MiCA Krypto-Regulierung: ESMA legt letzte Bausteine vor – 5 Compliance-Fakten

Seit dem 30. Dezember 2024 gilt MiCA vollständig für alle Krypto-Asset Service Provider in der EU – doch der Regulierungszug rollt weiter. ESMA legt gerade die letzten technischen Bausteine vor, und die Compliance-Rechnung für europäische Krypto-Börsen fällt happig aus. Rechnen wir nach, was das konkret bedeutet.

MiCA: Vom Papiertiger zum Vollregime

Die Verordnung (EU) 2023/1114 – offiziell Markets in Crypto-Assets Regulation, kurz MiCA – ist kein Entwurf mehr. Sie wurde am 9. Juni 2023 im EU-Amtsblatt veröffentlicht, trat wenige Wochen später in Kraft und ist seitdem schrittweise scharf geschaltet worden. Seit dem 30. Juni 2024 gelten die Regeln für Emittenten von Asset-referenced Tokens und E-Money Tokens. Seit dem 30. Dezember 2024 sind auch alle Crypto-Asset Service Provider – also Börsen, Broker, Verwahrer und Handelsplattformen – vollständig erfasst. Der Haken: Technische Standards und Leitlinien, ohne die das Regelwerk kaum umsetzbar ist, lagen zu diesem Stichtag noch nicht vollständig vor. Genau hier setzt die aktuelle ESMA-Runde an.

Die ESMA-Seite zu MiCA listet einen umfangreichen Katalog an Regulatory Technical Standards, Implementing Technical Standards und Leitlinien. Viele davon befinden sich noch in der Konsultationsphase oder wurden gerade erst finalisiert. Das ist keine Ausrede für Bummelei, sondern Regulierungsrealität bei einem so komplexen Regelwerk. Für die betroffenen Plattformen bedeutet es allerdings: Compliance ist ein bewegliches Ziel.

Zum Vergleich: Die EU-Wertpapierregulierung MiFID II brauchte nach ihrer Verabschiedung rund zwei Jahre, bis alle technischen Standards standen. MiCA läuft in einem ähnlichen Rhythmus – mit dem Unterschied, dass Krypto-Märkte deutlich schneller iterieren als traditionelle Börsensegmente.

Was ESMA gerade nachliefert – und warum das teuer wird

ESMA arbeitet aktuell an den letzten Regulierungsbausteinen, die CASPs für eine vollständige MiCA-Krypto-Regulierung benötigen: technische Standards zu Interessenkonflikten, Transparenzpflichten, Whitelists für zulässige Dienstleistungen und Anforderungen an die Handelsüberwachung. Wer als Krypto-Börse bereits jetzt eine Zulassung beantragt oder den Grandfathering-Zeitraum nutzt, muss diese Standards antizipieren – ohne sie vollständig zu kennen. Das ist rechtlich heikel und operativ aufwendig.

Konkret: Gemäß MiCA müssen CASPs robuste Governance-Strukturen, Risikomanagement-Prozesse, IT-Sicherheitsstandards und Systeme zur Marktmissbrauchserkennung vorhalten. Letzteres schließt Mechanismen gegen Insiderhandel und Marktmanipulation ein – analog zur Marktmissbrauchsverordnung (MAR) für klassische Wertpapiermärkte. Unter dem Strich bedeutet das für eine mittelgroße europäische Krypto-Plattform: Ein vollständig MiCA-konformes Compliance-System kostet nach Schätzungen aus der Branche schnell 500.000 bis über eine Million Euro im ersten Aufbaujahr. Hinzu kommen laufende Kosten für Monitoring, Reporting und Personal.

Rechnen wir nach: Eine Plattform mit 50 Mitarbeitern und einem Handelsvolumen von 100 Millionen Euro jährlich gibt für MiCA-Compliance möglicherweise fünf bis zehn Prozent ihrer Betriebskosten aus – bevor die erste neue Einnahmequelle erschlossen ist. Für kapitalschwache Start-ups ist das eine erhebliche Hürde. Für etablierte Player dagegen eher eine Eintrittskarte, die Wettbewerber fernhält.

Der Grandfathering-Irrtum: 18 Monate sind kein Freifahrtschein

Ein weit verbreitetes Missverständnis hält sich hartnäckig: Viele Anbieter glauben, die 18-monatige Übergangsfrist nach dem 30. Dezember 2024 sei eine Art regulatorische Schonfrist ohne Konsequenzen. Das ist falsch. Die sogenannte Grandfathering-Regelung erlaubt es bereits vor MiCA aktiven Anbietern, ihre Dienste weiterzuführen – aber nur solange und sofern ein vollständiger Zulassungsantrag bei der nationalen Behörde eingereicht und noch nicht beschieden wurde. Wer keinen Antrag stellt, verliert den Anspruch auf Weiterbetrieb.

Die BaFin hat klargestellt: Unternehmen, die andere Token als ART oder EMT öffentlich anbieten oder zum Handel zulassen wollen, müssen spätestens 20 Arbeitstage vor Veröffentlichung ein MiCA-konformes Kryptowerte-Whitepaper erstellen und einreichen. Dieser Prozess läuft bisher über einen E-Mail-Kanal – was angesichts der zu erwartenden Antragsflut nicht auf Dauer skaliert. Dass Deutschland zusätzlich ein Kryptomärkteaufsichtsgesetz verabschiedet hat, dessen Anzeigenverordnung 2026 in Kraft treten soll, verschärft den regulatorischen Druck auf heimische Anbieter weiter.

Meine Einschätzung dazu: Der Gesetzgeber hat mit MiCA und dem deutschen Ausführungsrecht ein System gebaut, das professionelle Compliance-Abteilungen voraussetzt. Wer das als lästige Bürokratie abtut, unterschätzt das Sanktionsrisiko. Nationale Aufseher können Untersagungsverfügungen erlassen – und die Aufsichtsbehörden schärfen gerade ihre Praxis.

Offshore-Börsen: Geo-Blocking ist keine Lösung

Besonders interessant ist die Frage, wie nicht-europäische Krypto-Handelsplätze mit MiCA umgehen. Die kurze Antwort: Ignorieren ist keine Option. MiCA knüpft an das öffentliche Angebot von Krypto-Dienstleistungen in der EU an – nicht daran, wo der Server steht. Wer als Plattform gezielt EU-Kunden anspricht, also beispielsweise in europäischen Sprachen wirbt, einen Euro-Onramp anbietet oder in EU-App-Stores präsent ist, unterliegt dem Regelwerk. Ein bloßes IP-basiertes Geo-Blocking reicht nach herrschender Rechtsauffassung nicht aus, um der Krypto-Regulierung zu entgehen.

Zum Vergleich: GDPR hat genau dasselbe Prinzip etabliert – und es hat funktioniert. Große US-Plattformen haben ihre europäischen Datenschutzerklärungen angepasst, Niederlassungen gegründet oder Dienste eingeschränkt. Für Krypto-Börsen dürfte der Anpassungsdruck ähnlich wirken. Wer den EU-Markt mit seinen rund 450 Millionen Verbraucherinnen und Verbrauchern nicht aufgeben will, braucht eine Lizenz oder einen lizenzierten europäischen Partner.

Der Haken für kleinere Offshore-Plattformen: Eine EU-Lizenz als CASP ist keine Formalität. Sie erfordert Eigenkapital, eine physische EU-Niederlassung, qualifiziertes Management und – richtig – vollständige MiCA-Compliance inklusive aller noch ausstehenden ESMA-Standards. Das ist eine mehrjährige Aufbauarbeit.

Stablecoins: MiCA trifft Tether und Co. am härtesten

Besonders drastisch sind die Auswirkungen der MiCA-Krypto-Regulierung im Stablecoin-Segment. Asset-referenced Tokens und E-Money Tokens unterliegen seit dem 30. Juni 2024 strengen Reserveanforderungen, Governance-Vorgaben und laufender Aufsicht. Das trifft vor allem große Dollar-gebundene Stablecoins wie Tether (USDT), die keine EU-Zulassung als EMT haben. Einige europäische Krypto-Börsen haben USDT-Handelspaare bereits delistet oder planen entsprechende Schritte – nicht aus Überzeugung, sondern aus Compliance-Zwang.

Die Diskussion rund um Euro-Stablecoins als neues Fundament für digitale Zahlungsinfrastrukturen gewinnt dadurch erheblich an Relevanz: Bankkonsortien und FinTechs entwickeln MiCA-konforme Euro-Token, die als Handelspaare auf regulierten Plattformen funktionieren sollen. Das Rennen um den dominanten EU-Stablecoin ist eröffnet. Wer hier zu spät kommt oder auf falsche Token setzt, trägt ein erhebliches Geschäftsrisiko.

Stablecoins sind zudem der Bereich, in dem MiCA am klarsten eine Schutzfunktion erfüllt: Die Verordnung soll verhindern, dass unzureichend gedeckte Token systemische Risiken erzeugen – ein Szenario, das nach dem Terra/LUNA-Kollaps 2022 in aller Munde war. Ob die Reserveanforderungen ausreichen, darüber streiten Regulierungsrechtler noch – aber der Ansatz ist richtig.

Was MiCA nicht regelt – und wo Compliance-Teams aufpassen müssen

Mindestens ebenso wichtig wie das, was MiCA regelt, ist das, was es nicht regelt. Security Tokens, die bereits unter MiFID II fallen, sind primär durch dieses Regime erfasst. Vollständig dezentrale DeFi-Protokolle ohne identifizierbaren Emittenten oder Dienstleister sind von MiCA nur begrenzt berührt – hier werden Aufseher und Gerichte in den kommenden Jahren Präzedenzfälle schaffen. NFTs sind nur partiell adressiert; Folgeregulierung ist ausdrücklich vorbehalten.

Wer als Compliance-Verantwortlicher glaubt, mit einer bestehenden BaFin-Lizenz als Wertpapierfirma oder E-Geld-Institut automatisch auf der sicheren Seite zu sein, irrt. Solche Unternehmen benötigen zwar keine eigene CASP-Lizenz, müssen aber MiCA-Konformität nachweisen, ihre Krypto-Tätigkeit anzeigen und alle Verhaltensanforderungen für CASPs erfüllen. Das ist nicht trivial.

Einen guten Überblick über die Anforderungen an Emittenten und Dienstleister bietet die Analyse der Kanzlei Simmons & Simmons zu MiCA, die auch auf Haftungsrisiken bei Whitepapers eingeht. Denn Emittenten haften für fehlerhafte oder irreführende Angaben im Whitepaper – ein Paragraph, den viele Gründer noch nicht auf dem Schirm haben.

Praktische Handlungsschritte: Was Compliance-Teams jetzt tun sollten

Angesichts der beschriebenen Komplexität stellt sich für viele Verantwortliche die Frage: Wo fängt man konkret an? Die Antwort hängt von der Ausgangslage ab, aber einige Schritte sind für nahezu jeden betroffenen Anbieter relevant.

Bestandsaufnahme der angebotenen Krypto-Assets: Nicht jeder Token fällt gleich unter MiCA. Compliance-Teams sollten zunächst alle angebotenen und verwahrten Krypto-Assets kategorisieren – nach ARTs, EMTs und sonstigen Krypto-Assets. Diese Kategorisierung bestimmt, welche spezifischen Anforderungen gelten und welche nationalen Zuständigkeiten greifen. Fehler hier ziehen sich durch den gesamten Prozess.

Gap-Analyse gegen bestehende ESMA-Standards: Auch wenn noch nicht alle Regulatory Technical Standards finalisiert sind, liegen Konsultationspapiere und Entwürfe vor. Eine strukturierte Gap-Analyse gegen diese Vorentwürfe ist heute möglich und sinnvoll. Wer damit wartet, bis alle Standards veröffentlicht sind, verliert kostbare Vorlaufzeit.

Governance-Dokumentation aufbauen: MiCA verlangt nachweisbar funktionierende Governance-Strukturen. Das bedeutet: Beschlüsse des Leitungsorgans zu Risikoappetitvorgaben dokumentieren, Interessenkonflikte-Register führen und interne Kontrollsysteme schriftlich festhalten. Aufsichtsbehörden werden diese Dokumente bei Prüfungen anfordern – und fehlende Unterlagen gelten als Indiz für mangelhafte Compliance.

IT-Sicherheitsreview anstoßen: Die DORA-Verordnung, die seit Januar 2025 gilt, und MiCA überlappen sich bei IT-Sicherheitsanforderungen erheblich. CASPs, die DORA bereits umsetzen, können Synergien nutzen – sollten aber prüfen, wo MiCA über DORA hinausgeht, etwa bei spezifischen Anforderungen an Schlüsselverwaltung und Wallet-Sicherheit.

Externe Rechts- und Compliance-Beratung frühzeitig einbinden: Gerade für Unternehmen ohne dediziertes Regulatory-Team ist externe Expertise kein Luxus, sondern Risikoabsicherung. Die Kosten einer fehlerhaften Zulassung oder einer Untersagungsverfügung übersteigen Beratungshonorare um ein Vielfaches.

Gegenargumente: Bremst MiCA Innovation in Europa?

Nicht alle Marktteilnehmer sehen MiCA positiv. Kritiker aus der Gründerszene und von dezentralen Projekten argumentieren, das Regelwerk sei zu starr für eine Technologie, die sich in Monaten grundlegend verändert. Tatsächlich gibt es legitime Einwände: Die Anforderungen an Whitepapers sind so ausführlich, dass kleinere Token-Projekte ohne professionelle Rechtsberatung kaum compliant publizieren können. Das bevorzugt gut finanzierte Emittenten gegenüber gemeinschaftsgetriebenen Open-Source-Projekten.

Hinzu kommt das Argument der regulatorischen Arbitrage: Projekte, die sich nicht an EU-Nutzer richten wollen oder können, verlagern Entwicklung und Liquidität schlicht in andere Jurisdiktionen. Dubai, die Cayman Islands und zunehmend auch die USA nach ihrer eigenen Krypto-Gesetzgebungsoffensive bieten attraktive Alternativen. Ob Europa dadurch Innovationspotenzial verliert, lässt sich heute noch nicht abschließend beurteilen.

Die Gegenposition ist jedoch überzeugend: Ein regulierter Markt mit klaren Haftungsregeln schafft Vertrauen bei institutionellen Investoren, die bislang zögern. Pensionsfonds, Versicherungen und Banken können in regulierten Krypto-Assets deutlich einfacher anlegen als in einem unregulierten Graumarkt. Dieses institutionelle Kapital übersteigt das von Retail-Investoren um ein Vielfaches. MiCA könnte Europa mittelfristig also nicht als Bremse, sondern als Beschleuniger für professionelles Krypto-Investment positionieren – wenn die Umsetzung gelingt.

Konsolidierung vorprogrammiert: Wer bleibt, wer geht?

Unter dem Strich ist MiCA ein Marktstrukturprogramm. Die Krypto-Regulierung erhöht die Eintrittsbarrieren so deutlich, dass kleinere, informell organisierte Plattformen in Europa kaum überleben werden. Die Profiteure sind kapitalkräftige, bereits regulierte Akteure: Banken, die Krypto-Verwahrung anbieten; regulierte Broker, die ihr Angebot erweitern; FinTechs mit belastbarem Compliance-Fundament. Das EU-Passporting macht den Binnenmarkt für diese Anbieter attraktiver als je zuvor – wer einmal in einem Mitgliedstaat zugelassen ist, kann in der gesamten EU tätig sein.

Für Endnutzer bringt das eine interessante Rendite-Überlegung mit sich: Regulierte Plattformen dürften sicherer sein – weniger Insolvenzrisiko, mehr Transparenz, klarere Haftung. Dafür zahlt man möglicherweise leicht höhere Gebühren, weil der Compliance-Aufwand eingepreist wird. Ist das ein fairer Tausch? Ich finde: ja. Wer einen Teil seiner Ersparnisse in Krypto-Assets hält, sollte wissen, dass die Plattform nicht über Nacht verschwindet.

Die Frage, die bleibt: Schafft Europa mit MiCA tatsächlich den regulierten Krypto-Hub, den es anstrebt – oder wandern innovative Projekte und Liquidität in Jurisdiktionen ab, die weniger streng sind? Das Vereinigte Königreich, Singapur und die USA arbeiten an eigenen Krypto-Rahmenwerken. MiCA ist die bislang detaillierteste Antwort auf diese Frage weltweit – aber ob sie die richtige ist, werden die nächsten zwei bis drei Jahre zeigen. Was planen Sie: abwarten oder jetzt die Compliance-Hausaufgaben machen?