Zum Inhalt springen
N.terion
AML READY Wiki
AML READY · M12

Krypto-CASPs in der Praxis: MiCA, Travel-Rule, Chain-Analytics

AML-Compliance bei Crypto-Asset Service Providers — MiCA-konforme Implementierung, Travel-Rule-Operations, Chain-Analytics und Tornado-Cash-Reaktion.

Prof. Dr. Alexander HoltermannStand: 28. Mai 20264 Min Lesezeit

Mit der Markets in Crypto-Assets Regulation (MiCA) ist der europäische Krypto-Sektor seit Ende 2024 voll reguliert. Crypto-Asset Service Providers (CASPs) unterliegen einem umfassenden AML-Compliance-Rahmen, der sich an klassische Banken-Standards anlehnt.

MiCA-konforme Implementierung

Die MiCA-Verordnung (2023/1114) gilt seit 30. Dezember 2024 voll. Sie definiert CASPs als Anbieter folgender Dienste:

  • Verwahrung von Krypto-Assets für Kunden
  • Tausch von Krypto-Assets gegen Fiat oder andere Krypto
  • Ausführung von Transfers
  • Beratung zu Krypto-Assets
  • Portfolio-Management

Jeder CASP braucht eine BaFin-Genehmigung (für Deutschland) oder eine andere EU-Aufsichts-Genehmigung mit Passporting-Recht.

AML-Pflichten:

  • KYC nach MiCA-Standard, vergleichbar mit Banken-KYC
  • Sanctions-Screening gegen EU/UN-Listen
  • Transaction-Monitoring mit ML-Modellen
  • Wallet-Risiko-Scoring über Chain-Analytics
  • Verdachtsmeldungs-Pflicht an die FIU

Travel-Rule-Operations

Die EU Transfer of Funds Regulation (TFR, 2023/1113) überträgt die FATF-Recommendation 16 auf den Krypto-Sektor. Schwellen-Werte:

  • Transfers ab 1.000 Euro: vollständige Sender-/Empfänger-Daten (Name, Adresse, Wallet)
  • Transfers unter 1.000 Euro: reduzierte Datensatz-Übertragung
  • Self-Custody (Unhosted) Wallets: verschärfte Pflichten, in der Praxis häufig De-Risking

Die technische Umsetzung läuft über standardisierte Protokolle wie TRP (Travel Rule Protocol) und IVMS-101, die strukturierte Sender-/Empfänger-Daten zwischen CASPs übermitteln.

Bei Self-Custody-Wallets ist der Wallet-Inhaber nicht über einen CASP erreichbar. Die TFR verlangt vom sendenden CASP, beim eigenen Kunden Identitäts- und Eigentums-Nachweise für die Self-Custody-Wallet einzuholen — Practical: viele europäische CASPs lehnen Transfers an Self-Custody-Wallets über Schwellen pauschal ab.

Chain-Analytics-Integration

Chainalysis und TRM Labs sind die beiden Marktführer für Chain-Analytics. Sie analysieren Blockchain-Transaktionen und liefern Risiko-Scores für Wallets — basierend auf:

  • Direkte oder indirekte Verbindungen zu sanktionierten Adressen
  • Verbindungen zu Mixer-Diensten und Darknet-Märkten
  • Hochrisiko-Jurisdiktionen
  • Volumen-Anomalien
  • Historische Strafverfolgungs-Treffer

CASP-Onboarding integriert Chain-Analytics: jede neue Einzahlung an einen Kunden-Account wird gegen die Source-Wallet gescreent. Bei Hochrisiko-Score wird die Einzahlung gehalten und der Kunde zur Quellen-Erklärung aufgefordert.

Tornado-Cash-Reaktion

Im August 2022 listete OFAC den Smart Contract Tornado Cash als sanctioned entity — das erste Mal, dass ein Smart Contract direkt sanktioniert wurde. Konsequenz:

  • Alle Wallet-Interaktionen mit Tornado-Cash-Adressen waren OFAC-relevant
  • Banken und CASPs frieren Vermögenswerte mit Tornado-Cash-Verbindung
  • Compliance-Tools markieren jede direkte oder indirekte Tornado-Cash-Verbindung

Eine US-Klage zur Aufhebung der Sanktion war 2024 erfolgreich — die Sanktion eines Smart Contracts ohne identifizierbaren Betreiber wurde gerichtlich als unzulässig erklärt. Aber: die Compliance-Praxis behandelt Tornado-Cash-Interaktionen weiter als hochriskant, weil die Rechts-Lage unklar bleibt.

Stablecoin-Compliance

Stablecoins (USDT, USDC, EUROC) sind aus AML-Sicht doppelt regulierungs-relevant:

  • MiCA-Anforderungen an die Emittenten (Reserve-Pflichten, Audits)
  • AML-Anforderungen an den Handel und Transfer

In Europa hat sich EUROC (Circle) als MiCA-konformer Euro-Stablecoin etabliert. USD-Stablecoins können von europäischen CASPs gehandelt werden, unterliegen aber zusätzlicher Risiko-Bewertung.

DeFi-Risiken

DeFi-Protokolle ohne identifizierbaren Betreiber sind formell nicht als CASP klassifiziert. MiCA-Auslegung erfasst aber Schnittstellen mit Steuerungs-Funktion:

  • Frontend-Betreiber, die das DeFi-Protokoll bewerben oder als UI bereitstellen
  • Governance-Token-Inhaber mit Mehrheits-Kontrolle
  • Liquidity-Provider mit aktiver Steuerung

Praktisch: Aave, Uniswap und ähnliche Protokolle haben in Europa Frontend-Betreiber CASP-lizenziert. Reine On-Chain-Interaktion mit dem Smart Contract bleibt formal außerhalb der MiCA, aber Banken behandeln solche Transaktionen als Hochrisiko.

NFT-Wash-Trading

NFTs sind eine Sonder-Klasse mit eigenen Geldwäsche-Risiken. Wash-Trading-Pattern:

  • Käufer und Verkäufer sind dieselbe Person (oder kollusive Parteien)
  • NFTs werden zu künstlich hohen Preisen gehandelt
  • Die Differenz wird als legitime „Verkaufs-Einnahme" verbucht
  • Tatsächliche Wert-Verschiebung erfolgt über Krypto-Transfers im Hintergrund

MiCA erfasst NFTs als Krypto-Assets, wenn sie als Wertpapier-ähnliche Investment-Produkte ausgestaltet sind. Reine Sammler-NFTs fallen außerhalb der MiCA, sind aber bei der Aufsicht durch das KWG (falls Wertpapier-Charakter) erreichbar.

BaFin-Krypto-Sonderprüfungen 2025

Die BaFin hat 2025 erstmals systematische Krypto-CASP-Sonderprüfungen durchgeführt. Schwerpunkte:

  • KYC-Qualität bei Privat-Kunden
  • Travel-Rule-Implementierung
  • Sanctions-Screening-Effektivität
  • Chain-Analytics-Integration
  • Risikoanalyse-Methodik

Erste Bußgelder im niedrigen siebenstelligen Bereich wurden 2025/26 verhängt.

Begriffe

CASP: Crypto-Asset Service Provider — Anbieter regulierter Krypto-Dienste nach MiCA.

Travel-Rule: TFR-2023-1113-Pflicht zur Übermittlung von Sender-/Empfänger-Daten bei Krypto-Transfers.

Self-Custody-Wallet: Wallet ohne Verwahrungs-Dienstleister, im Besitz des Endkunden.

Chain-Analytics: Software-Tools zur Bewertung von Blockchain-Transaktionen für AML-Zwecke (Chainalysis, TRM Labs).

Häufige Fragen

Brauche ich für Krypto-Kauf eine BaFin-Genehmigung?

Als Endkunde nein. Als Anbieter ja — jeder CASP braucht entweder eine eigene BaFin-Genehmigung oder eine Passporting-Lizenz aus einem anderen EU-Land.

Ist Bitcoin in Europa erlaubt?

Ja. MiCA reguliert die Anbieter, nicht die Krypto-Werte selbst. Privater Besitz und Handel sind erlaubt — solange er über CASPs läuft, gelten die MiCA-AML-Pflichten.

Was passiert bei Travel-Rule-Verstößen?

Bußgelder nach MiCA und TFR, vergleichbar mit GwG-Bußgeldern. Bei systematischen Verstößen Entzug der Lizenz.

Sind Privacy-Coins wie Monero erlaubt?

In Deutschland nicht verboten. Aber CASPs bieten sie regelmäßig nicht an, weil die Travel-Rule-Implementierung bei anonymisierten Transfers technisch unmöglich ist.

Wie funktioniert KYC bei Krypto-Onboarding?

Identisch mit Bank-Onboarding: Video-Ident, Adress-Verifikation, PEP-/Sanctions-Screening. Zusätzlich: Chain-Analytics-Bewertung der Source-Wallet bei der ersten Einzahlung.

Wann lohnt sich ein eigener Krypto-Compliance-Officer?

Ab einer Größe von etwa 50 Mitarbeitern oder 100 Mio. Euro Assets-under-Custody ist eine eigene AML-Funktion regulatorisch zwingend. Kleinere CASPs nutzen oft AML-Outsourcing-Dienstleister.

Stand: 28. Mai 2026. Gesetzliche Regelungen ändern sich. Für rechtsverbindliche Auskünfte konsultieren Sie eine Fachperson.

Quellen & Zitate

Primär-Quellen dieses Artikels

  • EU MiCA-Verordnung 2023/1114
    31. Mai 2023
    Quelle öffnen
  • EU TFR (Travel-Rule) 2023/1113
    31. Mai 2023
  • OFAC Action against Tornado Cash 2022
    8. August 2022