Wie die Salzburg AG mit einer neuen Crowdinvesting-Plattform die Energiewende vorantreibt

27.03.2024

EU-REGULIERUNG

MiCA und Krypto-Anlageberatung: Was für Kund:innen sichergestellt werden muss

Gastbeitrag. Zahlreiche Dienstleistungen in Bezug auf Kryptowerte werden ab dem 30. Dezember 2024 durch MiCA einer Zulassungspflicht unterliegen. Was dabei zu beachten ist, erläutert Rechtsanwalt Philipp Ley in einer zweiteiligen Serie.

/artikel/mica-und-krypto-anlageberatung-teil1

✨ AI Kontextualisierung

Dieser Beitrag ist der erste einer zweiteiligen Serie zu MiCA und Anlageberatung. Teil 2 erscheint am Freitag und behandelt unter anderem die Anforderungen an Krypto-Anlageberater:innen.

Zahlreiche Dienstleistungen in Bezug auf Kryptowerte werden ab dem 30. Dezember 2024 durch die EU-Regulierung MiCA (Markets in Crypto Assets) einer Zulassungspflicht unterliegen. Beratung zu Kryptowerten darf ab diesem Zeitpunkt nur mehr dann erbracht werden, wenn eine entsprechende Zulassung vorab erworben wurde.

Die klassische Vermögensberatung hingegen unterliegt in Österreich seither der Gewerbeordnung. Wer zu Finanzierungen, Krediten oder Veranlagungen berät, hat einen Befähigungsnachweis für dieses Gewerbe zu erbringen.

In Zukunft werden Vermögensberater auch die Möglichkeit haben, Kryptowerte in ihr Beratungs-Portfolio aufzunehmen. Dies ist allerdings nur dann zulässig, wenn die Regelungen der MiCA eingehalten werden. Die Erlangung einer Gewerbeberechtigung ist für die Beratung zu Kryptowerten nicht vorgesehen. Stattdessen gelten ähnliche Zulassungsanforderungen an Berater zu Kryptowerten wie im Bereich der Anlageberatung zu Finanzinstrumenten.

Wann liegt eine Beratung zu Kryptowerten vor?

Beratung ist jede Abgabe personalisierter Empfehlungen an Kunden in Bezug auf Kryptowerte oder die Nutzung von diesbezüglichen Dienstleistungen. Irrelevant ist, ob die Initiative für die Abgabe einer solchen Empfehlung vom Kunden selbst oder vom Berater ausgeht.

Dieses Konzept ist im Wesentlichen bereits bekannt: Auch Anlageberatung zu Finanzinstrumenten liegt bereits dann vor, wenn die Aufforderung für die Abgabe einer Empfehlung vom Kunden ausgeht. Zunächst könnte man meinen, es werde in dieser Hinsicht alles beim Alten bleiben, schließlich dienten die Regelungen der MiFID II als Vorbild.

Die Regelung der MiCA geht allerdings weiter und bezieht sich nicht nur auf Kryptowerte, sondern ausdrücklich auch auf Dienstleistungen in Bezug auf Kryptowerte. Suchen Kunden etwa Auskunft zum Erwerb bestimmter Kryptowerte, liegt jedenfalls eine Beratungstätigkeit vor.

Die Tragweite dieser Bestimmung ist aber noch nicht abschließend geklärt. Denn dasselbe soll auch bei der Abgabe von Empfehlungen hinsichtlich der in der MiCA geregelten Dienstleistungen gelten. Dies erfasst wohl auch die Empfehlung bestimmter Dienstleister. Berater müssen sich daher im Klaren sein, dass auch die bloße Empfehlung bestimmter Dienstleister als Beratungstätigkeit erfasst sein kann.

Nunmehr ist daher zum Beispiel die Empfehlung eines Wallet-Anbieters genauso als Beratungsdienstleistung erfasst, wie die Empfehlung zum Kauf bestimmter Kryptowerte. Sucht etwa ein Kunde Auskunft, bei welchem der zahlreichen Anbieter er ein Konto erstellen soll, könnte dies bereits als Beratungstätigkeit von der MiCA erfasst sein.

Anders ausgedrückt: Vergleicht ein Kunde die verschiedenen Dienstleister auf dem Markt und sucht er konkret Rat, bei welchem er eine Wallet zur Verwaltung seiner Kryptowerte erstellen soll, stellt jede auf den Kunden zugeschnittene Empfehlung eine Beratungstätigkeit dar, die von den Regelungen der MiCA erfasst ist.

In diesem Zusammenhang wird der Berater zum Beispiel auch darüber aufzuklären haben, ob die angebotene Wallet die Verwaltung der privaten Schlüssel durch den Kunden selbst ermöglicht, oder ob diese vom Kunden selbst verwaltet werden (und was dies bedeutet).

Den weitaus häufigsten Fall der Beratungstätigkeit wird aber weiterhin die Beratung von Privatkunden darstellen, die Auskunft zu Kryptowerten zur Vermögensanlage suchen. Überlegt ein Kunde, sein Portfolio zu erweitern und in verschiedene Tokenprojekte zu investieren, unterliegt der Berater bei der Abgabe einer Empfehlung an den Kunden dem Regime der MiCA.

Eine Empfehlung liegt immer dann vor, wenn sie

sich auf den Kauf, Verkauf oder das Halten eines Kryptowerts bezieht oder
auf den Abschluss oder Nichtabschluss einer Dienstleistung zu Kryptowerten gerichtet ist, also beispielsweise die Empfehlung an einen Kunden seine Kryptowerte auf der Wallet eines bestimmten Anbieters zu verwalten.

Werden nur allgemeine Informationen in Bezug auf Kryptowerte erteilt oder Informationen zu Kryptowerten veröffentlicht, liegt darin noch keine personalisierte Empfehlung.

Durchführung sogenannter Eignungstests

Die vom Berater abgegebene Empfehlung muss stets auf den Kunden zugeschnitten sein. Zu diesem Zweck muss sich der Berater ein klares Bild über die persönlichen Verhältnisse des Kunden verschaffen und prüfen, ob die angedachte Empfehlung für den Kunden geeignet ist (Eignungstest). Es sind die Kenntnisse und Erfahrungen des Kunden mit Kryptowerten, die Anlageziele und die persönlichen finanziellen Verhältnisse zu erfragen.

Der Berater muss insbesondere über die Verlusttoleranz seiner Kunden Bescheid wissen, also wie viel Vermögen für die Investition in Kryptowerte vorhanden ist. Die Abgabe von Empfehlungen, die über die finanziellen Verhältnisse des Kunden hinausgehen, ist daher unzulässig. So sollte ein Berater einem Kunden nicht nahelegen, in bestimmte Kryptowerte zu investieren, wenn diese Investition zu einem Verlust des Großteils seines Vermögens führen könnte.

Der Berater muss daher folgende Schritte vornehmen:

Informationen über die persönlichen Verhältnisse des Kunden einholen;
prüfen, welche Kryptowerte oder Dienstleistungen für den Kunden geeignet sind;
eine persönliche Empfehlung an den Kunden abgeben.

Die Beratung wird regelmäßig in Form persönlicher Gespräche mit Kunden erfolgen. Ziel solcher Beratungsgespräche ist auch, dass der Kunde über die Funktion und Risiken der Blockchain und von Kryptowerten im Allgemeinen ausreichend informiert wird, der Kunde nur in jene Kryptowerte investiert, die im Einklang mit seinen Anlagezielen stehen und dass auf die persönlichen und finanziellen Verhältnisse Rücksicht genommen wird.

Wie können Berater die erforderlichen Informationen von Kunden einholen?

Die Einholung von Informationen vom Kunden ist der Abgabe einer Empfehlung vorgelagert. In welcher Form die Informationen von Kunden eingeholt werden, schreibt MiCA nicht vor. Zur Nachweisbarkeit der ordnungsgemäßen Beratungstätigkeit empfiehlt sich, die Informationen in Form von Fragebögen einzuholen. Dabei ist darauf zu achten, dass die Fragen an den Kunden nicht zu allgemein erfolgen und es gestatten, eine Beurteilung des Kunden vorzunehmen.

Anstatt etwa den Kunden zu fragen, wie viel Erfahrung er bereits mit Kryptowerten hat, könnte der Berater erfragen, mit welchen Kryptowerten und Dienstleistungen in Bezug auf Kryptowerte der Kunde vertraut ist. Einzelheiten dazu hat die Europäische Wertpapier- und Marktaufsichtsbehörde (ESMA) in ihrem dritten Konsultationspapier (Consultation Package 3) vom 25. März 2024 veröffentlicht.

Erhält ein Berater nicht die erforderlichen Informationen, darf er dem Kunden keine Kryptowerte empfehlen. Weigert sich ein Kunde daher, bestimmte Auskünfte zu erteilen, so muss der Berater ihn darauf hinweisen, dass er nicht tätig werden darf.

Im Zuge dieser Informationseinholung ist auch die Risikobereitschaft des Kunden zu erfragen. Zur Vereinfachung können die Berater ihre Kunden in Gruppen einteilen, etwa jene mit geringer, mittlere und hoher (spekulativer) Risikobereitschaft.

Relevant bleiben aber stets die mit dem konkreten Geschäft verbundenen Ziele des Kunden. So könnte ein risikobereiter Kunde auch zum Abschluss eines risikoarmen Geschäfts um Auskunft ersuchen. Neben der allgemeinen Risikobereitschaft des Kunden muss daher sichergestellt sein, dass der Berater in Kenntnis der jeweiligen Ziele des Kunden ist.

Erst in einem zweiten Schritt nimmt der Berater die Beurteilung der Eignung anhand der Angaben des Kunden vor (Eignungstest). Kommt ein Berater beispielsweise nach Klärung der persönlichen Verhältnisse zu dem Schluss, dass das konkret vom Kunden angedachte Geschäft zu risikoreich ist, empfiehlt er die Investition in andere Kryptowerte.

Dem Kunden ist ein Bericht über die Eignung zu übermitteln, in dem die erteilte Beratung festgehalten ist und dargelegt wird, wie diese Beratung den Präferenzen, Zielen und anderen Merkmalen der Kunden entspricht. Dieser Bericht wird in elektronischem Format erstellt und muss zumindest enthalten:

(allenfalls aktualisierte) Informationen über die Beurteilung der Eignung und
einen Überblick über die geleistete Beratung.

Philipp Ley ist Rechtsanwalt bei Stadler Völkel Rechtsanwälte. Zu seinen fachlichen Spezialisierungen zählen das Banken- und Kapitalmarktrecht, Finanzierungen sowie die rechtliche Beratung in sämtlichen Anwendungsbereichen der Blockchain-Technologie.

Deine ungelesenen Artikel:

Carolin Desirée Töpfer

02.06.2026

Cybersecurity: Was tun, wenn die KI angreift?

Gastbeitrag: Während große Konzerne aufgrund des regulatorischen Drucks ihr Cybersicherheits-Level hochschrauben, werden kleine Unternehmen für Angreifer immer interessanter. Mithilfe von Künstlicher Intelligenz erreichen Hacker ganz neue Umsatz-Dimensionen.

/artikel/cybersecurity-was-tun-wenn-die-ki-angreift

Carolin Desirée Töpfer

02.06.2026

Cybersecurity: Was tun, wenn die KI angreift?

/artikel/cybersecurity-was-tun-wenn-die-ki-angreift

Carolin Desirée Töpfer ist externe Chief Information Security Officer, Cybersecurity-Strategin und Gründerin von Cyttraction mit Fokus auf kosteneffizientes Risikomanagement, sichere KI-Nutzung und Cybersecurity-Zertifizierungen. Mit praxisnahen Lernformaten und strategischer Expertise unterstützt sie regulierte Unternehmen dabei, Sicherheitsanforderungen effizient umzusetzen und nachhaltige digitale Resilienz aufzubauen. In ihrem Beitrag warnt sie vor KI-Cyberangriffen und rät Startups und kleinen Unternehmen Cybersicherheit frühzeitig strategisch zu verankern.

„Wir konzentrieren uns jetzt erst mal auf Produkt, Teamaufbau und Sales – Cybersicherheit machen wir dann später.“ Ein Satz, den ich so oder ähnlich häufig von Gründer:innen höre – und der einige Unternehmen schon Multi-Millionen gekostet hat.

Identität stehlen

Cyberkriminelle haben seit KI ihr Repertoire erweitert und finden Milliarden von bereits geleakten Datasets, mit denen sie arbeiten können. Das Ergebnis sind nicht nur technische Attacken, die es in die Headlines internationaler Medien schaffen. Viel schmerzhafter ist es für Unternehmen, wenn es Angreifer zwischen Arbeitsprozesse schaffen, E-Mails und Nachrichten zwischen Team-Mitgliedern, Geschäftspartnern und mit Kunden manipulieren. Anweisungen versenden, die zweifellos echt aussehen und dann mit ganzen Sammlungen an sensiblen Daten verschwinden. Die Identität des CxO stehlen oder Entführungen von Führungskräften vortäuschen, um dem Unternehmen zu schaden.

Neben dem Zeitverlust, der Budget-Verschwendung und den Aufräum-Kosten, kommt dann auch noch der Vertrauensverlust am Markt hinzu, gegenüber Kunden und Investoren. Dinge, auf die Gründer:innen oft erst kommen, wenn es bereits zu spät ist.

„Gesunder Menschenverstand“ oder „Hausverstand“ existiert nicht in der Cybersicherheit!

Aufgrund der oft vernachlässigten digitalen Bildung in Schulen und da viele Arbeitgeber immer noch nicht in effektive Trainings investieren, kommen in jedem Unternehmen Menschen mit ganz unterschiedlichen digitalen Fähigkeiten zusammen. Das gilt für Startup-Teams, Kunden und Investoren gleichermaßen. Hinzu kommen volle ToDo-Listen, Stress-Situationen und die eigene Scham.

Angreifer lieben gestresste, beschämte Arbeitstiere!

Ob jemand in so einem Umfeld eine gefälschte KI-Mail erkennt, die im schlimmsten Fall noch aus dem echten Postfach eines gehackten Geschäftspartners kommt, ist nur noch Glücksfall.

Trotzdem gibt es Teams, die tägliche Angriffe auf allen Ebenen erfolgreich abwehren – weil sie eine holistische Cybersicherheits-Strategie implementiert haben. Diese besteht je nach Geschäftsmodell und Branche aus einem präzisen Projektmanagement und zwischen 60 und 90 Einzelmaßnahmen. Zweck ist in erster Linie der umfassende Schutz der eigenen Arbeit. Gleichzeitig erfüllt das Unternehmen damit Anforderungen von Kunden sowie regulatorische Vorgaben, von denen Gründer:innen oft nicht einmal wissen.

Erste Basis-Maßnahmen sind auch für Startups mit kleinem Budget machbar!

Jede/ r hat heutzutage Angst, gehackt zu werden, Geld zu verlieren und seine eigenen sensiblen Informationen öffentlich im Internet zu finden. Das sehe ich nicht nur an den Fragen, die ich über meine „Social Media“-Kanäle bekomme. Dabei können schon 30-Minuten-Team-Meetings einen enormen Unterschied machen. Offen über Angriffsszenarien und Ängste sprechen, gleichzeitig die aktuellen Sicherheits-Maßnahmen ins Gedächtnis rufen, erhöhen die Aufmerksamkeit für Cyber-Themen sofort!

Auch um Ruhe reinzubringen. Denn wer sowieso immer gleich springt, wenn eine neue Aufgabe um die Ecke kommt, wird wahrscheinlich auch die Aufgaben von Hackern erfüllen. Klare Arbeitsprozesse, 4-Augen-Prinzip und die allgemeine Erlaubnis im Team, Dinge kritisch zu durchdenken, noch zweimal nachzufragen, oder einfach mal kurz durchzuatmen, hat schon so einige teure Fehler verhindert.

Verantwortlichkeiten in ruhigen Zeiten klären

Den größten Hebel haben dabei Gründer und Entscheider. „Founder Mode“ bedeutet oft auch, vieles selbst zu machen. IT Systeme und Sicherheits-Lösungen sind mittlerweile aber so komplex, dass sich das Investment in einen seriösen IT-Dienstleister lohnt. Viele bieten auch eine Hotline für Notfälle an.

Wesentlich günstiger ist es allerdings, diese Notfälle zu verhindern. Denn nach meiner Erfahrung brauchen selbst schnelle kleine Unternehmen sechs bis zwölf Monate, um eine funktionierende Cybersicherheits-Strategie mit allen Maßnahmen aufzubauen. Neben den technischen Upgrades, müssen dabei auch die organisatorischen Strukturen sitzen.

Wo klar ist, wer was wann macht und auch, wer sich um die Cybersecurity Maßnahmen kümmert, Aufräum-Aktionen, Updates und Backups organisiert, geht weniger schief. Bei kleinen Unternehmen muss die Person nicht einmal einen IT-Hintergrund mitbringen. Es beginnt mit Interesse am Thema, Projektmanagement-Skills und der Bereitschaft, das Team regelmäßig mit aktuellen Informationen zu versorgen.

Konflikte eingehen, um sichere Lösungen zu finden

Und auch darum, Konfliktsituationen smart zu lösen. Zum Beispiel beim Thema „Zugriff und Zutritt„: Nicht jeder sollte Zugriff auf alles haben. Dabei geht es nicht darum, Team-Mitglieder zu degradieren, sondern eine saubere Segmentierung zu schaffen. Am stärksten trenne ich hier zwischen Marketing und Kern-Business.

Alles, was sowieso für die Öffentlichkeit und mit verschiedenen Partnern produziert wird, findet bei mir selbst sogar in einer anderen Firma statt. Für Kunden richten wir technische Lösungen und Prozesse ein, die kreatives Marketing erlauben, Kunden-Kommunikation klar strukturiert und gleichzeitig das eigentliche Geschäftsmodell und die damit verbundenen Daten auf einem hohen Level schützt. Wer mit besonders sensiblen Informationen arbeitet, seine Patente aus Forschung und Entwicklung schützen will oder an einer einzigartigen Datenbasis für KI-Modelle arbeitet, kann über Segmentierung kosteneffizient Datenintegrität dort gewährleisten, wo sie wirklich notwendig ist.

Solche Konzepte stehen und fallen mit sicheren Login-Lösungen und der Bereitschaft aller Nutzer, diese auch zu nutzen. Die Aktivierung von 2 Faktor- oder Multi-Faktor-Authentifizierung führt dabei immer wieder zu Diskussionen.

Passwörter reichen schon lange nicht mehr aus, um Accounts zu schützen. Häufig bekommen Nutzer nur über die Abfrage des 2. Faktors mit, dass gerade ein Angreifer versucht, in ihren Account zu kommen.

Keine Schatten-IT, keine Schatten-KI

Wesentlich einfacher wird es, wenn alle im Team wirklich nur die Accounts nutzen, die sie wirklich für ihre tägliche Arbeit brauchen – und die sichere Funktion dieser über regelmäßige Tests oder technisches Tracking sicherstellen. So lässt sich auch vermeiden, dass das eigene Unternehmen zehn Tage offline und per E-Mail nicht erreichbar ist. Wie es zuletzt einer Wiener Geschäftsinhaberin passiert ist.

Auch aus wirtschaftlichen Gründen, kaufen Unternehmen kaum noch komplette Enterprise-Lizenzen für alle Mitarbeiter. Und auch bei Startups lohnt es sich, Lizenzen mindestens einmal im Jahr auszumisten und den jeweiligen Support zu bitten, vorhandene Daten EU DSGVO-konform zu löschen. Denn Accounts die ordentlich gelöscht wurden, können auch nicht zu Datenlecks führen.

Das gleiche gilt für alle KI Tools. Wer ein klares Prüfschema verfolgt, sich nicht vom Hype treiben lässt, unkontrolliertes Vibe Coding verhindert und auch hier ungenutzte Accounts wieder ordnungsgemäß löscht, kann von KI Effizienz profitieren, ohne seine eigene Arbeit oder gleich das ganze Unternehmen zu zerstören.

Toll dass du so interessiert bist!
Hinterlasse uns bitte ein Feedback über den Button am linken Bildschirmrand.
Und klicke hier um die ganze Welt von der brutkasten zu entdecken.

brutkasten Newsletter

Aktuelle Nachrichten zu Startups, den neuesten Innovationen und politischen Entscheidungen zur Digitalisierung direkt in dein Postfach. Wähle aus unserer breiten Palette an Newslettern den passenden für dich.

Montag, Mittwoch und Freitag