Welche Lizenzpflichten bringt MiCAR für Krypto-Dienstleister?
MiCAR-Lizenzpflichten für Krypto-Dienstleister
Die Markets-in-Crypto-Assets-Verordnung ist seit dem 30. Dezember 2024 vollständig in Kraft und schafft erstmals einen einheitlichen europäischen Lizenzrahmen für alle, die gewerblich Dienstleistungen rund um Kryptowerte erbringen. Das Kerninstrument: die CASP-Lizenz (Crypto-Asset Service Provider). Wer ohne sie operiert, handelt illegal.
Die drei Asset-Kategorien als Ausgangspunkt
MiCAR unterscheidet drei regulatorische Kategorien, an die jeweils spezifische Pflichten geknüpft sind:
| Kategorie | Beschreibung | Zuständige EU-Behörde |
|---|---|---|
| Utility Token | Zugangswerte zu einer Plattform/einem Dienst | Nationale Behörde (z.B. BaFin) |
| Asset-Referenced Token (ART) | Stablecoins mit Korb-Backing (z.B. mehrere Währungen) | EBA (signifikante ARTs) |
| E-Money Token (EMT) | Stablecoins mit Bezug auf eine einzige Fiatwährung | EBA (signifikante EMTs) |
Für ARTs und EMTs gelten die Regeln bereits seit dem 30. Juni 2024. Die vollständige CASP-Regulierung folgte zum Jahresende 2024.
Die CASP-Lizenz: Wer sie braucht und was sie kostet
Jedes Unternehmen, das in der EU gewerblich Krypto-Dienstleistungen erbringt, benötigt eine CASP-Zulassung von der nationalen Aufsichtsbehörde – in Deutschland also der BaFin. Die Lizenz wird dann über das EU-Passporting in allen 27 Mitgliedstaaten gültig, ohne dass in jedem Land ein separates Verfahren durchlaufen werden muss. ESMA führt das zentrale, öffentliche CASP-Register.
Die Mindestkapitalanforderungen staffeln sich nach Dienstleistungsart:
| Dienstleistung | Mindestkapital |
|---|---|
| Beratung zu Kryptowerten | 50.000 € |
| Verwahrung und Verwaltung / Handel auf eigene Rechnung | 125.000 € |
| Betrieb einer Handelsplattform | 150.000 € |
Neben Kapital verlangt MiCAR darüber hinaus:
- Interne Kontrollmechanismen und Risikobewertungsverfahren
- Liquiditätspuffer in Abhängigkeit von der Dienstleistung
- Governance-Strukturen mit klaren Verantwortlichkeiten
- Mechanismen zur Aufdeckung von Marktmissbrauch (Insider-Handel, Manipulation)
- Verschärfte AML/KYC-Pflichten, verstärkt durch die Travel Rule (Transfer-of-Funds-Regulation)
Whitepaper-Pflicht für Token-Emittenten
Wer Kryptowerte öffentlich anbietet oder zum Handel zulässt, muss vorab ein regulatorisches Whitepaper veröffentlichen. Es enthält Angaben zu Emittenten, Token-Mechanismus, Risiken und technischer Infrastruktur. ESMA hat dafür technische Regulierungsstandards (RTS) erarbeitet, die konkrete Format- und Inhaltsvorgaben machen. Kein Whitepaper, kein Angebot – die Aufsicht prüft die Einhaltung aktiv.
Sonderstellung von Banken: Notifikation statt Volllizenz
Das ist der für Kreditinstitute entscheidende Punkt: Banken sind von der regulären CASP-Lizenzpflicht ausgenommen. Stattdessen genügt eine Notifikation bei der BaFin, die spätestens 40 Arbeitstage vor dem Launch neuer Krypto-Dienstleistungen einzureichen ist. Die BaFin hat hierfür auf Basis von Art. 143(6) MiCAR ein vereinfachtes Verfahren entwickelt – ein vergleichendes Verfahren zwischen bisherigen KWG-Anforderungen und den MiCA-Pflichten.
Das verschafft regulierten Banken gegenüber reinen Krypto-Anbietern einen erheblichen Zeitvorteil, bedeutet aber nicht, dass die inhaltlichen MiCA-Anforderungen (Governance, Risikomanagement, AML) nicht gelten.
EBA-Rolle bei Stablecoins
Für signifikante ARTs und EMTs hat die EBA eine Direktaufsichtsfunktion – das ist eine Ausnahme vom sonst üblichen Prinzip, dass ESAs keine unmittelbare Aufsicht über einzelne Unternehmen ausüben. Die EBA erteilt Zulassungen, führt laufende Aufsicht und organisiert Aufsichtskollegs. Sie hat zudem RTS zu Eigenkapital, Liquidität und Governance speziell für Token-Emittenten erarbeitet und Leitlinien zur Abgrenzung von Krypto-Assets zu MiFID-II-Instrumenten publiziert.
Verzahnung mit DORA
Seit dem 17. Januar 2025 gilt DORA auch für MiCA-lizenzierte Krypto-Unternehmen. Das bedeutet: Schwerwiegende IT-Vorfälle müssen der Aufsicht umgehend gemeldet werden, inklusive Ursachenanalyse und Behebungsplan. IKT-Risikomanagement, Drittpartei-Management und – für größere Anbieter – Threat-Led Penetration Testing (TLPT) sind verpflichtend. Die Compliance-Last für CASP-Anbieter summiert sich also aus MiCAR-Anforderungen und DORA-Anforderungen.
Fristen und aktueller Stand
- 30.12.2024 – MiCAR vollständig anwendbar, CASP-Lizenzpflicht gilt
- 2. Juli 2026 – Deadline: Alle CASPs in der EU müssen eine vollständige MiCA-Erlaubnis besitzen; der bisherige Bestandsschutz für nach nationalem Recht bereits tätige Anbieter ist ausgelaufen
- Mitte 2025 – EU-weit über 400 CASP-Lizenzen erteilt; Deutschland, Niederlande und Luxemburg gehören zu den aktivsten Standorten
- Nationale Ebene (DE) – Das KMAG (Kryptomärkteaufsichtsgesetz) und das FinmadiG flankieren die EU-Verordnung auf nationalem Recht
Für noch nicht lizenzierte Anbieter wird das Zeitfenster bis Juli 2026 eng – insbesondere angesichts der Komplexität der BaFin-Verfahren und des Bedarfs an internen Compliance- und IT-Anpassungen.
Quellen
- Artikel: MiCA: Der regulatorische Urknall für Deutschlands Banken
- Artikel: Regulatory Outlook 2026/2027
- KB-Dossier ESMA: https://ask.agenticbanker.ai/finanzaufsicht/dossier_esma_aufsicht.html
- KB-Dossier EBA: https://ask.agenticbanker.ai/finanzaufsicht/dossier_eba_aufsicht.html
- KB-Dossier BaFin: https://ask.agenticbanker.ai/finanzaufsicht/dossier_bafin_aufsicht.html
- Regulierung: MiCAR – Verordnung (EU) 2023/1114
- Regulierung: DORA – Verordnung (EU) 2022/2554