Von Rechtsanwalt (ITR/Steuer/AML), jurisPR-ITR / AZO – bekannt aus BR24, WiWo+ u.a.
1. Executive Summary
Die Travel Rule für Kryptowerte wird 2025 zur verbindlichen Compliance-Achse für alle zentralisierten Kryptodienstleister (CASPs). Grundlage ist die Verordnung (EU) 2023/1113, die erstmals ein europaweit harmonisiertes Set an Absender- und Empfängerdaten vorschreibt. Oppenheimer/Grimm zeigen, dass CASPs künftig vollständige Originator- und Beneficiary-Daten übermitteln, prüfen und bei fehlenden Angaben zurückhalten müssen.
Das GwG ordnet CASPs klar als Verpflichtete ein, die Kryptowerte i.S.d. § 1 Abs. 29 GwG verwalten oder übertragen. Kaetzler betont, dass die geldwäscherechtliche Definition von „Kryptowert“ – die sich an die MiCA-Definition anlehnt – mittlerweile der zentrale Ankerpunkt für AML-Pflichten ist.
MiCA ist im AML-Kontext relevant, weil sie CASPs einer Erlaubnispflicht unterwirft: Nur lizenzierte Kryptodienstleister dürfen Kundentransfers ausführen. Dies bildet die strukturelle Grundlage für AML-Überwachung, ersetzt aber nicht die Travel Rule selbst.
Der Travel-Rule-Rahmen trifft CASPs, P2P-Marktplätze und Self-Hosted-Wallet-Interaktionen mit voller Wucht. Selbst DeFi-unabhängige Transfers benötigen künftig Risikoanalysen und Datenabgleiche, damit Kryptotransfers nicht als „unverifizierte Gelder“ klassifiziert werden.
2. Einleitung: Pseudonymität & AML-Druck im Kryptomarkt
Die AML-Problematik im Kryptobereich entsteht nicht durch völlige Anonymität, sondern durch die Kombination aus Pseudonymität, sofortiger Übertragbarkeit und fehlenden intermediären Kontrollpflichten. FATF stuft Kryptowerte seit Jahren als Hochrisikobereich ein, und Kaetzler beschreibt die Märkte als systemisch geldwäscheexponiert – ohne Safe Harbours oder Entlastungsmechanismen.
Gleichzeitig rückt die EU-Regulatorik enger zusammen:
das GwG bestimmt wer Verpflichteter ist,
EU-2023/1113 legt fest, wie Transfers nachvollziehbar sein müssen,
MiCA/FinmadiG bestimmen, wer überhaupt Kryptowerte-Dienstleistungen erbringen darf.
Damit entsteht ein AML-Dreiklang aus Verpflichtetenstellung, Datenübermittlung und operativer Erlaubnispflicht.
Oppenheimer/Grimm zeigen, dass die Travel Rule künftig in jeder Transferstufe greift – Originator-CASP, Intermediär-CASP und Empfänger-CASP. Besonders herausfordernd sind Transfers zu self-hosted Wallets: CASPs müssen diese nicht „verifizieren“, aber risikoorientiert prüfen und ggf. nachforschen.
Das AML-Risiko verschiebt sich damit 2025 von „ob jemand Kryptowährungen nutzt“ zu „wie Transfers strukturiert und dokumentiert sind“.
Darstellung zentraler MiCA- und AML-Regeln: Visualisierte Travel Rule, Wallet-Risiken und Compliance-Strukturen im Krypto-Transferrecht. Zeigt, wie EU-Regulierung, Identitätsdaten und CASP-Pflichten konkret funktionieren und welche Risiken bei Self-Hosted Wallets entstehen.
auch Transfers zu/von self-hosted Wallets lösen Risikoanalysepflichten aus.
Damit entfällt die bisherige AML-Lücke zwischen zentralisierten Plattformen und privaten Wallets nicht vollständig, aber sie wird erheblich verringert.
3.3 MiCA – Die aufsichtsrechtliche Schnittstelle
MiCA selbst enthält keine AML-Pflichten. Ihre Bedeutung entsteht dadurch, dass:
sie CASPs einer Erlaubnispflicht unterwirft,
sie organisatorische Anforderungen definiert (Kontrollen, Governance, interne Prozesse),
das FinmadiG MiCA in deutsches Recht überführt und diese Strukturen AML-fähig macht.
Dies erklärt Kaetzler ausdrücklich: MiCA schafft den Anbieterrahmen, auf dem GwG-Pflichten aufsetzen.
3.4 FinmadiG – Nationale Integration
Das Finanzmarktdigitalisierungsgesetz ordnet CASPs in bestehende AML-Strukturen ein. Es regelt:
interne Kontrollsysteme,
Risikomanagement,
Dokumentations- und Meldewege,
Zuverlässigkeitsanforderungen an CASP-Verantwortliche.
3.5 Strafverfolgungskontext (kein FIU-Fokus!)
Arconada/Rennar zeigen, dass Strafverfolgungsbehörden zunehmend Blockchain-Analysen, Clustering und internationale Koordination nutzen, um verdächtige Kryptotransfers zu verfolgen. Sie betonen, dass die technische Zugriffslogik (Wallet-Seizure) und DAC-Daten künftig ergänzend wirken.
Die technische Struktur von Kryptowerten bestimmt, wie AML-Pflichten praktisch wirken. Während klassische Finanztransaktionen durch Konten, clearing und Banken geprägt sind, laufen Kryptotransfers über Adressen, Private Keys und Protokolle. Die Travel Rule soll diese Pseudonymität erstmals in überprüfbare Datenketten übersetzen.
Kaetzler betont die hohe Geldwäscheexposition von Kryptotransfers und die fehlenden Safe Harbours für Intermediäre.
4.1 Wallet-Arten & ihre AML-Bedeutung
Custodial Wallets (durch CASP verwaltet)
CASPs müssen vollständige Absender-/Empfängerdaten übermitteln und prüfen. Oppenheimer/Grimm zeigen, dass diese Pflicht für jede Transferstufe gilt.
Bei Transfers zwischen CASP und privater Wallet schreibt die Travel Rule risikobasierte Prüfmaßnahmen vor. Identität + Herkunft müssen nachvollziehbar sein.
Für CASPs bedeutet das: – vollständige Dokumentation aller Transfers – Risikoanalyse bei ungewöhnlichen Wallet-Bewegungen – Herkunftsnachweise (Proof of Funds) – Monitoring bei Hochrisikoländern
Für Nutzer bedeutet das: – jede FIAT-Schnittstelle kann AML-Risiko erzeugen – auch bei völlig unschuldigen Privatpersonen
4.3 Die technische „Adressgleichheit“ als AML-Problem
Eine Blockchain-Adresse: – ist pseudonym – kann mehreren Personen gehören – kann durch Smart Contracts automatisiert handeln – kann Werte über Bridges verschieben – kann durch Exchanges gepoolt werden
Deshalb zwingt EU-2023/1113 CASPs, Zusatzdaten zu liefern, um die technische Adresse einer realen Person zuzuordnen.
Wenn regelmäßig Transfers zwischen Börsen, Wallets und privaten Adressen stattfinden, lohnt sich eine kurze AML-Durchsicht. Viele Konflikte entstehen nicht durch Fehlverhalten, sondern durch fehlende Dokumentation. Eine saubere Einordnung verhindert spätere Missverständnisse mit Banken oder Behörden.
5. Risiken: Travel Rule, Self-Hosted Wallets & die neue Pflichtenkette
Die größten AML-Risiken im Kryptobereich entstehen dort, wo regulatorische Anforderungen auf technische Realitäten treffen. Genau deshalb ist die Travel Rule für CASPs, Marktplätze und Nutzer so bedeutend: Sie zwingt traditionelle Identitätslogik in ein Ökosystem, das ursprünglich vollkommen pseudonym gedacht war.
Oppenheimer/Grimm zeigen deutlich, dass die Travel Rule keine symbolische Norm ist, sondern eine echte „Pflichtenkette“, die bei jedem Transfer aktiv verpflichtet:
Originator-CASP muss korrekte Absenderinformationen bereitstellen,
Intermediär-CASP muss Daten prüfen und weiterleiten,
Begünstigten-CASP muss Angaben verifizieren und bei Unvollständigkeit den Transfer zurückhalten.
Diese Kette erzeugt neue Risiken – nicht nur für CASPs, sondern auch für Privatpersonen, die Transfers aus Unkenntnis falsch strukturieren.
5.1 Risiko Self-Hosted Wallets: die AML-Grauzone
Self-Hosted Wallets sind technisch vollständig legitim, aber AML-seitig hochsensibel. Kein CASP kann Schlüsselbesitz, Identität oder Zweck sicher prüfen.
Risiken:
CASPs müssen Transfers zu/von privaten Wallets risikoorientiert prüfen, aber nicht „verifizieren“.
Unklare Herkunft („Source of Funds“) kann zur Zurückhaltung oder Meldung führen.
Nutzer ohne professionelle Dokumentation geraten schnell in AML-Auffälligkeiten.
Kaetzler betont, dass Kryptowerte wegen ihrer Übertragbarkeit als hochriskante Vermögenswerte gelten – diese Exposition ist systemisch, nicht fehlerbedingt.
Meldepflichten – Verdachtsmeldungen, wenn das fehlende Datenmaterial auf Verschleierung hinweist.
Arconada/Rennar zeigen, dass Strafverfolgungsbehörden solche Transfers häufig als Frühindikatoren für betrugsnahe oder geldwäschenahe Tätigkeiten werten – selbst wenn der Nutzer unschuldig ist.
5.3 Risiko P2P-Nutzung: „Direkttransfers“ sind nicht anonym – nur unkontrolliert
Viele Nutzer glauben, P2P-Transfers seien „privat“ oder „anonym“. Tatsächlich sind P2P-Transfers AML-seitig die problematischsten:
Keine Intermediäre → keine KYC-Daten
Keine CASP-Pflichtenkette → keine Datenvalidierung
Hohe Fehleranfälligkeit → Auffälligkeiten bei späteren FIAT-Off-Ramps
Gefahr des unbewussten Mitwirkens an einer Geldwäschekette
Arconada/Rennar betonen, dass Behörden P2P-Adressen zunehmend clustern und in Verdachtsfallanalysen einbetten – unabhängig davon, ob Täter oder Opfer involviert ist.
5.4 Risiko „fehlende Dokumentation“ – das unterschätzte Problem
Viele Privatnutzer dokumentieren Transaktionen nicht oder nur lückenhaft. Unter der Travel Rule führt das zu drei neuen Folgen:
CASPs können Transaktionen nicht korrekt zuordnen
Banken fragen zunehmend FIAT-Zuzahlungen ab
Nutzer geraten in AML-Prüfketten, obwohl sie nichts Falsches getan haben
Diese Risiken betreffen besonders:
Personen mit mehreren Wallets
Personen, die Token zwischen Börsen hin- und herschieben
Personen, die „für Freunde“ oder Bekannte Werte transferieren
das GwG regelt Prüfpflichten & Verdachtsmeldungen.
MiCA ist KEIN AML-Gesetz, aber die Erlaubnispflicht macht CASPs überhaupt erst AML-fähig.
Kaetzler beschreibt diese MiCA-→GwG-Integration ausdrücklich.
Soft CTA
Wer regelmäßig Kryptotransfers durchführt oder mehrere Wallets nutzt, sollte die eigene Struktur einmal prüfen lassen. Viele AML-Probleme entstehen nicht durch Vorsatz, sondern durch technische Missverständnisse oder fehlende Dokumentation. Eine kurze anwaltliche Einordnung schützt vor späteren Rückfragen durch Banken oder Behörden und gibt Sicherheit bei Transfers zwischen Börsen, Wallets und P2P-Adressen.
6. Vergleich: CASP vs. Zahlungsdienstleister – zwei Welten, ein Risiko
Die Travel Rule übernimmt ursprünglich ein Konzept aus dem Zahlungsdiensterecht (PSD2 / klassische Banken), überträgt es aber auf Kryptodienstleister, deren technische Arbeitsweise völlig anders funktioniert. Wer die Unterschiede zwischen CASPs (Crypto-Asset Service Providers) und Zahlungsdienstleistern nicht versteht, übersieht die zentralen AML-Risiken des Jahres 2025.
Während Banken Konten führen, Kundendaten besitzen und SEPA-Zahlungen über zentralisierte Systeme abwickeln, verwalten CASPs Kryptowerte, die nach § 1 Abs. 29 GwG als digitale Vermögenswerte gelten und nicht kontobasiert, sondern schlüsselbasiert kontrolliert werden. Kaetzler zeichnet nach, dass Kryptowerte im AML-Sinne primär durch ihre Übertragbarkeit und wirtschaftliche Nutzbarkeit definiert werden – nicht durch ihre Einbindung in ein zentrales System.
Folgen:
Ein Zahlungsdienstleister weiß immer, wem ein Konto gehört.
Ein CASP weiß nicht automatisch, wem eine Blockchain-Adresse gehört.
Bei Banken ist jeder Zahlungspfad zentral sichtbar.
Bei CASPs ist der Zahlungspfad technisch offen, global, ketten- und adressbasiert.
Banken können Vorgänge stoppen – CASPs oft nur mit Verzögerung, weil On-Chain-Transfers final sind.
Oppenheimer/Grimm betonen, dass die Travel Rule deshalb für CASPs deutlich komplexer ist als für traditionelle Zahlungsdienstleister. Banken übermitteln Daten über gut definierte Felder (IBAN, BIC); CASPs müssen diese Logik auf Adressen und Schlüsselpaare übertragen und zugleich sicherstellen, dass alle Transferstufen korrekt mitziehen.
6.1 CASP: Erlaubnispflicht & MiCA-Struktur
MiCA macht CASPs zu erlaubnispflichtigen Dienstleistern. Während Zahlungsdienstleister schon lange einem Lizenzsystem unterliegen, setzt MiCA für Kryptodienstleister erstmals:
Governance-Pflichten
Zuverlässigkeitsanforderungen
organisatorische Mindeststandards
interne Kontrollsysteme
Compliance-Verantwortlichkeiten
Diese Elemente sind AML-relevant, aber MiCA schafft selbst keine AML-Pflichten. Sie liefert nur das Gerüst, auf dem das GwG aufsetzt.
haben keine Tools wie „Kontosperre“, nur „Withdrawal Hold“
tragen höhere Haftungs- & Bußgeldrisiken
stehen zwischen Blockchain-Transparenz und realer Identitätsprüfung
Zahlungsdienstleister dagegen:
prüfen Transaktionen innerhalb zentraler Systeme
haben viel klarere Daten
müssen keine Adressen analysieren
kennen immer die Person hinter der Zahlung
Kaetzler zeigt, dass FATF-Standards daher für CASPs strenger greifen müssen, da das technische Risiko im Kryptobereich systemisch ist.
6.4 Risiken für Nutzer – warum der Unterschied entscheidend ist
Für Privatnutzer bedeutet dieser Unterschied:
Eine Bank erkennt Sie sofort. Ein CASP nicht.
Bei einer Banktransaktion ist Ihr Name Teil der Zahlung. Bei einem Krypto-Transfer nicht.
Banken lösen AML-Fragen über Kontoabfragen. CASPs über Wallet-Zuweisungen, Proof-of-Funds, Blockchain-Analyse und Travel-Rule-Daten.
Ein Fehler bei CASP-Transfers wirkt schwerer: – Zahlung blockiert – Herkunftsnachweise notwendig – Risiko einer Meldung – Risiko von Konto- oder Withdrawal-Sperre
Wenn Sie zwischen zentralen Börsen, privaten Wallets und Bankkonten wechseln, lohnt sich eine kurze AML-Strukturprüfung. CASPs müssen 2025 deutlich mehr dokumentieren als klassische Zahlungsdienstleister. Eine kleine Unstimmigkeit im Datenfluss reicht, damit ein ansonsten harmloser Transfer als ungewöhnlich oder risikoträchtig eingestuft wird.
7. Use Case: P2P-Marktplatz mit CASP-Transfers und Self-Hosted Wallets
Ein P2P-Marktplatz, auf dem Nutzer untereinander Kryptowerte kaufen oder verkaufen, scheint auf den ersten Blick wie ein privates Geschäft. AML-rechtlich ist die Lage jedoch deutlich komplexer. Sobald auch nur ein Teil des Transaktionsflusses über einen zentralisierten Dienstleister läuft, greift die volle Travel-Rule-Pflichtenkette.
Typisches Szenario: Ein Nutzer kauft auf einem P2P-Marktplatz Ether oder Bitcoin. Die Zahlung erfolgt per SEPA oder PayPal, die Lieferung jedoch über eine Exchange-Adresse des Verkäufers. Zwischen Käufer-Wallet und Exchange liegen:
ein Originator-CASP (z. B. Börse, App, Broker),
ein Intermediär-CASP,
ggf. ein Empfänger-CASP,
und möglicherweise ein Self-Hosted Wallet als Übergangsstation.
Nach der EU-Verordnung 2023/1113 sind damit bei jedem Transfer mehrere Verpflichtete in die Travel-Rule-Pflichten eingebunden. Oppenheimer/Grimm betonen, dass alle Beteiligten vollständige Absender- und Empfängerdaten übermitteln und prüfen müssen — andernfalls muss der Empfänger-CASP die Transaktion zurückhalten.
Warum das problematisch ist:
Der Marktplatz selbst ist oft kein CASP, sondern nur Vermittler.
Die Nutzer verwenden häufig Self-Hosted Wallets, die keiner KYC-Pflicht unterliegen.
Der Verkäufer kann Adressen angeben, die nicht ihm gehören.
Der Käufer kann Assets weiterleiten, ohne dokumentierte Herkunft.
Damit entsteht ein AML-Risiko, weil zwar ein Trade stattfindet, aber die Identitätskette bricht. Arconada/Rennar zeigen, dass genau diese Brüche Anlass für Strafverfolgungsbehörden sind, Transfers als auffällig einzustufen.
Darstellung zentraler MiCA- und AML-Regeln: Visualisierte Travel Rule, Wallet-Risiken und Compliance-Strukturen im Krypto-Transferrecht. Zeigt, wie EU-Regulierung, Identitätsdaten und CASP-Pflichten konkret funktionieren und welche Risiken bei Self-Hosted Wallets entstehen.
Fazit: Travel Rule 2025 – mehr Klarheit, mehr Kontrolle, mehr Risiken
Die Travel Rule 2025 ist kein technisches Detail, sondern eine grundlegende Verschiebung des Kryptomarkts in Richtung voller AML-Rückverfolgbarkeit. CASPs stehen erstmals in einer Pflichtenkette, die der Finanzbranche ähnelt, aber auf völlig unterschiedlichen technologischen Grundlagen beruht.
Das GwG definiert, wer Verpflichteter ist.
Die EU-Verordnung 2023/1113 definiert, welche Daten für Transfers erforderlich sind.
MiCA definiert, wer überhaupt Krypto-Dienstleistungen erbringen darf.
FinmadiG integriert diese Aufsichtslogik ins deutsche Recht.
Kaetzler weist darauf hin, dass Kryptowerte aufgrund ihrer Übertragbarkeit besonders geldwäscheexponiert sind. Self-Hosted Wallets bleiben der sensibelste Punkt: technisch legitim, AML-seitig schwierig.
Oppenheimer/Grimm verdeutlichen, dass jeder Transfer zwischen zwei Adressen eine Pflichtenspirale auslösen kann — und dass Versäumnisse nicht nur CASPs treffen, sondern auch Privatnutzer in unnötige Risikoanalysen und Rückfragen verwickeln.
Arconada/Rennar zeigen schließlich, dass Strafverfolgungsbehörden zunehmend Krypto-Analysen, Clustering und Datenabgleiche nutzen. Fehler in der Datenkette können den Verdacht wecken, obwohl keine Absicht vorliegt.
Travel Rule 2025 bedeutet: Kryptotransaktionen müssen nicht nur technisch, sondern auch dokumentarisch sauber sein.
Soft CTA
Wenn Sie regelmäßig Kryptotransfers zwischen Börsen, Wallets und P2P-Marktplätzen durchführen, lohnt sich eine kurze AML-Prüfung. Kleine Fehler wie unklare Wallet-Zuweisungen, fehlende Herkunftsnachweise oder Transfers über Self-Hosted Wallets können zu Rückfragen, Sperren oder Verzögerungen führen. Eine präzise Einordnung schützt vor Missverständnissen — sowohl bei Banken als auch bei Krypto-Dienstleistern.
Entdecken Sie weitere Beiträge zu aktuellen Themen rund um Digitalrecht, Cybercrime, Datenschutz, KI und Steuerrecht. Unsere verwandten Artikel geben Ihnen zusätzliche Einblicke und vertiefende Analysen.
KI & Zukunftsrecht
11/28/2025
November 28, 2025
DORA für Krypto 2025: Anwalt erklärt Token-, CASP- & Outsourcing-Pflichten
DORA verlangt von Krypto-Anbietern einheitliche Incident-Meldungen, Red-Team-Tests, IKT-Risikomanagement und strenge Cloud-Governance. Der Beitrag zeigt, welche Pflichten für Token-Emittenten, CASPs und Plattformbetreiber 2025 verbindlich werden.
Organhaftung 2025: Anwalt erklärt MiCA-, KMAG- & DORA-Pflichten für Krypto und Token
MiCA, KMAG und DORA schaffen erstmals eine umfassende persönliche Haftung für Geschäftsleiter im Krypto-Sektor. Fehler bei Whitepaper, Governance oder IT-Sicherheit führen zu individuellen Sanktionen, Bußgeldern oder Berufsverboten. Der Beitrag zeigt Pflichten und Schutzstrategien.
Asset-referenced Tokens erfordern robuste Governance, Preisstabilitätsmechanismen und Oracle-Sicherheit. MiCA macht Emittenten persönlich verantwortlich für Stabilität, Updates und Markttransparenz. Der Beitrag zeigt Risiken, Haftung und Compliance-Strukturen.
.jpg)
