Handel von Bitcoin, Ether und anderen Kryptowährungen: Wann brauchen Unternehmen eine BaFin-Erlaubnis?

Das Wichtigste in Kürze

• Privater Handel ist erlaubnisfrei. Wer Bitcoin, Ether und andere Kryptowerte auf eigene Rechnung kauft und verkauft, braucht keine BaFin-Erlaubnis. Security Tokens werden hier behandelt.
• Sobald Sie für Kunden tätig werden, brauchen Sie eine Erlaubnis. Das gilt für Verwahrung, Tausch, Orderausführung, Vermittlung, Plattformbetrieb, individuelle Beratung und Transferdienste.
• Ohne Erlaubnis drohen Strafen. § 46 KMAG sieht Freiheitsstrafe bis zu fünf Jahren oder Geldstrafe vor. Die BaFin ordnet die Einstellung des Geschäftsbetriebs an.

Auf dieser Seite

• Brauche ich eine BaFin-Erlaubnis?
• Schnelltest für Ihr Geschäftsmodell
• Wann der Handel erlaubnisfrei ist
• Wann der Handel erlaubnispflichtig ist
• Was eine MiCAR-Zulassung ist
• Pflichten mit der Zulassung
• Wallets und Verwahrung
• Beratung zu Kryptowerten
• Ausländische Anbieter
• Bestehende KWG-Erlaubnis
• Folgen ohne Erlaubnis
• Häufige Fehler
• Häufige Fragen (FAQ)

Brauche ich für den Bitcoin-Handel eine BaFin-Erlaubnis?

Privatpersonen brauchen für den Kauf und Verkauf von Bitcoin keine Erlaubnis. Unternehmen brauchen eine Erlaubnis, sobald sie Kryptowerte-Dienstleistungen für Kunden erbringen. Die Erlaubnispflicht knüpft an die tatsächliche Tätigkeit gegenüber dem Kunden an. Die Bezeichnung des Geschäftsmodells spielt aufsichtsrechtlich keine Rolle.

Die entscheidende Frage lautet: Erbringen Sie gegenüber Kunden eine Kryptowerte-Dienstleistung? Wer Kundenorders annimmt, fremde Bitcoin verwahrt, Tauschgeschäfte ausführt oder eine Handelsplattform betreibt, fällt unter die MiCAR. In Deutschland erteilt die BaFin die Zulassung und beaufsichtigt diese Anbieter gemeinsam mit der Deutschen Bundesbank.

Schnelltest: Müssen Sie Ihr Geschäftsmodell prüfen?

Beantworten Sie eine der folgenden Fragen mit Ja, klären Sie Ihr Modell vor dem Marktstart aufsichtsrechtlich:

• Verwahren Sie Bitcoin, Ether oder andere privaten Schlüssel (Private Keys) für Kunden?
• Nehmen Sie Kundenorders an oder leiten Sie diese weiter?
• Tauschen Sie Bitcoin, Ether oder andere Kryptowerte für Kunden gegen Euro oder andere Kryptowerte?
• Bringen Sie Käufer und Verkäufer auf einer Plattform zusammen?
• Geben Sie einzelnen Kunden Empfehlungen zum Kauf, Verkauf oder Halten von Bitcoin oder anderen Kryptowerten?
• Erbringen Sie Transferdienste für Kryptowerte im Namen von Kunden?
• Sprechen Sie aus dem Ausland gezielt deutsche oder europäische Kunden an?

Klären Sie diese Fragen vor dem Produktdesign, dem Website-Livegang und dem Vertriebsstart.

Wann ist der Handel von Bitcoin und anderen Kryptowährungen erlaubnisfrei?

Der Handel von Bitcoin und anderen Kryptowerten ist erlaubnisfrei, solange er auf eigene Rechnung erfolgt und keine Dienstleistung für Kunden umfasst. Zu den erlaubnisfreien Handlungen zählen:

• der private Kauf und Verkauf über eine Krypto-Börse,
• Investments im eigenen Vermögen, auch bei häufigen Transaktionen,
• das Halten von Bitcoin und anderen Kryptowerten durch eine GmbH im eigenen Bestand,
• die Annahme von Bitcoin und anderen Kryptowerten als Zahlungsmittel im eigenen Geschäft,
• der Verkauf eigener Bestände,
• das Mining für die eigene Wallet.

Die Grenze verläuft beim Kundenbezug. Sobald Sie Kundenorders annehmen, Käufer und Verkäufer zusammenführen oder fremde Kryptowerte verwahren, gilt der Erlaubnisvorbehalt.

Wann ist der Bitcoin-Handel erlaubnispflichtig?

Eine Erlaubnis brauchen Sie, sobald Sie eine der in der MiCAR definierten Kryptowerte-Dienstleistungen für Kunden erbringen. Für Krypto-Geschäftsmodelle sind diese Dienste am wichtigsten:

• Verwahrung und Verwaltung: Sie kontrollieren private Schlüssel oder andere Zugriffsmittel für Kunden.
• Betrieb einer Handelsplattform: Sie führen Kauf- und Verkaufsinteressen mehrerer Dritter zusammen.
• Tausch: Sie tauschen Bitcoin oder andere Kryptowerte für Kunden gegen Euro oder gegen andere Kryptowerte.
• Orderausführung: Sie führen Aufträge im Namen von Kunden aus.
• Annahme und Übermittlung von Aufträgen: Sie leiten Kundenorders an Dritte weiter.
• Beratung und Portfolioverwaltung: Sie geben individuelle Empfehlungen oder verwalten Krypto-Portfolios.
• Transferdienste: Sie übertragen Kryptowerte im Namen von Kunden.

Übersicht: erlaubnisfrei oder erlaubnispflichtig?

Tätigkeit	Aufsichtsrechtliche Einordnung
Privater Kauf und Verkauf	erlaubnisfrei
Bitcoin oder andere Kryptowerte im Eigenbestand einer GmbH	erlaubnisfrei
Bitcoin oder andere Kryptowerte als Zahlungsmittel im eigenen Geschäft	erlaubnisfrei
Verwahrung für Kunden	erlaubnispflichtig
Betrieb einer Handelsplattform	erlaubnispflichtig
Tausch gegen Euro für Kunden	erlaubnispflichtig
Tausch gegen andere Kryptowerte für Kunden	erlaubnispflichtig
Annahme und Übermittlung von Orders	erlaubnispflichtig
Ausführung von Orders für Kunden	erlaubnispflichtig
Individuelle Beratung	erlaubnispflichtig
Portfolioverwaltung	erlaubnispflichtig
Transferdienste im Kundennamen	erlaubnispflichtig

Was ist eine MiCAR-Zulassung?

Die MiCAR-Zulassung ist die behördliche Erlaubnis, Kryptowerte-Dienstleistungen anbieten zu dürfen. Anbieter solcher Dienstleistungen heißen unter der MiCAR Crypto-Asset Service Provider, kurz CASP. Umgangssprachlich ist auch von einer Krypto-Lizenz die Rede. Unternehmen brauchen sie, wenn sie in der EU gewerblich Leistungen wie Verwahrung, Tausch, Orderausführung oder den Betrieb einer Krypto-Handelsplattform anbieten. Mit einer Zulassung aus einem EU-Mitgliedstaat erbringen Anbieter ihre Dienste über das Passporting nach Artikel 65 MiCAR auch grenzüberschreitend.

Das Zulassungsverfahren richtet sich nach Artikel 63 MiCAR. Der Antrag ist bei der zuständigen nationalen Behörde des Herkunftsmitgliedstaats einzureichen. In Deutschland ist dies die BaFin. Die Behörde prüft den Antrag innerhalb von 25 Arbeitstagen auf Vollständigkeit und entscheidet innerhalb von 40 weiteren Arbeitstagen über die Zulassung. Dem Antrag sind unter anderem ein Geschäftsplan, Nachweise zur Unternehmensführung, eine Beschreibung der internen Kontrollmechanismen sowie Informationen zu den geplanten Sicherheitsvorkehrungen beizufügen.

Neben dem Verfahren selbst stellt MiCAR an zugelassene CASPs eine Reihe organisatorischer Anforderungen. Dazu gehören Vorgaben zu Eigenkapital und Berufshaftpflichtversicherung, die abhängig von den angebotenen Dienstleistungen variieren, sowie Anforderungen an die Leitungsorgane hinsichtlich Zuverlässigkeit und fachlicher Eignung. Darüber hinaus müssen CASPs Regelungen zur Verwaltung von Interessenkonflikten, zur Auslagerung von Tätigkeiten sowie zum Schutz von Kundenvermögen einhalten. Diese Pflichten gelten dauerhaft und nicht nur zum Zeitpunkt der Antragstellung.

→ Verfahren, Kosten und Eigenmittel behandeln wir im Beitrag „MiCAR-Zulassung: Verfahren, Kosten und Eigenmittel im Überblick“.

→ Wie Sie Ihren Token vorab richtig einordnen, lesen Sie im Beitrag „Token-Klassifizierung unter MiCAR“.

Welche Pflichten kommen mit der Zulassung?

Mit der Zulassung gehen handfeste operative Pflichten einher, die bereits im Antrag nachgewiesen werden müssen.

Eigenmittel sind abhängig von der Art der beantragten Dienstleistungen vorzuhalten. MiCAR unterscheidet drei Klassen: Für einfachere Dienstleistungen wie die bloße Auftragsannahme oder -weiterleitung genügt ein Anfangskapital von 50.000 Euro, für den Betrieb einer Handelsplattform oder die Verwahrung von Krypto-Assets sind es 150.000 Euro. Hinzu kommt eine laufende Anforderung in Höhe von einem Viertel der fixen Gemeinkosten des Vorjahres, sofern dieser Betrag höher liegt. Das Eigenkapital muss jederzeit tatsächlich verfügbar sein.

Geldwäscheprävention verpflichtet CASP nach der EU-Geldwäscherichtlinie zur Einführung eines AML/KYC-Programms. Das umfasst die risikobasierte Kundenidentifizierung, laufende Transaktionsüberwachung, die Meldung verdächtiger Aktivitäten an die Financial Intelligence Unit und die Benennung eines AML-Beauftragten. Für Transfers gilt zusätzlich die Travel Rule: Ab 1.000 Euro müssen Angaben zu Auftraggeber und Begünstigtem übermittelt werden.

→ Die geldwäscherechtlichen Pflichten und die Travel Rule behandeln wir im Beitrag „MiCAR und Travel Rule: Das AML-Compliance-Handbuch für Krypto-Dienstleister“.

Segregation of Assets ist kein bloß buchhalterisches Erfordernis, sondern ein strukturelles. Verwahrte Krypto-Assets müssen auf getrennten Wallets oder in getrennten Depotstrukturen gehalten werden, sodass sie im Insolvenzfall des Anbieters direkt den Kunden zugeordnet werden können.

DORA ergänzt diese Anforderungen um eine eigene Ebene digitaler Widerstandsfähigkeit. Erforderlich sind ein dokumentiertes ICT-Risikomanagement-Framework, Business-Continuity-Pläne für den IT-Ausfall sowie klare Incident-Prozesse mit definierten Meldefristen. Die initiale Meldung eines schwerwiegenden Vorfalls an die BaFin hat innerhalb von vier Stunden zu erfolgen. Größere Anbieter müssen zudem regelmäßige Threat-Led Penetration Tests durchführen. Die BaFin prüft diese Vorkehrungen bereits im Zulassungsverfahren, weil ein IT-Ausfall oder Datenverlust unmittelbar Kundengelder gefährden kann.

Was gilt für ausländische Anbieter?

Anbieter aus Drittstaaten ohne EU-Zulassung dürfen EU-Kunden grundsätzlich nicht aktiv bedienen. Eine Ausnahme besteht nur über die sogenannte Reverse Solicitation: Wendet sich ein Kunde aus eigener Initiative an einen ausländischen Anbieter, ohne dass dieser zuvor gezielt auf ihn zugegangen ist, darf der Anbieter die gewünschte Dienstleistung erbringen. Die Ausnahme ist jedoch eng gefasst. Sie gilt ausschließlich für die konkret angeforderte Leistung und erlischt, sobald der Anbieter den Kunden im Nachgang aktiv anspricht oder ihm weitere Produkte anbietet. Jede gezielte Ansprache deutscher oder europäischer Kunden, etwa durch lokalisierte Werbung, deutschsprachige Webseiten oder gezielte Marketingkampagnen, hebt die Ausnahme auf und begründet die volle Zulassungspflicht. Die BaFin und die ESMA haben klargestellt, dass Reverse Solicitation restriktiv auszulegen ist und nicht als regulatorisches Schlupfloch genutzt werden darf.

→ Die Details zur Reverse Solicitation behandeln wir im Beitrag „Reverse Solicitation unter MiCAR: Dürfen Drittstaatenanbieter EU-Kunden bedienen?“.

Was passiert ohne erforderliche Erlaubnis?

Wer gewerbsmäßig Kryptowerte-Dienstleistungen ohne Zulassung erbringt, macht sich strafbar. § 46 Absatz 1 KMAG sieht für das Erbringen von Kryptowerte-Dienstleistungen ohne die nach Artikel 59 MiCAR erforderliche Zulassung Freiheitsstrafe bis zu fünf Jahren oder Geldstrafe vor. Daneben ordnet die BaFin nach § 9 KMAG die sofortige Einstellung des Geschäftsbetriebs und die Abwicklung unerlaubter Geschäfte an. § 10 KMAG verleiht ihr weitreichende Auskunfts- und Prüfungsbefugnisse.

Mögliche Folgen:

• Untersagungsverfügungen und Abwicklungsanordnungen,
• Bußgelder und strafrechtliche Risiken,
• Geschäftsunterbrechungen und Reputationsschäden,
• zivilrechtliche Ansprüche von Kunden und Geschäftspartnern,
• persönliche Haftung der Geschäftsleiter,
• Probleme bei Finanzierungsrunden, M&A-Prozessen und Bankbeziehungen.

Praxishinweis Wir haben in den vergangenen Monaten mehrere Fälle gesehen, in denen die BaFin bereits wenige Wochen nach Markteintritt Auskunftsersuchen zu unerlaubten Kryptowerte-Dienstleistungen gestellt hat. Die Annahme, ein Krypto-Geschäftsmodell könne zunächst unauffällig unter dem Radar starten, ist ein Irrtum.

Welche Fehler machen Anbieter besonders häufig?

• Das Geschäftsmodell wird als reine Software beschrieben, obwohl tatsächlich Kundendienstleistungen erbracht werden.
• Website oder App gehen live, bevor die Erlaubnispflicht geprüft wurde.
• Wallet- und Custody-Funktionen werden nicht sauber getrennt.
• Drittstaatenanbieter überschätzen die Reichweite der Reverse Solicitation.
• Token werden vorschnell als Utility Token eingeordnet, ohne Finanzinstrumente, E-Geld-Token oder vermögenswertreferenzierte Token sauber abzugrenzen.
• AML, DORA, Outsourcing und Datenschutz werden erst kurz vor Antragstellung strukturiert.
• Es fehlt ein belastbarer Plan für den Fall, dass die Zulassung nicht rechtzeitig vorliegt.

Der beste Zeitpunkt für die regulatorische Prüfung liegt am Anfang, also vor Produktdesign, Token Sale, Website-Livegang und Kundenakquise.

FAQ zum Bitcoin-Handel

Brauche ich als Privatanleger eine BaFin-Erlaubnis für den Handel mit Bitcoin?

Nein. Der Kauf und Verkauf von Bitcoin auf eigene Rechnung ist für Privatpersonen erlaubnisfrei. Steuerliche Pflichten können dennoch bestehen.

Braucht eine GmbH eine Erlaubnis, wenn sie Bitcoin hält?

Nein, solange die GmbH Bitcoin ausschließlich im eigenen Bestand hält und keine Dienstleistungen für Dritte erbringt. Steuerliche, bilanzielle und gesellschaftsrechtliche Fragen bleiben zu prüfen.

Was unterscheidet Eigenhandel von einer erlaubnispflichtigen Dienstleistung?

Beim Eigenhandel trifft das Unternehmen Vermögensentscheidungen für sich selbst. Eine erlaubnispflichtige Dienstleistung liegt vor, wenn Sie Kundenorders annehmen, fremde Kryptowerte verwahren, Tausche für Kunden durchführen oder einen Markt für Dritte organisieren.

Braucht eine Bitcoin-Börse eine MiCAR-Zulassung?

Ja. Der Betrieb einer Handelsplattform für Kryptowerte ist eine Kryptowerte-Dienstleistung und zulassungspflichtig.

Braucht ein Wallet-Anbieter eine MiCAR-Zulassung?

Das hängt vom Modell ab. Wer private Schlüssel oder Zugriffsmittel für Kunden kontrolliert, erbringt Verwahrung und braucht eine Zulassung. Reine nicht-verwahrende Software bleibt erlaubnisfrei.

Ist Bitcoin-Handel ohne BaFin-Erlaubnis strafbar?

Ja, wenn tatsächlich eine erlaubnispflichtige Dienstleistung ohne Zulassung erbracht wird. § 46 KMAG sieht Freiheitsstrafe bis zu fünf Jahren oder Geldstrafe vor.

Reicht eine MiCAR-Zulassung aus einem anderen EU-Mitgliedstaat?

Ja. Über das Passporting nach Artikel 65 MiCAR nutzen Sie eine Zulassung EU-weit, sobald die Notifizierungen erfolgt sind.

Gilt meine bestehende BaFin-Kryptoverwahrlizenz unter MiCAR weiter?

Für die Erbringung von Kryptowerte-Dienstleistungen brauchen Sie heute eine CASP-Zulassung nach MiCAR. Bestandsinstitute mit einer KWG-Kryptoverwahrlizenz hatten eine kurze Übergangszeit und konnten das vereinfachte Verfahren nutzen, dessen Antragsfrist am 31. August 2025 ablief. Diese Übergangsfenster sind inzwischen geschlossen.

MiCAR-Zulassung für Krypto-Anbieter: So unterstützen wir Sie

Für Privatpersonen ist der Bitcoin-Handel meist unproblematisch. Für Unternehmen entscheidet das Geschäftsmodell. Wer Kundenorders annimmt, Bitcoin verwahrt, Tauschdienste anbietet, eine Plattform betreibt oder individuell berät, bewegt sich im regulierten Bereich. Wir begleiten Krypto-Unternehmen, FinTechs, Banken, Zahlungsdienstleister und Token-Projekte insbesondere bei:

• der aufsichtsrechtlichen Einordnung des Geschäftsmodells,
• der Prüfung der Erlaubnispflicht nach MiCAR, KWG, WpIG, ZAG und KAGB,
• der Entscheidung zwischen Vollzulassung und Artikel-60-Notifizierung,
• der Strukturierung von Handelsplattformen, Broker-Modellen und Wallet-Lösungen,
• der Vorbereitung vollständiger MiCAR-Anträge und der Kommunikation mit BaFin und Bundesbank.

Klären Sie die Erlaubnisfrage früh, besonders wenn Sie Kunden in Deutschland oder der EU ansprechen oder eine App kurz vor dem Launch steht.

Weiterführende Quellen

MiCAR-Volltext: https://eur-lex.europa.eu/eli/reg/2023/1114/oj?locale=de

Kryptomärkteaufsichtsgesetz (KMAG): https://www.gesetze-im-internet.de/kmag/

BaFin: Kryptowerte-Dienstleistungen: https://www.bafin.de/DE/Aufsicht/MiCAR/MiCAR_node.html

BaFin-Merkblatt zu Kryptowerte-Dienstleistungen nach MiCAR (3. Januar 2025): https://www.bafin.de/SharedDocs/Veroeffentlichungen/DE/Merkblatt/mb_250103_Kryptowerte_Dienstl.html

Über den Autor

Sebastian Förste  ·  Partner │ gunnercooke Germany

Sebastian Förste berät FinTech-Unternehmen, Kryptowerte-Dienstleister und digitale Infrastrukturanbieter zu den regulatorischen Anforderungen des europäischen Finanzmarktrechts. Sein Fokus liegt auf der Zulassung und dem laufenden Betrieb unter MiCAR, MiFID II, ZAG und DORA.

Spezialisierungen: MiCAR, MiFID II, ZAG, DORA