Regulatorik: Die FATF und die Travel Rule

Ich bin der festen Überzeugung, dass 2023 noch nicht das Jahr sein wird, in dem CBDCs in Europa oder anderen Ländern des globalen Nordens das Tageslicht erblicken werden. Dennoch bin ich überzeugt, dass dieses Thema in 2023 durch vermehrte Prozesse, Rhetorik und Kampagnen weiter in den Mainstream getragen werden wird, um eine unausweichliche Einführung von einer CBDC - zumindest in der Eurozone - vorzubereiten und die Menschen langsam darauf einzustellen. Damit verbundene Themen wie z.B. UBI (Unconditional Basic Income/ Universal Basic Income), also das bedingungslose Grundeinkommen, sowie als Geldwäschegesetze getarnte Einschränkungen des Bargeldverkehrs und andere mit digitalen Zahlungsmitteln verbundene Themen, werden in den Medien vermehrt zu finden sein. Meines Erachtens nach, werden wir all diese Themen auf der einen Seite öfter lesen/hören und auf der anderen Seite wird die Rhetorik gegenüber Bitcoin und anderen Krypto-Assets verschärft werden. Die typischen FUD-Themen werden ad nauseam durch die Medien gejagt, aber auch von Regulatorik wird vermehrt Gebrauch gemacht. Die Regulatorik in Deutschland, Europa, aber auch in den USA, ist bisher weitgehend unklar. An  vielen Stellen ist nicht mal klar, welche Agency oder Behörde überhaupt zuständig und handlungsfähig ist, geschweige denn, dass besonders ausgereifte Gesetze existieren. Mit der MiCA (Markets in Crypto-Assets) Verordnung hat die EU einen Schritt nach vorne getan und auch wenn sie erst 2024 in Kraft tritt, stellen sich jetzt schon viele der betroffenen und angesprochenen Gruppen auf die Vorgaben ein. Eine weitere Verordnung, die schon länger besteht, ist die Verordnung (EU) 2015/847 über die Übermittlung von Angaben bei Geldtransfers. Diese regelt die sogenannte Travel Rule, mit der wir uns diese Woche beschäftigen wollen.

Zunächst müssen ein paar Begriffe und Buchstabensuppenbehörden erklärt werden:

FATF

Die Financial Action Task Force (FATF) ist ein internationales und Regionen übergreifendes Projekt mit zur Zeit 39 Staaten als Mitgliedern, und deren Standards einzuhalten sich so ziemlich jedes Land der Welt verpflichtet hat. Es ist wichtig zu unterscheiden, dass die FATF keine Organisation ist und damit auch keine juristische Person darstellt, die Regeln oder Gesetze erlassen kann. Die FATF veröffentlicht lediglich Empfehlungen und Standards, die von Staaten übernommen werden. Das selbsterklärte Hauptziel dieses Projekts ist die Bekämpfung von Geldwäsche (AML) und der Finanzierung von Terrorismus (CFT). Die Handhabe der FATF ist demnach recht lose gefasst, sehr weitreichend und das Mandat zeitlich unbefristet. Posten werden vergeben, nicht gewählt, wie sollte es auch anders sein. Die FATF wurde 1989 gegründet und hatte zunächst nur das Ziel Geldwäsche zu bekämpfen, doch seit 9/11 wurde das Mandat um die Bekämpfung von Finanzierung von Terrorismus erweitert, und einhergehend mit dem Patriot Act und anderen freiheitseinschneidenden Gesetzen, hatte auch niemand mehr irgendwelche Vorbehalte gegen Übergriffe auf Privatsphäre und Persönlichkeitsrechte.

Die Liste der Länder, die keine Lust auf diesen spießigen Club mit seinen strengen Regeln haben, die sogenannten Non-Cooperative Countries and Territories (NCCTs), liest sich wie der Marco Polo Reiseführer für Steuerflüchtlinge und Finanzakkrobaten und führt - wen wunderts - Länder wie die British Virgin Islands, die Kaimaninseln, die Kanalinseln (Guernsey, Isle of Man und Jersey), Liechtenstein, Monaco, Panama, naja und halt eben auch Russland. Die Erfolgsgeschichten der Prävention von nennenswerten Terroranschlägen ist übrigens so lang, wie die Liste von Goldmedaillen beim olympischen Eiskunstlauf des Sudans.

FinCEN

Das Financial Crimes Enforcement Network (FinCEN) ist eine weitere Nudelbehörde im Geltungsbereich des US amerikanischen Finanzministeriums und beschäftigt sich ausschließlich mit Finanzsystemen, bzw. der Ausnutzung oder der illegalen Nutzung derselben, ist aber auch dem Office of Terrorism and Financial Intelligence (TFI) unterstellt, also auch hier wieder ein Mandat so breit wie der Amazonas.

So, nun kurzer Geschichtsausflug.

Das FinCEN hat im Jahr 1996 die originale Travel Rule erlassen. Diese hieß natürlich nicht offiziell so, aber Bank Secrecy Act (BSA) rule [31 CFR 103.33(g)] ist super sperrig, also bleiben wir bei Travel Rule. Kurz und knapp zusammengefasst besagt dieses Gesetz, dass Finanzinstitute gewisse Informationen an andere Institute weiterleiten müssen, wenn sie durch ihre Dienstleistungen Empfänger (Begünstigter) oder Sender (Auftraggeber) von Zahlungen miteinander verbinden. Diese Informationen beinhalten

beim Versenden:

• Name des Senders
• Kontonummer des Senders, falls verwendet
• Adresse des Senders
• Identität des Finanzinstituts des Senders
• Höhe des Übermittlungsauftrags
• Ausführungsdatum des Übermittlungsauftrags
• Identität des Finanzinstituts des Empfängers;

beim Erhalten:

• Namen des Empfängers
• Adresse des Empfängers
• Kontonummer des Empfängers
• jede andere spezifische Kennung des Empfängers.

Die FATF hat im Jahr 2019 diese originale Travel Rule übernommen und vorgeschlagen, diese Regeln zur Übermittlung von personenbezogenen Daten auf "Virtual Assets" (VA) auszuweiten und damit nicht nur traditionelle Finanzinstitute, sondern auch "Virtual Assets Service Providers" (VASPs) einzubeziehen. Wir sind uns natürlich bewusst, dass sich VAs nur auf Pokedollars, Rupees und V-Bucks beziehen und keineswegs auf Digitale Assets oder Kryptowährungen 😛 - sonst würde man ja von DAs (Digital Assets) sprechen.

Krypto-Travel Rule

Okay, also ernsthaft bedeutet dies im Klartext, dass jede Bitcoin- oder Krypto-Transaktion, die einen bestimmten Schwellenwert überschreitet (in der EU bald 0 EUR - "denn aufgrund der spezifischen Eigenschaften und des Risikoprofils von Krypto-Assets gilt die Informationspflicht für alle Krypto-Asset-Transfers, unabhängig vom Transferwert", mehr dazu später ⬇️), von den persönlichen Daten (personally identifiable information (PII)) des Kunden begleitet werden muss. Wir nutzen hier erstmal weiter den Begriff VASP. VASPs müssen nicht nur die Informationen ihrer eigenen Kunden übermitteln, sondern auch versuchen den/die Empfänger//in oder Sender//in (also die jeweilige Gegenpartei) zu blocken oder zu sanktionieren und einer Due-Diligence-Prüfung zu unterziehen. Kurzum, die FATF findet das Risikoprofil von Krypto super schwierig, darum könnte es sein, dass mein Toni Token, den ich einem Freund schicke, der Finanzierung von internationalem Terrorismus dienen könnte und deshalb muss die Sparkasse Westfalen-Lippe jetzt der Spardabank meines Freundes die Unterwäschengröße meines erstgeborenen Kindes übermitteln. Klingt unmöglich? Ist es auch.

Jetzt denkt der/die kundige Leser//in: "Naja, coole Regel liebe FATF, aber was jucken mich deine Vorgaben? Ich lebe in hier in einem Land und der einzige, der hier Gesetze erlassen kann ist immernoch der Kanzlerin!" Und so  - oder so ähnlich - ist es auch, aber wir würden ja nicht im Musterknaben-Regelparadies-Preussland leben, wenn Deutschland nicht als eine der ersten europäischen Jurisdiktionen, die Travel Rule als Gesetz erlassen möchte. Der Gesetzesentwurf des damaligen Finanzministers Olaf Scholz mit dem lässig und digital daherkommenden Namen "Verordnung über verstärkte Sorgfaltspflichten bei dem Transfer von Kryptowerten (kurz: Kryptowertetransferverordnung, noch super-kürzer: KryptoWTransferV)" wurde in 2021 vorgestellt und soll noch 2023 in Kraft treten.

Jetzt fragt sich der/die kundige Leser//in natürlich als nächstes: "Naja, Regel hin oder her, ich hab ja tausende verschiedene Apps, Services, kann von Börsen Geld verschicken, von Wallets auch, kann sogar selber Payment-Channels für Lightning öffnen, eine Node betreiben und Wallets hosten, wie zum Kuckuck finde ich denn raus, wer oder was jetzt ein VASP ist? Oder schlimmer noch, bin ich womöglich selbst einer?"

Ruhig kleiner Otter, hier ist die Definition der FATF:

Ein VASP ist jede natürliche oder juristische Person, die [...] als Unternehmen eine oder mehrere der folgenden Aktivitäten oder Operationen für oder im Namen einer anderen natürlichen oder juristischen Person durchführt:

• Austausch zwischen virtuellen Vermögenswerten und Fiat-Währungen
• Austausch zwischen einer oder mehreren Formen virtueller Vermögenswerte
• Übertragung von virtuellen Vermögenswerten
• Verwahrung und/oder Verwaltung von virtuellen Vermögenswerten oder Instrumenten, die die Kontrolle über virtuelle Vermögenswerte ermöglichen
• Teilnahme an und Erbringung von Finanzdienstleistungen im Zusammenhang mit dem Angebot und/oder dem Verkauf eines virtuellen Vermögenswerts durch einen Emittenten

Also zunächst bezieht sich die Definition nur auf Unternehmen. Dieser Interpretation folgt auch Krypto 👐🏼 Transfer 🖖🏼:

Unternehmen mit Sitz im In- oder Ausland, das in Bezug auf Kryptowerte im In- oder Ausland Bankgeschäfte im Sinne des § 1 Absatz 1 Satz 2 des Kreditwesengesetzes betreibt, Finanzdienstleistungen im Sinne des § 1 Absatz 1a Satz 2 des Kreditwesengesetzes oder Wertpapierdienstleistungen im Sinne des § 2 Absatz 2 bis 4 des Wertpapierinstitutsgesetzes erbringt.

Generell fallen unter die Interpretation von VASPs die folgenden Dienstleistungen: Verwahrung, Mining Pool Anbieter, Anbieter von Wallets (custodial), Broker-Services (inkl. Börsen), Bitcoin ATMs und unter bestimmten Voraussetzungen auch Anbieter von Stablecoins, Anbieter von DeFi-Protokollen und auch dezentralisierte Börsen (DEX). Individuelle Miner, Betreiber von Full-Nodes und Lightning-Routing-Channels sind bisher von der Interpretation ausgeschlossen.

Wohingegen man das Gefühl bekommen könnte, dass Sender//innen und Empfänger//innen der Transaktionen die Leidtragenden der Gesetzesentwürfe sind, kann man doch eigentlich schnell sehen, dass vor allem die Dienstleister eine enorme Last und zusätzliche Arbeit schultern müssen. Auf der einen Seite besteht die Herausforderung, die uneinheitliche Vorgehensweise bei der Umsetzung dieser Verordnung in den verschiedenen Regionen vernünftig zu navigieren, denn die daraus entstehenden Anforderungen unterscheiden sich noch von Land zu Land (ein Pluspunkt für MiCA ⬇️). Aber auch zusätzliche Anforderungen, die über die Beschaffung der PIIs hinausgehen, wie z.B. dass von VASPs erwartet wird, dass sie Informationen über die Quelle und das Ziel von versendeten Krypto-Assets erhalten und speichern, machen das normale Tagesgeschäft um ein vielfaches komplizierter.

Und weil es so schwierig ist die PIIs der Sender//innen (Auftraggeber//innen) und der Empfänger//innen (Begünstigten), geschweige denn die volle Transaktionshistorie der Assets, glaubwürdig und genau abzubilden und zu übermitteln, sieht sogar die FATF ein, dass ein gewisser gesunder Menschenverstand angesetzt werden muss und empfiehlt daher, dass VASPs zunächst die VASPs auf der Gegenseite überprüfen, um zu ermitteln, ob eine Transaktion womöglich Geldwäsche- oder Terrorismusfinanzierungspotential (AML/CFT) birgt.

MiCA

Die sogenannte Markets in Crypto Assets Verordnung ist ein in 2020 vom EU Parlament auf den Weg gebrachtes Gesetz zur Harmonisierung der Regeln in Bezug auf Krypto-Anbieter im europäischen Raum. Die Verordnung soll in 2024 in Kraft treten, doch ein finaler Entwurf liegt bereits vor.

Wie schon erwähnt, sehen die neuen Regeln der EU einen Schwellenwert von 0 EUR vor. Mit anderen Worten, Krypto-Dienstleister, die unter einer EU-Lizenz oder in der EU tätig sind, müssen für alle Transaktionen, unabhängig von ihrer Größe, Informationen zur Identität des Absenders und Empfängers erfassen.

Dabei unterscheidet die EU zwischen "hosted" und "un-hosted" Wallets 🤡. Un-hosted Wallets sind alle Wallets, die privat genutzt werden und self-custodial arbeiten, also sich in der Verwahrung von Privatnutzer//innen befinden, sprich diejenigen Wallets, die jeder nutzen sollte, der keinem Custodian vertrauen möchte.

Überweisungen von oder zu un-hosted Wallets von oder zu einem VASP, oder anderen Finanzdienstleister, müssen ab einem Schwellenwert von 1.000 EUR vom VASP überprüft werden. Dabei muss der VASP auch feststellen, ob diese Wallet dem/der Kund//in tatsächlich gehört oder er/sie dieses kontrolliert. Wenn ja, muss der/die Benutzer//in dies verifizieren. Transaktionen von weniger als 1.000 EUR an oder von einer un-hosted Wallet erfordern keine Überprüfung des Eigentums.

Transaktionen an un-hosted Wallets, die nicht der direkten Kontrolle des/der Benutzers//in unterliegen, müssen in allen Fällen überprüft und personenbezogene Informationen über die Wallet gesammelt werden. Darüber hinaus muss festgestellt werden, ob weitere Maßnahmen erforderlich sind. Das bedeutet, dass der VASP vor der Übertragung der Transaktion ein potentielles AML/CTF Risiko identifizieren, einschätzen und entsprechende Maßnahmen ergreifen muss.

InterVasp, TRUST und Co

Und genau weil es eben so schwierig ist diese unhandlichen Anforderungen umzusetzen, bedeutet dies, dass die gesamte Industrie einen kooperativen Ansatz verfolgen muss, um einen idealen Daten- und Kommunikationsstandard zu finden. Zunächst wurde also ein Konsens über ein einziges Datenübermittlungsformat für alle Travel Rule Anforderungen erzielt. Dieses Format heißt IVMS 101 und wurde von der Joint Working Group on interVASP Messaging Standards (JWG) erlassen.

Gleichermaßen hat Coinbase federführend eine Lösung namens TRUST (Travel Rule Universal Solution Technology) ins Leben gerufen, die nach eigenen Angaben zufolge entwickelt wurde, um die Travel Rule Anforderungen zu erfüllen und gleichzeitig die Sicherheit und Privatsphäre von Kund//innen zu schützen. Dieser Lösung haben sich einige namhafte Finanzdienstleister, Börsen und Krypto-Anbieter, unter anderem BitGo, Bittrex, Circle, Fidelity Digital Assets, Gemini, Kraken und Robinhood, angeschlossen, um einen Industriestandard für die Erfüllung dieser Anforderungen zu schaffen.

Coinbase-Backed Anti-Money Laundering Group Expands Into Europe

The Travel Rule Universal Solution Technology (TRUST) has grown its membership to 67 firms.

CoinDeskIan Allison

Aber auch ein von MasterCard übernommenes Unternehmen namens CipherTrace war schnell dabei, einen Standard zu entwickeln, der es Unternehmen erleichtern soll, den Anforderungen gerecht zu werden.

CipherTrace Unveils Travel Rule Protocol for Cryptocurrency Businesses

CipherTrace has released TRISA, which might help cryptocurrency businesses comply with regulations like the travel rule in a privacy-preserving way.

Bitcoin Magazine - Bitcoin News, Articles and Expert InsightsLandon Manning

Was anhand der genannten Beispiele recht schnell deutlich wird, ist dass die von der FATF erlassenen Empfehlungen und Standards hauptsächlich dazu führen, dass wieder eine immense Anzahl an personenbezogenen Daten gesammelt werden muss, und dass dieser Mammut-Akt von etablierten, zentral operierenden Unternehmen gesteuert und vereinnahmt wird. Es ist, als würden Tickets gedruckt, um weitere zusätzliche Daten sammeln zu dürfen, und diese Tickets werden natürlich wieder - frei nach dem Cantillon-Effekt - an die am engsten stehenden Unternehmen verteilt.

Fazit

Banken und Krypto-Anbieter sollten keine Diebe fangen, das ist Sache der Polizei. Es gilt eigentlich das rechtsstaatliche Grundprinzip der Unschuldsvermutung, also im Zweifel für den Angeklagten, bzw. die Annahme, dass jede/r solange als unschuldig anzusehen ist, bis seine/ihre Schuld nachgewiesen werden kann. Im Falle der Travel Rule und ähnlichen Geldwäschegesetzen und Gesetzen zum Schutz vor Terrorfinanzierung (AML/CFT) wird dieses Prinzip auf den Kopf gestellt.

Millionen von Berichte werden zur Zeit von Finanzdienstleistern und Krypto-Unternehmen an die Aufsichtsbehörden gesendet. Damit geben Unternehmen des privaten Sektors persönliche Informationen über ihre Kund//innen preis, selbst wenn die Transaktionen nur verdächtig sind. Doch was macht eine Transaktion verdächtig? Grenzüberschreitende Transfers, ein Abendessen in einem äthiopischen Restaurant bezahlt mit Karte? Finanzinstituten obliegt es, das Geld zunächst einzufrieren, sozusagen als Lösegeld einzubehalten, bis der/die Kund//in beweisen kann, dass er/sie unschuldig ist, und nicht umgekehrt. Dies stellt eine klare Verletzung des Menschenrechts dar. Regeln, wie die Travel Rule, verletzen gesellschaftliche Prinzipien, indem sie Menschen ihre Rechte kategorisch verweigern, nur um ein sehr kleines potentielles Risiko zu vermeiden.

Und wer definiert einen Terroristen? Im Iran unterscheidet sich die Definition von jemandem, der den Staat bedroht, erheblich von dem, was andere Länder als einen terroristischen Akt definieren würden. In unseren Breitengraden sind solche Regeln und Gesetze nur so lange zumindest unbedrohlich für das eigene körperliche Wohl, solange die Kontrollinstanz auf rechtsstaatlichen Grundwerten aufgebaut ist. Sobald dies kippt, hat der Staat eine sehr gefährliche Waffe zur Hand.