MiCA Krypto-Lizenz: Luxemburg Compliance-Leitfaden 2025
Vollständiger Leitfaden zur Erlangung Ihrer VASP/CASP-Lizenz in Luxemburg unter der MiCA-Verordnung. CSSF-Prozess, Anforderungen und Zeitrahmen.
Aktualisiert: Dezember 2025
Die MiCA-Verordnung (Markets in Crypto-Assets) harmonisiert die Krypto-Regulierung in der EU. Dieser Leitfaden erklärt, wie Sie Ihre Lizenz in Luxemburg, Europas Krypto-Hub, erhalten.
MiCA und die regulatorische Landschaft verstehen
MiCA trat am 30. Dezember 2024 vollständig in Kraft. Es ersetzt fragmentierte nationale Regelungen durch einen einheitlichen europäischen Rahmen und bietet lizenzierten Unternehmen einen "Pass" für den Betrieb in allen 27 Mitgliedstaaten.
MiCA-Zeitplan
| Datum | Ereignis |
|---|---|
| Juni 2023 | Veröffentlichung im EU-Amtsblatt |
| Juni 2024 | Inkrafttreten für Stablecoins (ARTs, EMTs) |
| Dezember 2024 | Vollständiges Inkrafttreten für CASPs |
| Juli 2026 | Ende der Übergangszeit (Grandfathering) |
Arten regulierter Krypto-Dienstleistungen
MiCA definiert folgende Krypto-Asset-Dienstleistungen (CASP - Crypto-Asset Service Provider):
Lizenzpflichtige Dienstleistungen
- Verwahrung und Administration: Aufbewahrung von Krypto-Assets im Auftrag von Kunden
- Handelsplattformen: Betrieb von Börsenplattformen
- Umtausch gegen Fiat: Krypto-Kauf-/Verkaufsdienste
- Krypto-zu-Krypto-Umtausch: Umwandlung zwischen Krypto-Assets
- Auftragsausführung: Ausführung im Auftrag von Kunden
- Platzierung: Verteilung von Krypto-Assets
- Annahme und Übermittlung von Aufträgen
- Krypto-Asset-Beratung
- Portfoliomanagement
- Transferdienste
MiCA-Kapitalanforderungen
| Dienstleistungsart | Mindestkapital |
|---|---|
| Beratung, Annahme/Übermittlung von Aufträgen | 50.000 € |
| Umtausch, Platzierung, Ausführung | 125.000 € |
| Verwahrung, Handelsplattform | 150.000 € |
Hinweis: Diese Beträge können durch eine Berufshaftpflichtversicherung ersetzt werden, die dieselben Risiken abdeckt.
Lizenzierungsprozess in Luxemburg
Schritt 1: Dossiervorbereitung (2-4 Monate)
- Gründung einer luxemburgischen Gesellschaft (SARL oder SA)
- Erstellung eines detaillierten Geschäftsplans
- Entwicklung von AML/KYC-Richtlinien
- Governance-Aufbau (qualifizierte Direktoren)
- Technische Dokumentation (Cybersicherheit, Geschäftskontinuität)
Schritt 2: Einreichung bei der CSSF (1-2 Wochen)
Das vollständige Dossier umfasst:
- Offizielles Antragsformular
- Geschäftsaktivitätsprogramm
- Organisationsstruktur
- Kapital-/Eigenmittelnachweis
- Richtlinien und Verfahren (AML, Risiko, Kundenbeschwerden)
- Direktorendokumentation (Lebensläufe, Führungszeugnisse, Zuverlässigkeit)
- Cybersicherheitsmaßnahmen
- Geschäftskontinuitätsplan
Schritt 3: CSSF-Prüfung (3-6 Monate)
- Dossieranalyse
- Zusätzliche Fragen
- Zuverlässigkeitsprüfung der Direktoren
- Technische Compliance-Bewertung
Schritt 4: Entscheidung und Genehmigung
Die CSSF hat 40 Werktage Zeit, um die Vollständigkeit des Dossiers zu bestätigen, dann 3 Monate für ihre Entscheidung. Längere Zeiträume sind möglich, wenn zusätzliche Informationen erforderlich sind.
Governance-Anforderungen
Qualifizierte Direktoren
- Mindestens 2 effektive Direktoren
- Wohnsitz oder regelmäßige Präsenz in Luxemburg
- Relevante Erfahrung in Finanzdienstleistungen oder Krypto
- Zuverlässigkeit (sauberes Führungszeugnis)
- Ausreichend der Rolle gewidmete Zeit
Kontrollfunktionen
- Compliance Officer: Compliance-Verantwortung
- MLRO: AML-Verantwortung (kann kombiniert werden)
- Risk Manager: Risikomanagement
- CISO: Informationssicherheit
AML/KYC-Pflichten
CASPs unterliegen verstärkten Geldwäschebekämpfungspflichten:
- Kundenidentifizierung: Vollständiges KYC vor jeder Geschäftsbeziehung
- Laufende Überwachung: Transaktionsüberwachung
- Travel Rule: Information über Herkunft und Ziel von Überweisungen
- Verdachtsmeldungen: Meldung an die FIU
- Sanktions-Screening: Überprüfung gegen Sanktionslisten
Cybersicherheit und Resilienz
Technische Anforderungen
- Regelmäßige Penetrationstests
- Kundendatenverschlüsselung
- Sichere Verwaltung privater Schlüssel (Verwahrung)
- Multi-Faktor-Authentifizierung
- 24/7-Systemüberwachung
- Incident-Response-Plan
DORA-Compliance
Die DORA-Verordnung (Digital Operational Resilience Act) gilt ebenfalls für CASPs. Sie stellt zusätzliche Anforderungen an digitale Resilienz und ICT-Risikomanagement.
Geschätzte Kosten
| Posten | Geschätzte Kosten |
|---|---|
| Firmengründung | 5.000 - 8.000 € |
| Mindestkapital | 50.000 - 150.000 € |
| CSSF-Dossiervorbereitung | 30.000 - 80.000 € |
| AML-Compliance (Setup) | 15.000 - 40.000 € |
| IT/Cybersicherheits-Infrastruktur | 20.000 - 100.000 € |
| Gesamt Setup | 120.000 - 380.000 € |
Jährliche laufende Kosten
- Compliance Officer / MLRO: 80.000 - 150.000 €
- Externe Prüfung: 15.000 - 40.000 €
- Berufshaftpflichtversicherung: 10.000 - 50.000 €
- Compliance-Tools (Chainalysis, etc.): 20.000 - 100.000 €
Vorteile Luxemburgs für MiCA
- Erfahrene CSSF: Erste europäische Aufsichtsbehörde, die Krypto-Unternehmen beaufsichtigt hat
- Entwickeltes Ökosystem: Banken, Wirtschaftsprüfer und spezialisierte Dienstleister
- Europäischer Pass: Zugang zu 27 Märkten über eine einzige Lizenz
- Konstruktiver Dialog: Pragmatischer regulatorischer Ansatz
- Rechtliche Stabilität: Vorhersehbarer rechtlicher Rahmen
Häufig gestellte Fragen
Kann ich während des Lizenzantrags operieren?
Wenn Sie vor MiCA als VASP registriert waren, können Sie während der Übergangszeit (bis Juli 2026) weiter operieren, während Sie Ihren MiCA-Antrag vorbereiten.
Sind in Luxemburg ansässige Direktoren erforderlich?
Nicht unbedingt ansässig, aber Direktoren müssen verfügbar und regelmäßig in Luxemburg präsent sein. Die CSSF erwartet effektive Präsenz.
Ist eine luxemburgische MiCA-Lizenz in der gesamten EU gültig?
Ja, das ist das europäische Pass-Prinzip. Einmal in Luxemburg genehmigt, können Sie Ihre Dienste in allen Mitgliedstaaten per Notifizierung anbieten.
Bereit zu handeln?
War dieser Leitfaden hilfreich? Wir können Sie mit spezialisierten Anwälten verbinden, um Ihr Projekt zu verwirklichen.