Let’s Build a Crypto Custodian (Part III) – Welche Anforderungen wird die BaFin an die Risikostrategie stellen?

(For English version click here)

 

Ab dem 1. Januar 2020 wird die BaFin Erlaubnisanträge zu der neuen Finanzdienstleistung des Kryptoverwahrgeschäfts entgegennehmen. Im Markt zeigt sich bereits reges Interesse an der Einholung der Zulassung als Kryptoverwahrer, sowohl von inländischen als auch von internationalen Unternehmen. Zwar muss abgewartet werden, welche Unternehmen den Erlaubnisantrag tatsächlich stellen und an wen die Erlaubnis durch die BaFin auch wirklich erteilt wird. Es ist jedoch wahrscheinlich, dass es im Laufe des Jahres 2020 zu einigen Erlaubniserteilungen kommen wird und dann die Kryptoverwahrung in Deutschland unter der staatlichen Aufsicht der BaFin stattfinden wird. Da sich der Gesetzgeber allerdings mit der endgültigen Fassung der Neuerungen im Kreditwesengesetz zum Kryptoverwahrgeschäft viel Zeit ließ, hatte die Behörde bis dato kaum Zeit, zu dem neuen Erlaubnistatbestand eine Verwaltungspraxis zu entwickeln. Insbesondere, weil die Kryptoverwahrung kaum mit anderen regulierten Finanz- oder Bankdienstleistungen vergleichbar sein wird, muss die Behörde sorgfältig entwickeln, welche Anforderungen sie im Rahmen der laufenden Aufsicht an Kryptoverwahrinstitute in Zukunft stellen möchte. Ein kritischer Aspekt wird insoweit die Risikostrategie von Kryptoverwahrern sein, da sich im Vergleich zu anderen Instituten sehr spezielle Risiken stellen werden.

Was müssen Finanzdienstleister grundsätzlich bei ihrer Risikostrategie beachten?

Die Schaffung, Umsetzung und ständige Weiterentwicklung einer angemessenen Risikostrategie ist ein Kernaspekt der Finanzdienstleistungsaufsicht. Das Kreditwesengesetz schreibt Finanzdienstleistungsinstituten daher vor, Verfahren zur Ermittlung und Sicherstellung der Risikotragfähigkeit zu entwickeln und umzusetzen, wobei eine vorsichtige Ermittlung der Risiken und des zu ihrer Abdeckung verfügbaren Risikodeckungspotenzials zugrunde zu legen ist. Es ist im Grundsatz die Aufgabe der Institute eigenverantwortlich zu entscheiden, wie sie diese gesetzliche Pflicht umsetzen. Die BaFin hat als Aufsichtsbehörde lediglich die Aufgabe Missstände zu monieren und einzuschreiten, sobald sie der Auffassung ist, dass ein Institut seine Pflicht zur angemessenen Schaffung und Umsetzung einer Risikostrategie nicht hinreichend erfüllt. Um den Instituten die Erfüllung dieser Aufgabe zu erleichtern hat die BaFin ihre Verwaltungspraxis konkretisiert und in den Mindestanforderungen an das Risikomanagement (MaRisk) niedergeschrieben. Institute wissen so, was die Aufsichtsbehörde grundsätzlich erwartet und können sich an den Vorgaben der MaRisk bei der Entwicklung ihrer Risikostrategie orientieren. Neben Konkretisierungen zur generellen Risikotragfähigkeit und -strategie enthält die MaRisk unter anderem auch Mindestanforderungen zur Ausgestaltung von internen Kontrollsystemen und Stresstests, zur Aufbau- und Ablauforganisation, zur technischen und personellen Ausstattung des Unternehmens und IT-Notfallkonzepten.

Welche Risiken werden sich zusätzlich für Kryptoverwahrer stellen?

Kryptoverwahrer werden sich jedoch im Vergleich zu anderen Finanzdienstleistungsunternehmen zusätzlichen kryptospezifischen Risiken ausgesetzt sehen. Insbesondere die Gefahr eines Verlustes des zu den Kryptowerten von Kunden gehörenden privaten Schlüsseln stellt ein solches spezifisches Risiko dar, zumal die Neugenerierung privater Schlüssel nicht möglich ist und ein Verlust somit zum endgültigen Verlust der Kryptowerte führt. Die Risikostrategie von Kryptoverwahrern wird sich daher mit diesem Thema ausführlich befassen müssen. Ein weiterer in der Risikostrategie zu behandelnder Aspekt wird die hinreichende Absicherung gegen den Zugriff unbefugter Dritter auf private Schlüssel zu Kryptowerten sein, da mit der Kenntnis privater Schlüssel jeweils die Verfügungsmöglichkeit über die zugehörigen Kryptowerte verbunden ist. Erlangen unbefugte Dritte somit Kenntnis von privaten Schlüsseln zu verwahrten Kryptowerten, werden sie die Möglichkeit haben, die Kryptowerte an andere Wallets mit anderen privaten Schlüsseln zu versenden und sie so dem Verfügungsbereich des Kryptoverwahrers endgültig zu entziehen. Zu beachten wird insoweit auch der Umstand sein, dass solche Angriffe auf die Verwahrwallets nicht nur von außen, sondern auch von intern durch Mitarbeiter erfolgen kann. Kryptoverwahrer werden sich gegen diese Risiken beispielsweise durch die Nutzung von Multisig-Wallets und sorgfältige Auswahl der mit Zugriffsrechten ausgestatteten Mitarbeiter absichern müssen. Im Hinblick auf die IT-Ausstattung von Kryptoverwahrern wird sich zudem die Frage stellen, zu welchem Ausmaß die Systeme mit dem Internet oder mit Cloud-Lösungen verbunden sein dürfen, um die Gefahr von externen Hackerangriffen zu minimieren.

BaFin entwickelt derzeit Verwaltungspraxis zu Kryptoverwahrgeschäft

Die BaFin hat bereits verlauten lassen, dass sie aktuell an der Entwicklung ihrer Verwaltungspraxis zum Kryptoverwahrgeschäft arbeitet. Unternehmen, die ihr Interesse zur Stellung eines Erlaubnisantrags bereits gegenüber der Behörde bekundet haben, beabsichtigt die BaFin individuell zu informieren, sobald sie ihre Verwaltungspraxis konkretisiert hat, um den künftigen Antragstellern eine gründliche und vollständige Antragsvorbereitung zu ermöglichen. Bis dahin wird aber sicher noch einige Zeit vergehen. Dennoch sollten sich zukünftige Kryptoverwahrer bereits jetzt mit den zu erfüllenden Anforderungen auseinandersetzen, um die Antragsvorbereitungszeit möglichst kurz halten zu können.

 

Rechtsanwalt Lutz Auffenberg, LL.M. (London)

 

I.  https://fin-law.de

E. info@fin-law.de

Unsere Blog Artikel im monatlichen Newsletter?

Mit dem FIN LAW Newsletter erhalten Sie alle FIN LAW Blog Artikel des Monats noch einmal übersichtlich und leserfreundlich zusammengestellt per E-Mail zugesandt. Unser Newsletter erscheint jeweils zu Beginn des Monats. Melden Sie sich einfach über den untenstehenden Button für den FIN LAW Newsletter an. Natürlich können Sie den Newsletter auch jederzeit wieder abbestellen