MiCA-Verordnung: EU-Regulierung von Krypto-Assets

Definition und Funktionsweise der MiCA-Verordnung

Die Markets in Crypto-Assets Regulation (MiCA) ist eine EU-Verordnung, die seit dem 30. Dezember 2024 vollständig in Kraft getreten ist und erstmals einheitliche Regeln für Krypto-Assets, deren Emittenten und Dienstleister in allen 27 Mitgliedstaaten schafft. Sie wurde am 9. Juni 2023 vom Europäischen Parlament verabschiedet und im Amtsblatt der EU (Verordnung (EU) 2023/1114) veröffentlicht. MiCA definiert drei Hauptkategorien von Krypto-Assets: Asset-Referenced Token (ART), E-Money Token (EMT) und sonstige Krypto-Assets. Asset-Referenced Token sind Stablecoins, die an einen Korb von Vermögenswerten wie Fiatwährungen oder Rohstoffe gekoppelt sind – beispielsweise hätte ein hypothetischer Token, der zu 50 Prozent durch Euro und zu 50 Prozent durch Gold besichert ist, als ART zu gelten. E-Money Token sind digitale Abbildungen von Fiatgeld und müssen 1:1 durch Bankguthaben gedeckt sein, ähnlich wie elektronisches Geld unter der E-Money-Richtlinie (2009/110/EG). Alle anderen Token – von Utility-Token über Governance-Token bis hin zu Payment-Token – fallen in die dritte Kategorie.

Die Verordnung verpflichtet Emittenten von ART und EMT zur Veröffentlichung eines Whitepapers, das von der zuständigen nationalen Aufsichtsbehörde (in Deutschland die BaFin) genehmigt werden muss. Dieses Whitepaper muss detaillierte Angaben zu Rechten und Pflichten der Token-Inhaber, zur technischen Ausgestaltung, zu Risiken und zur Reserveverwaltung enthalten. Emittenten von EMT benötigen eine E-Geld-Lizenz nach nationalem Recht, während ART-Emittenten eine spezielle MiCA-Lizenz beantragen müssen. Für sogenannte „significant“ Token – solche mit mehr als 10 Millionen Nutzern oder einem Transaktionsvolumen über 5 Milliarden Euro – übernimmt die Europäische Bankenaufsicht (EBA) die direkte Aufsicht. Krypto-Dienstleister, die Handelsplattformen betreiben, Wallets anbieten oder Verwahrung übernehmen, müssen sich als Crypto-Asset Service Provider (CASP) registrieren lassen und unterliegen Kapitalanforderungen, Governance-Vorgaben und Meldepflichten. Die Mindestkapitalanforderung liegt bei 150.000 Euro Eigenkapital oder 25 Prozent der Fixkosten des Vorjahres, je nachdem welcher Betrag höher ist.

Abgrenzung zu bestehenden Finanzmarktregeln

MiCA ergänzt, ersetzt aber nicht vollständig bestehende EU-Finanzmarktrichtlinien. Krypto-Assets, die als Finanzinstrumente im Sinne der MiFID II (Markets in Financial Instruments Directive) gelten – etwa tokenisierte Aktien oder Derivate auf Bitcoin – fallen weiterhin unter MiFID II und nicht unter MiCA. Ebenso bleiben Zahlungsdienstleister, die nur Fiat-Transaktionen abwickeln, unter der Zahlungsdiensterichtlinie PSD2 reguliert. Die Geldwäscherichtlinie (AMLD5 und künftig AMLD6) gilt parallel: CASPs müssen Know-Your-Customer-Prüfungen (KYC) durchführen, verdächtige Transaktionen melden und ab 2027 das Travel-Rule-Regime der Financial Action Task Force (FATF) umsetzen, das die Übermittlung von Absender- und Empfängerdaten bei Krypto-Transfers über 1.000 Euro vorschreibt. MiCA führt zudem ein Marktmissbrauchsregime ein, das dem der Market Abuse Regulation (MAR) für traditionelle Wertpapiere ähnelt: Insiderhandel, Marktmanipulation und unlautere Offenlegung sind verboten und können mit Bußgeldern bis zu 5 Millionen Euro oder 3 Prozent des Jahresumsatzes geahndet werden.

Praxisbeispiel: Lizenzierung und Marktzugang unter MiCA

Ein konkretes Beispiel verdeutlicht die Tragweite von MiCA: Eine Krypto-Exchange mit Sitz in Deutschland, die bisher unter dem Kryptoverwahrgeschäft nach § 1 Abs. 1a Satz 2 Nr. 6 KWG (Kreditwesengesetz) tätig war, muss bis spätestens 1. Juli 2026 eine CASP-Lizenz nach MiCA beantragen. Die Plattform bietet Handel, Verwahrung und Staking-Dienstleistungen an. Unter MiCA muss sie drei separate Dienstleistungskategorien lizenzieren lassen: den Betrieb einer Handelsplattform (Operating a trading platform for crypto-assets), die Verwahrung und Verwaltung von Krypto-Assets im Auftrag Dritter (Custody and administration of crypto-assets on behalf of clients) sowie die Erbringung von Portfolio-Management (Providing portfolio management on crypto-assets). Jede Kategorie erfordert spezifische Nachweise: Für die Verwahrung muss die Plattform eine Versicherung oder vergleichbare Garantie über mindestens 90 Prozent der verwahrten Vermögenswerte nachweisen. Kundenvermögen müssen getrennt von Eigenmitteln verwahrt werden (Segregation), und bei Insolvenz haben Kunden vorrangigen Zugriff auf ihre Assets.

Die Plattform muss außerdem ein Beschwerdeverfahren einrichten, das innerhalb von 15 Arbeitstagen auf Kundenanfragen reagiert, und Konflikte über einen alternativen Streitbeilegungsmechanismus (ADR) gemäß der ADR-Richtlinie (2013/11/EU) lösen. Technisch muss sie nachweisen, dass ihre IT-Systeme gegen Cyberangriffe gehärtet sind – konkret fordert MiCA die Einhaltung der NIS2-Richtlinie (Network and Information Security Directive), die ab Oktober 2024 gilt und Mindeststandards für Incident Response, Penetrationstests und Notfallwiederherstellung vorschreibt. Die BaFin verlangt zudem ein Governance-Konzept, das Interessenkonflikte offenlegt: Wenn die Plattform eigene Token emittiert oder Market-Making betreibt, muss sie darlegen, wie sie Kundeninteressen schützt. Die Lizenzgebühr beträgt einmalig rund 5.000 Euro, hinzu kommen jährliche Aufsichtsgebühren von etwa 0,1 Prozent der Bilanzsumme.

Stablecoin-Emittenten und Reservemanagement

Ein weiteres Beispiel: Ein Fintech-Unternehmen plant die Emission eines Euro-Stablecoins (EMT) mit einem Zielvolumen von 500 Millionen Euro. Unter MiCA muss es eine E-Geld-Lizenz bei der BaFin beantragen und die Reserven zu 100 Prozent in liquiden, risikoarmen Vermögenswerten halten – konkret: Bankeinlagen bei Kreditinstituten der EU, kurzlaufende Staatsanleihen von EU-Mitgliedstaaten mit Rating mindestens AA- oder Geldmarktfonds, die unter der MMF-Verordnung (EU) 2017/1131 zugelassen sind. Die Reserven müssen täglich bewertet und quartalsweise von einem externen Wirtschaftsprüfer testiert werden. Sollte der Stablecoin „significant“ werden – etwa durch Listung auf großen Handelsplattformen und Überschreiten der 10-Millionen-Nutzer-Schwelle –, übernimmt die EBA die Aufsicht und kann zusätzliche Liquiditätspuffer von bis zu 3 Prozent der ausstehenden Token verlangen. Der Emittent muss zudem ein Rücknahmerecht garantieren: Nutzer können jederzeit ihre Token gegen Euro zum Nennwert zurückgeben, und die Rückzahlung muss innerhalb von fünf Geschäftstagen erfolgen. Gebühren für Rücknahme dürfen die tatsächlichen Kosten nicht übersteigen.

Risiken und Sicherheits-Aspekte unter MiCA

MiCA adressiert mehrere zentrale Risiken des Krypto-Marktes, die in der Vergangenheit zu Verlusten in Milliardenhöhe geführt haben. Das erste ist das Custody-Risiko: Vor MiCA waren Handelsplattformen nicht verpflichtet, Kundenvermögen getrennt zu verwahren. Der Zusammenbruch der Krypto-Exchange FTX im November 2022, bei dem rund 8 Milliarden US-Dollar Kundengelder verschwanden, illustriert die Gefahr. MiCA schreibt nun vor, dass CASPs Kundenvermögen auf separaten Wallets halten müssen, die nicht für eigene Geschäfte verwendet werden dürfen. Bei Insolvenz haben Kunden vorrangigen Zugriff – ein Mechanismus, der dem Einlagensicherungssystem bei Banken ähnelt, aber ohne staatliche Garantie funktioniert. Die Plattform muss außerdem nachweisen, dass sie jederzeit über ausreichend Liquidität verfügt, um Abhebungen zu bedienen. Die BaFin kann Stresstests anordnen, bei denen simuliert wird, ob die Plattform einen plötzlichen Abzug von 30 Prozent der Einlagen innerhalb von 48 Stunden bewältigen könnte.

Das zweite Risiko ist Marktmanipulation. MiCA verbietet Praktiken wie Wash Trading (Scheingeschäfte, bei denen derselbe Akteur Kauf- und Verkaufsorders platziert, um Handelsvolumen vorzutäuschen), Spoofing (Platzierung und sofortiges Zurückziehen großer Orders, um den Preis zu beeinflussen) und Pump-and-Dump-Schemata (koordinierte Käufe, um den Preis zu treiben, gefolgt von massiven Verkäufen). Die Aufsichtsbehörden können Handelsplattformen verpflichten, Überwachungssysteme zu implementieren, die verdächtige Muster erkennen – etwa wenn ein Nutzer innerhalb von Sekunden Hunderte Orders platziert und storniert. Bei Verstößen drohen Bußgelder bis zu 5 Millionen Euro oder das Doppelte des erzielten Gewinns. Emittenten von Token müssen zudem Insiderinformationen unverzüglich veröffentlichen: Wenn ein Projekt weiß, dass eine geplante Partnerschaft scheitert oder ein technischer Fehler im Smart Contract entdeckt wurde, muss es dies sofort offenlegen, bevor Insider davon profitieren können.

Technische Sicherheit und Cyberabwehr

MiCA verlangt, dass CASPs ihre IT-Infrastruktur gegen Cyberangriffe absichern. Konkret müssen sie die Anforderungen der NIS2-Richtlinie erfüllen, die unter anderem Multi-Faktor-Authentifizierung (MFA) für alle administrativen Zugriffe, Verschlüsselung sensibler Daten im Ruhezustand und bei Übertragung sowie regelmäßige Penetrationstests durch externe Sicherheitsfirmen vorschreibt. Sollte ein Sicherheitsvorfall eintreten – etwa ein Hack, bei dem Kundenvermögen gestohlen wird –, muss die Plattform die BaFin binnen 24 Stunden informieren und innerhalb von 72 Stunden einen detaillierten Bericht vorlegen. Die Aufsicht kann anordnen, dass die Plattform den Handel vorübergehend aussetzt, bis die Sicherheitslücke geschlossen ist. Für Nutzer bedeutet das: Selbst wenn eine Plattform gehackt wird, greift die Versicherungspflicht – CASPs müssen mindestens 90 Prozent der verwahrten Vermögenswerte gegen Diebstahl, Betrug und technisches Versagen versichern. Diese Versicherung muss bei einem in der EU zugelassenen Versicherer abgeschlossen werden.

Steuern und Rechtslage: MiCA und nationale Umsetzung

MiCA ist eine EU-Verordnung und gilt unmittelbar in allen Mitgliedstaaten, ohne dass nationale Parlamente sie in nationales Recht umsetzen müssen. Dennoch gibt es Bereiche, in denen Mitgliedstaaten Spielraum haben: Die Zuständigkeit für die Aufsicht, die Höhe von Bußgeldern und die Ausgestaltung von Beschwerdeverfahren können national geregelt werden. In Deutschland hat die BaFin die Aufsicht über CASPs und Token-Emittenten übernommen und arbeitet an einer Verwaltungspraxis, die bis Mitte 2025 veröffentlicht werden soll. Ein zentraler Punkt ist die Übergangsregelung: Unternehmen, die vor dem 30. Dezember 2024 bereits als Kryptoverwahrer nach KWG tätig waren, haben bis 1. Juli 2026 Zeit, eine CASP-Lizenz zu beantragen. Während dieser Frist dürfen sie ihre Geschäfte fortführen. Neue Anbieter müssen hingegen sofort eine Lizenz beantragen, bevor sie operativ tätig werden.

Steuerlich ändert MiCA nichts an der Behandlung von Krypto-Assets in Deutschland. Gewinne aus dem Verkauf von Bitcoin, Ether oder anderen Token unterliegen weiterhin der Einkommensteuer gemäß § 23 Abs. 1 Nr. 2 EStG (Einkommensteuergesetz), sofern zwischen Kauf und Verkauf weniger als ein Jahr liegt. Die Freigrenze beträgt 600 Euro pro Jahr – wird sie überschritten, ist der gesamte Gewinn steuerpflichtig, nicht nur der übersteigende Betrag. Staking-Erträge gelten als sonstige Einkünfte nach § 22 Nr. 3 EStG und sind sofort steuerpflichtig, unabhängig von der Haltedauer. MiCA führt jedoch neue Reporting-Pflichten ein: Ab 2026 müssen CASPs im Rahmen der DAC8-Richtlinie (Directive on Administrative Cooperation) automatisch Transaktionsdaten an die Finanzbehörden melden. Konkret übermitteln sie jährlich Informationen über Nutzeridentität, Transaktionsvolumen, realisierte Gewinne und Bestände zum Jahresende. Diese Daten werden zwischen den EU-Mitgliedstaaten ausgetauscht, sodass das Finanzamt in Deutschland automatisch erfährt, wenn du auf einer französischen oder maltesischen Plattform handelst.

Grenzüberschreitende Dienstleistungen und Drittstaaten

Ein CASP mit Lizenz in einem EU-Mitgliedstaat kann seine Dienstleistungen EU-weit anbieten, ohne in jedem Land eine separate Lizenz zu benötigen – das sogenannte Passporting-Prinzip, das auch für Banken und Versicherungen gilt. Eine in Frankreich lizenzierte Krypto-Exchange kann also ohne weitere Genehmigung deutsche Kunden bedienen. Für Anbieter aus Drittstaaten – etwa den USA oder der Schweiz – gilt: Sie müssen entweder eine EU-Tochtergesellschaft gründen und dort eine Lizenz beantragen oder über eine bestehende EU-Plattform als White-Label-Partner agieren. Direkte Dienstleistungen aus Drittstaaten an EU-Kunden sind ab Juli 2026 verboten, es sei denn, die EU-Kommission hat mit dem betreffenden Staat ein Äquivalenzabkommen geschlossen, das vergleichbare Regulierungsstandards anerkennt. Bisher existiert kein solches Abkommen. Das bedeutet: Große US-Plattformen wie eine US-Krypto-Börse oder ein internationaler Krypto-Handelsplatz müssen ihre EU-Geschäfte über lokale Tochtergesellschaften abwickeln, die unter MiCA lizenziert sind. Nutzer, die weiterhin auf unregulierten Plattformen handeln, riskieren, dass ihre Guthaben bei Insolvenz oder regulatorischen Maßnahmen nicht geschützt sind.

Die Rechtslage für dezentrale Protokolle (DeFi) bleibt unklar. MiCA definiert CASPs als Unternehmen, die Dienstleistungen „im Auftrag Dritter“ erbringen. Rein dezentrale Protokolle ohne zentrale Betreiberstruktur – etwa Uniswap oder Aave – fallen formal nicht darunter. Sobald jedoch ein Team Gebühren einzieht, Governance-Entscheidungen trifft oder Marketing betreibt, könnte die Aufsicht argumentieren, dass faktisch ein CASP vorliegt. Die EU-Kommission hat angekündigt, bis Ende 2025 eine Konsultation zu DeFi-Regulierung zu starten. Bis dahin bewegen sich DeFi-Nutzer in einer Grauzone: Die Protokolle selbst sind nicht verboten, aber Schnittstellen (Frontends) könnten als CASP eingestuft werden, wenn sie Nutzer aktiv onboarden oder Verwahrung anbieten. Wer DeFi nutzt, sollte sich bewusst sein, dass kein Anlegerschutz greift – weder Einlagensicherung noch Beschwerdeverfahren noch Versicherung.

Ausblick und Marktentwicklung unter MiCA

MiCA wird den europäischen Krypto-Markt fundamental verändern. Analysten erwarten, dass kleinere Plattformen den Markt verlassen, weil sie die Lizenzkosten und Compliance-Anforderungen nicht stemmen können. Die Unternehmensberatung PwC schätzt, dass die Implementierung von MiCA-Compliance für eine mittelgroße Exchange zwischen 500.000 und 2 Millionen Euro kostet – einmalig für Systemanpassungen, Rechtsberatung und Lizenzantrag, plus laufende Kosten von 200.000 bis 500.000 Euro jährlich für Aufsichtsgebühren, externe Prüfungen und Personal. Das begünstigt Konsolidierung: Große Plattformen mit mehreren Millionen Nutzern können diese Kosten auf eine breite Basis umlegen, während Nischenanbieter unrentabel werden. Gleichzeitig könnte MiCA institutionelle Investoren anziehen, die bisher wegen regulatorischer Unsicherheit fernblieben. Pensionsfonds, Versicherungen und Family Offices dürfen in vielen EU-Staaten nur in regulierte Assets investieren – mit MiCA-lizenzierten Token und Plattformen erfüllen Krypto-Assets erstmals diese Kriterien.

Ein weiterer Effekt: Stablecoins könnten an Bedeutung gewinnen, insbesondere solche, die von etablierten Finanzinstituten emittiert werden. Banken und Zahlungsdienstleister können unter MiCA eigene EMTs ausgeben und dabei auf bestehende E-Geld-Lizenzen aufbauen. Das könnte den Markt für private Stablecoins wie USDT oder USDC unter Druck setzen, wenn europäische Nutzer zu regulierten Alternativen wechseln. Die Europäische Zentralbank (EZB) beobachtet diese Entwicklung genau: Sollten private Stablecoins systemrelevant werden, könnte die EZB strengere Kapitalanforderungen oder sogar ein Verbot für nicht-EU-emittierte Stablecoins durchsetzen. Parallel arbeitet die EZB am digitalen Euro, der als öffentliche Alternative zu privaten Stablecoins konzipiert ist und voraussichtlich ab 2028 verfügbar sein wird. Für Anleger bedeutet das: Die Wahl der richtigen Plattform und Token wird wichtiger – nicht nur aus Performance-Sicht, sondern auch aus regulatorischer Perspektive. Wer langfristig in Krypto investiert, sollte auf MiCA-konforme Anbieter setzen, um rechtliche Risiken zu minimieren.