Nachdem sich die Bundesanstalt für Finanzdienstleistungsaufsicht („BaFin“) erstmals zu den Voraussetzungen der neuen Finanzdienstleistung „made in Germany“ – dem Kryptoverwahrgeschäft - äußerte (wir berichteten hierzu ausführlich im ersten Teil unserer Beitragsreihe zum Kryptoverwahrgeschäft), legt sie nun nach. Das am 1. April 2020 veröffentlichte Merkblatt „Hinweise zum Erlaubnisantrag für das Kryptoverwahrgeschäft“ („Merkblatt“) ist das „kleine ABC“ für all diejenigen, die sich um eine Erlaubnis zur Erbringung des jüngst als Finanzdienstleistung gekürten Kryptoverwahrgeschäftes bemühen möchten. Nur, schießt die BaFin durch die Festlegung zu strenger Anforderungen über das Ziel hinaus? Antwort: Ja und Nein.
Das Wichtigste nochmal in Kürze
Durch die Einführung des Kryptoverwahrgeschäfts als Finanzdienstleistung im Sinne des Kreditwesengesetzes („KWG“) sind die jeweiligen Dienstleister („Kryptoverwahrer“) nun dazu verpflichtet, eine Erlaubnis nach § 32 Abs. 1 KWG bei der BaFin zu beantragen (Näheres im ersten Teil unserer Beitragsreihe zum Kryptoverwahrgeschäft). Andernfalls drohen dem Kryptoverwahrer nicht nur eine Freiheitsstrafe von bis zu 5 Jahren (§ 54 KWG), sondern darüber hinaus auch einschneidende aufsichtliche Maßnahmen der BaFin sowie wettbewerbs- und zivilrechtliche Konsequenzen (wie etwa Schadensersatzpflichten).
Durch eine Übergangsvorschrift (mehr Details zur Übergangsregelung nach § 64y KWG hier) wird es Unternehmen, die bereits vor dem 1. Januar 2020 als Kryptoverwahrer tätig waren, ermöglicht, ihr Geschäft bis zum 30. November 2020 ohne Erlaubnis weiterzuführen.
Um das Erlaubnisverfahren möglichst zügig und reibungslos zu gestalten, sollten sich Antragsteller frühzeitig mit den Erlaubnisanforderungen, die nun durch das Merkblatt der BaFin als „kleines ABC“ für Kryptoverwahrer konkretisiert wurden, auseinandersetzen:
Das „kleine ABC“ für Kryptoverwahrer
A wie…
Allgemeines
Zunächst gilt – wenig überraschend –, dass das Erlaubnisverfahren in weiten Teilen Verfahren der bereits etablierten Erlaubnisverfahren für andere regulierte Finanzdienstleistungen gleichen soll. So sollen die einschlägigen Verordnungen – insbesondere die Anzeigenverordnung – anzuwenden sein. Hier verweist die BaFin auf das Merkblatt der Deutschen Bundesbank.
Anfangskapital
Antragssteller müssen nachweisen, dass sie über Anfangskapital in Höhe von mindestens EUR 125.000 verfügen.
Dies erscheint jedenfalls im Vergleich zu den Anfangskapitalanforderungen in Höhe von lediglich EUR 50.000, die etwa an Finanzportfolioverwalter oder andere Finanzdienstleister, die nicht an Eigentum oder Besitz von Kundengeldern gelangen, zunächst recht hoch. Insbesondere vor dem Hintergrund des nach Ansicht der BaFin sehr weit auszulegenden Tatbestand des Kryptoverwahrgeschäftes, wonach auch lediglich die laufende Wahrnehmung von Rechten aus Kryptowerten (= Verwaltung) von der Regulierung erfasst sein soll, ohne dass es zu einer Übertragung und Verwahrung der Kryptowerte oder deren dazugehöriger privater Schlüssel kommt.
Ob nun ein Anfangskapital in Höhe von mindestens EUR 125.000 für solche durch die weite Tatbestandsauslegung erfassten Geschäftsmodelle, deren Risikobewertung – auch aus Sicht der Kunden – teilweise eher gering ausfallen dürfte (wie etwa das Geschäftsmodelles eines Staking Infrastructure Providers), gerechtfertigt ist, kann zumindest bezweifelt werden.
Anzahl der erforderlichen Geschäftsleiter
Jedenfalls im Hinblick auf die erforderliche Anzahl von Geschäftsleitern weicht die BaFin nicht von ihrer– üblichen Verwaltungspraxis ab.
Soweit der Antragssteller ausschließlich Kryptowerte verwahren möchte – und keine anderweitigen Finanzdienstleistungen erbringen möchte, reicht grundsätzlich ein Geschäftsleiter.
Etwas Anderes gilt, wenn der Antragssteller gleich mehrere Arten von Finanzdienstleistung erbringen möchte (etwa wenn neben der Verwahrung von Kryptowerten auch andere Arten von Finanzinstrumenten, wie Rechnungseinheiten, verwahrt oder gehandelt werden sollen) oder, wenn aufgrund der Größe des Unternehmens sowie des Umfanges der Geschäftstätigkeit eine ordnungsgemäße Geschäftsorganisation mit nur einem Geschäftsleiter nicht gewährleistet werden kann. In diesen Fällen ist die Bestellung mindestens zweier Geschäftsleiter erforderlich.
E wie Erlaubnisfiktion
Im Hinblick auf Kryptoverwahrer, die von der vorübergehenden Erlaubnisfiktion des § 64y KWG profitieren, weist die BaFin darauf hin, dass diese die gesetzlichen Vorgaben zügig zu erfüllen haben. Zügig heißt: Umsetzung bis spätestens zum Ende der Übergangszeit. Zu den (jetzt schon prioritär) umzusetzenden gesetzlichen Vorgaben zählt auch die Prävention von Geldwäsche (zum Thema Kryptoverwahrer als GwG-Verpflichtete berichten wir im dritten Teil zu Kryptoverwahrern bald hier).
Sollte ein Unternehmen nicht in der Lage sein, die aufsichtsrechtlichen Erfordernisse innerhalb dieser Frist umzusetzen, sei regelmäßig eine Erlaubnis zu versagen. Eine Ausnahme von diesem Grundsatz könne nur dann gemacht werden, wenn die Gründe für die Verzögerungen nachvollziehbar erläutert werden und ein Zeitplan für die zügige Umsetzung vorgelegt wird. Die Unternehmen werden zudem dazu angehalten, eigenständig zu analysieren, welche (technischen) Risiken sie während der noch andauernden Umsetzung sehen und wie sie diesen begegnen werden.
F wie fachliche Eignung
Eine der besonders zentralen Voraussetzungen ist die fachliche Eignung der Geschäftsleiter des Antragstellers.
Auch hier sollen sich die Antragsteller zunächst an den allgemeinen Vorgaben orientieren (Merkblatt (zuletzt aktualisiert Mitte 2019) zu Geschäftsleitern gemäß KWG, ZAG und KAGB).
Bei der Prüfung der fachlichen Eignung eines Geschäftsleiters seien – wie stets – die theoretischen und praktischen Kenntnisse in den betreffenden Geschäften sowie Leitungserfahrung ausschlaggebend.
Hier macht die BaFin aufgrund des neuen und technischen Backgrounds allerdings Zugeständnisse:
So vertritt die BaFin die Auffassung, dass die technische Expertise eines Geschäftsleiters im Falle des Kryptoverwahrgeschäftes eine besondere Rolle spielen müsse und daher technische Expertise, wie etwa ein einschlägiges Studium und profunde praktische Erfahrungen mit Fragen der IT-Sicherheit, umfassend als fachliche Eignung „in den betreffenden Geschäften“ zu würdigen sei.
Überdies kündigt die BaFin an, konkret herausgehobene, d.h. entsprechend hierarchisch hoch angesiedelte, Tätigkeiten für Unternehmen, welche unter die Übergangsbestimmung des § 64y KWG fallen, als praktische Kenntnisse mit dem Kryptoverwahrgeschäft zu werten.
Es werde jedoch erwartet, dass Geschäftsleiter die von der Übergangsbestimmung eingeräumte Zeit auch für die Aneignung ggf. noch nicht vollumfänglich vorliegender Kenntnisse nutzen. Dies setze auch voraus, dass das Unternehmen über eine ausreichende personelle und organisatorische Ausstattung verfügt, die das (noch) geringe Maß an Kenntnissen des Geschäftsleiters temporär auffangen kann.
G wie…
Gebühr
Die Gebühr für die Erteilung einer Erlaubnis zum Erbringen des Kryptoverwahrgeschäftes beträgt EUR 10.750 und wird mit Erteilung der Erlaubnis fällig.
Auch im Falle der Versagung und der Rücknahme der Erlaubnis fallen (uu gleiche) Gebühren an.
Geschäftsplan
Dem Antrag ist darüber hinaus – wie auch bei anderen Erlaubnisanträgen üblich – ein Geschäftsplan beizufügen, der insbesondere folgende Informationen zu beinhalten hat:
I wie IT
Besonderen Wert legt die BaFin auf eine angemessene IT-Sicherheit. Über die Berücksichtigung und Implementierung der Mindestanforderungen an das Risikomanagement („MaRisk“) und die Bankaufsichtlichen Anforderungen an die IT („BAIT“) hinaus, erwarte man insbesondere Angaben zu der Ausgestaltung der IT-Systeme und der implementierten IT-Prozesse.
Im Fokus solle die Erläuterung der implementierten IT-Prozesse zur Sicherung kryptographischer Schlüssel liegen. Auch wird eine Darstellung der Sicherheitsstrategie, des Umgangs mit Sicherheitsvorfällen und eine Risikobewertung des Unternehmens sowie eine Darstellung der vorhandenen technischen und organisatorischen Verfahren im Umgang mit den kryptographischen Schlüsseln erwartet.
Darüber hinaus solle die technische Verwahrung der Kryptowerte praktisch erläutert werden, d.h. welche Form der Speicherung (z.B. „hot wallet“, „cold wallet“ – also die Verwahrung auf separaten Speichermedien wie USB-Sticks oder nicht mit dem Internet verbundenen Festplatten) genutzt wird und ob / wie Kryptowerte für einzelne Kunden in gesonderten oder gebündelten Wallets verwahrt werden.
Die von der BaFin konkret geforderten Sicherungsmaßnahmen (bzw. deren Beschreibung) zielen demnach im Schwerpunkt auf solche Geschäftsmodelle ab, die – jedenfalls auch – die Verwahrung und Sicherung kryptografischer Schlüssel zum Gegenstand haben (und nicht unbedingt auf die Verwaltung von Kryptowerten oder Schlüsseln). Ein detaillierter Überblick, über die einzureichenden Angaben und Unterlagen bezüglich des Nachweises einer ausreichenden IT-Sicherheit ist hier zu finden.
P wie Prävention
Kryptoverwahrer zählen seit dem 1. Januar 2020 – unabhängig davon, ob sie dem Anwendungsbereich der Übergangsbestimmung des § 64y KWG unterfallen oder nicht – zum Kreis der geldwäscherechtlich Verpflichteten (wir berichten ausführlich im dritten Teil bald hier).
Der Antragssteller hat daher neben der Darlegung eines effektiven Risikomanagements der BaFin die Bestellung eines Geldwäschebeauftragten und dessen Stellvertreter anzuzeigen.
Nähere Angaben zu den geldwäscherechtlichen Pflichten der Kryptoverwahrer liegen bislang noch nicht vor.
Z wie Zuverlässigkeit
Schließlich hat der Antragssteller die Zuverlässigkeit seiner Geschäftsleiter, seiner Inhaber bedeutender Beteiligungen (Personen, die entweder 10% des Kapitals / Stimmrechte halten oder maßgeblichen Einfluss auf das Unternehmen ausüben können) nachzuweisen.
Auch bei der Prüfung der Zuverlässigkeit kann im Grundsatz – wie bei der Prüfung der fachlichen Eignung der Geschäftsleiter – auf die allgemeinen Zuverlässigkeitsmaßstäbe zurückgegriffen werden. Im Grundsatz gilt: unzuverlässig ist, wer nicht die Gewähr dafür bietet, dass er seine Tätigkeit ordnungsgemäß ausüben wird. Berücksichtigt werden hier etwa das Vorliegen von Vorstrafen (besonders im Hinblick auf Vermögensstraftaten wie Betrug, Untreue oder Unterschlagung), etwaige Steuervergehen, aber auch das Vorliegen unverschuldeter „Mängel“.
Die Geschäftsleiter müssen zudem Interessenkonflikte vermeiden und der Aufgabe ausreichend Zeit widmen.
Fazit
Die BaFin gibt Kryptoverwahrern (in spe) mit dem Merkblatt eine hilfreiche Orientierung an die Hand. Die insgesamt als streng zu bewertenden Erlaubnisanforderungen mögen im Hinblick auf Geschäftsmodelle, die eine Sicherung und Verwahrung von kryptografischen Schlüsseln zum Gegenstand hat, wohl als angemessen zu bewerten sein; einzelne Anforderungen – wie etwa das Mindestanfangskapital – erscheinen insbesondere vor dem Hintergrund des weit gefassten Tatbestandes des Kryptoverwahrgeschäftes jedoch als unverhältnismäßig hoch. Es bleibt abzuwarten, ob die BaFin diesem Ungleichgewicht durch eine Feinjustierung ihrer Verwaltungspraxis entgegenwirken wird.