Die Europäische Union (EU) hat sich in ihrem parlamentarischen ECON-Ausschuss jüngst für eine Verschärfung im Umgang mit sogenannten „Unhosted Wallets“ entschieden. Deutsche Experten hatten zuvor Alarm geschlagen, dass dieser Schritt verheerende Folgen haben könnte, sollte der Vorschlag nun in letzter Instanz verabschiedet werden.
Aus Sicht der Kryptobranche ist die Angst vor den damit einhergehenden Änderungen durchaus berechtigt, denn diese sehen vor, dass Kryptobörsen und Wallet-Dienstleister persönliche Informationen über ihre Nutzer einholen und verifizieren müssen. Hieran zeigt sich, wie gefährlich es ist, wenn rechtliche Vorgaben aus dem Traditionellen Finanzwesen (TradFi) stumpf auf Krypto übertragen werden, ohne den grundlegenden Unterschieden Rechnung zu tragen.
Wahrscheinlich wird es zukünftig auch in anderen Ländern so kommen, denn immer mehr Nationen schicken sich an, die dahingehenden Vorgaben des Arbeitskreis Maßnahmen zur Geldwäschebekämpfung (FATF), die sogenannte Travel Rule, die eigentlich für Transaktionen zwischen Banken konzipiert ist, nun auch auf Kryptowährungen anzuwenden.
Eine Wallet ist kein Bankkonto
Das erklärte Ziel der Änderungen an der Geldtransferverordnung (TRF) der EU ist es, „sicherzustellen, dass Kryptowährungen genau so nachverfolgt werden können wie traditionelle Banküberweisungen“. Doch damit setzen die Gesetzgeber voraus, dass eine jeweilige unhosted Wallet an die verifizierbare Identität einer bestimmten Person gekoppelt ist und dass diese Person auch die tatsächlich Kontrolle über die betreffende Wallet besitzt. Allerdings ist diese Annahme falsch.
Im Traditionellen Finanzwesen ist ein Bankkonto eindeutig mit der verifizierbaren Identiät der kontoführenden Person verknüpft, die zugleich alleinige Kontrolle über das Konto hat. Nur, weil eine Person zum Beispiel ihre Bankdaten mit dem Ehepartner teilt, wird dieser dadurch nicht zum Kontobesitzer. Selbst wenn der Ehepartner die Zugangsdaten für das entsprechende Konto ändert, kann der eigentliche Inhaber zu jeder Zeit die Kontrolle über das Konto zurückerlangen, indem er oder sie die eigene Identität gegenüber der Bank nachweist. Die eigene Identität, die nicht verlorengehen oder gestohlen werden kann, ist also das ausschlaggebende Kriterium für den Besitz. Im Austausch für diesen durch die Bank gewährten Schutz geben Sparer jedoch die Verwahrungshoheit über ihre Vermögen ab.
Die Selbstverwahrung von Kryptowährungen funktioniert hingegen anders. So liegt die Kontrolle über eine selbstverwaltete (bzw. unhosted) Wallet hier bei derjenigen Person, die über die Private Keys zur jeweiligen Wallet verfügt. Der Besitz ist also nicht an die Identität einer bestimmten Person gebunden und es gibt auch keine dritte Partei, gegenüber der diese Identität zu bestätigen wäre. Alles, was es dazu braucht, ist bestimmte Software und eine sichere Verwahrung der zugehörigen Private Keys. Im Gegenzug für diese Eigenverantwortung bleibt die Verwahrungshoheit über das eigene Vermögen erhalten.
Umsetzung mit Hindernissen
Werfen wir einen Blick darauf, wie ein Wallet-Dienstleister vorgehen müsste, um die vorgeschlagenen Änderungen der EU einzuhalten. Nehmen wir an, dass Angela 0,3 Ether (ETH) aus ihrer hosted Wallet an die unhosted Wallet von Helmut verschicken will, um letzteren für eine Dienstleistung zu bezahlen. Bevor diese Transaktion nun durchgeführt werden kann, muss der Wallet-Provider zunächst den vollständigen Namen, die Wallet-Adresse, die Wohnadresse, die Personalausweisnummer, den Geburtsort und das Geburtsdatum von Helmut erheben und alle diese Daten verifizieren. Auch umgekehrt bräuchte es die gleichen Informationen, damit Helmut Geld an die hosted Wallet von Angela schicken kann. Angela müsste Helmut also bitten, ihr alle seine persönlichen Informationen offenzulegen, die Angela wiederum an den Wallet-Dienstleister ihrer hosted Wallet weiterreichen müsste. Die Kryptobörse Coinbase hatte dies ihren Nutzern jüngst schon für zukünftige Transaktionen in Aussicht gestellt.
Dieses Prozedere wäre selbst schon für kleinste Transaktionen notwendig, denn der vorliegende Änderungsentwurf sieht keine Mindestgrenze vor, unterhalb der die Bestimmungen nicht gelten. Zudem wären Wallet-Dienstleister indirekt wohl dazu verpflichtet, alle eingehenden Transaktionen zwischenzulagern, was gleichsam das Verwahrungsrisiko erhöht, um im Falle einer gescheiterten Verifizierung der Daten die jeweiligen Gelder wieder zurück an die betreffende unhosted Wallet senden zu können.
Grundlegende Unterschiede
Während die Erhebung von Daten und das Zwischenparken von eingehenden Geldern zwar einen betrieblichen Mehraufwand bedeutet, der jedoch zu bewerkstelligen ist, ist die Verpflichtung zur Verifizierung von Daten kaum einzuhalten. Im Traditionellen Finanzwesen zielt die Verifizierung von persönlichen Informationen darauf ab, dass auf diesem Weg sichergestellt werden kann, dass diejenige Person, die ein Bankkonto kontrolliert auch die Person ist, die sie vorgibt zu sein. Doch wie soll ein Wallet-Dienstleister dieser Verpflichtung zur Verifizierung nachkommen, wenn die Kontrolle über die unhosted Wallet von Helmut gar nicht an dessen Identität gebunden ist?
Selbst wenn der Wallet-Dienstleister nachweisen könnte, dass Helmut diejenige Person ist, die er vorgibt zu sein, dann bedeutet dies nicht zwangsläufig, dass er auch derjenige ist, der die betreffende Wallet kontrolliert. Stattdessen könnte zum Beispiel eine Dezentralisierte Autonome Organisation (DAO), die Gelder an DAO-Mitglieder wie Helmut verteilt, oder gar eine kriminelle Organisation, für die Helmut lediglich der Geldwäscher ist, hinter der Wallet stecken, denn es braucht auf der Seite von Helmut keine dritte Partei, gegenüber der dieser seine Identität bestätigen muss, um Transaktionen durchführen zu können. Wer die Private Keys kontrolliert, ist im Fall der unhosted Wallets sozusagen die „Bank“.
Legitime Nutzer tragen das Risiko
Gehen wir nichtsdestotrotz davon aus, dass Wallet-Dienstleister entweder die vorgeschlagenen Gesetzesänderungen oder eine abgeschwächte Form ohne Verpflichtung zur Verifizierung einhalten können. Die Dienstleister müssten dann riesige Datenbanken für die Informationen der Nutzer von unhosted Wallets anlegen, womit sie diese dem Risiko von Hacks und Datenlecks aussetzen. Legitime Nutzer, also solche, die ihre wahre Identität offenlegen und auch die tatsächliche Kontrolle über ihre jeweilige unhosted Wallet besitzen, wären dabei Risiken mit weitaus größeren Konsequenzen ausgesetzt als Bankkunden, die ihre Informationen bei traditionellen Finanzgeschäften angeben müssen.
Wenn Kriminelle im Traditionellen Finanzwesen die Bankdaten oder die Bankkarte eines Kontoinhabers stehlen, dann kommen sie damit in der Regel nicht weit, denn die Bank kann jederzeit das betreffende Konto sperren. Per Definitionem gibt es diese Möglichkeit bei unhosted Wallets jedoch nicht. Verwahrungshoheit, Absicherung durch Kryptografie und die eigene Sorgfalt werden von Millionen von Krypto-Nutzern auf der ganzen Welt als großer Vorteil angesehen, darunter ganz besonders solche Menschen, die vom etablierten Bankensystem ausgeschlossen werden. Hier liegt jedoch der Knackpunkt, denn diese Verwahrungshoheit setzt den Schutz der persönlichen Daten voraus.
Sobald dieser Datenschutz jedoch durchbrochen ist, zum Beispiel indem die Datenbank eines Wallet-Dienstleisters, in der sich die Informationen der Nutzer von unhosted Wallets befinden, gehackt wird, sehen sich die Wallet-Nutzer einem deutlich höheren Risiko ausgesetzt als normale Bankkunden. So wäre es für Kriminelle mit dem Wissen über Name, Adresse, Geburtsdatum, Personalausweisnummer und Blockchain-Aktivität eines Nutzers viel leichter, eine personalisierte Phishing-Attacke auf diese Person zu starten, gezielt deren Geräte anzugreifen oder diese sogar mit körperlicher Gewalt zu bedrohen bzw. anderweitig zu erpressen. Sobald Private Keys dann einmal erbeutet sind, hat der Nutzer unwiederbringlich die Kontrolle über sein Wallet verloren.
Da Kriminelle immer wieder Wege finden, Sicherheitsvorkehrungen auszuhebeln – zum Beispiel indem sie eine eigene Node auf einer Blockchain betreiben, und dadurch nicht auf die direkte Kommunikation mit dem Wallet-Dienstleister oder der jeweiligen Software der unhosted Wallet angewiesen sind – sind es allen voran die legitimen Nutzer, die einem überproportionalen Sicherheitsrisiko ausgesetzt sind.
Wo bleibt der Datenschutz?
Abgesehen von diesen Sicherheitsrisiken gibt es auch noch ganz grundsätzliche Bedenken hinsichtlich dem Datenschutz. So verstößt die EU mit ihren vorgeschlagenen Änderungen eigentlich sogar gegen grundlegende Prinzipien ihrer Datenschutz-Grundverordnung (GDPR), darunter die Datenminimierung, die darauf abzielt, dass alle gesammelten Daten dem Zweck angemessen und erheblich sowie auf das notwendige Maß beschränkt sind. Selbst, wenn wir für einen Moment ausblenden, dass die Datenerhebung in diesem Fall nicht wirklich zweckmäßig ist, da es keine zwangsläufige Verbindung zwischen dem Besitzer einer unhosted Wallet und dessen Identität gibt, ist es kaum zu verargumentieren, wieso es Daten zu Wohnort, Geburtsdatum und Personalausweisnummer braucht, um eine simple Transaktion durchzuführen. Obwohl Banken in der Regel zwar diese Daten über ihre Bankkunden erheben, ist ein Kontoführer nicht verpflichtet, diese Daten auch über eine Person oder ein Unternehmen einzuholen, an die sie Geld transferieren will.
Zudem ist unklar, wie lange Wallet-Dienstleister diese Daten speichern müssten. Nach den Grundsätzen der GDPR dürften diese Daten nur so lange gespeichert werden, wie es für den ursprünglichen Zweck der Erhebung notwendig war. Darüber hinaus ist noch nicht geklärt, wie individuelle Datenschutzrechte wie zum Beispiel das „Recht auf Vergessenwerden“ und das „Recht auf Berichtigung“ eingehalten werden können, wenn persönliche Informationen an einen Blockchain-Datensatz gekoppelt werden, der im Nachhinein nicht mehr verändert werden kann.
Die Tatsache, dass die vorgeschlagenen Änderungen auch keinerlei Risikobewertung oder einen Grenzbetrag (für Transaktionen bei Banküberweisungen liegt dieser bei 1.000 Euro) vorsehen, ist ebenfalls eine klare Abweichung vom üblichen Vorgehen der EU-Gesetzgeber. Vielmehr werden hier alle Krypto-Transaktionen unter Generalverdacht gestellt, nur weil sie mit Kryptowährungen abgewickelt werden.
Jetzt oder nie!
Angesichts der möglichen Verpflichtung, kostspielige Compliance-Mechanismen einführen zu müssen, die ohnehin an einer effektiven Umsetzung der Vorgaben scheitern würde, und damit das Risiko von Strafzahlungen und potenziellen Datenhacks einzugehen, könnten sich in der EU ansässige Wallet-Dienstleister womöglich schon bald dazu entscheiden, Transaktionen von und zu unhosted Wallets gänzlich einzustellen. Stattdessen bieten sie diesen Service dann vielleicht nur noch für EU-Bürger außerhalb der Europäischen Union an. Dies wäre ein schlechtes Signal für die europäische Kryptobranche und würde vermutlich die Abwanderung von Fachkräften und Kapital aus der EU bedeuten, wie es zuletzt schon in Großbritannien geschehen ist.
Des Weiteren könnten sich viele Krypto-Nutzer dazu entschließen, komplett auf Peer-to-Peer (P2P) Transaktionen und vollständig dezentralisierte Dienstleister auszuweichen, um derartige Vorgaben gänzlich zu umgehen. Obwohl dies für einige Nutzer sicherlich von Vorteil wäre, würde die EU damit verhindern, dass es eine reibungslose Zusammenarbeit zwischen zentralisierten und dezentralisierten Finanzdienstleistern gibt und dass Nutzer frei entscheiden können, wie sie ihre Transaktionen abwickeln wollen.
Zunächst geht der verabschiedete Änderungsvorschlag nun in den sogenannten Trilog zwischen Kommission, Rat und Parlament. Dieser finale Schritt des Gesetzgebungsprozesses soll voraussichtlich bis Ende Juni andauern. Sollte der Vorschlag in seiner jetzigen Form verabschiedet werden, gibt es innerhalb von 12 Monaten nach in Kraft treten noch die Chance auf eine erneute Überprüfung. Allerdings sollte die Kryptobranche ihre letzten Hoffnungen nicht auf diese Karte setzen. Vielmehr ist es jetzt die Zeit für die gesamte europäische Kryptobranche, um sich zusammenzuschließen und mit den Europaparlamentariern in den Dialog zu treten. Anstatt einfach nur die Regeln des Traditionellen Finanzwesens auf eine neue Technologie zu übertragen, sollten wir nach zielorientierten Lösungsansätzen suchen, die eine neuartige Form der Compliance schaffen, die der Funktionsweise von Krypto wahrlich Rechnung trägt.