DORA für Krypto 2025: Anwalt erklärt Token-, CASP- & Outsourcing-Pflichten
Verfasst von
Max Hortmann
28 Nov 2025
•
Lesezeit:
Diesen Beitrag teilen
DORA bringt 2025 erstmals verbindliche digitale Resilienzpflichten für Krypto-Dienstleister, Plattformen und Token-Projekte. Incident-Reporting, Red-Team-Tests, IKT-Risikomanagement und strikte Kontrollmechanismen werden zum regulatorischen Mindeststandard. Dieser Aufsatz zeigt, welche Pflichten jetzt gelten und wie Projekte sie effizient umsetzen.
Über den Autor Rechtsanwalt Max Nikolas Mischa Hortmann berät CASPs, Plattformbetreiber und Emittenten zu DORA-, MiCA- und IT-Compliance-Pflichten. Er ist Vertragsautor von jurisPR-ITR und jurisAZO und bekannt aus WirtschaftsWoche+ und BR24.
Einleitung
DORA etabliert ein neues Sicherheitsfundament für den europäischen Finanz- und Kryptomarkt. Für Krypto-Dienstleister bedeutet dies: umfassende IKT-Risikoanalyse, verpflichtende Incident-Meldungen, regelmäßige technische Belastungstests und ein strenges Management externer Dienstleister. In Kombination mit MiCA entsteht ein System, das sowohl die technische als auch die regulative Stabilität eines Projekts verlangt. Wer Krypto-Dienste anbietet, muss ab 2025 nicht nur das Produkt, sondern auch die operative Infrastruktur vollumfänglich beherrschen. Transparenz, Dokumentation und technische Robustheit werden damit zur Voraussetzung für Marktteilnahme und Wachstum.
Zwischen-CTA Wenn Sie DORA-Pflichten schnell und rechtssicher implementieren möchten, entwickle ich für Ihr Projekt eine belastbare Sicherheits- und Compliance-Architektur. www.hortmannlaw.com/contact Telefon: 0160 9955 5525
Abschnitt 2 – Einleitung: Digitale Resilienz als neue Grundnorm des Krypto-Sektors
DORA etabliert für den europäischen Krypto-Sektor einen paradigmatischen Wechsel. Während MiCA das Markt- und Emittentenverhalten ordnet, verpflichtet DORA alle Anbieter dazu, digitale Resilienz als elementares Schutzgut zu sichern. Die Anforderungen richten sich nicht nur auf technische Systeme, sondern auf die gesamte operative Architektur, über die Kryptowerte gespeichert, übertragen oder gehandelt werden.
Digitale Dienstleistungen, Datenströme und technische Intermediäre sind zum integralen Bestandteil des Krypto-Ökosystems geworden. Damit verschiebt sich die normative Betrachtung: Ein Projekt erfüllt regulatorische Pflichten nicht mehr allein durch korrekte Marktinformation, sondern durch die nachweisbare Funktionsfähigkeit seiner technischen Umgebung. DORA knüpft damit an das Leitbild eines widerstandsfähigen digitalen Finanzsektors an, während MiCA den rechtlichen Rahmen für Transparenz und Marktverhalten vorgibt.
Dieser Doppelansatz verlangt von Anbietern eine Governance, die technische, datenbezogene und regulatorische Anforderungen verbindet. Resilienz wird damit nicht zu einer Zusatzpflicht, sondern zu einer tragenden Grundnorm, die alle digitalen Wertschöpfungsstufen umfasst.
Abschnitt 3 – Rechtsgrundlagen: Risikomanagement, Incident-Pflichten und technische Kontrollnormen
DORA schafft einen eigenständigen Pflichtenkatalog, der operativ-technische Anforderungen in einem normativen Rahmen bündelt. Die Verordnung definiert einen verbindlichen Maßstab für IKT-Risikomanagement, Incident-Erkennung, Meldewege, Testverfahren und Drittanbietersteuerung.
Das Risikomanagement umfasst die Identifikation, Bewertung und laufende Überwachung aller IKT-Risiken. Dieser Pflichtenkern wird durch Incident-Reporting flankiert: Störungen, die kritische Funktionen beeinträchtigen, müssen erkannt, dokumentiert und fristgerecht gemeldet werden. Die Pflicht zur Meldung verknüpft technische Vorgänge mit rechtlicher Transparenz, die für den Schutz der Markt- und Systemintegrität erforderlich ist.
Ergänzend normiert DORA technische Kontrollmechanismen: regelmäßige Tests, Belastungsanalysen, Szenarioübungen und – für bedeutendere Institute – Threat-Led Penetration Testing. Diese Prüfungen sichern nicht nur die Funktionsfähigkeit der Systeme, sondern dienen auch als Nachweis organisatorischer Steuerungsfähigkeit.
Die Regelung ist in ihrer Struktur klar: – Risikomanagement schützt Prozesse vor technischen Fehlern, – Incident-Meldungen schützen Märkte vor Informationsdefiziten, – Testpflichten schützen Systeme vor Funktionsausfällen.
Damit entsteht ein kohärentes Pflichtensystem, das technische und regulatorische Funktionsschutzanforderungen miteinander verbindet.
Saint-Tropez: holografische Visualisierung von DORA-Incident-Reporting, TLPT-Red-Teaming und CASP-Pflichten.
Digitale Finanzmärkte beruhen auf miteinander vernetzten Systemen, Datenströmen und Plattformprozessen. DORA adressiert diese Strukturen unmittelbar und verpflichtet Anbieter dazu, ihre technische Infrastruktur so auszurichten, dass Störungen frühzeitig erkannt und abgefangen werden können.
Die technische Dimension umfasst Netzwerke, Datenverarbeitung, Cloud-Dienste, Schlüsselverwaltung, Smart-Contract-Prozesse und externe APIs. DORA verlangt eine transparente, nachvollziehbare und auditfähige Steuerung dieser Elemente. Dabei folgt die Regulierung einem einheitlichen Grundsatz: Digitale Dienste sind nur dann marktverträglich, wenn sie operativ belastbar sind.
Auch ökonomische Aspekte sind betroffen. Die Abhängigkeit von Dienstleistern, Plattformen oder Softwarekomponenten beeinflusst direkt die Stabilität eines Geschäftsmodells. DORA macht diese Abhängigkeiten zum Prüfgegenstand der Aufsicht: Konzentrationsrisiken müssen erkannt, bewertet und gesteuert werden.
Die operative Belastbarkeit wird damit zum regulatorischen Prüfstein, der wirtschaftliche Tragfähigkeit, technische Integrität und organisatorische Steuerungsfähigkeit verbindet.
Abschnitt 5 – Risiken: Funktionsstörungen, Meldepflichtverletzungen und Governance-Fehlstellungen
Die Risiken aus DORA-Verstößen sind vielschichtig, da digitale Systeme nicht isoliert betrachtet werden können. Ein technischer Fehler kann zu Betriebsstörungen, fehlerhaften Transaktionen, Datenverlust oder Marktverwerfungen führen. Wird ein solcher Vorfall nicht erkannt oder nicht ordnungsgemäß gemeldet, liegt zusätzlich eine Verletzung regulatorischer Offenlegungspflichten vor.
Governance-Fehler verstärken diese Risiken. Fehlende Rollenverteilungen, unzureichende Kontrolle externer Dienstleister oder unklare Entscheidungswege führen dazu, dass Störungen verspätet erkannt oder falsch bewertet werden. Die Verordnung knüpft die Verantwortlichkeit nicht an subjektive Absichten, sondern an objektive Prozessqualität: Es genügt, dass ein System nicht ausreichend überwacht oder ein Incident nicht zeitgerecht gemeldet wurde.
Die Risiken erfassen auch den Bereich der Datenverarbeitung. Digitale Finanzprozesse sind eng mit personenbezogenen und transaktionsbezogenen Daten verknüpft. Fehlerhafte oder unzureichende Datenverarbeitung erhöht die Gefahr technischer Störungen und datenschutzrechtlicher Verstöße zugleich. Die normative Logik folgt einem einheitlichen Prinzip: Defizite in Technik und Governance erzeugen Defizite im Markt.
Abschnitt 6 – Vergleich: DORA-Pflichten für CASPs vs. klassische IT-Compliance
Der Anwendungsbereich der DORA unterscheidet sich von herkömmlichen IT- oder Datenschutzpflichten dadurch, dass technische Systeme nicht nur aus Unternehmenssicht, sondern aus Marktsicht betrachtet werden. CASPs stehen im Mittelpunkt, weil ihre Systeme den Handel, die Verwahrung und die Übertragung von Kryptowerte ermöglichen.
Während klassische IT-Compliance interne Schutzziele verfolgt, adressiert DORA externe Funktions- und Marktstabilität. Das bedeutet: – DORA prüft, ob Systeme technisch belastbar sind, – MiCA prüft, ob Informationen vollständig und zutreffend sind, – beide Verordnungen prüfen gemeinsam, ob der Markt zuverlässig funktionieren kann.
CASPs müssen daher nachweisen, dass sie über strukturierte Incident-Prozesse, technische Überwachung, Risikobewertung und Notfallpläne verfügen. Die Verordnung macht deutlich, dass technische Funktionsfähigkeit ein Marktgut ist, das dem Schutz der Gesamtsystemintegrität dient. Das unterscheidet DORA grundlegend von klassischen Compliance-Regimen, die überwiegend unternehmensintern verankert sind.
Portofino-Szene mit holografischen DORA-Pflichten: Incident-Reporting, TLPT, Red-Teaming und Drittanbieter-Risiken.
Abschnitt 7 – Use Case: Systemstörung in einer Krypto-Handelsplattform
Ein praktisches Beispiel verdeutlicht den Anwendungsbereich der DORA-Normen. Eine Handelsplattform verarbeitet Transaktionen mittels automatisierter Matching-Algorithmen und externen Preisfeeds. Ein Fehler in der Datenübertragung führt zu einer Verzerrung der Orderbuchdaten. Transaktionen werden falsch priorisiert, Kurse weichen ab, und Nutzer treffen Entscheidungen auf Grundlage fehlerhafter Informationen.
Nach DORA handelt es sich um einen meldepflichtigen Incident, da kritische Funktionen beeinträchtigt sind. Die Störung muss erkannt, klassifiziert und binnen enger Fristen an die zuständige Aufsicht gemeldet werden. Parallel muss die Plattform operative Gegenmaßnahmen einleiten, um die Funktionsfähigkeit wiederherzustellen.
Aus MiCA-Perspektive entsteht darüber hinaus ein Informationsrisiko: Nutzer erhalten ein verzerrtes oder unzutreffendes Bild der Marktsituation. Dadurch wird die Verlässlichkeit der Marktprozesse beeinträchtigt.
Der Fall zeigt die Verzahnung beider Regelungssysteme: – DORA adressiert die technische Störung, – MiCA den Informationsgehalt der Marktprozesse.
Die Gesamtsituation macht deutlich, dass digitale Funktionsfähigkeit und rechtliche Transparenz im Krypto-Sektor untrennbar miteinander verbunden sind.
Fazit
DORA setzt für Krypto-Projekte neue Standards bei Incident-Reporting, IT-Resilienz und Outsourcing. Wer die Anforderungen frühzeitig implementiert, verhindert operative Risiken und erfüllt zugleich die aufsichtsrechtlichen Erwartungen.
CTA
Wenn Sie DORA-Pflichten verstehen und effizient umsetzen möchten, entwickle ich für Ihr Projekt ein belastbares Resilienz- und Compliance-Framework. www.hortmannlaw.com/contact Telefon: 0160 9955 5525
10 Mini-FAQ
Was ist DORA?
Welche Tests sind verpflichtend?
Was ist TLPT?
Welche Vorfälle müssen gemeldet werden?
Wer gilt als kritischer IT-Dienstleister?
Welche Verträge müssen angepasst werden?
Wie bauen CASPs ein Incident-System?
Welche Rolle spielt Governance?
Welche Dokumentation ist Pflicht?
Welche Sanktionen drohen?
10 FAQ
Wie implementiert man DORA-Risikomanagement?
Welche Meldeformate verlangt Art. 18–23?
Wie funktioniert Überwachung externer Dienstleister?
Was bedeutet direkte Aufsicht?
Welche Systeme müssen getestet werden?
Wie integrieren sich TLPT-Ergebnisse?
Wie baut man Business Continuity nach DORA auf?
Welche Aufbewahrungsfristen gelten?
Welche Änderungen sind für CASPs besonders wichtig?
Wie kombiniert man DORA und MiCA?
Snippet-Einleitung vor der Linkbox
Weiterführende Artikel zu digitaler Resilienz, Token-Regulierung und Governance
Entdecken Sie weitere Beiträge zu aktuellen Themen rund um Digitalrecht, Cybercrime, Datenschutz, KI und Steuerrecht. Unsere verwandten Artikel geben Ihnen zusätzliche Einblicke und vertiefende Analysen.
KI & Zukunftsrecht
11/28/2025
November 28, 2025
Organhaftung 2025: Anwalt erklärt MiCA-, KMAG- & DORA-Pflichten für Krypto und Token
MiCA, KMAG und DORA schaffen erstmals eine umfassende persönliche Haftung für Geschäftsleiter im Krypto-Sektor. Fehler bei Whitepaper, Governance oder IT-Sicherheit führen zu individuellen Sanktionen, Bußgeldern oder Berufsverboten. Der Beitrag zeigt Pflichten und Schutzstrategien.
Asset-referenced Tokens erfordern robuste Governance, Preisstabilitätsmechanismen und Oracle-Sicherheit. MiCA macht Emittenten persönlich verantwortlich für Stabilität, Updates und Markttransparenz. Der Beitrag zeigt Risiken, Haftung und Compliance-Strukturen.
Hybrid-Token 2025: Anwalt erklärt Fehlklassifikation im Krypto-Recht
Hybrid-Token sind das größte Haftungsrisiko im Krypto-Sektor. Falsche Einordnung (Utility statt Security) führt zu Prospektpflicht, Organhaftung und Rückabwicklung. Der Beitrag zeigt die MiCA-Kriterien, Best Practices und juristische Fallstricke.
.jpg)
