MiCA entschlüsselt: „Wir haben eine EU-Niederlassung“ reicht nicht aus: Das wollen die Regulierungsbehörden tatsächlich sehen

„MiCA Decoded“ ist eine wöchentliche Serie mit 12 Artikeln für Bitcoin.com News, die gemeinsam von den Mitbegründern und Geschäftsführern von LegalBison verfasst wird: Aaron Glauberman, Viktor Juskin und Sabir Alijev. LegalBison berät Krypto- und FinTech-Unternehmen zu MiCA-Lizenzen, CASP- und VASP-Anträgen sowie zur regulatorischen Strukturierung in ganz Europa und darüber hinaus.

Der Beitrag dieser Woche stammt von Krystian Lapka, Rechtsanwalt bei LegalBison. Krystian ist spezialisiert auf grenzüberschreitende Unternehmens- und Handelsgeschäfte sowie auf strategisches Risikomanagement an der Schnittstelle zwischen Zivilrecht und Common Law.

---

Die meisten Gründer, die ihren ersten CASP-Antrag stellen, verstehen zumindest abstrakt, dass MiCA eine tatsächliche Präsenz in der EU erfordert. Was sie unterschätzen, ist, wie die Regulierungsbehörde „tatsächlich“ definiert.

Die typische Gründung in der Frühphase sieht auf dem Papier schlüssig aus: ein eingetragener Firmensitz in einer günstigen EU-Rechtsordnung, ein in den Governance-Dokumenten benannter Geschäftsführer, IKT-Systeme, die entweder in der Cloud gehostet oder über die globale Infrastruktur der Gruppe verwaltet werden, sowie eingezahltes Kapital auf einem neu eröffneten Bankkonto. Von innen betrachtet fühlt sich das wie ein EU-Unternehmen an. Aus Sicht einer nationalen zuständigen Behörde mag es jedoch wie ein Briefkasten mit einem angeschlossenen Geschäftsführer aussehen.

Dieser Artikel zeigt auf, was die Substanzanforderungen von MiCA in Bezug auf Personal, Technologie und finanzielle Widerstandsfähigkeit tatsächlich erfordern, und erklärt, warum die Regulierungsbehörden jede Kategorie als Funktionstest und nicht als reine Dokumentationsaufgabe betrachten. Die Sorge, die all dem zugrunde liegt, ist dieselbe: die Verhinderung von Briefkastenfirmen, also Unternehmen, die auf dem Papier in einem günstigen Rechtsraum existieren, dort aber keine nennenswerte wirtschaftliche Tätigkeit, kein Humankapital und keine operative Kapazität aufweisen.

Der Mythos: Präsenz ist gleichbedeutend mit Substanz

Die regulatorische Logik dahinter ist älter als MiCA. In dem wegweisenden Urteil Cadbury Schweppes (Rechtssache C-196/04) stellte der Gerichtshof der Europäischen Union fest, dass die Niederlassungsfreiheit nicht dazu genutzt werden darf, „völlig künstliche Konstruktionen“ zu schaffen, denen eine echte wirtschaftliche Tätigkeit fehlt. MiCA kodifiziert diesen Grundsatz direkt in der Regulierung von Krypto-Assets.

Artikel 59 Absatz 2 der MiCA besagt, dass zugelassene CASPs ihren Sitz in einem Mitgliedstaat haben müssen, in dem sie zumindest einen Teil ihrer Krypto-Asset-Dienstleistungen erbringen, ihren Ort der tatsächlichen Geschäftsleitung innerhalb der Union haben müssen und über mindestens einen in der Union ansässigen Geschäftsführer verfügen müssen. Die Bestimmung ist kurz. Was dahinter steckt, ist wesentlich anspruchsvoller.

Das Aufsichtsbriefing der ESMA zur Zulassung von CASPs ist zwar nicht bindend, signalisiert jedoch deutlich, wie die nationalen zuständigen Behörden diese Anforderungen in der Praxis auslegen sollen. Die Kluft zwischen dem Gesetzestext und den Erwartungen der Aufsichtsbehörden ist der Punkt, an dem viele Anträge auf Widerstand stoßen.

Personal: Wer leitet dieses Unternehmen tatsächlich?

Die Mindestanforderung gemäß MiCA ist ein in der EU ansässiger Geschäftsführer. Die aufsichtsrechtlichen Leitlinien legen die Messlatte höher. Der Leitfaden der ESMA sieht vor, dass mindestens zwei Führungskräfte gemeinsam den täglichen Betrieb überwachen. Die Begründung ist einfach: Eine einzige Führungskraft schafft ein Konzentrationsrisiko und hebt die internen Kontrollen auf, die eine funktionierende Führungsstruktur erfordert. Zwei Führungskräfte mit klar definierten, sich überschneidenden Zuständigkeiten sind die erwartete Grundvoraussetzung.

Der Wohnsitz allein reicht nicht aus. Die Leitlinien besagen, dass ein Mitglied des Leitungsorgans, das nicht im Zuständigkeitsbereich der nationalen Aufsichtsbehörde ansässig ist, in der Lage sein sollte, auf Verlangen der Behörde innerhalb von zwei Werktagen an persönlichen Sitzungen teilzunehmen. Für Rechtsordnungen, in denen die räumliche Nähe zur Aufsichtsbehörde aus operativer Sicht von Bedeutung ist, stellt dies eine praktische Einschränkung dar, wie weit ein Direktor effektiv vom Heimatland entfernt sein darf. Der Zeitaufwand wird mit ähnlicher Ernsthaftigkeit behandelt. Die ESMA vertritt, wie in ihrem Supervisory Briefing zur Zulassung von CASPs dargelegt, die Auffassung, dass Mitglieder der Geschäftsleitung in der Regel 100 % ihrer beruflichen Zeit der CASP-Funktion widmen sollten. Eine Doppelrolle, bei der dieselbe Person in leitender Funktion bei mehreren Unternehmen tätig ist, ist nur unter eingeschränkten Umständen zulässig. Ein Führungskraft, die ihre Aufmerksamkeit zwischen dem CASP und einem anderen Konzernunternehmen aufteilt, wird bei der Eignungsprüfung wahrscheinlich genauer unter die Lupe genommen.

Berichtswege sind ebenso wichtig wie individuelle Profile. Das Leitungsgremium muss nachweisen, dass die strategische und operative Kontrolle bei der EU-Einrichtung liegt und nicht bei einer Muttergesellschaft in einem Drittland, die die tatsächlichen Entscheidungen trifft und Anweisungen nach unten erteilt. Eine EU-Tochtergesellschaft, deren Führungskräfte funktional als Ausführungsorgane für eine Nicht-EU-Zentrale fungieren, ist im aufsichtsrechtlichen Sinne keine Einrichtung mit echtem EU-Management.

Die AML-Dimension unterstreicht dies. Die für die Einreichung von Verdachtsmeldungen zuständige Person (der MLRO) muss physisch vor Ort sein, über echte Befugnisse innerhalb des Unternehmens verfügen und in der Lage sein, direkt mit der lokalen Finanzermittlungsstelle zu interagieren. Diese Anforderung spiegelt einen breiteren globalen Trend wider: Das Crypto-Asset Reporting Framework (CARF) der FATF und der OECD folgt derselben Logik und erweitert die Substanz- und Transparenzanforderungen über die EU hinaus.

Die Personalvorschriften von MiCA und das CARF sind keine voneinander unabhängigen Entwicklungen; sie spiegeln einen sich annähernden internationalen Standard dafür wider, wie ein reguliertes Krypto-Unternehmen von innen aussehen muss. Der kollektive Eignungsstandard aus Artikel 68 Absatz 1 verlangt, dass das Leitungsgremium sowohl individuell als auch kollektiv über angemessene Kenntnisse, Fähigkeiten und Erfahrungen verfügt. Wie in der vorherigen Folge dieser Reihe behandelt, umfasst dieser Standard die Regulierung traditioneller Finanzmärkte, die DLT-Infrastruktur und Cybersicherheit sowie die organisatorische Governance. Jeder dieser Bereiche muss im Gremium vertreten sein. Ein Team, das ausschließlich aus Krypto-Natives ohne Erfahrung im regulierten Finanzdienstleistungsbereich besteht, oder eines mit fundierter TradFi-Erfahrung, aber ohne die Fähigkeit, On-Chain-Risiken zu bewerten, weist strukturelle Lücken auf, die der Bewertungsprozess aufdecken wird.

Technologie: Kontrolle, nicht nur Hosting

DORA (Verordnung (EU) 2022/2554) gilt direkt für CASPs und legt den Rahmen für Anforderungen an die IKT-Resilienz fest. Die Frage, die Regulierungsbehörden in Bezug auf Technologie stellen, lautet nicht, welche Infrastruktur ein Unternehmen nutzt. Die Frage ist, wer sie kontrolliert.

Eine von AWS, Azure oder ähnlichen Anbietern gehostete Cloud-Infrastruktur ist nach der aktuellen Aufsichtspraxis akzeptabel. Das Problem entsteht, wenn das in der EU zugelassene Unternehmen keine sinnvolle administrative Kontrolle über die Systeme hat, auf die es angewiesen ist. Wenn die Verwaltung der Verschlüsselungsschlüssel beim globalen IT-Team der Muttergesellschaft liegt, wenn Zugriffsrechte auf Kundendaten von außerhalb der EU verwaltet werden oder wenn der Notfallwiederherstellungsplan von Genehmigungen durch eine Zentrale in einem Drittland abhängt, kann das EU-Unternehmen keine echte operative Unabhängigkeit nachweisen.

Die Position der ESMA, wie sie in ihren Konsultationsunterlagen zum Ausdruck kommt, lautet, dass das EU-Managementteam die tatsächliche Kontrolle über die für den Betrieb des CASP relevante IKT-Infrastruktur innehaben muss. Die gemäß Artikel 68 Absatz 7 vorgeschriebene Geschäftskontinuitätsrichtlinie und die Notfallwiederherstellungspläne müssen im Besitz der EU-Einheit liegen und von dieser umgesetzt werden können; sie dürfen nicht von einer globalen Funktion abhängig sein, die in einer Krise möglicherweise nicht reagiert.

Der praktische Test ist eindeutig: Wenn das globale IT-Team der Muttergesellschaft über Nacht nicht mehr verfügbar wäre, könnte die EU-Einheit dann weiterarbeiten, auf Kundengelder zugreifen und Vermögenswerte an Kunden zurückgeben? Wenn die Antwort „nein“ lautet oder dies nicht ohne erhebliche Eskalation an Nicht-EU-Personal möglich ist, ist die Frage nach der Substanz nicht geklärt.

Die Anforderungen an die DSGVO-Konformität und die Datenverwaltung liegen über dem DORA-Rahmenwerk. Vereinbarungen zur Datenverarbeitung, Beziehungen zwischen Verantwortlichen und Auftragsverarbeitern sowie Überlegungen zur Datenstandortwahl sind allesamt Teil der technischen Architektur, die die Aufsichtsbehörden prüfen werden.

Finanzen: Kapital, das tatsächlich funktioniert

Artikel 67 legt die Mindestanforderungen an die aufsichtsrechtlichen Sicherheitsvorkehrungen fest. Die Kapitalstufen werden nach Dienstleistungsklassen definiert:

Der Mindestkapitalbetrag ist der Ausgangspunkt, nicht die Obergrenze. Die aufsichtsrechtlichen Sicherheitsvorkehrungen müssen dem höheren Wert aus dem permanenten Mindestkapital oder einem Viertel der fixen Gemeinkosten des Vorjahres entsprechen. Wenn ein CASP wächst und seine fixen Gemeinkosten steigen, wird dieser zweite Teil zur verbindlichen Vorgabe. Wenn die Gemeinkosten das Vierfache des ursprünglichen eingezahlten Kapitals übersteigen, muss das Unternehmen auf das gemeinkostenbasierte Rahmenwerk umstellen. Dieser Wendepunkt tritt schneller ein, als viele Betreiber erwarten, und die Aufsichtsbehörden erwarten eine proaktive Überwachung statt reaktiver Anpassungen. Ein wichtiger struktureller Punkt: Das Kapital muss auf ein Konto bei einem formellen Kreditinstitut eingezahlt werden. Ein Konto bei einem EMI oder Zahlungsdienstleister erfüllt diese Anforderung nicht. Der Aufbau einer Bankbeziehung als Krypto-Unternehmen nimmt Zeit in Anspruch und ist nicht garantiert. Es ist unumgänglich, diesen Prozess frühzeitig, noch vor der formellen Einreichung des Antrags, zu beginnen. Es handelt sich um eine zeitliche Vorgabe, die den gesamten Zeitplan für die Zulassung beeinflusst. Die Anforderung, dass die für die Berechnung der fixen Gemeinkosten verwendeten Jahresabschlüsse ordnungsgemäß geprüft oder von den nationalen Aufsichtsbehörden validiert sein müssen, fügt eine weitere administrative Dimension hinzu. Neu gegründete Unternehmen, die ihre Gemeinkosten für die ersten zwölf Monate prognostizieren, müssen diese Prognosen in ihren Zulassungsantrag aufnehmen, wobei die Methodik klar dokumentiert sein muss.

Outsourcing und die Substanzschwelle

Artikel 73 erlaubt es CASPs, operative Funktionen an Dritte auszulagern. Die Einschränkung besteht darin, dass die Auslagerung nicht zu einer Aushöhlung des zugelassenen Unternehmens führen darf. Die Verantwortung verbleibt beim CASP; durch die Übertragung gehen keine Rechenschaftspflichten über.

Der Aufsichtsleitfaden der ESMA zur Zulassung von CASPs nennt den Prozentsatz der Gesamtkosten, der auf Funktionen außerhalb der EU entfällt, als praktischen Indikator dafür, ob die Auslagerung zu weit gegangen ist. Ein CASP, dessen operativer Aufwand mehrheitlich an Dienstleister außerhalb der EU fließt – selbst wenn diese gut geführt und seriös sind –, muss sich möglicherweise der Frage stellen, ob das EU-Unternehmen über ausreichende interne Kapazitäten verfügt, um als echter Dienstleister und nicht als bloße Durchleitungsstelle zu gelten.

Die Regulierungsbehörde unterscheidet zwischen CASPs, die bestimmte Funktionen auslagern, dabei aber die Kontrolle behalten, und CASPs, die alle wesentlichen Funktionen auslagern und nur die Rechtsform beibehalten. Letzteres ist eine Hülle, unabhängig davon, wie die Vereinbarung im Antrag beschrieben wird.

Unterschiede in der Rechtsprechung: Gleiches Recht, unterschiedliche Praxis

MiCA ist in allen EU-Mitgliedstaaten unmittelbar anwendbar. Die materiellen Anforderungen sind einheitlich. Die Aufsichtspraxis ist es nicht. Zypern hat über die CySEC ausdrücklich verlangt, dass die Mehrheit des Vorstands eines CASP ihren physischen Wohnsitz in Zypern haben muss. Bei einem Vorstand aus zwei geschäftsführenden und zwei nicht geschäftsführenden Mitgliedern bedeutet dies mindestens drei in Zypern ansässige Vorstandsmitglieder. Dies geht über die Anforderungen des MiCA-Textes hinaus und spiegelt nationale AML-Richtlinien wider, die zusätzlich zum harmonisierten EU-Rahmenwerk gelten. Estland weist eine andere Dynamik auf. Unter dem früheren VASP-Registrierungssystem, das von der Financial Intelligence Unit verwaltet wurde, entwickelte sich Estland zu einer der zugänglichsten Lizenzierungsjurisdiktionen Europas. Der Übergang zu MiCA verlagerte die Aufsichtszuständigkeit auf die estnische Finanzaufsichts- und Abwicklungsbehörde, was einen anderen institutionellen Ansatz bei der Prüfung und laufenden Überwachung mit sich bringt.

Die in früheren Teilen dieser Reihe behandelte Rechtslage in Polen hat zu einer strukturellen Lücke geführt, da das nationale MiCA-Umsetzungsgesetz noch nicht verabschiedet wurde, wodurch die KNF keine formelle Benennung als zuständige Behörde hat und VASP-Inhaber keinen gangbaren Weg für einen CASP-Antrag im Inland haben.

Diese Unterschiede sind keine Schlupflöcher oder administrative Eigenheiten. Sie spiegeln die Realität wider, dass ein harmonisierter Rechtsrahmen nach wie vor durch nationale Aufsichtskulturen, personelle Engpässe und institutionelle Geschichten geprägt ist. Die Wahl einer Jurisdiktion für die CASP-Zulassung bedeutet die Wahl einer Aufsichtsbehörde – mit allen praktischen Konsequenzen, die dies mit sich bringt.

Was „echte Niederlassung“ tatsächlich erfordert

Insgesamt spiegeln die materiellen Anforderungen gemäß MiCA eher eine Aufsichtsphilosophie als eine Checkliste wider. Die Aufsichtsbehörde möchte sicher sein, dass sie im Falle eines Problems über sinnvolle Regressmöglichkeiten verfügt. Das bedeutet, dass die Geschäftsleitung physisch erreichbar und nach EU-Recht rechtlich verantwortlich ist. Es bedeutet, dass die IKT-Systeme von der EU-Einheit kontrolliert werden können, ohne von Genehmigungswegen außerhalb der EU abhängig zu sein. Es bedeutet Kapital, das tatsächlich verfügbar ist und dessen Höhe dem tatsächlichen operationellen Risiko entspricht.

Und es bedeutet eine Unternehmensführung, bei der das EU-Unternehmen echte Entscheidungen trifft, anstatt Anweisungen aus anderen Ländern umzusetzen. Unternehmen, die dies als reine Dokumentationsaufgabe betrachten, empfinden den Prozess oft als schwieriger als erwartet. Unternehmen, die zuerst die Substanz aufbauen und dann dokumentieren, was sie aufgebaut haben, empfinden es meist als unkomplizierter. Der Antrag schafft nicht die Organisation. Er beschreibt eine Organisation, die bereits weitgehend vorhanden sein sollte.

Quellen:

• ESMA-Aufsichtsbriefing zur Zulassung von CASPs
• ESMA-Konsultationspapier zu MiCA, 2. Paket
• MFSA MiCA-Regelwerk

Dieser Artikel basiert auf einer Studie, die von LegalBison im Mai 2026 durchgeführt wurde. Der Inhalt dient ausschließlich zu Informationszwecken und stellt keine Rechtsberatung dar.