Ein Organigramm mit den richtigen Stellenbezeichnungen reicht nicht aus, um eine Lizenz zu erhalten. Was die Aufsichtsbehörde erwartet, ist eine Compliance-Architektur: dokumentierte Unabhängigkeit, kollektives Fachwissen in drei unterschiedlichen Wissensbereichen und echte institutionelle Substanz. So funktioniert dieser Standard in der Praxis.
MiCA entschlüsselt: Warum die Aufsichtsbehörde Ihr Compliance-Team als ein einziges Gehirn betrachtet
GESCHRIEBEN VON
TEILEN
„MiCA Decoded“ ist eine wöchentliche Serie mit 12 Artikeln für Bitcoin.com News, verfasst von den Mitbegründern und Geschäftsführern von LegalBison: Aaron Glauberman, Viktor Juskin und Sabir Alijev. LegalBison berät Krypto- und FinTech-Unternehmen zu MiCA-Lizenzen, CASP- und VASP-Anträgen sowie zur regulatorischen Strukturierung in ganz Europa und darüber hinaus.
Der Mythos: Es reicht aus, einen Compliance-Beauftragten auszulagern
Wenn Gründer mit der Planung der Zulassung als Krypto-Asset-Dienstleister (CASP) beginnen, kommt das Gespräch fast immer an denselben Punkt: „Müssen wir also einen Compliance-Beauftragten einstellen?“ Manchmal folgt auf diese Frage eine weitere: „Und einen Geldwäschebeauftragten (MLRO)? Ist das alles?“
Die Antwort auf beide Fragen lautet „Ja“. Diese beiden Ernennungen als Endziel zu betrachten, ist jedoch die häufigste und folgenschwerste Fehlinterpretation dessen, was MiCA tatsächlich von einer Compliance-Funktion verlangt. Die Aufsichtsbehörden prüfen nicht, ob das Organigramm die richtigen Berufsbezeichnungen enthält. Sie beurteilen, ob das Leitungsgremium als Ganzes über die erforderliche Wissensarchitektur, die strukturelle Unabhängigkeit und die dokumentierte operative Tiefe verfügt, um ein reguliertes Finanzinstitut zu führen. Eine MiCA-Lizenz wird nicht an eine Person erteilt. Sie wird an eine Organisation erteilt. Diese Unterscheidung ist der Kerngrund dafür, warum so viele Anträge in der Anfangsphase ins Stocken geraten oder erhebliche Überarbeitungen erfordern, bevor eine nationale zuständige Behörde (NCA) die Zulassung erteilt.
Was „gemeinsam“ in der Verordnung tatsächlich bedeutet
Artikel 68 Absatz 1 der MiCA ist in diesem Punkt präzise. Die Mitglieder des Leitungsorgans müssen „sowohl einzeln als auch gemeinsam“ über die entsprechenden Kenntnisse, Fähigkeiten und Erfahrungen verfügen. Dieses eine Wort, „gemeinsam“, hat erhebliche regulatorische Bedeutung.
Die gemeinsamen Leitlinien von EBA und ESMA zur Eignung von Mitgliedern des Leitungsorgans und Anteilseignern für Unternehmen im Rahmen von MiCA verdeutlichen die Mechanismen dieses Standards, indem sie die spezifischen Bereiche der Berufserfahrung auflisten, über die das Leitungsorgan verfügen muss. Eira Järvi, Senior Lawyer bei LegalBison, hat die spezifischen Anforderungen in der folgenden Tabelle zusammengefasst.
| Anforderungskategorie | Detaillierte Beschreibung |
| Finanzmarktregulierung | Verständnis von Finanzinstrumenten und DLT-Finanzinstrumenten, einschließlich regulatorischer Anforderungen gemäß SIBA und anderen geltenden Rechtsvorschriften |
| AML/CTF-Compliance | Kenntnisse über AML/CTF-Anforderungen, einschließlich Strategien zur Risikoidentifizierung, -bewertung und -minderung |
| Virtuelle Vermögenswerte | Kenntnisse über Arten von virtuellen Vermögenswerten, einschließlich vermögensbezogener Token und E-Geld-Token, sowie über die mit diesen verbundenen Risiken |
| Datenschutz | Verständnis der für die Geschäftstätigkeit des Unternehmens relevanten Datenschutzverpflichtungen |
| Risikomanagement | Verständnis der Grundsätze und Verfahren des Risikomanagements, einschließlich Markt-, Kredit- und Liquiditätsrisiken |
| Governance und interne Kontrollen | Fähigkeit, die Wirksamkeit von Governance-Regelungen, Aufsichtsmechanismen und internen Kontrollen zu beurteilen |
| Digitale operative Widerstandsfähigkeit | Vertrautheit mit den Anforderungen an die operative Widerstandsfähigkeit |
| Strategisches und betriebswirtschaftliches Wissen | Erfahrung in strategischer Planung, Geschäftsentwicklung und Umsetzung von Geschäftszielen |
| Management von Drittanbietern | Verständnis von Outsourcing-Vereinbarungen, dem Management von Drittanbietern und den damit verbundenen regulatorischen Anforderungen |
| Kommunikation und Aufsicht | Fähigkeit, Standpunkte darzulegen, Strategien zu erörtern und gegebenenfalls Entscheidungen des Managements zu hinterfragen, um eine wirksame Aufsicht zu gewährleisten |
| Rechnungslegung und Wirtschaftsprüfung | Fähigkeit, Finanzinformationen zu interpretieren, wesentliche Sachverhalte zu erkennen und relevante Rechnungslegungs- und Prüfungsstandards zu verstehen |
| Rechtliche und regulatorische Kenntnisse | Vertrautheit mit den für VASPs geltenden rechtlichen Anforderungen, einschließlich der Ausgabe und Verwaltung von VAs |
Bei der Analyse der ESMA-Leitlinien wird deutlich, dass das Gesamtprofil des Leitungsorgans nachweislich drei Kernwissensbereiche abdecken muss, die alle von Eira aufgeführten Bereiche umfassen:
- Traditionelle Finanzmärkte: Regulierungsrahmen, Verpflichtungen zum Anlegerschutz, Marktverhaltensregeln und die für lizenzierte Finanzdienstleister geltenden Betriebsstandards.
- Infrastruktur der Digital Ledger Technology (DLT) und Cybersicherheit: Blockchain-Architektur, Risiken auf Protokollebene, Risiken durch Smart Contracts, Modellierung von Cybersicherheitsbedrohungen sowie die spezifischen operativen Schwachstellen, die sich aus der Bereitstellung von On-Chain-Diensten ergeben.
- Geschäftsstrategie und organisatorische Governance: Risikomanagementgestaltung, interne Kontrollarchitektur, Governance-Richtlinien sowie die Fähigkeit, die Wirksamkeit der Compliance des Unternehmens zu bewerten und regelmäßig zu überprüfen.
Die Aufsichtsbehörde erwartet nicht, dass eine einzelne Person alle drei Bereiche abdeckt. Die Erwartung, die durch die Anforderung der ESMA formalisiert wurde, dass Unternehmen eine Bewertung ihrer „kollektiven Eignung“ vorlegen müssen, ist, dass das Team in seiner Gesamtheit alle Bereiche ohne nennenswerte Lücken abdeckt.
Ein Führungsgremium, das ausschließlich aus Personen mit traditionellem Finanzhintergrund besteht und in dem niemand in der Lage ist, Risiken der DLT-Infrastruktur zu bewerten, ist bereits vor Einreichung des Antrags strukturell unvollständig. Das Gleiche gilt umgekehrt: Ein technisch versiertes, krypto-natives Team, in dem niemand die Verhaltensweisen regulierter Finanzmärkte versteht, wird derselben genauen Prüfung unterzogen.
Das Zeitproblem, über das niemand spricht
Es gibt eine zweite Ebene des Standards der kollektiven Eignung, die Antragsteller unvorbereitet trifft. Die richtigen Personen müssen in der Praxis vorhanden sein, nicht nur auf dem Papier. Jedes Mitglied des Leitungsorgans muss schriftlich seinen Mindestaufwand für das Unternehmen dokumentieren: konkret eine Schätzung der für die Rolle aufgewendeten Zeit (mit Angaben sowohl auf Jahres- als auch auf Monatsbasis) sowie eine formelle Erklärung über alle anderen derzeit innegehabten Führungs- und Nicht-Führungsmandate.
Der Entwurf der technischen Regulierungsstandards der ESMA zur Zulassung (aus dem ersten Konsultationspaket) ist diesbezüglich eindeutig. Die Bewertung umfasst, ob jede Person funktional präsent ist, nicht nur nominell aufgeführt. Ein nicht geschäftsführendes Mitglied mit vier weiteren Verwaltungsratsmandaten und einer Compliance-Beratungsbeziehung zu zwei weiteren Unternehmen wird einer direkten Prüfung unterzogen. Die nationale Aufsichtsbehörde muss davon überzeugt sein, dass das Leitungsgremium seine Aufgaben tatsächlich erfüllen kann, und nicht nur, dass die richtigen Namen im Antrag erscheinen.
Dies ist besonders wichtig für Krypto-Unternehmen in der Frühphase, die erfahrene Compliance-Experten in Teilzeit oder als Berater hinzuziehen, um einen Zulassungsantrag zu stärken. Die Aufsichtsbehörde wird genau prüfen, wie viele Stunden pro Monat diese Person aufwendet, und diese Zahl mit dem Umfang der Rolle und den Dienstleistungen vergleichen, die das Unternehmen erbringen will. Ein Missverhältnis zwischen Verantwortung und Zeitaufwand ist ein Warnsignal, keine Formsache.
Die internen Kontrollfunktionen: Struktur statt Titel
Das Verständnis der kollektiven Eignung auf der Ebene des Leitungsorgans ist nur ein Teil des Gesamtbildes. MiCA-Artikel 68(4) verlangt von CASPs die Einführung von Richtlinien und Verfahren, die „ausreichend wirksam sind, um die Einhaltung der Vorschriften zu gewährleisten“. Artikel 68(5) verlangt Personal mit angemessenen Kenntnissen auf jeder Ebene des Unternehmens. Artikel 68(6) verlangt vom Leitungsorgan, die Wirksamkeit dieser Vorkehrungen regelmäßig zu überprüfen und festgestellte Mängel zu beheben.
Der Entwurf der RTS der ESMA geht noch einen Schritt weiter. Er verlangt von den Unternehmen, spezifische interne Kontrollfunktionen zu identifizieren und für jede einzelne Folgendes zu dokumentieren:
- Die Berichtslinie verläuft direkt zum Leitungsgremium.
- Wie die Funktion unabhängig von dem von ihr beaufsichtigten Geschäftsbereich arbeitet.
- Wie die Funktion regelmäßig und in Notfällen (ad hoc) Zugang zum Leitungsorgan erhält, wenn ein erhebliches Compliance-Risiko festgestellt wird.
Die drei Funktionsbereiche, die den Kern dieses internen Kontrollrahmens bilden, sind:
- Die Compliance-Funktion (regulatorische Verpflichtungen, Verhaltensrichtlinien, interne Verfahren).
- Die Risikobewertungsfunktion (Risikoidentifizierung, Bewertungsmethodik, Eskalationsprotokolle).
- Die interne Revisionsfunktion (unabhängige Wirksamkeitsprüfung, regelmäßige Bewertung).
Hinweis: Die AML/CFT-Funktion und die Business-Continuity-Funktion sind ebenfalls obligatorische Säulen des Zulassungsantrags, doch die ESMA behandelt sie als eigenständige organisatorische Anforderungen neben diesem zentralen internen Kontrollrahmen. MiCA verwendet diese genauen Bezeichnungen nicht immer im Level-1-Text. Die ESMA-RTS stellen klar, dass diese zentralen internen Kontrollbereiche benannte Verantwortliche, dokumentierte Zuständigkeitsbereiche und eine überprüfte strukturelle Unabhängigkeit aufweisen müssen.
Gerade bei diesem letzten Punkt weisen viele Anträge einen strukturellen Mangel auf. Eine Compliance-Funktion, die dem Chief Operating Officer unterstellt ist, der auch für Umsatz und Geschäftsentwicklung zuständig ist, ist im regulatorischen Sinne nicht unabhängig. Eine Risikofunktion, die in den Handelsbereich eingebettet ist und über dieselbe Hierarchieebene nach oben berichtet wie der Bereich, den sie eigentlich überwachen soll, erfüllt den Standard ebenfalls nicht.
Die Aufsichtsbehörde wird das Organigramm anfordern. Sie wird dann fragen, wem der Compliance-Leiter in der Praxis unterstellt ist, welche weiteren Aufgaben diese Person hat und welche Eskalationsrechte sie besitzt, wenn ein schwerwiegendes Compliance-Risiko identifiziert wird. Der Aufbau eines CASP-Lizenzantrags auf der Grundlage einer echten Unabhängigkeitsstruktur erfordert, dass die Architektur vor der Ausarbeitung des Antrags entworfen wird und nicht nachträglich angepasst wird.
Physische Präsenz: Das Problem der nominierten Direktoren
Der Zulassungsantrag muss einen physischen Ort der tatsächlichen Geschäftsleitung innerhalb der EU dokumentieren. Dies umfasst die Adresse des Hauptsitzes, gegebenenfalls die Standorte von Zweigstellen sowie den tatsächlichen geografischen Entscheidungsbereich des Unternehmens.
- Mindestens ein Direktor, der tatsächliche Weisungsbefugnis ausübt, muss seinen Wohnsitz innerhalb der Union haben und für die zuständige Aufsichtsbehörde des Herkunftsmitgliedstaats erreichbar sein.
- Eine eingetragene Adresse in einem EU-Rechtsgebiet, die durch eine Vereinbarung mit einem nominierten Geschäftsführer gestützt wird, erfüllt diesen Standard nicht.
- Die Substanzanforderung bedeutet, dass das menschliche Entscheidungsgewicht tatsächlich innerhalb der Union liegen muss.
Die nationalen zuständigen Behörden (NCAs) beurteilen dies anhand der Angaben zum Standort im RTS-Antrag sowie anhand der Angaben zum Zeitaufwand jedes Mitglieds des Leitungsorgans.
Ein Direktor, der pro Quartal zwei Wochen physisch in der EU anwesend ist, gilt im regulatorischen Sinne nicht als ansässiger Direktor. Dies ist ein Punkt, der insbesondere für Unternehmen von Bedeutung ist, die von einem globalen Hauptsitz außerhalb der EU aus operieren und eine Krypto-Lizenz in Europa anstreben. Die in der EU ansässige Einheit muss als echte Entscheidungseinheit fungieren und nicht als administrative Fassade für eine von anderswo aus operierende Konzernstruktur.
Geschäftskontinuität ist Aufgabe des Compliance-Teams
Geschäftskontinuität wird weithin als Aufgabe der IT betrachtet. Nach MiCA und dem Digital Operational Resilience Act (DORA) ist diese Sichtweise für jeden zugelassenen CASP falsch.
Die Richtlinie zur Geschäftskontinuität muss vom Leitungsgremium verantwortet, genehmigt und gepflegt werden. DORA (Verordnung (EU) 2022/2554) regelt die spezifischen Aspekte der Informations- und Kommunikationstechnologie, und CASPs fallen als Finanzunternehmen in den Anwendungsbereich von DORA. Die beiden Rahmenwerke gelten gleichzeitig, und die Compliance-Funktion muss in der Lage sein, beide gleichzeitig zu handhaben.
Das zweite MiCA-Konsultationspapier der ESMA führte eine spezifische Verpflichtung für Unternehmen ein, die auf der Basis von permissionless Distributed-Ledger-Technologie (öffentliche Blockchains wie Ethereum) operieren: proaktive, strukturierte Kommunikation mit Kunden während jeder Dienstunterbrechung auf DLT-Ebene.
Das Unternehmen muss die Kunden darüber informieren, ob ihre Gelder gefährdet sind, und ein klares Bild davon vermitteln, wie die Wiederaufnahme des Dienstes gesteuert wird. Das Unternehmen bleibt in vollem Umfang für Verluste haftbar, die aus seinen eigenen Smart Contracts entstehen, unabhängig davon, ob die zugrunde liegende Blockchain genehmigungsfrei ist.
Dies ist keine Standardrichtlinie für IT-Ausfälle. Um dieser Verpflichtung sinnvoll nachzukommen, muss das Leitungsgremium die Risiken der DLT-Infrastruktur auf einem Niveau verstehen, das weit über allgemeines technisches Wissen hinausgeht. Ein Compliance-Team, das Blockchain-Risiken nur allgemein beschreiben kann, wird nicht in der Lage sein, eine Richtlinie zur Geschäftskontinuität zu entwerfen, zu prüfen oder aufrechtzuerhalten, die den regulatorischen Anforderungen genügt.
Datenstandards als Compliance-Funktion
Die Zuständigkeiten der Compliance-Funktion erstrecken sich auch auf die Datenarchitektur. CASPs, die Handelsplattformen betreiben, müssen für die gesamte Aufzeichnungspflicht und Berichterstattung an die nationalen Aufsichtsbehörden den Digital Token Identifier (DTI)-Standard verwenden. Der DTI identifiziert jedes Krypto-Asset eindeutig und verknüpft es mit der spezifischen DLT, auf der es ausgegeben, gehandelt oder abgerechnet wird. Dies ermöglicht es den Regulierungsbehörden, eine grenzüberschreitende Überwachung mit konsistenten, vergleichbaren Daten durchzuführen.
Die ISO 20022-Nachrichtenstandards regeln das Format der an die Behörden übermittelten Transaktionsdaten. Daten zur Vor- und Nachhandelstransparenz müssen über nichtdiskriminierende, maschinenlesbare öffentliche Kanäle offengelegt werden, um Marktmissbrauch zu verhindern. Jede dieser Anforderungen hat eine technische Dimension, für die das Compliance-Team die Verantwortung übernehmen muss und die es nicht blind an die IT delegieren darf.
Ein Unternehmen, das die Aufzeichnungspflicht als allgemeine Systemadministrationsaufgabe behandelt, ohne die von den RTS geforderten spezifischen Datenstandards zu überwachen, wird nach der Zulassung mit Aufsichtsproblemen konfrontiert sein. Die Standards existieren genau deshalb, damit die nationalen zuständigen Behörden (NCAs) Aufzeichnungen von Hunderten von CASPs in einer einzigen Analyse vergleichen können. Ein Unternehmen, das Daten nicht im erforderlichen Format bereitstellen kann, ist ein Unternehmen, das keine fortlaufende Compliance nachweisen kann.
Dies ist die praktische Bedeutung des „Single-Brain“-Standards. Das Compliance-Team vereint regulatorisches Bewusstsein, Governance-Struktur, operatives DLT-Wissen und technische Datenkompetenz zu einer einzigen funktionierenden Fähigkeit. Keines dieser Elemente kann vollständig an eine andere Funktion ausgelagert werden.
Das Team aufbauen, bevor man den Antrag stellt
Der Zulassungsantrag für eine CASP-MiCA-Lizenz dokumentiert eine bereits existierende Institution. Das ist das mentale Modell, das Unternehmen, die den Prozess effizient durchlaufen, von denen unterscheidet, die ins Stocken geraten. Unternehmen, die eine Krypto-Börsenlizenz, eine Zulassung für die Verwahrung digitaler Vermögenswerte oder eine andere CASP-Lizenz in Europa anstreben, müssen die Teamaufstellung als erstes Ergebnis betrachten und nicht als etwas, das sich während der Ausarbeitung des Antrags ergibt.
Die Compliance-Funktion muss strukturell unabhängig sein, bevor das erste Dokument verfasst wird. Der Wissensumfang des Leitungsorgans muss bewertet und etwaige Lücken geschlossen werden, bevor die Prüfung durch die zuständige Aufsichtsbehörde beginnt. Die Angaben zum Zeitaufwand müssen realistisch sein, bevor sie eingereicht werden.
Die gleiche Logik gilt weltweit. Unternehmen, die eine VASP-Lizenz in Ländern außerhalb der EU beantragen, sehen sich zunehmend mit parallelen Standards konfrontiert: Regulierungsbehörden im Nahen Osten, im asiatisch-pazifischen Raum und in Amerika nähern sich ähnlichen Anforderungen an die Ausgestaltung der Compliance-Funktion an, bei denen der Inhalt Vorrang vor der Form hat. Der EU-Standard, der derzeit der detaillierteste und technisch spezifischste ist, dient als nützlicher Maßstab für jeden Teamaufbau, der auf einen regulierten Status in einer der großen Rechtsordnungen abzielt.
'Wir sind DeFi, daher gilt MiCA nicht für uns.' Tut mir leid, aber die EBA und die ESMA sehen das anders.
MiCA stellt die Behauptungen zur Dezentralisierung der DeFi in Frage, während die Regulierungsbehörden die Regeln für Kontrolle, Governance und Compliance prüfen. read more.
Jetzt lesen
'Wir sind DeFi, daher gilt MiCA nicht für uns.' Tut mir leid, aber die EBA und die ESMA sehen das anders.
MiCA stellt die Behauptungen zur Dezentralisierung der DeFi in Frage, während die Regulierungsbehörden die Regeln für Kontrolle, Governance und Compliance prüfen. read more.
Jetzt lesen'Wir sind DeFi, daher gilt MiCA nicht für uns.' Tut mir leid, aber die EBA und die ESMA sehen das anders.
Jetzt lesenMiCA stellt die Behauptungen zur Dezentralisierung der DeFi in Frage, während die Regulierungsbehörden die Regeln für Kontrolle, Governance und Compliance prüfen. read more.
Wichtige Erkenntnis Der Mythos: Die Ernennung eines Compliance-Beauftragten und eines MLRO erfüllt die Compliance-Verpflichtungen gemäß MiCA. Die Realität: MiCA verlangt eine funktionierende Compliance-Struktur, keine Liste von Berufsbezeichnungen.
Drei Faktoren entscheiden darüber, ob ein Leitungsgremium den Standard erfüllt: Umfassendes kollektives Fachwissen. Das Team muss als Einheit über Fachwissen in den Bereichen traditionelle Finanzmärkte, DLT und Cybersicherheit sowie über Kompetenzen in der Unternehmensführung verfügen. Lücken in einem dieser Bereiche stellen strukturelle Mängel dar, nicht nur Präferenzen bei der Besetzung.
Dokumentierte strukturelle Unabhängigkeit. Die zentralen internen Kontrollfunktionen (Compliance, Risikobewertung und interne Revision) müssen einen namentlich benannten Verantwortlichen, eine direkte Berichtslinie zum Leitungsgremium und eine nachgewiesene Unabhängigkeit von dem von ihnen beaufsichtigten Geschäftsbereich aufweisen. (Anmerkung: AML/CFT und Geschäftskontinuität sind gleichermaßen obligatorisch, werden jedoch als eigenständige organisatorische Säulen behandelt). Ein Organigramm, das die Compliance über eine umsatzgenerierende Funktion leitet, wird einer Prüfung durch die nationale Aufsichtsbehörde nicht standhalten.
Echte institutionelle Substanz. Der Zeitaufwand muss echt und dokumentiert sein. Die physische Präsenz in der EU muss das tatsächliche Entscheidungsgewicht widerspiegeln, nicht nur eine registrierte Adresse. Die Geschäftskontinuitätsrichtlinie muss auf Ebene des Leitungsorgans verankert sein. Die Datenberichterstattung muss vom ersten Tag an den DTI- und ISO 20022-Standards entsprechen. Der CASP-Lizenzantrag ist das Ergebnis. Die Compliance-Architektur ist das Fundament. Schaffen Sie zuerst das Fundament.
Dieser Artikel basiert auf einer Studie, die von LegalBison im April 2026 durchgeführt wurde. Der Inhalt dient ausschließlich Informationszwecken und stellt keine Rechtsberatung dar.
