Wie die Salzburg AG mit einer neuen Crowdinvesting-Plattform die Energiewende vorantreibt

01.07.2022

MiCA and TFR are finally out – Was verändert sich nun für Krypto-Unternehmen?

Am Abend des 30. Juni 2022 verkündet die EU-Kommission, der Europäische Rat und das EU-Parlament eine Einigung zu "Markets in Crypto Assets" (MiCA). Das sind die Ergebnisse.

/artikel/mica-and-tfr-are-finally-out-was-veraendert-sich-nun-fuer-krypto-unternehmen

✨ AI Kontextualisierung

Nachdem vorgestern bereits die Transfer of Funds Regulation (TFR) vereinbart werden konnte, einigte man sich gestern Nacht schließlich auch auf den finalen Text der Markets in Crypto Assets Regulation (MiCA), wobei sich einige doch eher überraschende Regelungen abzeichnen. Nichtsdestotrotz schaffen diese Einigungen unionsweit harmonisierte Regelungen, die die EU in vielen Belangen im Krypto-Bereich eine Pionierstellung einnehmen lässt.
Im folgenden Beitrag findet ihr die bisher bekannten Key Topics der MiCA und der TFR für Crypto Asset Provider (CASP)

Entstehungsgeschichte der MiCA

Entscheidender Anlass für die MiCA, deren erster Entwurf am 24.9.2020 durch die Europäische Kommission veröffentlicht wurde, war das Projekt Libra/Diem von Facebook/Meta. Dies erklärt auch den ursprünglichen Fokus der MiCA auf sog. “Stablecoins” (d.h. Krypto-Assets, die den Wert einer Fiat Währung, in aller Regel den USD, wertstabil darstellen sollen). Im Zuge der weiteren Verhandlungen wurde versucht, auch andere Krypto-Assets in den Anwendungsbereich der MiCA mitaufzunehmen; dies mit Erfolg.

Was bedeutet die MiCA nun für Krypto-Unternehmen?

Passporting für CASPs

Einheitliche Zulassung | Passporting. Geht man von der nunmehr erzielten Einigung aus, so benötigen Anbieter von Krypto-Asset-Diensten (kurz CASPs) nur mehr die Zulassung in einem einzigen EU-Mitgliedstaat, um in der gesamten Union tätig werden zu können (sog. Passporting). Dies löst somit die bisher gängige Praxis ab, dass CASP sich in jedem EU-Mitgliedstaat gesondert nach den dort jeweils geltenden Bestimmungen registrieren lassen mussten. Die Möglichkeit des Passportings, sollte CASPs die Expansion innerhalb der EU sohin deutlich erleichtern.

Schnellere Verfahren vor nationalen Behörden. Nationale Behörden sind nunmehr verpflichtet, die oben genannten Genehmigungen/Zulassungen innerhalb von drei Monaten zu erteilen. Auch im Kryptobereich sollte es im Gegensatz zu den bisher teilweise sehr langen Wartezeiten für CASPs nun daher möglich sein – bei richtiger Aufbereitung des Antrages und Vorliegen aller notwendigen Unterlagen – schnell eine Entscheidung der zuständigen Behörde zu erlangen.

NFTs doch von MiCA umfasst?

Lange war es – u.a. auch aufgrund des anfänglichen Fokus von MiCA auf Stablecoins – relativ unstrittig, dass Non-Fungible Tokens (NFTs) und NFT-Serien, wie etwa Cryptopunks oder Bored Apes, nicht von der MiCA umfasst sein sollten. Allerdings wurde mit der vorliegenden Einigung nun doch ein anderer Weg gewählt: NFTs (im Sinne ihres bisherigen Verständnis) könnten zumindest teilweise unter den Anwendungsbereich der MiCA fallen.

Manche NFTs wohl nicht von MiCA umfasst. Zunächst ist laut aktueller Pressemitteilung des Europäischen Rates davon auszugehen, dass jene NFTs, die einzigartige (physische oder “reale”) Objekte wie Kunst, Musik und Videos darstellen, ziemlich sicher vom Anwendungsbereich der MiCA ausgeschlossen sein werden. Der Europäische Rat spricht von “real objects like art, music and videos”, welche allesamt nicht unter die MiCA fallen.

Fractionalized NFTs und NFT-Kollektionen womöglich doch von MiCA umfasst. Im Zuge der abschließenden Verhandlungen zu MiCA wurde auch die Meinung vertreten, dass jene NFTs, die teilbar (sog. Fractionalized NFTs) oder Teil einer Sammlung/Serie sind (Cyberpunks, Bored Apes etc.), nicht als NFTs im vorgenannten Sinne zu verstehen sind. Argument hierfür ist, dass Fractionalized NFTs bzw. Gegenstände solcher Sammlungen/Serien zumindest ein gewisses Maß an Fungibilität besitzen würden. Sollte sich diese Meinung im finalen Text der MiCA durchsetzen, wäre der Anwendungsbereich der MiCA deutlich weiter und wären NFT-Kollektionen wie Cryptopunks wohl auch mitumfasst.

Unserer Meinung nach entspricht dieses Verständnis von NFTs jedoch nicht der bisher gelebten (rechtlichen und auch faktischen) Praxis. Bevor wir hierzu jedoch weiter Stellung nehmen können, gilt es noch den finalen Text der MiCA abzuwarten (gesonderter Beitrag folgt).

Strengere Regelungen für Stablecoin-Anbieter

1:1 Backing. Die bisherigen Verhandlungsergebnisse legen offen, dass Emittenten von Stablecoins hinkünftig eine ausreichend liquide Reserve im Verhältnis 1:1 der ausgegebenen Stablecoins und teilweise in Form von Einlagen bilden müssen. Dies soll die hinreichende Stabilität und Wertsicherheit des jeweiligen Stablecoins gewährleisten.

Umtauschanspruch. Ferner wird Stablecoin-Besitzern gegenüber Emittenten nun einen jederzeit ausübbarer, kostenloser Anspruch auf Umtausch eingeräumt. Dieser Forderung haben Emittenten ehestmöglich nachzukommen.

Ausgabe. Schließlich fallen alle Stablecoins unter die Aufsichtskompetenz der Europäischen Bankenaufsichtsbehörde (EBA). Miteingeschlossen ist die Verpflichtung von Stablecoin-Emittenten, sich vor Ausgabe eines Stablecoins in der EU zumindest in Form einer Teilniederlassung anzusiedeln. Nicht-EU-Playern wird in diesem Bereich sohin zusätzlicher Aufwand entstehen.

Blacklist bei Non-Compliance

Zwar wird das Thema der Geldwäsche- und Terrorismusfinanzierungsbekämpfung (kurz AML/CFT) in der MiCA nicht gesondert geregelt – hierzu wurde auf EU-Ebene ein eigenes Geldwäschepaket geschnürrt (gesonderter Beitrag folgt) – doch sieht MiCA dennoch vor, dass die Europäische Bankaufsichtsbehörde (EBA) mit der Führung eines öffentlichen Registers beauftragt wird, welches die mit den europäischen AML/CFT-Vorgaben nicht konformen Krypto-Asset-Dienstleister ausweisen soll.

Dieses Register ähnelt dem hierzulande bereits bekannten System der FMA (Investorenwarnung) und erachten wir daher als äußerst sinnvoll.

Kein Verbot des Proof-of-Work, aber zumindest “Klima-Awareness” von CASP

Die jetzige Einigung sieht vor, dass CASPs Informationen über ihren Umwelt- und Klima-Fußabdruck offenlegen müssen. Die ESMA ist nunmehr daran, Entwürfe technischer Regulierungsstandards für den Inhalt, die Methoden und die Darstellung dieser Informationen ausarbeiten. Inwiefern diese Regelungen daher in der Praxis zu behandeln sein werden, verbleibt bis dato noch offen.

Erweiterte AML Vorschriften: “Travel Rule” gilt nun auch für CASP

Die MiCA selbst enthält keine Regelungen zu AML/CFT. Es wurde aber ein eigenes Geldwäschepaket dazu geschnürt.

Travel Rule. Bedeutender Teil des Geldwäschepakets ist die Transfer of Funds Regulation (TFR). Sie hat zum Zweck, die von der FATF vorgegebene “Travel Rule” auch für den EU-Kryptomarkt zu implementieren. Dies bedeutet, dass CASPs dazu verpflichtet werden, bestimmte Informationen (Namen, Anschrift etc.) über den Auftraggeber sowie den Begünstigten einer Krypto-Transaktion zu sammeln und zu speichern.

Verpflichtete. Verpflichtete unter dem Anwendungsbereich der TFR sind alle CASPs im Sinne der MiCA; um einem weit verbreiteten Irrtum vorzubeugen: auch Krypto-ATMs sind hiervon mitumfasst. Folglich fallen nur Krypto-Transaktionen, an denen zumindest ein CASP beteiligt ist, unter das Regime der TFR. Ausgenommen sind dagegen sog. “Peer-to-Peer-Transfers”, dh Transaktionen an denen ausschließlich eigenständig verwaltete Wallets, sog. “Unhosted Wallets”, partizipieren. Demnach ergeben sich zwei Fallkonstellationen, die für die TFR relevant sind: zum einen Transaktionen, die zwischen CASPs durchgeführt werden, zum anderen Transfers zwischen CASPs und Unhosted Wallets. Der zweite Fall ist weiters in Transaktionen zwischen CASPs und Unhosted Wallets des eigenen Kunden einerseits sowie Transfers zwischen CASPs und Unhosted Wallets einer dritten Partei andererseits zu unterteilen.

Keine Schwellenwerte für CASP-CASP Transaktionen. Abweichend von den Vorgaben der Financial Action Task Force (FATF) enthält die TFR grundsätzlich keine Schwellenwerte (“Thresholds”). Es sind daher bei sämtlichen Transaktionen zwischen CASPs die durch KYC-Prozesse gesammelten, personenbezogenen Daten – unabhängig vom FIAT-Gegenwert einer Transaktion – zu übermitteln.

Sonderfall der Unhosted Wallet. Bei Transaktionen zwischen einem CASP und einer Unhosted Wallet eines Kunden dieses CASP hat der CASP erst ab einem Schwellenwert von EUR 1.000,- verpflichtend festzustellen, ob die Wallet tatsächlich seinem Kunden gehört. Sollten dagegen Transaktionen vom CASP zu Unhosted Wallets Dritter durchgeführt werden, so muss der CASP “bloß” angemessene risikobasierte Maßnahmen ergreifen (etwas, das in Österreich/Deutschland ohnehin auch schon jetzt so durch die FMA/BaFin verlangt wird). Das im Vorfeld befürchtete “Verbot von Unhosted Wallets” hat sich sohin nicht durchgesetzt und sind die jetzigen Regelungen als durchaus stimmig zu werten.

Conclusio

Auch wenn der finale Text der MiCA bzw. der TFR bis dato noch nicht veröffentlicht wurde, zeigt sich schon jetzt, dass die MiCA grundlegende Neuerungen für den europäischen Kryptomarkt mit sich bringen wird.

Dies ist unserer Meinung nach nicht nur sinnvoll sondern auch notwendig, da für eine breite Akzeptanz von Krypto sowohl institutionelle als auch private Anleger gleichermaßen Rechtssicherheit benötigen. Die Vorgabe eindeutiger Regelungen, insb für CASPs, stärkt sohin nicht nur den Wirtschaftsstandort EU sondern auch jene der Mitgliedstaaten und ist somit ein wichtiger Schritt in Richtung “Massentauglichkeit von Kryptos”.

Disclaimer: Die finalen Texte der MiCA und TFR liegen zum Zeitpunkt dieses Beitrages noch nicht vor und können von dem im Text dargestellten abweichen. Dieser Text sowie die Hinweise und Informationen stellen keine Rechtsberatung oder sonstige Empfehlung dar. Dieser Text kann keinesfalls eine individuelle Rechtsberatung ersetzen und dient lediglich der persönlichen Information. Dieser Text gibt überdies ausschließlich die Meinungen und Erfahrungen der Autoren wieder.

Über die Autoren

Dr. Martin Hanzl ist Head of New Technologies und Rechtsanwalt bei EY Law, Pelzmann Gall Größ Rechtsanwälte GmbH und betreut dort Mandant*innen unter anderem zu Fragen rund um neue Technologien (zB Registrierung als CASP, Smart Contracts, Einordnung von Krypto-Assets) sowie bei gesellschaftsrechtlichen Fragen rundum Finanzierungsrunden & Co. Zudem ist Martin in der Projektleitung des Blockchain and Smart Contracts Projektes des European Law Institute tätig. Martin ist Vortragender zu rechtlichen Themen rund um neue Technologien, Blockchain, Smart Contracts und Digitalisierung und publiziert hierzu regelmäßig.

LinktippMail an den Autor LinktippZum LinkedIn-Profil

Dr. Max Bernt ist Chief Legal Officer der Blockpit AG und war in dieser Funktion, sowie als Leiter der Working Group der International Association for Trusted Blockchain Applications (INATBA), auch aktiv in den politischen und rechtlichen Entstehungsprozess, sowohl der MiCA als auch der TFR, involviert. Max ist Vortragender zu rechtlichen Querschnittsmaterien im Kryptobereich, insbesondere im Zusammenhang mit straf- und steuerrechtlichen Fragen, und publiziert hierzu auch regelmäßig.

LinktippMail an den Autor LinktippZum LinkedIn-Profil

Deine ungelesenen Artikel:

Carolin Desirée Töpfer

02.06.2026

Cybersecurity: Was tun, wenn die KI angreift?

Gastbeitrag: Während große Konzerne aufgrund des regulatorischen Drucks ihr Cybersicherheits-Level hochschrauben, werden kleine Unternehmen für Angreifer immer interessanter. Mithilfe von Künstlicher Intelligenz erreichen Hacker ganz neue Umsatz-Dimensionen.

/artikel/cybersecurity-was-tun-wenn-die-ki-angreift

Carolin Desirée Töpfer

02.06.2026

Cybersecurity: Was tun, wenn die KI angreift?

/artikel/cybersecurity-was-tun-wenn-die-ki-angreift

Carolin Desirée Töpfer ist externe Chief Information Security Officer, Cybersecurity-Strategin und Gründerin von Cyttraction mit Fokus auf kosteneffizientes Risikomanagement, sichere KI-Nutzung und Cybersecurity-Zertifizierungen. Mit praxisnahen Lernformaten und strategischer Expertise unterstützt sie regulierte Unternehmen dabei, Sicherheitsanforderungen effizient umzusetzen und nachhaltige digitale Resilienz aufzubauen. In ihrem Beitrag warnt sie vor KI-Cyberangriffen und rät Startups und kleinen Unternehmen Cybersicherheit frühzeitig strategisch zu verankern.

„Wir konzentrieren uns jetzt erst mal auf Produkt, Teamaufbau und Sales – Cybersicherheit machen wir dann später.“ Ein Satz, den ich so oder ähnlich häufig von Gründer:innen höre – und der einige Unternehmen schon Multi-Millionen gekostet hat.

Identität stehlen

Cyberkriminelle haben seit KI ihr Repertoire erweitert und finden Milliarden von bereits geleakten Datasets, mit denen sie arbeiten können. Das Ergebnis sind nicht nur technische Attacken, die es in die Headlines internationaler Medien schaffen. Viel schmerzhafter ist es für Unternehmen, wenn es Angreifer zwischen Arbeitsprozesse schaffen, E-Mails und Nachrichten zwischen Team-Mitgliedern, Geschäftspartnern und mit Kunden manipulieren. Anweisungen versenden, die zweifellos echt aussehen und dann mit ganzen Sammlungen an sensiblen Daten verschwinden. Die Identität des CxO stehlen oder Entführungen von Führungskräften vortäuschen, um dem Unternehmen zu schaden.

Neben dem Zeitverlust, der Budget-Verschwendung und den Aufräum-Kosten, kommt dann auch noch der Vertrauensverlust am Markt hinzu, gegenüber Kunden und Investoren. Dinge, auf die Gründer:innen oft erst kommen, wenn es bereits zu spät ist.

„Gesunder Menschenverstand“ oder „Hausverstand“ existiert nicht in der Cybersicherheit!

Aufgrund der oft vernachlässigten digitalen Bildung in Schulen und da viele Arbeitgeber immer noch nicht in effektive Trainings investieren, kommen in jedem Unternehmen Menschen mit ganz unterschiedlichen digitalen Fähigkeiten zusammen. Das gilt für Startup-Teams, Kunden und Investoren gleichermaßen. Hinzu kommen volle ToDo-Listen, Stress-Situationen und die eigene Scham.

Angreifer lieben gestresste, beschämte Arbeitstiere!

Ob jemand in so einem Umfeld eine gefälschte KI-Mail erkennt, die im schlimmsten Fall noch aus dem echten Postfach eines gehackten Geschäftspartners kommt, ist nur noch Glücksfall.

Trotzdem gibt es Teams, die tägliche Angriffe auf allen Ebenen erfolgreich abwehren – weil sie eine holistische Cybersicherheits-Strategie implementiert haben. Diese besteht je nach Geschäftsmodell und Branche aus einem präzisen Projektmanagement und zwischen 60 und 90 Einzelmaßnahmen. Zweck ist in erster Linie der umfassende Schutz der eigenen Arbeit. Gleichzeitig erfüllt das Unternehmen damit Anforderungen von Kunden sowie regulatorische Vorgaben, von denen Gründer:innen oft nicht einmal wissen.

Erste Basis-Maßnahmen sind auch für Startups mit kleinem Budget machbar!

Jede/ r hat heutzutage Angst, gehackt zu werden, Geld zu verlieren und seine eigenen sensiblen Informationen öffentlich im Internet zu finden. Das sehe ich nicht nur an den Fragen, die ich über meine „Social Media“-Kanäle bekomme. Dabei können schon 30-Minuten-Team-Meetings einen enormen Unterschied machen. Offen über Angriffsszenarien und Ängste sprechen, gleichzeitig die aktuellen Sicherheits-Maßnahmen ins Gedächtnis rufen, erhöhen die Aufmerksamkeit für Cyber-Themen sofort!

Auch um Ruhe reinzubringen. Denn wer sowieso immer gleich springt, wenn eine neue Aufgabe um die Ecke kommt, wird wahrscheinlich auch die Aufgaben von Hackern erfüllen. Klare Arbeitsprozesse, 4-Augen-Prinzip und die allgemeine Erlaubnis im Team, Dinge kritisch zu durchdenken, noch zweimal nachzufragen, oder einfach mal kurz durchzuatmen, hat schon so einige teure Fehler verhindert.

Verantwortlichkeiten in ruhigen Zeiten klären

Den größten Hebel haben dabei Gründer und Entscheider. „Founder Mode“ bedeutet oft auch, vieles selbst zu machen. IT Systeme und Sicherheits-Lösungen sind mittlerweile aber so komplex, dass sich das Investment in einen seriösen IT-Dienstleister lohnt. Viele bieten auch eine Hotline für Notfälle an.

Wesentlich günstiger ist es allerdings, diese Notfälle zu verhindern. Denn nach meiner Erfahrung brauchen selbst schnelle kleine Unternehmen sechs bis zwölf Monate, um eine funktionierende Cybersicherheits-Strategie mit allen Maßnahmen aufzubauen. Neben den technischen Upgrades, müssen dabei auch die organisatorischen Strukturen sitzen.

Wo klar ist, wer was wann macht und auch, wer sich um die Cybersecurity Maßnahmen kümmert, Aufräum-Aktionen, Updates und Backups organisiert, geht weniger schief. Bei kleinen Unternehmen muss die Person nicht einmal einen IT-Hintergrund mitbringen. Es beginnt mit Interesse am Thema, Projektmanagement-Skills und der Bereitschaft, das Team regelmäßig mit aktuellen Informationen zu versorgen.

Konflikte eingehen, um sichere Lösungen zu finden

Und auch darum, Konfliktsituationen smart zu lösen. Zum Beispiel beim Thema „Zugriff und Zutritt„: Nicht jeder sollte Zugriff auf alles haben. Dabei geht es nicht darum, Team-Mitglieder zu degradieren, sondern eine saubere Segmentierung zu schaffen. Am stärksten trenne ich hier zwischen Marketing und Kern-Business.

Alles, was sowieso für die Öffentlichkeit und mit verschiedenen Partnern produziert wird, findet bei mir selbst sogar in einer anderen Firma statt. Für Kunden richten wir technische Lösungen und Prozesse ein, die kreatives Marketing erlauben, Kunden-Kommunikation klar strukturiert und gleichzeitig das eigentliche Geschäftsmodell und die damit verbundenen Daten auf einem hohen Level schützt. Wer mit besonders sensiblen Informationen arbeitet, seine Patente aus Forschung und Entwicklung schützen will oder an einer einzigartigen Datenbasis für KI-Modelle arbeitet, kann über Segmentierung kosteneffizient Datenintegrität dort gewährleisten, wo sie wirklich notwendig ist.

Solche Konzepte stehen und fallen mit sicheren Login-Lösungen und der Bereitschaft aller Nutzer, diese auch zu nutzen. Die Aktivierung von 2 Faktor- oder Multi-Faktor-Authentifizierung führt dabei immer wieder zu Diskussionen.

Passwörter reichen schon lange nicht mehr aus, um Accounts zu schützen. Häufig bekommen Nutzer nur über die Abfrage des 2. Faktors mit, dass gerade ein Angreifer versucht, in ihren Account zu kommen.

Keine Schatten-IT, keine Schatten-KI

Wesentlich einfacher wird es, wenn alle im Team wirklich nur die Accounts nutzen, die sie wirklich für ihre tägliche Arbeit brauchen – und die sichere Funktion dieser über regelmäßige Tests oder technisches Tracking sicherstellen. So lässt sich auch vermeiden, dass das eigene Unternehmen zehn Tage offline und per E-Mail nicht erreichbar ist. Wie es zuletzt einer Wiener Geschäftsinhaberin passiert ist.

Auch aus wirtschaftlichen Gründen, kaufen Unternehmen kaum noch komplette Enterprise-Lizenzen für alle Mitarbeiter. Und auch bei Startups lohnt es sich, Lizenzen mindestens einmal im Jahr auszumisten und den jeweiligen Support zu bitten, vorhandene Daten EU DSGVO-konform zu löschen. Denn Accounts die ordentlich gelöscht wurden, können auch nicht zu Datenlecks führen.

Das gleiche gilt für alle KI Tools. Wer ein klares Prüfschema verfolgt, sich nicht vom Hype treiben lässt, unkontrolliertes Vibe Coding verhindert und auch hier ungenutzte Accounts wieder ordnungsgemäß löscht, kann von KI Effizienz profitieren, ohne seine eigene Arbeit oder gleich das ganze Unternehmen zu zerstören.

Toll dass du so interessiert bist!
Hinterlasse uns bitte ein Feedback über den Button am linken Bildschirmrand.
Und klicke hier um die ganze Welt von der brutkasten zu entdecken.

brutkasten Newsletter

Aktuelle Nachrichten zu Startups, den neuesten Innovationen und politischen Entscheidungen zur Digitalisierung direkt in dein Postfach. Wähle aus unserer breiten Palette an Newslettern den passenden für dich.

Montag, Mittwoch und Freitag