DORA & MiCA 2025: Anwalt erklärt digitale Resilienz für Token & Krypto-Anbieter
Verfasst von
Max Hortmann
28 Nov 2025
•
Lesezeit:
Diesen Beitrag teilen
DORA und MiCA schaffen 2025 einen neuen europäischen Doppelrahmen für Krypto- und Tokenprojekte. Während MiCA Marktverhalten, Token-Pflichten und Governance ordnet, verpflichtet DORA erstmals zu digitaler Resilienz, IT-Sicherheit und Incident-Reporting. Dieser Aufsatz zeigt, was Anbieter jetzt zwingend wissen müssen.
Über den Autor Rechtsanwalt Max Nikolas Mischa Hortmann berät Unternehmen, Emittenten und Krypto-Dienstleister zu MiCA-, DORA- und digitalen Finanzmarktregulierungen. Er ist Vertragsautor von jurisPR-ITR und jurisAZO und bekannt aus WirtschaftsWoche+ und BR24.
Einleitung
DORA und MiCA wirken ab 2025 erstmals als vollständig verzahnte Doppelregulierung für den europäischen Kryptomarkt. Während MiCA Token-Emissionen, Marktverhalten, Governance und Informationspflichten harmonisiert, setzt DORA verbindliche Anforderungen an digitale Resilienz, Incident-Reporting, IT-Sicherheit und Drittanbieterstrukturen. Gemeinsam bilden beide Systeme den neuen Standard für alle Krypto-Projekte, CASPs und Plattformbetreiber in der EU. Unternehmen müssen verstehen, dass regulatorische Pflichten nicht mehr nur Produkte und Token-Modelle betreffen, sondern ebenso die technische Stabilität, Sicherheitsarchitektur und operative Belastbarkeit ihrer Systeme. Wer diese Ebenen sauber verbindet, reduziert Haftungsrisiken, erfüllt Aufsichtserwartungen und schafft Vertrauen bei Nutzern, Märkten und Geschäftspartnern.
Zwischen-CTA Wenn Sie MiCA- und DORA-Pflichten strukturiert umsetzen oder Ihre Governance- und Resilienzarchitektur rechtssicher gestalten möchten, unterstütze ich Sie persönlich und zuverlässig. www.hortmannlaw.com/contact Telefon: 0160 9955 5525
Abschnitt 2 – Einleitung: Governance als Achillesferse der Doppelregulierung
DORA und MiCA verschmelzen 2025 zu einem zweistufigen Pflichtensystem, das den europäischen Kryptomarkt grundlegend neu strukturiert. Während MiCA die Markt- und Emittentenpflichten festlegt, zwingt DORA alle Anbieter dazu, ihre technischen Systeme, Sicherheitsprozesse und digitalen Abläufe auf ein einheitliches europäisches Resilienzniveau zu heben. Governance wird damit zur gemeinsamen Achillesferse beider Regime: Fehler bei Token-Informationen oder technische Schwachstellen sind nicht mehr voneinander trennbar. Ein Projekt ist erst dann regulatorisch tragfähig, wenn technische Robustheit, operative Sicherheit und rechtliche Transparenz ineinandergreifen.
Für Krypto-Projekte bedeutet dies: Die Anforderungen der Aufsicht werden nicht mehr ausschließlich am Whitepaper oder an der Marktkommunikation gemessen. Entscheidend ist, ob Strukturen vorhanden sind, die Störungen aushalten, Risiken früh erkennen und Missstände sofort korrigieren. Projekte, die beide Ebenen verbinden, minimieren gleichzeitig regulatorische Risiken und schaffen Vertrauen bei Marktteilnehmern, Partnern und Investoren.
Abschnitt 3 – Rechtsgrundlagen: Art. 4–15 MiCA und der technische Pflichtenkatalog der DORA
MiCA regelt Emission, Offenlegung, Informationspflichten und Governance-Strukturen. Besonders relevant für Emittenten sind die Vorgaben zu technischen Merkmalen des Tokens, den Verantwortlichkeiten, den Risikoangaben und der Aktualisierungspflicht. Jede Abweichung kann eine Pflichtverletzung auslösen, die zu Marktstörungen oder Haftungsrisiken führt.
DORA ergänzt diese Pflichten um ein vollständig eigenes technisches Pflichtenregime: IKT-Risikomanagement, Incident-Meldungen, Überwachung externer Anbieter, digitale Notfallpläne, technische Tests, TLPT und operative Wiederherstellungsmechanismen. Während MiCA vorgibt, was Emittenten offenlegen müssen, legt DORA fest, wie sicher die Systeme sein müssen, über die Token ausgegeben, verwahrt und gehandelt werden.
In der Praxis zwingen beide Verordnungen Emittenten zu einem integrierten Ansatz: – technische Kontrolle, – organisatorische Dokumentation, – nachvollziehbare Governance, – belastbare Kommunikations- und Informationsprozesse.
Unternehmen, die dies beherrschen, erfüllen nicht nur regulatorische Anforderungen, sondern stärken auch ihre Marktposition durch Transparenz, Sicherheit und technische Stabilität.
Ein Team aus Cyber-Experten arbeitet nachts in einer historischen Bahnhofshalle mit digitalen Projektionen zu Incident-Flows, Threat-Maps und TLPT-Routen. Die Szene verbindet technische Analyse mit atmosphärischer Ernsthaftigkeit.
Eingebetteter Verlängerungsblock (Datenschutz & Security – passend im Kontext)
Datenschutz & digitale Resilienz als erweiterte Compliance-Pflicht Digitale Resilienz endet nicht bei Technik und Governance. Der Schutz personenbezogener Daten bildet eine zentrale Vertrauensgrundlage – und ist eng mit DORA und MiCA verzahnt. Datenpannen, fehlende Dokumentation oder unzureichende Organisation treffen direkt auf die Pflicht zur technischen Cyber-Resilienz. Unternehmen sollten daher gleichzeitig DORA-, MiCA- und DSGVO-Strukturen harmonisieren.
Brauchen wir für DORA eine völlig neue Governance-Struktur? Ja, DORA verlangt ein operatives Governance-System zusätzlich zur MiCA-Emittenten-Governance.
Müssen CASPs sofort ein Incident-Reporting-System einführen? Ja, ohne funktionierende Meldewege entsteht ein unmittelbares Aufsichtsrisiko.
Was passiert, wenn ein externer Provider ausfällt? DORA verlangt klare Ausstiegsstrategien und Überwachungspflichten.
Wie ergänzen sich MiCA-Risikoangaben und DORA-IKT-Risiken? Beide müssen konsistent sein: technische Risiken müssen im Whitepaper reflektiert werden.
Welche Rolle spielt Datensicherheit im DORA-Kontext? Sie ist zentral. Fehlende Datensicherheit wird als operationelles Risiko gewertet.
Brauchen wir TLPT auch als kleines Projekt? Nur größere Institute, aber kleinere müssen einfache Tests durchführen.
Wie vermeiden wir persönliche Haftung der Geschäftsleitung? Durch klare Dokumentation, nachvollziehbare Prozesse und regelmäßige Kontrolle.
Wie integrieren wir externe Dienstleister? Durch Vertragsprüfungen nach DORA, Monitoring und Ausfallpläne.
Sind Token-Projekte automatisch DORA-pflichtig? Nicht immer, aber CASPs und relevante Dienstleister sind direkt erfasst.
Wie setzt man MiCA- und DORA-Pflichten zu einem System zusammen? Durch ein kombiniertes Governance-Framework, das technische und rechtliche Strukturen verbindet.
Die technische Architektur eines Krypto-Projekts entscheidet darüber, ob ein MiCA- und DORA-konformer Betrieb möglich ist. MiCA verlangt eine nachvollziehbare Beschreibung der Token-Funktion, ihrer Risiken sowie der zugrunde liegenden technischen Prozesse. DORA ergänzt diese Anforderungen durch operative Pflichtbereiche: IKT-Risikoanalyse, Überwachung externer Dienstleister, Notfallwiederherstellung und die Fähigkeit, Störungen in Echtzeit zu erkennen und zu beheben. Technik und Rechtsrahmen werden damit untrennbar.
Governance betrifft nicht nur Entscheidungen und Verantwortlichkeiten, sondern auch die Infrastruktur, über die Token emittiert und Dienste betrieben werden. Smart-Contract-Kontrolle, Schlüsselverwaltung, Update-Mechanismen, Admin-Rechte und Oracle-Systeme müssen dokumentiert, geschützt und testbar sein. Projekte, die auf verteilte oder automatisierte Systeme setzen, benötigen klare organisatorische Wege, damit technische Änderungen jederzeit mit regulatorischen Pflichten im Einklang stehen. Eine starke Governance ist nicht optional – sie bildet die Schnittstelle zwischen Technologie, Aufsichtserwartungen und Marktvertrauen.
Die wirtschaftliche Seite ist ebenso relevant: Token-Modelle, Plattformrenditen und operative Geschäftsprozesse müssen stabil funktionieren, um nicht durch IT-Störungen oder Ausfälle unterbrochen zu werden. DORA zwingt Projekte dazu, technische und ökonomische Risiken gemeinsam zu betrachten, da operative Ausfälle unmittelbar zu Markt- und Reputationsschäden führen können.
Abschnitt 5 – Risiken: Organhaftung, Veröffentlichungspflichten und KI-bezogene Betrugs- und Funktionsrisiken
Mit DORA und MiCA steigt die persönliche Verantwortung der Geschäftsleitung erheblich. Fehler in der technischen Governance, verspätete Incident-Meldungen oder unzureichende Offenlegungspflichten können zu Organisationsverschulden, Aufsichtsmaßnahmen oder zivilrechtlicher Haftung führen. MiCA verlangt, dass alle Informationen zu einem Token klar, zutreffend und vollständig dargestellt werden – technische Risiken eingeschlossen. DORA verpflichtet dazu, technische Fehlfunktionen frühzeitig zu erkennen, zu melden und operative Maßnahmen einzuleiten.
Besonders kritisch sind verdeckte Abhängigkeiten von externen Systemen: Cloud-Dienste, APIs, Blockchain-Nodes, Oracles oder KI-Tools, die automatisiert Entscheidungen vorbereiten. Fehlfunktionen solcher Systeme können zu Marktmanipulationen, Datenverlust, Störungen im Token-Betrieb oder Ausfällen an Börsen führen. Projekte, die KI einsetzen, müssen zudem prüfen, ob automatisierte Systeme Trainingsdaten, Urheberrechte oder Datenschutzregeln verletzen. Moderne Betrugsmethoden – insbesondere durch KI-gestützte Fälschungen oder automatisierte Angriffe – erhöhen zusätzlich den Druck auf Governance und technische Stabilität.
Emittenten sind verpflichtet, technische, wirtschaftliche und organisatorische Risiken unverzüglich offenzulegen. DORA ergänzt diese Pflicht durch Incident-Meldungen, Logs, Testnachweise und Risikoanalysen. Je komplexer die Infrastruktur, desto größer die Haftungsgefahr bei fehlender Transparenz. Eine rechtssichere Dokumentation schützt nicht nur Anleger, sondern auch die handelnden Personen.
Abschnitt 6 – Emittent vs. CASP: Unterschiedliche Verantwortungsprofile unter MiCA und DORA
MiCA und DORA unterscheiden klar zwischen den Rollen von Emittenten und Anbietern von Krypto-Dienstleistungen (CASPs). Emittenten verantworten das Tokenmodell selbst: Funktionslogik, Risiken, Governance, technische Mechanismen und die vollständige Informationsarchitektur. CASPs hingegen stellen die Infrastruktur bereit, über die Token gespeichert, gehandelt oder übertragen werden. Beide Rollen überschneiden sich, doch die Verantwortungsprofile unterscheiden sich grundlegend.
Emittenten sind für die Richtigkeit aller Angaben verantwortlich, die den Token betreffen. Sie tragen die alleinige Verantwortung für technische Abhängigkeiten, Parametersteuerung, Tokenomics und jede Form der Funktionsbeschreibung. Fehlerhafte oder unvollständige Angaben können direkte Haftung auslösen. CASPs hingegen müssen sicherstellen, dass ihr Dienst technisch stabil, sicher und widerstandsfähig ist. Sie benötigen ein IKT-Risikomanagement, Incident-Prozesse, ein Outsourcing-Framework sowie robuste Kontrollen, um Angriffe, Datenverluste oder Systeminstabilitäten zu verhindern.
Während Emittenten die inhaltliche und strukturelle Last tragen, müssen CASPs die technische Resilienz und den sicheren Betrieb gewährleisten. Beide Rollen ergänzen sich: Emittenten schaffen Vertrauen durch Transparenz und Konsistenz, CASPs durch Stabilität, Sicherheit und belastbare Prozesse. Projekte müssen daher genau bestimmen, welche Funktionen sie selbst verantworten und welche sie Dienstleistern übertragen.
Führungskräfte in alter Fabrik betrachten Governance-Projektionen.
Abschnitt 7 – Use Case: Governance-Versagen bei einem ART und Folgen für Emittenten und Plattformen
Ein ART (Asset-referenced Token) besitzt Mechanismen zur Stabilisierung seines Werts. Diese beruhen auf Oracles, Reserve-Assets und technischen Steuerungen. Gerät eines dieser Elemente ins Ungleichgewicht, entsteht ein Governance-Versagen, das erhebliche Folgen nach sich zieht.
Tritt etwa ein Oracle-Fehler auf, können Preisaktualisierungen verzögert, falsch oder gar nicht mehr vorgenommen werden. Der Token verliert seine Bindung an den Referenzwert. Solche Störungen wirken sofort in den Markt hinein und können Anlegerentscheidungen, Liquiditätspools und Handelsmechanismen destabilisieren. MiCA verlangt, dass solche Risiken im Whitepaper dargestellt und im Betrieb kontrolliert werden. Emittenten müssen sofort Maßnahmen ergreifen, Risiken offenlegen und technische Korrekturen einleiten.
Plattformen, die den Token handeln, sind ebenfalls betroffen: Sie müssen ihren Betrieb auf Incident-Szenarien ausrichten, Systeme überwachen und Fehler transparent kommunizieren. DORA verlangt darüber hinaus, dass CASPs solche Störungen technisch detektieren, in Echtzeit bewerten und der Aufsicht melden. Ein Versagen an dieser Stelle kann nicht nur zu Marktproblemen führen, sondern auch zu aufsichtsrechtlichen Konsequenzen und Reputationsschäden.
Der Use Case zeigt: ART sind besonders anfällig für Governance-Brüche. Preisstabilität beruht auf präzisen technischen Mechanismen, klaren Verantwortlichkeiten und schneller Intervention. Nur Projekte, die diese Strukturen beherrschen und dokumentieren, erfüllen die Anforderungen der Aufsicht und schützen Anleger zuverlässig.
DORA und MiCA wirken ab 2025 als Doppelregulierung: Marktverhalten und Token-Pflichten einerseits, digitale Resilienz und IT-Sicherheit andererseits. Projekte, die beide Ebenen sauber abbilden, reduzieren Risiken, erfüllen Aufsichtsanforderungen und schaffen Vertrauen bei Investoren und Nutzern.
CTA
Wenn Sie DORA- und MiCA-Pflichten sicher umsetzen möchten, unterstütze ich Sie zuverlässig bei Governance, Risikoarchitektur und Compliance. www.hortmannlaw.com/contact Telefon: 0160 9955 5525
10 Mini-FAQ
Für wen gilt DORA?
Wann wirkt DORA zusätzlich zur MiCA?
Was ist ein DORA-Incident?
Müssen CASPs TLPT-Tests durchführen?
Welche Dokumentation verlangt DORA?
Wo beginnt die persönliche Haftung?
Welche Drittanbieter gelten als kritisch?
Welche Reports müssen laufend aktualisiert werden?
Wie wirkt DORA auf Token-Emittenten?
Gibt es Überschneidungen zu NIS2?
10 FAQ
Welche Kernpflichten enthält DORA im Finanzsektor?
Welche Meldewege gelten für IKT-Vorfälle?
Wie funktioniert Threat-Led Pen Testing?
Welche Anforderungen bestehen an Outsourcing-Verträge?
Welche Governance verlangt DORA auf Geschäftsleiterebene?
Wie unterscheiden sich DORA- und MiCA-Pflichten?
Wann entsteht persönliche Organhaftung?
Wie werden kritische IT-Dienstleister beaufsichtigt?
Welche Sanktionen drohen bei Verstößen?
Welche Schnittstellen bestehen zwischen DORA und Krypto-Plattformen?
Snippet-Einleitung vor der Linkbox
Weiterführende Artikel zu MiCA, Token-Regulierung und Governance
Ich begleite Krypto-Projekte, Emittenten und CASPs mit klarer Risikoanalyse, praxisnaher Umsetzung und höchster fachlicher Tiefe. Meine Beratung verbindet Finanzmarkt-, Aufsichts-, IT- und Token-Regulierung, sodass Sie rechtssicher wachsen können.
Entdecken Sie weitere Beiträge zu aktuellen Themen rund um Digitalrecht, Cybercrime, Datenschutz, KI und Steuerrecht. Unsere verwandten Artikel geben Ihnen zusätzliche Einblicke und vertiefende Analysen.
KI & Zukunftsrecht
11/28/2025
November 28, 2025
DORA für Krypto 2025: Anwalt erklärt Token-, CASP- & Outsourcing-Pflichten
DORA verlangt von Krypto-Anbietern einheitliche Incident-Meldungen, Red-Team-Tests, IKT-Risikomanagement und strenge Cloud-Governance. Der Beitrag zeigt, welche Pflichten für Token-Emittenten, CASPs und Plattformbetreiber 2025 verbindlich werden.
Organhaftung 2025: Anwalt erklärt MiCA-, KMAG- & DORA-Pflichten für Krypto und Token
MiCA, KMAG und DORA schaffen erstmals eine umfassende persönliche Haftung für Geschäftsleiter im Krypto-Sektor. Fehler bei Whitepaper, Governance oder IT-Sicherheit führen zu individuellen Sanktionen, Bußgeldern oder Berufsverboten. Der Beitrag zeigt Pflichten und Schutzstrategien.
Asset-referenced Tokens erfordern robuste Governance, Preisstabilitätsmechanismen und Oracle-Sicherheit. MiCA macht Emittenten persönlich verantwortlich für Stabilität, Updates und Markttransparenz. Der Beitrag zeigt Risiken, Haftung und Compliance-Strukturen.
.jpg)
