Kostenloses Erstgespräch

Kategorie: blog DE

Apr. 13, 2026

Prediction Markets – Was steckt hinter dem Hype?

Die Prediction Markets – im Deutschen auch Vorhersagemärkte genannt – sind zurzeit in aller Munde und erleben einen regelrechten Boom. Hierbei handelt es sich um Plattformen im Internet, auf denen durch Nutzer sogenannte Kontrakte gekauft und verkauft werden können, die abhängig sind vom Eintreten oder Nicht-Eintreten eines oder mehrerer bestimmter Ereignisse. Beliebte Ereignisse, die häufig Gegenstand der zuvor genannten Kontrakte sind, sind z.B. der Ausgang von Wahlen (insbesondere die US Politik ist hier zu nennen) sowie der Ausgang von Sport- und Kulturereignissen, aber auch Ereignisse aus der Finanzwelt, wie z.B. Zinsentscheidungen der Zentralbanken oder auch Unternehmensdaten oder Börsenindizes. Häufig sind diese Plattformen dezentral organisiert und bauen auf Blockchains wie z.B. der Ethereum Blockchain auf. Konkret ist es so, das Nutzer der Plattformen Anteile bzw. Kontrakte erwerben, die entweder das Eintreten oder aber das Nicht-Eintreten des infragestehenden Ereignisses vorsehen. Der Preis der jeweiligen Anteile ergibt sich aus Angebot und Nachfrage in Bezug auf das Eintreten oder Nicht-Eintreten des jeweiligen Ereignisses. Sollten viele Nutzer auf das Eintreten des Ereignisses bauen, so steigt der Preis der Anteile, die den Eintritt des Ereignisses belohnen und es sinkt proportional der Preis für die Anteile, die das Nicht-Eintreten des Ereignisses zum Gegenstand haben. Tritt das betreffende Ereignis ein und hatte der Nutzer einen hierauf gerichteten Anteil erworben, so bekommt er einen vorher definierten Betrag ausgezahlt. Es stellt sich die Frage, ob es sich bei den Kontrakten um Wetten oder um Finanzinstrumente handelt und ob ein solches Modell in Deutschland überhaupt umsetzungsfähig ist.

Sind Prediction Markets Glücksspiel oder Finanzinstrumente?

In Deutschland wird online betriebenes Glücksspiel durch den Glücksspielstaatsvertrag 2021 grundsätzlich geregelt und weitestgehend durch die Gemeinsame Glücksspielbehörde der Länder (GGL) beaufsichtigt und überwacht. Finanzinstrumente auf der anderen Seite sind sowohl durch europäische Verordnungen und Richtlinien, allen voran die Markets in Financial Instruments Directive 2 (MiFID2) als auch durch deutsche Gesetze wie das Wertpapierhandelsgesetz (WpHG) geregelt. Überwacht werden Finanzinstrumente und die Einhaltung der sie betreffenden Vorschriften in Deutschland durch die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin). Die BaFin hat zu dem Thema Prediction Markets und Rechtsnatur der angebotenen Anteile bis dato noch keine explizite Stellung bezogen. Anders die GGL. Diese hat in einem Newspost vom 5. September 2025 auf ihrer Website eindringlich vor der Teilnahme an sogenannten Gesellschaftswetten auf Vorhersagemärkten gewarnt. Diese Gesellschaftswetten, die sich nach Aussage der GGL auf Ereignisse des öffentlichen oder gesellschaftlichen Lebens, etwa politische Wahlen, Gerichtsurteile, Naturkatastrophen, gesellschaftliche Ereignisse oder andere, nicht-sportliche Entwicklungen beziehen würden, seien in der Bundesrepublik aufgrund der hohen mit ihnen einhergehenden Manipulationsgefahr nicht nach dem Glücksspielstaatsvertrag 2021 genehmigungsfähig und somit aus Sicht der GGL illegales Glücksspiel.     

Können Prediction Markets somit in Deutschland nicht legal betrieben werden?

Vor diesem Hintergrund und insbesondere der Mitteilung der GGL drängt sich der Eindruck auf, dass der Betrieb einer Plattform für Vorhersagemärkte und die Teilnahme bzw. der Erwerb der Anteile auf einer solchen Plattform in Deutschland nicht rechtskonform möglich ist. Ob dieser erste Eindruck tatsächlich zutreffend ist, erscheint jedoch fraglich. Liest man die Mitteilung der GGL aufmerksam fällt auf, dass die Behörde explizit nur „nicht-sportliche Entwicklungen“ anspricht. Sportereignisse, die Gegenstand eines auf einem Prediction Market erworbenen Kontraktes sind, nimmt die GGL insoweit also nicht in Bezug. Tatsächlich sieht der Glückspielstaatsvertrag die Erlaubnisfähigkeit von Wetten auf definierte Sportereignisse mit überprüfbaren Ergebnissen und klaren Regeln ausdrücklich vor. Betreiber könnten also eine Erlaubnis für das Veranstalten und/oder das Vermitteln von Sportwetten und die Eintragung auf die sogenannte Whitelist bei der GGL beantragen. Gar nicht zuständig wäre die GGL allerdings, wenn es sich bei den Gesellschaftswetten und Kontrakten auf einem Prediction Market gar nicht um Glücksspiel, sondern um Finanzinstrumente handeln würde. Die Aussage, dass der Betrieb eines Prediction Markets nach dem Glückspielstaatsvertrag nicht genehmigungsfähig sei, wäre dann für die regulatorische Bewertung des Plattformbetriebs irrelevant. Denkbar wäre vor diesem Hintergrund, die Kontrakte bzw. Anteilsscheine gegebenenfalls als z.B. Finanztermingeschäfte bzw. Derivate auszugestalten. Das Angebot solcher Produkte ist in Deutschland mit den entsprechenden Erlaubnissen der Bafin jedenfalls grundsätzlich legal möglich. Zu beachten sind bei der Planung entsprechender Geschäftsmodelle in jedem Fall neben den Erlaubnisanforderungen auch etwaig einschlägige Allgemeinverfügungen der BaFin und deren allgemeine Verwaltungspraxis zu den Compliance-Pflichten von Finanzunternehmen. Ob eine Prediction Market Plattform in Deutschland letztlich legal betrieben werden kann, hängt daher stark auf die Sorgfältigkeit der Businessplanung und die Gegebenheiten des Einzelfalls an.       

Rechtsanwalt Dr. Lutz Auffenberg, LL.M. (London)

I. https://fin-law.de

E. info@fin-law.de

Newsletter abonnieren

This Blog Article as Podcast?

The Gist of It:

Presentation

    Kontakt

    info@fin-law.de

    März 23, 2026

    Kapitalaufnahme durch Wertpapieremissionen – Welche Möglichkeiten gibt es und was ist zu beachten?

    Die Möglichkeit am Kapitalmarkt Geld einzuwerben kann für viele Unternehmen eine attraktive Alternative zu klassischen Bankkrediten sein. Die Vorteile der Kapitalbeschaffung über die Ausgabe von Wertpapieren liegen zum einen in der Tatsache, dass die Emittenten selbst die Parameter der Emission wie Laufzeit, Verzinsung, Rückzahlungsmodalitäten usw. bestimmen können. Zum anderen müssen die durch eine Wertpapieremission eingeworbenen Gelder nicht zwangsläufig durch die Emittentin besichert werden. Gerade der letzte Punkt ist aber bei klassischen Bankkrediten in der Regel Voraussetzung für die Gewährung eines Kredites durch die Bank. Selbstverständlich ist die Emission von Wertpapieren in der EU und in Deutschland schon aus Gründen des Anlegerschutzes streng reglementiert. Bei Wertpapieremissionen sind aus diesem Grunde auch verschiedene Dokumentationspflichten durch die Emittenten zu erfüllen. Das grundlegende Regelungswerk hierzu liefert auf europäischer Ebene die Verordnung (EU) 2017/1129, die auch als Prospektverordnung bekannt ist. Auf nationaler Ebene wird diese in Deutschland durch das Wertpapierprospektgesetz komplementiert. Aber wann genau ist ein Wertpapierprospekt durch die Emittentin zu erstellen und gibt es hierzu Ausnahmen?    

    Der Wertpapierprospekt stellt die Regel dar

    Die Prospektverordnung legt fest, dass in der Union Wertpapiere nur nach vorheriger Veröffentlichung eines Prospekts, der von der zuständigen Behörde gebilligt wurde, öffentlich angeboten werden dürfen. Je nachdem welche Art von Prospekt erstellt wird – die Prospektverordnung unterscheidet hier zwischen verschiedenen Arten von Prospekten wie z.B. dem EU-Wachstumsemissionsprospekt, dem EU-Folgeprospekt und dem Basisprospekt -unterscheidet sich der mit der Erstellung einhergehende Aufwand ganz enorm. So liegt z.B. die maximale Anzahl an Seiten, die der Prospekt haben darf bei einem EU-Folgeprospekt bei maximal 50 DIN-A4-Seiten in gedruckter Form. Bei einem EU-Wachstumsemissionsprospekt liegt das zulässige Maximum an Seiten demgegenüber bei 75 DIN-A4-Seiten in gedruckter Form. Grundsätzlich lässt sich sagen, dass die Erstellung eines Wertpapierprospektes Ressourcen in nicht unerheblichem Umfang von dem Ersteller verlangt. Nichtsdestotrotz kann sich die Erstellung, Billigung und Veröffentlichung eines Wertpapierprospektes schon deshalb lohnen, weil ein öffentliches Angebot von Wertpapieren mittels eines solchen Prospektes auch die Möglichkeit beinhaltet, nach vorhergehender Notifizierung des Prospektes das Angebot in anderen Unionsländern als dem durchzuführen, das den Prospekt gebilligt hat. Daneben hält die Prospektverordnung selbst ebenfalls Ausnahmen bereit, bei deren Vorliegen die Erstellung eines Prospektes nicht erfolgen muss.

    Welche Ausnahmen von der Wertpapierprospektpflicht gibt es?

    Die Prospektverordnung selbst sieht vor, dass sie nicht auf bestimmte Arten von Wertpapieren anwendbar ist. So sind z.B. Anteilescheine an geschlossenen Investmentfonds oder auch Wertpapiere, die uneingeschränkt und unwiderruflich von einem Mitgliedstaat oder einer Gebietskörperschaft eines Mitgliedstaats garantiert werden, bereits vom Anwendungsbereich der Verordnung ausgenommen. Für diese muss insofern auch kein Wertpapierprospekt erstellt werden. Weiterhin sieht die Prospektverordnung vor, dass öffentliche Angebote von Wertpapieren keinen zuvor veröffentlichten und gebilligten Wertpapierprospekt benötigen, wenn sich das Angebot z.B. ausschließlich an qualifizierte Anleger oder an maximal 149 nicht-qualifizierte Anleger pro Mitgliedsstaat richtet. Gleiches gilt für Angebote, bei denen die Mindestzeichnungssumme oder die Stückelung der Wertpapiere mindestens EUR 100.000 beträgt. Darüber hinaus sieht die Verordnung eine Ausnahme von der Pflicht zur Veröffentlichung eines Prospektes für Emittenten von Wertpapieren vor, sofern der Gesamtgegenwert der angebotenen Wertpapiere in der EU über einen Zeitraum von 12 Monaten 8 Millionen Euro nicht überschreitet und der Mitgliedsstaat, in dem die Emission stattfindet, eine solche Höchstgrenze beschlossen hat. Deutschland hat die Höchstgrenze auf 8 Millionen Euro festgelegt. Die Höchstgrenze von derzeit 8 Millionen Euro wird durch den EU Listing Act am 5. Juni 2026 in der Prospektverordnung auf 12 Millionen Euro angehoben. Bei solchen Angeboten sieht allerdings das Wertpapierprospektgesetz derzeit noch bei einer Höhe von maximal 8 Millionen Euro vor, dass die Emittenten entweder ein maximal vier DIN-A4-Seiten umfassendes Wertpapier-Informationsblatt (WIB) erstellen und durch die BaFin billigen lassen und veröffentlichen müssen, oder dass die Emittenten ein maximal drei DIN-A4-Seiten umfassendes Basisinformationsblatt (BIB) nach der PRIIPs Verordnung erstellen und veröffentlichen müssen. Ein solches Basisinformationsblatt bedarf gerade nicht der Billigung durch die zuständige Aufsichtsbehörde. Welche Dokumentation erstellt werden muss, hängt von der Funktionsweise der angebotenen Wertpapiere ab. Ein Wertpapier, das die Voraussetzungen eines „verpackten Investmentproduktes“ nach der PRIIPs Verordnung erfüllt, kann nur nach Veröffentlichung eines Basisinformationsblattes öffentlich angeboten werden. Alle anderen Wertpapiere können erst nach Erstellung, Billigung und Veröffentlichung eines Wertpapier-Informationsblattes öffentlich angeboten werden.

    Rechtsanwalt Dr. Lutz Auffenberg, LL.M. (London)

    I. https://fin-law.de

    E. info@fin-law.de

    Newsletter abonnieren

    This Blog Article as Podcast?

    The Gist of It:

    Presentation

      Kontakt

      info@fin-law.de

      März 16, 2026

      Das Kryptowhitepaper – Was sind die Befugnisse der BaFin beim Token Offering?

      Wer in der Europäischen Union Kryptowerte öffentlich anbieten möchte, muss nach den Vorschriften der MiCAR zuvor ein Kryptowhitepaper erstellen und veröffentlichen. In dem Dokument sind ausführliche Informationen zum Token Offering darzustellen. So schreibt Art. 6 Abs. 1 MiCAR vor, dass insbesondere Informationen über den Anbieter oder – soweit nicht identisch – den Emittenten der Kryptowerte, das hinter den Kryptowerten stehende Projekt, die Details des öffentlichen Angebots, die mit den Token verknüpften Rechten und Pflichten sowie die Risiken und die technische Funktionsweise und mögliche nachteilige Auswirkungen auf das Klima oder die Umwelt im Kryptowhitepaper darzustellen sind. Besonders attraktiv für Initiatoren von Kryptoprojekten ist der Umstand, dass die MiCAR keine Genehmigung des Kryptowertewhitepapers durch die zuständige Aufsichtsbehörde verlangt, was in Deutschland die BaFin ist. Nach Art. 8 Abs. 1 MiCAR ist lediglich erforderlich, dass der Anbieter oder Emittent das fertige Kryptowhitepaper an die zuständige Behörde übermittelt. Art. 8 Abs. 3 MiCAR stellt in diesem Zusammenhang klar, dass die Aufsichtsbehörde eine Genehmigung des Dokuments vor der Veröffentlichung nicht verlangen dürfen. Die Übermittlung muss 20 Arbeitstage vor dem Tag der Veröffentlichung des Whitepapers erfolgen.

      Was genau ist die Aufgabe der BaFin im Zusammenhang mit Kryptowhitepapern?

      Auf den ersten Blick in die MiCAR scheint die Aufgabe der BaFin im Zusammenhang mit Kryptowhitepapern überschaubar zu sein. Das vom Anbieter übermittelte Kryptowerte-Whitepaper hat die BaFin lediglich innerhalb von fünf Arbeitstagen an die ESMA weiter zu übermitteln, die es dann ab dem Startdatum des öffentlichen Angebots in dem von ihr geführten Kryptowerte-Whitepaper-Register zur Verfügung stellt. Die Übermittlung an die ESMA hat innerhalb von fünf Arbeitstagen nach Erhalt des Whitepapers zu erfolgen. Darüber hinaus kommt der BaFin die Aufgabe zu, ebenfalls innerhalb von fünf Tagen die vom Anbieter bereitzustellende Liste der Mitgliedstaaten, in denen das öffentliche Angebot der Kryptowerte stattfinden soll, an die zentrale Kontaktstelle der Aufnahmemitgliedstaaten zu übermitteln. Neben dem Kryptowhitepaper muss die BaFin als zuständige Behörde der ESMA auch die vom Anbieter zu verfassende Erläuterung zur Rechtsnatur der anzubietenden Kryptowerte übermitteln, in der dargestellt werden muss, weshalb der Kryptowert nicht als E-Geld Token (EMT) oder Asset-referenced Token (ART) qualifiziert. Ein in irgendeiner Form ausgestaltetes inhaltliches Prüfungsrecht geht aus Art. 8 MiCAR indessen nicht hervor. Allerdings finden sich in Art. 94 Abs. 1 MiCAR einige Befugnisse, die den zuständigen Behörden und damit auch der BaFin zustehen. Diese Befugnisse hat der deutsche Gesetzgeber in § 16 des Kryptomärkteaufsichtsgesetzes (KMAG) konkretisiert.

      Welche aufsichtlichen Instrumente stehen der BaFin bei Kryptowhitepapern zu?

      Art. 94 lit. i) MiCAR ordnet an, dass die zuständigen Behörden die Befugnis haben müssen, von den Verantwortlichen eines Kryptowhitepapers verlangen zu können, das Dokument zu ändern oder zu ergänzen, sofern nach der MiCAR vorgeschriebene Inhalte nicht enthalten sind. Änderungen im Whitepaper kann die BaFin auch verlangen, wenn dies aus Gründen der Finanzstabilität oder des Schutzes der Inhaber der Kryptowerte geboten ist. Zudem hat die BaFin als zuständige Behörde die Möglichkeit, das öffentliche Angebot von Kryptowerten bis zu 30 Arbeitstage aussetzen, wenn der Verdacht besteht, dass gegen Bestimmungen der MiCAR verstoßen wurde. Das härteste aufsichtliche Mittel der BaFin ist die Möglichkeit der Untersagung eines öffentlichen Angebots von Kryptowerten, wenn Verstoße gegen die MiCAR festgestellt wurden oder der hinreichend begründete Verdacht besteht, dass es zu einem solchen verstoß kommen wird. Nach den allgemeinen verwaltungsrechtlichen Grundsätzen muss die BaFin bei der Anwendung dieser Befugnisse stets verhältnismäßig handeln. Die Aussetzung und die Untersagung von öffentlichen Angeboten von Kryptowerten hat der deutsche Gesetzgeber in § 15 KMAG umgesetzt. Die Befugnis zur Forderung von Änderungen am Kryptowertewhitepaper wurde der BaFin über § 16 KMAG eingeräumt.

      Rechtsanwalt Dr. Lutz Auffenberg, LL.M. (London)

      I.  https://fin-law.de

      E. info@fin-law.de

      Newsletter abonnieren

      This Blog Article as Podcast?

      The Gist of It:

      Presentation

        Kontakt

        info@fin-law.de

        März 09, 2026

        Der Listing Act – Was ändert sich für kleinere Wertpapieremissionen im europäischen Prospektrecht?

        Die auch als Listing Act bekannte Verordnung (EU) 2024/2809 ist am 23. Oktober 2024 beschlossen worden und zu weiten Teilen bereits am 4. Dezember 2024 in Kraft getreten. Der Listing Act sieht weitreichende Änderungen an verschiedenen Rechtsakten der EU den europäischen Kapitalmarkt betreffend vor. Ziel der Änderungen ist die Steigerung der Attraktivität des Kapitalmarktes in Europa und die signifikante Erleichterung der Kapitalaufnahme für kleinere und mittlere Unternehmen über die hiesigen Kapitalmärkte. Die Zielsetzung ist dabei praktisch ein Dauerbrenner in der europäischen Gesetzgebung, der jedoch leider bislang über die diversen umgesetzten Maßnahmen, allen voran die sog. Kapitalmarktunion, nicht mit hinreichendem Wirkungsgrad umgesetzt werden. Um diesmal eine nachhaltige Stärkung des Europäischen Kapitalmarkts zu erreichen, sieht der Listing Act Änderungen nicht nur an der Marktmissbrauchsverordnung (MAR), der MiFID2 und der MiFIR vor. Auch an der Prospektverordnung sollen nach den Vorschriften des Listing Acts umfassende und gerade für kleine und mittelständische Unternehmen attraktive Änderungen vorgenommen werden. Einige dieser Änderungen im Prospektrecht wurden bereits umgesetzt, während andere erst ab dem 5. Juni 2026 gelten und Rechtswirkung entfalten werden. Emittenten und Anbieter von kleineren Wertpapieremissionen sollten daher die kommenden Änderungen kennen und prüfen, ob sich für sie daraus attraktive Finanzierungsmöglichkeiten ergeben können.

        Der EU-Wachstumsemissionsprospekt und der EU-Folgeprospekt

        Bereits seit dem 5. März 2026 sind die Regelungen über den neuen EU-Wachstumsemissionsprospekt und den EU-Folgeprospekt in Kraft. Der EU-Folgeprospekt kann von Emittenten und Anbietern für öffentliche Angebote von Wertpapieren sowie deren Zulassung zum Handel an einem regulierten Markt genutzt werden, die seit mindestens 18 Monaten ununterbrochen an einem geregelten Markt oder einem KMU-Wachstumsmarkt zugelassen sind. Die Form des EU-Folgeprospektes ist standardisiert und darf nicht mehr als maximal 50 DIN-A4-Seiten in gedruckter Form umfassen. Zudem muss er verständlich und in einer leserlichen Schriftgröße abgefasst sein. Der EU-Wachstumsemissionsprospekt kann von Emittenten, die als KMU qualifizieren begeben werden, sowie von Emittenten die nicht als KMU qualifizieren, sofern deren Wertpapiere zum Handel an einem KMU-Wachstumsmarkt zugelassen sind oder zugelassen werden sollen. Darüber hinaus können auch nicht börsennotierte Unternehmen den EU-Wachstumsemissionsprospekt nutzen, die eine Emission mit einem Gesamtgegenwert für die öffentlich angebotenen Wertpapiere von bis zu 50 Millionen Euro planen, sofern sie im letzten Geschäftsjahr eine durchschnittlichen Mitarbeiterzahl von maximal 499 nicht überschritten haben. Der Gesamtgegenwert ist dabei auf die letzten 12 Monate zu beziehen. Bei dem EU-Wachstumsemissionsprospekt handelt es sich ebenfalls um ein standardisiertes Dokument, das verständlich und in einer leserlichen Schriftgröße abgefasst sein muss. Die maximal zulässige Seitenanzahl dieses Prospektes beträgt 75 DIN-A4-Seiten in gedruckter Form und darf damit etwas umfassender als der EU-EU-Folgeprospekt sein.

        Was ändert sich durch den Listing Act für kleine Emissionen bis 12 Millionen Euro?

        Bisher sah die Prospektverordnung die Möglichkeit einer Ausnahme von der Pflicht zur Veröffentlichung eines Prospektes für Emittenten von Wertpapieren vor, sofern der Gesamtgegenwert des Wertpapierangebotes in der Europäischen Union über einen Zeitraum von 12 Monaten 8 Millionen Euro nicht überschritt und der betroffene Mitgliedsstaat, in dem die Emission stattfinden sollte, eine solche Höchstgrenze beschlossen hatte. Deutschland hatte die Höchstgrenze insoweit auf 8 Millionen Euro festgelegt, während zahlreiche andere Mitgliedstaaten den Ausnahmetatbestand nur für geringere Emissionsvolumina zuließen. Für öffentliche Angebote bis zum Gegenwert von 8 Millionen Euro sieht das deutsche Wertpapierprospektgesetz seither entweder die Erstellung eines 3 bzw. 4 DIN-A4-Seiten umfassenden Wertpapier-Informationsblattes oder die Erstellung eines Basisinformationsblatts nach der PRIIPs-Verordnung vor. Ab dem 5. Juni 2026 wird die Prospektverordnung nach der Änderung durch den EU Listing Act vorsehen, dass öffentliche Angebote von Wertpapieren mit einem Gesamtgegenwert von bis zu 12 Millionen Euro in der Union von der Pflicht zur Veröffentlichung eines Prospekts ausgenommen werden. Die jeweiligen Mitgliedsstaaten können jedoch beschließen, diesen Schwellenwert auf 5 Millionen Euro herabzusetzen. Dieser erhöhte Schwellenwert wird es kleineren Unternehmen somit ermöglichen, deutlich mehr Kapital ohne die Erstellung, Billigung und Veröffentlichung eines Wertpapierprospektes aufzunehmen als bisher. Die Pflicht zur Erstellung eines Wertpapier-Informationsblatts wird in Deutschland aber weiter bestehen.

        Rechtsanwalt Dr. Lutz Auffenberg, LL.M. (London)

        I. https://fin-law.de

        E. info@fin-law.de

        Newsletter abonnieren

        This Blog Article as Podcast?

        The Gist of It:

        Presentation

          Kontakt

          info@fin-law.de

          Feb. 23, 2026

          Europäische CASP-Aufsicht – Löst die ESMA die BaFin in der MiCAR-Aufsicht ab?

          Die Beaufsichtigung von Kryptodienstleistern (CASP) hat sich über die letzten Jahre und insbesondere seit Geltung der MiCAR zu einem Alltagsthema in den Finanzaufsichtsbehörden der europäischen Mitgliedstaaten entwickelt. Kaum ein Institut, das etwas auf sich hält, kommt an der Frage vorbei, ob die eigenen Geschäftsfelder nicht um Angebote mit Kryptowerten erweitert werden sollten oder gegebenenfalls die Blockchain-Technologie zur technischen Verbesserung der Effizienz bestehender Geschäftsmodelle eingesetzt werden könnte. Insbesondere in der deutschen BaFin, die bereits vor Geltung der MiCAR nach nationalem Recht kryptobezogene Geschäftsmodelle zu beaufsichtigen hatte, wurde insoweit erhebliches Know-how im Zusammenhang mit der Funktionsweise von Kryptowerten und den sie betreffenden Märkten aufgebaut. Die EU-Kommission erwägt für die Zukunft jedoch, der BaFin und generell allen nationalen Finanzaufsichtsbehörden das Aufsichtsmandat für Anbieter von Kryptowertedienstleistungen zu entziehen und die Beaufsichtigung künftig direkt durch die ESMA mit Sitz in Paris wahrnehmen zu lassen. Die ESMA wäre dann direkt zuständig für Zulassungsanträge von Kryptodienstleistern gemäß Art. 62 MiCAR. Nach erfolgreich absolvierten MiCAR-Zulassungsverfahren würde die ESMA zudem anstelle der nationalen Aufsichtsbehörden auch die laufende Aufsicht über die CASPs wahrnehmen.

          Zuständigkeit der ESMA würde alle reinen CASPs betreffen – Besonderheit bei nach Art. 60 MiCAR notifizierten Unternehmen

          Nach dem aktuellen Entwurf der EU Kommission für die geplanten Änderungen der MiCAR würde die ESMA zuständige Behörde für alle Unternehmen sein, die eine Zulassung nach Art. 62 MiCAR beantragen bzw. erhalten haben. In Bezug auf Kreditinstitute, Wertpapierinstitute oder sonstige nach anderen Regimen beaufsichtigte Unternehmen, die nach einem erfolgreich durchlaufenen Notifizierungsverfahren gemäß Art. 60 MiCAR berechtigt sind, neben ihrem klassischen Geschäft auch Kryptowerte-Dienstleistungen anzubieten, verbliebe es zunächst bei der aktuellen Zuständigkeit der von BaFin und Deutscher Bundesbank. Solche Unternehmen müssten nach dem aktuellen Verordnungsentwurf jedoch der ESMA jährlich Informationen über ihren jährlichen Gesamtumsatz vorlegen und dabei den prozentualen Anteil des auf Kryptowerte-Dienstleistungen entfallenen Umsatzes benennen. Sobald Kryptowerte-Dienstleistungen sich nach diesen Zahlen zum Hauptgeschäft des Unternehmens entwickelt hätten, würde das Aufsichtsmandat hinsichtlich der Beaufsichtigung der Pflichten nach MiCAR von der national zuständigen Behörde auf die ESMA übergehen. Maßgeblich wäre jeweils der letzte verfügbare Jahresabschluss, der vom Leitungsorgan des notifizierten Unternehmens gebilligt worden ist.

          EU-Passporting soll für CASPs direkt in die Zulassung integriert werden

          Eine weitere von der EU-Kommission geplante Änderung betrifft das Passportingregime der MiCAR. Kryptowerte-Dienstleister sollen künftig die Kryptowerte-Dienstleistungen, für die sie von der ESMA zugelassen sind, im gesamten Gebiet der Europäischen Union erbringen dürfen. Dieser Ansatz erscheint sinnvoll und nachvollziehbar, zumal die Aufsicht über das gesamte kryptorelevante Geschäft ohnehin bei der ESMA liegen würde. Ob die geplanten Änderungen jedoch tatsächlich zu Erleichterungen führen würden, bleibt abzuwarten. Es erscheint fragwürdig, ob insbesondere die Beaufsichtigung kleinerer und mittelgroßer CASPs durch die in Paris ansässige ESMA sich als praxistauglich erweisen kann. Die Korrespondenz und Aufsichtsgespräche würden voraussichtlich größtenteils in englischer Sprache stattfinden, was für CASPs kleineren Formats zu Schwierigkeiten führen könnte. Auch im Hinblick auf den Anlegerschutz könnten sich durch die Internationalisierung für Kunden der beaufsichtigten CASPs Hürden ergeben, wenn sie sich mit Anliegen an eine internationale Institution wenden müssen, anstatt deutschsprachige Ansprechpartner bei BaFin und Bundesbank kontaktieren zu können. Ein positiver Effekt wäre sicherlich, dass die bereits jetzt sehr granular durch die ESMA vorgegebene Auslegung der MiCAR weiter harmonisiert werden würde und Unterschieden in der Aufsichtsstrenge der nationalen Aufsichtsbehörden entgegengewirkt werden könnte. Ob die Vorschläge der EU-Kommission jedoch in dieser Form wirklich umsetzt werden, bleibt abzuwarten, da erst kürzlich die Konsultationsfrist für Stellungnahmen der Marktteilnehmer und Verbände zu den Änderungsvorschlägen abgelaufen ist und die Auswertung der eingegangenen Stellungnahmen noch aussteht. Zudem müssten die Vorschläge noch das gesamte legislative Verfahren der EU durchlaufen, was selten bis nie ohne signifikante Änderungen abgeschlossen wird.

          Rechtsanwalt Dr. Lutz Auffenberg, LL.M. (London)

          I. https://fin-law.de

          E. info@fin-law.de

           

          Newsletter abonnieren

          This Blog Article as Podcast?

          The Gist of It:

          Presentation

            Kontakt

            info@fin-law.de

            Feb. 16, 2026

            Utility Token im Wandel – Rechtsnatur unter KWG und MiCAR

            Die Ausgabe eigener Token ist spätestens seit dem Launch von Ethereum im Jahr 2015 und dem damit verbundenen Aufkommen der Smart Contract-Ökonomie eine interessante Alternative zur Unternehmensfinanzierung gerade für Startups und Tech-Unternehmen. In der Regel versuchten Emittenten von Kryptotoken in der Vergangenheit stets die eigenen Token als Utility Token zu gestalten. Hintergrund war die in Deutschland seinerzeit geltende Rechtslage, nach der Utility Token nicht zwingend als Finanzinstrumente im Sinne des Kreditwesengesetzes (KWG) oder des Wertpapierinstitutsgesetzes (WpIG) einzuordnen waren. Die BaFin vertrat die Auffassung, dass Utility Token eine Unterart von Kryptotoken seien, die im Kern den Bezug von Waren oder Dienstleistungen von ihrem Emittenten ermöglichten und daher konzeptionsmäßig auf das Netzwerk des Emittenten beschränkt seien. Synonyme für Utility Token waren bei Zugrundelegung dieses Verständnisses App-Token, Nutzungstoken oder Verbrauchstoken. Bei Vorliegen der gesetzlichen Voraussetzungen konnten Kryptotoken als Finanzinstrumente qualifizieren bis die MiCAR die nationale Kryptoregulierung Ende 2024 ablöste. Kryptowerte waren seinerzeit nach § 1 Abs. 11  Satz 1 Nr. 10, Sätze 4 und 5 a.F. KWG bzw. § 2 Abs. 5 Nr. 10 WpIG Finanzinstrumente und damit potenzieller Gegenstand von erlaubnispflichtigen Finanzdienstleistungen oder Wertpapierdienstleistungen. Die Definition forderte, dass der betreffende Token entweder als Tausch- oder Zahlungsmittel akzeptiert wurde oder Anlagezwecken diente. Bei Utility Token konnten diese Tatbestandsvoraussetzungen im Einzelfall nicht gegeben sein. Dann waren Utility Token keine regulierten Finanzinstrumente und somit sich auf sie beziehende Dienstleistungen keine erlaubnispflichtigen Aktivitäten.

            Utility Token sind unter MiCAR eine klar definierte Unterart von Kryptowerten

            Seit Geltung der MiCAR sind Kryptowerte gem. Art. 3 Abs. 1 Nr. 5 MiCAR definiert als digitale Darstellungen eines Werts oder eines Rechts, der bzw. das unter Verwendung der Distributed-Ledger-Technologie oder einer ähnlichen Technologie elektronisch übertragen und gespeichert werden kann. Auch für Utilitytoken hält die EU-Verordnung in Art. 3 Abs. 1 Nr. 9 MiCAR eine ausdrückliche Definition bereit. Utility Token sind danach Kryptowerte, die ausschließlich dazu bestimmt sind, Zugang zu einer Ware oder Dienstleistung zu verschaffen, die von ihrem Emittenten bereitgestellt wird. Da die Definition zwingend voraussetzt, dass es sich um einen Kryptowert handelt, kann es sich bei Utility Token seit Geltung der MiCAR keineswegs mehr um unregulierte Gegenstände handeln. In jedem Fall handelt es sich um Kryptowerte, die potenziell Gegenstand von Kryptowerte-Dienstleistungen sein können. Der gewerbliche Umgang mit Ihnen kann daher Zulassungspflichten nach Art. 59 ff. MiCAR auslösen. Auch die Emission von Utility Token ist grundsätzlich für ihre Emittenten und Anbieter mit Pflichten verbunden, insbesondere mit der grundlegenden Pflicht zur Erstellung und Veröffentlichung eines Kryptowerte-Whitepapers, wobei die MiCAR diesbezüglich Besonderheiten regelt.

            Welche Vorteile gibt es für Emittenten und Anbieter solcher Token unter MiCAR?

            Zwar sind Utility Token nunmehr regulierte Kryptowerte nach den Vorschriften der MiCAR. Für öffentliche Angebote solcher sieht die EU-Verordnung jedoch in bestimmten Konstellationen sehr attraktive Privilegien für Emittenten und Anbieter vor. So regelt Art. 4 Abs. 3 lit. c) MiCAR, dass die Vorschriften des gesamten Titels II der MiCAR nicht anwendbar sind, sofern es um ein öffentliches Angebot von Utility Token geht, die Zugang zu Waren oder Dienstleistungen bieten, die bereits bestehen oder erbracht werden. Emittenten und Anbieter solcher Utility Token haben daher den Vorteil, dass sie zur Erstellung und Veröffentlichung eines Kryptowerte-Whitepapers nicht verpflichtet sind. Sie müssen überdies auch die strengen Anforderungen an Marketingmitteilungen gem. Art. 7 MiCAR nicht einhalten, unterfallen nicht den Transparenzpflichten nach Art. 10 MiCAR und Erwerbern der Utility Token steht das Widerrusrecht des Art. 13 MiCAR nicht zu. Die Vorteile kommen allerdings ausschließlich dann in Betracht, wenn die über die Token zugänglich gemachten Waren oder Dienstleistungen tatsächlich bereits existent und verfügbar sind. Soll ihre Entwicklung bzw. Verfügbarmachung beispielsweise erst durch die Einnahmen aus dem Utility Token Sale finanziert werden, kommen die Privilegien nicht in Betracht. Ebenso nicht in den Genuss der Vorteile kommen Emittenten und Anbieter von Token, die neben der Zugangsermöglichung zusätzliche relevante Funktionen haben. Die Definition von Utility Token nach Art. 3 Abs. 1 Nr. 9 MiCAR schreibt unmissverständlich vor, dass Utility Token nur bei Kryptowerten vorliegen, die ausschließlich Zugang zu Waren und Dienstleistungen ihres Emittenten vermitteln.

            Rechtsanwalt Dr. Lutz Auffenberg, LL.M. (London)

            I. https://fin-law.de

            E. info@fin-law.de

            Newsletter abonnieren

            This Blog Article as Podcast?

            The Gist of It:

            Presentation

              Kontakt

              info@fin-law.de

              Feb. 09, 2026

              Notifizierungsverfahren als schneller Weg für Bestandsinstitute zur MiCAR-Lizenz

              Kryptowerte sind keine Finanzinstrumente im Sinne der MiFID2-Regulierung. Das stellt Art. 2 Abs. 4a MiCAR i.V.m. Art. 3 Abs. 1 Nr. 49 MiCAR explizit klar. Dennoch wächst das Interesse von Kreditinstituten und Wertpapierinstituten gerade in der Bundesrepublik Deutschland am Geschäft mit digitalen Assets stetig an. Für Bestandsinstitute ergeben sich durch Kryptowerte neue Zielgruppen und Märkte sowie innovative moderne Produktarten, die neben oder im Zusammenspiel mit klassischem MiFID-Geschäft das Produktportfolio attraktiv erweitern. Tatsächlich liegen für bereits zugelassene Kreditinstitute und Wertpapierfirmen, aber auch für E-Geld-Institute, OGAW-Verwaltungsgesellschaften oder Verwalter alternativer Investmentfonds die Möglichkeiten zur Ergreifung dieser Chancen denkbar nahe, denn sie können von dem in Art. 60 MiCAR grundlegend geregelten Notifizierungsverfahren profitieren. Die Verordnung sieht in Art. 59 Abs. 1 MiCAR zwei Möglichkeiten zum Erhalt einer Zulassung zur Erbrigung von Kryptowerte-Dienstleistungen vor. Zum einen darf ein Unternehmen gemäß Art. 59 Abs. 1a MiCAR Kryptowerte-Dienstleistungen erbringen, wenn es zuvor als Anbieter von Kryptowerte-Dienstleistungen zugelassen wurde. Der deutlich einfachere Weg ist die in Art. 59 Abs. 1b MiCAR angelegte und in Art. 60 MiCAR geregelte Notifizierungsmitteilung für Bestandsinstitute. Nach dieser können Kreditinstitute, Wertpapierfirmen, E-Geld-Institute, OGAW-Verwaltungsgesellschaften und Verwalter alternativer Investmentfonds die Zulassung als Anbieter von Kryptowerte-Dienstleistungen durch die Übermittlung bestimmter Informationen zu ihren geplanten Kryptowerte-Geschäften an die BaFin erhalten, ohne dass ein vollständiges Zulassungsverfahren durchzuführen ist.

              Wer kann von einer Notifizierungsmitteilung profitieren?

              Zugelassenen Kreditinstitute räumt Art. 60 Abs. 1 MiCAR die Möglichkeit ein, nach Übermittlung einer vollständigen Notifizierungsanzeige alle Kryptowerte-Dienstleistungen erbringen zu dürfen. Für Wertpapierinstitute wird die Notifizierungsmöglichkeit insoweit eingeschränkt, als dass sie nach erfolgreicher Notifizierungsmitteilung nur diejenigen Kryptowerte-Dienstleistungen erbringen dürfen, die den Wertpapierdienstleistungen entsprechen, für die sie eine entsprechende Erlaubnis nach Maßgabe der MiFID-Regulierung innehaben. Art. 60 Abs. 3 UAbs. 2 regelt insoweit, welche MiFID-Wertpapierdienstleistungen welchen Kryptowerte-Dienstleistungen entsprechen. E-Geld-Institute haben demgegenüber nach Maßgabe von Art. 60 Abs. 4 MiCAR lediglich die Möglichkeit, bei erfolgreicher Notifizierung die Verwahrung und Verwaltung sowie Transferdienstleistungen in Bezug auf die von ihnen ausgegebenen E-Geld-Token erbringen. Soweit ein E-Geld-Institut darüber hinausgehende Kryptowerte-Dienstleistungen anbieten möchte, muss die dafür erforderliche Zulassung im Rahmen eines Zulassungsantrags nach Art. 62 MiCAR eingeholt werden. OGAW-Verwaltungsgesellschaften oder Verwalter alternativer Investmentfonds können die Kryptowerte-Dienstleistungen der Annahme und Übermittlung von Aufträgen über Kryptowerte für Kunden, die Beratung zu Kryptowerten und die Portfolioverwaltung von Kryptowerten notifizieren lassen, sofern sie die entsprechenden Zulassungen nach der OGAW-Richtlinie (2009/65/EG) bzw. der AIFM-Richtlinie (2011/61/EG) halten. Schließlich haben auch nach MiFID2 zugelassene Marktbetreiber die Möglichkeit, die Vorteile des Notifizierungsverfahrens zu nutzen. Sie können im Fall der erfolgreichen Notifizierung eine Handelsplattform für Kryptowerte betreiben.

              Welche Voraussetzungen müssen erfüllt werden und wie lange dauert die Notifizierung?

              Das Notifizierungsverfahren nach Art. 60 MiCAR ist deutlich weniger aufwändig als ein vollständiger Zulassungsantrag nach Art. 62 MiCAR. Das mitteilende Institut muss insbesondere in einem tragfähigen Geschäftsplan darstellen, wie konkret künftig Kryptowerte-Dienstleistungen vermarktet und angeboten werden sollen. Zudem muss ausführlich und vollständig dargestellt werden, wie das Institut seine Strategien, verfahren und internen Kontrollen anpassen wird in Bezug auf die geplante Erbringung von Kryptowerte-Dienstleistungen. Das beinhaltet die Anpassung der internen Verfahren zum Risikomanagement und zur Geldwäscheprävention, zur IT-Sicherheit, zur Notfall- und Geschäftsfortführungsplanung und zum Auslagerungsmanagement und allen weiteren aufsichtsrechtlich relevanten Verfahren. Konkrete Einzelheiten regelt die Delegierte Verordnung (EU) 2025/303. Hinsichtlich der Dauer von Notifizierungsverfahren ordnet Art. 60 MiCAR für alle Arten von berechtigten Instituten etwas missverständlich an, dass zu notifizierende Kryptowerte-Dienstleistungen erst erbracht werden dürfen, wenn die zu übermittelnden Informationen spätestens 40 Arbeitstage vor der erstmaligen Erbringung an die zuständige Behörde übermittelt wurden. Nach Art. 60 Abs. 8 MiCAR muss die zuständige Behörde – in Deutschland die BaFin – innerhalb von 20 Arbeitstagen ab Mitteilungseingang prüfen, ob die Angaben in der Notifizierungsmitteilung vollständig sind. Fehlen Informationen, setzt die BaFin dem Antragsteller eine Frist zur Nachlieferung, die abermals 20 Arbeitstage ab dem Tag der Nachforderung nicht überschreiten darf. Zu beachten ist, dass der Nachforderungszeitraum nicht für die in den Art. 60 Abs. 1 bis 6 MiCAR genannten 40 Arbeitstage mitzählt. Somit kann das Notifizierungsverfahren tatsächlich 60 Arbeitstage dauern.

              Rechtsanwalt Dr. Lutz Auffenberg, LL.M. (London)

              I. https://fin-law.de

              E. info@fin-law.de

              Newsletter abonnieren

              This Blog Article as Podcast?

              The Gist of It:

              Presentation

                Kontakt

                info@fin-law.de

                Dez. 15, 2025

                Die Tokenisierung von Real World Assets – Können Immobilien über RWA Token tokenisiert werden?

                Die Tokenisierung von sogenannten Real World Assets (sog. RWA Token) ist zurzeit eines der Top-Themen in der Blockchain Szene. Der Begriff Tokenisierung meint in diesem Zusammenhang die technische und – soweit möglich – auch die rechtliche Verbindung eines digitalen, meist auf einer Blockchain existierenden Token mit einem bestimmten, materiellen Gegenstand wie z.B. einer Immobilie oder einer Windkraftanlage oder mit einem bestimmten immateriellen Gegenstand wie z.B. einem Recht. Die Tokenisierung von Rechten erfreut sich in der Finanzwirtschaft ungebrochener Beliebtheit. So ist die Begebung von Security Token, also das öffentliche Angebot von Finanzprodukten, die dergestalt mit einem Token verbunden sind, dass sie als Wertpapiere im Sinne der Wertpapierregulierung qualifizieren, eine mittlerweile sehr beliebte Form der Unternehmensfinanzierung. Die BaFin qualifiziert solche Produkte, die inhaltlich häufig eine Vermögensanlage nach dem Vermögensanlagengesetz darstellen aufgrund der Tokenisierung als Wertpapiere sui generis. Dies jedenfalls dann, wenn die Produkte bestimmte Voraussetzungen in Bezug auf die Übertragbarkeit, Handelbarkeit am Finanzmarkt sowie die Ausstattung mit wertpapierähnlichen Rechten erfüllen. Bei der Begebung eines elektronischen Wertpapiers nach dem deutschen Gesetz über elektronische Wertpapiere (eWpG) ist die Qualifikation der Produkte als Wertpapiere vom Gesetzgeber bereits vorgenommen, so dass Produkte, die nach dem eWpG begeben werden, unproblematisch Wertpapiere darstellen. Aber wie können körperliche Gegenstände wie z.B. eine Immobilie tokenisiert werden?

                Mögliche Konzepte zur Tokenisierung von Immobilien

                Grundsätzlich ist die vollständige Tokenisierung von Immobilien über RWA Token, also von Grundeigentum, in der deutschen Rechtsordnung noch nicht vorgesehen. Dies insbesondere deshalb, da in Deutschland das Grundbuch alleiniger und ausschlaggebender Rechtsscheinträger für die Zuordnung von Grundeigentum zu Personen ist und dieses eine Digitalisierung geschweige denn eine Tokenisierung über RWA Token noch nicht zulässt. Dies bedeutet letztendlich, dass in der Regel derjenige, der im Grundbuch eingetragen ist, auch der Eigentümer der betreffenden Immobilie ist. Jedoch gibt es verschiedene Möglichkeiten, der Tokenisierung von Grundeigentum jedenfalls nahe zu kommen. Zum einen wäre da z.B. das KG-Modell und zum anderen das Nachrang-Schuldverschreibungsmodell. Bei beiden Modellen erwirbt die Initiatorin/Emittentin die betreffende Immobilie und ermöglicht dann interessierten Investoren, sich an dieser zu beteiligen. Beim KG-Modell würde typischerweise die Initiatorin eine weitere Gesellschaft, eine Treuhandkommanditistin, gründen. Diese würde dann mit der Initiatorin, sofern diese eine GmbH ist, eine GmbH & Co KG gründen, wobei die Initiatorin als persönlich haftende Gesellschafterin fungieren würde und die Treuhandgesellschaft als (Treuhand-)Kommanditistin. Interessierte Investoren können dann mit der Treuhandkommanditistin tokenisierte Treuhandverträge schließen, welche den Investoren die Rechte der Treuhandkommanditistin an der GmbH & Co KG vermitteln würden, mithin sowohl die Rechte auf Gewinnbeteiligung, so wie sich dieses aus dem Gesellschaftsvertrag ergibt, als auch die anderen gesellschaftsrechtlichen Rechte eines Kommanditisten. Die GmbH & Co KG wäre in diesem Modell die im Grundbuch eingetragene Eigentümerin der Immobilie. Die Begebung einer nachrangigen Schuldverschreibung stellt eine weitere Möglichkeit der Tokenisierung von Immobilien da. Hierbei begibt die Emittentin in der Regel nachrangige Schuldverschreibungen, die auf den Namen lauten – meist Nachrangdarlehen oder nachrangige Genussrechte – und tokenisiert diese. Diese Produkte gewähren den Investoren z.B. einen Anteil am Gewinn der betreffenden Immobilie oder auch am Unternehmensgewinn der Emittentin. Bei Beiden Modellen erwirbt der Investor jedoch rechtlich kein Eigentum an den betreffenden Immobilien.

                Welche Dokumentation wird für den Vertrieb der Token benötigt?

                In der Regel und bei entsprechender Gestaltung werden tokenisierte Produkte, die nach einem der beiden zuvor benannten Modelle erstellt werden, inhaltlich als Vermögensanlagen nach dem Vermögensanlagengesetz qualifizieren. Wie oben ausgeführt, stellen diese tokenisierten Vermögensanlagen bei entsprechender Ausgestaltung aufsichtsrechtlich nach Ansicht der BaFin Wertpapiere da. Insofern ist für ihren Vertrieb das Regelungsregime für Wertpapiere anwendbar. Hier kommt es entscheidend auf das Volumen der geplanten Emission an. So bedarf es für Emissionen mit Volumina bis EUR 8.000.000 eines maximal vier DIN A4 Seiten umfassenden Wertpapier-informationsblattes oder, bei einem nach der PRIIPs-Verordnung verpackten Produkt das auch Kleinanlegern angeboten werden soll, eines Basis-Informationsblattes. Darüber hinaus ist bei Emissionen unter Nutzung eines Wertpapier-informationsblattes der Vertrieb an nicht qualifizierte Anleger nur zulässig, wenn er im Wege der Anlageberatung oder Anlagevermittlung über ein Wertpapierdienstleistungsunternehmen vorgenommen wird. Bei Emissionen von bis zu EUR 20.000.000 Volumen könnte ein sogenannter EU-Wachstumsprospekt erstellt, gebilligt und veröffentlicht werden, bei Emissionen mit einem Volumen von mehr als EUR 20.000.000 muss ein Wertpapierprospekt durch die Emittentin erstellt, von der BaFin gebilligt und veröffentlicht werden, sofern kein gesetzlicher Ausnahmetatbestand greift.

                Rechtsanwalt Dr. Lutz Auffenberg LL.M. (London)

                I.  https://fin-law.de

                E. info@fin-law.de

                Newsletter abonnieren

                This Blog Article as Podcast?

                  Kontakt

                  info@fin-law.de

                  Dez. 01, 2025

                  Benötigen Emittenten von Kryptowerten neben dem MiCAR-Whitepaper auch ein PRIIPs-KID?

                  Die EU-Verordnung Nr. 1286/2014 (PRIIPs-VO) verpflichtet seit mehr als einem Jahrzehnt Emittenten und Anbieter von verpackten Anlageprodukten für Kleinanleger und Versicherungsanlageprodukten zur Erstellung, Veröffentlichung und Bereitstellung von Basisinformationsblättern (PRIIPs-KID). Das Basisinformationsblatt soll Retailanlegern einen übersichtlichen und gut verständlichen Überblick über das zugrundeliegende Anlageprodukt verschaffen. Es darf deshalb nicht länger als drei DIN A4 Seiten lang sein und muss die wesentlichen, von der PRIIPs-VO vorgeschriebenen Kerninformationen sowie Warnhinweise enthalten. Die Rechtsform des Anlageprodukts spielt dabei grundsätzlich keine Rolle, weshalb ein PRIIPs-KID für Emissionen sowohl von Wertpapieren, als auch beispielsweise von Anteilen an Investmentvermögen oder Vermögensanlagen nach dem Vermögensanlagengesetz (VermAnlG) zu erstellen sein kann, solange das Produkt Retailinvestoren angeboten werden soll. Auch grundsätzlich unregulierte Anlageprodukte können der PRIIPs-VO unterfallen, sofern das Produkt deren Anforderungen an ein verpacktes Anlageprodukt oder Versicherungsanlageprodukt erfüllt. Vor diesem Hintergrund stellt sich die Frage, ob auch Emittenten von Kryptowerten verpflichtet sein können, ein Basisinformationsblatt für eine Token-Emission zu erstellen, zumal der Verordnungsgeber der PRIIPs-VO im Jahre 2014 sicher nicht die erst seit Ende 2024 geltende MiCAR vor Augen hatte.

                  Prospektpflichten nach anderen Vorschriften sind für Anwendbarkeit der PRIIPs-VO irrelevant

                  Der Umstand, dass Emittenten und Anbieter von Anlageprodukten nach anderen Vorschriften wie etwa der Prospektverordnung, dem KAGB oder dem VermAnlG verpflichtet sein können, Prospekte oder sonstige Dokumentationen zu ihren Produkten zu erstellen und zu veröffentlichen, ist für die Frage der Anwendbarkeit der PRIIPs-VO grundsätzlich ohne Bedeutung. Die Pflicht zur Erstellung und Veröffentlichung eines Basisinformationsblattes kann daher auch neben der Pflicht zur Prospekterstellung bestehen, sofern das betreffende Anlageprodukt die Voraussetzungen der PRIIPs-VO erfüllt. Das Vorliegen eines verpackten Anlageprodukts für Kleinanleger im Sinne der PRIIPs-VO erfordert nach Art. 4 Abs. 1 PRIIPs-VO insbesondere, dass der dem Kleinanleger rückzuzahlende Betrag Schwankungen unterliegt, die sich aus der Entwicklung von Referenzwerten ergeben, die nicht direkt vom Kleinanleger erworben werden. Relevant sind hier nach der Verwaltungspraxis der BaFin nur externe Referenzwerte wie beispielsweise der Wert von Edelmetallen, Anlageprodukten von Drittanbietern oder Kryptowerten. Interne Referenzwerte wie z.B. emittenten- oder konzernbezogene Gewinnkennzahlen wie etwa der Gewinn nach Steuern oder das EBITDA führen demgegenüber nicht zum Vorliegen eines PRIIP. Nach diesen Grundsätzen können grundsätzlich auch Kryptowerte im Sinne von Art. 3 Abs. 1 Nr. 5 MiCAR als PRIIP qualifizieren, sofern sie an Retailinvestoren vertrieben werden sollen und sie eine Rückzahlung an den Investor vorsehen, deren Höhe von einem externen Referenzwert abhängig ist. Wichtig ist in diesem Zusammenhang, dass Eine Rückzahlung im Sinne der PRIIPs-VO nicht nur echte Rückzahlungsansprüche am Ende einer Laufzeit, sondern auch Zinsen oder sonstige Rückflüsse aus dem Anlageprodukt während der Inhaberschaft sein können.

                  PRIIPs-KID und Kryptowerte-Whitepaper bei bestimmten Kryptowerten denkbar

                  Erfüllt ein Kryptowert die dargestellten Anforderungen, können der Emittent und auch die Personen, die zu dem Kryptowert beraten oder ihn verkaufen dazu verpflichtet sein, ein PRIIPs-KID zu erstellen, es zu veröffentlichen und es dem Anleger rechtzeitig vor Zeichnung bereitzustellen. Die Pflichten aus der PRIIPs-VO sind dann neben den Pflichten aus der MiCAR anwendbar, so dass neben der Erstellung des PRIIPs-KID auch die Erstellung und Veröffentlichung eines Kryptowerte-Whitepapers erforderlich sein kann. Der Emittent eines Kryptowerts muss deshalb beide EU-Verordnungen bei der Planung seiner Token-Emission berücksichtigen. Wichtig ist in diesem Zusammenhang auch, die weiteren Pflichten aus der PRIIPs-VO und der MiCAR zu beachten, die für Emittenten und Anbieter im Bereich der Werbemaßnahmen und Marketingmitteilungen für das Angebot des Anlageprodukts bzw. des Kryptowerts strenge Vorgaben machen. Keine werbliche Aussage darf den Angaben im PRIIPs-KID oder im Kryptowerte-Whitepaper relativieren oder ihr wiedersprechen. Es ist deshalb von erheblicher Bedeutung, im Fall der Anwendbarkeit der PRIIPs-VO bei einer Token-Emission auf Kongruenz von Kryptowerte-Whitepaper nach MiCAR und Basisinformationsblatt nach PRIIPs-VO zu achten.

                  Rechtsanwalt Dr. Lutz Auffenberg, LL.M. (London)

                  I.  https://fin-law.de

                  E. info@fin-law.de

                  Newsletter abonnieren

                  This Blog Article as Podcast?

                  The Gist of It:

                  Presentation

                    Kontakt

                    info@fin-law.de

                    Nov. 17, 2025

                    Von Basistests bis TLPT: DORA definiert die Anforderungen an Resilienztests neu

                    Seit dem 17. Januar 2025 müssen Finanzunternehmen die Anforderungen der Verordnung (EU) 2022/2554, besser bekannt als DORA, zwingend anwenden. Diese Verordnung schafft einen harmonisierten Rechtsrahmen, um die digitale operationale Resilienz im gesamten EU-Finanzsektor zu stärken und den wachsenden Risiken durch Cyberangriffe und IKT-Betriebsstörungen zu begegnen. Um dieses Ziel zu erreichen, etabliert DORA ein komplexes Regelwerk, das durch detaillierte technische Regulierungsstandards (RTS) der Europäischen Aufsichtsbehörden (ESAs) ergänzt wird. Ein entscheidender Pfeiler zur Sicherstellung dieser Resilienz ist die Art und Weise, wie Unternehmen ihre Systeme testen. DORA führt insgesamt weitreichendere, einheitlichere und konkretere Testpflichten für Finanzunternehmen ein, als sie bisher bestanden haben. Während frühere Vorgaben oft fragmentiert waren oder Interpretationsspielraum ließen, verlangt DORA nun ein strukturiertes und umfassendes Testprogramm. Dieses reicht von regelmäßigen Basistests bis hin zu anspruchsvollen, bedrohungsgeleiteten Penetrationstests (TLPT) für systemrelevante Institute. Diese neuen Pflichten erfordern eine genaue Auseinandersetzung mit den Details der Verordnung und der zugehörigen RTS. Im Folgenden wird daher dargestellt, welche allgemeinen Anforderungen an das Testprogramm gestellt werden und was bei den erweiterten Tests, den sogenannten TLPTs, zu beachten ist.

                    Generelle Vorgaben der DORA zu Resilienztests

                    Finanzunternehmen, die keine Kleinstunternehmen sind, müssen ein solides und umfassendes Programm für das Testen der digitalen operationalen Resilienz erstellen, pflegen und überprüfen. Dieses Programm ist ein integraler Bestandteil des IKT-Risikomanagementrahmens (gemäß Art. 6 DORA). Das Hauptziel des Testprogramms ist es, die Vorbereitung auf die Handhabung IKT-bezogener Vorfälle zu bewerten, Schwächen, Mängel und Lücken in der digitalen operationalen Resilienz zu erkennen und Korrekturmaßnahmen umgehend umzusetzen. Finanzunternehmen müssen bei der Ausführung des Testprogramms einen risikobasierten Ansatz verfolgen. Dabei sind die sich entwickelnden IKT-Risikolandschaften, spezifische Risiken, denen das Unternehmen ausgesetzt ist, und die Kritikalität von Informations-Assets und erbrachten Dienstleistungen gebührend zu berücksichtigen. Das Programm muss eine Reihe von Bewertungen, Tests, Methoden, Verfahren und Tools umfassen, darunter Schwachstellenbewertung und -scans, Open-Source-Analysen, Netzwerksicherheitsbewertungen, Lückenanalysen (Gap-Analysen), Überprüfungen der physischen Sicherheit, Szenariobasierte Tests, Kompatibilitätstests, Leistungstests, End-to-End-Tests sowie Penetrationstests. Bei allen IKT-Systemen und -Anwendungen, die kritische oder wichtige Funktionen unterstützen, müssen mindestens einmal jährlich angemessene Tests durchgeführt werden. Durchgeführt werden sollen die Tests von unabhängigen internen Mitarbeitern oder externen Personen. Die Erkenntnisse und Herausforderungen, die sich aus den Tests der digitalen operationalen Resilienz ergeben, müssen kontinuierlich ordnungsgemäß in den IKT-Risikobewertungsprozess einbezogen werden. Sie dienen als Grundlage für angemessene Überprüfungen der relevanten Komponenten des IKT-Risikomanagementrahmens.

                    Erweiterte Tests: Bedrohungsgeleitete Penetrationstests (TLPT)

                    Über die allgemeinen Tests hinaus verpflichtet DORA bestimmte Finanzunternehmen zur Durchführung erweiterter Tests, bekannt als Bedrohungsgeleitete Penetrationstests (Threat-led Penetration Testing, TLPT). Die gesetzliche Grundlage hierzu findet sich in Art. 26 und 27 DORA. TLPT ist ein weiteres Instrument zur Stärkung der operationalen Resilienz. Die DORA orientieret sich dabei an internationalen Standards wie den G7 Fundamental Elements und Rahmenwerken wie TIBER-EU und definiert TLPT in Art. 3 Nr. 17 DORA als ein Rahmen, der Taktik, Techniken und Verfahren realer Angreifer, die als echte Cyberbedrohung empfunden werden, nachbildet und einen kontrollierten, maßgeschneiderten, erkenntnisgestützten (Red-Team-) Test der kritischen Live-Produktionssysteme des Finanzunternehmens ermöglicht. Die Vorgaben der Art. 26 und 27 DORA werden ausführlich ergänzt und konkretisiert durch die Delegierte Verordnung (EU) 2025/1190 (RTS zu TLTP). Welche Unternehmen TLPTs durchführen müssen, wird von der BaFin als zuständige Aufsichtsbehörde oder im Falle von signifikanten Kreditinstituten von der EZB bestimmt. Die Kriterien für die Einstufung sind hierbei in Art 28 Abs. 8 Unterabsatz. 3 DORA festgelegt. Berücksichtigt werden, die Auswirkungen des fraglichen Finanzunternehmens, sein systemischer Charakter und sein IKT-Risikoprofil auf der Grundlage der in Art. 2 des RTS zu TLPT festgelegten Kriterien. Kleinstunternehmen sind von der Verpflichtung zur Durchführung von TLPT ausgenommen.

                    FIN LAW

                    I.  https://fin-law.de

                    E. info@fin-law.de

                    Newsletter abonnieren

                    This Blog Article as Podcast?

                      Kontakt

                      info@fin-law.de

                      Nov. 10, 2025

                      Bedrohungen, Vorfälle und Angriffe unter DORA – Was Finanzunternehmen wissen müssen

                      Seit dem 17. Januar 2025 ist die Verordnung (EU) 2022/2554 – besser bekannt als DORA – für Finanzunternehmen verbindlich anzuwenden. Ein zentrales Anliegen der Verordnung ist es, die digitale operationale Resilienz der Finanzbranche zu stärken und klare Strukturen für den Umgang mit IKT-Risiken zu schaffen. Doch nicht alle Risiken sind gleich: DORA unterscheidet präzise zwischen Bedrohungen, Vorfällen und Angriffen – und knüpft an jede Kategorie unterschiedliche Pflichten. Während Bedrohungen als potenzielle Gefahrenquellen primär intern zu analysieren sind, lösen tatsächliche Vorfälle und Angriffe konkrete Melde- und Handlungsverpflichtungen aus. Besonders relevant wird diese Unterscheidung bei der Frage, wann Finanzunternehmen verpflichtet sind, Behörden oder Betroffene zu informieren. Die Verordnung definiert dabei nicht nur, was unter einer Cyberbedrohung, einem IKT-bezogenen Vorfall oder einem Cyberangriff zu verstehen ist, sondern legt auch fest, welche Schritte Unternehmen in jedem Fall ergreifen müssen. Die genaue Einordnung ist nicht nur für die Compliance, sondern auch für die strategische Ausrichtung des IKT-Risikomanagements von zentraler Bedeutung.

                      Was sind Bedrohungen, Vorfälle und Angriffe unter DORA

                      DORA kennt eine Reihe unterschiedlicher Begriffe für Angriffe und Vorfälle. Die Begriffe lassen sich grob in zwei Kategorien einteilen: Bedrohungen (die potenziell Schaden anrichten können) und Vorfälle/Angriffe (die tatsächlichen Ereignisse, die Schaden verursacht haben oder verursachen). Bedrohungen beziehen sich auf mögliche Umstände oder Handlungen, die Netzwerk- und Informationssysteme (IKT) beeinträchtigen können. Nach Art. 3 Nr. 12 DORA, bezeichnet eine Cyberbedrohung einen möglichen Umstand, ein mögliches Ereignis oder eine mögliche Handlung, der/das/die Netz- und Informationssysteme, die Nutzer dieser Systeme und andere Personen schädigen, stören oder anderweitig beeinträchtigen könnte. Eine erhebliche Cyberbedrohung ist gemäß Art. 3 Nr. 13 DORA eine Cyberbedrohung, deren technische Merkmale darauf hindeuten, dass sie das Potenzial haben könnte, einen schwerwiegenden IKT-bezogenen Vorfall oder einen schwerwiegenden zahlungsbezogenen Betriebs- oder Sicherheitsvorfall zu verursachen. Ein IKT-bezogener Vorfall ist die allgemeinste Kategorie eines negativen Ereignisses im IKT-Bereich. Er wird nach Art. 3 Nr. 8 DORA definiert als ein von dem Finanzunternehmen nicht geplantes Ereignis bzw. eine entsprechende Reihe verbundener Ereignisse, das bzw. die die Sicherheit der Netzwerk- und Informationssysteme beeinträchtigt und nachteilige Auswirkungen auf die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit von Daten oder auf die vom Finanzunternehmen erbrachten Dienstleistungen hat. Weiter unterteilt werden die IKT-bezogenen Vorfälle in schwerwiegende IKT-bezogene Vorfälle und schwerwiegende zahlungsbezogene Betriebs- oder Sicherheitsvorfälle i.S.d. Art. 3 Nr. 10 und Nr. 11 DORA. Dagegen meint ein Cyberangriff nach Art. 3 Nr. 14 DORA einen böswilligen IKT-bezogenen Vorfall, der auf den Versuch eines Angreifers zurückgeht, einen Vermögenswert zu zerstören, freizulegen, zu verändern, zu deaktivieren, zu entwenden oder auf unberechtigte Weise auf diesen Vermögenswert zuzugreifen oder ihn auf unberechtigte Weise zu nutzen.

                      Welche Pflichten gehen mit den jeweiligen Kategorien einher?

                      Die DORA knüpft unterschiedliche Rechtsfolgen und Pflichten an Bedrohungen, Vorfälle und Angriffe. Für Cyberbedrohungen als generelle Bedrohungskategorie besteht keine externe Meldepflicht. Die Informationen dienen primär der internen Analyse und Weiterentwicklung der digitalen operationalen Resilienz. Die Meldung einer erheblichen Cyberbedrohung an die zuständigen Behörden ist nach Art. 19 Abs. 2 DORA freiwillig. Finanzunternehmen können diese Informationen austauschen, wenn sie die Bedrohung für das Finanzsystem, Dienstnutzer oder Kunden als relevant erachten. Sowohl IKT-bezogene Vorfälle als auch Cyberangriffe lösen nur dann eine externe Meldepflicht aus, wenn sie eine bestimmte Schwere erreichen, d. h., wenn sie als schwerwiegend klassifiziert werden. Finanzunternehmen müssen nach Art. 19 Abs. 1 DORA schwerwiegende IKT-bezogene Vorfälle also zwingend der zuständigen Behörde melden. Kreditinstitute, E-Geld-Institute, Zahlungsinstitute und Kontoinformationsdienstleister müssen gemäß Art. 23 DORA außerdem schwerwiegende zahlungsbezogene Betriebs- oder Sicherheitsvorfälle zwingend melden. Aus den Erwägungsgründen 23 und 54 der DORA folgt, dass diese spezielle Meldepflicht die entsprechenden Meldepflichten aus der PSD2 ersetzt, um doppelte Anforderungen zu vermeiden. Doch die Pflichten der Finanzunternehmen sind nicht auf Meldepflichten beschränkt. Nach Störungen der Haupttätigkeiten infolge schwerwiegender IKT-bezogener Vorfälle müssen Finanzunternehmen nachträgliche Prüfungen des IKT-bezogenen Vorfalls vorsehen. Diese Prüfungen sollen die Ursachen untersuchen und Verbesserungen an IKT-Vorgängen oder in der IKT-Geschäftsfortführungsleitlinie identifizieren. Außerdem müssen Finanzunternehmen, die keine Kleinstunternehmen sind, den zuständigen Behörden nach Art. 13 DORA auf Verlangen die Änderungen mitteilen, die nach der Prüfung IKT-bezogener Vorfälle vorgenommen wurden. Folglich setzt DORA bei Bedrohungen auf proaktive Integration in das Risikomanagement und freiwilligen Informationsaustausch, während bei Vorfällen/Angriffen klare reaktive Pflichten wie Meldung, Schadensbegrenzung, Wiederherstellung und Ursachenanalyse im Vordergrund stehen.

                      FIN LAW

                      I.  https://fin-law.de

                      E. info@fin-law.de

                      Newsletter abonnieren

                      This Blog Article as Podcast?

                      The Gist of It:

                      Presentation

                        Kontakt

                        info@fin-law.de

                        Okt. 27, 2025

                        Vertragsgestaltung im Kontext der DORA Verordnung – Worauf müssen Finanzunternehmen achten?

                        Seit dem 17. Januar 2025 ist die Verordnung (EU) 2022/2554 – besser bekannt als DORA – für Finanzunternehmen und IKT-Drittdienstleister verbindlich anwendbar. Die Verordnung stellt nicht nur hohe Anforderungen an die digitale operationale Resilienz, sondern wirkt sich auch direkt auf die Vertragsgestaltung aus. Eine zentrale Frage, die sich in der Praxis stellt lautet: Wann liegt überhaupt eine IKT-Dienstleistung im Sinne von DORA vor? Diese Abgrenzung ist von entscheidender Bedeutung, denn Verträge über IKT-Dienstleistungen müssen nach Art. 30 DORA bestimmte Mindestinhalte aufweisen. Dazu zählen unter anderem klare Regelungen zu Risikomanagement, Vorfallsmeldung, Audit-Rechten und Exit-Strategien. Die Einordnung einer Dienstleistung als IKT-Dienstleistung hat somit weitreichende Konsequenzen für die Vertragsverhandlungen zwischen Finanzunternehmen und ihren Dienstleistern. Werden Dienstleistungen fälschlicherweise nicht als IKT-Dienstleistungen qualifiziert, drohen nicht nur Compliance-Risiken, sondern auch vertragliche Lücken, die im Ernstfall zu Haftungsfragen führen können. Gleichzeitig verschiebt DORA das Machtgefälle in Vertragsverhandlungen: Finanzunternehmen sind nun verpflichtet, strenge Vorgaben an ihre Dienstleister zu stellen – was den Verhandlungsspielraum für beide Seiten neu definiert. Doch wie lassen sich IKT-Dienstleistungen eindeutig identifizieren, und welche Vertragsklauseln sind zwingend erforderlich, um den DORA-Anforderungen gerecht zu werden? Diese Fragen stehen im Fokus der aktuellen Diskussionen und zeigen, dass DORA nicht nur eine regulatorische, sondern auch eine vertragsrechtliche Herausforderung darstellt.

                        Was sind IKT-Dienstleistungen?

                        IKT-Dienstleistungen sind nach Art. 3 Nr. 21 DORA digitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardwaredienstleistungen, wozu auch technische Unterstützung durch den Hardwareanbieter mittels Software- oder Firmware-Aktualisierungen gehört, mit Ausnahme herkömmlicher analoger Telefondienste. Die Definition hierbei sehr weit gefasst. Es sollen möglichst viele IKT-Dienstleistungen erfasst werden, um die Ziele der DORA effektiv umzusetzen. Eine wesentliche, in der Definition angelegte Einschränkung des Anwendungsbereichs ist, dass nur digitale Dienste und Datendienste umfasst werden sollen, die dauerhaft bereitgestellt werden. Umfasst sind also regelmäßig nur Dauerschuldverhältnisse, nicht umfasst sind nur einmalige Dienstleistungen. Eine große Hilfestellung bei der Einordnung einer Dienstleistung findet sich in Anhang III der Durchführungsverordnung (EU) 2024/2956 der Kommission zur Festlegung technischer Durchführungsstandards für die Anwendung der Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates im Hinblick auf Standardvorlagen für das Informationsregister (ITS on register of information). Hier findet sich eine Liste mit Kategorien von IKT-Dienstleistungen, jeweils mit einer kurzen Beschreibung. Diese Liste kann bei der ersten Einordnung als Hilfsmittel herangezogen werden. Zu den genannten Dienstleistungen gehören: IKT-Projektmanagement, IKT-Entwicklung, IKT-Helpdesk und First-Level-Support, IKT-Sicherheitsmanagementdienste, Bereitstellung von Daten, Datenanalyse, IKT-Betriebsmittel und Hostingdienste (ohne Cloud-Dienste), Rechenleistung, Datenspeicherung außerhalb der Cloud, Telekommunikationsanbieter, Netzwerkinfrastruktur, Hardware und physische Geräte, Softwarelizenzierung (ohne SaaS), IKT-Betriebsmanagement (einschließlich Wartung), IKT-Beratung, IKT-Risikomanagement, IaaS, PaaS und SaaS.

                        Art. 30 DORA setzt klare Mindeststandards für IKT-Verträge sowohl für Standard- als auch für kritische Dienstleistungen

                        Jeder Vertrag über IKT-Dienstleistungen muss zunächst eine präzise Beschreibung der Leistungen, Rechte und Pflichten enthalten, inklusive der genauen Standorte, an denen Daten verarbeitet und gespeichert werden. Informationssicherheit und Datenschutz sind zentral: Hier müssen konkrete technische und organisatorische Maßnahmen festgelegt werden, um Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit aller Daten zu gewährleisten – unabhängig davon, ob es sich um personenbezogene Daten handelt oder nicht. Zudem sind Regelungen zum Datenzugang bei Insolvenz oder Vertragsende unverzichtbar, um die Kontinuität der Dienstleistung zu sichern. Service Level Agreements (SLAs) mit quantitativen und qualitativen Leistungszielen sind Pflicht, ebenso wie die Verpflichtung des Dienstleisters, bei IKT-Vorfällen zu unterstützen und das Finanzunternehmen bei der Erfüllung seiner Meldepflichten zu entlasten. Die Zusammenarbeit mit Aufsichtsbehörden muss vertraglich verankert sein, und Kündigungsrechte des Finanzunternehmens – etwa bei Verstößen gegen Compliance-Vorgaben oder Mängeln im Risikomanagement – müssen explizit definiert werden. Schließlich sollte die Teilnahme an Schulungen zur digitalen Resilienz vereinbart werden, sofern der Dienstleister nicht bereits über eigene Qualifikationsnachweise verfügt. Handelt es sich um kritische oder wichtige Funktionen, verschärfen sich die Anforderungen: Hier sind erweiterte Berichtspflichten, Notfallpläne, Mitwirkung an Penetrationstests sowie umfassende Auditrechte des Finanzunternehmens zwingend. Besonders relevant sind auch Exit-Management-Regelungen, die einen geordneten Übergang bei Vertragsende oder Dienstleisterwechsel sicherstellen. Zudem müssen Unterauftragsvergaben streng kontrolliert und vertraglich abgesichert werden, um ungewollte Risiken zu vermeiden.

                        FIN LAW

                        I.  https://fin-law.de

                        E. info@fin-law.de

                        Newsletter abonnieren

                        This Blog Article as Podcast?

                          Kontakt

                          info@fin-law.de

                          to top