ESMA (European Securities and Markets Authority) übt Kritik an Maltas Krypto-Lizenzvergabe unter MiCA

Was ist passiert?

Im April 2025 hat das Board of Supervisors der ESMA beschlossen, ein ad-hoc Peer Review Committee (PRC) einzurichten. Auslöser war, dass Malta als eines der ersten EU-Länder MiCA-Lizenzen vergeben hatte — deutlich vor anderen Mitgliedstaaten. Der Verdacht: Die Geschwindigkeit könnte auf Kosten der Tiefe der Prüfung gegangen sein.

Das Ergebnis wurde am 10. Juli 2025 als Executive Summary veröffentlicht (ESMA42-2004696504-8164). Das PRC bestand aus Vertretenden von ESMA, der Europäischen Bankenaufsichtsbehörde (EBA) und mehreren nationalen Aufsichtsbehörden (NCAs). Der Review fokussierte auf einen einzelnen, namentlich nicht genannten Crypto-Asset Service Provider (CASP), den die MFSA in den ersten Monaten 2025 lizenziert hat.

MiCA-Rahmen in Kurzform

Die Markets-in-Crypto-Assets-Verordnung (MiCA) ist am 29. Juni 2024 in Kraft getreten und wird seit dem 30. Dezember 2024 vollumfänglich angewendet. Seit Januar 2025 müssen Krypto-Dienstleister in der EU eine CASP-Lizenz bei ihrer nationalen Aufsicht beantragen. Für bestehende Anbieter mit nationaler Lizenz vor Inkrafttreten gilt eine Grandfathering-Phase bis zum 30. Juni 2026 — sie dürfen ihre Dienste in dieser Zeit unter den alten Regimen fortführen, müssen die MiCA-Lizenz aber rechtzeitig nachreichen.

Die Verordnung verfolgt drei Hauptziele: einheitlicher Anlegerschutz in der EU, Marktintegrität (Insiderhandel, Marktmanipulation) und Bekämpfung von Geldwäsche sowie Terrorismusfinanzierung.

Was die ESMA konkret kritisiert

Das PRC kommt im untersuchten Einzelfall zu dem Ergebnis, dass die MFSA bei der Authorisierung “partially met expectations” – also Teilkonformität, keine Vollkonformität. Die Hauptpunkte:

• Material issues unresolved. Zum Zeitpunkt der Lizenzvergabe waren wesentliche Themen — etwa zu Geschäftsmodell, IT-Architektur und Compliance — noch ungelöst oder nur mit Remediation-Plänen unterlegt.
• Timing der Authorisierung. Die MFSA hat die Lizenz vor anderen NCAs erteilt, ohne den Authorisierungs-Prozess selbst als Hebel zu nutzen, um diese Themen vorab abzustellen.
• Approach. Die MFSA sieht offene Punkte eher als Aufgabe für die laufende Aufsicht; die ESMA hält dagegen, dass die Lizenz erst nach Klärung erteilt werden sollte.

Wichtig zur Einordnung: ESMA nennt den Namen des CASP nicht. Auf dem Markt wurde spekuliert, dass es um OKX (in Malta firmierend als Okcoin Europe) gehen könnte — die maltesische Financial Intelligence Analysis Unit hatte im April 2025 eine Strafe von 1,2 Mio. Euro gegen Okcoin Europe wegen AML-Verstößen aus dem Jahr 2023 verhängt, kurz nach Erteilung der MiCA-Lizenz im Januar 2025. Eine offizielle Bestätigung gibt es nicht.

Was die ESMA positiv bewertet

Der Review ist kein Pauschalverdikt. Im Gegenteil — die MFSA wird in mehreren Punkten ausdrücklich gelobt:

• Ressourcen und Settings: “fully meeting expectations”. Personalausstattung, Expertise und institutionelle Aufstellung der MFSA entsprechen den Erwartungen.
• Laufende Aufsicht: “largely meeting expectations”. Die Supervision nach Lizenzerteilung wird grundsätzlich angemessen ausgeführt.
• Frühe Vorbereitung: Malta hatte mit dem Virtual Financial Assets Act bereits 2018 ein nationales Krypto-Regime eingeführt. Die MFSA hat in Personal, Universitätskooperationen und Industrie-Outreach investiert.

Empfehlungen für alle NCAs — nicht nur Malta

Der zentrale Punkt, der in vielen Schlagzeilen unterging: Der Peer Review zielt formal auf Malta, die Empfehlungen richten sich aber an alle NCAs in der EU/EEA. ESMA hebt fünf Themen hervor, die in Authorisierungs-Verfahren genauer geprüft werden sollten:

• Geschäftsmodelle und tatsächliche Tätigkeit (nicht nur die rechtliche Hülle)
• IT-Architektur und Compliance mit der DORA-Verordnung (Digital Operational Resilience Act)
• Wachstumspläne und deren Ressourcendeckung
• Interessenkonflikte bei Multi-Service-CASPs (Spot, Derivate, Custody, DeFi parallel)
• Exposure gegenüber DeFi- und unregulierten Web3-Services
• AML/CFT-Risiken und -Kontrollen

Reaktionen der MFSA

Die maltesische Aufsicht hat die Findings öffentlich akzeptiert. MFSA-CEO Kenneth Farrugia hat erklärt, dass die Behörde die Empfehlungen begrüßt und in die eigene Praxis übernimmt. Eine Sprecherperson stellte zudem klar: “No MiCA license in Malta is at risk of revocation or re-evaluation as a result of the peer review outcomes.” Die MFSA hat zugesagt, die Umsetzung der Empfehlungen bis September 2025 abzuschließen.

Aktuell sind in Malta vier MiCA-CASPs gelistet: Bitpanda (BP23), Crypto.com (Foris Dax), OKX (Okcoin Europe) und ZBX (Zillion Bits).

Einordnung: Forum Shopping und der Streit um den richtigen Maßstab

Der Peer Review berührt eine Grundsatzfrage, die in der EU-Krypto-Regulierung seit Inkrafttreten von MiCA virulent ist: Wie schnell darf — und wie schnell muss — eine Lizenz erteilt werden? Malta argumentiert mit Innovationsförderung und früher Marktordnung. Andere Aufsichten wie die französische AMF oder die deutsche BaFin gelten als deutlich strenger; die BaFin etwa weist ausdrücklich darauf hin, dass sie nur “unmittelbar wirksame, formale Lizenzen” erteilt, keine “prinzipiellen Vorabgenehmigungen”.

Hinter dieser Debatte steht der Vorwurf des regulatorischen Forum Shopping: Unternehmen wählen das Mitgliedsland mit dem schnellsten oder mildesten Verfahren, erhalten dort die Lizenz und nutzen dann das EU-Passporting, um EU-weit aktiv zu werden. Eng damit verbunden ist die zweite große Börsenbewegung des Jahres 2025: OKX hat im Januar die erste vollständige MiCA-Lizenz aus Malta erhalten, parallel haben sich Bybit, HTX und weitere globale Plattformen für Lizenzwege in verschiedenen EU-Staaten entschieden.

Bedeutung für Anlegende in Deutschland

Konkret ändert sich für Privatanlegende durch den Peer Review wenig:

• EU-Passporting bleibt wirksam. Eine MiCA-Lizenz aus Malta ist in Deutschland anerkannt. Plattformen wie OKX, Crypto.com oder Bitpanda dürfen den deutschen Markt weiter über Passporting bedienen.
• BaFin-Befugnisse bleiben bestehen. Über das Kryptomärkteaufsichtsgesetz (KMAG) hat die deutsche Aufsicht ergänzende nationale Eingriffsrechte — etwa öffentliche Warnungen und die Möglichkeit, einzelne Krypto-Angebote in Deutschland zu untersagen.
• Verbraucherschutz unter MiCA ist real. Trennung von Kunden- und Eigenvermögen, Eigenkapitalanforderungen, Marktmissbrauchsregeln und AML/KYC-Pflichten gelten unverändert. Was MiCA nicht bietet, ist eine Einlagensicherung nach Bankenmaßstab. Für größere Bestände bleibt die Selbstverwahrung in einer Hardware-Wallet die sicherste Option.

Hinweis zur forensischen Praxis

Aus Sicht der Krypto-Forensik ist die regulatorische Konvergenz unter MiCA eine gute Entwicklung. KYC-Daten, Beschwerdewege und behördliche Anfragen funktionieren bei lizenzierten EU-CASPs deutlich besser als bei nicht regulierten Offshore-Plattformen. Wer den Verdacht hat, dass aus einem Betrugsfall stammende Coins auf einer in der EU regulierten Börse gelandet sind, sollte zeitnah eine forensische Erstbewertung über einen Wallet-Check anstoßen.

FAQ – Häufige Fragen zum ESMA-Peer-Review