Regulatorische Bereitschaft

Regulatorische Bereitschaft in der EU

MiCA, DORA, die EU-Travel-Rule, AML-Pflichten und Anforderungen der Zahlungsdiensteregulierung werden als Plattformmodule, Aufzeichnungen und operative Workflows umgesetzt, statt in Richtliniendokumenten zu verbleiben.

Regulatory Ready Audit Ready Compliance Ready On-Premises Option

Perspektive der Geschäftsleitung

Ein Regelwerk. Viele Herkunftsmitgliedstaaten.

MiCA, DORA und der EU-Rahmen zur Geldwäscheprävention (AML) schaffen ein gemeinsames Regelwerk – ein einheitlicher Zulassungsmarkt ist die EU dennoch nicht. Der gewählte Herkunftsmitgliedstaat, seine nationale zuständige Behörde, der lokale Zugang zu Bankdienstleistungen und die aufsichtlichen Erwartungen bestimmen, wie ein Zulassungsprogramm tatsächlich abläuft.

Die MiCA-Übergangsphase ist beendet. Neue Kryptowerte-Projekte in der EU müssen von Beginn an für das Betriebsmodell eines zugelassenen CASP ausgelegt werden – Aufzeichnungen, Kontrollen und Resilienz werden damit von einer Aufgabe nach dem Launch zu einer Anforderung an das Design.

Grumpio stellt eine gemeinsame technische Produktbasis und ein länderspezifisches regulatorisches Umsetzungsprogramm bereit. Die EU-Umsetzung verbindet produktionserprobte Fintech-Software mit einem auf den Herkunftsmitgliedstaat zugeschnittenen Bereitschaftsprogramm für MiCA, Zahlungsdienste, DORA und AML – die Geschäftsleitung koordiniert einen Umsetzungsplan statt einer Kette von Lieferanten.

MiCA- und CASP-Bereitschaft

Bereitschaft im gesamten Betriebsmodell

Grumpio implementiert die technischen und operativen Ebenen, von denen ein CASP-Zulassungsantrag und die laufende Aufsicht abhängen; die Arbeitspakete zu Governance, Aufsichtsrecht und Recht verbleiben bei den Beratern des Kunden. Da neue Kryptowerte-Projekte in der EU von Beginn an als zugelassene CASPs operieren müssen, werden diese Ebenen vor dem Launch in die Plattform eingebaut und nicht nachgerüstet. Der Leistungsumfang wird anhand des gewählten Herkunftsstaats und des beantragten Zulassungsumfangs bestätigt.

Handel, Wallet und Ledger

Orderausführung, Verwahrungs-Workflows und Finanzaufzeichnungen werden als eine prüffähige Plattform umgesetzt und an den aufsichtlichen Erwartungen ausgerichtet.

Administration und Berechtigungen

Rollenbasierte Zugriffe, Funktionstrennung und Audit-Logging halten operative, finanzielle und administrative Vorgänge getrennt und nachvollziehbar.

Kunden- und Asset-Daten

Kunden-, Order-, Transaktions- und Asset-Daten werden vom System als meldefähige Aufzeichnungen erzeugt, statt manuell zusammengestellt zu werden.

AML, KYC und Transferkontrollen

AML-Screening, KYC-Verifizierung, Wallet-Risikoprüfungen und Transferkontrollen werden über Legichain oder die Anbieter des Kunden in Onboarding und Betrieb integriert.

Reporting und Prüfungsnachweise

Reporting-Daten, Logs und Betriebsaufzeichnungen sind so angelegt, dass Prüfungsnachweise als Nebenprodukt des täglichen Betriebs entstehen und nicht separat zusammengetragen werden müssen.

Bereitstellung und Übergabe

Bereitstellung in EU-Regionen, Dokumentation und eine strukturierte Übergabe versetzen das Engineering-Team des Kunden in die Lage, die Plattform zu betreiben und weiterzuentwickeln.

Für den CTO

DORA als operative Basis

DORA gilt seit Januar 2025 und bildet für CASPs, Zahlungs- und E-Geld-Institute den aktuellen Betriebsrahmen für digitale operationale Resilienz. Grumpio baut Plattform und Betriebsnachweise so auf, dass DORA in den Technologie-Lebenszyklus eingebettet wird, statt als separate Richtlinienübung behandelt zu werden.

Engineering-Ansatz ansehen
  • IKT-Asset- und Service-Übersichten: Dienste, Abhängigkeiten und Verantwortlichkeiten werden erfasst und aktuell gehalten.
  • Vorfalls-Workflows: Erkennungs-, Klassifizierungs- und Meldeprozesse erzeugen die Aufzeichnungen, die Meldepflichten bei Vorfällen erfordern.
  • Logging und Observability: Kunden-, Administrator-, Finanz- und Systemereignisse werden zentral überwacht und sind für Prüfungen berichtsfähig.
  • Kontinuität und Wiederherstellung: Backups werden zusammen mit Restore-Tests, Wiederherstellungszielen und alternativen Betriebsumgebungen konzipiert.
  • Drittparteien- und Change-Kontrolle: Anbieterverzeichnisse, Informationsregister, Exit-Architektur und nachweisbare Release-Pipelines werden als strukturierte Daten gepflegt.

Aufsichtsarchitektur

Verteilte Aufsicht, definierte Rollen

Die Aufsicht in der EU ist auf europäische und nationale Stellen verteilt und liegt nicht bei einer einzigen zentralen Behörde. Zulassungsanträge werden in der Regel von der nationalen zuständigen Behörde des gewählten Herkunftsmitgliedstaats entgegengenommen und geprüft; diese beaufsichtigt anschließend das zugelassene Unternehmen, während europäische Behörden Standards, Register und die aufsichtliche Konvergenz koordinieren. Die Tabelle fasst öffentliche Rollen auf hoher Ebene zusammen; die konkrete Struktur wird für den gewählten Herkunftsstaat und das Tätigkeitsmodell bestätigt.

Öffentliche Rollen auf hoher Ebene; die anwendbare Struktur hängt vom Herkunftsmitgliedstaat und vom Tätigkeitsmodell ab.
Behörde Rolle im Überblick
Nationale zuständige Behörde des Herkunftsstaats Nimmt Zulassungsanträge entgegen, prüft sie und beaufsichtigt das zugelassene Unternehmen
ESMA Koordiniert die MiCA-Aufsicht und führt das EU-Register; sie erteilt nicht jedem CASP unmittelbar selbst die Zulassung
EBA Entwickelt technische Standards und Leitlinien zu Zahlungsdiensten, E-Geld und verwandten Themen
AMLA Koordiniert seit Anfang 2026 die AML/CFT-Arbeit auf EU-Ebene; die direkte Aufsicht über ausgewählte Unternehmen wird ab 2028 erwartet
Datenschutzbehörden Setzen die DSGVO auf Ebene der Mitgliedstaaten durch; der Europäische Datenschutzausschuss (EDSA) unterstützt eine einheitliche Auslegung

Die meisten Unternehmen werden weiterhin von ihren nationalen Behörden beaufsichtigt. Stand des Rahmenwerks geprüft am 16. Juli 2026.

Für die Compliance-Leitung

Transfers, Screening und Nachweise

Regulatorische Anforderungen werden in operative Workflows, Berechtigungen, Aufzeichnungen, Alerts und Kontrollen überführt, statt in Richtliniendokumenten zu verbleiben. Für ein EU-Unternehmen umfasst das die Krypto-Travel-Rule, Screening-Pflichten und aufsichtliche Aufzeichnungen.

Screening-Technologie unterstützt den MLRO des Kunden, die nationale AML-Richtlinie und die abschließenden regulierten Entscheidungen – sie ersetzt sie nie. Das kommende EU-AML-Regelwerk, das ab Mitte 2027 stufenweise anwendbar wird, wird beobachtet, damit Workflows angepasst werden können.

  • Travel-Rule-Workflows: Angaben zu Auftraggeber und Begünstigtem, Daten des Gegenpartei-CASP und Erklärungen zu selbst gehosteten Wallets werden gemäß dem Betriebsmodell erfasst, gescreent und aufgezeichnet.
  • Screening: Personen- und Unternehmensprüfungen, PEP- und Sanktionslisten-Prüfung, Adverse Media und Multi-Chain-Wallet-Risikoprüfung laufen über das AML-Screening von Legichain oder die vom Kunden gewählten Anbieter.
  • Identitätsprüfung: Dokumenten-, NFC- und Liveness-basierte KYC-Verifizierung liefert automatisierte Onboarding-Entscheidungen, auf die die eigene Risikopolitik des Kunden aufsetzt.
  • Laufende Überprüfung und Nachweise: Periodische Re-Screenings halten Kunden- und Wallet-Risiken aktuell; Ergebnisse sind als strukturierte Aufzeichnungen für interne Prüfungen und aufsichtliche Anfragen exportierbar.

Zahlungsverkehr und E-Geld

Heute PSD2. Künftig PSD3.

PSD2 und EMD2 bilden zusammen mit der nationalen Umsetzung, der starken Kundenauthentifizierung und DORA weiterhin den aktuellen Rahmen für Zahlungs- und E-Geld-Institute in der EU – ergänzt um die Instant-Payments-Verordnung, wo sie anwendbar ist. PSD3 und die Payment Services Regulation stehen bevor, haben diesen Rahmen aber noch nicht abgelöst; laufende Projekte werden daher auf den geltenden Regeln aufgebaut, und der Übergang wird über das vereinbarte Supportmodell verfolgt.

  • Anpassung an den Herkunftsstaat

    Die E-Geld-Plattform wird an die Zulassung im Herkunftsstaat, das Modell zur Sicherung von Kundengeldern (Safeguarding), die Zahlungswege und die Struktur des Kartenprogramms des Kunden angepasst – der Umfang ist auf der Seite E-Geld-Plattform-Software beschrieben.

  • Safeguarding und Abstimmung

    Ledger-Zuordnung, Aufzeichnungen zu Safeguarding-Konten, Abstimmung (Reconciliation) und Ausnahme-Workflows erzeugen die Aufzeichnungen, die das Safeguarding-Modell des Unternehmens erfordert. Grumpio hält, sichert oder transferiert keine Kundengelder.

  • Krypto-Karten und Wallets

    Ein Krypto-Karten- oder Wallet-Angebot kann zugleich MiCA-Zulassungsumfänge, eine Zahlungs- oder E-Geld-Zulassung und die Regeln der Kartensysteme berühren; die Architektur wird über alle diese Ebenen hinweg abgebildet, statt auf eine einzelne Zulassung reduziert zu werden.

Datenarchitektur

DSGVO und Datenresidenz

EU-Kundenumgebungen können On-Premises oder auf dedizierter Infrastruktur in EU-Regionen bereitgestellt werden; Datenflüsse und Aufbewahrung werden an das Betriebsmodell des Herkunftsstaats angepasst. Datenhaltung und Bereitstellungsarchitektur können an der Jurisdiktion und den institutionellen Anforderungen des Kunden ausgerichtet konfiguriert werden.

Der Bereitstellungsort ist ein Element einer umfassenderen Datenarchitektur: Rechtsgrundlagen, Aufbewahrung, Datenminimierung, Zugriffskontrolle und Aufzeichnungen zu Datenschutzverletzungen werden im Plattformdesign berücksichtigt, und Übermittlungen außerhalb des EWR werden mit geeigneten Garantien bewertet. Hosting in einem einzelnen Land löst für sich genommen nicht jede datenschutzrechtliche Pflicht.

Verwandte Lösungen

Bereitschaft entsteht mit dem Produkt

EU-Bereitschaft wird nicht als Bericht geliefert. Sie entsteht auf der Plattform, die das Unternehmen später betreibt – im selben Projektplan wie Bereitstellung und Integrationen. Das vollständige Programm ist auf der Seite Regulatorische Bereitschaft beschrieben.

  • Kryptobörsen-Software

    Handel, Wallets, Ledger, Travel-Rule-Unterstützung und Back Office, entwickelt für das Betriebsmodell eines zugelassenen CASP.

  • E-Geld-Plattform-Software

    Konten, Ledger mit doppelter Buchführung, Safeguarding-Aufzeichnungen, Zahlungsverkehr und Back Office, angepasst an die Zulassung im Herkunftsstaat.

  • AML-Screening-Software

    Personen- und Unternehmensprüfung, PEP- und Sanktionslisten-Prüfung, Adverse Media und Wallet-Risiko mit exportierbaren Nachweisen.

  • KYC-Verifizierungssoftware

    Automatisierte Dokumenten-, NFC- und Liveness-Verifizierung, integriert in Onboarding-Strecken in der EU.

Umsetzungsprozess

Vom Herkunftsstaat zum Nachweis

Bereitschaft wird als Engineering-Prozess mit überprüfbaren Ergebnissen geliefert – parallel zur Plattformbereitstellung, nicht als separate Dokumentationsübung. Eine produktionserprobte Plattform wird an den gewählten Herkunftsstaat, den Zulassungsumfang, die Lieferanten, das Datenmodell und die aufsichtlichen Erwartungen angepasst; die nachstehende Abfolge wird daher um die Jurisdiktion und das Tätigkeitsmodell herum geplant.

  1. Umfang und Herkunftsstaat

    Tätigkeitsmodell, beantragte Dienstleistungen, angestrebter Herkunftsmitgliedstaat und Bestandssysteme werden gemeinsam bewertet.

  2. Zuordnung der Anforderungen

    MiCA-, DORA-, Travel-Rule-, AML-, Zahlungs- und Datenanforderungen werden für die gewählte Jurisdiktion auf Plattformmodule, Aufzeichnungen, Workflows und Lieferanten abgebildet.

  3. Umsetzung

    Module, Berechtigungen, Integrationen und Aufzeichnungen werden auf der Plattform konfiguriert; die Bereitschaftsarbeit läuft parallel zu Bereitstellung und kundenspezifischer Anpassung.

  4. Nachweise und Validierung

    Aufzeichnungen, Logs, Berichte und Kontinuitätsergebnisse werden getestet, um zu bestätigen, dass das System liefert, was Aufsicht und Prüfung erwarten.

  5. Betrieb und Aktualisierung

    Kommende Rechtsakte wie PSD3, die PSR und das EU-AML-Paket werden nach dem Go-live beobachtet; Änderungen werden über das vereinbarte Supportmodell umgesetzt.

FAQ

Häufig gestellte Fragen

Das entsprechende Programm für Unternehmen im Vereinigten Königreich ist auf der Seite Regulatorische Bereitschaft im Vereinigten Königreich beschrieben.

Nächster Schritt

Das EU-Bereitschaftsprogramm planen

Im ersten Termin werden Tätigkeitsmodell, infrage kommende Herkunftsstaaten und bestehende Systeme betrachtet; anschließend wird skizziert, wie Plattformlieferung und Bereitschaftsarbeit in einem gemeinsamen Plan ablaufen würden.