03.04.2020

Hinweise zum Erlaubnisantrag für das Kryptoverwahrgeschäft der Bundesanstalt für Finanzdienstleistungsaufsicht vom 01.04.2020

Wie in ihren Aufsichtsschwerpunkten 2020 (zum Dokument hier, zu unserer Zusammenfassung hier) angekündigt, konkretisiert die Bundesanstalt für Finanzdienstleistungsaufsicht („BaFin") die Voraussetzungen für Kryptogeschäftsmodelle: Nachdem sie bereits am 02.03.2020 das Merkblatt mit Hinweisen zum Tatbestand des Kryptoverwahrgeschäfts veröffentlicht hatte, klärt sie nun mit ihren Hinweisen zum Erlaubnisantrag für das Kryptoverwahrgeschäft vom 01.04.2020 darüber auf, welche Anträge bis wann bei den Aufsichtsbehörden eingereicht werden müssen, damit das Kryptoverwahrgeschäft betrieben werden darf. Der Deutsche Gesetzgeber hatte das Kryptoverwahrgeschäft mit Wirkung zum 1. Januar 2020 unter Erlaubnispflicht gestellt und eine einheitliche EU-Regelung damit vorweggenommen.

Grundsätzliche Geltung des allgemeinen Erlaubnisverfahrens für Bankgeschäfte und Finanzdienstleistungen

Das Erlaubnisverfahren richtet sich auch für Unternehmen, die das Kryptoverwahrgeschäft betreiben wollen, grundsätzlich nach § 32 Abs. 1 des Kreditwesengesetzes ("KWG"). Sofern das Geschäftsmodell nicht auf die Verwahrung, Verwaltung oder die Sicherung von Kryptowerten im Sinne des KWG beschränkt ist, kann auch die Erlaubnispflicht für weitere Bankgeschäfte oder Finanzdienstleistungen bestehen oder die Beantragung zur Zulassung als Wertpapierhandelsunternehmen oder Wertpapierhandelsbank notwendig werden.

Übergangsbestimmung für Unternehmen, die das Kryptoverwahrgeschäft bereits vor dem 01.01.2020 betrieben haben

Gemäß § 64y KWG gilt die Erlaubnis zum Betreiben des Kryptoverwahrgeschäfts für die Unternehmen als vorläufig erteilt, die

  • das Krypotgeschäft am 01.01.2020 bereits formal betrieben haben,
  • bis zum 31. März 2020 der BaFin schriftlich anzeigt haben, einen vollständigen Erlaubnisantrag zum Betreiben des Kryptoverwahrgeschäfts einzureichen, und
  • die bis zum 30.11.2020 einen vollständigen Erlaubnisantrag zum Betreiben des Kryptoverwahrgeschäfts einreichen.

Hierbei gilt es, die Zeit zu nutzen und die verwendeten Systeme und Prozess an aufsichtsrechtlichen Anforderungen anzupassen. Andernfalls droht die Versagung der Erlaubnis. Unternehmen, die die vorgenannten Voraussetzungen nicht erfüllen, müssen abwarten, bis sie eine entsprechende Erlaubnis haben.

Inhalt des Erlaubnisantrages

Hinsichtlich des Inhalts des Erlaubnisantrages bietet das vorgenannte Merkblatt der Deutschen Bundesbank bereits eine erste Orientierung. Die zentralen Punkte darin sind:

  • Das Unternehmen muss ein Anfangskapital in Höhe von mindestens 125.000 Euro haben
  • Das Unternehmen muss sowohl über zuverlässige Inhaber als auch über zuverlässige und fachlich geeignete Geschäftsleiter verfügen.

Die BaFin räumt der technischen Expertise eines Geschäftsleiters im Falle des Kryptoverwahrgeschäftes eine besondere Rolle ein und wird daher – begrenzt auf diesen Tatbestand – technische Expertise, z.B. ein einschlägiges Studium und profunde praktische Erfahrungen mit Fragen der IT-Sicherheit, umfassend als fachliche Eignung „in den betreffenden Geschäften" (§ 25c Abs. 1 Satz 2 KWG) würdigen.

Werden vom Unternehmen ausschließlich Kryptowerte im Sinne des KWG verwahrt, so reicht grundsätzlich die Bestellung eines Geschäftsleiters. Wenn neben Kryptowerten auch andere Finanzinstrumente Gegenstand des Betriebes des Unternehmens sind oder weitere Geschäfte erbracht werden, sind jedoch grundsätzlich 2 Geschäftsleiter zu bestellen.

  • Dem Antrag ist ein Geschäftsplan beizufügen, der neben Planungen für die Bilanzen und die GuV der ersten drei vollen Geschäftsjahre, insbesondere den organisatorischen Aufbau und eine Darstellung der geplanten internen Kontrollverfahren zu beinhalten hat. Die Bilanzierung richtet sich dabei nach der RechKredV.
  • Es sind die Vorschriften zur Prävention der Geldwäsche und Terrorismusfinanzierung einzuhalten und ein Geldwäschebeauftragter sowie stellvertretender Geldwäschebeauftragter zu bestellen.
  • Das Unternehmen hat darzustellen, dass es über eine ordnungsgemäße Geschäftsorganisation verfügt. Hierbei sind insbesondere Angaben zu der IT-Strategie und der IT-Sicherheit zu machen. Auf Basis der Beschreibung der Geschäftstätigkeit sollte eine umfassende Beschreibung der implementierten IT-Systeme erfolgen. Die einzureichenden Angaben und Unterlagen sollten insbesondere die folgenden Punkte umfassen:
    • Erläuterung auf Basis des beschriebenen Geschäftsmodells, wie die technische Verwahrung der Kryptowerte praktisch erfolgt, d.h. welche Form der Speicherung (z.B. „hot wallet", „cold wallet") genutzt wird und ob und wie Kryptowerte für einzelne Kunden in gesonderten oder gebündelten Wallets verwahrt werden.
    • Detaillierte Darstellung der Geschäftsstrategie im Hinblick auf die geplante Tätigkeit.
    • Detaillierte Darstellung der IT-Strategie, welche die Anforderungen der MaRisk zu erfüllen hat: Dies beinhaltet insbesondere, dass die Geschäftsleitung eine nachhaltige IT-Strategie festlegt, in der die Ziele sowie die Maßnahmen zur Erreichung dieser Ziele dargestellt werden.
    • Umfassende Beschreibung der Architektur der IT-Systeme: Diese sollte sowohl Netzwerk- und Backup-Elemente als auch spezifische Hardware zur Verwahrung der Kryptowerte enthalten.
    • Darstellung der Sicherheitsstrategie: Die implementierten technischen und organisatorischen Sicherheitsmaßnahmen sind zu erläutern, ebenso wie die verwendeten Verschlüsselungsverfahren.
    • Angaben zu (wesentlichen) Auslagerungen und genutzten Cloud-Lösungen: Dabei sollten sämtliche Kooperationspartner, die bei der Durchführung des Kryptoverwahrgeschäfts mitwirken, genannt und deren jeweilige Rolle erläutert werden..
    • Risikobewertung und Erläuterung der Auswirkungen und Maßnahmen, etwa im Hinblick auf die Schutzbedarfsziele, den Verlust der kryptographischen Schlüssel, aber auch anderer maßgeblicher Daten und der IT-Infrastruktur.
    • Detaillierte Darstellung des Kryptokonzepts inkl. der IT-technischen Beschreibung der eingesetzten kryptographischen Funktionen und Verfahren: Es sind Angaben zu dem vorhandenen Notfallmanagement und zu den getroffenen Maßnahmen zu der Vermeidung des Verlustes der verwahrten Kryptowerte zu machen.
    • Identifizierung der Rollen mit Zugang zu sensiblen Daten und den verwahrten kryptographischen Schlüsseln sowie Angaben zu dem Rechte- und Rollenkonzept oder dem Berechtigungsmanagement.
    • Darstellung der eingerichteten Überwachungsverfahren, etwa des implementierten Monitorings der Systeme.

Wir beraten Sie gerne zum Erlaubnisantrag für das Kryptoverwahrgeschäft und in der Zeit danach.