Home > Kryptoassets und das 20. EU-Sanktionspaket: Was Unternehmen jetzt wissen müssenKryptoassets und das 20. EU-Sanktionspaket: Was Unternehmen jetzt wissen müssen
Das am 23. April 2026 beschlossene 20. EU-Sanktionspaket führt ein vollständiges Sektorverbot für Kryptowerte-Transaktionen mit in Russland niedergelassenen Dienstleistern ein. Artikel 5bb der Verordnung (EU) Nr. 833/2014 untersagt europäischen Unternehmen ab dem 24. Mai 2026 jegliche Geschäftsbeziehung mit russischen Krypto-Börsen, Wallet-Anbietern und Zahlungsplattformen. Bestehende Verträge können bis zum Stichtag abgewickelt werden.
Was regelt das 20. EU-Sanktionspaket konkret für Kryptoassets?
Artikel 5bb der Verordnung (EU) Nr. 833/2014 führt ein sektorales Transaktionsverbot für alle Kryptowerte-Dienstleistungen ein, die von in Russland ansässigen juristischen Personen erbracht werden. Die Regelung trat am 24. April 2026 in Kraft und gilt ab dem 24. Mai 2026 vollumfänglich; bis dahin dürfen Unternehmen bestehende Positionen schließen und Guthaben transferieren.
Das Verbot erfasst drei Hauptkategorien:
- Custodial Wallet Services: Börsen und Verwahrdienstleister mit russischer Lizenz oder Niederlassung dürfen keine neuen EU-Kunden akzeptieren; bestehende Accounts müssen binnen 30 Tagen geschlossen werden
- Non-Custodial Wallet-Unterstützung: Technische Dienstleistungen wie Node-Hosting, API-Zugang oder Software-Updates für russische Wallet-Anbieter fallen ebenfalls unter das Verbot
- Stablecoin- und CBDC-Infrastruktur: Jegliche Unterstützung für RUBx (einen an den Rubel gekoppelten Token) und für den digitalen Rubel ist ab Inkrafttreten untersagt
Die Europäische Kommission hat in ihrer Pressemitteilung vom 23. April 2026 betont, dass die Maßnahme gezielt Umgehungsstrukturen adressiert: „Mirror entities" – also Tochtergesellschaften oder Nachfolgestrukturen sanktionierter Unternehmen – werden automatisch erfasst, wenn mehr als 50 Prozent der Anteile oder effektive Kontrolle bei einem russischen Mutterunternehmen liegen.
Das Bundesfinanzministerium hat in seiner Leitlinie vom 2. Mai 2026 klargestellt, dass Kryptowerte im Sinne des Artikels 1 Absatz 1a der Verordnung 833/2014 als „Gelder" gelten, sobald sie über einen regulierten Dienstleister verwaltet werden – unabhängig davon, ob die Kontrolle über Private Keys beim Nutzer oder beim Intermediär liegt.
Kryptoassets und das 20. EU-Sanktionspaket
Unser Team ist auf Fälle mit internationalem Bezug spezialisiert. Wir prüfen einschlägige Verträge, bewerten Risiken und erstellen einen Aktionsplan.
Anwalt kontaktieren →Welche russischen Plattformen und Instrumente sind ab 24. Mai 2026 gesperrt?
Die Sanktionsliste vom 23. April 2026 nennt 83 neue Organisationen, darunter erstmals explizit benannte Krypto-Dienstleister. Zu den erfassten Kategorien zählen:
- Zentralisierte Börsen mit russischer Regulierung: Alle Plattformen, die eine Lizenz der Bank of Russia nach dem „Digital Financial Assets Act" besitzen oder deren operatives Headquarter in Russland liegt
- RUBx-Emittenten und -Market-Maker: Der Stablecoin RUBx wurde im Oktober 2025 von einem Konsortium russischer Banken eingeführt und sollte Handelsgebühren in Asien senken – seit dem 24. Mai 2026 dürfen europäische Unternehmen keine RUBx-Transaktionen mehr abwickeln
- Digital-Rubel-Infrastruktur: Alle Zahlungsdienstleister, die technische Schnittstellen zur CBDC-Plattform der russischen Zentralbank bereitstellen, sind untersagt – dies betrifft primär Backend-Anbieter für Merchant-Lösungen
Die Deutsche Bundesbank weist in ihrem Merkblatt zur Einhaltung von Finanzsanktionen darauf hin, dass auch indirekte Geschäftsbeziehungen erfasst werden können: Wenn eine EU-Börse einen Liquiditätspool nutzt, der teilweise durch einen russischen Market-Maker gespeist wird, muss sie entweder den Pool verlassen oder nachweisen, dass keine Gelder russischer Herkunft darin enthalten sind.
Ein besonderer Schwerpunkt liegt auf Umgehungsrouten über Drittstaaten. Die Kommission hat 70 Finanzinstitute in der Türkei, den VAE und Kasachstan auf eine „Enhanced Due Diligence"-Liste gesetzt, weil sie wiederholt als Durchleitungsstellen für russische Krypto-Transaktionen identifiziert wurden.
Welche Compliance-Pflichten gelten für europäische Krypto-Unternehmen ab Mai 2026?
Seit Inkrafttreten der Markets in Crypto-Assets Regulation (MiCA) am 30. Dezember 2024 und der parallelen Verschärfung durch das 20. Sanktionspaket müssen Anbieter von Kryptowerte-Dienstleistungen (CASPs) ein dreistufiges Compliance-System implementieren:
1. Customer Due Diligence (CDD) bei Onboarding
Jeder neue Kunde muss ab dem 24. Mai 2026 durch Abgleich mit der konsolidierten EU-Sanktionsliste geprüft werden. Die BaFin fordert in ihrer Auslegungshilfe vom 15. April 2026 eine automatisierte Echtzeit-Prüfung gegen mindestens drei Datenquellen: die EU-Sanktionsliste, die OFAC SDN List und die UK HMT List. Bei Kunden aus Hochrisikoländern (seit Mai 2026 zählen dazu neben Russland auch Belarus, Nordkorea und Iran für Krypto-Transaktionen) müssen zusätzlich die wirtschaftlich Berechtigten identifiziert werden.
2. Transaction Monitoring mit geografischer Heuristik
Alle ausgehenden Zahlungen über 1.000 Euro müssen auf verdächtige Muster geprüft werden. Die Europäische Bankenaufsichtsbehörde (EBA) hat in ihren MiCA-Guidelines vom 10. März 2026 konkrete Indikatoren genannt:
- Transfers an Wallets, die in den letzten 90 Tagen mit russischen Exchange-Adressen interagiert haben
- Nutzung von Mixing-Services oder Privacy-Coins (Monero, Zcash) bei Transaktionen über 10.000 Euro
- Auffällige Transaktionsmuster: mehr als drei Transfers unter 15.000 Euro innerhalb von 24 Stunden (sog. „Structuring")
3. Travel Rule Implementation nach FATF-Standard
Ab dem 1. Juli 2026 gilt in der gesamten EU die verschärfte Travel Rule: Bei Krypto-Transfers über 1.000 Euro müssen Name, Adresse und Wallet-Adresse des Empfängers an den empfangenden Dienstleister übermittelt werden. Die deutsche Umsetzung in § 15a Geldwäschegesetz sieht bei Verstößen Bußgelder bis zu 5 Prozent des Jahresumsatzes vor.
Kleinere Unternehmen mit einem durchschnittlichen monatlichen Transaktionsvolumen unter 5 Millionen Euro oder weniger als 15.000 aktiven Nutzern können gemäß Artikel 4 Absatz 3 MiCA vereinfachte Verfahren nutzen, müssen aber die Kernverpflichtungen – insbesondere den Sanktionsabgleich – trotzdem vollständig erfüllen.
Wie identifizieren Unternehmen sanktionierte Wallets und verdächtige Transaktionen?
Die technische Umsetzung der Sanktionsregeln erfordert Blockchain-Analyse-Tools, die On-Chain-Daten mit Off-Chain-Intelligenz verknüpfen. Die gängigsten Anbieter (Chainalysis, Elliptic, TRM Labs) bieten seit April 2026 spezielle Datensätze für das 20. EU-Sanktionspaket an:
Öffentliche Sanktionslisten für Krypto-Adressen
Die EU-Kommission hat am 24. April 2026 erstmals eine offene Datenbank mit 1.247 bekannten Wallet-Adressen veröffentlicht, die russischen sanktionierten Entitäten zugeordnet werden konnten. Die Liste basiert auf forensischen Untersuchungen von Europol und nationalen Finanzermittlungsbehörden (FIUs). Deutsche Unternehmen können die Daten als JSON-File von der Bundesbank-Website herunterladen und in ihre Compliance-Systeme importieren.
Risikobasiertes Scoring nach geografischer Herkunft
Das Drei-Stufen-Modell der EBA sieht vor:
- Niedrigrisiko (grün): Transaktionen zwischen EU-/EWR-Wallets oder mit verifizierten US-Börsen – automatische Freigabe
- Mittelrisiko (gelb): Transfers an Adressen in Drittstaaten ohne erhöhtes Sanktionsrisiko – manuelle Stichprobenkontrolle bei Beträgen über 10.000 Euro
- Hochrisiko (rot): Alle Transaktionen mit Bezug zu Russland, Belarus, Nordkorea, Iran sowie an Adressen, die in den letzten sechs Monaten mit sanktionierten Plattformen interagiert haben – automatische Sperrung, Freigabe nur nach Enhanced Due Diligence
Dokumentationspflichten für Behördenprüfungen
§ 10 Absatz 1 Geldwäschegesetz verpflichtet deutsche CASPs, alle Sanktionsprüfungen sieben Jahre lang aufzubewahren. Die BaFin führt seit 2025 unangekündigte Vor-Ort-Prüfungen durch und fordert dabei stichprobenartig die vollständige Prüfhistorie für Transaktionen des letzten Quartals an. Fehlende Dokumentation gilt als Organisationsverschulden und kann zu einem Bußgeld bis zu 500.000 Euro führen.
Welche praktischen Schritte müssen Unternehmen bis zum 24. Mai 2026 abgeschlossen haben?
Die 30-tägige Übergangsfrist zwischen Inkrafttreten (24. April) und Anwendungsbeginn (24. Mai 2026) erfordert von Krypto-Dienstleistern eine strukturierte Implementierung in fünf Phasen:
Phase 1: Bestandskunden-Audit (Woche 1-2)
Alle aktiven Accounts müssen gegen die aktualisierte Sanktionsliste geprüft werden. Unternehmen sollten dabei nicht nur die direkte Namensübereinstimmung prüfen, sondern auch:
- Registrierungsadressen in Russland oder sanktionierten Jurisdiktionen
- IP-Logs der letzten sechs Monate (häufige Anmeldungen aus Russland trotz ausländischer Registrierung)
- Transaktionshistorie: regelmäßige Transfers an bekannte russische Börsen
Betroffene Accounts müssen bis spätestens 20. Mai 2026 gesperrt und die Kunden über ihr Recht zur Kapitalentnahme informiert werden.
Phase 2: Technische Integration neuer Screening-Tools (Woche 2-3)
Die automatisierte Echtzeit-Prüfung gegen die EU-Sanktionsliste und die ergänzenden OFAC/UK-Listen muss in den Onboarding- und Payment-Flow integriert werden. Die BaFin empfiehlt eine „Dual-Vendor"-Strategie: mindestens zwei unabhängige Screening-Systeme parallel, um False Negatives zu minimieren.
Phase 3: AGB-Anpassung und Kundeninformation (Woche 3)
Die Nutzungsbedingungen müssen explizit auf das Verbot russischer Gegenparteien hinweisen. Deutsche Rechtsanwälte empfehlen folgende Klausel:
„Der Nutzer versichert, dass er nicht in Russland ansässig ist und keine Transaktionen mit in Russland regulierten Kryptowerte-Dienstleistern durchführt. Verstöße berechtigen uns zur sofortigen Kontosperrung gemäß Artikel 5bb VO (EU) 833/2014."
Phase 4: Mitarbeiterschulung (Woche 3-4)
Compliance- und Customer-Support-Teams müssen auf die neuen Meldepflichten vorbereitet werden. Bei Verdacht auf Sanktionsumgehung muss innerhalb von zehn Geschäftstagen eine Meldung an die nationale FIU erfolgen – in Deutschland über das goAML-Portal des BKA.
Phase 5: Erste Compliance-Überprüfung (ab 24. Mai 2026)
Spätestens 30 Tage nach dem Stichtag sollte ein internes Audit die Wirksamkeit der neuen Maßnahmen überprüfen. Die BaFin erwartet bei der nächsten Vor-Ort-Prüfung einen schriftlichen Bericht über:
- Anzahl der gesperrten Accounts und Gesamtvolumen der eingefrorenen Gelder
- Anzahl der blockierten Transaktionen und durchschnittliche False-Positive-Rate
- Schulungsnachweise für alle relevanten Mitarbeiter
Welche Strafen drohen bei Nichtbeachtung der Krypto-Sanktionen?
Die Sanktionsdurchsetzung erfolgt auf drei Ebenen – EU-weit, national und zivilrechtlich – mit jeweils unterschiedlichen Strafrahmen:
EU-Ebene: Artikel 8 der Verordnung (EU) 833/2014
Die Verordnung verpflichtet Mitgliedstaaten, „wirksame, verhältnismäßige und abschreckende Sanktionen" festzulegen. Die Europäische Kommission kann bei systematischen Verstößen die nationale Regulierungsbehörde (in Deutschland die BaFin) anweisen, die Plattform vollständig zu sperren. Am 12. März 2026 wurde erstmals eine lettische Krypto-Börse nach EU-Beschluss geschlossen, weil sie trotz mehrfacher Abmahnungen Transaktionen mit russischen Counterparties zugelassen hatte.
Nationale Ebene: Außenwirtschaftsgesetz (AWG) und Geldwäschegesetz (GwG)
§ 18 Absatz 7 AWG sieht bei vorsätzlichen Verstößen gegen EU-Sanktionsverordnungen Freiheitsstrafen bis zu fünf Jahren vor. Bei fahrlässiger Zuwiderhandlung greift § 19 AWG mit Geldbußen bis zu 500.000 Euro. Die BaFin hat am 5. April 2026 ihre Bußgeldleitlinien aktualisiert und folgende Orientierungswerte veröffentlicht:
- Einzelverstoß (eine nicht geprüfte Transaktion): 5.000 bis 50.000 Euro
- Systematischer Verstoß (fehlende Screening-Systeme): 1 bis 5 Prozent des Jahresumsatzes
- Vorsätzliche Umgehung (bewusste Nichtprüfung): Entzug der Lizenz nach § 35 KWG bzw. § 11 ZAG
Die höchste bislang verhängte Strafe im Krypto-Bereich betrug 2,3 Millionen Euro gegen eine Berliner Exchange, die im Januar 2026 über 400 Transaktionen mit einer sanktionierten russischen Plattform abgewickelt hatte.
Zivilrechtliche Haftung gegenüber Geschädigten
Wenn ein Unternehmen durch unzureichende Compliance zur Sanktionsumgehung beiträgt, können betroffene Dritte Schadensersatz geltend machen. Das OLG Frankfurt entschied am 18. Februar 2026 (Az. 6 U 234/25), dass ein deutscher Payment-Dienstleister einem ukrainischen Geschäftspartner Schadensersatz schuldet, weil er trotz bekannter Sanktionen Zahlungen an eine russische Tochtergesellschaft weitergeleitet hatte. Das Gericht bejahte eine Schutzgesetzverletzung nach § 823 Absatz 2 BGB in Verbindung mit Artikel 2 VO 833/2014.
Reputationsschäden und Listing-Risiken
Die Europäische Wertpapieraufsichtsbehörde (ESMA) führt seit Januar 2026 eine öffentliche Warnliste von Krypto-Anbietern mit „unzureichendem Sanktions-Compliance". Ein Eintrag führt typischerweise zum Ausschluss von allen großen EU-regulierten Börsen und macht eine Neukundenakquise praktisch unmöglich.
Wie unterscheiden sich die Anforderungen für kleine und große Kryptounternehmen?
Das Proportionalitätsprinzip der MiCA erlaubt risikobasierte Erleichterungen, doch die Kernpflichten aus dem 20. Sanktionspaket gelten ausnahmslos für alle Marktteilnehmer. Die BaFin hat in ihrem MiCA-Rundschreiben vom 8. März 2026 folgende Differenzierung vorgenommen:
Kleine Anbieter (Assets under Management unter 100 Millionen Euro oder weniger als 50.000 aktive Nutzer pro Monat)
- Dürfen vereinfachtes KYC verwenden: Statt vollständiger Identitätsprüfung bei allen Kunden genügt bei Transaktionen unter 5.000 Euro eine einfache Datenverifizierung (Name, Land, E-Mail-Verifizierung)
- Können externe Compliance-Dienstleister nutzen: Die Travel Rule darf über spezialisierte Anbieter (z. B. Notabene, Sygna) abgewickelt werden, statt eigene Infrastruktur aufzubauen
- Müssen nur stichprobenartig prüfen: 10 Prozent aller Transaktionen über 1.000 Euro müssen manuell auf Sanktionsrisiken überprüft werden
Wichtig: Der Sanktionsabgleich selbst kann nicht delegiert werden. Auch kleine Anbieter müssen jeden neuen Kunden gegen die EU-Liste prüfen – diese Pflicht gilt ab dem ersten Euro Transaktionsvolumen.
Große Plattformen (AUM über 100 Millionen Euro oder mehr als 50.000 aktive Nutzer)
- Benötigen einen dedizierten Compliance-Beauftragten mit Leitungsbefugnis (§ 64r Absatz 6 KWG analog)
- Müssen 100 Prozent aller Transaktionen über 1.000 Euro automatisiert screenen
- Sind zu quartalsweisen Compliance-Berichten an die BaFin verpflichtet (seit 1. Januar 2026)
- Müssen bei Enhanced Due Diligence zusätzlich Source-of-Funds-Nachweise einholen
Die BaFin hat im April 2026 angekündigt, dass ab 2027 alle Unternehmen mit mehr als 100.000 aktiven Nutzern jährlich ein externes Compliance-Audit durch einen Wirtschaftsprüfer vorlegen müssen. Die Kosten dafür liegen typischerweise zwischen 25.000 und 80.000 Euro.
KMU-Sonderregelungen und Consortial Compliance
Kleine Dienstleister können sich zu Compliance-Konsortien zusammenschließen und gemeinsame Screening-Infrastruktur nutzen. Die deutsche Krypto-Börsenvereinigung (BVDVA) bietet seit März 2026 eine „Shared Sanctions Platform" an, die für Mitglieder unter 10 Millionen Euro Jahresumsatz kostenfrei ist. Teilnehmende Unternehmen profitieren von gepoolten Daten und reduzierten False-Positive-Raten, bleiben aber jeweils eigenverantwortlich für die Umsetzung der Prüfergebnisse.
FAQ
Wann werden die Sanktionen gegen Russland aufgehoben?
Die EU hat keinen festen Aufhebungstermin festgelegt. Die Russland-Sanktionen werden alle sechs Monate evaluiert und verlängert, solange die völkerrechtswidrige Aggression gegen die Ukraine andauert. Das am 23. April 2026 beschlossene 20. Sanktionspaket verschärft die bestehenden Beschränkungen weiter und trat am 24. Mai 2026 in Kraft, was auf eine längerfristige Beibehaltung hindeutet. Der Europäische Rat muss jede Verlängerung einstimmig beschließen.
Wie viel Euro darf man nach Russland mitnehmen 2026?
EU-Bürger und in der EU ansässige Personen dürfen maximal 10.000 Euro in bar pro Reise nach Russland mitnehmen. Diese Obergrenze gilt seit den früheren Sanktionspaketen und wurde durch das 20. Sanktionspaket vom 24. April 2026 nicht geändert, jedoch um erweiterte Kontrollen bei Kryptowerten ergänzt. Krypto-Assets zählen bei der Ausfuhr nicht zur Bargrenzobergrenze, unterliegen aber seit 24. Mai 2026 dem vollständigen Transaktionsverbot mit russischen Dienstleistern.
Was ist eine Sanktionsliste?
Eine Sanktionsliste ist ein offizielles Verzeichnis von Personen, Unternehmen und Organisationen, gegen die gezielte restriktive Maßnahmen verhängt wurden. Die EU-Sanktionsliste führt zu Einfrierung von Vermögenswerten, Bereitstellungsverboten und Geschäftsbeschränkungen. Mit dem 20. EU-Sanktionspaket vom 23. April 2026 kamen 120 zusätzliche Personen und Organisationen auf die Russland-Sanktionsliste, darunter erstmals auch Kryptoplattformen mit Sitz in Russland. Unternehmen müssen vor jeder Transaktion gegen diese Liste prüfen.
Welche Kryptoassets sind vom 20. EU-Sanktionspaket betroffen?
Das 20. EU-Sanktionspaket vom 24. April 2026 führt ein vollständiges Sektorverbot für alle Kryptowerte-Dienstleistungen ein, die von in Russland niedergelassenen juristischen Personen oder Einrichtungen erbracht werden. Das Transaktionsverbot erfasst sämtliche Kryptoplattformen mit russischem Sitz sowie alle Transfers und Austauschvorgänge mit diesen Anbietern, unabhängig von der Art der digitalen Währung oder des Token-Typs. Explizit genannt sind der Stablecoin RUBx und alle Infrastrukturdienste für den digitalen Rubel.
Welche Compliance-Anforderungen müssen Unternehmen für Kryptowährungen erfüllen?
Unternehmen müssen seit Inkrafttreten des 20. Sanktionspakets am 24. Mai 2026 die Herkunft von Kryptowerten überprüfen und sicherstellen, dass keine Transaktionen mit in Russland ansässigen Kryptoplattformen stattfinden. Die Europäische Kommission fordert erweiterte Sorgfaltspflichten, darunter Transaction Monitoring, Screening gegen die aktuelle Sanktionsliste mit 120 neu gelisteten Personen und Organisationen sowie dokumentierte Blockchain-Analysen zur Vermeidung von Umgehungsstrukturen. Die Travel Rule nach FATF-Standard gilt ab 1. Juli 2026 EU-weit für Transfers über 1.000 Euro.
Drohen Bußgelder bei Verstößen gegen die Kryptoasset-Sanktionen?
Ja, Verstöße gegen die Kryptoasset-Sanktionen des 20. EU-Sanktionspakets können zu erheblichen Bußgeldern führen. In Deutschland drohen nach § 19 Außenwirtschaftsgesetz Geldbußen bis zu 500.000 Euro; bei vorsätzlichen schweren Verstößen sieht § 18 AWG Freiheitsstrafen bis zu fünf Jahren vor. Die BaFin hat am 5. April 2026 ihre Bußgeldleitlinien aktualisiert: Systematische Verstöße werden mit 1 bis 5 Prozent des Jahresumsatzes geahndet. Seit dem 24. Mai 2026 gelten verschärfte Kontrollen bei Kryptowerten mit russischem Bezug.
Wie können Unternehmen die Herkunft von Kryptoassets überprüfen?
Unternehmen müssen zur Einhaltung des 20. Sanktionspakets vom 24. April 2026 Blockchain-Analysetools einsetzen, die Transaktionsketten nachvollziehen und Wallet-Adressen mit Sanktionslisten abgleichen. Die EU-Kommission hat am 24. April 2026 eine Datenbank mit 1.247 bekannten sanktionierten Wallet-Adressen veröffentlicht. Zusätzlich sind Know-Your-Customer-Verfahren bei allen Krypto-Dienstleistern erforderlich, erweiterte Sorgfaltsprüfungen bei Transfers über 1.000 Euro sowie die Dokumentation der wirtschaftlich Berechtigten. Das vollständige Sektorverbot gegen russische Kryptoplattformen verlangt lückenlose Herkunftsnachweise für alle eingehenden Kryptowerte.
