FATF Travel Rule Krypto-VASPs: KYC-Compliance-Leitfaden 2026

Seit dem 30. Dezember 2024 verpflichtet die Verordnung (EU) 2023/1113 — die sogenannte Transfer-of-Funds-Verordnung (TFR) — alle Anbieter von Kryptoasset-Dienstleistungen (CASP), die in der Europäischen Union tätig sind, die FATF Travel Rule auf sämtliche Übertragungen zwischen verwahrten Wallets anzuwenden, ohne Mindestbetrag für CASP-zu-CASP-Transaktionen. In Deutschland ist die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) für die Regulierung und Beaufsichtigung von CASPs zuständig und erteilt im Rahmen von MiCA die erforderlichen Zulassungen. Das Geldwäschegesetz (GwG) verpflichtet Kryptoanbieter zur Durchführung von Sorgfaltspflichten gegenüber Kunden und zur Meldung verdächtiger Transaktionen an die Zentralstelle für Finanztransaktionsuntersuchungen (FIU). Dieser Leitfaden erläutert die konkreten Dokumentationspflichten, die geltenden Schwellenwerte und die Implementierungsschritte.

Dieser Artikel dient ausschließlich Informationszwecken und stellt keine Rechts-, Finanz- oder Regulierungsberatung dar. Regulierungsverweise sind zum Veröffentlichungsdatum korrekt. Wenden Sie sich an einen qualifizierten Fachmann für situationsspezifische Beratung.

Was ist die FATF Travel Rule?

Die Travel Rule bezeichnet die Anwendung der FATF-Empfehlung 16 auf Übertragungen virtueller Vermögenswerte. Sie verpflichtet VASPs/CASPs dazu, bei jeder Kryptoasset-Übertragung die Identifikationsdaten von Auftraggeber und Begünstigtem zu erheben, zu verifizieren und weiterzuleiten — analog zu den Anforderungen an traditionelle Finanzinstitute bei SWIFT-Überweisungen. Anfang 2026 hatten 85 der 117 FATF-Mitgliedsstaaten (73 %) Travel-Rule-Gesetzgebung erlassen, gegenüber 65 im Jahr 2024 (FATF Targeted Update 2025).

Erforderliche Daten je Übertragung

Bei jeder Übertragung zwischen zwei CASPs müssen folgende Daten übermittelt werden:

Anwendungsbereich in der EU

Artikel 1 der Verordnung (EU) 2023/1113 stellt klar, dass die TFR für alle CASPs gilt, die Kryptoasset-Übertragungen durchführen, unabhängig davon, ob sie eine vollständige MiCA-Zulassung besitzen oder nicht. Die Europäische Bankenaufsichtsbehörde (EBA) veröffentlichte im Juli 2024 die Leitlinien EBA/GL/2024/11 mit detaillierten technischen Spezifikationen zur Umsetzung.

Regulierungsrahmen in Deutschland: BaFin, FIU und GwG

In Deutschland teilen sich BaFin (Zulassung und Aufsicht über CASPs) und die Bundesbank (Zahlungsverkehrsaufsicht) die Zuständigkeit. Die FIU empfängt Verdachtsmeldungen gemäß § 43 GwG. Das Geldwäschegesetz (GwG) — zuletzt geändert durch das AMLD-Umsetzungsgesetz — verlangt von Kryptoprovidern Maßnahmen zur Kundensorgfaltspflicht, die auf dem Risikoniveau des Kunden basieren.

Jeder CASP, der in Deutschland tätig ist oder Dienstleistungen für deutsche Kunden erbringt, muss seit dem 30. Dezember 2024 über ein funktionierendes Travel-Rule-Übertragungssystem verfügen.

Schwellenwerte in Deutschland und der EU

Diese Schwellenwerte sind strenger als der FATF-Basisstandard (USD 1.000) und platzieren die EU neben dem Vereinigten Königreich (Nullschwellenwert) in der strengsten Kategorie weltweit.

KYC-Dokumentationspflichten für CASPs

Die Travel Rule ist nur so zuverlässig wie die zugrundeliegenden KYC-Daten — ein robuster KYC-Prozess ist Voraussetzung. Identifikation und Dokumentenprüfung bilden das Fundament der gesamten Compliance-Kette.

Akzeptierte Identitätsdokumente

Für natürliche Personen müssen CASPs erheben und verifizieren:

• Gültiger Personalausweis oder Reisepass (EU-Bürger) oder gleichwertiges Dokument
• Adressnachweis (nicht älter als drei Monate) für Fälle mit verstärkter Sorgfaltspflicht
• Für wirtschaftlich Berechtigte (25-%-Schwellenwert gemäß AMLD6): gleichwertige Dokumente

Für juristische Personen:

• Aktueller Handelsregisterauszug (nicht älter als drei Monate)
• Gesellschaftsvertrag / Satzung
• Steuernummer und Umsatzsteuer-Identifikationsnummer
• Identitätsdokumente von Geschäftsführern und wirtschaftlich Berechtigten

CheckFile verarbeitet mehr als 3.200 Dokumententypen in 32 Jurisdiktionen mit OCR-Unterstützung für 24 Sprachen, sodass Compliance-Teams internationale Vorgänge in einem einzigen Arbeitsablauf verarbeiten können. Entdecken Sie die KYC-Lösungen von CheckFile.

Prüfung nicht verwahrter Wallets (Self-Hosted Wallets)

Artikel 19 der Verordnung (EU) 2023/1113 verpflichtet CASPs zu verifizieren, dass die nicht verwahrte Wallet-Adresse tatsächlich dem Kunden gehört, wenn die Übertragung 1.000 € übersteigt. Akzeptierte Verifizierungsmethoden sind:

1. Mikrozahlungstest (kleiner Hin- und Rücktransfer, der die Kontrolle über die Wallet beweist)
2. Kryptografische Signatur als Nachweis des Besitzes des privaten Schlüssels
3. Eidesstattliche Erklärung mit ergänzenden Nachweisdokumenten

Die Leitlinien EBA/GL/2024/11 legen fest, dass die gewählte Verifizierungsmethode dem Risikoniveau der Transaktion angemessen sein muss.

Technische Implementierung: Messaging-Protokolle

Die technische Ebene der Travel-Rule-Compliance erfordert ein Messaging-Protokoll zur sicheren Datenübertragung zwischen CASPs. Im Jahr 2026 dominieren drei Lösungen den Markt:

Die Protokollwahl hat direkten Einfluss auf die Fähigkeit, grenzüberschreitende Übertragungen zu verarbeiten. CASPs, die noch keine Messaging-Lösung implementiert haben, riskieren, dass ihre Übertragungsaufträge von konformen Gegenparteien blockiert werden, die nicht identifizierte Transferströme ablehnen.

Umgang mit unvollständigen oder fehlenden Travel-Rule-Daten

In der Praxis kommt es regelmäßig vor, dass ein empfangender CASP eine Übertragung erhält, ohne vollständige Travel-Rule-Daten vom sendenden CASP zu erhalten. Die EBA-Leitlinien EBA/GL/2024/11 sehen hierfür ein gestuftes Vorgehen vor:

Stufe 1 — Fehlende, aber nachforderbare Daten: Der empfangende CASP muss die fehlenden Angaben unmittelbar beim sendenden CASP anfordern. Die Mittel dürfen für eine begrenzte Zeit zurückgehalten werden, um die Anforderung zu ermöglichen. Die Frist ist risikobasiert zu bestimmen.

Stufe 2 — Strukturell nicht übermittlungsfähige Daten (Sunrise-Issue): Wenn der sendende CASP in einer Jurisdiktion ansässig ist, die noch keine Travel-Rule-Umsetzung vorgenommen hat (sogenanntes „Sunrise-Problem"), muss der empfangende CASP eine eigene Risikobeurteilung vornehmen. Faktoren sind: Jurisdiktionsrisiko, Transaktionsbetrag, Kundenprofil und Herkunft der Mittel.

Stufe 3 — Chronische Nichteinhaltung durch Gegenpartei: Bei wiederholten Travel-Rule-Verstößen durch denselben sendenden CASP kann der empfangende CASP die Geschäftsbeziehung einschränken oder beenden. Diese Entscheidung muss dokumentiert und in der jährlichen GwG-Risikoanalyse vermerkt werden.

Besonderheiten für DeFi und dezentralisierte Protokolle

Dezentralisierte Finanzen (DeFi) werfen spezifische Fragen auf: Wer ist der CASP, wenn kein Intermediär existiert? Die FATF hat 2023 klargestellt, dass DeFi-Plattformen, die faktisch von einer Partei kontrolliert werden — auch wenn das Protokoll formal dezentralisiert ist —, als VASPs behandelt werden und der Travel Rule unterliegen. Die BaFin hat diese Position im Herbst 2024 im Einklang mit den EU-MiCA-Vorgaben für den deutschen Markt konkretisiert.

Travel-Rule-Compliance-Checkliste

Eine vollständige Compliance erfordert sowohl die dokumentarische (KYC) als auch die technische (Messaging) Dimension:

• Travel-Rule-Datenerhebung in den Kunden-Onboarding-Prozess integrieren
• Ein Messaging-Protokoll auswählen und anschließen (TRISA, OpenVASP oder Notabene)
• Wallet-Eigentümerverifikation für nicht verwahrte Wallets über 1.000 € implementieren
• Richtlinie für Übertragungen mit nicht konformen CASPs (Sunrise-Issue) festlegen
• Eskalationsverfahren für unvollständige Travel-Rule-Daten dokumentieren
• Travel-Rule-Risiken in die GwG-Risikoanalyse einbeziehen
• Compliance-Team in den neuen Anforderungen schulen
• Travel-Rule-Daten mindestens fünf Jahre aufbewahren

Für einen umfassenden Überblick über den Compliance-Rahmen für Kryptofirmen lesen Sie unsere Artikel über MiCA und Krypto-Identitätsprüfung, AML-Transaktionsüberwachung und den Dokumenten-Compliance-Leitfaden.

Häufig gestellte Fragen

Gilt die Travel Rule für Peer-to-Peer-Übertragungen (P2P) zwischen privaten Wallets?

Nein. Die Travel Rule gilt ausschließlich, wenn ein zugelassener CASP oder VASP an der Übertragung beteiligt ist — als Auftraggeber oder als Begünstigter. Direkte Übertragungen zwischen zwei nicht verwahrten Wallets ohne Beteiligung eines Intermediärs fallen nicht in den Anwendungsbereich der Verordnung (EU) 2023/1113.

Was passiert, wenn der begünstigte CASP kein Travel-Rule-Protokoll unterstützt?

Der sendende CASP muss die Travel-Rule-Daten aufbewahren und das Risiko bewerten, bevor er die Mittel freigibt. Die Leitlinien EBA/GL/2024/11 empfehlen die Anwendung risikobasierter Minderungsmaßnahmen — wie die Anforderung zusätzlicher Informationen oder die Einführung einer Verarbeitungsverzögerung — anstatt die Übertragung automatisch abzulehnen.

Gilt die Travel Rule für Stablecoin-Übertragungen?

Ja. Die Verordnung (EU) 2023/1113 gilt für alle Kryptoassets im Sinne von MiCA, einschließlich E-Geld-Token (EMT) und vermögenswertbezogene Token (ART). Ein CASP, der Stablecoins für Kunden ausgibt oder überträgt, unterliegt denselben Travel-Rule-Pflichten wie eine herkömmliche Kryptobörse.

Wie lange müssen Travel-Rule-Daten aufbewahrt werden?

Gemäß dem europäischen Geldwäschebekämpfungsrahmen (AMLD6) und dem deutschen GwG müssen CASPs Travel-Rule-Daten — einschließlich Auftraggeber- und Begünstigtendaten sowie Verifikationsnachweise — mindestens fünf Jahre ab dem Datum der Transaktion oder dem Ende der Geschäftsbeziehung aufbewahren, je nachdem, welcher Zeitpunkt später liegt.

Ist ein vor MiCA registrierter VASP der TFR unterworfen?

Ja. Die Verordnung (EU) 2023/1113 gilt seit dem 30. Dezember 2024 für alle CASPs, die Kryptoasset-Übertragungen für Kunden durchführen, einschließlich Anbieter, die während des Übergangszeitraums unter nationalen Vorschriften vor MiCA tätig waren.