Custody-Ausfall in Krypto: Wie MiCA und FCA den Zugang zu Kundenassets sichern sollen

Ob Nutzer nach dem Ausfall eines Krypto-Custodians tatsächlich Zugang zu ihren digitalen Assets erhalten, hängt nicht vom Namen des Dienstleisters ab, sondern von dessen Key-Management, Governance-Struktur und Recovery-Architektur – das zeigt eine Analyse des Krypto-Sicherheitsanbieters Coincover. Für deutsche und europäische Anleger gewinnt das Thema an regulatorischer Schärfe: MiCA verpflichtet Verwahrstellen ab Ende 2024 EU-weit zur nachweisbaren Recoverability, und auch die britische FCA verschärft mit einem neuen Krypto-Regelwerk ihre Custody-Anforderungen.

MiCA und FCA definieren verbindliche Standards für Asset-Rückgabe bei Custodian-Ausfall

Wenn ein Krypto-Custodian scheitert, entscheidet nicht sein Markenname darüber, ob Kunden an ihre Assets gelangen – sondern das technische Design des Key-Managements, die Governance-Strukturen und die hinterlegte Recovery-Architektur. Das zeigt eine Analyse von What Happens When Users Lose Access (Coincover), die historische Ausfälle und aktuelle Regulierungsrahmen gegenüberstellt.

Die EU-Verordnung MiCA verpflichtet Krypto-Verwahrdienstleister, Kundenassets rechtlich und operativ vom eigenen Vermögen zu trennen, genaue Positionsregister zu führen und sicherzustellen, dass Kundenguthaben auch im Insolvenzfall ohne ungebührliche Verzögerung zurückgegeben werden können. Recoverability ist damit keine Best Practice, sondern Lizenzvoraussetzung.

Parallel verschärft die britische Financial Conduct Authority (FCA) ihr Regelwerk: Ein neues Krypto-Rahmenwerk ergänzt das bestehende Client Assets Sourcebook (CASS) und schreibt verpflichtende Segregation von Kunden-Krypto-Assets, Holding on Trust sowie Governance-Anforderungen vor – mit dem ausdrücklichen Ziel, Assets „so schnell wie möglich" zurückgeben zu können.

Historische Fälle wie der Kollaps von Mt. Gox (2014), FTX und dem regulierten US-Custodian Prime Trust belegen, dass selbst regulierte oder protokollseitig einwandfreie Strukturen versagen, wenn Key-Management-Governance und operative Kontrollen unzureichend sind.

Regulierung schützt — aber nur, wenn das technische Fundament stimmt

Die Fälle Mt. Gox, FTX und Prime Trust zeigen ein gemeinsames Muster: Regulierung allein verhindert keinen Custody-Ausfall. Prime Trust war zum Zeitpunkt seiner Schieflage ein zugelassener US-Custodian — die Lizenz schützte Kunden trotzdem nicht vor dem Zugriffsverlust auf ihre Assets. Dieses Detail ist entscheidend, denn es trennt die politische Schutzversprechen von der operativen Realität.

MiCA adressiert diesen Unterschied strukturell: Seit dem 30. Dezember 2024 sind Recoverability und Vermögenstrennung EU-weit verbindliche Lizenzvoraussetzungen für Krypto-Verwahrdienstleister — keine bloße Best Practice mehr. Für Deutschland ist das keine Revolution, sondern eine Erweiterung: Das KWG verpflichtete hiesige Custody-Anbieter bereits seit Januar 2020 zur BaFin-Lizenz mit vergleichbaren Grundanforderungen. MiCA harmonisiert diesen Rahmen nun europaweit und schärft ihn nach.

Der blinde Fleck bleibt die technische Umsetzungstiefe. Eine Behörde kann vorschreiben, dass Assets trennbar und rückgebbar sein müssen — ob das im Ernstfall tatsächlich funktioniert, hängt von Architekturentscheidungen ab, die Aufsichtsbehörden kaum in Echtzeit prüfen können: Wer hält welche Schlüsselanteile? Welche Mitarbeiter sind unverzichtbare Einzelpunkte im Key-Management? Ist die Recovery-Dokumentation aktuell?

Für Anleger und Institutionen in Deutschland bedeutet das: Die Frage nach der Custodian-Sicherheit endet nicht bei der Lizenz. Wer Krypto bei einem Dienstleister verwahrt, sollte gezielt fragen, wie dieser im Ausfall- oder Insolvenzfall den technischen Zugang zu den Assets wiederherstellen kann — unabhängig davon, ob ein MiCA- oder BaFin-Stempel vorhanden ist.

Warum das Design einer Verwahrung über den Asset-Zugang entscheidet

Wer Krypto nicht selbst verwahrt, übergibt einem Dienstleister faktisch die Kontrolle über seinen Private Key – und damit über die Assets selbst. Ein Custodian hält diese Schlüssel technisch und rechtlich treuhänderisch; ob Kunden im Krisenfall tatsächlich auf ihr Guthaben zugreifen können, hängt aber nicht allein von der Solvenz des Anbieters ab.

Entscheidend ist, wie Key-Management, Governance und Recovery-Architektur konstruiert sind. Ein Anbieter kann zahlungsfähig sein und trotzdem keinen Zugang zu Kundenassets ermöglichen – etwa wenn interne Prozesse versagen, Schlüsselzuständigkeiten an Einzelpersonen hängen oder Dokumentation veraltet ist.

Der Unterschied zwischen Custodial und Non-Custodial Wallet ist dabei grundlegend: Nur bei letzterem liegt die vollständige Kontrolle beim Nutzer selbst. Wer einen Custody-Dienstleister nutzt, trägt zwangsläufig dessen operatives und Governance-Risiko mit.

Häufige Fragen

Quellen

• Coincover