I. Intro

Kryptowerte nehmen in den GwG-Änderungen zum 10.02.2026 eine zentrale Rolle ein. Sie sind nicht mehr nur ein Nischenthema für spezialisierte Dienstleister, sondern durch die TFR II (Transfer of Funds Regulation) und das StoFöG integraler Bestandteil der Compliance-Pflichten für alle Verpflichteten geworden.

1. Massive Verschärfung der Sanktionsrisiken (§ 56 Abs. 2a neu)

Kryptowerte sind nun der Bereich mit dem höchsten unmittelbaren Bußgeldrisiko.

• Eigenständiger Tatbestand: Verstöße gegen die VO (EU) 2023/1113 (TFR II) sind nun direkt sanktionierbar.
• Strafrahmen: Bußgelder bis zu 200.000 € für Standardverstöße; bei schwerwiegenden oder systematischen Fehlern (z. B. fehlende Prüfung von Self-Hosted Wallets) bis zu 1 Mio. € oder 10 % des Gesamtumsatzes.
• Name and Shame: Bußgelder im Krypto-Bereich werden nun gemäß § 57 GwG öffentlich bekannt gemacht (Reputationsrisiko).

2. Erweiterte Aufsichtsbefugnisse der BaFin (§ 51 Abs. 2a neu)

Bisher lag der Fokus der BaFin-Aufsicht bezüglich der TFR primär auf Kryptowerte-Dienstleistern (CASPs).

• Wichtig: Die Aufsicht über die Einhaltung der TFR II wurde auf alle Verpflichteten ausgeweitet.
• Sobald ein Institut (z. B. eine klassische Bank) Transaktionen mit Bezug zu Kryptowerten abwickelt, unterliegt es der vollen Prüfungstiefe durch die BaFin hinsichtlich der neuen Transfer-Regeln.

3. Operative Sorgfaltspflichten & Identifizierung

Kryptowertetransfers erfordern nun ähnliche (und teils strengere) Datensätze wie klassische Überweisungen:

• Reise-Regel (Travel Rule): Bei jedem Transfer müssen Informationen zu Auftraggeber und Begünstigtem mitgeführt werden.
• Self-Hosted Wallets: Ein kritischer Pain Point im Action Plan. Wenn Kunden mit eigenen Wallets interagieren, müssen Verpflichtete zusätzliche Informationen einholen und die Inhaberschaft der Adresse plausibilisieren.
• Aufbewahrung: Es gilt eine strikte 5-Jahres-Frist für alle Aufzeichnungen zu Kryptowertetransfers (Art. 26 TFR II).

4. Jährliche Meldepflicht (§ 52 Abs. 7 neu)

Obwohl die genauen technischen Standards (EU-RTS/ITS) noch ausstehen, ist klar, dass Kryptowertedaten Teil der jährlichen BaFin-Meldung sein werden.

– Institute müssen ihre Datenlandschaft so vorbereiten, dass sie das Volumen, die Art der Kryptowerte und die Risikoprofile der Transaktionen aggregiert melden können.

II. Beachtliche Zeit Fenster

1. Operative Stichtage im Geldwäschegesetz (GwG)

Die wichtigste Zäsur markiert das Inkrafttreten der jüngsten Novellen, die das deutsche Recht an das EU-Geldwäschepaket anpassen.

• 10. Februar 2026 (Inkrafttreten StoFöG): Ab diesem Tag sind die verschärften Bußgeldvorschriften des § 56 GwG voll anwendbar. Verstöße gegen die Identifizierungspflichten bei Stablecoin-Transfers oder unzureichende Dokumentationen bei Unhosted Wallets können nun unmittelbar sanktioniert werden.
• 01. März 2026 (Neue GwGMeldV): Dies ist der operative "Hard Cut" für die Kommunikation mit der Financial Intelligence Unit (FIU).

– Verpflichtung: Verdachtsmeldungen müssen zwingend im XML-Format über das goAML-Portal eingereicht werden.

– Mindestangaben: Meldungen ohne internes Aktenzeichen oder ohne Angabe spezifischer Meldegründe aus dem neuen FIU-Katalog gelten als rechtlich nicht abgegeben.

2. Steuerliche Meldepflichten (DAC8 & CARF)

Parallel zur Geldwäscheprävention greift das neue Steuertransparenzregime. Hier ist der 01. Januar 2026 der entscheidende Startpunkt.

• Laufender Meldezeitraum 2026: Seit dem 01.01.2026 müssen Anbieter von Kryptodienstleistungen (Börsen, Wallet-Provider) sämtliche Transaktionsdaten ihrer Nutzer (Käufe, Verkäufe, Tauschvorgänge – auch von Stablecoins) systematisch erfassen.
• Meldefrist 2027: Die im Jahr 2026 gesammelten Daten müssen bis spätestens 31. Januar 2027 an das Bundeszentralamt für Steuern (BZSt) übermittelt werden. Ein "Vergessen" von Stablecoin-Gewinnen in der Steuererklärung wird durch diesen automatischen Datenaustausch nahezu unmöglich.

3. Strategische Übergangsfristen (EU-Ebene)

Obwohl wir uns bereits im Jahr 2026 befinden, werfen die nächsten großen Änderungen ihre Schatten voraus:

• 10. Juli 2026 (AMLA-Deadline): Bis zu diesem Datum veröffentlicht die neue EU-Aufsichtsbehörde (AMLA) die finalen technischen Standards (RTS) für die Kundenidentifizierung (CDD). Institute sollten diese Standards ab Sommer 2026 in ihre IT-Workflows implementieren.
• 30. Juni 2026 (Ende MiCAR-Übergangsfrist): Für Anbieter, die noch unter alten nationalen Lizenzen operieren, endet Ende Juni die letzte Schonfrist. Ab dem 01. Juli 2026 ist eine vollständige MiCAR-Zulassung für das Angebot von Stablecoins (EMT/ART) in der gesamten EU zwingend.

III. Pflichten

1. Aufsicht der BaFin über TFR II bei allen Verpflichteten (§ 51 GwG)

Die Änderungen im Aufsichtsregime führen dazu, dass die BaFin die Einhaltung der VO (EU) 2023/1113 nun für alle einschlägigen GwG‑Verpflichteten, einschließlich Anbieter von Kryptowerte‑Dienstleistungen, durchsetzen kann. Dadurch steigt das Prüfungs‑ und Durchsetzungsrisiko für Krypto‑Geschäfte und die zugehörigen Prozesse deutlich. Gleichzeitig schaffen neue Ermächtigungen für elektronische Kommunikation die Grundlage, künftige Meldungen und Berichte zu Krypto‑Transfers ausschließlich digital einzufordern.

– Einrichtung oder Anpassung eines zentralen TFR‑II‑Kontrollrahmens mit explizitem Krypto‑Scope. 

– Prüfung und ggf. Anpassung der Aufsichts‑Reporting‑Schnittstellen (Meldeportale, APIs) für künftige elektronische Vorgaben. 

– Integration von TFR‑II‑Prüfpunkten in interne und externe Prüfungspläne (Revision, Compliance‑Monitoring).

2. Jährliche AML‑Meldepflichten mit Krypto‑Bezug (§ 52 Abs. 7 GwG)

Mit der neuen jährlichen Meldepflicht nach § 52 Abs. 7 GwG entsteht für BaFin‑beaufsichtigte Institute eine strukturelle Berichtspflicht, die voraussichtlich auch Daten zu Kryptowerte‑Geschäften, Risiken und Kontrollen umfassen wird. Der genaue Inhalt ergibt sich zwar erst aus EU‑RTS/ITS, es ist jedoch klar, dass Krypto‑Aktivitäten in die europäische AML‑Risikodatenerhebung einbezogen werden sollen. Verstöße gegen diese Berichtspflicht sind nun ausdrücklich bußgeldbewehrt und erhöhen den Druck, frühzeitig belastbare Datenhaushalte aufzubauen.

– Identifikation aller Krypto‑relevanten Datenfelder und Quellsysteme für die geplanten Jahresmeldungen. 

– Aufbau eines standardisierten internen Prozesses (Timelines, Verantwortliche) zur Erstellung der jährlichen AML‑Strukturmeldung inkl. Krypto‑Inhalten. 

– Implementierung von Plausibilitäts‑ und Qualitätskontrollen für Krypto‑Daten vor Übermittlung an die BaFin.

3. TFR‑II‑Pflichten speziell für Kryptowerte‑Transfers

Die VO (EU) 2023/1113 etabliert detaillierte Pflichten zur Übermittlung und Prüfung von Herkunfts‑ und Empfängerdaten bei Kryptowertetransfers (Travel Rule) und macht damit Krypto‑Transfers regulatorisch den klassischen Geldtransfers vergleichbar. Für jeden relevanten Transfer müssen vollständige Originator‑ und Begünstigtenangaben erhoben, technisch mitgeführt und beim Empfänger‑Dienstleister überprüft werden. Spezielle Anforderungen gelten für Transfers zu/ von selbst gehosteten Wallets, bei denen risikobasierte Maßnahmen und zusätzliche Prüfungen ab bestimmten Schwellen anzuwenden sind.

– Implementierung/Anpassung von Messaging‑Schnittstellen, um alle TFR‑II‑Pflichtangaben bei Krypto‑Transfers strukturiert zu übertragen. 

– Konfiguration von Regeln, die Transfers mit fehlenden/unvollständigen Angaben automatisch erkennen, blockieren oder zur Klärung eskalieren. 

– Etablierung risikobasierter Verfahren für Self‑Hosted‑Wallet‑Transfers (z.B. Verifikation des Wallet‑Inhabers ab 1.000‑EUR‑Schwelle).

4. Praktische Compliance‑Schwerpunkte für Kryptowerte

Die Aufzeichnungs‑ und Sanktionsvorgaben werden durch die Verknüpfung von Art. 26 VO (EU) 2023/1113 mit § 56 GwG deutlich verschärft. Anbieter von Krypto‑Dienstleistungen müssen alle relevanten Transferdaten mindestens fünf Jahre aufbewahren und den Behörden bei Bedarf zeitnah, vollständig und maschinenlesbar zur Verfügung stellen. Verstöße gegen die TFR‑II‑Pflichten zu Kryptotransfers können mit bis zu 200.000 Euro und in schweren Fällen unter Anwendung des eskalierten Bußgeldrahmens sowie einer öffentlichen Bekanntmachung der Sanktion geahndet werden.

– Anpassung von DMS/Archivierungssystemen, um alle Krypto‑Transferdaten TFR‑II‑konform und revisionssicher für mindestens fünf Jahre zu speichern. 

– Verknüpfung der Sanktionsrisiken (Bußgeld, Veröffentlichung) mit dem internen Krypto‑Risikotypen‑ und ICAAP/ICFR‑Rahmen. 

– Einrichtung eines regelmäßigen Krypto‑Compliance‑Monitorings (z.B. Stichproben, KPI‑Reporting) zur Früherkennung von TFR‑II‑Verstößen.

 V. Action Plan

• Governance & Haftung (Organpflichten, § 43 GmbHG/§ 93 AktG, § 6, § 51, § 52 GwG, EU‑AML‑VO): Einrichtung eines formell beschlossenen Krypto‑AML‑Rahmenwerks (Policy, Risikoappetit, Reporting) mit expliziter Zuordnung von Verantwortlichkeiten an Organe und GWB; jährliche Organinformation über TFR‑II‑Risiken und Prüfungsfeststellungen.
•  Travel‑Rule‑Implementierung (Art. 14, 17, 19–21, 26 VO (EU) 2023/1113, § 6 Abs. 4a GwG, BaFin‑Auslegungshinweise): Aufnahme eines Projekts zur lückenlosen Abbildung der Pflichtdatensätze in Krypto‑Systemen, inkl. Schnittstellenanalyse, Tool‑Auswahl (TR‑Provider), Testfällen und dokumentierter Rechtsauffassung zu Sonderfällen (Layering, Protokoll‑Limitierungen).
•  Self‑Hosted‑Wallet‑Framework (§ 15a GwG, Art. 3 Nr. 10, Art. 14, 21 VO (EU) 2023/1113, BaFin‑Hinweise): Entwicklung eines standardisierten Maßnahmenkatalogs (Inhaberverifikation, Blockchain‑Analytics‑Use‑Cases, Schwellen, De‑Risking‑Kriterien) mit schriftlich begründeter Risikoabwägung; Integration in KYC, Produktfreigabe und Monitoring‑Regelwerk.
•  Datenschutz & Datenhaltung (VO (EU) 2023/1113, Art. 5, 6, 25, 32 DSGVO, EU‑AML‑VO): Durchführen einer kombinierten DPIA für Travel‑Rule‑ und Krypto‑Monitoring‑Daten; Definition von Speicherfristen (mind. 5 Jahre nach Art. 26 VO (EU) 2023/1113), Rollen‑/Rechtekonzept und Dokumentation der Rechtsgrundlagen; Abstimmung mit DSB.
•  Aufsicht, Reporting & Sanktionen (Art. 30 VO (EU) 2023/1113, § 51, § 52 Abs. 7, § 54 Abs. 3 Nr. 2c, § 56, § 57 GwG, AMLA‑VO, KMAG): Aufbau eines Krypto‑Regulatorik‑Monitors (BaFin‑Allgemeinverfügungen, RTS/ITS, AMLA‑Guidance), Implementierung eines jährlichen „Krypto‑Compliance‑Reportings“ mit Self‑Assessment zu TFR‑II‑Konformität, Dokumentation von Abweichungen und Remediation‑Plänen zur Minimierung von Bußgeld‑ und Name‑and‑Shame‑Risiken.

VI. Checkliste

Checkliste „Muss“ seit 10.02.2026 um offensichtlich bestehenden Risiken hinsichtlich Krypto Währungen  entgegenzuwirken, nicht abschließend.

• Gap-Analyse TFR II (Art. 14, 17, 19–21, 26) inkl. Nachweis-/Kontrolldesign
• Bußgeld- und Eskalationslogik intern verankert (wer entscheidet was, wann wird gestoppt/abgelehnt, wann FIU-Prüfung)
• 5-Jahres-Aufbewahrung technisch + organisatorisch umgesetzt (inkl. Löschkonzept)
• Policies/Arbeitsanweisungen: korrekte Referenz VO (EU) 2023/1113 überall
• Aufsichtskommunikation digital „fähig“ (Prozess & IT-Basis), Monitoring von BaFin-Verfügungen
• Falls BaFin-Aufsicht (§ 50): § 52 Abs. 7 Meldeprozess-Blueprint + Datenhaushalt vorbereitet (auch wenn RTS/ITS noch offen)

 Quelle:

www.recht.bund.de/bgbl/1/2026/33/regelungstext.pdf?__blob=publicationFile&v=1