Ongoing Compliance Obligations im Blockchain-Bereich: Was Sie kontinuierlich einhalten müssen

Was sind kontinuierliche Compliance-Pflichten im Blockchain-Bereich?

Wenn du eine Blockchain-Lösung betreibst, eine Krypto-Wallet anbietest oder einen Token emittierst, dann ist Compliance kein Projekt mit einem Enddatum. Es ist ein laufender Prozess - wie das Tanken deines Autos. Du kannst nicht einmal im Jahr tanken und erwarten, dass es weiterfährt. Genauso wenig kannst du deine Compliance-Pflichten einmal einrichten und vergessen. Die Regeln ändern sich ständig. Neue Gesetze kommen, alte werden verschärft, und Aufsichtsbehörden überwachen Blockchain-Unternehmen heute genauso streng wie Banken.

Die wichtigste Erkenntnis: Kontinuierliche Compliance bedeutet, dass du nicht nur die Gesetze kennst, die heute gelten, sondern auch systematisch nach Änderungen suchst, sie in deine Prozesse einbaust und beweist, dass du sie einhältst. Das ist kein Bonus, das ist die Voraussetzung, um nicht mit Geldstrafen, Betriebsunterbrechungen oder sogar strafrechtlicher Verfolgung konfrontiert zu werden.

Welche konkreten Pflichten gelten heute für Blockchain-Unternehmen?

Die Pflichten hängen davon ab, was du genau machst. Aber einige Anforderungen treten fast überall auf:

• Know Your Customer (KYC) und Anti-Money Laundering (AML): Wenn du Krypto gegen Fiat-Währung tauscht, Wallets verwaltest oder einen Exchange betreibst, musst du deine Kunden identifizieren. Das bedeutet: Name, Adresse, Geburtsdatum, Identitätsnachweis - und das nicht nur beim ersten Mal. Du musst auch überprüfen, ob sich die Daten ändern oder ob jemand auf Sanktionslisten steht. Die EU hat mit der 6. AML-Richtlinie (AMLD6) diese Anforderungen verschärft. In der Schweiz gilt das gleiche Prinzip über das Geldwäschereigesetz (GwG).
• Transparenz und Berichtspflichten: Viele Länder verlangen jetzt, dass Unternehmen, die Kryptowährungen handeln, Transaktionen über einen bestimmten Betrag (oft 1.000 Euro oder mehr) melden. In der EU gilt das ab Juni 2024 für alle Krypto-Dienstleister. In den USA verlangt die SEC von Unternehmen, die Token emittieren, detaillierte Angaben zu Risiken, Nutzungsrechten und Teammitgliedern.
• Datenschutz (GDPR): Blockchain ist oft als unveränderlich beschrieben - aber das steht im Widerspruch zum Recht auf Löschung nach GDPR. Wenn du personenbezogene Daten auf einer öffentlichen Blockchain speicherst (z. B. E-Mail-Adressen, IP-Adressen, Identitäts-Hashes), dann bist du verantwortlich. Du musst zeigen, dass du die Daten minimierst, verschlüsselst und nur speicherst, wenn es absolut notwendig ist. Einige Unternehmen lösen das, indem sie nur Hash-Werte speichern und die echten Daten offline halten.
• Steuerliche Meldepflichten: In der Schweiz und der EU müssen Nutzer Kryptogewinne versteuern. Als Dienstleister bist du oft verpflichtet, Jahresberichte zu erstellen, die zeigen, welche Transaktionen deine Kunden durchgeführt haben. Das ist nicht optional. Die Finanzbehörden bekommen diese Daten immer öfter direkt von Börsen.

Warum reicht ein einmaliger Check nicht aus?

Regulierungen ändern sich schneller als die meisten Unternehmen glauben. Im Jahr 2023 gab es allein in der EU über 120 neue oder geänderte Vorschriften, die Blockchain-Unternehmen betrafen. Die EU hat mit der Markets in Crypto-Assets-Verordnung (MiCA) im Juni 2024 einen neuen Standard eingeführt - und das ist erst der Anfang. MiCA verpflichtet Krypto-Unternehmen zu:

• Einer offiziellen Lizenzierung durch die nationale Aufsichtsbehörde (in der Schweiz: FINMA)
• Ständigen Risikomanagement-Systemen
• Regelmäßigen Prüfungen durch externe Auditor:innen
• Offenlegung von Whitepapers, die technische und finanzielle Details enthalten

Ein Unternehmen, das im Januar 2024 seine Compliance-Struktur aufgesetzt hat, war bereits im April 2024 veraltet - weil MiCA in Kraft trat. Wer nicht nachzieht, riskiert sofortige Schließung.

Ein Beispiel aus der Praxis: Ein Schweizer Startup bot 2023 eine DeFi-Plattform an, die keine KYC-Prüfung durchführte. Sie dachten: „Wir sind dezentral, also unterliegen wir nicht den Regeln.“ Im Mai 2024 wurde die Plattform von FINMA abgeschaltet, die Gründer wurden zur Zahlung von 180.000 CHF Strafe verpflichtet - weil sie gegen das GwG verstoßen hatten. Sie hatten nicht verstanden: Dezentralität bedeutet nicht Freiheit von Gesetzen.

Wie baust du ein funktionierendes Compliance-System auf?

Es gibt keine Software, die alles für dich macht. Aber es gibt einen klaren Weg, wie du es richtig machst:

1. Regulierungs-Register erstellen: Liste alle Gesetze auf, die auf dich zutreffen - nicht nur in der Schweiz, sondern auch in Ländern, in denen du Kunden hast. Dazu gehören: GwG, MiCA, GDPR, Steuervorschriften, eventuell US-amerikanische Regeln, wenn du US-Kunden ansprichst.
2. Verantwortlichkeiten zuweisen: Wer überwacht, ob sich ein Gesetz ändert? Wer prüft, ob die KYC-Software noch aktuell ist? Wer meldet Änderungen an die Entwickler? Ein einzelner Compliance-Officer reicht nicht, wenn du mehr als 10 Mitarbeiter hast. Jede Abteilung muss wissen, was sie tun muss.
3. Automatisierung nutzen: Nutze Tools, die dir automatisch neue Gesetze melden. Einige Anbieter wie ComplianceBridge oder LexisNexis bieten spezielle Alerts für Krypto-Regulierungen an. In der Schweiz gibt es auch die Plattform der FINMA, die Updates veröffentlicht.
4. Dokumentation ist dein Schutz: Jede Prüfung, jede Schulung, jede Änderung im System - alles muss schriftlich festgehalten werden. Wenn du eines Tages von der FINMA oder einer anderen Behörde kontaktiert wirst, brauchst du Beweise. Kein „Wir haben das damals so gemacht“ - nur „Hier ist der Protokollband vom 15. März 2024“.
5. Regelmäßige Audits durchführen: Mindestens zweimal im Jahr solltest du einen externen Prüfer beauftragen, der deine Compliance-Strukturen überprüft. Das ist nicht teuer - im Vergleich zu einer Strafe von 100.000 CHF ist es ein Schnäppchen.

Was passiert, wenn du nicht einhältst?

Die Konsequenzen sind nicht nur finanziell, sondern auch existenziell:

• Finanzielle Strafen: In der EU können Strafen bis zu 5 % des globalen Umsatzes betragen. In der Schweiz sind es bis zu 500.000 CHF pro Verstoß - und das kann mehrfach verhängt werden.
• Betriebsunterbrechung: Deine Plattform kann abgeschaltet werden. Deine Bank kann dein Konto sperren. Deine Kunden verlieren das Vertrauen - und das ist schwer wiederherzustellen.
• Reputationsverlust: Ein einziger Compliance-Fehler kann deine Marke ruinieren. In der Krypto-Welt vertrauen Nutzer auf Transparenz und Verlässlichkeit. Wenn du nicht nachweisen kannst, dass du die Regeln einhältst, wirst du keine neuen Kunden mehr bekommen.
• Strafrechtliche Konsequenzen: In schweren Fällen - etwa wenn du bewusst Geldwäsche ermöglicht hast - können Gründer oder Geschäftsführer persönlich angeklagt werden. In der Schweiz ist das möglich, auch wenn du kein Bankunternehmen bist.

Was können kleine Unternehmen tun?

Wenn du nur ein Team von drei Leuten hast und keine Million Budget, dann brauchst du keine teure Software. Aber du brauchst Struktur:

• Erstelle eine einfache Excel-Tabelle mit den 5 wichtigsten Gesetzen, die dich betreffen.
• Abonniere den Newsletter der FINMA oder der EBA (Europäische Bankenaufsichtsbehörde).
• Teile die Verantwortung: Eine Person prüft KYC, eine andere die Steuern, eine dritte die Datenschutz-Regeln.
• Verwende Open-Source-Tools wie OpenKYC oder ComplyAdvantage (kostenlose Basisversionen).
• Gehe zu den kostenlosen Webinaren der Swiss Blockchain Federation - sie erklären komplexe Themen verständlich.

Ein kleines Unternehmen in Zürich hat 2024 mit einem Budget von 5.000 CHF ein funktionierendes System aufgebaut - mit einer Excel-Liste, zwei Schulungen und einem jährlichen externen Audit. Sie wurden nie geprüft - aber sie wussten: Wenn sie geprüft werden, sind sie bereit.

Die Zukunft: Was kommt als Nächstes?

Die Regulierung wird nicht weniger, sondern mehr. Im Jahr 2025 wird die ISO 14001:2025 überarbeitet - und zum ersten Mal wird explizit auf digitale Technologien wie Blockchain Bezug genommen. Es wird neue Anforderungen geben, wie:

• Verpflichtung zur Überprüfung der Umweltwirkung von Blockchain-Netzwerken (z. B. Energieverbrauch von Proof-of-Work)
• Transparenzpflichten für Token-Ökosysteme (wer profitiert, wer verliert?)
• Verpflichtung zur Dokumentation von Governance-Prozessen (wie werden Entscheidungen getroffen?)

Und dann gibt es noch die neuen Technologien: Blockchain-basierte Compliance-Ledger, wie sie Maersk bereits nutzt, werden immer verbreiteter. Statt manuell Dokumente zu versenden, werden Regulierungsdaten direkt auf einer sicheren Blockchain gespeichert - und von Behörden in Echtzeit abgerufen. Das ist die Zukunft. Wer heute nicht damit beginnt, wird morgen hinterherlaufen.

Was musst du jetzt tun?

Wenn du ein Blockchain-Unternehmen betreibst, dann ist die Zeit vorbei, in der du Compliance als „notwendiges Übel“ betrachtest. Es ist dein Wettbewerbsvorteil. Unternehmen, die Compliance als Teil ihrer Kultur sehen, ziehen mehr Investoren an, bekommen bessere Bankverbindungen und gewinnen das Vertrauen der Nutzer.

Starte heute:

• Gehe auf die Website der FINMA und suche nach „Kryptowährungen“.
• Erstelle eine Liste mit den 3 wichtigsten Gesetzen, die dich betreffen.
• Benenne eine Person, die dafür verantwortlich ist, diese Liste alle 3 Monate zu aktualisieren.
• Prüfe, ob deine Technologie (Wallet, Exchange, Smart Contract) personenbezogene Daten speichert - und ob das legal ist.

Compliance ist kein Ziel. Es ist eine Haltung. Und die beginnt mit einer einfachen Frage: „Was muss ich heute tun, damit ich morgen nicht vor Gericht stehe?“