Ri 02/2020: Gewaagt digital.

Ri 02/2020: Navigation

Ri 02/2020: Beitrag

Das sichere Kryptowertpapier(register)

Warum Startups als registerführende Stelle unwahrscheinlich sind

Claudia Otto

Wenn ein paar Menschen recht miteinander zufrieden sind, kann man meistens versichert sein, dass sie sich irren.[1]

Die Freude über den am 10. August 2020 veröffentlichten Referentenentwurf des Bundesministeriums der Justiz und für Verbraucherschutz und des Bundesministeriums der Finanzen zur Einführung von elektronischen Wertpapieren[2] war groß. Von einer „Revolution am deutschen Kapitalmarkt“[3] war die Rede, vom „Quantensprung für die Akzeptanz der Blockchain-Technik in Deutschland“[4] und von sinkenden Kosten[5]. Weil der Emittent die Registerführung zukünftig selbst vornehmen könne, „hätten Startups die Möglichkeit, die gleiche Leistung wie etwa Clearstream[6] anzubieten. Das fördere den Wettbewerb.“[7]

Aus dem Referentenentwurf folgt ein solcher Schluss freilich nicht. Der nachstehende Beitrag soll den Blick klären helfen.

___STEADY_PAYWALL___

I. Der Referentenentwurf

Nach geltendem Recht sind Schuldverschreibungen auf den Inhaber in Urkundenform zu begeben, vgl. § 793 Abs. 1 BGB. Ohne das Papier kann das von ihm verkörperte Recht, der „Wert“, gar nicht erst entstehen. Das bedeutet, ein Wertpapier im zivilrechtlichen Sinne kann nicht entstehen, wenn es in elektronischer Form, beispielsweise in sog. Token-Form unter Verwendung eines Ethereum-Smart Contracts geschaffen werden soll.

Der Gesetzesentwurf zur Einführung der elektronischen Schuldverschreibung auf den Inhaber soll den Weg des Kapitalmarktes in die Zukunft ebnen und sieht vor, dass die bislang anzuwendenden Regeln des Wertpapierrechts auch in Zukunft anzuwenden sind, ungeachtet der Begebungsform. Um diesen Gleichlauf zu erreichen, fingiert der Entwurf in § 1 Abs. 3 eWpG-E die Sachqualität der elektronisch begebenen Schuldverschreibung.[8] Im Hinblick auf den Anlegerschutz macht der Referentenentwurf deutlich, dass dieser im Falle elektronischer Wertpapiere nicht unter das Anlegerschutzniveau bei physischen Wertpapieren fallen darf.

Das sog. Kryptowertpapierregister wird ausweislich § 4 Abs. 1 Nr. 2 eWpG-E nicht legaldefiniert, sondern lediglich als eine Alternative des elektronischen Wertpapierregisters bestimmt. Gemäß § 4 Abs. 1 eWpG-E ist der wesentliche Unterschied zwischen den elektronischen Registeralternativen die Art der Speicherung der elektronischen Wertpapiere: Im Falle der zentralen Speicherung handelt es sich um das zentrale Register über elektronische Wertpapiere i.S.d. § 12 eWpG-E, im Falle der dezentralen Speicherung um das Kryptowertpapierregister i.S.d. § 16 eWpG-E. Der Begriff des Kryptowertpapiers leitet sich hingegen aus dem Eintrag in das sog. Kryptowertpapierregister ab, vgl. § 4 Abs. 2 eWpG-E.

Kryptowertpapierregisterführende Stelle ist nach § 16 Abs. 2 S. 1 eWpG-E, wer vom Emittenten eines Kryptowertpapiers gegenüber dem Inhaber als solche benannt wird. Unterbleibt eine Benennung nach Satz 1, gilt nach § 16 Abs. 2 S. 2 eWpG-E der Emittent als registerführende Stelle.

Wer zukünftig ein Kryptowertpapierregister führen möchte, muss gemäß Referentenentwurf[9] die Vorschriften zu Inhabern bedeutender Beteiligungen (§ 2c KWG), zu den Meldepflichten (§ 24 KWG), zu den organisatorischen Pflichten (§ 25a KWG – konkretisiert durch MaRisk und BAIT), zu Anfangskapital und Geschäftsleitern (§ 33 KWG) sowie zur Vorlage eines Jahresabschlusses und der Durchführung einer jährlichen Prüfung (§§ 26 und 28 KWG) erfüllen. Zudem sind geldwäscherechtliche Vorgaben und Vorschriften zu internen Sicherungsmaßnahmen (§ 25h KWG) sowie zu verstärkten Sorgfaltspflichten (§ 25k KWG) einzuhalten. Der Anbieter der Kryptowertpapierregisterführung, der Finanzdienstleistungsinstitut i.S.d. neuen § 1 Abs. 1a S. 2 Nr. 8 KWG sein wird, muss zukünftig gemäß § 33 Abs. 1 S. 1 Nr. 1 lit. c KWG ein Anfangskapital von 730.000,00 EUR vorweisen.[10] Anderenfalls ist die erforderliche Erlaubnis nach dem zukünftigen § 33 Abs. 1 S. 1 Nr. 1 lit. c KWG zu versagen.

Die registerführende Stelle eines Kryptowertpapierregisters hat dieses gemäß § 7 Abs. 1 eWpG-E nach dem jeweiligen Stand der Technik zu führen. Darüber hinaus hat sie nach § 7 Abs. 2 S. 1 eWpG-E sicherzustellen, dass das Kryptowertpapierregister jederzeit die bestehende Rechtslage zutreffend wiedergibt und Eintragungen sowie im Falle von Kryptowertpapieren auch Umtragungen vollständig und ordnungsgemäß erfolgen. Sie ist dem Berechtigten nach § 7 Abs. 2 S. 2 eWpG-E zum Ersatz des Schadens verpflichtet, der durch eine Satz 1 nicht entsprechende Registerführung entsteht, es sei denn, sie hat den Fehler nicht zu vertreten.

Die registerführende Stelle hat nach § 7 Abs. 3 S. 1 eWpG-E die erforderlichen technischen und organisatorischen Maßnahmen zu treffen, um einen Datenverlust oder eine unbefugte Datenveränderung über die gesamte Dauer der Eintragung zu verhindern, andernfalls haftet sie dem Berechtigten für den Schaden, der aufgrund des Datenverlustes oder der unbefugten Datenveränderung entsteht. Der Kryptowertpapierregisterführer hat nach § 7 Abs. 3 S. 2 eWpG-E sicherzustellen, dass der Gesamtbestand der vom Emittenten begebenen Kryptowertpapiere durch Eintragungen und auch durch Umtragungen nicht verändert wird.

Der Emittent trifft daneben nach § 21 Abs. 1 eWpG-E die erforderlichen technischen und organisatorischen Maßnahmen, um die Integrität und die Authentizität der Kryptowertpapiere für die gesamte Dauer der Eintragung zu gewährleisten. Den Emittenten, der selbst registerführende Stelle sein möchte, treffen also nicht nur die Emittenten- sondern auch die immensen Pflichten eines Finanzdienstleistungsinstituts, welches der Aufsicht durch die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) unterstellt ist. Darüber hinaus sind von ihm personenbezogene Daten, z.B. nach §§ 17 Abs. 1 S. 1 Nr. 4, 18, 19 eWpG-E, zu verarbeiten und zu schützen. Das bedeutet, ihn treffen die Pflichten der Datenschutzgrundverordnung (DSGVO) und damit eine allumfassende Pflicht zur Gewährleistung der Datensicherheit. Vorgenannte Pflichten können nur durch ein finanzkräftiges Unternehmen erfüllt werden. Es erscheint fraglich, wie ein Startup, welches üblicherweise nicht einmal mit dem notwendigen Anfangskapital ausgestattet ist, die gesetzlichen Mindestanforderungen an den Emittenten und die registerführende Stelle dauerhaft (vgl. §§ 7 Abs. 3 S. 1, 21 Abs. 1 eWpG-E) erfüllen soll.

Die gesetzlichen Mindestanforderungen an das Kryptowertpapierregister selbst sind nicht zuletzt von einer dauerhaften Unsicherheit geprägt. Im Grunde ist im Sinne des § 21 eWpG-E mehrfach täglich zu prüfen, ob das Kryptowertpapierregister noch den Mindestanforderungen des § 16 Abs. 1 eWpG-E entspricht oder ob es migriert, bzw. eine Umwandlung[11] der Kryptowertpapiere vorgenommen werden muss.

II. Die technischen Mindestanforderungen an das Kryptowertpapierregister

Wie bereits aufgezeigt, darf sich ein registerführender Emittent von Kryptowertpapieren nicht auf Glaubenssätze betreffend die (Fälschungs-)Sicherheit von Blockchain- und sonstigen Distributed-Ledger-Technologien verlassen. Er hat die Sicherheit der Kryptowertpapiere aktiv zu gewährleisten.

Die eingangs erwähnten Quellen verweisen auf die Blockchain-basierte Entwicklerplattform Ethereum als geeignete Basis eines Kryptowertpapierregisters.[12] Doch dieses Blockchain-Netzwerk ist längst an seine Kapazitätsgrenzen geraten.[13] Das Gesamtvolumen der Ethereum-Blockchain soll zum Jahresende 2020 5 Terabyte[14] betragen. Nur noch wenige Rechner können diese Datenmengen, dies vor allem in kurzen Synchronisierungsabständen, verarbeiten. Das bedeutet, mit dem steigendem Gesamtvolumen reduziert sich die Anzahl der sog. Full (Archive) Nodes, die eine für die Dezentralität notwendige Kopie der gesamten Blockchain vorhalten und mit jedem neu hinzugefügten Block aktualisieren. Die hohen Transaktionszahlen und die kettenstrukturbedingte schrittweise Verarbeitung des Transaktionsaufkommens hat nicht zuletzt dazu geführt, dass die Transaktionsgebühren kürzlich in die Höhe geschossen sind: Wer nicht bis zu 100 US-Dollar[15] in Gwei[16] zahlen konnte und wollte, musste warten. Eine solche Entwicklung hat nicht nur negative Auswirkungen auf die Akzeptanz des Netzwerks: Je weniger aktive Full (Archive) Nodes und Nutzer im Netzwerk verbleiben, desto geringer ist die Sicherheit des Netzwerks und der in der gemeinsam verwalteten Blockchain-Datenbank gespeicherten Inhalte.

Im Ergebnis wird Ethereum langfristig an Dezentralität verlieren. Daran schließt sich die Frage: Ist Ethereum oder ein Ethereum-Smart Contract bzw. eine Mehrheit aus interagierenden Ethereum-Smart Contracts (eine sog. DAO[17]) überhaupt eine geeignete Grundlage für ein Kryptowertpapierregister im Sinne des § 16 Abs. 1 eWpG-E?

1. Was bedeutet „dezentral“?

Der Referentenentwurf schweigt hierzu. Die gewollte Technologieneutralität ist der ausdrückliche Grund für diese Zurückhaltung.[18] Im Allgemeinen kann man festhalten, dass sich der Schutz gegen unbefugte Löschung und nachträgliche Veränderung (vgl. § 16 Abs. 1 eWpG-E) in einer Blockchain-Datensammlung aus der Vielzahl ihrer identisch und vollständig vorliegenden Kopien ableitet. Das Kriterium „Dezentralität“ kann dann jedoch nicht erfüllt sein, wenn nur ein oder wenige von einer natürlichen oder juristischen Person betriebene Rechner die vollständige Version vorhält bzw. vorhalten und der Rest der Nutzer sich mit sog. Light-Clients zufrieden geben muss. Light Clients erlauben die Interaktion mit der Blockchain, ohne eine vollständige Kopie von ihr ablegen und stetig synchronisieren zu müssen. Sie tragen mithin nicht zu einer zweckdienlichen Dezentralität bei. Ob dem Gesetzgeber eine Scheindezentralität genügt, steht in Frage.

2. Was bedeutet „fälschungssicher“?

Die Fälschungssicherheit eines Kryptowertpapierregisters meint die Gewährleistung der Integrität und Authentizität dessen Inhalts. Diese werden in Distributed-Ledger-Systemen wie Ethereum v.a. durch die sog. Elliptische-Kurven-Kryptographie (ECC) sichergestellt.[19] Wer hieran eine Änderung (i.e. eine sog. Transaktion) vornehmen möchte, muss hierzu „berechtigt“ sein. Im Falle von Ethereum folgt die Berechtigung aus dem einer Adresse und ihrem zugehörigen Public Key zugeordneten geheimen Private Key. Aus der Adresse kann, bedingt durch die ECC, der Public Key nicht errechnet werden, aus Adresse und Public Key nicht der Private Key. Die Fälschungssicherheit auf Grundlage der ECC leitet sich im Wesentlichen aus der derzeit zu hohen Berechnungszeit ab. Spätestens mit der Einführung des Quantencomputers sollte die Fälschungssicherheit eines ECC-basierten Kryptowertpapierregisters der Vergangenheit angehören – wenn dies nicht schon längst der Fall ist.

3. Was bedeutet „gegen unbefugte Löschung sowie nachträgliche Veränderung geschützt“?

Der Schutz eines Blockchain-Eintrags gegen unbefugte Löschung sowie nachträgliche Veränderung folgt, wie bereits ausgeführt, aus der hohen Distribution. Durch die hohe Kopienanzahl werden unerwünschte Änderungen an der Blockchain erschwert und leichter als unerwünscht erkannt. Unmöglich sind sie jedoch nicht. Es bedarf der Netzwerkmehrheit bzw. eines ihr vergleichbaren erheblichen (Rechen-)Aufwands, der unter idealen Umständen wirtschaftlich unattraktiv ist. Hinzu kommt die Notwendigkeit der Wirksamkeit von (finanziellen) Anreizen, die böswilliges Handeln unattraktiv erscheinen lassen. Doch auf all diese Umstände hat der Emittent bzw. die kryptowertpapierregisterführende Stelle keinen hinreichenden Einfluss. Ihnen obliegt die stete Beobachtung von Entwicklungen im Netzwerk und schnelle Reaktion bei einem Verlust- bzw. Sicherheitsvorfall.

III.  Fazit

Vorstehende Anforderungen an die registerführende Stelle und das Kryptowertpapierregister selbst sind für ein Startup kaum zu bewältigen. Hinzu kommen die nicht minder schweren Risiken, die sich aus der Verknüpfung mit weiterer (eigens entwickelter oder Dritt-) Software ergeben und auch im Falle IOTAs Anfang 2020 zu nicht unerheblichen Verlusten geführt haben.[20] Zwar spricht § 16 Abs. 1 eWpG-E nur vom Schutz gegen unbefugte Löschung und nachträgliche Veränderung. Doch folgt aus § 7 Abs. 3 S. 1 eWpG-E die umfassende Pflicht, technische und organisatorische Maßnahmen zu treffen, um jegliche Ursache für und Form von Verlust auszuschließen. Genügt die registerführende Stelle ihren gesetzlichen Pflichten nicht, hat sie den entstandenen Schaden zu ersetzen. Wer finanziell und personell nicht zur Erfüllung der gesetzlichen Anforderungen in der Lage ist, wird die erforderliche Erlaubnis nicht erhalten. Aktuelle Pressemeldungen machen eine umfassende Prüfung der Rechtpflichten und eigenen Möglichkeiten im Ergebnis nicht obsolet.

V

V


[1]  Johann Wolfgang von Goethe.

[2]  https://www.bundesfinanzministerium.de/Content/DE/Gesetzestexte/Gesetze_Gesetzesvorhaben/Abteilungen/Abteilung_VII/19_Legislaturperiode/2020-08-11-einfuehrung-elektronische-wertpapiere/1-Referentenentwurf.pdf?__blob=publicationFile&v=2 (zuletzt abgerufen am 15. August 2020).

[3]  Sandner, https://medium.com/@philippsandner/revolution-am-deutschen-kapitalmarkt-wertpapiere-werden-digital-eb1db9e99879 (zuletzt abgerufen am 15. August 2020).

[4]  https://www.handelsblatt.com/finanzen/maerkte/anleihen/blockchain-anleihe-revolution-am-kapitalmarkt-bundesregierung-legt-gesetzentwurf-fuer-virtuelle-wertpapiere-vor/26084362.html?ticket=ST-6840605-k79bndLBRLvHu1bBgxEf-ap3 (zuletzt abgerufen am 15. August 2020).

[5]  https://boerse.ard.de/anlagestrategie/geldanlage/elektronische-wertpapiere-auf-der-zielgeraden100.html (zuletzt abgerufen am 15. August 2020).

[6]  Clearstream Banking AG, eine sog. Wertpapiersammelbank im Sinne des § 1 Abs. 3 DepotG, die eine 100%ige Tochter der Deutsche Börse AG ist.

[7]  https://boerse.ard.de/anlagestrategie/geldanlage/elektronische-wertpapiere-auf-der-zielgeraden100.html; so auch Sandner, https://medium.com/@philippsandner/revolution-am-deutschen-kapitalmarkt-wertpapiere-werden-digital-eb1db9e99879 (zuletzt abgerufen am 15. August 2020).

[8]  Weitere Hintergründe und Details: Otto, Der Referentenentwurf zur Einführung von elektronischen Wertpapieren, Ein großer Wurf für den Anlegerschutz, 9. August 2020, https://cot.legal/der-referentenentwurf-zur-einfuhrung-von-elektronischen-wertpapieren (zuletzt abgerufen am 15. August 2020).

[9]  Seiten 76 f.

[10]  Referentenentwurf, S. 22, 77.

[11]  Weiterführend: Otto, Der Referentenentwurf zur Einführung von elektronischen Wertpapieren, Ein großer Wurf für den Anlegerschutz, 9. August 2020, https://cot.legal/der-referentenentwurf-zur-einfuhrung-von-elektronischen-wertpapieren (zuletzt abgerufen am 15. August 2020).

[12]  Fn. 3-5.

[13]  Vgl. Otto, Blockchain Space Trading, 1. Juni 2020, https://cot.legal/blockchain-space-trading (zuletzt abgerufen am 15. August 2020); Zmudzinski, ETH Transaction Fees Hit All-Time High Second Day in a Row, 13. August 2020, https://cointelegraph.com/news/eth-transaction-fees-hit-all-time-high-second-day-in-a-row (zuletzt abgerufen am 15. August 2020).

[14]  Phillips, Ethereum archive nodes now take up 4 terabytes of space, 7. April 2020, Decrypt, https://decrypt.co/24779/ethereum-archive-nodes-now-take-up-4-terabytes-of-space (zuletzt abgerufen am 15. August 2020).

[15]  Haig, $99 Gas Fees on Ethereum Are Crippling DeFi’s Growth, 14. August 2020, https://cointelegraph.com/news/99-gas-fees-on-ethereum-are-crippling-defis-growth (zuletzt abgerufen am 15. August 2020).

[16]  Die Bezeichnung für den Bruchteil von Ether, der für Ethereum-Transaktionen als sog. Gebühr anfällt.

[17]  Distributed Autonomous Organisation.

[18]  Referentenentwurf, S. 56.

[19]  Lesenswert hierzu: Grayblock, Elliptic-Curves-Cryptography, 29. Juni 2018,  https://medium.com/coinmonks/elliptic-curve-cryptography-6de8fc748b8b (zuletzt abgerufen am 15. August 2020); Otto, Ri 2018, 16 (29, 35), 102 (106).

[20]  https://docs.iota.org/docs/wallets/0.1/trinity/references/troubleshooting (zuletzt abgerufen am 15. August 2020).

Titelbild: © Claudia Otto