Es gilt das gesprochene Wort!

Sehr geehrte Damen und Herren, liebe Gäste aus Wissenschaft und Wirtschaft,

ich freue mich, Sie heute hier auf der BaFinTech persönlich begrüßen zu dürfen. Wie Frau Roth gerade gesagt, bin ich erst seit November 2021 als Exekutivdirektorin bei der BaFin und insofern ist diese BaFinTech für mich eine Premiere.

Wir als Veranstalter sehen die BaFinTech als Möglichkeit, unsere Erkenntnisse mit Ihnen, unseren Gästen, zu teilen, und schätzen sie als Gelegenheit, auch offen über Herausforderungen für uns als Aufseher zu sprechen und auch ihren Input zu erhalten.

Ein Thema das uns, nach meiner Einschätzung, künftig verstärkt beschäftigen wird, ist „decentralised finance“ (kurz DeFi).

DeFi ist kein feststehender Begriff und Sie finden dazu auch noch keine juristische Definition in den Aufsichtsgesetzen. Am ehesten ist DeFi der Überbegriff für die Anwendungen eines alternativen Finanzsystems auf der Grundlage der distributed ledger Technologie (DLT) oder (technisch unkorrekt) auf der Basis einer Blockchain. Damit können bekannte Angebote des traditionellen Finanzmarktes technisch so umgesetzt werden, dass keine zentralen Intermediäre mehr erforderlich sind. Hierin besteht auch der zentrale Unterschied zu einem anderen Begriff: nämlich FinTech, der allgemein wesentlich bekannter ist. Beide Begriffe verbindet der technologiefixierte Ansatz und die bewusste Abgrenzung zum traditionellen Finanzmarkt. FinTechs sind aber letztlich Unternehmen, die als zentrale Intermediäre auftreten.

Solche dezentralisierten Angebote s übertragen die Idee hinter Bitcoin oder Ethereum auf die weiteren Wertschöpfungsketten des Finanzsystems. Was DeFi vielleicht besonders macht, ist das hier das spezielle Narrativ, die Vision des Kryptosektors, nochmal deutlicher hervortritt: DeFi verzichtet auf die bekannten Intermediäre, die Banken, Fonds oder Versicherungen, aber auch auf die staatliche Regulierung, weil das alles mindestens überflüssig, vielleicht sogar schädlich ist. Der Smart Contract ersetzt das Vertrauen zwischen den Vertragspartnern und die Dezentralisierung bringt die Transparenz, die Demokratisierung des Finanzsystems und hilft den weniger Privilegierten. Das alles schwankt dabei zwischen romantischem Technik-Optimismus und knallhartem Anarcho-Kapitalismus.

Wie muss ich mir das vorstellen?

Wollen Sie traditionell ein Darlehen abschließen, gehen Sie als Kunde mit ihren individuellen Vorstellungen zu ihrer Bank, sprechen mit einem Kundenberater, die prüft Ihre Kreditwürdigkeit und fordert gegebenenfalls Sicherheiten und nach einer gewissen Zeit landet ihr Darlehen auf ihrem Bankkonto.

Im DeFi-Bereich finden Sie vergleichbare Angebote. Hier leihen Sie sich kein Geld, sondern Kryptowerte, wie Bitcoin oder andere Ether. Dazu suchen Sie auch keine Filiale auf, sondern interagieren über das Internet mit einem Computer-Protokoll, dem sogenannten Smart Contract (der, das nur am Rande gesagt, weder smart, noch ein Vertrag ist). In diesem Smart Contract sind die Bedingungen für die Ausreichung des Darlehens, zum Beispiel Art und Höhe der zu leistenden Sicherheit, fest einprogrammiert. Eine Möglichkeit Bedingungen flexibel auszuhandeln haben Sie in der Regel nicht. Erfüllen Sie die Voraussetzungen, erhalten Sie Ihre Auszahlung innerhalb weniger Augenblicke über die Blockchain auf ihre dortige Adresse.

Nach der reinen DeFi-Lehre kommt dieser Smart Contract ohne eine zentrale Instanz, ohne Geschäftsleiter, Kreditausschuss, Institutszentrale oder ähnliches aus. Alle Entscheidungen, die nicht automatisiert sind, trifft im besten Fall das pseudonyme Kollektiv der weltweit verteilten zugelassenen Nutzer.

Um diese Idee herum ist inzwischen ein ganzes Ökosystem entstanden, das den Nutzern nahezu die volle Bandbreite des traditionellen Finanzmarktes bietet: Sie haben Tausch- oder Handelsplattformen für Kryptowerte; Sie können diese gegen Gebühr leihen oder verleihen, Versicherungen abschließen, derivative Produkte erwerben oder ihre Kryptowerte automatisiert verwalten lassen.

Wie Sie an der Bezeichnung „decentralised finance“ aber schon merken, beinhalten die meisten dieser Angebote Tätigkeiten, die solchen aus dem traditionellen Finanzmarkt nachgebildet sind – und dort nur von zugelassenen und beaufsichtigten Instituten erbracht werden dürfen.

Bei aller Begeisterung für die Vision/ den Traum von DeFi und die technischen Innovationen, die so etwas wie DeFi möglich machen, muss man klar sagen, dass bei DLT-basierten Angeboten, die erlaubnispflichtige Dienstleistungen im Inland anbieten, das nationale Aufsichtsrecht genauso zur Anwendung kommt, wie im traditionellen Finanzbereich. Die Nutzung einer neuen Technologie für den Kundenkontakt führt nicht dazu, dass das Geschäftsmodell einen regulatorischen Freibrief bekommt. Das ist für die BaFin kein neuer Standpunkt. Diese Linie können Sie in unseren Veröffentlichungen bis 2013 zum ersten Merkblatt zur aufsichtsrechtlichen Behandlung von Bitcoin zurückverfolgen (womit wir damals übrigens absoluter Vorreiter waren).

Unabhängig davon liefert die aktuelle Praxis im DeFi-Bereich auch die besten Argumente für eine Regulierung. Die Szene ist reich an Hacks, technischen Problemen und betrügerischen Aktivitäten:

Alleine in den letzten Monaten hatten wir große Hacks bei den DeFi-Angeboten Poly Networks, Wormhole und Ronin bei denen die Angreifer Kryptowerte im Gegenwert von mehr als 1,5 Milliarden US-Dollar entwenden konnten. Hinter einem der Hacks soll eine Tätergruppierung stecken, die mit Unterstützung Nordkoreas operiert; Ende April nutzten Angreifer sogar ein DeFi-Darlehen, um ein anderes DeFi-Angebot kurzzeitig zu kontrollieren und Kryptowerte im Wert von mehr als 30 Millionen USD umzuleiten.

Das ist nur die Spitze des Eisbergs; die Liste ließe sich beliebig fortsetzen.

Die Nutzer dieser Angebote sind dabei die Verlierer – denn sie stehen als einzelne Kunden selbstverständlich unterlegen technisch hochgerüsteten Kriminellen gegenüber. Es sind ihre Kryptowerte, mit denen sich die Täter davonmachen. Eine geordnete Entschädigung gibt es nicht. Wie auch, wenn der völlig unregulierte Smart Contract kein Mitglied im Einlagensicherungsfonds ist.

Gleichzeitig macht die Möglichkeit der pseudonymen Nutzung diese Angebote natürlich für Kriminelle und Terroristen interessant, die hierüber ohne Berührung mit dem traditionellen Finanzwesen und den von den Aufsehern dort bereits erfolgreich implementierten Kontrollen, Kryptowerte oder andere Vermögenswerte transferieren können.

Und schließlich stellen sich für die Nutzer solcher Angebote auch eine Vielzahl ganz praktischer Fragen: Wer erklärt mir eigentlich die Risiken dieses Angebotes? Wer ist mein Vertragspartner? An wen kann ich mich wenden, wenn es Probleme gibt? Kann ich Probleme gerichtlich klären lassen? Welches Recht liegt meinen Verträgen eigentlich zugrunde? Alles klassische Fragen des Verbraucherschutzes.

Würde die BaFin diese Reihe an Problemen und offenen Fragen bei beaufsichtigten Unternehmen tolerieren? Natürlich nicht! Derartige Probleme sind im Finanzmarkt schon seit langem bekannt und regulatorisch weitestgehend abgestellt.

Hier entwickelt sich ein Markt, der sich noch in einem weitestgehend unregulierten Zustand befindet, sozusagen der Wilde Westen. Aktuell mag das mit Blick auf die geringe Verbreitung und das Fehlen spezifisch deutscher Angebote noch vernachlässigbar erscheinen; wenn DeFi aber, wie es sich auch die Verfechter und Fans wünschen, eine echte Konkurrenz zum traditionellen Finanzmarkt werden und sich die Kundenbasis verbreitern soll, dann wird dies meiner Ansicht nach nicht ohne Regulierung funktionieren, da Gesetzgeber und Aufsicht die Risiken von Hacks, betrügerischen Projekten (sogenannten rug pulls) und Geldwäsche nicht dulden können.

Wie aber würde eine Aufsicht funktionieren? Im traditionellen Finanzmarkt knüpft die Aufsicht immer an das Institut an, also das Unternehmen, das als zentraler Betreiber und Anbieter der Tätigkeit auftritt. Im DeFi-Bereich soll es solche zentralen Instanzen aber gerade nicht geben.

Auch wenn wir bei unseren laufenden Analysen neuer als dezentralisiert beworbenen Angebote regelmäßig keine zentralen Unternehmen finden, konnten wir aber fast immer feststellen, dass die Dezentralität weniger stark ausgeprägt ist, als es die Philosophie nahelegen würde. Es findet sich eigentlich immer eine kleine Gruppe aktiver Entwickler, die den gesamten Code programmiert haben, die Updates entwickeln oder sogar die Mehrheit der Governance-Token kontrollieren. Manchmal ist das auch eine angeblich neutrale „Stiftung“. Wenn eine solche Gruppe oder Institution aber das Projekt kontrolliert, spricht aus unserer Sicht nichts dagegen, die Mitglieder auch als Betreiber einzustufen und mit den etablierten Regeln des Aufsichtsrechts falls erforderlich gegen sie vorzugehen.

Wir Aufseher müssen also die aufsichtsrechtlich relevanten Tätigkeiten eines DeFi-Angebotes identifizieren und analysieren, ob einzelne Personen oder Gruppen hier eine beherrschende Funktion ausüben. Ob ich einen Vermögensverwaltungsvertrag traditionell auf Papier entwerfe oder diese Verwaltung für mein DeFi-Projekt in einem Smart Contract programmiermäßig umsetze, macht aus unserer Sicht keinen Unterschied.

Daneben haben wir den Vorteil, dass auch DeFi-Nutzer auf gesetzliche Zahlungsdienste angewiesen sind. Durch die hohe Volatilität, die erheblichen Transaktionskosten und die technische Komplexität haben sich Ether oder Bitcoin bis heute nicht als Zahlungsmittel etablieren können. Wer also seine Miete oder den Kaffee bezahlen will, kommt nicht um einen Umtausch seiner Token herum. Umgekehrt müssen zum Erwerb von Kryptowerten gesetzliche Zahlungsmittel in Kryptowerte umgewandelt werden. Über „On- and Off-Ramps“, also „Anschlussstellen“ gibt es hier regelmäßig eine Verknüpfung mit dem traditionellen Finanzsystem - und damit zu Anbietern wie Banken, die unter unserer Aufsicht stehen.

In einer nächsten Stufe könnte man dann darüber nachdenken, ob nicht auch Zugangsprovider taugliche Adressaten sein können. Das deutsche Aufsichtsrecht würde so etwas mit der Rechtsfigur des Einbezogenen sogar schon ermöglichen. Darunter versteht das Kreditwesengesetz Beteiligte, die in die Anbahnung, den Abschluss oder die Abwicklung der Geschäfte einbezogen sind.

Meiner Meinung nach sind allerdings Regulierungs- und Aufsichtsansätze, die nur auf das Marktgeschehen reagieren, etwas zu kurz gedacht. Damit verschenken wir Potential und laufen anderen Akteuren hinterher. – Ein Rennen, das wir im Krypto-Bereich mit den geringen Hürden für neue Anbieter, kaum gewinnen können.

Erfolgversprechender erscheint es doch, regulatorisch die Eckpunkte für solche neuen Angebote vorzugeben; also die Aufsichtsgesetze soweit anzupassen, dass innovative Angebote rechtssicher umgesetzt werden können. Für die besondere Anziehungswirkung innovativer Regulierung gibt es auch schon sehr erfolgreiche Beispiele: so hat die BaFin die Einführung des Kryptoverwahrgeschäftes maßgeblich mitgestaltet und beaufsichtigt jetzt diese Wallet-Anbieter als Finanzdienstleistungsinstitute. Eine Zulassung als Kryptoverwahrer und die laufende Aufsicht durch die BaFin garantieren den Kunden des Unternehmens die Einhaltung essentieller Vorgaben und damit eine sicherere Verwahrung. Wir haben deswegen nicht nur Anträge von deutschen Unternehmen erhalten, sondern auch von Anbietern aus dem Ausland, die sich für ihre Tätigkeit das BaFin-Gütesiegel holen wollen und die Kosten und den Aufwand für die Beaufsichtigung akzeptieren.

Die neuen Arten von Finanzinstrumenten und ihre Nutzer profitieren dabei von der Erfahrung unserer Aufseher aus dem traditionellen Finanzmarkt. Auch bei der Verwahrung von klassischen Wertpapieren spielt die IT-Sicherheit ja eine wichtige Rolle; die internen Datenbanken, in denen die Depotbestände verzeichnet sind, müssen natürlich gegen IT-Probleme oder Hacker abgesichert werden. Wenn die Sicherheitsvorgaben der Aufsicht aber gut genug sind für die Verwahrung von Wertpapieren im Milliarden-Bereich, dann können sie für die Verwahrung von Kryptowerten nicht schlecht sein.

Im Idealfall wären solche Vorgaben für den DeFi-Bereich global abgestimmt, zumindest aber EU-weit einheitlich, um einen fragmentierten Markt zu verhindern und das gesamte Innovationspotential Europas zu heben.

Ergebnis dieser Überlegungen kann aber nicht sein, dass wir etablierte Standards aufweichen oder DeFi-Angebote regulatorisch besserstellen, als vergleichbare Angebote des traditionellen Finanzmarktes.

Andere Ideen, wie sie auch schon von Teilnehmern des gleich folgenden Panels angedacht wurden, sind insbesondere technisch deutlich ambitionierter. Mit embedded supervision bewegt sich der Aufseher in den Smart Contract oder in die Blockchain. Hier müsste die Aufsichtsbehörde also die eigenen Aufsichtsanforderungen als Software-Protokoll umsetzen und an den Smart Contract des DeFi-Angebotes koppeln. In der Theorie soll dann dieser Supervisor Smart Contract ein fortlaufendes Monitoring der DeFi-Transaktionen ermöglichen, um die Einhaltung der regulatorischen Vorgaben zu überwachen. Dabei stellt sich die Frage, wie realistisch diese Vorstellung technisch und rechtlich ist.

Egal für welchen Weg man sich letztlich entscheidet: die Anforderungen an die Aufsicht in diesem Bereich sind gewaltig: um hier aktiv und nicht nur reaktiv agieren zu können, brauchen wir das entsprechende Fachwissen in der Breite der Aufsicht. Wir müssen unsere vorhandenen Wissensträger untereinander weiter vernetzen und sie zu Multiplikatoren machen. Zusätzlich wollen wir auch qualifizierte Seiteneinsteiger für die Arbeit bei der Aufsicht begeistern – natürlich eine besondere Herausforderung, da der Talentpool an der Schnittstelle von Krypto und Aufsicht eher die Größe einer Sitzbadewanne hat.

Gleichzeitig tickt die Uhr: je länger der Markt unbeaufsichtigt bleibt, desto größer die Gefahr für die Verbraucher, die DeFi-Angebote bereits nutzen und desto größer die Gefahr, dass sich Angebote etablieren, die eine systemische Relevanz haben.

Mit Blick auf diese echten Herausforderungen freue ich mich sehr auf den Austausch mit meinen Gästen im Panel „Dezentrale Angebote: Test für die Digitalkompetenz von Aufsicht und Regulierung“, das im Anschluss hier auf dieser Bühne stattfinden wird.