MiCA-Update: Neue Governance-Regeln für Krypto-Dienstleister

Neue Leitlinien der Aufsichtsbehörden stellen die Führungsgremien von Krypto-Dienstleistern vor weitreichende Anforderungen.

Kollektive Expertise als neuer Standard

Seit dem 2. Mai 2026 gelten verschärfte Vorgaben für die interne Governance von Crypto-Asset Service Providern (CASPs). Die sogenannte „Single-Brain"-Doktrin verlangt, dass das Management als Ganzes über tiefgehende Expertise in drei Kernbereichen verfügt: traditionelle Finanzmärkte, Distributed-Ledger-Technologie (DLT) samt Cybersicherheit sowie allgemeine Unternehmensstrategie und Governance.

Während die EU die Regeln für Krypto-Dienstleister verschärft, rücken auch private Vermögen verstärkt in den Fokus der Behörden. Dieser kostenlose Report enthüllt die Pläne hinter dem geplanten EU-Vermögensregister und liefert einen konkreten 5-Schritte-Plan zum Schutz Ihrer Ersparnisse. Was Brüssel über Ihr Vermögen wissen will – und wie Sie sich schützen können

Nicht jedes Vorstandsmitglied muss in allen drei Feldern Experte sein. Entscheidend ist, dass das Gremium in seiner Gesamtheit ein ausgewogenes und umfassendes Verständnis nachweisen kann. Die Behörden werden künftig genau prüfen, ob die Mitglieder tatsächlich ausreichend Zeit für ihre Aufsichtsfunktion aufbringen.

Die internen Kontrollfunktionen – Compliance, Risikomanagement und interne Revision – müssen zudem klar dokumentiert und unabhängig sein. Branchenbeobachter rechnen mit einem erhöhten operativen Aufwand, besonders für kleinere Anbieter. Sie müssen künftig detailliert nachweisen, wie strategische Entscheidungen und Risikobewertungen zustande kommen.

Datenschutz: Rekordstrafen und neue Hürden

Der Druck auf die Compliance-Architektur wächst. Seit 2018 haben die Aufsichtsbehörden unter der DSGVO Bußgelder von über 7,1 Milliarden Euro verhängt – allein 2025 kamen 1,2 Milliarden Euro hinzu. Ein zentrales Problem: fragmentierte Audit-Logs und Datenarchitekturen, die eine einheitliche Sicht auf Transaktions- und Zugriffshistorien verhindern.

Der Europäische Datenschutzausschuss (EDPB) hat am 2. Mai 2026 zudem neue Leitlinien für Datentransfers in die USA nach Artikel 48 DSGVO veröffentlicht. Demnach sind Übermittlungen personenbezogener Daten an ausländische Behörden nur über gültige internationale Abkommen oder spezifische Ausnahmen zulässig. Firmen müssen eine doppelte Prüfung durchführen – sowohl der Rechtsgrundlage als auch der Transferregelungen.

KI-Governance: Die August-Frist rückt näher

Die Automatisierung von Risikobewertungen und Transaktionsmonitoring bringt neue Herausforderungen durch die EU-KI-Verordnung. Der 2. August 2026 ist der Stichtag für Hochrisiko-Systeme – darunter fallen KI-Anwendungen in Personalwesen, Bonitätsprüfung und Versicherungen, die oft mit den Risikoprofilen von Finanzdienstleistern überlappen.

Die Vorstände stehen unter wachsendem Druck, KI-Governance in den täglichen Betrieb zu integrieren. Empfohlen wird ein Vier-Stufen-Prozess: Erfassung aller KI-Anwendungen, klare Verantwortungszuweisung, Festlegung von Datenqualitätsstandards und Verankerung der Governance in der Unternehmensstrategie. Die Strafen sind empfindlich: bis zu 35 Millionen Euro oder 7 Prozent des Jahresumsatzes.

Die neuen Anforderungen des EU AI Acts stellen viele Unternehmen bereits jetzt vor große Herausforderungen bei der Dokumentation ihrer Systeme. Dieser kostenlose Download verschafft Ihnen den Überblick über Fristen und Pflichten, den Ihre Rechts- und IT-Abteilung jetzt dringend braucht. EU AI Act in 5 Schritten verstehen: Risikoklassen kompakt erklärt

In Polen plant man bereits eine eigene Kommission für KI-Entwicklung und -Sicherheit (KRiBSI) – ein Trend, der sich europaweit abzeichnet.

Nationale Gesetze: Mehr Zugriff auf Transaktionsdaten

Auch die nationalen Parlamente verschärfen die Regeln. In Deutschland liegt seit dem 16. April 2026 ein Gesetzesentwurf zur Bekämpfung digitaler Gewalt (GgdG-E) vor. Er sieht neue zivilrechtliche Ansprüche und Straftatbestände vor, die Plattformen und Dienstanbieter zur Herausgabe von Nutzerdaten – inklusive IP-Adressen und Portnummern – verpflichten. Die Frist für Stellungnahmen endet am 22. Mai 2026.

In den USA wurde am 1. Mai 2026 der SECURE Data Act eingebracht, der einen nationalen Datenschutzstandard schaffen soll. Während Wirtschaftsverbände die Vereinheitlichung begrüßen, kritisieren Verbraucherschützer das Fehlen eines privaten Klagerechts. Der Bundesstaat Utah führt ab dem 6. Mai 2026 eine Altersverifikation für Online-Dienste ein – auch für Zugriffe über VPN.

Analyse: Ein neues Zeitalter der Compliance

Die Konvergenz von MiCA, KI-Verordnung und nationalen Offenlegungsgesetzen markiert einen Paradigmenwechsel. Die Aufsicht betrachtet Krypto-Dienstleister nicht länger als isolierte Tech-Entitäten, sondern als integrale Bestandteile des Finanzsystems. Sie müssen denselben – teils strengeren – Governance-Standards genügen wie traditionelle Banken.

Die Betonung der „kollektiven Eignung" in der MiCA-Novelle ist eine direkte Reaktion auf frühere Management-Versäumnisse, bei denen Führungsgremien weder über die technische noch über die finanzielle Expertise verfügten, um Risiken frühzeitig zu erkennen.

Die hohen DSGVO-Strafen und der Fokus des EDPB auf fragmentierte Architekturen machen deutlich: „Compliance by Design" wird zur finanziellen Notwendigkeit. Unternehmen, die ihre Audit-Logs und Transaktionsdaten nicht zentralisieren, riskieren nicht nur Bußgelder, sondern auch den Ausschluss aus dem EU-US-Datenschutzrahmen (DPF), der eine jährliche Zertifizierung erfordert.

Ausblick: Der 2. August als entscheidender Stichtag

In den kommenden Monaten wird sich der Fokus auf die Umsetzung dieser Vorgaben in den Geschäftsalltag verlagern. Der 2. August 2026 als Deadline für die KI-Verordnung wird zum zentralen Meilenstein – dann müssen Unternehmen ihre automatisierten Systeme zur Kundenrisikobewertung grundlegend überprüfen.

In Deutschland dürfte die finale Version des Digital-Gewalt-Gesetzes als Blaupause für andere EU-Staaten dienen. Die Frage, wie die Balance zwischen Privatsphäre und polizeilichen Zugriffsrechten gelingt, wird die BdB-Debatte in den kommenden Monaten prägen.

Für globale Krypto-Anbieter zeichnet sich 2026 als Jahr der strukturellen Neuausrichtung ab. Die Qualität der Governance und die Transparenz der internen Kontrollen werden darüber entscheiden, ob sie ihre Bankbeziehungen und ihren regulatorischen Status aufrechterhalten können.

de | wirtschaft | 69273863 |