Wie die EU-Regulierung finanzielle Privatsphäre unterbinden wird
Schwerpunkt Privacy

In Zukunft sollen Kryptowährungen in der EU durch MiCA und TFR reguliert werden. Was sagen diese Verordnungen zu Methoden, die die Privatsphäre schützen, wenn man Kryptowährungen benutzt? Werden Privacycoins und Mixer noch erlaubt sein?
Derzeit ist die Europäische Union ein heterogener Rechtsraum. Die Gesetze und Regeln zu Kryptowährungen sind ähnlich, aber nicht identisch. Es exisierten teils immense Unterschiede zwischen den Ländern, beispielsweise zwischen Österreich und Deutschland, Frankreich und Spanien, Dänemark und Polen, und diese Unterschiede legen allen Unternehmen, die europaweit mit Krypto arbeiten wollen, allerhand Steine und Stolperfallen in den Weg.
In Zukunft soll sich dies ändern. Zwei Regelwerke sollen die Juristik und Regulierung zu Kryptowährungen und Token EU-weit vereinheitlichen: Markets in Crypto-Assets (MiCA) und Transfer or Funds Regulation (TFR). Dieses Einstampfen von Unterschieden soll einen gemeinsamen Markt schaffen.
Inhaltlich werden die Verordnungen einen massiven Einfluss darauf haben, wie wir als User Kryptowährungen benutzen und wie Unternehmen mit ihnen arbeiten können. Ein Teil von ihnen betrifft auch den Themenbereich Privatsphäre und Anonymität, und darum soll es hier gehen: Was bedeutet die künftige Regulierung der EU für euren Datenschutz?
Die Travel-Rule
Die Basis von TFR ist die Travel-Rule der FATF. Darüber haben wir schon oft geschrieben. Kurz gesagt verpflichtet sie Dienstleister wie Börsen dazu, jedem elektronischem Transfer Informationen über die Identität von Sender und Empfänger beizulegen. Das wird aufwändig, greift in die Privatsphäre ein und schafft einen nicht ungefährlichen Datenbestand. Daneben droht die Travel-Rule, je nach nationaler Umsetzung, Transaktionen an private Wallets – also einfach nur an eure eigenen Wallets auf dem Smartphone oder Laptop – zu einem Geldwäsche-Indiz zu machen.
Aber darum geht es in diesem Beitrag nicht. Hier geht es darum, wie das Regelwerk mit Methoden umgeht, seine Privatsphäre auf der Blockchain zu verbessern. Nicht jeder schätzt die vollständige Transparenz von Blockchains wie Bitcoin und Ethereum, die es der ganzen Welt erlaubt, mitzulesen, wenn man etwas überweist. Immerhin sind Adressen auf der Blockchain pseudonym, so dass nicht jeder – vielleicht auch keiner – weiß, wer man ist. Die Travel Rule wird dies ändern. Sie wird Lücken in der Kette der Adressen schließen, und sie wird einen Datensatz aufbauen, der Blockchain-Adressen mit Daten zur echten Identität verbinden.
Es war noch nie so wichtig, Privacycoins wie Monero oder Zcash zu benutzen oder Mixer wie CoinJoin zu beanspruchen. Aber wird die EU dies nach MiCA und TFR noch dulden?
Die Antwort ist leider ein sehr klares Nein.
Operative Regeln und Hochrisikofaktoren
In Artikel 68 formuliert die MiCA-Verordnung Anforderungen an Unternehmen, die Dienstleistungen rund um Kryptowährungen anbieten, etwa Börsen. Diese sollen “Anforderungen, sorgfältige Prüfungen und Prozesse bestimmen, um Krypto-Assets zum Handel zuzulassen.” Dazu gehört auch, dass die Plattformen prüfen, ob “das Krypto-Asset konform mit den operativen Regeln der Plattform geht.” Und diese operative Regeln, fährt Artikel 68 fort, haben zu “verhindern, dass der Handel von Kypto-Assets zugelassen wird, die eingebaute Anonymisierungsfunktionen haben, solange die Besitzer und ihre Transaktionshistorie nicht durch die Dienstleister identifiziert werden können.”
Kurz: Es wird mehr oder weniger unmöglich für Handelsplattformen in der EU, Privacycoins anzubieten. Denn diese verschleiern die Transaktionshistorie der User. Sie sind nicht kompatibel mit der Travel-Rule.
Auch die TFR soll es Dienstleistern verbieten, Transaktionen an “Privacy Wallets” und durch “Privacy Coins” auszuführen. Sie sieht immerhin die Möglichkeit einer Ausnahme vor, die aber durch den Kunden gerechtfertigt werden muss.
Bislang enthalten MiCA und auch TFR noch keine Anmerkungen zu Wallets oder Verfahren, die die Privatsphäre stärken, so wie Mixer, wie sie durch Wassabi und Samourai implementiert wurden.
Allerdings gibt es ein Dokument mit wohl finalen Anmerkungen durch den Europäischen Rat zur MiCA-Verordnung. Dieses thematisiert erstmals Mixer und andere Methoden.
“Bestimmte Transfers von Krypto-Assets beinhalten spezifische Hochrisikofaktoren für Geldwäsche, Terrorfinanzierung und andere kriminelle Aktivitäten, insbesondere Transfers, die mit Produkten, Transaktionen oder Technologien verbunden sind, die dafür gemacht wurden, die Anonymität zu verbessern, darunter Mixer.”
Um die Nachverfolgbarkeit solcher Transfers zu verbessern, soll die Europäische Bankenaufsicht (EBA) klären, wie Dienstleister mit solchen Risikofaktoren umgehen sollen. Dafür soll die EBA “spezifizieren, welche verschärften Prüfungsmaßnahmen die Entitäten anwenden sollen, um diese Risiken zu begrenzen.” Diese Formulierung ist noch etwas vage, deutet aber in der Sache auf die Konsequenz hin: Handelsplattformen sollen prüfen, ob ihre User Methoden verwenden, um die Privatsphäre zu verbessern, und wenn ja, soll dies als Hochrisikofaktor gelten, der Anlass zu einer Verdachtsmeldung und verschärften Überprüfung geben kann.
Wenn man also versucht, seinen Datenschutz auf ein Niveau zu heben, das die EU in anderen Bereichen erzwingt, macht sich verdächtig. Krypto-Dienstleister sollen dies unterbinden oder unbequem machen. Dies wird vermutlich in Zukunft EU-Gesetz sein.
Da haben wir wohl nicht aufgepasst, die Machtkonzentration geht weiter.
In der Debatte gibt es zwei Seiten. Das verwirrende ist, dass beide Seiten Privacy und Transpararenz fordern. Unterscheiden tun sich die Seiten nur dabei für wen das eine, und für wen das Andere gefordert wird.
Die eine Seite fordert Privacy für Vertreter großer Macht wie Politiker (Verhandlungen hinter verschlossenen Türen) oder aber auch Entscheider großer Firmen (Geschäftsgeheimnisse). Dafür aber zunehmende Transparenz der davon betrofffenen Bürger oder Kunden, die dafür i.d.R. zahlenmäßig wesentlich mehr sind und nur Macht haben, wenn sie konzertiert agieren.
Die andere Seite (zu der ich auch gehöre) fordert Transparenz von denen, die das Schicksal von vielen verändern können und Privatspäre für den Einzelnen, dessen Aktionen und Machtwirkung nur einen begrenzten Radius hat.
Das verwirrende an der öffentlichen Debatte ist, das immer alle Privatspäre und Transparenz fordern, aber nicht offenlegen für wen. Das ist oft unscharf und würde präziser eine bessere Debatte bringen.
Wenn man Privatspäre für die Träger kleiner und Transparenz für die Träger großer Entscheidungsreichweiten erreichen will, kann man das nur erreichen in dem man eine Grenze festlegt, was groß und was klein bedeutet, da beide häufig genau dieselben Prozesse nutzen.
Man kann z.B. bei Delikten nur zwischen kleiner und potentiell großer Geldwäsche (Umgehung von Sanktionen, …) unterscheiden. Ob es sich z.B. überhaupt um Geldwäsche handelt, ist von aussen oft nicht sichtbar. Fordert man dann umfassende Transparenz wie die EU hier, erschwert man das Leben vieler kleiner Akteure ungemein und degradiert sie zunehmend zu Robotern mit wenig Handlungsspielraum.
MiCa setzt den Wert mit 1000 EUR (ab dem Transparenz gefordert wird) viel zu niedrig an, weswegen (meine Prognose) zunehmend Menschen in völlige Anonymität bietende Techniken wie Monero flüchten werden.
Wenn das dann sehr sehr viele sind, wird ein Illegal machen dieser Techniken nur erreichen, dass die Exekutivbehörden überlastet sind.
Obwohl ich eigentlich (s.o.) anders denke, bin ich daher aktuell für die massive Nutzung anonymisierender Technik und Coins (wie Coinjoins und Monero, …), bis ein Umdenken in der EU zu besseren Grenzwerten für Transparenz und Privacy stattfindet.
—
Und ja, klar können hohe Beträge in mehrere Transaktionen aufgeteilt werden. Aber sehr häufig ist das dank hoher Gebühren auch mit erhöhten Transaktionskosten verbunden. Coins wie Bitcoin, Ethereum, … haben da ja eine eingebaute Finanztransaktionsteuer.
Und hier wäre doch eher ein Ansatz zu finden, an dem man die Grenze zwischen großen und kleinen Akteuren noch besser schärfen könnte. Zugegebenermassen wäre das eher ein Job für die Entwickler, als für die Behörden der EU.