Bitcoin, die erste erfolgreiche Blockchain mit dem gleichnamigen Kryptowert, zeigt seit 2009, dass auch dezentrale Technologien zuverlässig funktionieren können. Mit der Ethereum-Blockhain und den durch sie bekannt gewordenen Smart Contracts (dezentral auf einer Blockchain ausgeführte Programmcodes) kam 2015 eine neue Dimension hinzu. Hierdurch wurden dezentralisierte autonome Organisationen (DAOs: Token basierte Governance Strukturen), Initial Coin Offerings (ICOs - Emission von Token zum Zweck der Kapitalaufnahme) und eine nahezu unüberschaubare Zahl neuer Krypto-Token ermöglicht. Auch traditionelle Finanzinstrumente können als Token und somit als Eintrag in einen Distributed Ledger abgebildet werden und über die Blockchain emittiert und übertragen werden, etwa durch ein Security Token Offering (STO).

Aktuelle Erscheinungsformen, wie referenzwertgekoppelte Kryptowerte (so genannte „Stablecoins“), Decentralized Finance (Smart Contract-basierte Finanzdienstleistungen ohne Intermediäre) und Non-Fungible Token (NFT - Kryptotoken, die nicht untereinander austauschbar sind), zeigen eine eindeutige Tendenz auf: Technische Innovationen ermöglichen die Bereitstellung einer Infrastruktur, auf deren Grundlage sich immer neue Geschäfts- und Organisationsmodelle entwickeln können. Und das über Ländergrenzen und Jurisdiktionen hinweg und mit immer kürzer werdenden Innovationszyklen. Die DLT-Technologie spielt mittlerweile auch weltweit eine Rolle bei Überlegungen zur Schaffung von Zahlungsmitteln, die nahtlos in automatisierte und digitale Prozesse eingebunden werden kann (digitales, programmierbares Geld).

Die Distributed-Ledger- und Blockchain-Technologie sowie ihre Anwendungen sind noch immer in einer frühen Phase. Nicht zuletzt wegen ihres noch unklaren tatsächlichen Potentials lassen sich am Markt daher starke Schwankungen und Volatilitäten in der Bewertung von Kryptowerten beobachten. Daneben stellen Cyber-Risiken sowie intransparente Rollen und Verantwortlichkeiten bei Beteiligten in DLT-Infrastrukturen ernstzunehmende Probleme dar. Vor den damit verbundenen Risiken gerade für Anleger hat die BaFin bereits mehrfach deutlich gewarnt.

Disruptives Potenzial

Wenn Distributed-Ledger-/Blockchain-Technologien jedoch in der Zukunft diese Herausforderungen meistern und das ihnen zugesprochene Potenzial voll entfalten würden, dann hätte sie signifikante Auswirkungen auf die Art und Weise, wie Finanzdienstleistungen künftig erbracht werden. Insbesondere die vielfältigen Anwendungsfälle des Segments Decentralized Finance (DeFi) ähneln in vieler Hinsicht grundsätzlich denen des konventionellen Finanzsystems. Daher sind sie Gegenstand der Arbeiten von Standardsetzern und Aufsichtsbehörden weltweit, um Missbrauch und Risiken für die Integrität der Finanzmärkte adäquat zu begegnen. Konsequent zu Ende gedacht, wären in einer Welt, in der DLT und Blockchain als Basistechnologien genutzt würden, zumindest technisch gesehen keine klassischen Finanzintermediäre erforderlich, um Werte oder Rechte weltweit zu übertragen (Disintermediation). Neben den Risiken liegen darin auch viele Chancen, etwa durch sinkende Transaktionskosten etwa bei grenzüberschreitenden Zahlungen. Auch könnten sich gänzlich neue Geschäftsmodelle und Dienstleistungen etablieren, die den Bedürfnisseen eines digitalisierten Finanzmarktes gerecht werden und der gesamten Finanzindustrie neue Dynamik verleihen kann. Einen Ausschnitt dieser neuen Finanzwelt können wir schon jetzt in Form von neuen Produkten und Angeboten erkennen.

Regulatorische Dimension

Nichts ist so wichtig für neue Technologien und ein stabiles Finanzsystem wie Vertrauen in ihre Seriosität und langfristige Funktionsfähigkeit. Ausprägungen der DL-Technologie sind daher in vielfacher Hinsicht Gegenstand aufsichtlicher Befassung, was ihr Veränderungspotenzial für eine Vielzahl von Vorgängen auf dem Finanzmarkt widerspiegelt. Dazu gehören neben noch laufenden Arbeiten zur Erfassung möglicher Risiken für die Finanzstabilität auch konkrete gesetzgeberische Maßnahmen auf europäischer und nationaler Ebene. Die nachfolgenden Ausführungen sind nicht als umfassende Darstellung aller Rechtsakte im Zusammenhang mit der Distributed Ledger-/Blockchain-Technologie zu verstehen, sondern beleuchten nur eine Auswahl wichtiger Regulierungsvorhaben in jüngerer Zeit.

Regulierung auf EU-Ebene

Die Europäische Union hat weltweit eine Art Vorreiterrolle bei der Schaffung von Regeln für die Anwendung der DL-/Blockchain-Technologie auf dem Finanzmarkt übernommen. Im Mittelpunkt stehen dabei die am 20. April 2023 vom Europäischen Parlament und am 16. Mai 2023 vom Europäischen Rat verabschiedete Verordnung über Märkte für Kryptowerte (Regulation on Markets in Crypto-Assets - MiCAR), die Transfer of Funds Regulation (TFR) und auch die Verordnung zur Schaffung eines sogenannten DLT Pilot Regimes. Mithilfe dieser Rechtsakte soll ein verlässlicher, europaweit einheitlicher Rechtsrahmen für den rechtssicheren Umgang und auch die weitere Erprobung der DL-Technologie im Finanzmarkt geschaffen werden. Mit dem einheitlichen Regulierungsrahmen erkennt die Europäische Union das Potenzial der Distributed Ledger Technologie an und schafft einen Regulierungsrahmen, der viele der Herausforderungen der Distributed Ledger-/Blockchain-Technologie für Finanzstabilität, Marktintegrität und den kollektiven Verbraucherschutz adressieren soll. Dadurch wird letztlich auch mehr Vertrauen bei den Marktteilnehmern geschaffen.

Nationale Regulierung

Mit dem bereits 1998 mit Blick auf digitale Vermögenspositionen eingeführten Finanzinstrument der Rechnungseinheiten lag bereits seit langem eine geeignete Rechtgrundlage für die Erfassung bestimmter Kryptowerte im Aufsichtsrecht vor. Zum Jahresbeginn 2020 hat der Gesetzgeber dann Kryptowerte und das Kryptoverwahrgeschäft im Kreditwesengesetz (KWG) rechtlich verankert. Dazu kommt seit Juni 2021 das Gesetz über elektronische Wertpapiere (eWpG). Es ermöglicht unter anderem die Emission von Kryptowertpapieren, einer von zwei Kategorien für elektronische Wertpapiere. Im August 2021 ist zudem das neue Fondsstandortgesetz in Kraft getreten.

Aufsichtliche Dimension

Die in den vergangenen Jahren stark gewachsenen Märkte für Kryptowerte, die zunehmende Verflechtung mit dem klassischen Finanzsystem sowie die Vielzahl von Initiativen von Gesetzgebern und Standardsetzern haben dazu geführt, dass auch die Aufsicht sich immer intensiver mit den Entwicklungen rund die Distributed/Blockchain-Technologie beschäftigt hat. Übergeordnetes Ziel dabei ist, potenzielle Risiken für die Marktintegrität, die Finanzstabilität und nicht zuletzt den Verbraucherschutz möglichst früh zu erkennen und ihnen möglichst frühzeitig entgegen wirken zu können.

Finanzmarktintegrität

Zu den klassischen Aufgaben der BaFin gehört es auch zu prüfen, ob die Geschäfte neuer Marktteilnehmer oder neue Geschäftsmodelle etablierter Anbieter nach Maßgabe der Aufsichtsgesetze erlaubnispflichtig sind. Betreibt ein Anbieter Bankgeschäfte oder Finanzdienstleistungen nach dem Kreditwesengesetz (KWG), das Versicherungsgeschäft nach dem Versicherungsaufsichtsgesetz (VAG) oder Zahlungsdienste nach dem Zahlungsdiensteaufsichtsgesetz (ZAG) oder verwaltet er ein Investmentvermögen im Sinne des Kapitalanlagegesetzbuchs (KAGB), benötigt er für das Geschäft eine Erlaubnis. Hat ein Anbieter eine erlaubnispflichtige Tätigkeit bereits aufgenommen, ohne die Erlaubnis der BaFin zu haben, setzt die BaFin den Erlaubnisvorbehalt durch und sorgt dafür, dass die Geschäfte unverzüglich eingestellt und abgewickelt werden. Da es auf das Geschäftsmodell an sich ankommt und nicht auf die ihm zugrundeliegende Technologie, gelten diese Regeln grundsätzlich auch für Geschäfte die DLT/Blockchain nutzen. Andererseits haben die Gesetzgeber in Europa und Deutschland auf das Aufkommen neuartiger Geschäftsmodelle auf Basis von DLT/Blockchain bereits mit neuen Vorgaben reagiert, die ebenfalls aufsichtliche Erlaubnispflichten begründen.

Stellt die BaFin auf der Grundlage ihrer Ermittlungen fest, dass ein Betreiber nicht über eine aufsichtliche Erlaubnis verfügt, also Geschäfte unerlaubt betreibt, hat sie als Aufsichtsbehörde umfangreiche Befugnisse, um solchen Geschäften sofort ein Ende zu setzen. Stellt der Betreiber die unerlaubten Geschäfte auf erste Anforderung nicht freiwillig ein, untersagt die BaFin formell die Fortsetzung des unerlaubten Betriebs und ordnet die Abwicklung des bestehenden Geschäfts an. Je nach Lage des Einzelfalles erlässt sie zusätzliche Weisungen, die eine ordnungsgemäße Abwicklung sicherstellen sollen. Das gilt sowohl traditionelle Finanzgeschäfte als auch für erlaubnispflichtige Geschäfte mit Kryptowerten.

Eine wichtige Aufgabe der BaFin ist die Mitwirkung an der Geldwäscheprävention im deutschen Finanzsektor. Einen unverzichtbaren Beitrag zur Verringerung des mit dem Transfer von Kryptowerten verbundene Geldwäscherisikos leistet die am 1. Oktober 2021 in Kraft getretene Kryptowertetransferverordnung (KryptoWTransferV). Die Anordnung beinhaltet verstärkte Sorgfaltspflichten, die beim Transfer von Kryptowerten zu beachten sind. Die Regelung dient der Umsetzung der internationalen Standards der Financial Action Task Force (FATF - Empfehlung 16, sogenannte „Travel Rule“).

Kollektiver Verbraucherschutz

Im Juli 2015 sind wichtige Bestandteile des Kleinanlegerschutzgesetzes in Kraft getreten. Seitdem ist der kollektive Verbraucherschutz als Aufsichtsziel der BaFin gesetzlich verankert. Dementsprechend genau beobachtet die BaFin auch, welche Risiken für Anleger aus Kryptowerten und anderen Geschäftsmodellen auf Basis von DLT/Blockchain, erwachsen können. Bereits mehrfach hat die BaFin auf solche Risiken reagiert und entsprechende Warnmeldungen veröffentlicht. Schon im Dezember 2018 machte die Aufsicht in einem ausführlichen Beitrag im BaFinJournal zum Schwarzen Kapitalmarkt und in einer gemeinsamen Warnmeldung mit dem Bundeskriminalamt unter anderem auf die Gefahren von Zahlungstoken aufmerksam (siehe BaFinJournal Dezember 2018). Im Februar 2022 wies die BaFin unter anderem darauf hin, dass Investments in Kryptowerten sehr spekulativ seien – und ebenso riskant. Außerdem riet die BaFin potenziellen Anlegern, Empfehlungen in den sozialen Medien sehr gründlich zu prüfen. Anlagetipps, die in den sozialen Medien zu Kryptowerten und anderen Finanzprodukten kursierten, seien nicht verlässlich. Sie könnten sogar falsch, irreführend oder frei erfunden sein.

Aufsichtspraxis

Nach den gesetzlichen Regelungen beaufsichtigt die BaFin in Deutschland aktive Dienstleister, die Tätigkeiten rund um Kryptowerte erbringen. Das sind zum Beispiel Kryptohandelsplattformen, Aufsteller von Kryptoautomaten und Unternehmen, die das sogenannte Kryptoverwahrgeschäft erbringen oder Kryptowertpapierregister führen.

Das Kryptoverwahrgeschäft wurde durch das Gesetz zur Umsetzung der Änderungsrichtlinie zur vierten EU-Geldwäscherichtlinie (BGBl. I vom 19.12.2019, S. 2602) als neue Finanzdienstleistung in das Kreditwesengesetz (KWG) aufgenommen. Unternehmen, die diese Dienstleistungen erbringen wollen, benötigen seit dem Inkrafttreten des Gesetzes im Januar 2020 eine Erlaubnis der BaFin. Die wesentlichen Grundzüge des Erlaubnisverfahrens für das Kryptoverwahrgeschäft und die wesentlichen Anforderungen an die Erlaubniserteilung sind in der Veröffentlichung „Hinweise zum Erlaubnisverfahren“ enthalten. Darüber hinaus wird das Kryptoverwahrgeschäft in dem Merkblatt der Deutschen Bundesbank über die Erteilung einer Erlaubnis zum Erbringen von Finanzdienstleistungen vom 06.07.2018 behandelt.

Durch das Gesetz zur Einführung von elektronischen Wertpapieren (BGBl. Teil I, Nr. 29 vom 9. Juni 2021, S. 1423) wurde die Kryptowertpapierregisterführung als neue Finanzdienstleistung in das Kreditwesengesetz (KWG) aufgenommen. Unternehmen, die diese Dienstleistung erbringen wollen, benötigen seit dem Inkrafttreten des Gesetzes am 10. Juni 2021 eine Erlaubnis der BaFin. Hinweise zum Antrag auf eine Erlaubnis zur Kryptowertpapierregisterführung finden sich in einem Merkblatt der BaFin.

Ein wesentlicher Aspekt der Digitalisierung ist die zunehmende Abhängigkeit von funktionierenden IT-Infrastrukturen. Das rückt die Bedeutung von IT-Risiken in den Fokus, die mit zunehmenden Cyberattacken im Finanzsektor einhergeht. Die hohen Summen, die im Finanzsektor virtuell über die Grenzen von Ländern und Jurisdiktionen bewegt werden, sind ein lohnendes Ziel für Hacker. Diese Angreifer sind weltweit ebenfalls grenzüberschreitend aktiv. Und sie verfügen über das Know-how, selbst kleinste Sicherheitslücken in den IT-Infrastrukturen der Finanzunternehmen zu erkennen und als Einfallstor für ihre Attacken zu nutzen. Die BaFin hat auf die anhaltend hohe und weiter zunehmende IT-Bedrohungslage reagiert und zum Jahresbeginn 2016 eine eigene Organisationseinheit ins Leben gerufen, die sich ausschließlich mit Aspekten der IT-Sicherheit bei beaufsichtigten Organisationen beschäftigt. Außerdem hat die BaFin inzwischen Mindestanforderungen an die IT-Infrastrukturen von Banken, Versicherungen, Kapitalmarktdienstleistern und Anbietern von Zahlungsdiensten formuliert.

Mit DORA, der Verordnung (EU) 2022/2554 über die digitale operationale Resilienz im Finanzsektor (Digital Operational Resilience Act), hat die Europäische Union eine finanzsektorweite Regulierung für die Themen Cybersicherheit, IKT-Risiken und digitale operationale Resilienz geschaffen. Diese Verordnung trägt wesentlich dazu bei, den europäischen Finanzmarkt gegenüber Cyberrisiken und Vorfällen der Informations- und Kommunikationstechnologe (IKT) zu stärken. DORA wird ab dem 17. Januar 2025 anwendbar sein. Einen Überblick über DORA bietet die BaFin auf einer eigenen Übersichtsseite.

Finanzstabilität

Alle Anstrengungen von Finanzregulierung und Aufsicht dienen letztlich auch dem übergeordneten Ziel Finanzstabilität, die unbedingt notwendig ist, damit ein Finanzsystem seine Kernaufgabe als Transmissionsmechanismus der Volkswirtschaft wahrnehmen kann. Das zentrale Gremium für die makroprudenzielle Überwachung in Deutschland ist der Ausschuss für Finanzstabilität (AFS). Die makroprudenzielle Überwachung zielt darauf ab, systemische Risiken zu begrenzen und die Widerstandsfähigkeit des Finanzsystems präventiv zu stärken. Vertreter der BaFin, der Deutschen Bundesbank und des Bundesministeriums der Finanzen (BMF) bilden den AFS, da sie in ihren jeweiligen Funktionen als Aufsichtsbehörde, Zentralbank und zuständiges Ministerium eine zentrale Rolle bei der Wahrung der Finanzstabilität spielen.

In seinem im Juni 2022 veröffentlichten neunten Bericht an den Deutschen Bundestag zur Finanzstabilität in Deutschland kommt der AFS zu dem Schluss, dass zum Berichtszeitpunkt keine Indizien für Stabilitätsrisiken im deutschen Finanzsystem durch Kryptowerte erkennbar seien. Ein wichtiger Grund für die Risikoeinschätzung bei Kryptowerte sei, dass deren Marktkapitalisierung weiterhin vergleichsweise gering ist. Allerdings erforderten das starke Marktwachstum in diesem Bereich, die zunehmende Verflechtung mit dem traditionellen Finanzsystem und das Aufkommen neuer Instrumente, etwa durch Decentralised Finance, eine erhöhte Wachsamkeit.

Die BaFin wirkt aber nicht nur national Ebene im AFS an der makroprudenziellen Aufsicht mit, sondern auch auf europäischer Ebene in Gremien des Europäischen Ausschusses für Systemrisiken (European Systemic Risk Board – ESRB) und mit globalem Fokus beim Finanzstabilitätsrat (Financial Stability Board - FSB), die aktuelle Entwicklungen rund um das Thema die DLT/Blockchain ebenfalls sehr genau verfolgen.