Bereits bei Veröffentlichung der Kommissionsentwürfe zur Reform der PSD2, also PSR und PSD3, am 28. Juni 2023 fragte man sich, weshalb dort das Thema Crypto Assets (Kryptowerte) im Grunde nicht auftaucht. Denn die Verordnung über Märkte für Krypto-Werte (MiCAR) hatte das Zusammenspiel von PSD2 und auch der 2. E-Geld-Richtlinie (2EMD) im Grunde nur wenig geregelt. E-Money-Token (EMT) gelten als E-Geld heißt es dort spartanisch und nur E-Geld-Institute und Kreditinstitute dürfen diese EMT emittieren. Dass es hier zahlreiche weitere Überschneidungen der drei Richtlinien gibt (Transfer von EMT, SCA bei Transfer von EMT, Sicherung der im Tausch gegen EMT entgegengenommenen Gelder) sind nur zwei von vielen Beispielen.

Nun hat die Europäische Bankenaufsichtsbehörde (EBA) jüngst am 10. Juni 2025 einen sogenannten No Action Letter veröffentlicht, um Aufsichtsbehörden zu den bisher bestehenden Überschneidungen und Diskrepanzen praktische Lösungsmöglichkeiten vorzuschlagen und um dem aktuell mit der Verhandlung (demnächst im Trilog) der PSR und PSD3 befassten europäischen Gesetzgeber gesetzgeberische Lösungen vorzuschlagen.

1. Geltungsbereich und Definitionen

Die EBA empfiehlt, die Übertragung von EMTs durch Anbieter von Kryptowerte-Dienstleistungen (Crypto Asset Service Provider = CASPs) dann als (erlaubnispflichtigen) Zahlungsdienst im Sinne der PSD2 einzuordnen, wenn diese Übertragung im Auftrag der Kunden erfolgt. Dasselbe soll für Verwahrung und Verwaltung von EMTs gelten. Eine vom CASP für den Kunden geführte Custodial Wallet für EMT soll als Zahlungskonto eingestuft werden, sofern der Kunde aus der Wallet EMTs an Dritte senden und von diesen empfangen kann. Das sollte nicht für Self-Custody Wallets gelten.

Andere Dienstleistungen wie der Austausch von Kryptowerte gegen Geld oder gegen andere Kryptowerte sollen hingegen keine (erlaubnispflichtigen) Zahlungsdienste darstellen. Auch der bloße Erwerb von Kryptowerten mittels EMTs durch Vermittlung eines CASP soll keine PSD2-Zulassungspflicht begründen. Die EBA empfiehlt,

2. Zulassung und aufsichtsrechtliche Verfahren

Ein wesentlicher Überscheidungspunkt zwischen MiCAR und PSD2, der vielfach als unangemessen angesehen wird: CASPs, die solche Zahlungsdienste des Transfers von EMTs oder der Verwahrung und Verwaltung von EMTs für Kunden erbringen, bedürfen grundsätzlich neben der MiCAR-Erlaubnis (ggf. durch grandfathering) zudem einer Erlaubnis nach der PSD2.

Die EBA empfiehlt in ihrem No Action Letter allerdings den nationalen Aufsichtsbehörden, dass diesen den CASPs, die solche EMT-bezogenen Zahlungsdienste erbringen, eine Übergangsperiode bis zum 1. März 2026 gewähren, bevor sie dann tatsächlich eine PSD2-Zulassung halten müssen. Angesichts der üblichen Dauer eines Erlaubnisverfahrens ist das kein langer Zeitraum.

Beim PSD2/2EMD-Erlaubnisverfahren empfiehlt die EBA den nationalen Aufsichtsbehörden Erleichterungen: Bereits im MiCAR-Zulassungsverfahren eingereichte Angaben und Unterlagen sollen, so die EBA, im PSD2-Zulassungsprozess soweit möglich berücksichtigt werden. Die EBA verweist hier auf Art. 62(4) MiCAR, der dies für CASP-Erlaubnisverfahren spiegelbildlich so regelt. Gleichzeitig wird eine Vereinfachung der Antragsanforderungen bei PI-Lizenzen für CASPs angeregt.

Interessant ist auch der Verweis der EBA auf die Ausnahmebestimmungen der PSD2 (limited loop, limited range, commercial agent etc. – mit Ausnahme von Art 32 PSD2); diese gelten für die Frage, ob ein von einem CASP erbrachter Zahlungsdienst erlaubnispflichtig ist. Leider gelten sie nicht umgekehrt; MiCAR sieht für den Transfer von Krypotwerten keine Ausnahmen von der Erlaubnispflicht als CASP nach MiCAR vor.

Darüber hinaus spricht sich die EBA für eine enge Zusammenarbeit zwischen MiCAR- und PSD2-/2EMD-Behörden aus, um die wechselseitige Nutzung bestehender Informationen zu ermöglichen. Dies gilt sowohl bei Erlaubnisanträgen als Zahlungsinstitut / E-Geld-Institut für zugelassene CASPs als auch umgekehrt, wenn zugelassene E-Geld-Institute die Notifizierung nach Art 60 (4) MiCAR durchführen wollen.

Langfristig, so die EBA, ist Klarheit im Gesetzgebungsverfahren zu PSD3/PSR zu schaffen. Krypto-Dienstleistungen mit EMTs sollten entweder ausschließlich unter MiCA reguliert werden – ergänzt um relevante Verbraucherschutz- und Sicherheitsvorgaben – oder durch präzise Änderungen in PSD3/PSR eindeutig verortet werden. Zudem könnten Anzeigeverfahren für bereits nach MiCAR zugelassene CASPs eingeführt und Doppelzulassungen so vermieden werden.

3. Kapitalanforderungen

Beim aktuellen Stand der EU-Gesetzgebung spricht sich die EBA für eine kumulative Anwendung der Kapitalanforderungen aus PSD2 / 2EMD und MiCAR aus, sofern ein Unternehmen sowohl Zahlungsdienste oder E-Geld-Geschäft als auch EMT-bezogene Krypto-Dienstleistungen anbietet. Ein Beispiel: Für die Verwahrung von Kryptowerten („Klasse 2-Dienst“ nach Anhang IV MiCAR) sind 125.000 EUR Kapital erforderlich; für Zahlungsdienste nach PSD2 ebenfalls 125.000 EUR. Die Gesamtanforderung beträgt damit, so die EBA, 250.000 EUR. Eine doppelte Anrechnung identischer Kapitalbestandteile soll ausgeschlossen sein. Höhere oder niedrigere Eigenmittelanforderungen nach PSD2 sollen nur bei Vorliegen zusätzlicher Geschäftsrisiken bzw. entlastender Umstände gerechtfertigt sein.

4. Verbraucherschutz

Die EBA stellt klar, dass EMT-bezogene Dienstleistungen, die als Zahlungsdienste gelten, grundsätzlich denselben verbraucherschutzrechtlichen Anforderungen unterliegen sollen wie klassische Zahlungsdienste – insbesondere hinsichtlich Transparenz, Informationspflichten, Haftung und Rechte der Nutzer. Gleichzeitig erkennt die EBA an, dass einige der bestehenden Vorgaben aus PSD2 sowie auch der SEPA Verordnung, etwa zur Gebühreninformation, Ausführungsdauer oder zur Verwendung eindeutiger Identifikatoren, bei Distributed-Ledger-basierten Prozessen technisch schwer umsetzbar sind. Sie empfiehlt daher, diese Anforderungen im Aufsichtsalltag nicht zu priorisieren, wenn es um EMT-Transfers oder deren Verwahrung geht. Dennoch soll ein angemessener Schutz sichergestellt werden – entweder durch gezielte Anpassungen der MiCAR oder durch eine Klarstellung innerhalb der künftigen PSD3/PSR.

5. Starke Kundenauthentifizierung und Betrugsprävention

Die Verwahrung und Übertragung von EMTs muss gemäß dem Prinzip der technologischen Neutralität ebenso sicher erfolgen wie klassische Zahlungsdienste. Deshalb gelten die Anforderungen zur starken Kundenauthentifizierung (SCA) und zur Betrugsberichterstattung auch für CASPs. Die EBA räumt jedoch einen Übergangszeitraum bis zum 2. März 2026 ein, in dem die aufsichtliche Durchsetzung dieser Pflichten nicht priorisiert werden soll. Die Betrugsstatistik soll vereinfacht und nur ausgewählte Datenkategorien erhoben werden.

Offen lässt die EBA folgerichtig, wie die zur Beurteilung z.B. einer Haftung nach § 675v Abs. 4 BGB zuständigen staatlichen Gerichte damit umgehen sollen. Hier kann die EBA weder Empfehlungen abgeben noch Vorgaben machen; die Gerichte müssen sich auch für Transfers von EMTs, soweit diese Zahlungsdienste darstellen, an die gesetzlichen Vorgaben, also § 675v Abs. 4 BGB i.V.m. § 55 Abs. 1 ZAG, halten.

6. Sicherungs- und Verwahrungsanforderungen

Die EBA betont, dass die Sicherungsanforderungen der MiCAR – insbesondere Artikel 70 – für CASPs, die EMTs im Namen der Kunden halten, maßgeblich bleiben. Die parallelen Sicherungsvorgaben der PSD2 (z. B. Artikel 10) sollen bis auf Weiteres – so die EBA – nicht „priorisiert“ werden.

Im Gesetzgebungsverfahren der PSD3 – so die EBA – sollten entweder die Anforderungen der MiCAR präzisiert oder PSD3 entsprechend angepasst werden, um Klarheit über die Sicherungspflichten zu schaffen.

7. Open Banking

Da die Verwahrung und Verwaltung von EMTs in Custodial Wallets als Bereitstellung von Zahlungskonten angesehen wird, finden darauf auch die PSD2 Vorgaben zu offenen Schnittstellen (XS2A) grundsätzlich Anwendung; dies gilt grundsätzlich auch für die Zahlungskontenrichtlinie (in Deutschland ZKG). Die EBA empfiehlt jedoch den nationalen Aufsichtsbehörden, die der XS2A-Regularien auf EMT-bezogene CASP-Dienste derzeit nicht zu „priorisieren“.

Im Gesetzgebungsverfahren der PSR empfiehlt die EBA klarzustellen, ob und inwieweit Custodial Wallets als Zahlungskonten im Sinne der XS2A-Regelungen der PSR gelten sollen. Etwaige Änderungen sollten zudem mit der geplanten Finanzdatenverordnung (FIDA) abgestimmt werden.

8. Anwendungsbeispiele aus der Praxis

Zur Veranschaulichung, wie die Empfehlungen der EBA konkret in der Praxis Anwendung finden könnten, lassen sich beispielhafte Konstellationen skizzieren:

1. CASP mit bestehender MiCAR-Autorisierung: Ein bereits lizenzierter CASP betreibt eine Wallet zur Übertragung von EMTs. Nach der Empfehlung des No Action Letter soll er EMT-bezogene Zahlungsdienste bis März 2026 ohne PSD2-Zulassung erbringen dürfen. Die im MiCAR-Verfahren geprüften Sicherheitsmaßnahmen sollen dabei als ausreichend gelten.
2. Vereinfachtes Reporting: Ein Fintech, das EMT-Verwahrung und -Handel anbietet, nutzt die im MiCAR-Verfahren erhobenen Daten, um PSD2-Anforderungen zu erfüllen. Das verringert die regulatorische Belastung.
3. Übergangsregelung für neue Dienste: Ein Startup entwickelt eine Plattform für EMT-Transfers zwischen verschiedenen Systemen. Die Dienstleistung fällt grundsätzlich unter PSD2; die EBA empfiehlt in ihrem No Action Letter, dass diese Dienstleistung zunächst allein MiCAR-compliant sein soll – was eine schnelle Markteinführung ermöglicht.

Diese Praxisbeispiele zeigen die Vorschläge, mit denen die EBA regulatorische Doppelbelastungen reduzieren will.

9. Grundlage und Wirkung dieses No Action Letter - Umgang in der Praxis

Ein No Action Letter ist keine verbindliche aufsichtsrechtliche Weisung an Aufsichtsbehörden und schon gar kein Gesetz.

Das Instrument des No Action Letter nach Art. 9c EBA-Verordnung wurde erst mit der Änderung dieser Verordnung Ende 2019 geschaffen. Die EBA darf eine solche Stellungnahme abgeben, wenn die Anwendung von Gesetzgebungsakten, delegierte Rechtsakten (RTS) und Durchführungsrechtakten (ITS) „wahrscheinlich erhebliche Bedenken“ aufwirft, weil die EBA der Auffassung ist, dass deren Durchsetzung in direktem Widerspruch zu einem anderen Rechtsakt steht. Im vorliegenden Fall hat die EBA – wie sie schreibt – sich wohl auf Art 9c Absatz 4 EBA-Verordnung gestützt, weil ein Gesetzgebungsakt „erhebliche außergewöhnliche Bedenken aufwirft, die das Marktvertrauen, den Verbraucher-, Kunden- oder Anlegerschutz, das ordnungsgemäße Funktionieren und die Integrität der Finanz- oder Warenmärkte oder die Stabilität des Finanzsystems in der Union als Ganzes oder in Teilen betreffen“.

Der No Action Letter wurde vom Board of Supervisors der EBA angenommen, d.h. mindestens die Mehrheit der Aufsichtsbehörden der EU hat zugestimmt.

Zwar sieht die EBA-Verordnung für das Instrument des No Action Letter – anders als bei Leitlinien geregelt – nicht ausdrücklich vor, dass die nationalen Aufsichtsbehörden (z.B. die BaFin) öffentlich erklären, ob sie den Vorschlägen folgen. Jedoch hat die Bafin dies in der Vergangenheit verschiedentlich so gehandhabt. Auch im vorliegenden Fall würde man deshalb eine solche öffentliche Erklärung der BaFin erwarten.

Bis dahin sollten betroffene Unternehmen in Zweifelsfällen der Überschneidung von MiCAR und PSD2/2EMD mit der BaFin (je nach Lage, Abteilung IF oder Gruppe ZK) Rücksprache halten.