Die "Travel Rule" für Krypto-Dienstleister in der EU

Photo by Henry & Co. / Unsplash

TL;DR:

  • Gemäß dem aktuellen Entwurf der neuen GeldtransferVO sollen Krypto-Dienstleister verpflichtet werden, die Inhaber von Kryptowallets, mit denen sie für ihre Kunden interagieren, nicht nur zu dokumentieren, sondern auch zu verifizieren.
  • Letzteres steht aufgrund der mangelnden Praktikabilität als "Quasi-Verbot" der Übertragung an privat verwahrte Wallets in der Kritik, auch der Bundesregierung. Ebenso kritisiert wird der Vorschlag des EU-Parlaments, eine Meldepflicht für Transfers über 1.000 EUR an privat gehaltene Wallets einzuführen.
  • Die Eigenverwahrung von privaten Schlüsseln und Transfers zwischen Kryptowallets, die ohne Einbindung eines Krypto-Dienstleisters erfolgen, sind für sich genommen jedoch nicht von dem Regulierungsentwurf erfasst. Die Verordnung hat daher keine direkten Auswirkungen auf dezentrale Finanzanwendungen, die ohne Krypto-Dienstleister auskommen.
  • Die Annahme von Transfer unter Verwendung von Anonymisierungsdiensten wird durch die Krypto-Dienstleister gesondert zu prüfen und den zuständigen Behörden zu melden sein. Es soll zudem ein öffentliches Register mit hohem Risiko behafteter Adressen von elektronischen Geldbörsen eingeführt werden.

A. Hintergrund

Die aktuelle Verordnung über die Übermittlung von Angaben bei Geldtransfers (Verordnung (EU) 2015/847, Engl.: Transfer of Funds Regulation", kurz "TFR 2015") wurde erlassen, um die Anforderungen der Arbeitsgruppe Bekämpfung der Geldwäsche und der Terrorismusfinanzierung (FATF) an Dienstleister im Bereich des elektronischen Zahlungsverkehrs und insbesondere die Verpflichtung für Zahlungsdienstleister, bei Geldtransfers Angaben zum Zahler und zum Zahlungsempfänger zu übermitteln (sog. "Travel Rule"), in der gesamten Union einheitlich umzusetzen. Die Verordnung gilt derzeit jedoch nur für Transfers von Geldbeträgen, d. h. von Banknoten und Münzen, Giralgeld oder E-Geld im Sinne von Artikel 2 Nummer 2 der Richtlinie 2009/110/EG. Nicht aber für Kryptowährungen.

Bereits Juni 2019 beschloss die FATF eine "Interpretive Note" zu ihrer Empfehlung 15, um klarzustellen, wie die FATF-Anforderungen in Bezug auf Kryptowährungen und Krypto-Dienstleister gelten sollten. Die FATF verabschiedete im Juni 2019 auch eine erste Version ihrer Leitlinien zur Anwendung des risikobasierten Ansatzes auf Kryptowährungen ("virtual assets") und Krypto-Dienstleister ("virtual asset service provider"). Diese Leitlinien der FATF wurden im Oktober 2021 aktualisiert.

Die Union möchte nun den überarbeiteten FATF-Empfehlungen, Rechnung tragen. Dazu hatte die Kommission im Juli 2021 einen Vorschlag einer neuen GeldtransferVO veröffentlicht. Am 1. April 2022 hat das EU-Parlament dann seine Änderungsvorschläge des Entwurfs der neuen Geldtransferverordnung (nachfolgend kurz "TFR-E") vorgelegt.

Zum Zeitpunkt der Veröffentlichung dieses Artikels befindet sich die TFR-E in den interinstitutionellen Verhandlungen. Der Fortgang des Gesetzgebungsverfahrens lässt sich hier verfolgen. Aufgrund des Ziels der Erfüllung der FATF Leitlinien dürften jedoch keine wesentlichen Veränderungen mehr zu erwarten sein.

Was kommt damit also auf die Krypto-Welt zu?

B. Geltungsbereich

Der Geltungsbereich der TFR-E lässt sich zum einen in sachlicher Hinsicht und zum anderen in persönlicher Hinsicht bestimmen. In welchen Fällen und für wen gilt also die TFR-E?

I. Sachlicher Geltungsbereich

Die neue Verordnung soll in sachlicher Hinsicht neben Geldtransfers auch für Kryptowertetransfers gelten, Art. 2 (1) TFR-E. Dabei handelt es sich gemäß Art. 3 Nr. 10 TFR-E um

  • "jede Transaktion, bei der auf elektronischem Wege Kryptowerte von einer elektronischen Geldbörse oder einem Kryptowertekonto auf eine andere elektronische Geldbörse oder ein anderes Kryptowertekonto übertragen werden, und
  • die im Namen einer natürlichen oder juristischen Person mindestens von einem Anbieter von Kryptowertetransfers oder einem sonstigen Verpflichteten, der in Artikel 2 Absatz 1 der Richtlinie (EU) 2015/849 (5. Geldwäscherichtlinie) aufgeführt ist, der im Namen des Originators oder des Begünstigten handelt, durchgeführt oder entgegengenommen wird,
  • unabhängig davon, ob es sich bei Originator und Begünstigtem um dieselbe Person handelt, und
  • unabhängig davon, ob es sich beim Anbieter von Krypto-Dienstleistungen des Originators und dem Anbieter von Krypto-Dienstleistungen des Begünstigen um ein und denselben Anbieter handelt."

Die Regelung in Art. 2 (4) S. 4 b) TFR-E, wonach die Verordnung nicht für Kryptowertetransfers zwischen einzelnen Personen gilt, die ohne die Beteiligung eines Anbieters von Kryptowertetransfers oder Verpflichteten gemäß Art. 2 (1) der 5. Geldwäscherichtlinie (kurz "AMLD5"), durchgeführt werden, ist in Anbetracht der vorstehenden Definition des Kryptowertetransfers eigentlich redundant.

Zusammenfassend lässt sich festhalten, dass in sachlicher Hinsicht ausschließlich solche Transfers von Kryptowerten betroffen sind, die zumindest im Namen des Originators oder des Begünstigten durch einen Dritten durchgeführt oder entgegengenommen werden.

II. Persönlicher Geltungsbereich

Der persönliche Anwendungsbereich entspricht aufgrund des direkten Verweises dem Kreis der Verpflichteten gemäß der AMLD5 (zukünftig wohl AML/CFT-VO). Dazu gehören im Krypto-Kontext insbesondere Dienstleister, die virtuelle Währungen in Fiatgeld und umgekehrt tauschen, und Anbieter von elektronischen Geldbörsen, Art. 2. (1) Nr. 3 g), h) AMLD5, aber auch Dienstleister für Trusts oder Gesellschaften, Art. 2 (1) Nr. 3 c) AMLD5. Neben diesen altbekannten Verpflichteten definiert die TFR-E auch noch die "Anbieter von Kryptowertetransfers“ als Verpflichtete. Darunter fällt gemäß Art. 3 (16) TFR-E

  • "jede natürliche oder juristische Person,
  • deren Beruf oder Geschäftstätigkeit
  • die Erbringung von Dienstleistungen im Zusammenhang mit dem Transfer von Kryptowerten
  • im Namen einer anderen natürlichen oder juristischen Person umfasst."

Diese eigene Definition in der TFR-E könnte zukünftig auch durch einen Verweis auf den "Anbieter von Krypto-Dienstleistungen", worunter laut dem Entwurf der MiCA-VO auch der Transfer von Kryptowerten fällt (vgl. Art. 3 (9) fa) MiCA-VO), ersetzt werden. Die ebenfalls im Entwurf vorliegende AML/CFT-VO enthält bereits diesen Verweis auf die MiCA-VO (vgl. Art. 2 (1) AML/CFT-VO). Bezüglich der Definition eines "Transfers von Kryptowerten" verweist der Entwurf der MiCA-VO umgekehrt bereits auf die TFR-E, vgl. Art. 3 (2a) MiCA-VO.

In persönlicher Hinsicht lässt sich zusammenfassen, dass die TFR-E nur greift, wenn es sich bei dem Dritten, der den Transfer im Namen des Originators oder des Begünstigten entgegennimmt oder durchführt, um einen geldwäscherechtlich Verpflichteten handelt. Das ist wiederum regelmäßig dann der Fall, wenn der Dritte bei der Entgegennahme oder Durchführung beruflich oder geschäftlich handelt.

C. Pflichten des Anbieters von Kryptowertetransfers des Originators und des Begünstigten

I. Originator

Der Originator ist gemäß Art. 3 Nr. 19 TFR-E "eine Person, die Inhaber eines Kontos bei einem Anbieter von Kryptowertetransfers ist und den Kryptowertetransfer von diesem Konto gestattet, oder, wenn kein Konto vorhanden ist, die den Auftrag zu einem Kryptowertetransfer erteilt."

Schaltet der Originator einen Anbieter von Kryptowertetransfers in seinem Namen ein, so hat dieser Anbieter gemäß Art. 14 (1)-(3) TFR-E sicherzustellen, dass folgende Angaben des Originators und des Begünstigten übermittelt werden:

  • Name bzw. aktuelle Rechtsträgerkennung (LEI) oder andere verfügbare gleichwertige offizielle Kennung,

  • öffentlicher Schlüssel bzw. Kryptowertekonto oder Transaktionskennziffer (soweit anwendbar),

  • (nur bzgl. des Orginators:) Anschrift, Land, Nummer eines amtlichen persönlichen Dokuments, Kundennummer oder Geburtsdatum und Geburtsort.

Die Angaben sind gleichzeitig zum Kryptowertetransfer, auf sichere Weise und im Einklang mit der DSGVO zu übermitteln. Sie dürfen dem Kryptowertetransfer nicht direkt beigefügt oder darin enthalten sein (bis auf die öffentlichen Schlüssel bzw. Kontodaten), vgl. Art. 14 (4) TFR-E.

Die Überprüfung der Daten des Originators erfolgt im Rahmen der geldwäscherechtlich ohnehin bereits bestehenden Pflichten des Krypto-Dienstleisters, vgl. Art. 14 Abs. 6 TFR-E.

Die Aufbewahrungsfrist beträgt grundsätzlich 5 Jahre. Danach sind die personenbezogenen Daten dauerhaft zu löschen, Art. 21 (1) und (2) TFR-E.

II. Begünstigter

Der Anbieter von Kryptowertetransfers auf Seiten des Begünstigten (gemäß Art. 3 Nr. 20 TFR-E also "eine Person, an die der Kryptowertetransfer gerichtet ist") hat die für den Originator übermittelten Angaben zum Begünstigten zu überprüfen und eine geldwäscherechtliche Risikoeinschätzung durchzuführen (Art. 16 (1) - (3) TFR-E). Auch hier stellt Art. 16 (4) TFR-E klar, dass dies nicht über die ohnehin bestehenden geldwäschrechtlichen Anforderungen hinausgeht.

D. Kryptowertetransfers an bzw. von nicht gehostete(n) Geldbörsen

Besonderheiten sind zu beachten bei "nicht gehosteten elektronischen Geldbörsen". Dabei handelt es sich gemäß Art. 3 Nr. 18a TFR-E um "eine Adresse einer elektronischen Geldbörse, die nicht von einem Anbieter von Kryptowertetransfers gehalten oder verwaltet wird".

Bei Kryptowertetransfers an bzw. von einer nicht gehosteten elektronischen Geldbörse sind die oben in Abschnitt C. genannten Angaben jeweils praktisch durch den Kunden des involvierten Anbieters für Kryptowertetransfers beizubringen.

I. Originator (nicht gehosted) an Begünstigter (gehosted)

gehosted-an-nicht-gehosted--2-

Diese Anforderung birgt praktische Probleme insbesondere beim Einsatz eines Anbieters für Kryptwertetransfers auf Seiten des Begünstigten. Dieser hat die notwendigen Angaben über den Originator zu machen, Art. 16 (4a) TFR-E. Es findet in diesen Fällen zwar keine Übermittlung der Daten zwischen Krypto-Dienstleistern statt. Der Anbieter des Kryptotransfers des Begünstigten hat die Angaben jedoch zu überprüfen. Der Begünstigte wird in der Praxis - soweit er nicht ohnehin selbst geldwäscherechtlich verpflichtet ist - regelmäßig nicht die Anschrift, das Land, die Ausweisnummer, das Geburtsdatum und den Geburtsort des Originators kennen, geschweige denn, die überprüfbaren Nachweise vorlegen können. Die rechtskonforme Übertragung von Kryptowerten aus der nicht gehosteten elektronischen Geldbörse eines Originators an einen Anbieter von Kryptotransfers des Begünstigten wird damit faktisch nahezu unmöglich.

II. Originator (gehosted) an Begünstigter (nicht gehosted)

gehosted-an-nicht-gehosted--1--1

Auch im umgekehrten Fall, dass der Anbieter von Kryptotransfers auf Seiten des Originators eine Übertragung an eine nicht gehostete elektronische Geldbörse des Begünstigten durchführen soll, wird der Originator regelmäßig nicht in der Lage sein, den Namen des Begünstigten nachweisen zu können. Dies gilt zumindest immer dann, wenn er nicht selbst der Begünstigte ist, denn Art. 14 (5) TFR-E fordert die Prüfung durch den Anbieter für Kryptotransfer des Originators anhand von Dokumenten, Daten oder Informationen aus einer verlässlichen und unabhängigen Quelle.

III. Kritik an den Anforderungen

In der seit Oktober 2021 geltenden Deutschen Kryptowertetransferverordnung(kurz "KryptoWTransferV") ist die Maßnahme der
Erhebung, Speicherung und vor allem der Überprüfung von Name und Anschrift des Begünstigten oder des Auftraggebers nur eine mögliche Maßnahme. Dem Anbieter von Kryptotransfers steht es in Deutschland bisher weitgehend frei, stattdessen andere risikoangemessene Maßnahmen zu treffen, vgl § 4 (3) KryptoWTransferV. Insbesondere die Überprüfung der Angaben ist nicht zwingend vorgeschrieben, solange der Anbieter des Kryptotransfers andere risikoangemessene Maßnahmen trifft. Eine solche "andere risikoangemessene Maßnahme" kann beispielsweise der Einsatz von Blockchain-Analyse-Tools sein. In der TFR-E bleibt nach derzeitigem Entwurf hingegen kein Raum für eine derartige risikoangemessene Alternative zur Erhebung und Überprüfung von Name, Anschrift und Geburtsdaten.

Ungewöhnlich scheint in diesem Zusammenhang zudem der Vorschlag des Europäischen Parlaments in Art. 16 (4a) TFR-E, wonach der Anbieter des Krypotransfers des Begünstigten der zuständigen Behörde jeden Kunden zu melden hat, der einen Betrag von mindestens 1.000 EUR von nicht gehosteten elektronischen Geldbörsen erhalten hat. Die Verdachtsunabhängikeit der Meldepflicht erscheint kritikwürdig.

Das Bundesministerium der Finanzen hat die genannten Kritikpunkte ebenfalls geäußert. Der seitens des BMF vertretende Ansatz, auf die Verwendung von Blockchain-Analysetools zu setzen, kann jedoch ebenfalls als verdachtsunabhängige Überwachung gesehen werden. In diesem Fall ist die verdachtsunabhängige Überwachung jedoch im Rahmen des Risikomanagements der Geldwäscheprävention privatisiert.

Die derzeitige Gestaltung der TFR-E würde indes dazu führen, dass die Nutzer von nicht gehosteten elektronischen Geldbörsen keine Kryptowerte mehr direkt an gehostete elektronische Geldbörsen Dritter schicken würden. Umgekehrt würden Nutzer von gehosteten elektronischen Geldbörsen keine Transfers mehr an nicht gehostete elektronischen Geldbörsen Dritter durchführen. Die Nutzer werden beim Wechsel aus der "gehosteten Sphäre" in die "nicht gehostete" Sphäre immer eine eigene nicht gehostete elektronische Geldbörse dazwischenschalten.

gehosted-an-nicht-gehosted--3-

E. Risikominderungsmaßnahmen für Kryptowertetransfers

Anbieter von Kryptowertetransfers dürfen gemäß Art. 18aa TFR-E keinerlei Transfer von Kryptowerten an nicht konforme Anbieter bzw. von nicht konformen Anbietern von Kryptowertetransfers ermöglichen. Als nicht konform gelten Anbieter, die

  • nicht niedergelassen sind oder
  • weder über eine zentrale Kontaktstelle noch über eine substanzielle Präsenz der Führungsebene in einem Land verfügen und
  • nicht mit einem beaufsichtigten Unternehmen verbunden sind und
  • Anbieter die ohne Zulassung (nach MiCA-VO) in der Union tätig sind.

Wenn die Anbieter von Kryptowertetransfers eine Geschäftsbeziehung mit einem gegenparteilichen Anbieter außerhalb der Union eingehen, sind sie verpflichtet die Führungsebene einzubinden und ausreichende Informationen über die Gegenpartei einzuholen um

  • die Art ihrer Geschäftstätigkeit in vollem Umfang,
  • Ruf und die Qualität der Beaufsichtigung,
  • die Kontrollen der Gegenpartei im Hinblick auf die Bekämpfung von Geldwäsche und Terrorismusfinanzierun und
  • die Fähigkeit der Gegenpartei, Sicherheitsmaßnahmen und angemessene Schutzvorkehrungen zum Schutz der Vertraulichkeit personenbezogener Daten anzuwenden, zu bewerten.

Die TFR-E bestimmt darüber hinaus bestimmte Hochrisikofaktoren in Bezug auf geografische Aspekte, die Gegenpartei, elektronische Geldbörsen und Dienstleistungen (Art. 18ac TFR-E). Sind private elektronische Geldbörsen, Mixer oder Tumbler oder andere Anonymisierungsdienste für Kryptowertetransfers eingesetzt worden, so hat der Krypto-Dienstleister zusätzliche Informationen über

  • den Zweck des beabsichtigten Transfers und
  • eine Begründung für die rechtmäßige Nutzung einzuholden,
    bevor er entscheidet, ob er einen Transfer zurückweist oder aussetzt. Die Entscheidung ist der zuständigen Behörde mitzuteilen (Art. 18ac (4) TFR-E).

Zudem soll ein öffentliches Register nicht konformer oder mit hohem Risiko behafteter Anbieter von Kryptowertetransfers und mit hohem Risiko behafteter Adressen von elektronischen Geldbörsen eingeführt werden (Art. 18ad TFR-E). Diese Register sollen in einem maschinenlesbaren Format verfügbar sein und die Extraktion von Daten durch Anbieter von Kryptowertetransfers ermöglichen.

F. Inkrafttreten

Nach derzeitigem Entwurf, der möglicherweise bereits im kommenden Juli 2022 finalisiert werden könnte, tritt die Verordnung am zwanzigsten Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft. Sie gilt dann unmittelbar in jedem Mitgliedstaat.

Die EBA soll innerhalb von 3 Monaten nach Inkrafttreten Leitlinien verabschieden, um die Bedingungen zur Erleichterung der schrittweisen Anwendung dieser Verordnung festzulegen. Die nach dieser Verordnung Verpflichteten haben 9 Monate nach Inkrafttreten Zeit, einen Rollout-Plan zu implementieren, um die schrittweise Anwendung dieser Verordnung gemäß den von der EBA herausgegebenen Leitlinien durchzuführen. Die vollständige Einhaltung der Verpflichtungen dieser Verordnung ist dann innerhalb von 18 Monaten nach Inkrafttreten zu gewährleisten, Art. 32 TFR-E.

Jacob Senftinger

Jacob Senftinger