Etwas unerwartet und damit als verfrühtes Weihnachtsgeschenk hat der Bundestag hat am Mittwoch, dem 18. Dezember 2024, nun doch – und für viele überraschend – die Initiative der Bundesregierung zur Umsetzung diverser Rechtsakte zur Regulierung des digitalen Finanzmarkts angenommen. Das FinMaDiG setzt etwa Regelungen zur MiCAR und der DORA in Deutschland um. Durch das Gesetz erhofft man sich nicht zuletzt, eine Vorreiterrolle in Deutschland einzunehmen (oder zumindest beizubehalten).
1. Was soll mit dem FinmadiG erreicht werden?
Ein zentrales Regulierungselement des Gesetzes ist unter anderem die Schaffung des neuen Gesetzes zur Aufsicht über Märkte für Kryptowerte (Kryptomärkteaufsichtsgesetz – KMAG).
Außerdem wird eine Reihe von weiteren Gesetzen geändert. Mit der Anpassung deutschen Rechts infolge der EU-Verordnung 2023 / 1114 soll nicht weniger erreicht werden, als dass „der europäische Markt für deutsche Anbieter geöffnet und die Standortvorteile Deutschlands durch ausgeprägte Erfahrung im Bereich der Kryptoregulierung hinsichtlich Marktneuzugänge realisiert [wird]“ – so heißt es jedenfalls in der Gesetzesbegründung. Dies betreffe Zuständigkeiten und Befugnisse der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) sowie die Ahndung von Verstößen gegen die EU-Verordnung.
2. Wesentliche Regelungen
a) Kryptowerte und Geldwäscheprävention
Wiederum infolge der Verordnung 2023/ 1113 werden die bisherigen europäischen Regeln zur Bekämpfung von Finanzkriminalität, Geldwäsche und Terrorismusfinanzierung auf Transfers von Kryptowerten ausgeweitet. Nach Erklärung der Bundesregierung sollen damit Anbieter von Kryptowerte-Dienstleistungen – ähnlich wie bei Banküberweisungen – verpflichtet werden, Angaben über Auftraggeber und Begünstigte der von ihnen durchgeführten Transfers von Kryptowerten zu erheben, zu übermitteln und zugänglich zu machen, um so die Rückverfolgung von Finanzströmen bei KryptowerteTransfers zu erleichtern. Damit wird die bisherige nationale Kryptowertetransferordnung durch unmittelbar geltendes europäisches Recht der neuen EU-Geldtransferverordnung abgelöst.
Die geänderte Geldtransferverordnung erfordert einige Anpassungen im Geldwäschegesetz (GwG). So werden etwa in das GwG Fallgruppen verstärkter Sorgfaltspflichten bei Transfers von Kryptowerten von oder an selbst gehostete Adressen aufgenommen (§ 15a GwG n.F.). Anbieter von Kryptowerte-Dienstleistungen und Emittenten vermögenswertreferenzierter Token werden neu als Verpflichtete in das GwG aufgenommen (§ 2 Abs. 1 Nr. 2 GwG n.F.). Daneben treffen Kryptowerte-Dienstleister besondere Compliance-Pflichten bei grenzüberschreitenden Korrespondenzbeziehungen (§ 15 Abs. 7 GwG n.F.). Daneben wird die Zuständigkeit der BaFin zur Aufsicht über Kryptowerte-Dienstleister bestimmt (§ 51 Abs. 2a GwG n.F.).
b) Kryptomärkteaufsichtsgesetz – KMAG
Zur Durchführung der Verordnung (EU) 2023/ 1114 wird zudem das neue Kryptomärkteaufsichtsgesetz (KMAG) erlassen. Die Schaffung eines eigenständigen Fachgesetzes trägt dem durch die Verordnung (EU) 2023/ 1114 geschaffenen Alternativverhältnis zwischen Finanzinstrumenten im Sinne der Richtlinie 2014/65/EU und Kryptowerten im Anwendungsbereich der Verordnung (EU) 2023/ 1114 Rechnung. Zu beachten ist hierbei aber, dass die Verordnung (EU) 2023/ 1114 die materiellen Anforderungen für die durch sie regulierten Tätigkeiten unmittelbar festlegt.
Trotz der auf den ersten Blick umfangreichen Regelungen im KMAG sind die Vorgaben lediglich ergänzend. Die MiCAR regelt die wesentlichen Vorgaben als unmittelbar geltende Verordnung unmittelbar in den Mitgliedsstaaten. Einer Umsetzung bedürfte es daher nicht. Trotzdem musste der Gesetzgeber einiges umsetzen, etwa die Zuständigkeiten der Aufsichtsbehörden oder Bußgeld- und Sanktionsvorgaben aus der MiCAR.
c) Digitale Betriebsstabilität im Finanzsektor
Mit umgesetzt werden auch die Vorgaben aus der DORA (Verordnung (EU) 2022/2554), die nicht unmittelbar gelten. Wie auch die MiCAR gilt die DORA überwiegend in den Mitgliedsstaaten, ohne dass es einer Umsetzung bedarf. Allerdings bedürften einige Gesetze einer Anpassung an die neuen Vorgaben, etwa zur Aufnahme der DORA-Vorgaben in den Katalog der Prüfungsgegenstände der Jahresabschlussprüfungen. Daneben werden in den entsprechenden Gesetzen die Zuständigkeiten der Aufsichtsbehörden bestimmt.
Eine wesentliche Änderung ergibt sich für Institute i.S.d. KWG, die bislang nicht unmittelbar Finanzunternehmen i.S.d. DORA waren. Der Gesetzgeber nimmt hier eine Fiktion in § 1a Abs. 2 KWG auf. Der neugefasste § 1a Abs. 2 KWG sieht vor, dass solche Institute künftig weitgehend den Finanzunternehmen, für die die DORA unmittelbar gilt, gleichgestellt werden. In gewissem Umfang gelten allerdings Erleichterungen, etwa zum Risikomanagement: Statt der strengen Vorgaben nach Artt. 5-15 DORA gelten für KWG-Institute „nur“ die Vorgaben des Vereinfachter IKT-Risikomanagementrahmens (Art. 16 DORA, s. § 1a Abs. 2a Nr. 1 KWG n.F.). Ebenfalls sind KWG-Institute von der Verpflichtung zur Durchführung bedrohungsgeleiteter Penetrationstests (TLPT, Artt. 26, 27 DORA) befreit (§ 1a Abs. 2a Nr. 2 KWG n.F.). Besondere Erleichterungen gelten für KWG-Institute, bei denen es sich um Kleinstunternehmen (Art. 3 Nr. 60 DORA: Ein Unternehmen, das weniger als zehn Mitarbeiter beschäftigt, weniger als 2 Millionen EUR Jahresumsatz oder Bilanzsumme hat und bei dem es sich nicht um einen Handelsplatz, eine zentrale Gegenpartei, ein Transaktionsregister oder einen Zentralverwahrer handelt). Solche Kleinstunternehmen werden von den (belastenden) Vorgaben des s IKT-Drittparteienrisikomanagements (Artt. 28-30) befreit (§ 1a Abs. 2a Nr. 3 KWG n.F.).
3. Inkraftreten, Übergangsvorschriften und Ausblick
Sofern die Vorgaben Emittenten vermögenswertreferenzierter Token betreffen, treten die Vorgaben des FinMaDiG rückwirkend zum 1.7.2024 in Kraft. Im Übrigen gelten die Änderungen überwiegend ab dem 30.12.2024. Übergangsvorschriften sind nicht vorgesehen.
