Regulatorische Bereitschaft
Regulatorische Bereitschaft in der EU
MiCA, DORA, die EU-Travel-Rule, AML-Pflichten und Anforderungen der Zahlungsdiensteregulierung werden als Plattformmodule, Aufzeichnungen und operative Workflows umgesetzt, statt in Richtliniendokumenten zu verbleiben.
Perspektive der Geschäftsleitung
Ein Regelwerk. Viele Herkunftsmitgliedstaaten.
MiCA, DORA und der EU-Rahmen zur Geldwäscheprävention (AML) schaffen ein gemeinsames Regelwerk – ein einheitlicher Zulassungsmarkt ist die EU dennoch nicht. Der gewählte Herkunftsmitgliedstaat, seine nationale zuständige Behörde, der lokale Zugang zu Bankdienstleistungen und die aufsichtlichen Erwartungen bestimmen, wie ein Zulassungsprogramm tatsächlich abläuft.
Die MiCA-Übergangsphase ist beendet. Neue Kryptowerte-Projekte in der EU müssen von Beginn an für das Betriebsmodell eines zugelassenen CASP ausgelegt werden – Aufzeichnungen, Kontrollen und Resilienz werden damit von einer Aufgabe nach dem Launch zu einer Anforderung an das Design.
Grumpio stellt eine gemeinsame technische Produktbasis und ein länderspezifisches regulatorisches Umsetzungsprogramm bereit. Die EU-Umsetzung verbindet produktionserprobte Fintech-Software mit einem auf den Herkunftsmitgliedstaat zugeschnittenen Bereitschaftsprogramm für MiCA, Zahlungsdienste, DORA und AML – die Geschäftsleitung koordiniert einen Umsetzungsplan statt einer Kette von Lieferanten.
MiCA- und CASP-Bereitschaft
Bereitschaft im gesamten Betriebsmodell
Grumpio implementiert die technischen und operativen Ebenen, von denen ein CASP-Zulassungsantrag und die laufende Aufsicht abhängen; die Arbeitspakete zu Governance, Aufsichtsrecht und Recht verbleiben bei den Beratern des Kunden. Da neue Kryptowerte-Projekte in der EU von Beginn an als zugelassene CASPs operieren müssen, werden diese Ebenen vor dem Launch in die Plattform eingebaut und nicht nachgerüstet. Der Leistungsumfang wird anhand des gewählten Herkunftsstaats und des beantragten Zulassungsumfangs bestätigt.
Handel, Wallet und Ledger
Orderausführung, Verwahrungs-Workflows und Finanzaufzeichnungen werden als eine prüffähige Plattform umgesetzt und an den aufsichtlichen Erwartungen ausgerichtet.
Administration und Berechtigungen
Rollenbasierte Zugriffe, Funktionstrennung und Audit-Logging halten operative, finanzielle und administrative Vorgänge getrennt und nachvollziehbar.
Kunden- und Asset-Daten
Kunden-, Order-, Transaktions- und Asset-Daten werden vom System als meldefähige Aufzeichnungen erzeugt, statt manuell zusammengestellt zu werden.
AML, KYC und Transferkontrollen
AML-Screening, KYC-Verifizierung, Wallet-Risikoprüfungen und Transferkontrollen werden über Legichain oder die Anbieter des Kunden in Onboarding und Betrieb integriert.
Reporting und Prüfungsnachweise
Reporting-Daten, Logs und Betriebsaufzeichnungen sind so angelegt, dass Prüfungsnachweise als Nebenprodukt des täglichen Betriebs entstehen und nicht separat zusammengetragen werden müssen.
Bereitstellung und Übergabe
Bereitstellung in EU-Regionen, Dokumentation und eine strukturierte Übergabe versetzen das Engineering-Team des Kunden in die Lage, die Plattform zu betreiben und weiterzuentwickeln.
Für den CTO
DORA als operative Basis
DORA gilt seit Januar 2025 und bildet für CASPs, Zahlungs- und E-Geld-Institute den aktuellen Betriebsrahmen für digitale operationale Resilienz. Grumpio baut Plattform und Betriebsnachweise so auf, dass DORA in den Technologie-Lebenszyklus eingebettet wird, statt als separate Richtlinienübung behandelt zu werden.
Engineering-Ansatz ansehen- IKT-Asset- und Service-Übersichten: Dienste, Abhängigkeiten und Verantwortlichkeiten werden erfasst und aktuell gehalten.
- Vorfalls-Workflows: Erkennungs-, Klassifizierungs- und Meldeprozesse erzeugen die Aufzeichnungen, die Meldepflichten bei Vorfällen erfordern.
- Logging und Observability: Kunden-, Administrator-, Finanz- und Systemereignisse werden zentral überwacht und sind für Prüfungen berichtsfähig.
- Kontinuität und Wiederherstellung: Backups werden zusammen mit Restore-Tests, Wiederherstellungszielen und alternativen Betriebsumgebungen konzipiert.
- Drittparteien- und Change-Kontrolle: Anbieterverzeichnisse, Informationsregister, Exit-Architektur und nachweisbare Release-Pipelines werden als strukturierte Daten gepflegt.
Aufsichtsarchitektur
Verteilte Aufsicht, definierte Rollen
Die Aufsicht in der EU ist auf europäische und nationale Stellen verteilt und liegt nicht bei einer einzigen zentralen Behörde. Zulassungsanträge werden in der Regel von der nationalen zuständigen Behörde des gewählten Herkunftsmitgliedstaats entgegengenommen und geprüft; diese beaufsichtigt anschließend das zugelassene Unternehmen, während europäische Behörden Standards, Register und die aufsichtliche Konvergenz koordinieren. Die Tabelle fasst öffentliche Rollen auf hoher Ebene zusammen; die konkrete Struktur wird für den gewählten Herkunftsstaat und das Tätigkeitsmodell bestätigt.
| Behörde | Rolle im Überblick |
|---|---|
| Nationale zuständige Behörde des Herkunftsstaats | Nimmt Zulassungsanträge entgegen, prüft sie und beaufsichtigt das zugelassene Unternehmen |
| ESMA | Koordiniert die MiCA-Aufsicht und führt das EU-Register; sie erteilt nicht jedem CASP unmittelbar selbst die Zulassung |
| EBA | Entwickelt technische Standards und Leitlinien zu Zahlungsdiensten, E-Geld und verwandten Themen |
| AMLA | Koordiniert seit Anfang 2026 die AML/CFT-Arbeit auf EU-Ebene; die direkte Aufsicht über ausgewählte Unternehmen wird ab 2028 erwartet |
| Datenschutzbehörden | Setzen die DSGVO auf Ebene der Mitgliedstaaten durch; der Europäische Datenschutzausschuss (EDSA) unterstützt eine einheitliche Auslegung |
Die meisten Unternehmen werden weiterhin von ihren nationalen Behörden beaufsichtigt. Stand des Rahmenwerks geprüft am 16. Juli 2026.
Für die Compliance-Leitung
Transfers, Screening und Nachweise
Regulatorische Anforderungen werden in operative Workflows, Berechtigungen, Aufzeichnungen, Alerts und Kontrollen überführt, statt in Richtliniendokumenten zu verbleiben. Für ein EU-Unternehmen umfasst das die Krypto-Travel-Rule, Screening-Pflichten und aufsichtliche Aufzeichnungen.
Screening-Technologie unterstützt den MLRO des Kunden, die nationale AML-Richtlinie und die abschließenden regulierten Entscheidungen – sie ersetzt sie nie. Das kommende EU-AML-Regelwerk, das ab Mitte 2027 stufenweise anwendbar wird, wird beobachtet, damit Workflows angepasst werden können.
- Travel-Rule-Workflows: Angaben zu Auftraggeber und Begünstigtem, Daten des Gegenpartei-CASP und Erklärungen zu selbst gehosteten Wallets werden gemäß dem Betriebsmodell erfasst, gescreent und aufgezeichnet.
- Screening: Personen- und Unternehmensprüfungen, PEP- und Sanktionslisten-Prüfung, Adverse Media und Multi-Chain-Wallet-Risikoprüfung laufen über das AML-Screening von Legichain oder die vom Kunden gewählten Anbieter.
- Identitätsprüfung: Dokumenten-, NFC- und Liveness-basierte KYC-Verifizierung liefert automatisierte Onboarding-Entscheidungen, auf die die eigene Risikopolitik des Kunden aufsetzt.
- Laufende Überprüfung und Nachweise: Periodische Re-Screenings halten Kunden- und Wallet-Risiken aktuell; Ergebnisse sind als strukturierte Aufzeichnungen für interne Prüfungen und aufsichtliche Anfragen exportierbar.
Zahlungsverkehr und E-Geld
Heute PSD2. Künftig PSD3.
PSD2 und EMD2 bilden zusammen mit der nationalen Umsetzung, der starken Kundenauthentifizierung und DORA weiterhin den aktuellen Rahmen für Zahlungs- und E-Geld-Institute in der EU – ergänzt um die Instant-Payments-Verordnung, wo sie anwendbar ist. PSD3 und die Payment Services Regulation stehen bevor, haben diesen Rahmen aber noch nicht abgelöst; laufende Projekte werden daher auf den geltenden Regeln aufgebaut, und der Übergang wird über das vereinbarte Supportmodell verfolgt.
-
Anpassung an den Herkunftsstaat
Die E-Geld-Plattform wird an die Zulassung im Herkunftsstaat, das Modell zur Sicherung von Kundengeldern (Safeguarding), die Zahlungswege und die Struktur des Kartenprogramms des Kunden angepasst – der Umfang ist auf der Seite E-Geld-Plattform-Software beschrieben.
-
Safeguarding und Abstimmung
Ledger-Zuordnung, Aufzeichnungen zu Safeguarding-Konten, Abstimmung (Reconciliation) und Ausnahme-Workflows erzeugen die Aufzeichnungen, die das Safeguarding-Modell des Unternehmens erfordert. Grumpio hält, sichert oder transferiert keine Kundengelder.
-
Krypto-Karten und Wallets
Ein Krypto-Karten- oder Wallet-Angebot kann zugleich MiCA-Zulassungsumfänge, eine Zahlungs- oder E-Geld-Zulassung und die Regeln der Kartensysteme berühren; die Architektur wird über alle diese Ebenen hinweg abgebildet, statt auf eine einzelne Zulassung reduziert zu werden.
Datenarchitektur
DSGVO und Datenresidenz
EU-Kundenumgebungen können On-Premises oder auf dedizierter Infrastruktur in EU-Regionen bereitgestellt werden; Datenflüsse und Aufbewahrung werden an das Betriebsmodell des Herkunftsstaats angepasst. Datenhaltung und Bereitstellungsarchitektur können an der Jurisdiktion und den institutionellen Anforderungen des Kunden ausgerichtet konfiguriert werden.
Der Bereitstellungsort ist ein Element einer umfassenderen Datenarchitektur: Rechtsgrundlagen, Aufbewahrung, Datenminimierung, Zugriffskontrolle und Aufzeichnungen zu Datenschutzverletzungen werden im Plattformdesign berücksichtigt, und Übermittlungen außerhalb des EWR werden mit geeigneten Garantien bewertet. Hosting in einem einzelnen Land löst für sich genommen nicht jede datenschutzrechtliche Pflicht.
Verwandte Lösungen
Bereitschaft entsteht mit dem Produkt
EU-Bereitschaft wird nicht als Bericht geliefert. Sie entsteht auf der Plattform, die das Unternehmen später betreibt – im selben Projektplan wie Bereitstellung und Integrationen. Das vollständige Programm ist auf der Seite Regulatorische Bereitschaft beschrieben.
-
Kryptobörsen-Software
Handel, Wallets, Ledger, Travel-Rule-Unterstützung und Back Office, entwickelt für das Betriebsmodell eines zugelassenen CASP.
-
E-Geld-Plattform-Software
Konten, Ledger mit doppelter Buchführung, Safeguarding-Aufzeichnungen, Zahlungsverkehr und Back Office, angepasst an die Zulassung im Herkunftsstaat.
-
AML-Screening-Software
Personen- und Unternehmensprüfung, PEP- und Sanktionslisten-Prüfung, Adverse Media und Wallet-Risiko mit exportierbaren Nachweisen.
-
KYC-Verifizierungssoftware
Automatisierte Dokumenten-, NFC- und Liveness-Verifizierung, integriert in Onboarding-Strecken in der EU.
Umsetzungsprozess
Vom Herkunftsstaat zum Nachweis
Bereitschaft wird als Engineering-Prozess mit überprüfbaren Ergebnissen geliefert – parallel zur Plattformbereitstellung, nicht als separate Dokumentationsübung. Eine produktionserprobte Plattform wird an den gewählten Herkunftsstaat, den Zulassungsumfang, die Lieferanten, das Datenmodell und die aufsichtlichen Erwartungen angepasst; die nachstehende Abfolge wird daher um die Jurisdiktion und das Tätigkeitsmodell herum geplant.
-
Umfang und Herkunftsstaat
Tätigkeitsmodell, beantragte Dienstleistungen, angestrebter Herkunftsmitgliedstaat und Bestandssysteme werden gemeinsam bewertet.
-
Zuordnung der Anforderungen
MiCA-, DORA-, Travel-Rule-, AML-, Zahlungs- und Datenanforderungen werden für die gewählte Jurisdiktion auf Plattformmodule, Aufzeichnungen, Workflows und Lieferanten abgebildet.
-
Umsetzung
Module, Berechtigungen, Integrationen und Aufzeichnungen werden auf der Plattform konfiguriert; die Bereitschaftsarbeit läuft parallel zu Bereitstellung und kundenspezifischer Anpassung.
-
Nachweise und Validierung
Aufzeichnungen, Logs, Berichte und Kontinuitätsergebnisse werden getestet, um zu bestätigen, dass das System liefert, was Aufsicht und Prüfung erwarten.
-
Betrieb und Aktualisierung
Kommende Rechtsakte wie PSD3, die PSR und das EU-AML-Paket werden nach dem Go-live beobachtet; Änderungen werden über das vereinbarte Supportmodell umgesetzt.
FAQ
Häufig gestellte Fragen
Die Zulassung wird in der Regel von der nationalen zuständigen Behörde des gewählten Herkunftsmitgliedstaats bearbeitet; sie nimmt den Antrag entgegen und beaufsichtigt das zugelassene Unternehmen. Die ESMA unterstützt die aufsichtliche Konvergenz und führt das EU-Register, ist aber nicht automatisch die direkte Zulassungsbehörde für jeden CASP.
Die MiCA-Übergangsphase ist beendet. Neue Kryptowerte-Projekte in der EU müssen von Beginn an für das Betriebsmodell eines zugelassenen CASP ausgelegt werden. In der Praxis werden Handel, Verwahrung, Aufzeichnungen, AML/KYC und Resilienzkontrollen vor dem Launch in die Plattform eingebaut und nicht nachgerüstet; die Umsetzung wird an den gewählten Herkunftsstaat angepasst.
DORA gilt seit Januar 2025 und wird als aktueller Betriebsrahmen behandelt, nicht als künftige Gesetzgebung. IKT-Asset- und Service-Übersichten, Vorfalls-Workflows, zentralisiertes Logging, Backup- und Restore-Tests, Drittparteienverzeichnisse und Change-Kontrollen werden als Teil der Plattform konfiguriert – die Betriebsnachweise, die DORA erwartet, erzeugt das System damit selbst.
EU-Kundenumgebungen können On-Premises oder auf dedizierter Infrastruktur in EU-Regionen bereitgestellt werden; Datenflüsse und Aufbewahrung werden an das Betriebsmodell des Herkunftsstaats angepasst. Der Hosting-Standort allein klärt nicht jede datenschutzrechtliche Frage – Übermittlungen, Aufbewahrung und Zugriffe werden daher als Teil des Bereitstellungsdesigns bewertet.
PSD2 und EMD2 bilden zusammen mit der nationalen Umsetzung weiterhin den aktuellen Rahmen für Zahlungsdienste und E-Geld in der EU. PSD3 und die PSR sind ein kommender Rahmen, der zum letzten Prüfdatum noch nicht formell verabschiedet war. Plattformen sind so strukturiert, dass der Übergang über das vereinbarte Supportmodell verfolgt und umgesetzt werden kann.
Nein. Grumpio liefert die Software, Aufzeichnungen, Workflows und Betriebskontrollen, von denen ein Zulassungsprogramm abhängt, und stimmt sich mit den Rechts- und Compliance-Beratern des Kunden ab. Rechtsgutachten und die Zulassungsentscheidung verbleiben bei den Beratern des Kunden und der zuständigen nationalen Behörde.
Das entsprechende Programm für Unternehmen im Vereinigten Königreich ist auf der Seite Regulatorische Bereitschaft im Vereinigten Königreich beschrieben.
Nächster Schritt
Das EU-Bereitschaftsprogramm planen
Im ersten Termin werden Tätigkeitsmodell, infrage kommende Herkunftsstaaten und bestehende Systeme betrachtet; anschließend wird skizziert, wie Plattformlieferung und Bereitschaftsarbeit in einem gemeinsamen Plan ablaufen würden.