Die Reichweite der DeFi-Ausnahme nach MiCA auf dem Prüfstand

Dr. Oliver Völkel, LL.M.

Dr. Oliver Völkel, LL.M.

CV | E-Mail

Mag. Kristina Petz

Mag. Kristina Petz

CV | E-Mail

Nur wenige durch die Verordnung (EU) 2023/1114 über Märkte für Kryptowerte (MiCA) offengelassene Fragen sind so weitreichend wie die Behandlung des dezentralen Finanzwesens (DeFi). Während MiCA einen Regulierungsrahmen für Emittenten von Kryptowerten und Kryptowerte-Dienstleister (Crypto-Asset Service Providers – CASPs) geschaffen hat, wurde ein Bereich bewusst vom Anwendungsbereich ausgenommen. Erwägungsgrund 22 von MiCA stellt Folgendes klar: „Werden Kryptowerte-Dienstleistungen ohne eines Intermediärs in ausschließlich dezentralisierter Weise erbracht, so sollten sie nicht in den Anwendungsbereich dieser Verordnung fallen.“

Diese sogenannte DeFi-Ausnahme trägt einer praktischen Realität Rechnung: MiCA wurde rund um identifizierbare Akteure konzipiert. Wo keine Person eine Dienstleistung erbringt oder Kontrolle ausübt, stoßen traditionelle Regulierungsinstrumente bei der Zuweisung rechtlicher Verantwortung an ihre Grenzen.

Mit ihrer Konsultation gemäß den Artikeln 140 und 142 MiCA, die am 20. Mai 2026 gestartet wurde, untersucht die Europäische Kommission nun, ob und in welchem Umfang diese Annahme in der Praxis weiterhin zutrifft. Die Konsultation spiegelt den zunehmenden regulatorischen Fokus darauf wider, wie bestehende Regelwerke auf dezentrale Aktivitäten angewendet werden könnten.

Von binären Kategorien zu Graden der Dezentralisierung

Die Konsultation definiert DeFi als Softwareprogramme, die auf Blockchains oder anderen Distributed-Ledger-Technologien betrieben werden, autonom ohne Intermediäre funktionieren und Finanzdienstleistungen wie Handel, Kreditvergabe, Kreditaufnahme oder Portfoliomanagement anbieten. Gleichzeitig erkennt sie ein weiter gefasstes Verständnis von DeFi an, das sämtliche blockchainbasierten Anwendungen umfasst, einschließlich solcher, bei denen ein identifizierbarer Intermediär oder eine kontrollausübende Person vorhanden ist.

Diese Unterscheidung verdeutlicht eine zunehmende Spannung innerhalb von MiCA. Der bestehende Rechtsrahmen geht faktisch von einer binären Welt aus, in der eine Dienstleistung entweder vollständig dezentralisiert und damit vom Anwendungsbereich von MiCA ausgenommen ist oder durch einen Intermediär erbracht wird und daher der Regulierung unterliegt. Die Marktrealität ist jedoch deutlich komplexer. Viele angeblich dezentrale Protokolle verfügen weiterhin über identifizierbare Entwickler, konzentrierte Governance-Strukturen, Kontrolle über Administrator-Schlüssel (Admin Keys), Upgrade-Rechte oder organisierte Einheiten, die für Vermarktung und Ökosystementwicklung verantwortlich sind. Dezentralisierung existiert häufig auf einem Spektrum und nicht als binäre Eigenschaft.

Ein bemerkenswertes Merkmal der Konsultation der Europäischen Kommission besteht darin, dass sie sich nicht primär auf die direkte Regulierung vollständig dezentraler Protokolle konzentriert. Stattdessen untersucht sie, ob Verantwortung identifizierbaren Personen zugerechnet werden kann, die Einfluss auf ein Protokoll ausüben, oder regulierten Intermediären, die den Zugang dazu ermöglichen.

Zu den vorgeschlagenen Kriterien zählen:

  • das Vorhandensein eines identifizierbaren Intermediärs; 

  • die Kontrolle wesentlicher Funktionen eines DeFi-Protokolls durch eine identifizierbare Person; 

  • die Konzentration der Steuerungsbefugnis über wesentliche Funktionen; 

  • die Verwahrung oder Kontrolle von Nutzervermögen innerhalb oder über das DeFi-Protokoll; 

  • ein Closed-Source-Programmcode des DeFi-Protokolls; sowie 

  • die Vermarktung eines DeFi-Protokolls durch eine identifizierbare Person oder Organisation. 

Diese Kriterien benennen Umstände, unter denen rechtliche Verantwortung trotz des Einsatzes dezentraler Technologie zugerechnet werden kann. Die Konsultation deutet darauf hin, dass sich zukünftige Regulierung weniger daran orientieren könnte, ob sich ein Protokoll selbst als „dezentral“ bezeichnet, sondern vielmehr daran, ob wesentliche Kontrolle, Zugangsmöglichkeiten oder wirtschaftlicher Einfluss weiterhin in den Händen identifizierbarer Akteure konzentriert sind.

Die Bedeutung von Schnittstellen und wirtschaftlicher Kontrolle

Eine weitere Frage ist, ob regulatorische Verantwortung nicht nur an die technische Kontrolle über ein Protokoll anknüpfen sollte, sondern auch an die Art und Weise, wie Nutzer Zugang dazu erhalten.

In der Praxis werden die meisten DeFi-Protokolle über Websites, mobile Anwendungen, APIs, Wallets oder Aggregatoren genutzt, die von identifizierbaren Personen betrieben werden. Selbst wenn die zugrunde liegenden Smart Contracts autonom funktionieren, können diese Schnittstellen bestimmen, wie Nutzer mit dem Protokoll interagieren, welche Risiken offengelegt werden, welche Vermögenswerte angezeigt werden und ob der Zugang erleichtert oder eingeschränkt wird.

Ebenso können Gebührenmechanismen (Fee Switches), Treasury-Strukturen, Token-Zuteilungen und andere Formen wirtschaftlicher Beteiligung darauf hindeuten, dass identifizierbare Personen weiterhin erheblichen Einfluss auf das Ökosystem ausüben. Dies legt nahe, dass sich zukünftige regulatorische Analysen nicht nur darauf konzentrieren werden, wer den Code kontrolliert, sondern auch darauf, wer den Zugang, die Kommunikation und die Abschöpfung wirtschaftlicher Werte kontrolliert.

Regulierung über Gatekeeper

Wenn wirklich dezentrale Protokolle nicht ohne Weiteres direkt reguliert werden können, könnten Aufsichtsbehörden stattdessen versuchen, den Zugang zu ihnen zu regulieren.

Diese Möglichkeit wird in der Konsultation im Zusammenhang mit CASPs erörtert. Die Europäische Kommission fragt, ob Risiken, die von vollständig dezentralen Protokollen ausgehen, indirekt adressiert werden sollten, indem CASPs verpflichtet werden, eine Due-Diligence-Prüfung der Protokolle durchzuführen, zu denen sie ihren Kunden Zugang verschaffen.

Die Konsultation untersucht, ob CASPs:

  • Warnhinweise und Risikoinformationen bereitstellen sollten; 

  • für bestimmte Vorfälle haften sollten, wenn sie den Zugang zu der betreffenden DeFi-Anwendung ermöglichen; 

  • den Zugang auf zertifizierte Protokolle beschränken sollten; 

  • den Zugang zu Protokollen, die mit rechtswidrigen Aktivitäten in Verbindung stehen, einschränken oder einstellen sollten; 

  • die Verbindung zu dezentralen DeFi-Anwendungen generell nicht mehr ermöglichen sollten; oder 

  • auf öffentliche oder private Whitelists und Blacklists zurückgreifen sollten. 

Eine solche indirekte Regulierung über CASPs könnte die formelle Ausnahme vollständig dezentraler Protokolle von MiCA aufrechterhalten und dennoch wesentliche Teile des DeFi-Ökosystems in einen regulatorischen Rahmen einbeziehen. Für CASPs könnte dies letztlich produktbezogenen Governance- und Protokoll-Due-Diligence-Pflichten ähneln. Die zentrale Frage wäre dann nicht mehr, ob ein Protokoll reguliert ist, sondern ob ein regulierter Intermediär den Zugang zu diesem Protokoll rechtfertigen kann.

Zertifizierung als neue Regulierungsebene

Der vielleicht innovativste Aspekt der Konsultation ist die Prüfung möglicher Zertifizierungssysteme für DeFi-Protokolle.

Nach Auffassung der Europäischen Kommission würde die Zertifizierung einer DeFi-Anwendung die Überprüfung umfassen, ob Smart-Contract-Schwachstellen und allgemeine operationelle Risiken wirksam minimiert werden und ob die Anwendung entsprechend ihrer öffentlich kommunizierten Leistungsmerkmale funktioniert.

Die Konsultation fragt, ob eine Zertifizierung allgemein für DeFi-Dienstleistungen oder nur für bestimmte Kategorien gelten sollte, ob sie für bestimmte Protokolle verpflichtend werden sollte und ob CASPs ihren Kunden ausschließlich Zugang zu zertifizierten Protokollen ermöglichen dürfen sollten.

Historisch konzentrierte sich die Finanzmarktregulierung auf die Beaufsichtigung von Institutionen. Banken, Wertpapierfirmen, Zahlungsinstitute und andere regulierte Unternehmen erhalten Zulassungen und unterliegen laufender aufsichtsrechtlicher und verhaltensbezogener Überwachung. DeFi stellt dieses Modell infrage, da die relevante Infrastruktur häufig primär aus Software und nicht aus Institutionen besteht.

Eine Zertifizierung würde einen anderen Regulierungsansatz darstellen. Anstatt Institutionen durch Zulassung und laufende Aufsicht zu überwachen, könnten Regulierungsbehörden Standards für Protokollarchitektur, Governance, operationelle Resilienz und Codesicherheit festlegen, deren Einhaltung durch technische Prüfungen bewertet wird.

Zertifizierung könnte zudem einen Anreiz zur Selbstidentifikation schaffen: Entwickler, Governance-Teilnehmer oder andere an einem Protokoll beteiligte Personen könnten motiviert werden, sich freiwillig zu erkennen zu geben, um eine Zertifizierung zu erhalten. Aus regulatorischer Sicht würde dies die Person oder Organisation sichtbar machen, über die Compliance-Verpflichtungen adressiert werden können.

Für DeFi-Akteure würde eine Zertifizierung zwar die Compliance-Kosten erhöhen, könnte aber zugleich eine stärkere institutionelle Nutzung fördern, indem sie gemeinsame Standards für Sicherheit, operationelle Resilienz und Prüfbarkeit schafft.

Über die DeFi-Ausnahme hinaus

Die Konsultation zeigt insgesamt einen zunehmenden regulatorischen Fokus darauf, wie Finanzmarktregulierung angewendet werden sollte, wenn Finanzfunktionen durch Software statt durch traditionelle Intermediäre erbracht werden.

Aus der Konsultation lassen sich mindestens drei mögliche Ansätze ableiten:

  1. Entwicklung klarerer Kriterien zur Bestimmung, wann ein Protokoll ausreichend dezentralisiert ist, um außerhalb des regulatorischen Rahmens zu bleiben. 

  2. Regulierung des Zugangs über CASPs und andere regulierte Gatekeeper. 

  3. Einführung von Zertifizierungsrahmen, die die Protokolle selbst und nicht nur die dahinterstehenden Akteure bewerten. 

Fazit: Von der intermediärbasierten Aufsicht zur funktionsbasierten Regulierung

Die DeFi-Ausnahme besteht derzeit weiterhin. Die Konsultation legt jedoch nahe, dass die Europäische Kommission aktiv untersucht, wo in dezentralen Umgebungen regulatorische Verantwortung verankert werden kann. Die entscheidende Frage lautet nicht mehr, ob DeFi regulatorische Aufmerksamkeit verdient, sondern wie regulatorische Pflichten angewendet werden können, wenn Finanzfunktionen durch Software statt durch traditionelle Intermediäre erbracht werden.

Interessenträger können bis zum 31. August 2026 Stellungnahmen über den Fragebogen der Europäischen Kommission einreichen. Die Konsultation ist über folgenden Link erreichbar: https://ec.europa.eu/eusurvey/runner/mica-review-targeted-2026