Kryptoverwahrer und elektronische Wertpapiere: Wer darf eigentlich was?

Mit der zunehmenden Verbreitung elektronischer Wertpapiere nach dem Gesetz über elektronische Wertpapiere (eWpG) stellt sich in der Praxis eine Frage, die bislang kaum systematisch aufgearbeitet wurde: Welche Rolle kommt einem zugelassenen Kryptoverwahrer bei elektronischen Wertpapierstrukturen in Form von Kryptowertpapieren regulatorisch zu – und welche Tätigkeiten darf dieser erlaubnisrechtlich überhaupt vornehmen? Die Antwort ist durchaus komplex.

Depotgeschäft vs. Kryptoverwahrgeschäft: Zwei verschiedene Welten

Ausgangspunkt ist die erlaubnisrechtliche Einordnung der Verwahrung von elektronischen Wertpapieren. Elektronische Wertpapiere – einschließlich Kryptowertpapiere – sind Wertpapiere im Sinne des Depotgesetzes (DepotG). Ihre Verwahrung für Dritte ist daher als Depotgeschäft nach § 1 Abs. 1 Satz 2 Nr. 5 KWG zu qualifizieren und erfordert grundsätzlich eine entsprechende Erlaubnis.

Die Zulassung als Kryptoverwahrer nach § 1 Abs. 1a Satz 2 Nr. 6 KWG (für das qualifizierte Kryptoverwahrgeschäft) berechtigt u.a. zur Verwahrung und Verwaltung von sog. kryptographischen Instrumenten. Kryptografische Instrumente „sind digitale Darstellungen eines Wertes, der von keiner Zentralbank oder öffentlichen Stelle emittiert wurde oder garantiert wird und nicht den gesetzlichen Status einer Währung oder von Geld besitzt, aber von natürlichen oder juristischen Personen aufgrund einer Vereinbarung oder tatsächlichen Übung als Tausch- oder Zahlungsmittel akzeptiert wird oder Anlagezwecken dient und der auf elektronischem Wege übertragen, gespeichert und gehandelt werden kann.“ (§ 1 Abs. 1a S. 7 KWG). Das umfasst vor allem sog. Security Token, die keine Wertpapiere im Sinne des DepotG sind.

In Bezug auf Kryptowertpapiere ist der Kryptoverwahrer nach § 1 Abs. 1a Satz 2 Nr. 6 KWG lediglich zur Sicherung der zugrunde liegenden privaten kryptografischen Schlüssel befugt. Die Rolle des Kryptoverwahrers bei Kryptowertpapieren ist damit strukturell auf die technische Schlüsselsicherung beschränkt.

Dies hat eine unmittelbar praktische Konsequenz: Die (nationale) Kryptoverwahrerlaubnis (i.S. von § 1 Abs. 1a Satz 2 Nr. 6 KWG) berechtigt zur Sicherung der Private Keys und umfasst damit – nach der maßgeblichen Definition der BaFin zum Begriff „Sicherung“ – die technische Zugriffsmöglichkeit auf die dahinterliegenden Kryptowertpapiere. Sie bildet jedoch keine Rechtsgrundlage dafür, mit den Keys eigenständig über Kryptowertpapiere zu verfügen. Der Grund: Das Signieren einer Transaktion ist nicht bloß eine technische Handlung – es bewirkt eine rechtliche Verfügung über das Wertpapier, nämlich dessen Umtragung im Kryptowertpapierregister. Für diese Verfügungshandlung bedarf es einer gesonderten Legitimationsgrundlage: entweder der Depotgeschäftserlaubnis nach § 1 Abs. 1 Satz 2 Nr. 5 KWG oder – für die reine Registerumtragung – der Registerführererlaubnis nach § 1 Abs. 1a Satz 2 Nr. 8 KWG (dazu sogleich). Die Kryptoverwahrerlaubnis allein genügt hierfür nicht.

Anders ist dies in Bezug auf Kryptowerte nach der MiCAR, die in ihrem Anwendungsbereich ebenfalls keine Wertpapiere darstellen. Da das Depotgeschäftsregime hier nicht greift, berechtigt die MiCAR-Erlaubnis für die „Verwahrung und Verwaltung von Kryptowerten für Kunden" auch zur Signierung von Transaktionen, ohne dass eine zusätzliche Erlaubnis erforderlich wäre.

Was bedeutet das für die Praxis?

In der Praxis stellt sich dann häufig die Frage, wer nun Transaktionen in Bezug auf Kryptowertpapiere bei entsprechenden Übertragungen signieren darf, wenn der Kryptoverwahrer (mangels Verwahrbefugnis) hierzu nicht berechtigt ist. Theoretisch könnte der Kunde die Private Keys nach „Übergabe“ selbst zur Signatur nutzen. In den meisten Fällen dürfte dies jedoch nicht praxistauglich sein: Die Selbstsignatur setzt voraus, dass der Kunde über die erforderliche technische Infrastruktur verfügt, den sicheren Umgang mit Private-Key-Management beherrscht und die korrekte Interaktion mit der Blockchain-Infrastruktur unter Einhaltung der jeweiligen Protokollvorgaben gewährleisten kann. Darüber hinaus birgt die Übergabe der Private Keys an den Kunden erhebliche Sicherheitsrisiken – insbesondere hinsichtlich des Verlusts oder der Kompromittierung der Schlüssel sowie fehlender professioneller Backup-Strukturen –, die bei einem professionellen Verwahrer durch entsprechende Sicherheitsarchitekturen minimiert werden. Schließlich bleibt der Registerführer nach dem eWpG für die ordnungsgemäße Führung des Kryptowertpapierregisters verantwortlich, sodass eine unkontrollierte Selbstsignatur durch den Kunden auch die Integrität des Registerführungsprozesses beeinträchtigen könnte.

Vorzugswürdig erscheint es, dass der Registerführer entsprechende Transaktionen zu signieren hat. Nach dem eWpG ist der Registerführer zur Vornahme von Umtragungen und Übertragungen im Kryptowertpapierregister nicht nur befugt, sondern sogar gesetzlich verpflichtet. Das Signieren von Transaktionen auf der Blockchain ist die technische Umsetzung dieser Kernfunktion.

Entscheidend ist dabei die gesetzliche Klarstellung in § 7 Abs. 4 eWpG: Die Registerführung als solche stellt keine Verwahrung im Sinne des Depotgesetzes dar. Die Gesetzesbegründung (BT-Drucksache 19/26925, S. 49) präzisiert, dass die Registerführung auf das Zurverfügungstellen und die Pflege einer Begebungsinfrastruktur für elektronische Wertpapiere abzielt – nicht auf die treuhänderische Verwahrung von Wertpapieren für Dritte.

Das Signieren durch den Registerführer erfordert daher grundsätzlich keine gesonderte Erlaubnis für das Depotgeschäft – mit einer wichtigen Ausnahme: Lässt sich die registerführende Stelle selbst in einer Sammeleintragung als Verwahrer eintragen, wird das Depotgeschäft ausgelöst und eine entsprechende Erlaubnis ist erforderlich.

Die Doppelrolle: Kryptoverwahrer und Registerführer in einer Gesellschaft

In der Praxis nicht ungewöhnlich ist die Konstellation, dass dieselbe Gesellschaft sowohl als Kryptoverwahrer als auch als Registerführer zugelassen ist. Diese Doppelrolle ist regulatorisch ohne weiteres zulässig – sie stellt jedoch bestimmte Anforderungen an die organisatorische und technische Trennung der beiden Funktionen.

Das Problem ist folgendes: Das Signieren einer Transaktion über Kryptowertpapiere ist der Registerführerfunktion zuzuordnen; das Signieren einer Transaktion für MiCA-Kryptowerte der Kryptoverwahrerfunktion. Befinden sich beide Asset-Klassen in derselben Wallet, ist von außen nicht erkennbar, in welcher Eigenschaft die Gesellschaft handelt. Dies birgt aufsichtsrechtliche Risiken.

Für Marktteilnehmer, die beide Funktionen in einer Gesellschaft vereinen, empfiehlt es sich, für Kryptowertpapiere (Registerführerfunktion) und MiCA-Kryptowerte (Kryptoverwahrerfunktion) konsequent getrennte Wallets und Key-Management-Systeme zu nutzen. Für jede Transaktion sollte zudem aus den internen Prozessen und der Dokumentation klar hervorgehen, in welcher Funktion die Gesellschaft gehandelt hat. Dies ist nicht nur eine Compliance-Anforderung, sondern im Streitfall und bei aufsichtsrechtlichen Prüfungen entscheidend. Die Leistungsbeziehung als Registerführer einerseits und als Kryptoverwahrer andererseits zu den Kunden sollte in Vertragswerken auch klar voneinander getrennt geregelt werden, um die Trennung der verschiedenen Rollen auch in den Vertragspflichten sauber abzubilden.

Fazit

Die erlaubnisrechtliche Rollenverteilung bei Kryptowertpapier-Strukturen ist klarer, als es auf den ersten Blick scheint – aber sie erfordert eine sorgfältige operative Umsetzung. Der Kryptoverwahrer sichert die Schlüssel; der Registerführer führt die Transaktionen durch. Sind beide Rollen in einer Gesellschaft vereint, ist die Struktur tragfähig – aber nur mit einer konsequenten organisatorischen und technischen Trennung der Funktionen.

Wir empfehlen, die beschriebene Rollenstruktur proaktiv mit der BaFin abzustimmen, um regulatorische Unsicherheiten frühzeitig auszuräumen.