1.
Finanzrechtliche Einordnung von Bitcoins ^
1.1.
Was sind Bitcoins? ^
1.2.
Regelungsumfeld für Bitcoinanbieter in finanzrechtlicher Hinsicht ^
Bitcoin ist eine virtuelle Währung, die weder der Regulierung noch der Aufsicht der FMA unterliegt. Geschäftsmodelle, welche Bitcoins zum Gegenstand haben, können jedoch eine Konzessionspflicht nach einer der FMA zum Vollzug zugewiesenen Rechtsvorschriften auslösen.4 Bitcoins sind mangels essenzieller Voraussetzungen weder Geld noch E-Geld. Bitcoins sind auch keine Finanzinstrumente i.S.d. § 1 Z. 7 und 7 a BWG 103 oder § 1 Z. 6 WAG. Der gewerbliche Eigenhandel mit Bitcoins bedarf damit keiner BWG-Konzession, ebenso ist die Anlageberatung, Vermögensverwaltung, Annahme und Übermittlung von Aufträgen sowie der Betrieb eines Multilateralen Handelssystems (MTF) im Hinblick auf Bitcoins nach WAG konzessionsfrei. Zur Konkretisierung der zivilrechtlichen Pflichtenlage bei Bitcoin-Transaktionen können freilich die Wohlverhaltensregeln des WAG analog angewendet werden.5
Bitcoins sind ferner keine Zahlungsinstrumente nach ZaDiG, wohl aber Zahlungsmittel nach § 1 Abs. 1 Z. 6 BWG. Veräußerung und Umtausch von Bitcoins erfüllen den Begriff der Verwaltung von Zahlungsmitteln, wofür bei gewerblicher Tätigkeit eine Berechtigung nach dem § 4 Abs. 1 BWG erforderlich ist (Gedanke des Anlegerschutzes). Dagegen ist das Inzahlungnehmen von Bitcoins regulatorisch nicht erfasst und somit konzessionsfrei.6 Handelsplattformen werden laut der Finanzmarktaufsicht nicht reguliert und unterliegen keiner Aufsicht. Eine Handelsplattform kann jederzeit geschlossen werden, so mussten mehrere Handelsplattformen ihre Tätigkeit bereits wieder einstellen. Bei Schließung der Handelsplattformen, z.B. durch Insolvenz oder durch das Verbot des An- und Verkaufs und des Handels mit Bitcoins in einem Staat, besteht kein Rechts-, Einlagen- oder Anlegerschutz. Es gibt keinen zentralen Betreiber, welcher in Anspruch genommen werden kann.7
1.3.
Die Regelungen der Financial Action Task Force ^
2.1.
Einleitung – Warum gerade jetzt? ^
2.2.1.
Überblick ^
2.2.2.
Die wesentlichsten Maßnahmen ^
- Nationale NIS-Strategie und nationaler NIS-Kooperationsplan (Art. 5): Die Mitgliedstaaten sind zur Annahme einer Strategie und eines Kooperationsplans im Bereich der Cybersicherheit verpflichtet.32
- Für die Netz- und Informationssicherheit zuständige nationale Behörde (Art. 6): Die nationale Behörde ist mit angemessenen technischen, finanziellen und personellen Ressourcen auszustatten. Sie ist überwacht die Anwendung der NIS-Richtlinie auf nationaler Ebene, trägt zu ihrer einheitlichen Anwendung in der Union bei und arbeitet auch mit den nationalen Strafverfolgungs- und Datenschutzbehörden zusammen.33
- Kooperationsnetz (Art. 8): Die zuständigen Behörden und die Kommission bilden ein Netz für die Zusammenarbeit bei der Bewältigung von Cybersicherheitsrisiken und –vorfällen.
- Sicherheitsanforderungen und Meldepflicht (Art. 14): Die öffentliche Verwaltung und Marktteilnehmer haben «geeignete technische und organisatorische Maßnahmen» zu ergreifen, um «die Risiken für die Sicherheit der Netze und Informationssysteme, die ihnen unterstehen und die sie für ihre Tätigkeiten nutzen, zu managen».34
- Normung (Art. 16): Um eine einheitliche Umsetzung des Art. 14 zu gewährleisten, müssen die Mitgliedstaaten die Anwendung einschlägiger Normen fördern, zu denen die Kommission eine Liste erstellen wird.
- Sanktionen (Art. 17): Die Mitgliedstaaten müssen Sanktionen vorsehen, die «wirksam, angemessen und abschreckend» sind, um die Anwendung der NIS-Regeln zu gewährleisten.
2.2.3.
Die Zielgruppe ^
2.2.4.
Die NIS-Richtlinie und Bitcoins ^
2.3.1.
Überblick ^
2.3.2.
Die wesentlichsten Bestimmungen ^
2.4.
Österreich – Der Plan ^
3.
Fazit ^
4.
Literaturverzeichnis ^
Bachler, Martina/Nothegger, Barbara, Bye-bye, Bares! Format 49/2014, 25 ff.
Benndorf, Laurenz, Bitcoins Versuch der rechtlichen Entschlüsselung einer Kryptowährung, Diplomarbeit Universität Graz (2014).
Bundeskanzleramt Österreich (Hrsg.), Österreichische Strategie für Cyber Sicherheit, Bundeskanzleramt Österreich, Wien (2013).
Bundesministerium des Innern (Hrsg.), Cyber-Sicherheitsstrategie für Deutschland, Bundesministerium des Innern, Berlin (2011).
Eberwein, Helgo/Steiner, Anna Zoe (Hrsg.), Bitcoins, Jan Sramek Verlag, Wien (2014).
Helgo Eberwein, Jurist, Bundesministerium für Inneres1, Abteilung III/4, Aufenthalts-, Personenstands- und Staatsbürgerschaftswesen, Herrengasse 7, 1014 Wien, AT, helgo.e@web.de
Árpád Geréd, Rechtsanwalt, Maybach Görg Lenneis Geréd Rechtsanwälte GmbH, Museumstraße 5, 1070 Wien, AT, a.gered@mglp.eu, http://www.mglp.eu
Der Beitrag gibt ausschließlich die persönliche Meinung des Autors wieder und ist weder als Äußerung im Rahmen der Dienstpflicht noch als Rechtsauffassung der Behörde zu verstehen.
- 1 Vgl. Bachler/Nothegger, Format 49/2014, 25.
- 2 Vorschlag für eine Richtlinie des Europäischen Parlaments und des Rates über Maßnahmen zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit in der Union COM (2013) 48 final (NIS-Richtlinie) 2.
- 3 Kaes, Bitcoins: Technische Einleitung in Eberwein/Steiner (Hrsg.), Bitcoins 1.
- 4 http://www.fma.gv.at/de/sonderthemen/information-zu-bitcoin.html (abgerufen am 25. Januar 2015).
- 5 Falschlehner/Klausberger, Zur finanzmarktaufsichtsrechtlichen Einordnung von Bitcoins in Eberwein/Steiner (Hrsg.), Bitcoins, 60.
- 6 Ebenda, 55, 60.
- 7 http://www.fma.gv.at/de/sonderthemen/information-zu-bitcoin.html (abgerufen am 25. Januar 2015).
- 8 Benndorf, Bitcoins Versuch der rechtlichen Entschlüsselung einer Kryptowährung, 81.
- 9 http://www.faz.net/aktuell/finanzen/devisen-rohstoffe/digitale-waehrung-deutschland-erkennt-bitcoins-als-privates-geld-an-12535059.html (abgerufen am 25. Januar 2015).
- 10 Die FATF ist eine internationale, zwischenstaatliche Organisation. Sie wurde von der G-8 gegründet und umfasst 36 Mitglieder, wovon 34 selbständige Staaten und 2 Regionalorganisationen (EU-Kommission und der Kooperationsrat der Golfstaaten) sind. Das Sekretariat der Organisation befindet sich in Paris, am Sitz der Organisation for Economic Cooperation and Development (OECD). Die Kernaufgabe der FATF besteht darin, internationale Standards im Bereich der Bekämpfung der Geldwäscherei und der Terrorismusfinanzierung zu verfassen und deren effektive Umsetzung durch gesetzgeberische, regulatorische und operative Maßnahmen im Rahmen gegenseitiger Länderprüfungen (Mutual Evaluations) zu kontrollieren.
- 11 https://www.finma.ch/d/finma/internationales/gremien/Seiten/fatf.aspx; http://www.fatf-gafi.org/topics/fatfrecommendations/documents/fatf-recommendations.html (abgerufen am 25. Januar 2015).
- 12 http://eur-lex.europa.eu/legal-content/DE/ALL/?uri=CELEX:32007L0064 (abgerufen am 25. Januar 2015).
- 13 http://www.fatf-gafi.org/topics/methodsandtrends/documents/virtual-currency-definitions-aml-cft-risk.html; http://www.fatf-gafi.org/media/fatf/documents/reports/Virtual-currency-key-definitions-and-potential-aml-cft-risks.pdf (abgerufen am 25. Januar 2015).
- 14 Beispielsweise über den Loveletter-Virus, siehe etwa http://www.sueddeutsche.de/digital/zehn-jahre-i-love-you-wurm-liebesvirus-mit-fatalen-folgen-1.941683 oder http://www.symantec.com/security_response/writeup.jsp?docid=2000-121815-2258-99 (abgerufen am 25. Januar 2015).
- 15 Siehe z.B. http://de.wikipedia.org/wiki/Anonymous_%28Kollektiv%29 (abgerufen am 25. Januar 2015) mit einer Zusammenfassung der wesentlichen Aktivitäten.
- 16 Siehe z.B. http://de.wikipedia.org/wiki/LulzSec (abgerufen am 25. Januar 2015) mit einer Zusammenfassung der wesentlichen Aktivitäten.
- 17 Siehe z.B. http://www.welt.de/vermischtes/weltgeschehen/article106612886/Anonymous-bekaempft-das-maechtige-Scientology.html (abgerufen am 25. Januar 2015).
- 18 Das ist die Blockade von Internetdiensten, beispielsweise mittels Überlastung von Infrastruktursystemen durch eine größeren Anzahl von Anfragen, als diese Systeme verarbeiten können, oder durch Ausnutzung von Programmfehlern, mittels derer Fehlfunktionen des Systems bis hin zum Absturz herbeigeführt werden. Siehe dazu z.B. auch http://de.wikipedia.org/wiki/Denial_of_Service (abgerufen am 25. Januar 2015).
- 19 Siehe z.B. http://www.spiegel.de/netzwelt/web/operation-payback-hacker-grossangriff-auf-mastercard-visa-co-a-733520.html (abgerufen am 25. Januar 2015).
- 20 Siehe z.B. http://www.spiegel.de/netzwelt/gadgets/attacke-auf-playstation-netzwerk-hacker-stehlen-millionen-sony-kundendaten-a-759161.html; oder http://www.extremetech.com/gaming/84218-how-the-playstation-network-was-hacked (abgerufen am 25. Januar 2015).
- 21 Sowohl die Kampagne gegen Scientology, also auch die Angriffe gegen Schweizer Postfinanz, Mastercard und Visa waren, zumindest offiziell, primär ideologisch und netzpolitisch motiviert. Diese Hintergründe wurden auch in den Medien näher ausgeführt.
- 22 Im Gegensatz zu den Berichten über die früheren Aktivitäten von Anonymous und LulzSec konzentrierten sich die Medien nun auch auf die betroffenen Nutzer und die Auswirkungen, welche die Angriffe auf diese haben.
- 23 Siehe z.B. http://diepresse.com/home/techscience/internet/sicherheit/677088/FPOHomepage_Pony-statt-Strache und http://diepresse.com/home/politik/innenpolitik/1269841/Anonymous-hacken-erneut-FPOWebsite- (abgerufen am 25. Januar 2015).
- 24 Siehe z.B. http://derstandard.at/1310511899361/ORF-Gebuehren-Homepage-der-GIS-von-Anonymous-gehackt oder http://kurier.at/lebensart/technik/gis-beugt-sich-anonymous-ultimatum/717.017 (abgerufen am 25. Januar 2015).
- 25 Gute Zusammenfassungen und Details zu diesem sogenannten «NSA-Skandal» finden sich z.B. auf http://www.taz.de/!119094/ oder http://www.theguardian.com/us-news/the-nsa-files (abgerufen am 25. Januar 2015).
- 26 So wurde beispielsweise die Europäische Agentur für Netz- und Informationssicherheit (ENISA) 2004 gegründet (http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=uriserv:l24153). Deutschland gründete das BSI bereits 1990 (https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/BSI/bsiges_pdf.pdf?__blob=publicationFile) und publizierte ihre Cyber-Sicherheitsstrategie für Deutschland am 14. März 2011 (http://www.bmi.bund.de/SharedDocs/Downloads/DE/Themen/OED_Verwaltung/Informationsgesellschaft/cyber.pdf) (abgerufen am 25. Januar 2015).
- 27 http://eeas.europa.eu/policies/eu-cyber-security/cybsec_comm_de.pdf (abgerufen am 25. Januar 2015).
- 28 RL 2013/0027 (COD), http://eeas.europa.eu/policies/eu-cyber-security/cybsec_directive_de.pdf (abgerufen am 25. Januar 2015).
- 29 RL 2013/0027 (COD) 2.
- 30 http://ec.europa.eu/public_opinion/archives/ebs/ebs_390_fact_de_de.pdf (abgerufen am 25. Januar 2015).
- 31 RL 2013/0027 (COD) 3.
- 32 Diese müssen beispielsweise allgemeine Maßnahmen zur Abwehrbereitschaft, Reaktion und Wiederherstellung und einen Risikobewertungsplan zur Bestimmung der Risiken und zur Bewertung der Auswirkungen potenzieller Sicherheitsvorfälle enthalten.
- 33 Im Kooperationsnetz werden Frühwarnungen zu Sicherheitsrisiken herausgegeben, die weiterreichend sind oder mehrere Mitgliedstaaten betreffen können.
- 34 Die Eignung der Maßnahmen ist dabei jeweils nach dem Stand der Technik und dem bestehenden Risiko zu beurteilen. Der Fokus der Maßnahmen soll nach der NIS-Richtlinie nicht nur auf der Schadensprävention, sondern auch auf der Gewährleistung der Kontinuität der Dienste liegen. Sicherheitsvorfälle sind nach Maßgabe der zuständigen Behörde zu melden.
- 35 Somit Unternehmen mit weniger als 10 Mitarbeitern und maximal € 2 Mio. Jahresumsatz. Siehe auch http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2003:124:0036:0041:de:PDF (abgerufen am 25. Januar 2015).
- 36 http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+TA+P7-TA-2014-0244+0+DOC+XML+V0//DE (abgerufen am 25. Januar 2015).
- 37 Die vom Parlament vorgeschlagene Version konzentriert sich allein auf Betreiber kritischer Infrastrukturen und lässt Dienste der Informationsgesellschaft wie auch die öffentliche Verwaltung ausgeklammert. Gleichzeitig wurde aber die Liste der Betreiber kritischer Infrastrukturen erweitert, beispielsweise um organisierte Handelssysteme des Finanzmarkts und Internet-Knoten. Als nächster Schritt im Gesetzgebungsverfahren steht die erste Lesung im Rat der EU aus.
- 38 Auch eine Einzelperson, welche eine hohe Anzahl an Bitcoins besitzt und Bitcoinminer, welche versuchen Bitcoins erzeugen, erbringen im Gegensatz zu Miningpoolbetreibern keine Dienste.
- 39 http://www.bmi.bund.de/SharedDocs/Downloads/DE/Nachrichten/Kurzmeldungen/entwurf-it-sicherheitsgesetz.pdf?__blob=publicationFile (abgerufen am 25. Januar 2015).
- 40 Die Allianz für Cyber-Sicherheit ist eine Initiative des BSI in Zusammenarbeit mit dem BITKOM mit derzeit mehr als 1000 Teilnehmern. Siehe auch https://www.allianz-fuer-cybersicherheit.de (abgerufen am 25. Januar 2015).
- 41 Die ursprünglich von der deutschen Bundesregierung vorgesehene Berichtspflicht mit Namensnennung wurde beispielsweise mit diesem Argument kritisiert.
- 42 Österreichische Strategie für Cyber Sicherheit http://www.bundeskanzleramt.at/DocView.axd?CobId=50748 (abgerufen am 25. Januar 2015).
- 43 http://www.bmi.gv.at/cms/bmi/_news/bmi.aspx?id=436E3444473136415A41593D&page=0&view=1 (abgerufen am 25. Januar 2015).