MiCA entschlüsselt: Ein Vergleich zwischen MiCA (EU), VARA (Dubai) und MAS (Singapur)

„MiCA Decoded“ ist eine wöchentliche Serie mit 12 Artikeln für Bitcoin.com News, die gemeinsam von den Mitbegründern und Geschäftsführern von LegalBison verfasst wird: Aaron Glauberman, Viktor Juskin und Sabir Alijev. LegalBison berät Krypto- und FinTech-Unternehmen zu MiCA-Lizenzen, CASP- und VASP-Anträgen sowie zur regulatorischen Strukturierung in ganz Europa und darüber hinaus.

Der Mythos: Alle großen Krypto-Regulierungsrahmen konvergieren auf dasselbe Modell

Wenn Gründer verschiedene Rechtsordnungen vergleichen, verläuft das Gespräch in der Regel auf eine von zwei Arten. Entweder betrachten sie die Regulierungssysteme als weitgehend gleichwertig, die sich nur in Bezug auf Kosten und Zeitrahmen unterscheiden, oder sie betrachten sie als völlig unvergleichbar, da jedes so einzigartig ist, dass ein Vergleich sinnlos ist. Keine dieser Positionen ist zutreffend.

Die Verordnung über Märkte für Krypto-Vermögenswerte (MiCA), das Rahmenwerk der Virtual Assets Regulatory Authority (VARA) in Dubai und das Lizenzierungssystem Singapurs gemäß dem Financial Services and Markets Act 2022 (FSM Act) und dem Payment Services Act 2019 (PS Act) weisen von außen betrachtet Ähnlichkeiten auf. Alle drei erfordern eine Lizenzierung. Alle drei schreiben Eignungsprüfungen, Kapitalanforderungen und Kontrollen zur Bekämpfung der Geldwäsche vor. Alle drei behaupten, ein Gleichgewicht zwischen Innovation und Verbraucherschutz herzustellen.

Doch jenseits der Ähnlichkeiten spiegelt jedes System eine spezifische Regulierungsphilosophie wider, eine spezifische Theorie darüber, wer das Kryptorisiko trägt und warum, sowie eine spezifische Antwort auf die Frage, was ein lizenziertes Krypto-Unternehmen eigentlich ist. Diese Unterschiede sind keine verfahrenstechnischen Details. Sie bestimmen, ob ein bestimmtes Geschäftsmodell überhaupt lizenzierbar ist, wie viel Substanz ein Unternehmen aufweisen muss und wozu sich ein Gründer bei der Antragstellung verpflichtet.

Was die Verordnung tatsächlich besagt: Geltungsbereich und Dienstleistungen

Die drei Regelwerke gehen von unterschiedlichen Definitionen regulierter Tätigkeiten aus, und diese definitorischen Entscheidungen haben erhebliche Konsequenzen. MiCA definiert zehn Kategorien von Krypto-Asset-Dienstleistungen, die vom Betrieb von Verwahrungs- und Handelsplattformen bis hin zu Portfoliomanagement und Anlageberatung zu Krypto-Assets reichen. Der Rahmen schafft eine einzige Zulassung, eine Lizenz als Krypto-Asset-Dienstleister (CASP), die den jeweiligen Teilbereich dieser zehn Dienstleistungen abdeckt, den der Antragsteller erbringen möchte. Der Geltungsbereich ist EU-weit, was bedeutet, dass eine einzige CASP-Lizenz in allen 27 EU-Mitgliedstaaten und den 3 EWR-Ländern (Norwegen, Island, Liechtenstein) gilt, ohne dass in jedem einzelnen Land ein gesonderter Antrag gestellt werden muss. VARA gliedert regulierte Tätigkeiten in verschiedene Kategorien, darunter Broker-Dealer-Dienstleistungen, Verwahrungsdienstleistungen, Börsendienstleistungen, Kredit- und Darlehensdienstleistungen sowie Beratungsdienstleistungen. Jede Kategorie unterliegt eigenen regulatorischen Anforderungen und einer eigenen Mindestkapitalanforderung. Ein Unternehmen, das eine VARA-Lizenz für Börsendienstleistungen besitzt, unterliegt anderen laufenden Verpflichtungen als eines, das nur für Beratungsdienstleistungen lizenziert ist. Singapur arbeitet je nach Art der Tätigkeit mit zwei gesetzlichen Rahmenwerken. Kryptobörsen und Verwahrungsdienstleister, die mit digitalen Zahlungstoken handeln, unterliegen dem PS Act als Major Payment Institutions (MPI). Unternehmen, die digitale Token-Dienstleistungen außerhalb Singapurs erbringen – was dem definierten Geltungsbereich des FSM Act entspricht –, werden gemäß Teil 9 des FSM Act als Digital Token Service Providers (DTSPs) reguliert. Der FSM Act umfasst in seinem ersten Anhang zehn verschiedene Dienstleistungsarten, darunter den Handel mit digitalen Token, die Erleichterung des Austauschs digitaler Token und die Verwahrung digitaler Token mit Kontrolle über Kundenvermögen.

Die praktischen Konsequenzen dieser unterschiedlichen Ansätze zur Abgrenzung des Geltungsbereichs werden sichtbar, wenn ein Gründer versucht, sein Geschäftsmodell auf die regulatorische Architektur abzustimmen. Dies ist besonders herausfordernd für Plattformen in Grenzfällen wie Prognosemärkte, die an der Schnittstelle zwischen Web3 und spekulativem Glücksspiel liegen, wo Gründer sorgfältig prüfen müssen, ob sie eine Krypto-Zulassung oder eine eigenständige Glücksspiellizenz benötigen. Wie wir in einem früheren Beitrag gesehen haben, könnte ein DeFi-Protokoll unter MiCA sehr wohl verboten werden. Unter VARA muss dasselbe Protokoll prüfen, ob eine identifizierbare Einheit Kontrolle über die Plattform ausübt, was VARA anhand eines „Substance-over-Form“-Ansatzes bewertet. Im Rahmenwerk Singapurs konzentriert sich der FSM Act auf die Erbringung von Dienstleistungen durch oder von mit Singapur verbundenen Einheiten, was bedeutet, dass Offshore-Protokollbetreiber, die außerhalb Singapurs strukturiert sind, vollständig außerhalb des Lizenzbereichs fallen können – jedoch nur, wenn sie die vorgeschriebenen Anknüpfungspunkte tatsächlich vermeiden.

Warum die Verwirrung besteht: Passporting, geografische Reichweite und regulatorische Absicht

Der folgenreichste strukturelle Unterschied zwischen den drei Rahmenwerken ist das Passporting. MiCA sieht es vor. VARA und Singapur tun dies nicht. Ein in Estland zugelassener CASP kann die zuständige Behörde seines Heimatmitgliedstaats benachrichtigen und ohne zusätzliche Lizenzierung damit beginnen, Dienstleistungen für Kunden in der gesamten EU und im EWR anzubieten. Die Zulassung gilt für das gesamte Unternehmen. Dieses europaweite Passporting ist ein wichtiger Katalysator für komplexe Web3-Modelle wie Online-Spiele, die Krypto-Assets nutzen und häufig versuchen, ihre Krypto-Architektur beispielsweise durch eine Online-Glücksspiellizenz in Estland zu ergänzen. Für ein Unternehmen, das EU-Privatkunden in mehreren Ländern anspricht, ist dies keine bloße Annehmlichkeit, sondern das zentrale wirtschaftliche Argument für eine MiCA-Zulassung. Eine einzige Compliance-Infrastruktur bedient 450 Millionen potenzielle Kunden.

Die VARA-Lizenzierung ist spezifisch für Dubai. Sie regelt Aktivitäten mit virtuellen Vermögenswerten, die im Emirat Dubai durchgeführt werden oder auf dieses abzielen, wie im Gesetz Nr. 4 von 2022 von Dubai festgelegt. Eine VARA-lizenzierte Börse, die Kunden im gesamten Golf-Kooperationsrat (GCC) oder international bedient, tut dies auf der Grundlage der Rahmenbedingungen anderer Rechtsordnungen oder auf der Grundlage, dass sie in diesen Märkten keine lokalen Lizenzanforderungen auslöst. Die VARA-Lizenz selbst bietet keinen grenzüberschreitenden Pass-Mechanismus.

Die DTSP-Lizenz nach dem FSM-Gesetz von Singapur gilt für Unternehmen, die von Singapur aus operieren oder in Singapur eingetragen sind, aber digitale Token-Dienstleistungen außerhalb Singapurs erbringen. Dies ist der beabsichtigte Anwendungsbereich. Singapur erhebt nicht den Anspruch, Offshore-Aktivitäten ausländischer Unternehmen auf Privatkundenebene durch das FSM-Gesetz zu regulieren, obwohl die MAS Beschränkungen auferlegt, was lizenzierte und nicht lizenzierte DTSPs in Bezug auf Einwohner Singapurs tun dürfen.

Diese Unterschiede spiegeln tatsächlich unterschiedliche Regulierungstheorien wider. Das Pass-Konzept von MiCA spiegelt die Logik des EU-Binnenmarkts wider, in der eine Fragmentierung des Zugangs zu Finanzdienstleistungen als Regulierungsversagen angesehen wird. Der Dubai-spezifische Anwendungsbereich von VARA spiegelt eine Strategie zum Aufbau einer Rechtsordnung wider, deren Ziel es ist, Dubai zu einem Hub zu machen, und nicht, globale Kryptoaktivitäten zu regulieren. Der Rahmen des FSM-Gesetzes von Singapur spiegelt einen Ansatz zum Reputationsrisikomanagement wider, bei dem die MAS ausdrücklich klargestellt hat, dass Lizenzen nur unter äußerst begrenzten Umständen erteilt werden und dass das System darauf ausgelegt ist, qualitativ hochwertige Akteure zu binden, anstatt einen breiten Markteintritt zu ermöglichen.

Kapitalanforderungen: Drei verschiedene Antworten auf dieselbe Frage

Alle drei Regelungen sehen Kapitalanforderungen vor. Die Zahlen und die ihnen zugrunde liegende Logik sind jedoch nicht identisch. Nach MiCA reicht das Mindestkapital für einen CASP von 50.000 EUR (Klasse 1) über 125.000 EUR (Klasse 2) bis hin zu 150.000 EUR (Klasse 3). Das MiCA-Regime sieht zudem eine Anforderung an die laufenden Fixkosten vor, was bedeutet, dass ein Unternehmen entweder das festgelegte Mindestkapital oder ein Viertel seiner Fixkosten des Vorjahres vorhalten muss, je nachdem, welcher Betrag höher ist. Ein CASP mit jährlichen Betriebskosten von 10 Millionen Euro muss eine effektive Kapitaluntergrenze von 2,5 Millionen Euro einhalten, unabhängig davon, welche Dienstleistungsklasse gilt.

Die VARA wendet ein Modell für eingezahltes Kapital an, das aktivitätsspezifisch ist und höhere absolute Mindestbeträge vorsieht. Für Beratungsdienstleistungen sind 100.000 AED erforderlich. Anbieter von Verwahrungsdienstleistungen benötigen ein Grundkapital in Höhe des höheren Betrags von 600.000 AED oder 25 % der festen jährlichen Gemeinkosten. Bei Broker-Dealer-Dienstleistungen hängt die Kapitalanforderung von den jeweiligen Verwahrungsvereinbarungen ab: Wer eine von der VARA lizenzierte Verwahrstelle nutzt, benötigt den höheren Wert aus 400.000 AED oder 15 % der festen jährlichen Gemeinkosten, während diejenigen, die keine von der VARA lizenzierte Verwahrstelle nutzen, den höheren Wert aus 600.000 AED oder 25 % der festen jährlichen Gemeinkosten benötigen.

Ebenso beträgt die Kapitalanforderung für Börsendienstleistungen, die kapitalintensivste Kategorie, 800.000 AED oder 15 % der festen jährlichen Gemeinkosten, je nachdem, welcher Wert höher ist, wenn der VASP eine von der VARA lizenzierte Verwahrstelle nutzt, und 1.500.000 AED oder 25 % der festen jährlichen Gemeinkosten, je nachdem, welcher Wert höher ist, in allen anderen Fällen.Die VARA schreibt zudem eine separate Anforderung an die Netto-Liquidität vor, wonach VASPs liquide Mittel in der Höhe halten müssen, dass deren Überschuss über die kurzfristigen Verbindlichkeiten mindestens dem 1,2-fachen ihrer monatlichen Betriebskosten entspricht, täglich abgestimmt und monatlich an die VARA gemeldet wird, mit vierteljährlicher Aggregation. Die VARA verlangt außerdem eine Berufshaftpflichtversicherung, eine Versicherung für Geschäftsführer und leitende Angestellte sowie eine Versicherung gegen Wirtschaftskriminalität für in Hot Wallets gespeicherte Vermögenswerte.

Das DTSP-Rahmenwerk des FSM-Gesetzes von Singapur legt eine Mindestkapitalanforderung von 250.000 SGD fest, die einheitlich für Kapitalgesellschaften, Personengesellschaften und Einzelunternehmer gilt, wobei in den MAS-Richtlinien die Erwartung zum Ausdruck kommt, dass die Kapitalreserve realistisch gesehen die Betriebskosten von sechs bis zwölf Monaten abdecken sollte. Die MAS hat ausdrücklich klargestellt, dass DTSPs nicht denselben aufsichtsrechtlichen Vorschriften unterliegen wie Einlageninstitute und über keine Sicherheitsnetze wie eine Einlagensicherung verfügen. Die Untergrenze von 250.000 SGD ist eine Markteintrittsschwelle und kein risikogerechter aufsichtsrechtlicher Puffer im Sinne des MiCA oder des VARA. Der praktische Unterschied liegt nicht nur in den Zahlen. Die Anforderungen des VARA an die Netto-Liquiditätsbestände und die Versicherungspflicht schaffen eine vielschichtige Verpflichtung zur finanziellen Solidität, die im MiCA und im FSM-Gesetz anders oder weniger präskriptiv behandelt wird. Ein Unternehmen, das sein VARA-Compliance-Risiko berechnet, muss gleichzeitig das eingezahlte Kapital, die Netto-Liquiditätsaktiva und die Angemessenheit der Versicherung prüfen und alle drei in bestimmten Abständen abgleichen, wobei VARA als benannter Begünstigter des Kapitaltreuhandkontos oder der Bürgschaftsversicherung gilt.

Philosophie des Verbraucherschutzes: Risikoaufklärung, Eignungsprüfung und Zugangsbeschränkungen

Was den Verbraucherschutz betrifft, haben MiCA, VARA und Singapur unterschiedliche Auffassungen darüber, was Regulierungsbehörden tatsächlich verhindern sollten. MiCA behandelt Krypto-Asset-Dienstleister als Finanzdienstleister, die Verhaltenspflichten, Eignungsprüfungen für die Portfolioverwaltung und -beratung, Anforderungen an die bestmögliche Ausführung sowie laufende Offenlegungspflichten unterliegen. Für Privatanleger schreibt die Verordnung aussagekräftige Risikoaufklärungen in Whitepapers und Marketingmitteilungen vor, doch die konkreten Mechanismen zum Schutz der Inhaber hängen von der Art des Tokens ab. Für Privatanleger, die andere Krypto-Assets als Asset-Referenced Tokens (ARTs) und E-Money-Tokens (EMTs) direkt von einem Anbieter erwerben, schreibt MiCA ein 14-tägiges Widerrufsrecht vor. Dieses Widerrufsrecht gilt jedoch nicht für ARTs und EMTs; stattdessen sind Inhaber dieser Token durch ein dauerhaftes Rückkaufsrecht gegenüber dem Emittenten geschützt, das jederzeit geltend gemacht werden kann.

MiCA schränkt jedoch den Zugang zum Kryptohandel für Privatanleger nicht ein. Es geht davon aus, dass eine informierte Beteiligung von Privatanlegern legitim ist, und gestaltet seine Verhaltensregeln entsprechend. Das Marktverhaltensreglement der VARA schreibt Kundenvereinbarungen, die Bearbeitung von Beschwerden und die Einstufung von Anlegern vor. Die VARA stuft Anleger in drei Kategorien ein: Privatanleger, qualifizierte Anleger und institutionelle Anleger, wobei sich die Dienstleistungsparameter je nach Einstufung anpassen. Die von der VARA im Jahr 2024 erlassenen Marketingvorschriften gehören zu den detailliertesten aller Krypto-Rechtsordnungen und bieten spezifische Leitlinien sowie anschauliche Fallstudien dazu, was als verbotenes Marketing gilt, einschließlich einer umfassenden Behandlung von Social-Media-Beiträgen, Influencer-Vereinbarungen und Bildungsinhalten, die in Werbung übergehen könnten.

Singapurs Ansatz ist der restriktivste der drei Länder in Bezug auf die Beteiligung von Privatanlegern. Die MAS warnt die Öffentlichkeit seit 2017 konsequent vor Spekulationen mit Kryptowährungen und hat die Werbung für DPT-Dienstleistungen im öffentlichen Raum eingeschränkt. Das Konsultationspapier von 2022 zu vorgeschlagenen Maßnahmen für Digital Payment Token Services enthielt erste Vorschläge, wonach DPTSPs vor der Erbringung von DPT-Dienstleistungen das Wissen von Privatkunden prüfen, Zugangsbeschränkungen für Verbraucher anwenden und Anreize für den Privatkundenhandel vermeiden müssen.

Die MAS vertritt den Standpunkt, dass die Regulierung bei Privatkunden nicht den Eindruck erwecken darf und sollte, dass lizenzierte Plattformen sichere Anlageorte sind. Die DTSP-Lizenzierungsrichtlinien beschreiben die Zulassung als nur unter äußerst begrenzten Umständen stattfindend, was unterstreicht, dass das singapurische Rahmenwerk nicht auf einen breiten Marktzugang für Privatkunden durch lizenzierte Anbieter ausgelegt ist.

Operative Substanz: Wie das Leben innerhalb des Regimes aussieht

Der laufende Compliance-Aufwand ist in allen drei Regimen erheblich. Der Charakter dieses Aufwands unterscheidet sich jedoch. MiCA schreibt Governance-Anforderungen, Verpflichtungen zur Geschäftskontinuität im Einklang mit dem Digital Operational Resilience Act (DORA), AML/CTF-Rahmenwerke im Einklang mit EU-Richtlinien, laufende Berichterstattung sowie eine obligatorische Eignungsprüfung für das Management und qualifizierte Anteilseigner vor. Das Regime verlangt einen Ort der effektiven Geschäftsführung in der EU und mindestens einen in der EU ansässigen Geschäftsführer. Die Zulassung ist dienstleistungsspezifisch, d. h., jede CASP-Lizenz legt fest, welche der zehn Dienstleistungskategorien der Inhaber erbringen darf.

VARA arbeitet mit einem Regelwerkssystem, bei dem mehrere Regelwerke gleichzeitig für alle VASPs gelten: das Unternehmensregelwerk, das Regelwerk für Compliance und Risikomanagement, das Regelwerk für Technologie und Information sowie das Regelwerk für Marktverhalten, neben dem spezifischen Regelwerk für jede lizenzierte VA-Aktivität. Das Regelwerk für Technologie und Information schreibt einen Chief Information Security Officer, eine bei VARA eingereichte Cybersicherheitsrichtlinie sowie ein Rahmenwerk für Technologie-Governance und Risikobewertung vor, das fünf definierte Risikokategorien abdeckt. VARA verlangt eine juristische Person in Dubai, eine klare Eigentümerstruktur mit identifizierbaren wirtschaftlichen Eigentümern sowie eine schriftliche Genehmigung für jede wesentliche Änderung der Unternehmensstruktur. Das Rahmenwerk des FSM-Gesetzes von Singapur verlangt einen ständigen Geschäftssitz oder eingetragenen Sitz in Singapur mit einem Vertreter, der mindestens zehn Tage pro Monat für mindestens acht Stunden pro Tag anwesend ist. Die DTSP-Lizenzierungsrichtlinien verlangen vor Erteilung der Lizenz einen Penetrationstest der geplanten Dienstleistungen, eine Bewertung der Technologie und Cybersicherheit durch einen unabhängigen externen Prüfer als Voraussetzung für die grundsätzliche Genehmigung sowie Compliance-Maßnahmen, die dem Umfang und der Art des Geschäfts angemessen sind. Die MAS führt im Rahmen der Prüfung standardmäßig Gespräche mit dem leitenden Managementpersonal durch, wobei Berater und externe Rechtsberater ausdrücklich nicht an diesen Gesprächen teilnehmen dürfen.

Jede dieser materiellen Anforderungen hat Konsequenzen für ein Unternehmen, das zuvor noch nie in diesem regulatorischen Umfeld tätig war. Die Anforderung der VARA, dass das eingezahlte Kapital gesichert sein muss – sei es auf einem Treuhandkonto bei einer Bank in den VAE, auf dem die VARA als Begünstigte genannt ist, oder durch eine Bürgschaft einer zugelassenen Bürgschaftsgesellschaft in den VAE – ist eine strukturelle Voraussetzung, die vor der Genehmigung erfüllt sein muss. Singapurs Interviewanforderung bedeutet, dass der CEO und der Compliance-Beauftragte in der Lage sein müssen, das Geschäftsmodell, die Risikokontrollen und den Compliance-Ansatz ohne Unterstützung durch Berater zu erläutern. Dies sind keine abstrakten Hindernisse, sondern operative Bedingungen.

Was wir entschlüsselt haben: Auswirkungen auf die Strategie zur Wahl der Gerichtsbarkeit

Die drei Rahmenwerke stehen in keinem einfachen Sinne miteinander im Wettbewerb. Ein Unternehmen, das zwischen ihnen wählt, trifft in der Regel eine Entscheidung darüber, welchen Markt es tatsächlich bedienen möchte und welche Art von regulatorischer Beziehung es bereit ist, zu pflegen.

• MiCA ist das einzige der drei Rahmenwerke, das durch eine einzige Zulassung direkten Zugang zu einem einheitlichen Privatkundenmarkt von kontinentalem Ausmaß bietet. Für jeden Krypto-Asset-Dienstleister, dessen Hauptgeschäft Privatkunden in der EU umfasst, ist MiCA keine Option, sondern das Rahmenwerk, das darüber entscheidet, ob dieses Unternehmen überhaupt legal in der EU tätig sein darf. Die Übergangsfrist endet am 1. Juli 2026.
• VARA ist eine Dubai-spezifische Lizenz, die sich an Unternehmen richtet, deren Geschäftsstrategie auf den Märkten der VAE und der MENA-Region verankert ist oder deren Markenimage von einer lizenzierten Präsenz in Dubai profitiert. Die Kapitalanforderungen sind in absoluten Zahlen höher als bei MiCA, die Marketingvorschriften gehören zu den detailliertesten weltweit, und die Compliance-Architektur mit mehreren Büchern ist umfangreich. Eine VARA-Lizenz gilt nicht in anderen Rechtsordnungen, aber für Unternehmen, die auf die Golfregion abzielen oder speziell in Dubai eine konforme Börse betreiben wollen, gibt es keine gleichwertige Alternative.
• Die DTSP-Lizenz in Singapur ist von den dreien am schwierigsten zu erhalten und richtet sich ausdrücklich an eine eng gefasste Gruppe von Antragstellern: Unternehmen, die eine Verbindung zu Singapur haben, aber digitale Token-Dienstleistungen außerhalb Singapurs erbringen, und die nachweisen können, dass sie bereits anderswo nach internationalen Standards reguliert sind, dass ihr Geschäftsmodell wirtschaftlich sinnvoll ist und dass die MAS keine Bedenken hinsichtlich ihrer Struktur hat. Der Erhalt dieser Lizenz ist kein einfacher Weg für den Markteintritt. Er gleicht eher einer behördlichen Bestätigung, die nur einer kleinen Anzahl von Betreibern gewährt wird, die hohe Anforderungen erfüllen.

Die Regelungen sind funktional nicht austauschbar und wurden auch nicht dafür konzipiert. Ein Unternehmen, das sich bei allen drei gleichzeitig bewirbt, weil es eine globale Abdeckung anstrebt, geht drei unterschiedliche Verpflichtungen gegenüber drei verschiedenen Regulierungsbehörden ein, die jeweils unterschiedliche Vorstellungen davon haben, wie ein lizenziertes Krypto-Unternehmen aussehen sollte. Um diese Koordination richtig zu gestalten, bedarf es mehr als nur eines parallelen Antragsverfahrens. Es erfordert ein Verständnis dafür, was jede Regulierungsbehörde tatsächlich erreichen will und ob sich das Unternehmen glaubhaft dazu verpflichten kann.

Dieser Artikel basiert auf einer Studie, die von LegalBison im Mai 2026 durchgeführt wurde. Der Inhalt dient ausschließlich zu Informationszwecken und stellt keine Rechtsberatung dar.