Close Menu
    Suche unterstützt von
    FATF Travel Rule Vorschriften und Richtlinien für VASPs in Bezug auf unhosted Wallets

    Unhosted Wallets: Vorschriften für Krypto-Börsen und Banken

    von am Legal/Compliance

    Sogenannte unhosted Wallets sind zunehmend ins Visier der Aufsichtsbehörden geraten, da ihr erlaubnisfreier Charakter Finanztransaktionen ohne regulierte Vermittler ermöglicht. Ein Überblick über die wichtigsten Richtlinien für Krypto-Dienstleister in der Schweiz und der EU in Bezug auf die FATF Travel Rule.

    Unhosted Wallets fallen in den Anwendungsbereich der Empfehlung 16 (Travel Rule) der Financial Action Task Force (FATF). Sowohl die Schweiz als auch die Europäische Union (EU) haben die Travel Rule mit einigen Zusätzen zu dieser Empfehlung übernommen. Dies sind nur zwei Beispiele; weltweit nehmen zahlreiche Rechtsordnungen unhosted Wallets ins Visier, um Nutzer vor Geldwäsche und Terrorismusfinanzierung zu schützen.

    Nachfolgend bieten wir eine Zusammenfassung der FATF Travel Rule sowie deren Umsetzung durch die Schweiz und die EU. Diese Zusammenfassungen sollen das Wesentliche der Vorschriften erfassen und stellen zu keinem Zeitpunkt eine Rechtsberatung dar. Zunächst werden im Folgenden 2 wichtige Begriffe erläutert, die wiederholt im Text auftauchen werden.

    Was sind unhosted Wallets und VASPs?

    Ein unhosted Wallet, auch als self-hosted Wallet bezeichnet, wird zur Verwahrung von Kryptowährungen verwendet. Bei unhosted Wallets hat der Eigentümer der Wallet direkten Zugriff auf den privaten Schlüssel (engl. = private key), der für die Durchführung von Transaktionen benötigt wird.

    Ein Virtual Asset Service Provider (VASP) - in der EU als Crypto Asset Service Provider (CASP) bezeichnet - ist eine Einrichtung oder Person, die für oder im Namen einer anderen Person tätig ist. Beispiele für diese Tätigkeiten sind u.a. die Verwahrung von virtuellen Vermögenswerten sowie der Transfer und Austausch zwischen verschiedenen virtuellen Vermögenswerten. Banken, die mit Kryptowährungen und Krypto-Börsen handeln, sind VASPs.

    Die EU Transfer of Funds Regulation (TFR) verwendet die Begriffe self-hosted Wallet anstelle von unhosted Wallet und crypto asset service provider (CASP) anstelle von virtual asset service provider (VASP). Aus Gründen der Einheitlichkeit werden in diesem Text unhosted Wallet und VASP verwendet.

    Kurz und bündig: die FATF Travel Rule

    In den jüngsten Leitlinien der FATF wurde die Verantwortung eines VASP für Transaktionen über unhosted Wallets klargestellt. VASPs müssen bei Überweisungen an oder von unhosted Wallets Informationen über den Auftraggeber und den Begünstigten einholen, wie sie es auch bei einer Transaktion von VASP zu VASP tun würden. Gemäss den "aktualisierten Leitlinien der FATF für einen risikobasierten Ansatz für virtuelle Vermögenswerte und VASPs" fallen Überweisungen von virtuellen Vermögenswerten an und von unhosted Wallets in den Anwendungsbereich der Empfehlung 16, und die Anforderungen der Travel Rule müssen erfüllt werden:

    "In Fällen, in denen ein Transfer von virtuellen Vermögenswerten (Virtual Asset, VA) nur einen Verpflichteten auf beiden Seiten des Transfers betrifft (z.B. wenn ein auftraggebender VASP oder ein anderer Verpflichteter VAs im Namen seines Kunden, des Auftraggebers, an einen Begünstigten sendet, der kein Kunde eines begünstigten Instituts ist, sondern ein einzelner VA-Nutzer, der den VA-Transfer auf eine unhosted Wallet erhält), sollten die Länder dennoch sicherstellen, dass der Verpflichtete die Anforderungen der Empfehlung 16 in Bezug auf seinen Kunden einhält." - FATF-Leitlinien

    Die Anforderungen der Travel Rule bedeuten, dass in bestimmten Fällen Daten über den Auftraggeber und den Begünstigten erhoben, ausgetauscht und gespeichert werden müssen. Da es sich bei der FATF Travel Rule um eine Empfehlung handelt, steht es den Ländern frei, den von der FATF empfohlenen Schwellenwert von 1'000 EUR oder eine andere Variante davon zu übernehmen. Bei Transaktionen oberhalb des gewählten Schwellenwerts müssen VASPs, unabhängig von der Wahl der Gerichtsbarkeit, die folgenden Informationen zur Travel Rule sammeln:

    • Name des Auftraggebers und des Begünstigten
    • Kontonummern oder eindeutige Transaktionskennungen des Auftraggebers und des Begünstigten
    • die Heimadresse des Auftraggebers oder
    • das amtliche Personaldokument des Auftraggebers, das seine Ausweisnummer oder sein Geburtsdatum und seinen Geburtsort enthält oder
    • die Kunden-ID-Nummer des Auftraggebers

    Bei Verdacht auf Geldwäsche oder Terrorismusfinanzierung müssen VASPs diese Informationen unabhängig vom Schwellenwert überprüfen.

    Aufschlüsselung der FATF Travel Rule / Quelle: 21 Analytics

    Anwendung der Travel Rule in der Schweiz

    Mit einer strengen Auslegung der FATF-Empfehlungen war die Eidgenössische Finanzmarktaufsicht (FINMA) eine der ersten Regulierungsbehörden, die im August 2019 ihre Leitlinien zur Anwendung der Travel Rule auf VASPs veröffentlichte. Gemäss der FINMA (FINMA-Leitlinie 02/2019) gilt für Zahlungen auf der Blockchain:

    "Eine Überweisung von oder auf eine externe Wallet, die einem Dritten gehört, ist nur möglich, wenn das beaufsichtigte Institut - wie bei einer Kundenbeziehung - zuvor die Identität des Dritten überprüft, die Identität des wirtschaftlich Berechtigten festgestellt und das Eigentum des Dritten an der externen Wallet mit geeigneten technischen Mitteln nachgewiesen hat.

    Führt der Kunde einen Handel (Fiat zu virtueller Währung, virtuelle zu Fiat-Währung oder virtuelle zu virtueller Währung) durch und ist eine externe Wallet in die Transaktion involviert, muss die Eigentümerschaft des Kunden an der externen Wallet ebenfalls mit geeigneten technischen Mitteln nachgewiesen werden." - FINMA-Leitlinien

    Gemäss dieser Verordnung ist für jede Transaktion, an der eine in der Schweiz regulierte Einrichtung (wie eine Bank, ein Finanzinstitut oder ein VASP) und eine unhosted Wallet beteiligt sind, ein Eigentumsnachweis der Wallet erforderlich. Die Regelung muss von allen VASPs befolgt werden, nicht nur von denjenigen, die direkt von der FINMA beaufsichtigt werden. Dies gilt also nicht nur für Banken, sondern auch für diejenigen, die einer Selbstregulierungsorganisation (SRO) angehören. Dies ist insofern von Bedeutung, als die meisten Schweizer VASPs einer SRO, namentlich dem Verein zur Qualitätssicherung von Finanzdienstleistungen (VQF), angehören. Gemäss dem Reglement des VQF (Art. 14, Abs. 1):

    "Zahlungstransaktionen von und zu externen Wallets sind nur zulässig, wenn die Wallets im Besitz des eigenen Kunden eines Mitglieds sind. Die Verfügungsberechtigung des Kunden über die externe Wallet muss durch geeignete technische Massnahmen überprüft werden. Transaktionen zwischen Kunden desselben Mitglieds sind erlaubt." - VQF-Reglement

    Mit anderen Worten: Bei Überweisungen zu oder von einer unhosted Wallet, die einem bereits eingebundenen Kunden gehört, müssen VASPs bestätigen, dass der Kunde die Verfügungsgewalt über die dort gespeicherten Vermögenswerte hat, indem er den Besitz mit einem technischen Mittel nachweist - z.B. durch einen Satoshi-Test oder über das Address Ownership Proof Protocol (AOPP). Darüber hinaus sind für alle Transaktionen, unabhängig vom Wert, Auftraggeber- und Begünstigteninformationen auszutauschen.

    Der Ansatz der EU bei der TFR

    Die Geldtransferverordnung (Transfer of Funds Regulation, TFR) ist die Umsetzung der FATF Travel Rule durch die EU. VASPs, die in der EU tätig sind oder Dienstleistungen für EU-Mitglieder anbieten, müssen sich an die Verordnung halten. (Gemäss der VERORDNUNG DES EUROPÄISCHEN PARLAMENTS UND DES RATES über Markets in Crypto-Assets und zur Änderung der Richtlinie (EU) 2019/1937). 

    Die TFR ist noch nicht in Kraft getreten. Sobald sie wirksam ist, haben die europäischen VASPs 18 Monate Zeit, ihre Compliance-Regelungen auf Vordermann zu bringen. Darüber hinaus gilt die Verordnung nach ihrer Umsetzung für Geldtransfers in allen Währungen oder Krypto-Vermögenswerten, die von einem Zahlungsdienstleister, einem Anbieter von Krypto-Vermögenswerten oder einem zwischengeschalteten Dienstleister (Makler und Verwahrer) mit Sitz in der Europäischen Union gesendet oder empfangen werden.

    Wie in der Schweiz gilt sie jedoch nicht für Person-to-Person-Transfers (P2P). Eine P2P-Transaktion findet zwischen zwei natürlichen Personen ohne die Hilfe eines VASPs statt, z.B. eine Transaktion von und zu einer unhosted Wallet ohne VASP-Unterstützung. Die Verordnung gilt auch nicht, wenn der Auftraggeber und der Begünstigte Zahlungsdienstleister oder ein VASP sind, der in deren Namen handelt.

    Die EU hat sich für eine Nullschwelle entschieden, was bedeutet, dass alle Überweisungen der Travel Rule entsprechen müssen. Das heisst, es müssen immer Informationen über den Auftraggeber und den Begünstigten ausgetauscht werden. Allerdings gibt es einige Ausnahmen: Bei Überweisungen unter 1'000 EUR müssen weniger Informationen ausgetauscht werden. Bei Überweisungen unter 1'000 EUR müssen die VASPs des Auftraggebers folgende Informationen übermitteln:

    • Name des Auftraggebers und des Begünstigten
    • Kontonummern oder eindeutige Transaktionskennungen des Auftraggebers und des Begünstigten

    Bei Transaktionen über 1'000 EUR, bei Verdacht auf Geldwäsche oder Terrorismusfinanzierung und bei mehreren Transaktionen über dieselbe Wallet müssen die VASP die nachstehenden Informationen sammeln, austauschen und speichern:

    • Name des Auftraggebers und des Begünstigten
    • Kontonummern oder eindeutige Transaktionskennungen des Auftraggebers und des Begünstigten
    • die LEI-Nummern des Auftraggebers und des Begünstigten (falls verfügbar)
    • Blockchain-Adresse des Auftraggebers
    • Heimadresse des Auftraggebers
    • das amtliche Personaldokument des Auftraggebers, das seine Ausweisnummer oder sein Geburtsdatum und seinen Geburtsort enthält
    Die Aufschlüsselung der EU-Geldtransferverordnung (TFR) / Quelle: 21 Analytics

    Im Falle von unhosted Wallets müssen VASPs verstärkte Due-Diligence-Techniken anwenden und Nachweise über den Besitz der Wallets** sammeln, wenn:

    • die Transaktion über 1'000 EUR beträgt
    • der Besitzer der Wallet ein Kunde des VASPs ist
    • der Besitzer der Wallet kein Kunde des VASP ist; dann muss der Eigentümer der Wallet als Kunde aufgenommen werden, bevor ein Nachweis über den Besitz der Wallet verlangt werden kann

    Was müssen VASPs tun?

    VASPs sollten damit beginnen, ihren Aktionsplan zu formulieren - zum Beispiel so viele Szenarien der Travel Rule wie möglich zu antizipieren - solange sie noch Zeit haben. Nach der Verabschiedung der Vorschriften können Dienstleister dann sofort loslegen. Sobald die Vorschriften in Kraft getreten sind, können verspätete Massnahmen die Geschäftsfähigkeit beeinträchtigen oder zu Geldstrafen führen.

    **Die Methoden zur Überprüfung von Wallets werden in der folgenden Publikation im Detail erläutert.

    Share.

    Über den Autor

    21 Analytics bietet Software zur Einhaltung der Travel Rule, die Transaktionen mit VASPs und unhosted Wallets ermöglicht - mit garantiertem Datenschutz. Gegründet von Bitcoinern, die seit 2014 in der Blockchain-Branche arbeiten, nutzt 21 Analytics ihr Wissen und ihre Erfahrung, um ihren Ethos der Kombination von Compliance und Datenschutz voranzutreiben.

    Verwandte Artikel

    dobalance