Skip to content
KundenreferenzPreiseSicherheitVergleichBlog

Europe

Americas

Oceania

Compliance12 min Lesezeit

MiCA 2026: Krypto-KYC und Identitätsvorschriften

MiCA-Verordnung und Travel Rule: KYC-Pflichten für Krypto-Dienstleister ab Juli 2026. Identitätsprüfungs-Schwellenwerte, BaFin-Lizenz und Compliance-Anforderungen.

Dr. Katrin Hoffmann, Expertin für regulatorische Compliance
Dr. Katrin Hoffmann, Expertin für regulatorische Compliance·
Illustration for MiCA 2026: Krypto-KYC und Identitätsvorschriften — Compliance

Diesen Artikel zusammenfassen mit

ChatGPTChatGPTClaudeClaudePerplexityPerplexityGeminiGeminiGrokGrok

Am 1. Juli 2026 endet die Übergangsfrist für bestehende Krypto-Dienstleister unter der Markets-in-Crypto-Assets-Verordnung. CASPs, die bisher unter nationalen Registrierungen operiert haben – einschließlich der deutschen BaFin-Kryptoverwahrerlizenz und der Erlaubnis nach § 32 KWG –, müssen bis zu diesem Datum eine vollständige MiCA-Autorisierung besitzen oder den Betrieb einstellen. In Kombination mit der Transfer-of-Funds-Verordnung (der „Travel Rule") entsteht so das anspruchsvollste Identitätsprüfungsregime, das die Krypto-Branche je erlebt hat. Wenn Ihre Plattform Nutzer onboardet, Transfers abwickelt oder Vermögenswerte in der EU verwahrt, läuft die Compliance-Uhr – parallel zu anderen großen 2026-Fristen wie der E-Rechnungspflicht.

MiCA: Der harmonisierte EU-Kryptorahmen

Was MiCA abdeckt

Die Verordnung (EU) 2023/1114, die Markets-in-Crypto-Assets-Verordnung, schafft einen einheitlichen Regulierungsrahmen für Krypto-Assets in allen 27 EU-Mitgliedstaaten. Vor MiCA wandte jedes Land eigene Regeln an – Deutschland hatte sein BaFin-Lizenzsystem nach KWG, Frankreich sein PSAN-Registrierungsregime bei der AMF, und viele Mitgliedstaaten hatten überhaupt keine kryptospezifische Regulierung. Dieses Flickwerk ist vorbei.

MiCA deckt drei Kategorien von Krypto-Assets ab:

Kategorie Definition Aufsichtsbehörde
Vermögenswertbezogene Token (ARTs) Token, die durch Referenz auf mehrere Vermögenswerte, Rohstoffe oder Währungen stabilisiert werden Nationale zuständige Behörde (BaFin in Deutschland); EBA für signifikante ARTs
E-Geld-Token (EMTs) Token, die durch Referenz auf eine einzige offizielle Währung stabilisiert werden BaFin; EBA für signifikante EMTs
Sonstige Krypto-Assets Alle Krypto-Assets, die nicht als ARTs oder EMTs klassifiziert sind, einschließlich Utility-Token BaFin

Die Verordnung definiert und lizenziert zudem Krypto-Asset-Dienstleister (CASPs) – jede Stelle, die Verwahrung, Tausch, Transfer, Brokerage, Beratung oder Portfolioverwaltungsdienste für Krypto-Assets erbringt. CASPs müssen eine Autorisierung unter MiCA erlangen, um überall in der EU zu operieren, und diese Autorisierung fungiert als Pass über alle Mitgliedstaaten.

Der kritische Zeitplan

Die Anwendung von MiCA wurde gestaffelt. Die Bestimmungen für Stablecoins (ARTs und EMTs) gelten seit dem 30. Juni 2024. Das vollständige CASP-Lizenzregime gilt seit dem 30. Dezember 2024. Die Übergangsbestimmung in Artikel 143 gewährt bestehenden CASPs – jenen, die vor dem 30. Dezember 2024 unter nationalem Recht operiert haben – eine Übergangsfrist von bis zu 18 Monaten, je nach Mitgliedstaat.

Datum Meilenstein Auswirkung
30. Juni 2024 ART- und EMT-Bestimmungen gelten Stablecoin-Emittenten müssen konform sein oder Emission einstellen
30. Dezember 2024 Volle MiCA-Anwendung für CASPs Neue CASPs müssen MiCA-Autorisierung vor Betriebsaufnahme erlangen
1. Juli 2026 Übergangsfrist endet (Maximum) Bestehende CASPs unter nationalen Regimen müssen MiCA-Autorisierung besitzen
30. Dezember 2025 Vereinfachtes Autorisierungsverfahren endet CASPs mit bestehenden nationalen Lizenzen können bis zu diesem Datum das vereinfachte Verfahren beantragen

Deutschland hat die maximale 18-monatige Übergangsfrist angenommen. CASPs mit bestehender BaFin-Erlaubnis nach KWG (Kryptoverwahrgeschäft, § 1 Abs. 1a Satz 2 Nr. 6 KWG) können bis zum 1. Juli 2026 weiter operieren, vorausgesetzt sie haben ihren MiCA-Autorisierungsantrag vor Ablauf der vereinfachten Verfahrensfrist eingereicht. Nach dem 1. Juli 2026 ist eine nationale Erlaubnis allein nicht mehr gültig.

KYC-Pflichten unter MiCA

MiCA stellt explizite Sorgfaltspflichten bei der Kundenprüfung auf, die weit über das hinausgehen, was die meisten nationalen Kryptoregime zuvor verlangten. Diese Pflichten gelten bei Kontoeröffnung, während der Geschäftsbeziehung und auf Transaktionsebene.

Kontoeröffnung und Kunden-Onboarding

Jeder CASP muss die Identität seiner Kunden verifizieren, bevor eine Geschäftsbeziehung begründet wird. Artikel 68 MiCA verpflichtet CASPs, die GwG-Pflichten (Geldwäschegesetz) und die in der Anti-Geldwäsche-Verordnung (EU) 2024/1624 festgelegten Pflichten einzuhalten. In der Praxis bedeutet dies:

  • Vollständige Namensverifizierung anhand eines amtlichen Identitätsdokuments (Personalausweis, Reisepass, Aufenthaltstitel). Mit der Einführung der eIDAS-2.0-EUDI-Wallet wird die kryptografische Nachweisverifizierung zunehmend traditionelle dokumentenbasierte Identitätsprüfungen ergänzen – und für einige Anwendungsfälle ersetzen.
  • Geburtsdatum und Staatsangehörigkeit – Erhebung und Kreuzreferenzierung.
  • Wohnadressverifizierung durch Meldebescheinigung, Kontoauszug oder amtliches Schreiben.
  • Eindeutige Identifikationsnummer – Extraktion aus dem Identitätsdokument (Personalausweisnummer, Steueridentifikationsnummer).
  • Sanktions- und PEP-Screening gegen EU-Konsolidierte Sanktionslisten, nationale Watchlists und Datenbanken politisch exponierter Personen.
  • Mittelherkunftsnachweis für Geschäftsbeziehungen mit erhöhten Risikoindikatoren.

Für Firmenkunden (juristische Personen, die die Plattform nutzen) erstrecken sich die Pflichten auf die vollständige KYB-Verifizierung: Handelsregisterauszüge, Gesellschaftsverträge, Nachweis des eingetragenen Sitzes, Identifizierung der Geschäftsführer und wirtschaftlich Berechtigten sowie Verifizierung der Unternehmensstruktur.

Laufende Überwachung

KYC ist keine einmalige Prüfung beim Onboarding. MiCA und die AMLR verlangen kontinuierliches Monitoring während der gesamten Geschäftsbeziehung:

  • Transaktionsmuster-Analyse zur Erkennung von Verhalten, das nicht zum deklarierten Kundenprofil passt.
  • Regelmäßige Überprüfung der Kundeninformationen, wobei die Häufigkeit durch die Risikoklassifizierung des Kunden bestimmt wird.
  • Ereignisgesteuerte Überprüfungen bei Erkennung ungewöhnlicher Aktivitäten (plötzliche Volumenspitzen, Transfers in Hochrisiko-Jurisdiktionen, Structuring-Muster).
  • Sanktionslisten-Rescreening bei jeder Listenaktualisierung – mindestens täglich für EU- und OFAC-Listen.

CASPs, die kein wirksames laufendes Monitoring aufrechterhalten, drohen dieselben Strafen wie bei Onboarding-Verstößen: Geldbußen bis zu 5 Millionen EUR für natürliche Personen oder bis zu 12,5 % des Jahresumsatzes für juristische Personen unter MiCAs eigenem Sanktionsrahmen, zusätzlich zu den AMLD6-Sanktionen, die für alle verpflichteten Unternehmen gelten.

Die Travel Rule: Identitätsdaten für jeden Transfer

Was die Travel Rule verlangt

Die Transfer-of-Funds-Verordnung – Verordnung (EU) 2023/1113, zusammen mit MiCA verabschiedet – erweitert die bestehenden Überweisungsregeln auf Krypto-Asset-Transfers. Oft als „Travel Rule" bezeichnet (unter Anlehnung an den FATF-Rahmen), verlangt sie, dass Identitätsinformationen jede Krypto-Transaktion „begleiten", genau wie bei traditionellen Banküberweisungen.

Für jeden Krypto-Asset-Transfer muss der CASP des Auftraggebers folgende Daten erheben und übermitteln:

Datenelement Auftraggeber Begünstigter
Vollständiger Name Erforderlich Erforderlich
Kontonummer / Wallet-Adresse Erforderlich Erforderlich
Adresse, nationale ID-Nummer oder Geburtsdatum Erforderlich Erforderlich
LEI oder BIC (bei juristischen Personen) Erforderlich falls verfügbar Erforderlich falls verfügbar

Diese Daten müssen vor oder gleichzeitig mit dem Transfer an den CASP des Begünstigten übermittelt werden. Der CASP des Begünstigten muss die erhaltenen Informationen verifizieren und Transfers mit unvollständigen oder inkonsistenten Auftraggeberdaten ablehnen.

Die 1.000-EUR-Schwelle und Wallet-Verifizierung

Die Travel Rule gilt für alle Krypto-Asset-Transfers unabhängig vom Betrag – es gibt keine De-minimis-Ausnahme. Transfers über 1.000 EUR lösen jedoch eine zusätzliche Anforderung aus: Wallet-Eigentümerverifizierung.

Wenn ein Kunde Krypto-Assets von oder zu einer nicht-verwahrten (Self-Custody) Wallet sendet oder empfängt und der Transfer 1.000 EUR übersteigt, muss der CASP verifizieren, dass die Wallet der angegebenen Partei gehört. In der Praxis geschieht dies durch:

  • Kryptografische Nachrichtensignierung: Der Kunde signiert eine Nachricht mit dem privaten Schlüssel der Wallet als Eigentumsnachweis.
  • Mikrotransfer-Verifizierung: Der Kunde sendet einen kleinen, vereinbarten Betrag von der Wallet als Kontrollnachweis.
  • Technische Attestierung: Der CASP kann eine protokollbasierte Lösung (z. B. verifizierbarer Nachweis oder On-Chain-Attestierung) verwenden, um die Wallet-Adress-Bindung zu bestätigen.

Für Transfers unter 1.000 EUR zu oder von nicht-verwahrten Wallets muss der CASP weiterhin Auftraggeber- und Begünstigtendaten erheben, ist aber nicht zur Wallet-Eigentümerverifizierung verpflichtet. Wenn der CASP jedoch Geldwäsche oder Terrorismusfinanzierung vermutet, ist die vollständige Verifizierung unabhängig vom Transferbetrag erforderlich.

Auswirkungen auf den CASP-Betrieb

Die Travel Rule schafft eine Datenaustauschpflicht zwischen CASPs, die zuvor in der Kryptobranche nicht existierte. Anders als im traditionellen Bankwesen, wo SWIFT-Nachrichten standardisierte Auftraggeber-/Begünstigtendaten tragen, fehlt dem Kryptosektor ein universeller Messaging-Standard. Mehrere Branchenlösungen sind entstanden – darunter TRISA, OpenVASP und Notabene –, aber die Interoperabilität bleibt eine Herausforderung.

CASPs müssen Systeme implementieren, die Auftraggeberdaten erheben, sicher an den Gegenpartei-CASP übermitteln, eingehende Daten empfangen und validieren, alle Parteien in Echtzeit gegen Sanktionslisten screenen, Transfers mit unvollständigen Daten oder Sanktionstreffern ablehnen und alle Transferdaten mindestens fünf Jahre aufbewahren.

CASPs in Deutschland: Von der BaFin-Erlaubnis zu MiCA

BaFin als zuständige Aufsichtsbehörde

In Deutschland liegt die Krypto-Aufsicht primär bei der BaFin:

Aufsichtsbehörde Zuständigkeit unter MiCA Kernaufgaben
BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht) CASP-Autorisierung, Beaufsichtigung aller Krypto-Asset-Kategorien Lizenzierung, Verhaltensregeln, Marktmissbrauchsüberwachung, Whitepaper-Prüfung
BaFin (Geldwäscheaufsicht) GwG-Überwachung aller CASPs Geldwäscheprävention, laufende Compliance-Prüfungen, Verdachtsmeldungen an die FIU

Deutschland hat als eines der ersten EU-Länder 2020 eine eigene Kryptoverwahrerlizenz eingeführt (§ 1 Abs. 1a Satz 2 Nr. 6 KWG). Die BaFin hat historisch strenge Standards bei der Geldwäscheaufsicht von Krypto-Dienstleistern angelegt, und diese Strenge wird unter MiCA noch zunehmen.

Was sich für bestehende lizenzierte CASPs ändert

CASPs, die derzeit eine BaFin-Erlaubnis nach KWG besitzen, müssen auf eine vollständige MiCA-Autorisierung umstellen – ein umfassender Antrag, der Governance, aufsichtsrechtliche Anforderungen, Geschäftskontinuität und GwG-Verfahren abdeckt. Ein vereinfachtes Verfahren stand bis zum 30. Dezember 2025 für CASPs mit bestehenden nationalen Lizenzen zur Verfügung, bei dem die BaFin vorhandene Dokumentation berücksichtigen konnte, während die MiCA-Konformität weiterhin überprüft wurde.

CASPs, die bis zum 1. Juli 2026 keine MiCA-Autorisierung erhalten, müssen ihre Aktivitäten einstellen. Es gibt keine zweite Übergangsfrist.

Dokumentenanforderungen: Was CASPs erheben und aufbewahren müssen

Die kumulative Wirkung von MiCA, Travel Rule und AMLR schafft eine erhebliche dokumentarische Belastung über Kunden-Onboarding und Transaktionsüberwachung hinweg.

Kunden-Onboarding-Dokumente

Dokumententyp Natürliche Personen Juristische Personen
Identitätsdokument Personalausweis, Reisepass oder Aufenthaltstitel Entfällt
Adressnachweis Meldebescheinigung, Kontoauszug (< 3 Monate) Nachweis des eingetragenen Sitzes
Handelsregisterauszug Entfällt Aktueller Auszug aus dem Handelsregister (< 3 Monate)
Gesellschaftsvertrag Entfällt Aktuelle beglaubigte Fassung
Erklärung zu wirtschaftlich Berechtigten Entfällt Identifizierung aller wB über 25 %, Transparenzregister-Auszug
Geschäftsführer-Identifizierung Entfällt Personalausweise aller Geschäftsführer
Mittelherkunft Nachweise bei Hochrisikoprofilen Jahresabschlüsse, Finanzierungsdokumentation

Transaktionsdaten und Aufbewahrung

Für jeden Krypto-Asset-Transfer müssen CASPs folgende Daten aufbewahren: Auftraggeber- und Begünstigtenidentitätsdaten, Transaktionsbetrag und Krypto-Asset-Typ, Blockchain-Transaktions-Hash, Wallet-Adressen, Wallet-Eigentümerverifizierungsergebnisse (Transfers > 1.000 EUR), Sanktionsscreening-Ergebnisse und Alert-Bearbeitungsaufzeichnungen. Alle Aufzeichnungen müssen mindestens fünf Jahre nach Ende der Geschäftsbeziehung oder dem Transaktionsdatum aufbewahrt werden, je nachdem, welcher Zeitpunkt später liegt.

Wie Automatisierung MiCA-Compliance adressiert

Die dokumentarischen Pflichten unter MiCA machen manuelle Verifizierung für jeden CASP, der im großen Maßstab operiert, unhaltbar. Jeder neue Nutzer erfordert Identitätsdokumentverifizierung, Adressnachweis-Validierung, Sanktionsscreening und Risikoklassifizierung, bevor eine einzige Transaktion ausgeführt wird. Jeder Transfer über 1.000 EUR zu einer nicht-verwahrten Wallet erfordert Wallet-Eigentümerverifizierung.

Dokumentenprüfung beim Onboarding

Automatisierte Dokumentenvalidierung verarbeitet Identitätsdokumente in Sekunden: Extraktion von Datenfeldern (Name, Geburtsdatum, Dokumentennummer, Ablaufdatum), Verifizierung der Dokumentenauthentizität (MRZ-Validierung, Sicherheitsmerkmale-Erkennung, Manipulationsanalyse) und Kreuzreferenzierung extrahierter Daten gegen deklarierte Informationen. Für CASPs, die monatlich Tausende von Onboarding-Anträgen verarbeiten, ist dies der Unterschied zwischen einer 48-Stunden-Warteschlange für manuelle Prüfung und einem Echtzeit-Onboarding-Flow.

KYB für Firmenkunden

Firmen-Onboarding unter MiCA erfordert die Verifizierung von Handelsregisterauszügen, Gesellschaftsverträgen, Identifizierung wirtschaftlich Berechtigter und Geschäftsführer-Verifizierung. Automatisierte KYB-Workflows extrahieren und kreuzreferenzieren Daten über diese Dokumente, markieren Inkonsistenzen (nicht übereinstimmende Geschäftsführernamen, abgelaufene Registrierungen, überschrittene wB-Schwellenwerte), bevor ein Compliance-Beauftragter die Akte prüft.

Audit-Trail-Generierung

Jeder Verifizierungsschritt – Dokument empfangen, Prüfungen durchgeführt, Ergebnisse erhalten, Entscheidung getroffen – generiert einen zeitgestempelten Audit-Trail. Wenn die BaFin bei einer Prüfung Nachweise Ihrer GwG-Kontrollen anfordert, produzieren automatisierte Systeme vollständige, maschinenlesbare Audit-Protokolle. Manuelle Prozesse produzieren Tabellen, E-Mail-Verläufe und rekonstruierte Zeitabläufe, die Prüfer selten zufriedenstellen.

Sanktionsscreening-Integration

Automatisierte Systeme screenen jeden Kunden und Gegenpartei in Echtzeit gegen Sanktionslisten. Bei Listenaktualisierungen werden Rescreenings automatisch ausgelöst – sowohl MiCAs laufende Überwachungsanforderung als auch die DORA-Anforderung für systematische, auditierbare Kontrollen erfüllend.

FAQ

Was ist MiCA und wann gilt es vollständig?

MiCA (Markets in Crypto-Assets Regulation, EU 2023/1114) ist der harmonisierte EU-Regulierungsrahmen für Krypto-Assets und Krypto-Asset-Dienstleister. Die Stablecoin-Bestimmungen gelten seit dem 30. Juni 2024. Das vollständige CASP-Lizenzregime gilt seit dem 30. Dezember 2024. Die Übergangsfrist für bestehende CASPs unter nationalen Regimen (wie der deutschen BaFin-Kryptoverwahrerlizenz) endet am 1. Juli 2026. Nach diesem Datum können nur CASPs mit MiCA-Autorisierung legal in der EU operieren.

Was ist die Travel Rule und wie betrifft sie Krypto-Transfers?

Die Travel Rule (Transfer-of-Funds-Verordnung, EU 2023/1113) verlangt, dass Identitätsinformationen – vollständiger Name, Wallet-Adresse und eine eindeutige Kennung wie eine Personalausweisnummer – jeden Krypto-Asset-Transfer zwischen CASPs begleiten. Für Transfers über 1.000 EUR mit nicht-verwahrten Wallets muss der CASP zusätzlich die Wallet-Eigentümerschaft durch kryptografische Nachrichtensignierung oder gleichwertige Methoden verifizieren. Es gibt keinen Mindestschwellenwert: Die Datenerhebungspflicht gilt für alle Transfers unabhängig vom Betrag.

Welche KYC-Dokumente muss ein CASP beim Onboarding erheben?

Mindestens muss ein CASP ein amtliches Identitätsdokument (Personalausweis oder Reisepass), einen Adressnachweis der letzten drei Monate und eine eindeutige Identifikationsnummer erheben. Für Firmenkunden sind zusätzliche Dokumente erforderlich: Handelsregisterauszug, Gesellschaftsvertrag, Erklärung zu wirtschaftlich Berechtigten und Identifizierung aller Geschäftsführer. Alle Dokumente müssen auf Echtheit verifiziert und gegen die deklarierten Kundeninformationen kreuzreferenziert werden.

Wie interagieren MiCA und AMLD6?

MiCA etabliert den Lizenzierungs- und Verhaltensrahmen für CASPs, während die AMLD6 und die Anti-Geldwäsche-Verordnung (AMLR) die GwG-Pflichten definieren, die CASPs als verpflichtete Unternehmen einhalten müssen. CASPs sind explizit als verpflichtete Unternehmen unter der AMLR aufgeführt, unterliegen denselben Sorgfaltspflichten, Verdachtsmeldepflichten und Aufbewahrungsanforderungen wie Banken und andere Finanzinstitute. Die 1.000-EUR-Schwelle für die verstärkte Verifizierung von Krypto-Transaktionen wird durch die AMLR festgelegt und durch die Travel Rule operationalisiert. Beide Rahmenwerke müssen gleichzeitig erfüllt werden.

Bereiten Sie Ihre Plattform vor Juli 2026 vor

Die Frist 1. Juli 2026 ist kein weiches Ziel. CASPs, die keine MiCA-Autorisierung erhalten, verlieren das Recht, im EU-Markt mit 450 Millionen Verbrauchern zu operieren. Die Identitätsprüfungspflichten – beim Onboarding, auf Transaktionsebene und durch laufendes Monitoring – erfordern Systeme, die Dokumente zuverlässig verarbeiten, in Echtzeit gegen Sanktionslisten screenen und die Audit-Trails generieren, die Aufsichtsbehörden bei Prüfungen verlangen.

CheckFile bietet automatisierte Dokumentenvalidierung, die speziell für Krypto-Plattform-Onboarding entwickelt wurde: Identitätsdokumentverifizierung, KYB-Prüfungen für Firmenkunden, Datenextraktion und Kreuzreferenzierung sowie vollständige Audit-Trail-Generierung. Unsere Plattform verarbeitet Verifizierungsakten in Sekunden, wobei jeder Schritt protokolliert und nachvollziehbar ist – in Übereinstimmung mit den dokumentarischen Standards, die BaFin von MiCA-autorisierten CASPs erwartet. Entdecken Sie unsere Preise, um den Plan zu finden, der zu Ihrem Transaktionsvolumen passt.

Weiterführende Lektüre: Für den umfassenderen KYC-Rahmen hinter diesen Pflichten lesen Sie unseren KYC-2026-Anforderungs-Leitfaden. Für Firmen-Onboarding unter MiCA lesen Sie unseren KYB-Leitfaden zur Unternehmensdokumenten-Verifizierung. Für die operativen Resilienzanforderungen an Ihre Verifizierungssysteme lesen Sie unseren DORA-2026-Leitfaden.

Thema vertiefen

Entdecken Sie unsere Praxisleitfäden und Ressourcen zur Dokumenten-Compliance.

Verwandte Artikel

Compliance9 min

Third-Party Risk Management (TPRM): Leitfaden 2026

Vollständiger Leitfaden zum Third-Party Risk Management (TPRM): DORA-Pflichten, BaFin-Anforderungen, Lieferantenbewertung, kontinuierliches Monitoring und GwG-Compliance in Deutschland 2026.

Lesen
Compliance11 min

Compliance-Risikobewertung: Leitfaden für deutsche Unternehmen 2026

Wie Sie regulatorische Risiken identifizieren, bewerten und minimieren. Praxisleitfaden zum Compliance-Risikomanagement nach BaFin-Anforderungen und GwG § 5.

Lesen
Compliance8 min

GRC: Governance, Risikomanagement und Compliance — Leitfaden 2026

Was ist Governance Risk Management Compliance (GRC)? Die drei Säulen, BaFin-Anforderungen in Deutschland und wie Sie ein effektives GRC-Framework aufbauen.

Lesen