Das Ende der Anonymität von Bitcoin & Co.? Regulierung von Kryptocoins nach der 5. EU-Geldwäscherichtlinie
Am 9. Juli 2018 ist die fünfte Geldwäscherichtlinie (EU) 2018/843 (AMLD 5) in Kraft getreten. Die EU-Mitgliedstaaten müssen sie bis zum 10. Januar 2020 in das nationale Recht umsetzen. Die neue Richtlinie ändert die erst Mitte 2017 umgesetzte vierte EU-Geldwäscherichtlinie (AMLD 4) und führt in unterschiedlichen Bereichen des europäischen Geldwäscherechts zu Neuregelungen und Verschärfungen, darunter zum Thema der virtuellen Währungen wie z.B. „Bitcoin“, „Ethereum“ oder „Litecoin“.
Anstoß der Neuregelungen zu den virtuellen Währungen war die Einschätzung der EU-Kommission, dass Geschäfte mit virtuellen Währungen aufgrund ihres höheren Maßes an Anonymität im Vergleich zu klassischen Geldtransfers ein Risiko bergen, von terroristischen Organisationen für die Verschleierung von Finanztransaktionen genutzt zu werden (siehe den Richtlinienvorschlag zur AMLD 5 vom 05.07.2016, S. 14 f.). Als mögliche weitere Risiken identifizierte die EU-Kommission „die Unumkehrbarkeit der Transaktionen, [fehlende] Mittel für den Umgang mit Betrügereien, die undurchsichtige und technisch komplexe Natur der Branche und den Mangel an rechtlichen Garantien“ (a.a.O.). Die EU-Kommission und ihr folgend die AMLD 5 setzen zur Einführung und Vereinheitlichung geldwäscherechtlicher Kontrollen bei den Dienstleistern an, die der breiten Öffentlichkeit Zugang zu virtuellen Währungen verschaffen, nämlich einerseits den Online-Handelsplattformen für virtuelle Währungen („Exchanges“) und andererseits den Dienstleistern bei der Verwahrung von Zugangsdaten für virtuelle Währungen („Wallet Provider“), die die Kommission als „Gatekeeper“ für virtuelle Währungen ansieht (a.a.O.).
Die Neuregelung für Exchanges und Wallet Provider
Die zentrale Funktion einer Exchange ist der Umtausch von virtueller Währung in gesetzliche Zahlungsmittel wie Euro oder US-Dollar (in der AMLD 5 definiert als „Fiatgeld“) und umgekehrt. Die geldwäscherechtliche Behandlung der Exchange ist in der EU bislang uneinheitlich. So unterliegt eine Exchange in Deutschland geldwäscherechtlicher Kontrolle, weil die BaFin virtuelle Währungen als „Rechnungseinheiten“ und damit als „Finanzinstrumente“ gemäß § 1 Abs. 11 S. 1 Nr. 7 KWG einordnet. Eine Exchange betreibt aus deutscher Sicht als Handelsplattform für Finanzinstrumente die erlaubnispflichtige Finanzdienstleistung des Eigenhandels oder – je nach Ausgestaltung – der Anlagevermittlung und zählt damit als Finanzdienstleistungsinstitut im Sinne des § 1 Abs. 1a KWG zu den geldwäscherechtlich Verpflichteten (§ 2 Abs. 1 Nr. 2 GwG). Dagegen existiert zum Beispiel in Österreich keine Erlaubnispflicht für Exchanges. Ebenso wenig unterliegen Exchanges dem österreichischen Finanzmarkt-Geldwäschegesetz. Dies wird sich mit Umsetzung der AMLD 5 ändern. Danach werden Betreiber einer Exchange EU-weit zu geldwäscherechtlichen Verpflichteten. Die Kunden einer Exchange müssen also gemäß Art. 11 ff. AMLD 5 einen vollständigen „Know Your Customer“ (KYC) Check durchlaufen. Sie sind persönlich anhand eines amtlichen Lichtbildausweises zu identifizieren (ggf. über ein Video-Identifikationsverfahren oder persönlich in einer kooperierenden Post- oder Bankfiliale). Der sog. wirtschaftlich Berechtigte der Transaktion muss abgeklärt werden. Ferner muss jede Exchange ein geldwäscherechtliches Risikomanagement einrichten, dokumentieren und aktualisieren sowie in Verdachtsfällen Meldung an die staatlichen zentralen Meldestellen erstatten.
Auch Wallet Provider werden mit der AMLD 5 zu geldwäscherechtlichen Verpflichteten. Das ist EU-weit neu. Neu ist auch die Definition des Wallet Providers, in der Richtlinienterminologie „Anbieter von elektronischen Geldbörsen“ genannt. Dieser wird definiert als „Anbieter, der Dienste zur Sicherung privater kryptografischer Schlüssel im Namen seiner Kunden anbietet, um virtuelle Währungen zu halten, zu speichern und zu übertragen“ (Art. 3 Abs. 1 Nr. 19 AMLD 5). In dieser Begriffsbestimmung liegt eine erhebliche Beschränkung des Anwendungsbereiches der Neuregelung. Das wird an der englischen Version dieser Definition deutlich. „Anbieter von elektronischen Geldbörsen“ heißt dort „custodian wallet provider“, definiert als „entity that provides services to safeguard private cryptographic keys on behalf of its customers, to hold, store and transfer virtual currencies“.
Es ist also ein Verwahrungs- („custodian“-) Element Teil der Definition. Nur solche Dienstleister werden zu geldwäscherechtlichen Verpflichteten, die einen eigenen Zugriff auf die kryptografischen Schlüssel (sog. „Private Keys“) bekommen, die erforderlich sind, um virtuelle Währungseinheiten zu übertragen. Damit sind vor allem Wallet Provider mit einer sog. „Cloud“-Lösung betroffen. Bei einer solchen „Cloud“-Lösung werden die Private Keys auf Servern des Wallet Providers gespeichert, so dass der Kunde seine Wallet an verschiedenen Endgeräten einsehen und benutzen kann, via App auf seinem Smartphone oder über einen Webbrowser auf einem beliebigen PC. Die Wallet Provider verwahren die Zugangsdaten treuhänderisch für ihre Kunden. Diese Wallet Provider gehören künftig zum Kreis der geldwäscherechtlich Verpflichteten.
Daneben gibt es auch Anbieter, die Softwarelösungen zur lokalen Speicherung der Private Keys auf dem eigenen Endgerät (Smartphone oder PC) anbieten. Das Senden und Empfangen von Währungseinheiten mit diesen Softwarelösungen funktioniert praktisch identisch wie bei den „Custodian Wallet Providers“, mit dem Unterschied, dass nur das eigene Endgerät verwendet werden kann (und mit der Konsequenz, dass die eigene virtuelle Währung unwiederbringlich verloren gehen kann, wenn das Endgerät verloren geht oder zerstört wird und keine Sicherungskopien vorhanden sind). Die Anbieter dieser reinen Softwarelösungen werden durch die AMLD 5 nicht zu geldwäscherechtlich Verpflichteten.
Diese regulatorische Selbstbeschränkung des Richtliniengebers ist nachvollziehbar. Denn die letztgenannten Anbieter stellen lediglich eine Software zum Herunterladen bereit und haben anschließend – regelmäßig – keinerlei Einblick in die damit getätigten Transaktionen. Wesentliche Aspekte des geldwäscherechtlichen Pflichtenprogramms, z.B. das Monitoring und die Erstattung von Verdachtsmeldungen, sind damit von vornherein unerfüllbar.
Der Richtliniengeber ist sich dieser verbleibenden Regulierungslücke sehr wohl bewusst, wie Erwägungsgrund 9 der AMLD 5 zeigt. Danach „wird das Problem der Anonymität bei Transaktionen mit virtuellen Währungen […] nur teilweise angegangen, da ein Großteil dieser Transaktionen weiterhin anonym erfolgen wird, weil die Nutzer solche Transaktionen auch ohne solche Anbieter durchführen können“.
Ungeklärte „Eintragungspflicht“ für Wallet Provider und Exchange
Eine weitere Neuerung ist die „Eintragungspflicht“ für Exchanges und (Custodian) Wallet Providers, siehe Art. 47 (1) AMLD 5: „Die Mitgliedstaaten sehen vor, dass Dienstleistungsanbieter, bei denen virtuelle [Währungen] in Fiatgeld und umgekehrt getauscht werden können, und Anbieter von elektronischen Geldbörsen eingetragen werden müssen …“.
Nähere Angaben über Voraussetzungen, Form und Inhalt dieser Eintragungspflicht enthält die Richtlinie nicht. Gewisse Rückschlüsse lassen sich allerdings aus der Entstehungsgeschichte der AMLD 5 ziehen. Dem EU-Kommissionsvorschlag ging eine Studie (sog. „Impact Assessment“) voraus, in deren Rahmen verschiedene Optionen zur Regulierung diskutiert wurden, darunter einerseits die ausschließliche Regulierung von virtuellen Währungen im Kontext der EU-Geldwäscherichtlinien, andererseits eine Regulierung im Rahmen der Zweiten EU-Zahlungsdiensterichtlinie (PSD 2). Eine Regulierung gemäß der PSD 2 hätte deutlich weitgehendere Pflichten für Exchanges und Wallet Provider bedeutet, nämlich eine behördliche Erlaubnispflicht, Eigenkapitalpflichten, Verhaltenspflichten zum Risikomanagement und verbraucherschutzrechtliche Pflichten. Die Studie sprach sich gegen ein umfassendes Regulierungsregime entsprechend der PSD 2 aus (so auch die große Mehrheit der EU-Mitgliedstaaten, die im Rahmen einer Konsultation befragt wurde, vgl. die Schilderung bei Houben/Snyers in ihrer im Auftrag des EU-Parlamentes verfassten Studie über virtuelle Währungen vom Juli 2018, S. 65). Als Argument gegen eine Regulierung entsprechend der PSD 2 wurde genannt, dass ein erheblicher Anpassungsbedarf an der PSD 2 erforderlich sein würde, um Kryptocoin-Dienstleister hiernach zu regulieren. Passende Regeln müssten erst noch umfassend entwickelt werden. Eine solche Regulierung sei zudem zur Erreichung der geldwäscherechtlichen Ziele nicht verhältnismäßig.
Für die künftige Ausgestaltung von Form und Inhalt der neuen Eintragungspflicht nach AMLD 5 durch den nationalen Gesetzgeber folgt daraus, dass es mit diesen Erwägungen aus den EU-Gesetzgebungsmaterialien nicht vereinbar wäre, die neue Eintragungspflicht im Sinne eines Verfahrens mit materiellen, qualitativen Registrierungsvoraussetzungen zu verstehen, etwa mit Zuverlässigkeits- und Sachkundeüberprüfungen etc. Denn dies käme einer Regulierung entsprechend der PSD 2 sehr nahe, die – jedenfalls im gegenwärtigen Richtlinienprojekt – ausdrücklich nicht gewünscht war. Zudem verfolgt die AMLD 5 ausschließlich Ziele der Geldwäscheprävention, nicht finanzmarktpolitische oder verbraucherpolitische Ziele. Es liegt daher nahe, die Eintragungspflicht ausschließlich im Zusammenhang mit der neuen Einordnung von Exchange und Wallet Provider als geldwäscherechtlichen Verpflichtete zu sehen: Die nationalen Aufsichtsbehörden können die Einhaltung der neuen geldwäscherechtlichen Verpflichtungen von Exchange und Wallet Provider nur überwachen, wenn sie wissen, welche Unternehmen dieser Art in den einzelnen EU-Mitgliedstaaten aktiv sind. Die Eintragungspflicht gemäß Art. 47 (1) AMLD 5 sollte daher im Sinne einer reinen Registrierungs- bzw. Meldepflicht von Exchange und Wallet Provider verstanden werden. Wie diese Registrierung formell abläuft und welche Behörden zuständig sind, wird der nationale Gesetzgeber in den einzelnen Umsetzungsgesetzen zu regeln haben.
Fazit
Geschäfte mit virtuellen Währungen werden auch unter Geltung der AMLD 5 weiterhin „anonym“ möglich sein (d.h. ohne Transparenz gegenüber staatlichen Stellen durch das System der geldwäscherechtlichen Verpflichteten und deren Identifikations- und Meldepflichten). Denn die Übertragung von virtuellen Währungen kann weiterhin als reine „Peer-to-Peer“ Transaktion stattfinden, solange nur lokal gespeicherte, gerätebasierte Wallets verwendet werden. Wenn die virtuelle Währung jedoch in gesetzliche Währung getauscht werden soll, kommen die neuen geldwäscherechtlichen Verpflichtungen zum Zuge. Exchanges müssen den eintauschenden Kunden und ggf. dessen Auftraggeber bzw. den wirtschaftlich Berechtigten der Transaktion identifizieren. Dies wird flankiert durch eine Registrierungspflicht von Exchange und (Custodian) Wallet Provider bei den zuständigen nationalen Behörden.