Bis zum 1. Juli 2026 muss jedes Unternehmen, das in der EU Krypto-Asset-Services erbringt, eine MiCA-CASP-Genehmigung haben. Keine Ausnahmen, keine Verlängerungen. Ob viele Betreiber die Prüfung bestehen, ist eine andere Frage.
Nicht viele, basierend auf aktuellen Daten. Im Frühjahr 2026 hatten etwa 130–140 CASPs in allen 27 EU-Mitgliedstaaten eine vollständige MiCA-Genehmigung. Hunderte von Unternehmen, die unter Pre-MiCA-VASP-Registrierungen tätig waren, warten immer noch oder haben nie einen Antrag gestellt. Italien hatte über 150 VASP-Registrierungen vor MiCA; Frankreich 104. Praktisch keine haben umgestellt.
Das ist kein reiner Rückstand. MiCAs Anforderungen wurden für regulierte Finanzunternehmen konzipiert, nicht für Krypto-Startups. Eine 5-Milliarden-Euro-Börse und ein 10-köpfiges Wallet-Produkt sehen sich identischen Kapital-, Governance- und ICT-Anforderungen gegenüber. Diese Symmetrie ist der Grund, warum die meisten Anträge scheitern.
Drei Service-Klassen, drei Kapitaluntergrenzen#
MiCA-Artikel 67 bindet die Kapitalanforderungen direkt an die angebotenen Services. Es gibt drei Klassen, und die Mindesteigenmittel werden durch die Klasse bestimmt, in der das Unternehmen tätig ist:
Klasse 1 umfasst Beratungsdienstleistungen sowie Annahme und Weitergabe von Aufträgen. Mindesteigenmittel: 50.000 Euro. Der Umfang ist eng – keine Austauschfunktion, keine Verwahrung. Hier landen Unternehmen, die Informations- oder Signalservices anbieten.
Klasse 2 ergänzt den Austausch gegen Fiat und andere Krypto-Assets, die Ausführung von Kundenaufträgen und das Platzieren. Kapitaluntergrenze: 125.000 Euro. Spot-Trading-Plattformen, OTC-Schalter und Aggregatoren gehören hier.
Klasse 3 ergänzt die Verwahrung und Verwaltung von Krypto-Assets im Auftrag von Kunden. Kapitaluntergrenze: 150.000 Euro. Jedes Unternehmen, das private Kundenschlüssel hält, ein Verwahrungsportemonnaie betreibt oder Kundenpositionen verwaltet, fällt in diese Klasse.
Die Zahlen wirken bescheiden. Das trügt.
Das Kapital muss als regulatorische Eigenmittel gehalten werden – nicht als Betriebskapital, nicht als Kundeneinzahlungen. Es muss segregiert sein und auf Anforderung der nationalen Behörde verfügbar sein. Für einen Start-up-Betreiber in der frühen Phase ist die dauerhafte Bindung von 125.000–150.000 Euro eine echte Hürde.
Artikel 67(1)(b) verlangt zusätzlich Eigenmittel in Höhe des höheren Wertes zwischen der Klassenuntergrenze und einem Viertel der Betriebskosten des vorangegangenen Jahres. Ein Unternehmen mit 600.000 Euro jährlichen Betriebskosten benötigt 150.000 Euro, unabhängig davon, welche Services es erbringt. Skaliert sich das Geschäft, übersteigt die kostenbasierte Berechnung die Klassenuntergrenze, ohne dass sich das Produkt ändert.
Ein Upgrade zwischen Klassen ist keine Formularänderung. Ein Klasse-2-Unternehmen, das Verwahrung hinzufügt, benötigt eine neue Klasse-3-Aufsichtsprüfung. Services können nicht während des Genehmigungsprozesses aktiviert werden.
Die meisten Krypto-Unternehmen, die ein vollständiges Produkt – Börse plus Verwahrung – aufbauen, sind standardmäßig Klasse 3, egal ob Verwahrung das Ertragszentrum ist. Ein Unternehmen, das Benutzern ermöglicht, nach einem Trade einen Saldo zu halten, erbringt Verwahrungsdienstleistungen. Die 150.000-Euro-Untergrenze und der komplette Klasse-3-Governance-Stack gelten von Tag eins an.
Governance ist keine Checkbox – Artikel 68 bedeutet tatsächliche Struktur#
Kapital ist der Eintritt. Die Artikel 68 bis 71 entscheiden, ob der Antrag genehmigt wird.
Artikel 68 verlangt, dass das Management einen „ausreichend guten Ruf" und „angemessene Kenntnisse, Fertigkeiten und Erfahrung" für die Komplexität des CASP hat. Nationale Behörden wünschen sich mindestens einen geschäftsführenden Direktor, der im EWR ansässig ist und dort tatsächlich lebt und arbeitet. Nur zur Teilnahme an Vorstandssitzungen anzureisen, funktioniert bei der Bank of Lithuania, der AFM oder BaFin nicht.
ESMAs RTS gemäß Artikel 68 verlangen, dass zentrale interne Kontrollfunktionen benannte Verantwortliche, dokumentierte Verantwortungsbereiche und nachgewiesene strukturelle Unabhängigkeit haben. Das Drei-Linien-Modell wird erwartet. Eine Compliance-Funktion, die dem COO untersteht, der auch Umsatz und Geschäftsentwicklung leitet, erfüllt den Unabhängigkeitstest bei den meisten nationalen Behörden nicht. Der Compliance-Officer berichtet an das Board, nicht an die Geschäftsführung.
Jeder Inhaber einer Schlüsselfunktion durchläuft eine Eignungsprüfung: CEO, CFO, Head of Compliance, MLRO. In vielen Ländern auch Head of IT und Head of Custody, wenn diese Rollen regulierte Aktivitäten berühren. Jede Person reicht Berufshistorie, Qualifikationen und ein Führungszeugnis ein. Wenn eine Person scheitert, wird der gesamte Antrag eingefroren.
Artikel 69 bis 71 fügen hinzu: ein Beschwerdeverfahren mit definierten Eskalationswegen und Reaktionszeitrahmen; Kundenkommunikationsstandards für Klarheit und Transparenz; und eine schriftliche Interessenskonfliktsrichtlinie mit regelmäßiger Boardprüfung.
Die MLRO-Rolle hat ihre eigenen Regeln. Die meisten EU-Mitgliedstaaten verlangen sie als benannte, dedizierte Position – unterscheidbar von der CCO – mit Vorstandszugang und dokumentierter Autorität, um Suspicious Activity Reports unabhängig einzureichen. Du kannst diese Funktion nicht an externe Rechtsanwälte delegieren. Der MLRO muss auf der Gehaltsliste stehen.
Technisch ist das nicht schwer zu verstehen. Der Aufbau dauert mindestens sechs Monate, und die NCA wird überprüfen, dass es tatsächlich funktioniert – nicht nur, dass Richtliniendokumente vorhanden sind.
Die meisten Betreiber in dieser Phase lesen, wie ItisPay dies ohne ihre eigene Lizenz löst, anstatt 12 Monate damit zu verbringen, eine Compliance-Organisation aufzubauen, bevor sie wissen, ob die NCA sie genehmigt.
IKT und DORA: Die technische Schicht, die die meisten Betreiber unterschätzen#
Ab dem 17. Januar 2025 fallen von MiCA regulierte CASPs auch unter die Digital Operational Resilience Act (DORA). MiCA verlangt ein IKT-Sicherheitsframework als Genehmigungsbedingung. DORA spezifiziert, was darin enthalten sein muss.
Die DORA-Einreichung – Teil des MiCA-Antrags – muss abdecken:
- Ein IKT-Risikomanagement-Framework mit schriftlichen Richtlinien für Identifikation, Schutz, Erkennung, Reaktion und Wiederherstellung
- Verfahren zur Incidenterkennung, Klassifizierung und Meldung. Größere IKT-Vorfälle müssen der NCA innerhalb definierter Stunden nach Erkennung gemeldet werden
- Ein Geschäftskontinuitätsplan, der jährlich getestet wird
- Ein Drittanbieter-IKT-Risikoregister für alle wesentlichen Anbieter und Cloud-Provider, mit einer schriftlichen Ausstiegsstrategie für jeden
- Incident-Response-Übungen nach einem definierten Plan
Für „bedeutende" CASPs über NCA-definierten Größenschwellen verlangen die DORA-Artikel 24–27 Threat-Led Penetration Testing alle drei Jahre durch genehmigte externe Anbieter. Ein erstes TLPT-Engagement – Scope, Durchführung, Sanierungsbericht – kostet normalerweise zwischen 30.000 und 80.000 Euro.
Ein DORA-konformes IKT-Framework von Grund auf aufzubauen dauert sechs bis zwölf Monate. Der Antrag verlangt nicht nach einer Richtlinienvorlage, sondern nach einer aktiven, operativen Struktur. NCAs wollen Testaufzeichnungen und Incident-Protokolle sehen. Firmen, die mit Dokumentation aber ohne zugrunde liegende operative Nachweise ankommen, werden in der ersten formalen Überprüfungsrunde abgelehnt.
Anforderungen an Drittanbieterrisiken treffen Kryptounternehmen, die auf der Cloud laufen, hart. Jede wesentliche Abhängigkeit – Hosting-Anbieter, KYC-Anbieter, Blockchain-Datenanbieter, Custody-Technologieanbieter – braucht dokumentierte Due Diligence, vertragliche Audit-Rechte und einen schriftlichen Ausstiegsplan. Ein Unternehmen, das keinen glaubhaften Ausstieg aus AWS, Google Cloud oder Fireblocks nachweisen kann, erfüllt DORAs Konzentrationsschwelle nicht.
Land für Land: Zeitpläne sind nicht gleich#
MiCA ist EU-weit. Die Zulassung erfolgt national, und die Unterschiede zwischen den Mitgliedstaaten sind erheblich.
Litauen ist das schnellste. Die Bank von Litauen schließt die CASP-Zulassung typischerweise in sechs Monaten ab, manchmal schneller bei sauberen Unterlagen. Die Übergangsphase endete am 1. Januar 2026. Unternehmen, die dort noch unter vorübergehendem Status tätig sind, bewegen sich auf dünnem Eis. Für Anträge mit vollständiger Dokumentation, die bis Februar 2026 eingereicht wurden, ist Litauen die einzige Gerichtsbarkeit, die theoretisch vor Juli eine Lizenz ausstellen könnte.
Die Niederlande sind das zweitgrößte Zentrum. Die AFM erteilte ihre ersten MiCA-Lizenzen am 30. Dezember 2024 und hatte Anfang Mai 2026 26 CASPs zugelassen. Die Bearbeitung dauert neun bis zwölf Monate. Dafür verlangt die AFM echte Substanz: ein Registered Office, echtes lokales Personal, echte betriebliche Präsenz. Shell-Strukturen werden früh aussortiert.
BaFin ist das anspruchsvollste. Rechnen Sie mit zwölf bis vierundzwanzig Monaten. Eine vollständige BaFin-Akte übersteigt typischerweise 200 Seiten, bevor die erste Rückmeldung kommt. Deutschland führt mit 53 zugelassenen CASPs im Mai 2026 an – das spiegelt seinen etablierten Finanzsektor wider, nicht einen einfachen Weg für Neueinsteiger. Ein BaFin-Antrag ohne echte deutsche betriebliche Substanz ist ein mehrjähriges Projekt.
Frankreich (AMF) und Italien (Banca d'Italia / Consob) dauern zwölf bis achtzehn Monate. Malta (MFSA) veröffentlichte im März 2025 detaillierte MiCA-Richtlinien und positioniert sich als Fintech-freundlich, obwohl die Zulassungszahlen unter denen der drei größeren Märkte liegen.
Für Teams, die noch nicht eingereicht haben, ist die Realität hart: Keine Gerichtsbarkeit erteilt eine CASP-Zulassung vor dem 1. Juli 2026, es sei denn, der Antrag befindet sich bereits in fortgeschrittener NCA-Überprüfung. Das Fenster hat sich überall geschlossen, außer marginal in Litauen.
Polen: Die offene Regulierungslücke#
Polen ist anders. Am 1. Dezember 2025 legte Präsident Karol Nawrocki sein Veto gegen das Gesetz über den Kryptoanlage-Markt ein – das Gesetz, das Polen brauchte, um MiCA inland umzusetzen.
Die Gründe waren konkret. Das Präsidialamt kritisierte zwei Bestimmungen: eine, die der KNF erlaubt, Kryptoanlage-Websites einseitig zu blockieren, und eine andere, die der KNF erlaubt, Konten bis zu 96 Stunden bei Verdacht auf Insider-Trading einzufrieren, verlängerbar auf sechs Monate ohne vorherige gerichtliche Genehmigung.
Folge: Keine Behörde in Polen akzeptiert derzeit CASP-Anträge. Unternehmen unter Polens Pre-MiCA-VASP-Registrierung befinden sich in rechtlicher Unsicherheit. MiCA gilt unmittelbar in Polen – die Verordnung hat in allen EU-Staaten Rechtskraft. Ohne benannte NCA und nationale Verfahrensregeln gibt es aber keine Akte zum Einreichen.
Im Mai 2026 wurde keine überarbeitete Vorlage verabschiedet. Unternehmen mit polnischen Operationen sitzen im selben 1.-Juli-Problem wie Betreiber überall sonst in der EU, aber ohne Weg heraus. Die Optionen sind Neuregelung, Umzug zu einer anderen Gerichtsbarkeit oder Ausstieg.
Die echten Blockierer hinter den Zahlen#
Die Kapitaluntergrenze ist selten das Problem. Die echten Hürden sind fünf Anforderungen, die gleichzeitig erfüllt sein müssen, und keine lässt sich umgehen.
Der Compliance Officer kann nicht geteilt werden. NCAs lehnen Anträge ab, bei denen die Compliance-Funktion mit einer Ertragsrolle verbunden oder auf mehrere Entitäten verteilt ist. Ein dedizierter CCO mit EU-Anmeldedaten und EWR-Wohnsitz kostet mindestens 80.000–120.000 € pro Jahr. Das ist nicht ein Rechtskanzleihonorar – das ist ein Vollzeitangestellter auf der Gehaltsabrechnung ab Tag eins des Antrags.
Das Antragspaket ist kein Formular. Eine vollständige MiCA-Akte umfasst: Governance-Richtlinien und Organigramm, AML/CFT-Programm, DORA-ICT-Rahmen, Kapitalnachweis und -prognosen, einen dreijährigen Geschäftsplan, Fitness-and-Proper-Dossiers für jeden Funktionsträger, Clientenvermögen-Schutzrichtlinie, Beschwerdeverfahren, Interessenskonflikte-Richtlinie und ein MiCA-konformes Whitepaper, wo zutreffend. Das sind typischerweise mehrere hundert Seiten. Die meisten NCAs stellen mindestens eine Zusatzinformationsanforderung, die die Überprüfung um Monate zurückwirft.
Das Kapital bleibt gesperrt. Das Eigenkapital muss während der gesamten Lebensdauer der Zulassung gehalten werden. Für ein Startup, das Kapitalflexibilität braucht, konkurriert die Eigenkapitalanforderung direkt mit dem Betriebsbudget.
Zeitpläne sind nicht bindend. NCAs können die Überprüfung nach Ermessen verlängern. Keine Gerichtsbarkeit bietet eine verbindliche Bearbeitungsfrist. Ein Unternehmen, das seine Roadmap um einen Start im Q3 2026 herum geplant hat, kann nicht mit einer Lizenz kalkulieren, die sich noch in erster Überprüfungsrunde befindet.
Beaufsichtigung kostet jährlich €150.000–€250.000. Das umfasst jährliche Aufsichtsgebühren, laufende IKT-Tests, Audits und Compliance-Personal. Die Kosten im ersten Jahr sind also ein Anfang, nicht die Gesamtbelastung.
Für Teams ohne Budget von €300.000–€500.000 im ersten Jahr: siehe die Softwareebenen-Alternative.
Drei Optionen nach dem 1. Juli 2026#
Unternehmen ohne CASP-Genehmigung bis dahin haben drei Möglichkeiten.
EU-Aktivitäten einstellen. Sie verzichten auf EU-Dienste, bis die Genehmigung kommt. Das ist regelkonform, tut aber weh, wenn EU-Nutzer oder europäische Zahlungsströme wichtig sind.
Über eine lizenzierte Gruppenfirma arbeiten. Ein Mutterunternehmen oder eine verbundene Gesellschaft mit CASP-Genehmigung in der EU kann Dienstleistungen in alle Mitgliedstaaten bringen – via MiCAs Passporting-Mechanismus. Das erfordert aber echte Unternehmensumstrukturierung, nicht nur gemeinsames Branding. Die lizenzierte Einheit braucht echte wirtschaftliche Substanz. Passporting-Mitteilungen müssen bei Heimat- und Host-NVKs eingereicht werden. Gruppen ohne bestehende autorisierte Einheit müssen eine kaufen oder aufbauen – und landen damit wieder in der Genehmigungswarteschlange.
Mit einem lizenzierten Partner arbeiten. Unternehmen, die Austausch-, Transfer- oder Verwahrungsdienstleistungen für EU-Kunden anbieten wollen, können über einen CASP und ein lizenziertes EU-Zahlungsinstitut arbeiten. Der Partner trägt die regulatorische Last. Ihr Produkt bleibt unter Ihrem Namen.
Wenn Sie jetzt keinen eigenen Compliance-Stack aufbauen möchten: verbinden Sie sich mit einem lizenzierten CASP- und PI-Partner.
Dieser Artikel ist Information, keine Rechtsberatung. Sprechen Sie mit Anwälten, bevor Sie handeln.
