Dieser Artikel ist zuerst auf dem Fin Law Blog erschienen.
Am 1. Juni 2022 hat die BaFin ein im Markt lang ersehntes Hinweisschreiben zur neuen Finanzdienstleistung der Kryptowertpapierregisterführung veröffentlicht. Konkret handelt es sich um Hinweise der Aufsichtsbehörde zu den anstehenden Erlaubnisverfahren von Unternehmen, die die Kryptowertpapierregisterführung künftig anbieten wollen. An der Erbringung der Kryptowertpapierregisterführung interessierten Unternehmen war es nach einer gesetzlichen Übergangsbestimmung möglich, eine vorläufige Erlaubnis zur Erbringung bei Abgabe einer entsprechenden Absichtsanzeige bis zum 10. Oktober 2021 und Aufnahme der Geschäftstätigkeit bis zum 10. Dezember 2021 zu erhalten.
Anbietern vorläufig erlaubter Tätigkeiten schreibt das Gesetz jedoch auch vor, bis spätestens zum 10. Juni 2022 einen vollständigen Erlaubnisantrag bei der BaFin einreichen zu müssen. Verfehlen sie diese Frist, muss die vorläufige Erlaubnis entzogen werden. Vor diesem Hintergrund kommt das Hinweisschreiben der BaFin zu ihren Anforderungen an die Vollständigkeit eines Erlaubnisantrags nur zehn Tage vor Ablauf der Frist sehr spät.
Welche Hinweise gibt die BaFin zu Erlaubnisverfahren von Kryptowertpapierregisterführern?
Das Hinweisschreiben befasst sich nicht mit allen relevanten Aspekten eines Erlaubnisverfahrens, sondern setzt thematische Schwerpunkte. Neben den Ausführungen zu der Übergangsfrist und der vorläufigen Erlaubnis stellt die Aufsichtsbehörde dar, dass sich das Erlaubnisverfahren nach § 32 Abs. 1 des Kreditwesengesetzes (KWG) und den Vorgaben insbesondere der Anzeigeverordnung zum KWG richtet. Inhaltlich stellt die BaFin klar, dass der eindeutige Schwerpunkt der Erlaubnisanträge nach ihrer Erwartungshaltung auf der Informationssicherheit liegen soll.
Sie verweist zudem darauf, dass Kryptowertpapierregisterführer ein regulatorisches Anfangskapital von mindestens 150.000 Euro nachweisen müssen, und dass die Unternehmen nach den gesetzlichen Voraussetzungen lediglich einen fachlich geeigneten, zuverlässigen und hinreichend zeitlich verfügbaren Geschäftsleiter benötigen. Gleichwohl betont die BaFin, dass sie es grundsätzlich begrüßt, wenn zwei oder mehrere Geschäftsleiter vorhanden sind, um das in vielen Bereichen grundsätzlich erforderliche Vier-Augen-Prinzip einhalten zu können.
Weiter erinnert die Behörde die Unternehmen daran, dass sie als Finanzdienstleistungsinstitute den Vorschriften des Geldwäschegesetzes unterfallen und sich insoweit um die Einhaltung der daraus resultierenden Präventionspflichten kümmern müssen. Schließlich erteilt die BaFin einen Hinweis auf die für das Erlaubnisverfahren anfallende Gebühr, die sowohl im Fall der Erlaubniserteilung als auch bei Versagung der Erlaubnis oder Rücknahme des Antrags anfällt.
Was sind die Anforderungen an die IT von Kryptowertpapierregisterführern?
Die Kryptowertpapierregisterführung ist denknotwendig eine reine IT-Dienstleistung. Es verwundert daher nicht, dass die BaFin wie schon im Fall des Kryptoverwahrgeschäfts den aufsichtlichen Schwerpunkt auf die Sicherheit der IT-Systeme und die generelle strategische Ausrichtung der Unternehmen im Bereich der IT legt. Bereits bei der Beurteilung der fachlichen Eignung von Geschäftsleitern möchte die BaFin deshalb bei Kryptowertpapierregisterführern den Fokus auf die technischen und IT-spezifischen Kenntnisse legen.
Erforderlich ist im Erlaubnisantrag deshalb die Darstellung einer ausführlichen IT-Strategie und eine umfassende Beschreibung der IT-Architektur des Unternehmens. Implementierte technische und organisatorische Sicherheitsmaßnahmen sind zu erläutern. Ebenso müssen Schutzbedarfsziele im Bereich der IT formuliert und Prozesse zu ihrer Verwirklichung dargestellt werden. Soweit die Unternehmen Cloudlösungen nutzen, müssen besondere Anforderungen eingehalten werden, wie beispielsweise die Sicherstellung, dass alle Daten in Europa gespeichert werden.
Daneben müssen Angaben zu einem Rechte- und Rollenkonzept in einem Berechtigungsmanagement gemacht und effektive Überwachungsmechanismen eingerichtet werden. Im Übrigen gelten wie für alle anderen Finanzdienstleistungsinstitute auch die Vorgaben der bankaufsichtlichen Anforderungen an die IT (BAIT), die die BaFin in ihrem Rundschreiben 10/2017 veröffentlicht hat.