TFR Art. 14(5): Self-hosted Wallets unter der Krypto-Travel-Rule verifizieren

Die Krypto-Travel-Rule der Geldtransfer-Verordnung — Verordnung (EU) 2023/1113 (TFR) — kennt rund um die Zahl 1.000 EUR zwei völlig verschiedene Regeln, die in der Praxis fast immer durcheinandergeraten. Wer sie vermengt, baut entweder zu wenig oder das Falsche ^[1].

Erstens: Für die Übermittlung der Travel-Rule-Daten (Name, Wallet-Adresse, Kennung von Auftraggeber und Begünstigtem) gibt es bei Krypto-Transfers keine Bagatellgrenze. Erwägungsgrund 30 der Verordnung stellt ausdrücklich klar, dass Krypto-Transfers denselben Anforderungen unterliegen, „unabhängig von ihrem Betrag”. Die vielzitierte 1.000-EUR-Vereinfachung in Art. 5–6 gilt nur für klassische Geldtransfers, nicht für Krypto ^[1].

Zweitens: Bei Transfers an oder von einer Self-hosted-Adresse über 1.000 EUR verlangt Art. 14(5) (bzw. Art. 16(2) auf der Empfängerseite) eine zusätzliche Pflicht — die Verifikation der Wallet-Inhaberschaft. Diese 1.000-EUR-Schwelle entscheidet also nicht, ob Travel-Rule-Daten zu senden sind (das gilt ab dem ersten Cent), sondern ob der Dienstleister zusätzlich prüfen muss, wem die unverwahrte Adresse gehört ^[1].

Der Wortlaut ist knapp: Bei einem Transfer von mehr als 1.000 EUR an eine Self-hosted-Adresse muss der Krypto-Asset-Dienstleister (CASP) des Auftraggebers „angemessene Maßnahmen” ergreifen, um zu beurteilen, ob diese Adresse vom Auftraggeber selbst gehalten oder kontrolliert wird. Art. 16(2) spiegelt die Pflicht für den Empfänger-CASP, wenn dieser über 1.000 EUR von einer Self-hosted-Adresse empfängt ^[1].

Wichtig ist, was die Norm nicht sagt: Sie verbietet Transfers an Self-hosted Wallets nicht, und sie verlangt keine Verifikation fremder Wallets. Geprüft wird nur, ob die Gegen-Adresse dem eigenen Kunden gehört. Gehört sie einem Dritten, greifen stattdessen die allgemeinen Sorgfalts- und Risikobewertungs­pflichten.

Der häufigste Umsetzungsfehler: Man lässt den Kunden in einem Feld ankreuzen „Diese Adresse gehört mir” und hakt die Pflicht ab. Die EBA-Travel-Rule-Leitlinien (EBA/GL/2024/11), anwendbar seit dem 30. Dezember 2024, stellen jedoch klar, dass eine bloße Selbsterklärung des Kunden allein die Anforderung an „angemessene Maßnahmen” nicht erfüllt — es sind zusätzliche, nachprüfbare Nachweise zu erbringen ^[2][3].

Die Leitlinien schreiben keine einzelne Technik vor; sie verlangen einen risikobasierten Nachweis, der proportional zum Risiko des Kunden und der Transaktion ist. Genau hier liegt die eigentliche Projektarbeit: ein dokumentiertes Verfahren, das je nach Risiko eine schwächere oder stärkere Verifikation auslöst — und das in der Aufsichts­prüfung Bestand hat.

Die Industrie hat sich auf einige Verfahren eingependelt, die über die Selbstauskunft hinausgehen. Kryptographischer Nachweis (Signatur-Test): Der Kunde signiert eine vom CASP vorgegebene Nachricht mit dem privaten Schlüssel der Adresse; die gültige Signatur beweist Kontrolle über die Adresse. Micro-Transaction (Satoshi-Test): Der Kunde sendet einen vom CASP bestimmten Kleinstbetrag von der zu verifizierenden Adresse, was ebenfalls Kontrolle nachweist. Beide sind stärkere Nachweise als eine reine Erklärung.

Welche Methode genügt, ist eine Risiko-Entscheidung: Für niedrigriskante Kunden mag ein Verfahren ausreichen, für höherriskante kombiniert man mehrere und dokumentiert die Begründung. Entscheidend für die Prüfbarkeit ist nicht die Wahl der Technik, sondern dass das Verfahren definiert, angewandt und im Audit-Trail nachvollziehbar ist.

Neben der Self-hosted-Frage verlangen die Leitlinien risikobasierte Verfahren, um fehlende oder unvollständige Auftraggeber-/Begünstigten-Daten zu erkennen. Bei einem Mangel entscheidet der CASP risikobasiert, ob er den Transfer ausführt, zurückweist, zurücksendet oder aussetzt — es gibt keine automatische Ablehnungspflicht, aber die Entscheidung und ihre Begründung sind zu dokumentieren ^[3].

Erschwerend kommt das Sunrise-Problem hinzu: Solange Travel-Rule-Regime weltweit zu unterschiedlichen Zeitpunkten in Kraft treten, handeln EU-CASPs mit ausländischen Dienstleistern, die noch nicht (oder technisch nicht) Travel-Rule-fähig sind. Der Datenaustausch bricht, und das Sanktions-Screening läuft ohne Gegenpartei-Daten ins Leere. Wiederholt säumige Gegenpartei-CASPs sind ein eigener Risiko- und ggf. Melde-Tatbestand.

Operativ zerfällt Art. 14(5) in drei Bausteine: ein Schwellenwert-Trigger (über 1.000 EUR an/von Self-hosted), ein Verifikations-Verfahren (stärker als Selbstauskunft, risikobasiert gestuft) und ein Audit-Trail, der Trigger, gewählte Methode und Ergebnis festhält. Genau diese drei Punkte testet eine Aufsichts­prüfung.

Und weil die TFR nicht allein steht — sie verzahnt mit MiCA, mit der neuen AMLR (Verordnung (EU) 2024/1624) und mit dem Sanktions-Screening —, landet jede neue EBA-Klarstellung oder nationale Aufsichts­position potenziell in mehreren Workflows zugleich. Wer Art. 14(5) sauber umsetzt, aber die Folge-Q&As nicht verfolgt, ist in zwölf Monaten wieder im Rückstand. Genau dafür existiert Horizon Scanning: Änderungen an Quelle erkennen, klassifizieren und an das Team routen, das sie umsetzt.