HomeDie Crypto Travel Rule 2026: Neue Pflichten für VASPs in der EU und was bei Verstößen droht
Seit dem 30. Dezember 2024 gilt in der gesamten Europäischen Union die Verordnung (EU) 2023/1113 über die Angaben bei Transfers von Krypto-Werten – die sogenannte Crypto Travel Rule. Jeder Krypto-Dienstleister (CASP) in der EU ist ab diesem Zeitpunkt verpflichtet, vollständige Absender- und Empfängerdaten bei jeder Transaktion zu erfassen und zu übermitteln, unabhängig vom Betrag. Die Umsetzung betrifft nicht nur zentrale Handelsplattformen, sondern auch Wallet-Anbieter, Custody-Services und Staking-Dienstleister. Verstöße gegen diese Pflichten führen zu erheblichen Sanktionen: Administrative Geldbußen von bis zu 6 % des weltweiten Jahresumsatzes oder 10 Millionen Euro sind möglich, ergänzt durch den Entzug von Lizenzen und mögliche strafrechtliche Konsequenzen.
Was ist die Travel Rule und warum gilt sie seit Ende 2024 in der EU?
Die Travel Rule ist eine internationale Empfehlung der Financial Action Task Force (FATF), genauer Recommendation 16, die seit 2019 weltweit den Standard für Transparenz bei Finanztransfers setzt. In der EU wurde diese Empfehlung durch die Verordnung (EU) 2023/1113 in verbindliches Recht umgesetzt. Diese Verordnung ist am 9. Juni 2023 im Amtsblatt der EU veröffentlicht worden und trat 20 Tage später in Kraft. Die praktische Anwendung für Krypto-Dienstleister begann am 30. Dezember 2024.
Der Zweck ist klar: Krypto-Assets sollen den gleichen Anti-Geldwäsche-Standards unterliegen wie traditionelle Finanztransfers. Vor der Travel Rule war es für Aufsichtsbehörden nahezu unmöglich, die Herkunft und das Ziel von Kryptowährungen nachzuvollziehen. Mit der Umsetzung der Verordnung müssen nun Absender- und Empfängerdaten bei jedem Transfer übermittelt werden – genau wie bei klassischen Banküberweisungen.
Die rechtliche Grundlage findet sich in den Artikeln 14 bis 17 der Verordnung (EU) 2023/1113. Artikel 14 legt fest, dass CASPs bei jedem Transfer von Krypto-Werten die Informationen des Auftraggebers und des Begünstigten zusammen mit dem Transfer übermitteln oder bereitstellen müssen. Artikel 15 regelt die Pflichten des empfangenden CASP, während Artikel 16 spezielle Anforderungen für Transfers zu und von selbstverwalteten Wallets festlegt. Artikel 17 definiert die Mindestaufbewahrungs- und Verfügbarkeitsanforderungen für diese Daten.
Die Crypto Travel Rule 2026
Unser Team ist auf Fälle mit internationalem Bezug spezialisiert. Wir prüfen einschlägige Verträge, bewerten Risiken und erstellen einen Aktionsplan.
Anwalt kontaktieren →Welche Schwellenwerte und Transaktionstypen unterliegen der Travel Rule?
Die europäische Auslegung der Travel Rule kennt keine Bagatellgrenze: Jede Transaktion, unabhängig vom Betrag, unterliegt der Informationspflicht. Diese Regelung ist strenger als die ursprüngliche FATF-Empfehlung, die eine Schwelle von 1.000 USD vorsah. In der EU gilt nach Artikel 14 Absatz 1 der Verordnung (EU) 2023/1113 die Pflicht zur Datenübermittlung ausnahmslos.
Das betrifft alle Transaktionen zwischen CASPs, also zwischen Krypto-Börsen, Wallet-Anbietern, Custody-Dienstleistern und Payment-Anbietern. Besonders relevant ist Artikel 14 Absatz 2 der Verordnung: Er verpflichtet CASPs auch dann zur Datenerfassung, wenn ein Transfer zu oder von einer selbstverwalteten Wallet (unhosted wallet) durchgeführt wird. In diesem Fall muss der CASP die Identität des Wallet-Inhabers feststellen und dokumentieren, sofern der Transfer 1.000 Euro oder mehr beträgt.
Ausnahmen gibt es nur in eng definierten Fällen: Transfers zwischen verschiedenen Wallets desselben Kunden beim gleichen CASP gelten nicht als externe Transaktion und unterliegen daher nicht der Übermittlungspflicht. Alle anderen Transfers – einschließlich Transaktionen zwischen dezentralen Finanzprotokollen (DeFi), wenn ein CASP beteiligt ist – fallen unter die Verordnung.
Die praktische Folge: Ein CASP in Deutschland muss bei einem 50-Euro-Transfer an einen französischen CASP dieselben Absender- und Empfängerdaten übermitteln wie bei einer 50.000-Euro-Transaktion. Das erhöht den operativen Aufwand erheblich und verlangt nach automatisierten Lösungen.
Welche Daten müssen VASPs bei jedem Transfer austauschen?
Artikel 14 Absatz 3 der Verordnung (EU) 2023/1113 legt die Mindestinformationen fest, die der überweisende CASP bereitstellen muss. Für den Auftraggeber (Originator) müssen folgende Daten übermittelt werden:
- Vollständiger Name (bei natürlichen Personen: Vor- und Nachname; bei juristischen Personen: Firmenbezeichnung)
- Die Wallet-Adresse des Auftraggebers (technische Blockchain-Adresse)
- Die Adresse des Auftraggebers (Wohnsitz oder Geschäftssitz)
- Geburtsdatum und Geburtsort (bei natürlichen Personen)
- Die Registernummer oder Steuernummer (bei juristischen Personen)
Für den Begünstigten (Beneficiary) gilt eine vergleichbare Regelung nach Artikel 14 Absatz 4: Der vollständige Name und die Wallet-Adresse sind Pflicht. Die weiteren Daten (Adresse, Geburtsdatum) sind erforderlich, sofern sie für den empfangenden CASP beschaffbar sind.
Eine besondere Herausforderung stellt die Übermittlung strukturierter Daten dar. Die Verordnung fordert zwar keine spezifische technische Norm, doch die meisten CASPs verwenden Formate auf Basis des ISO 20022-Nachrichtenstandards oder proprietäre strukturierte JSON-basierte Protokolle wie IVMS101 (InterVASP Messaging Standard). Diese Standards ermöglichen die maschinenlesbare Übertragung von Daten über unterschiedliche Blockchain-Netzwerke hinweg.
Wichtig: Die Daten müssen vor oder gleichzeitig mit der Ausführung des Transfers übermittelt werden. Eine nachträgliche Übermittlung ist nicht konform. Das stellt hohe Anforderungen an die technische Integration zwischen CASPs.
Welche VASPs sind verpflichtet und wer muss die Regeln einhalten?
Der Begriff CASP (Crypto-Asset Service Provider) ist in der Verordnung (EU) 2023/1114 (MiCA) definiert. Artikel 3 Absatz 1 Nummer 15 MiCA nennt zehn Dienstleistungskategorien, die unter die CASP-Lizenzierung fallen. Dazu gehören:
- Verwahrung und Verwaltung von Krypto-Werten im Namen von Kunden (Custody)
- Betrieb einer Handelsplattform für Krypto-Werte (Exchange)
- Tausch von Krypto-Werten gegen Fiat-Währung oder andere Krypto-Werte (Swap-Services)
- Ausführung von Aufträgen über Krypto-Werte im Namen von Kunden (Execution)
- Platzierung von Krypto-Werten (Placement)
- Annahme und Übermittlung von Aufträgen über Krypto-Werte (Order Reception & Transmission)
- Beratung zu Krypto-Werten (Advisory)
Alle diese Anbieter, sofern sie in der EU ansässig sind oder EU-Kunden bedienen, müssen die Travel Rule ab dem 30. Dezember 2024 einhalten. Das gilt auch für Dienstleister aus Drittländern: Wenn sie Transaktionen für EU-Kunden abwickeln, greift die Verordnung unmittelbar.
Eine besondere Herausforderung entsteht beim sogenannten Sunrise-Problem: Wenn ein EU-CASP mit einem Dienstleister in einem Land ohne Travel-Rule-Verpflichtung kommunizieren muss, bleibt der EU-CASP dennoch verpflichtet, die Daten zu erfassen und bereitzustellen. Die Verordnung verbietet es CASPs, Transaktionen nur deshalb abzulehnen, weil der Empfänger-CASP nicht konform ist – allerdings muss der EU-CASP dann eine verstärkte Sorgfaltsprüfung durchführen und dies dokumentieren.
Dezentralisierte Finanzplattformen (DeFi-Protokolle) fallen nur dann unter die Verordnung, wenn sie einen identifizierbaren Betreiber haben, der als CASP einzustufen ist. Reine Smart Contracts ohne zentrale Kontrollinstanz sind derzeit nicht erfasst, doch die Rechtsprechung und Regulierungspraxis entwickeln sich hier dynamisch weiter.
Welche Strafen und Bußgelder drohen bei Verstößen gegen die Travel Rule?
Artikel 58 der Verordnung (EU) 2023/1113 verpflichtet alle Mitgliedstaaten, wirksame, verhältnismäßige und abschreckende Sanktionen für Verstöße gegen die Travel Rule festzulegen. Die Verordnung selbst ist direkt anwendbar, das heißt CASPs müssen die Vorschriften unmittelbar umsetzen. Die nationalen Behörden sind für die Überwachung und Durchsetzung verantwortlich.
In Deutschland ist die BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht) zuständig. Sie kann administrative Geldbußen nach dem Geldwäschegesetz (GwG) verhängen. Die Höchstgrenzen für Bußgelder bei Verstößen gegen MiCA und die Travel Rule sind in Artikel 76 und 77 der Verordnung (EU) 2023/1114 festgelegt:
- Leichte Verstöße: Bis zu 2 % des weltweiten Jahresumsatzes des Unternehmens
- Mittelschwere Verstöße: Bis zu 4 % des weltweiten Jahresumsatzes
- Schwerwiegende Verstöße: Bis zu 6 % des weltweiten Jahresumsatzes oder 10 Millionen Euro, je nachdem welcher Betrag höher ist
Ein Präzedenzfall liegt bereits vor: Im Jahr 2025 verhängte die irische Zentralbank gegen Coinbase Europe ein Bußgeld von 21,5 Millionen Euro wegen Verstößen gegen Geldwäschevorschriften. Obwohl dieser Fall nicht direkt die Travel Rule betraf, zeigt er die Entschlossenheit der Aufsichtsbehörden, Compliance-Mängel im Krypto-Sektor hart zu sanktionieren.
Neben Geldbußen drohen weitere Maßnahmen:
- Entzug oder Aussetzung der CASP-Lizenz
- Öffentliche Bekanntmachung des Verstoßes (Reputationsschaden)
- Untersagung von Geschäftstätigkeiten in der EU
- Strafrechtliche Haftung der Geschäftsführung bei vorsätzlichen oder grob fahrlässigen Verstößen
- Schadensersatzforderungen von Geschäftspartnern, wenn Transaktionen blockiert oder verzögert werden
Besonders riskant ist die fehlende Übermittlung von Daten bei Transaktionen mit selbstverwalteten Wallets. Artikel 14 Absatz 2 der Verordnung (EU) 2023/1113 verlangt hier eine zusätzliche Sorgfaltsprüfung. Wer diese Prüfung unterlässt, riskiert neben Bußgeldern auch den Vorwurf der fahrlässigen Geldwäsche.
Wie können VASPs die Compliance technisch und organisatorisch umsetzen?
Die praktische Implementierung der Travel Rule erfordert eine Kombination aus technischer Infrastruktur, Prozessanpassungen und rechtlicher Dokumentation. Der erste Schritt ist die Integration einer Travel-Rule-Compliance-Plattform. Zu den führenden Anbietern gehören TRM Labs, Chainalysis, Notabene, Sygnum und CipherTrace. Diese Plattformen bieten API-Schnittstellen, die direkt in die Transaktionssysteme der CASPs integriert werden können.
Der Implementierungsprozess umfasst typischerweise folgende Schritte:
1. Datenerfassung bei Transaktionsinitiation: Bei jedem Auftrag muss der CASP die vollständigen Kundendaten aus dem KYC-System abrufen und strukturiert bereitstellen. Das erfordert eine Verknüpfung zwischen Wallet-Adressen und Kundenidentitäten in Echtzeit.
2. Automatisierte Validierung von Wallet-Adressen: Bevor ein Transfer ausgeführt wird, muss der CASP prüfen, ob die Empfänger-Wallet einem anderen CASP oder einer selbstverwalteten Wallet gehört. Hierzu werden Blockchain-Analyse-Tools und VASP-Directories verwendet (zum Beispiel das OpenVASP-Protokoll oder die TRISA-Initiative).
3. Verschlüsselte Datenübermittlung: Die Absender- und Empfängerdaten müssen vor der Transaktion übermittelt werden, idealerweise über eine sichere, verschlüsselte Verbindung. Viele CASPs nutzen TLS 1.3 oder End-to-End-verschlüsselte Messaging-Protokolle wie das InterVASP Messaging Standard (IVMS101).
4. Aufzeichnung und Archivierung: Nach Artikel 17 der Verordnung (EU) 2023/1113 müssen alle Transferdaten mindestens fünf Jahre lang gespeichert werden. Die Daten müssen auf Anfrage der zuständigen Behörden innerhalb angemessener Fristen bereitgestellt werden können.
5. Screening gegen Sanktionslisten: Parallel zur Travel Rule müssen CASPs jede Transaktion gegen EU-Sanktionslisten, OFAC-Listen und nationale Watchlists prüfen. Das geschieht in der Regel automatisiert über Screening-Software, die in Echtzeit abgleicht.
6. Schulung und interne Compliance-Strukturen: Alle Mitarbeiter, die mit Transaktionsabwicklung zu tun haben, müssen geschult werden. Die Compliance-Abteilung muss klare Verfahren für den Umgang mit abgelehnten Transaktionen, Datenanfragen und Verdachtsmeldungen nach Artikel 33 der Verordnung (EU) 2023/1113 entwickeln.
Die größte technische Herausforderung liegt in der Interoperabilität: Nicht alle CASPs verwenden dieselben technischen Standards. Das führt zu sogenannten Interoperabilitätslücken. Internationale Initiativen wie TRISA (Travel Rule Information Sharing Architecture) und OpenVASP arbeiten an gemeinsamen Protokollen, doch Stand 2026 gibt es noch keine einheitliche globale Lösung.
Für kleinere CASPs kann die Implementierung kostenintensiv sein. Compliance-Plattformen kosten je nach Transaktionsvolumen zwischen 5.000 und 50.000 Euro pro Jahr. Hinzu kommen interne Personalkosten für Compliance-Officer und IT-Entwicklung.
Was gilt bei Transfers zu und von selbstverwalteten Wallets (Unhosted Wallets)?
Artikel 14 Absatz 2 der Verordnung (EU) 2023/1113 regelt die besondere Situation von Transaktionen zu oder von selbstverwalteten Wallets (unhosted wallets, auch non-custodial wallets genannt). Diese Wallets werden direkt von Privatpersonen kontrolliert, ohne dass ein CASP als Intermediär fungiert.
Wenn ein CASP einen Transfer zu einer selbstverwalteten Wallet durchführt, muss er ab einem Betrag von 1.000 Euro oder mehr die Identität des Wallet-Inhabers feststellen und dokumentieren. Das bedeutet: Der Kunde muss nachweisen, dass er der Eigentümer der Ziel-Wallet ist. In der Praxis geschieht das oft durch eine Signaturprüfung (der Kunde signiert eine Nachricht mit dem privaten Schlüssel der Wallet) oder durch eine Testtransaktion.
Liegt der Betrag unter 1.000 Euro, entfällt die Identifizierungspflicht nicht vollständig. Der CASP muss weiterhin die Wallet-Adresse erfassen und aufbewahren. Bei Verdacht auf Geldwäsche oder Terrorismusfinanzierung bleibt die Pflicht zur verstärkten Sorgfaltsprüfung bestehen, unabhängig vom Betrag.
Besonders problematisch ist die Situation, wenn ein CASP einen Eingang von einer selbstverwalteten Wallet erhält. In diesem Fall kann der empfangende CASP die Herkunft der Mittel schwer nachvollziehen. Die Verordnung verlangt hier eine Risikobewertung: Der CASP muss prüfen, ob Anhaltspunkte für illegale Aktivitäten vorliegen. Tools zur Blockchain-Analyse (Chain Analysis, Elliptic, TRM Labs) helfen dabei, verdächtige Muster zu erkennen.
Einige EU-Mitgliedstaaten diskutieren schärfere nationale Regelungen, die Transaktionen zu selbstverwalteten Wallets generell erschweren oder an zusätzliche Bedingungen knüpfen. Stand 2026 gibt es jedoch keine einheitliche EU-weite Regelung, die Transfers zu Unhosted Wallets verbietet.
Welche grenzüberschreitenden Herausforderungen entstehen durch unterschiedliche Regulierungsstandards?
Die Travel Rule ist kein weltweit einheitliches Regelwerk. Die FATF-Empfehlung 16 wurde von verschiedenen Jurisdiktionen unterschiedlich umgesetzt. In den USA gilt die Travel Rule für Transaktionen ab 3.000 USD (bei Nicht-Kunden) beziehungsweise 1.000 USD (bei Kunden), durchgesetzt durch FinCEN. In Singapur gilt die Regel ab 1.000 SGD, in der Schweiz ab 1.000 CHF. Japan hat eine eigene Auslegung mit strikten Pflichten für alle VASPs.
Das führt zu einem sogenannten Sunrise-Problem: Ein CASP in der EU muss Daten übermitteln, doch der Empfänger-CASP in einem Drittland ist möglicherweise nicht verpflichtet oder technisch nicht in der Lage, die Daten zu empfangen oder weiterzuleiten. Die Verordnung (EU) 2023/1113 löst dieses Problem durch eine klare Vorgabe: Der EU-CASP bleibt verpflichtet, die Daten zu erfassen und bereitzustellen, auch wenn der Empfänger nicht antwortet. Er muss dokumentieren, dass er seiner Pflicht nachgekommen ist.
Ein weiteres Problem entsteht bei der Interoperabilität technischer Protokolle. Die EU-Verordnung schreibt kein bestimmtes technisches Format vor, doch in der Praxis konkurrieren mehrere Standards:
- IVMS101 (InterVASP Messaging Standard 101): Ein JSON-basiertes Format, entwickelt von der Joint Working Group on interVASP Messaging Standards
- OpenVASP: Ein dezentrales Protokoll auf Basis von Ethereum-Smart-Contracts
- TRISA (Travel Rule Information Sharing Architecture): Ein von der Crypto Travel Rule Working Group entwickeltes Peer-to-Peer-Protokoll
- TRP (Travel Rule Protocol): Ein proprietäres Protokoll einiger großer Exchanges
Diese Fragmentierung erschwert die grenzüberschreitende Zusammenarbeit. CASPs müssen oft mehrere Protokolle gleichzeitig unterstützen oder auf Gateway-Services zurückgreifen, die Übersetzungen zwischen den Formaten ermöglichen.
Politisch bleibt umstritten, wie die Travel Rule mit dem Grundrecht auf Datenschutz vereinbar ist. Kritiker verweisen auf die Datenschutz-Grundverordnung (DSGVO, Verordnung EU 2016/679), die eine Rechtsgrundlage für jede Datenverarbeitung verlangt. Die EU-Kommission argumentiert, dass die Bekämpfung von Geldwäsche und Terrorismusfinanzierung eine ausreichende Rechtsgrundlage nach Artikel 6 Absatz 1 Buchstabe c DSGVO darstellt (rechtliche Verpflichtung). Dennoch könnten künftige Gerichtsverfahren vor dem Europäischen Gerichtshof die Balance zwischen Transparenz und Datenschutz neu justieren.
FAQ
Was ändert sich mit der Krypto-Steuer 2026?
Die Frage zielt vermutlich auf die Crypto Travel Rule ab, nicht auf steuerliche Änderungen. Ab dem 30. Dezember 2024 gilt die Verordnung (EU) 2023/1113, die Krypto-Dienstleister verpflichtet, Absender- und Empfängerdaten bei jedem Transfer zu erfassen und zu übermitteln, unabhängig vom Betrag. Diese Transparenzpflichten nach Artikel 14 bis 18 der Verordnung dienen der Geldwäschebekämpfung, nicht der Besteuerung. Die Besteuerung von Kryptowährungen richtet sich weiterhin nach nationalem Steuerrecht, insbesondere den Haltefristen und Veräußerungsgewinnen.
Wird Kryptowährung im Jahr 2026 besteuert?
Kryptowährungen unterliegen bereits jetzt der Besteuerung in Deutschland und anderen EU-Mitgliedstaaten. 2026 ändert sich daran nichts Grundlegendes. Die Verordnung (EU) 2023/1113 regelt ausschließlich Informationspflichten bei Krypto-Transfers zur Geldwäscheprävention, keine Steuerpflichten. Besteuerungsfragen richten sich weiterhin nach nationalem Steuerrecht, etwa nach Paragraf 23 Einkommensteuergesetz in Deutschland, der private Veräußerungsgeschäfte regelt. Die Travel Rule verbessert jedoch die Datengrundlage für Steuerbehörden, da Transaktionen nachvollziehbarer werden.
Hat das Finanzamt Zugriff auf Krypto-Wallets?
Das Finanzamt hat keinen direkten technischen Zugriff auf private Wallets oder deren Inhalte. Durch die Verordnung (EU) 2023/1113 müssen Krypto-Dienstleister jedoch Transaktionsdaten inklusive Absender- und Empfängerinformationen erfassen und auf Anfrage bereitstellen. Gemäß Artikel 14 Absatz 2 und Artikel 16 Absatz 2 gilt dies auch bei Transfers zu oder von selbstverwalteten Wallets ab 1.000 Euro. Behörden erhalten somit Zugang zu Transaktionsinformationen über regulierte Dienstleister, nicht aber direkten Zugriff auf private Schlüssel oder Wallet-Guthaben.
Was wird im Jahr 2026 mit Kryptowährungen geschehen?
Ab dem 30. Dezember 2024 sind alle Krypto-Dienstleister in der EU durch die Verordnung (EU) 2023/1113 verpflichtet, bei jeder Transaktion Absender- und Empfängerdaten zu erfassen und zu übermitteln. Die Artikel 14 bis 18 setzen die sogenannte Travel Rule ohne Mindestbetrag um. Verstöße werden nach nationalen Geldwäschevorschriften sanktioniert, wodurch die Compliance-Anforderungen für VASPs erheblich steigen. Darüber hinaus tritt die vollständige MiCA-Verordnung (EU 2023/1114) in Kraft, die zusätzliche Lizenzierungs- und Betriebspflichten für Krypto-Dienstleister einführt. Der Markt wird stärker reguliert, professionalisiert und transparenter.
Welche konkreten Pflichten müssen VASPs bei der Übermittlung von Kundendaten ab 2026 erfüllen?
VASPs müssen gemäß Verordnung (EU) 2023/1113 bei jedem Krypto-Transfer vollständige Absender- und Empfängerdaten erfassen und vor oder zeitgleich mit der Transaktion übermitteln. Nach Artikel 14 Absatz 3 umfassen die Daten für den Auftraggeber: vollständiger Name, Wallet-Adresse,
