Verfasser: Huang Wenjing
Mit Blick auf das Ende des Jahres 2025 sind die großen Akteure weiterhin dabei, ihre „Lizenzierung“ voranzutreiben: Von der Custody-Organisation Zodia Custody, die zu Standard Chartered gehört, über den Zahlungsriesen Stripe bis hin zu Coinbase, Kraken, Circle und anderen kryptobasierten Unternehmen – alle haben wichtige Genehmigungen wie MiCA- oder US-Banklizenzen erworben.
Dennoch ist die „Lizenzierung“ nur der Anfang und kein Endpunkt. Lizenzen bringen nicht nur Zugangsberechtigungen, sondern auch langfristige Compliance-Verpflichtungen mit sich. In einer zunehmend regulierten Umgebung kann eine nicht fortwährende Einhaltung der Vorschriften dazu führen, dass die Lizenzen selbst zu Rechtfertigungen für behördliche Sanktionen werden.
Rückblickend auf den 4,3-Milliarden-Dollar-Vergleichsfall bei Binance sowie die Sanktionen gegen Binance TR in der Türkei, zeigt sich, dass die Kernvorwürfe der Regulierungsbehörden auf einem gemeinsamen Mangel basieren: dem Fehlen eines effektiven Mechanismus zur Meldung verdächtiger Transaktionen. STR und SAR – die beiden Abkürzungen, die Compliance-Beauftragte nervös machen – sind weit mehr als nur Formularausfüllung.
Was steckt hinter diesen Begriffen, welchen regulatorischen Logiken und praktischen Risiken liegen sie zugrunde? Dieser Artikel analysiert dies aus rechtlicher Perspektive tiefgehend.
Begriffsklärung: Unterschied zwischen STR und SAR
Diese beiden Begriffe werden in der Branche häufig synonym verwendet, unterscheiden sich jedoch in den Rechtssystemen und Regulierungsrahmen verschiedener Länder deutlich in ihrer Schwerpunktsetzung.
STR(Suspicious Transaction Report) (Verdächtige Transaktionsmeldung) ist vor allem in Hongkong, Singapur, Dubai und anderen vom Common Law beeinflussten Regionen üblich. Es konzentriert sich auf bereits stattgefundene Transaktionen und deren Verdachtsmomente.
Beispiel: Wenn das System feststellt, dass ein Konto innerhalb kurzer Zeit häufig Ein- und Auszahlungen tätigt und die Geldwege risikoreiche Adressen (wie Mixer, Darknet) involvieren, muss eine STR für diese konkrete Transaktion eingereicht werden.
SAR(Suspicious Activity Report) (Verdächtige Aktivitätenmeldung) wird in einigen Rechtssystemen (z.B. in den USA durch FinCEN) stärker auf das Verhalten selbst fokussiert, auch wenn keine tatsächliche Transaktion stattgefunden hat. Im Binance-Fall wurde dieses Konzept ebenfalls relevant.
Beispiel: Wenn ein Nutzer wiederholt die Grenzen der KYC-Verifizierung testet, IP-Adressen häufig wechselt, um regionale Beschränkungen zu umgehen, oder den Kundendienst fragt, ob Überweisungen in bestimmte restriktive Gebiete möglich sind, kann dies eine SAR-Pflicht auslösen.
Mankuns Hinweis: Die Verwendung des STR-Konzepts bedeutet nicht, nur Transaktionsdaten zu betrachten. Tatsächlich betonen alle Compliance-Systeme die Substanz über die Form. Wenn man nur den Geldfluss überwacht, aber Nutzeridentität und Verhaltensmuster ignoriert, besteht die Gefahr, dass Meldungen übersehen werden, was Compliance-Risiken erhöht.
Regulatorischer Kompass: Wesentliche Berichtspunkte bei unterschiedlichen Lizenzsystemen
Im Rahmen der Globalisierung von Web3 müssen Unternehmen bei der Wahl ihrer Lizenzregion die dortigen Kernregeln beachten. Die Schwerpunkte variieren erheblich:
Nordamerika: FinCEN’s „All-Dimension Monitoring“
Regelungsfokus: Einhaltung des Bankgeheimnisses, Meldung verdächtiger Aktivitäten – das Prinzip lautet „Melde alles, was verdächtig ist“.
Herausforderung: Das FinCEN-System verarbeitet eine enorme Menge an Berichten und ermöglicht den Datenaustausch zwischen Abteilungen. Die Überwachungs- und Meldefähigkeit der Institutionen ist äußerst hoch. Sobald US-Bürger involviert sind, ist eine strikte Umsetzung erforderlich.
Mankuns Hinweis: Solange Geschäfte US-Bürger betreffen, müssen verdächtige Aktivitäten genau überwacht und gemeldet werden. Die Lektion aus dem Binance-Fall ist, dass das bewusste Nichtmelden bei bekannten Risiken (z.B. Sanktionen) als vorsätzliche Verletzung gewertet wird, mit schwerwiegenden Folgen.
EU: „Reise-Regel“ und tiefere Verknüpfung
Regelungsfokus: STR-Anforderungen sind eng mit der Travel Rule verbunden, insbesondere nach Inkrafttreten des MiCA-Gesetzes.
Herausforderung: Bei Überweisungen von Nutzern auf Nicht-Hedged-Wallets über 1000 Euro muss die Plattform die Wallet-Zugehörigkeit verifizieren. Bei Unfähigkeit zur Verifizierung oder bei erkannten Risiken ist die Transaktion zu blockieren und eine verdächtige Meldung zu erstellen.
Mankuns Hinweis: Die Balance zwischen der Umsetzung der Travel Rule und der Nutzererfahrung ist entscheidend. Die Integration der Meldung verdächtiger Transaktionen erfordert eine sorgfältige Abstimmung.
Dubai: 48-Stunden-Frist und „Lokalisierung“
Regelungsfokus: Schnelle Reaktionsfähigkeit (z.B. Meldung innerhalb von 48 Stunden) und die tatsächliche lokale Verantwortung des AML-Beauftragten.
Herausforderung: Wenn der MLRO nur auf dem Papier steht, aber von einem ausländischen Team praktisch tätig ist, droht der Entzug der Qualifikation und die Beeinträchtigung der Lizenz.
Mankuns Hinweis: Compliance kann ausgelagert werden, aber die endgültige Verantwortung liegt beim lokalen MLRO. Verantwortungsverschiebung durch „Systemprobleme“ ist nicht zulässig.
Türkei: Fokus auf Betrugs- und Glücksspielmittel
Regelungsfokus: Krypto-Dienstleister werden wie Finanzinstitute streng reguliert.
Herausforderung: Die Regulierungsbehörden passen ihre Anforderungen dynamisch an die Schwerpunkte an (z.B. Betrug, Glücksspiel). Transaktionen im Zusammenhang mit solchen Aktivitäten müssen unabhängig von der Höhe gemeldet werden.
Mankuns Hinweis: Innerhalb des vorgegebenen Rahmens ist es wichtig, die regulatorischen Entwicklungen aktiv zu verfolgen, den Dialog zu pflegen und Risiken gezielt zu überwachen und zu melden.
Bruchstellen in der Branche: „Defensive Meldungen“ vermeiden
In der Praxis stellen Anwälte fest, dass viele Akteure aus Angst vor Verantwortung eine Gewohnheit entwickeln: „Besser mehr melden als zu wenig“ – jede Warnung wird sofort gemeldet. Diese sogenannte „defensive Meldung“ birgt erhebliche Risiken.
Finanzielle Nachrichtendienste und Regulierungsbehörden bestehen aus Fachpersonal, das Informationen effizient verarbeiten muss. Wenn eine Organisation eine Vielzahl minderwertiger Berichte einreicht, die keine wertvollen Hinweise enthalten, kann dies zu einer Überprüfung der internen Systeme führen. Behörden könnten vermuten, dass die Risikoparameter falsch eingestellt sind oder die Compliance-Mitarbeiter mangelndes Urteilsvermögen zeigen.
Daher ist die Qualität der Berichte wichtiger als die Quantität. Blindes Melden hilft nicht bei der Risikobewältigung und kann die eigene Kompetenz offenbaren, was zu strengeren Kontrollen führen kann.
Mankuns praktischer Tipp: Wie baut man ein effektives Meldesystem auf?
Um eine Balance zwischen Compliance-Kosten und regulatorischer Sicherheit zu finden, sollten Krypto-Compliance-Teams folgende vier Punkte fokussieren:
- Integration von „On-Chain + Off-Chain“-Monitoring
Vermeiden Sie es, aus Kostengründen die On-Chain-Aktivitäten eines Nutzers von den Plattform-Transaktionen zu trennen. Diese Trennung erschwert die ganzheitliche Risikoerkennung und beeinträchtigt die Qualität der STR/SAR-Berichte. Daten sollten vernetzt werden, um eine umfassende Risikoübersicht zu gewährleisten.
- Dynamische Anpassung der Überwachungsparameter
Starre Regeln führen zu vielen unnötigen Warnungen („Warnmüdigkeit“) und lassen echte Risiken unentdeckt. Es empfiehlt sich, interne Testumgebungen (Sandbox) zu nutzen, regelmäßig regulatorische Entwicklungen und Fallanalysen zu berücksichtigen, um Systemeinstellungen und Regeln zu optimieren. Ziel ist eine präzise und effektive Warnung.
- Entwicklung „narrativer“ Berichtsfähigkeiten
Hochwertige Berichte sind keine Datenmengen, sondern erzählen eine vollständige Geschichte. Sie sollten die 5W1H-Fragen beantworten: Wer, Was, Wann, Wo, Warum verdächtig, Wie. Besonders das „Warum verdächtig“ ist zentral, muss logisch schlüssig sein und den regulatorischen sowie das eigene Risikoprofil berücksichtigen, um die Einhaltung der „angemessenen Sorgfaltspflichten“ zu belegen.
- Einrichtung eines „Nicht-Melde“-Dokumentationssystems
„Nicht-Meldungen“ sind manchmal wichtiger als Meldungen. Nach manueller Prüfung eines Alarms, der zu keiner Meldung führt, muss die Entscheidung im System dokumentiert und die Gründe festgehalten werden. Das ist die Grundlage für spätere behördliche Nachprüfungen und schützt Unternehmen sowie Compliance-Mitarbeiter.
Mit diesen vier Maßnahmen können Organisationen Kosten kontrollieren und ein solides, nachweisbares Compliance-Meldesystem aufbauen.
Fazit
Geldwäscheprävention und Compliance sind kein Bereich für Abkürzungen, und „Gesetz ist Gesetz“ gilt umso mehr.
Aus globaler Sicht verlangen Regulierungen im Krypto-Bereich zunehmend die vollständige Offenlegung aller Transaktionen sowie die Nutzung eigener Modelle zur Durchdringung der Daten. Das Augenmerk auf STR/SAR verschiebt sich weg von bloßer Quantität und Fristwahrung hin zu einer präzisen Entscheidung, ob eine Transaktion meldepflichtig ist und warum nicht.
Das Verständnis der Unterschiede zwischen STR und SAR ist nur der Anfang. Entscheidend ist, ein System zu entwickeln, das sowohl den behördlichen Informationsbedarf erfüllt als auch den reibungslosen Geschäftsbetrieb unterstützt – das ist die Pflicht jeder Organisation.
