erforderlich, um die der Kontoadresse zugeordneten Kryptowerte zu transferieren. Nur mit Hilfe dieses privaten Schlüssels können Kryptowerte von einem Nutzer an einen anderen Nutzer übertragen werden. Wegen dieser umfassenden Verfügungsgewalt über die Kryptowerte greift der Tatbestand des Kryptoverwahrgeschäftes bereits bei Bestehen einer Zugriffsmöglichkeit auf die privaten Schlüssel. (BaFin - 02.03.2020 - Merkblatt: Hinweise zum Tatbestand des Kryptoverwahrgeschäfts).
Verwahren, verwalten, sichern
Das Kryptoverwahrgeschäft kann alternativ oder kumulativ durch das Verwahren, das Verwalten und das Sichern von Kryptowerten oder privaten kryptografischen Schlüsseln, die dazu dienen, Kryptowerte zu halten, zu speichern oder zu übertragen, betrieben werden.
Verwahren bedeutet die Inobhutnahme. Als Beispiel nennt die BaFin Dienstleister, die Kryptowerte ihrer Kunden in einem Sammelbestand aufbewahren, ohne dass die Kunden selbst Kenntnis von den dabei verwendeten kryptografischen Schlüsseln haben.
Verwalten ist die laufende Wahrnehmung der Rechte aus dem Kryptowert.
Sichern ist sowohl die digitale Speicherung der privaten kryptografischen Schlüssel, als auch die Aufbewahrung physischer Datenträger (z. B. ein USB-Stick oder ein Blatt Papier), auf denen solche Schlüssel gespeichert sind. Entscheidend ist die durch die Obhut über den privaten kryptografischen Schlüssel gegebene Zugriffsmöglichkeit auf die öffentlichen Adressen, unter denen die Kryptowerte dezentral gespeichert werden.
Daher ist nicht tatbestandsmäßig die bloße Herstellung oder der Vertrieb von Hard- oder Software zur Sicherung der Kryptowerte oder der privaten kryptografischen Schlüssel, die von den Nutzern eigenverantwortlich betrieben wird, soweit der Anbieter keinen bestimmungsgemäßen Zugriff auf die damit vom Nutzer verwahrten Kryptowerte oder privaten kryptografischen Schlüssel hat. Ebenso ist nicht tatbestandsmäßig die bloße Zurverfügungstellung von Speicherplatz, z. B. durch Webhosting- oder Cloudspeicher-Anbieter, solange diese ihre Dienste nicht ausdrücklich für die Speicherung der privaten kryptografischen Schlüssel anbieten.
Für andere
Das Kryptoverwahrgeschäft bedingt, wie andere Finanzdienstleistungen auch, eine Drittgerichtetheit. Das Verwahren, Verwalten oder Sichern ist daher nur dann tatbestandsmäßig, wenn es für andere erfolgt.
Das ist der Fall, wenn es für eine Person oder Personenmehrheit, einschließlich Fälle der offenen Stellvertretung, erfolgt. Nicht für andere erfolgt somit das Kryptoverwahrgeschäft hinsichtlich eigener Kryptowerte durch den Inhaber selbst, durch von ihm abhängig Beschäftigte oder im Rahmen der Arbeitsteilung durch andere Gesellschafter im Rahmen eines echten personengesellschaftlichen Verbundes. Grundsätzlich kann auch die unentgeltliche Verwaltung von Kryptowerten für Mitglieder des engsten Familienverbundes aus dem Tatbestand ausscheiden.
Abgrenzungen: Depotgeschäft, eingeschränktes Verwahrgeschäft, Zentralverwahrung
Der neue Tatbestand des Kryptoverwahrgeschäfts ist nachrangig gegenüber einigen bereits geregelten Bankgeschäften oder Finanzdienstleistungen, die ebenfalls eine Verwahrung und/oder Verwaltung zum Gegenstand haben.
So findet der speziellere Tatbestand des eingeschränkten Verwahrgeschäfts Anwendung, wenn der Kryptowert z.B. Schuldtitel im Sinne des Kreditwesengesetzes und zugleich Wertpapier im Sinne des Wertpapierprospektrechts ist und er ausschließlich für alternative Investmentfonds im Sinne des Kapitalanlagegesetzbuches verwahrt oder verwaltet wird.
Der Tatbestand des Depotgeschäfts geht vor, wenn der Kryptowert als Wertpapier im Sinne des Depotgesetzes qualifiziert. Zutreffend stellt die BaFin in ihrem Merkblatt klar, dass zur Anlage dienende Token, sog. Security Token oder Investment Token, die ggf. auch als Schuldtitel, Vermögensanlage oder Investmentvermögen im Sinne des KWG einzustufen sein können, nach derzeitiger Rechtslage keine Wertpapiere im Sinne des Depotgesetzes sind. Ihre Verwahrung und Verwaltung fällt daher nicht unter den Tatbestand des Depotgeschäfts (Verwahrung und Verwaltung von Wertpapieren für andere).
Fallen Kryptowerte dagegen unter den Begriff des Finanzinstruments der Zentralverwahrerverordnung und wird ein Wertpapierliefer- und -abrechnungssystem nach dieser Verordnung betrieben und wenigstens eine weitere Kerndienstleistung nach Abschnitt A des Anhangs der Verordnung erbracht, ist die Verwahrung der Kryptowerte ein Bankgeschäft in Form der Zentralverwahrung.
Erlaubnispflicht des Kryptoverwahrgeschäfts - Hinweise vom 1.4.2020
Dienstleister, die zukünftig das Kryptoverwahrgeschäft anbieten wollen, bedürfen der Erlaubnis nach § 32 Abs. 1 KWG.
Hinsichtlich der im Rahmen des Erlaubnisverfahrens zu beachtenden Bestimmungen verweist die BaFin zur Orientierung auf die einzuhaltenden Vorgaben bei den bereits etablierten Erlaubnisverfahren für Finanzdienstleistungen, namentlich u. a. auf das Merkblatt der Deutschen Bundesbank über die Erteilung einer Erlaubnis zum Erbringen von Finanzdienstleistungen, die Anzeigenverordnung, die Inhaberkontrollverordnung und das entsprechende Merkblatt der BaFin hierzu, die MaRisk, die BAIT sowie das Merkblatt zu den Geschäftsleitern bei KWG, ZAG und KAGB.
Von Bedeutung sind die neuen Hinweise der BaFin zum Erlaubnisantrag für das Kryptoverwahrgeschäft insbesondere deshalb, weil die BaFin darin ihre aufsichtliche Erwartungshaltung für das gesetzeskonforme Erbringen des Kryptoverwahrgeschäfts festhält. Angesichts des technischen Schwerpunkts des Kryptoverwahrgeschäfts wundert es nicht, dass die BaFin hierbei den Anforderungen an die IT und der IT-Kompetenz in der Geschäftsleitung besondere Bedeutung beimisst.
So muss der Kryptoverwahrer insbesondere die Vorgaben der MaRisk (Mindestanforderungen für das Risikomanagement) und der BAIT (Bankaufsichtsrechtliche Anforderungen an die IT) umsetzen und im Erlaubnisantrag insbesondere Angaben zur Ausgestaltung der IT-Systeme und der implementierten IT-Prozesse machen. Ein Fokus sollte dabei auf der Erläuterung der implementierten Maßnahmen für die Sicherheit der kryptographischen Schlüssel liegen. Bei der Geschäftsführung wird die BaFin technische Expertise umfassend als fachliche Eignung in den betreffenden Geschäften würdigen. Grundsätzlich wird, wenn sich das Kryptoverwahrgeschäft auf Kryptowerte beschränkt, ein Geschäftsleiter genügen. Anderes kann gelten, wenn der Kryptowert auch eine andere Kategorie der Finanzinstrumente erfüllt oder weitere Geschäfte vom Kryptoverwahrer erbracht werden. In jedem Fall muss in der Geschäftsleitung aber die vorgenannte IT-Expertise vorhanden sein. Auch behält sich die BaFin die Einzelfallbetrachtung vor. Explizit weist die BaFin darauf hin, dass der Geschäftsleiter seiner Tätigkeit ausreichend Zeit widmen muss; eine Forderung, auf die die BaFin generell in ihrer jüngeren Aufsichtspraxis zunehmend Gewicht legt.
Hinweis: Kein EU-Pass - Die für Institute aus dem Europäischen Wirtschaftraum bei anderen Finanzdienstleistungen oder bei Bankgeschäften bestehende Möglichkeit zur grenzüberschreitenden Tätigkeit auf der Grundlage eines Notifizierungsverfahrens („Europäischer Pass“) gibt es bei der neuen Finanzdienstleistung des Kryptoverwahrgeschäfts nicht, da der Tatbestand aus der nationalen Umsetzung der Änderungsrichtlinie resultiert, die innerhalb der EU nicht einheitlich vorgegeben wurde.
Übergangsvorschrift § 64y KWG - Hinweise vom 17.1.2020
Für Unternehmen, die bereits vor dem 1.1.2020 Kryptowerte verwahrt haben, enthält § 64y KWG besondere Übergangsvorschriften, die die BaFin in ihren Hinweisen erläutert. Bis zum 31.3.2020 konnten Unternehmen der BaFin die Absicht mitteilen, das Kryptoverwahrgeschäft weiter betreiben zu wollen, um dadurch in den Genuss einer verlängerten Übergangsfrist bis zum 30.11.2020 zu kommen, innerhalb derer sie Zeit haben, den Antrag auf Erlaubnis des Kryptoverwahrgeschäfts zu stellen. Da die Anzeigefrist mittlerweile abgelaufen ist, müssen Unternehmen, wenn sie das Kryptoverwahrgeschäft betreiben wollen, nunmehr zunächst die Erlaubnis hierzu einholen, auch wenn sie bisher schon dieses Geschäft betrieben, aber keine Anzeige gemacht haben.
Die von der Übergangsvorschrift begünstigten Unternehmen können zwar bis zur tatsächlichen Erlangung der Lizenz für das Kryptoverwahrgeschäft das Kryptoverwahrgeschäft weiterhin betreiben. Dies tun sie aber aufgrund der für sie geltenden Erlaubnisfiktion als Finanzdienstleistungsinstitute. Die BaFin erwartet daher, dass diese Unternehmen bereits seit dem 1.1.2020 entsprechende Anstrengungen unternehmen, um die gesetzlichen Anforderungen zügig zu erfüllen, damit sie in der Lage sind, den Stand ihrer Entwicklung und die rechtzeitige Umsetzung der erforderlichen Maßnahmen zu erklären.
Hinweis: Geldwäscherechtliche Anforderungen - Als Finanzdienstleistungsinstitut ist der Kryptoverwahrer zugleich Verpflichteter im Sinne des Geldwäschegesetzes (GwG). Damit ist er verpflichtet, über ein wirksames Risikomanagement zur Verhinderung von Geldwäsche und von Terrorismusfinanzierung zu verfügen. Dies gilt auch für die auch nach dem 1.1.2020 qua Erlaubnisfiktion (weiterhin) tätigen Kryptoverwahrer. Für sie gilt die bevorzugte Übergangsfrist des KWG nicht im Rahmen des GwG, so dass von ihnen erwartet wird, dass sie zeitnah den Anforderungen des GwG nachkommen. Zu den geldwäscherechtlichen Pflichten von Kryptoverwahrern wird die BaFin nach eigener Ankündigung noch ein gesondertes Hinweisblatt veröffentlichen.