MiCA 2.0 Zielt auf DeFi: Was die EU-Konsultation Wirklich Ändert

Die Europäische Kommission eröffnete am 20. Mai 2026 die MiCA 2.0 Konsultation mit einem Rückmeldefenster, das am 31. August 2026 schließt. Das sind rund 103 Tage formaler Branchenbeiträge, um das zu gestalten, was das erste verbindliche Regulierungsregime der EU für DeFi werden könnte – ein Legislativvorschlag wird bis zum 30. Juni 2027 erwartet. Die wesentliche Änderung: Der „vollständig dezentralisierte" Ausschluss, der das ursprüngliche MiCA definierte, steht auf dem Prüfstand.

Was Geschehen Ist

Das ursprüngliche MiCA-Rahmenwerk trat schrittweise ab 2024 in Kraft, mit den Stablecoin-Emittentenregeln ab Juni 2024 und dem vollständigen CASP-Regime ab Dezember 2024. Rund 18 Monate nach diesem Rollout hat die Kommission das Überprüfungsverfahren gemäß Artikel 140 ausgelöst, das einen Bericht an das Europäische Parlament und den Rat bis zum 30. Juni 2027 vorschreibt, der möglicherweise mit einem Legislativvorschlag verbunden ist. Die Konsultation ist der erste formale Schritt in dieser Überprüfung.

Wie Kavout berichtete, zielt die Konsultation direkt auf eine strukturelle Lücke ab: MiCA wurde größtenteils verfasst, bevor Stablecoins, Tokenisierung und DeFi ihr heutiges Ausmaß erreicht hatten, und schloss ausdrücklich „vollständig dezentralisierte" Dienste aus. Die Kommission räumt nun ein, dass dieser Ausschluss Aktivitäten außerhalb der EU begünstigt haben könnte – klassische regulatorische Arbitrage. Der FATF-Bericht 2026 über offshore Virtual Asset Service Provider verstärkte diese Sorge und wies auf das Risiko hin, dass Nutzer zu nicht registrierten Anbietern abwandern, wenn inländische Regime ungleichmäßig verschärft werden.

Die Konsultation stellt drei Regulierungsarchitekturen zur Diskussion: ein Zertifizierungsmodell, das durch einen Total Value Locked-Schwellenwert und nicht durch eine vollständige CASP-Lizenz gesteuert wird; „eingebettete Aufsicht", bei der die Compliance im Code des Protokolls verankert ist; und das „CASP-als-Gatekeeper"-Modell, das lizenzierte Intermediäre damit beauftragt, DeFi-Protokolle im Namen ihrer Nutzer zu prüfen. Die Kommission bietet auch eine Arbeitsdefinition von DeFi: „jede Blockchain-Anwendung, die Finanzfunktionalitäten anbietet, einschließlich solcher, bei denen eine identifizierbare Entität die Kontrolle ausübt." Dieser letzte Teilsatz trägt viel Gewicht, und ich komme darauf zurück.

Die Quelle gibt nicht preis, welcher TVL-Schwellenwert diskutiert wird – was entscheidend ist, da die gesamte Wettbewerbsstruktur des EU-DeFi davon abhängt, ob diese Zahl bei 10 Millionen Euro, 100 Millionen oder 1 Milliarde festgesetzt wird.

Technische Analyse

Die interessante technische Frage ist, wie ein Regulierer ein „dezentralisiertes" Protokoll von einem zentral betriebenen Dienst unterscheidet, der einen Smart-Contract-Mantel trägt. Die von der Kommission vorgeschlagenen Kriterien listen fünf Signale auf: Admin-Key-Kontrolle, Governance-Konzentration, Asset-Verwahrung, Open-Source-Status und ob eine Entität das Protokoll aktiv vermarktet. Die ESMA hat bereits festgestellt, dass Dezentralisierung auf einem Spektrum liegt und keine Binärvariable ist – diese Kriterien operationalisieren diese Sichtweise.

Jedes Kriterium lässt sich on-chain oder in öffentlichen Materialien überprüfen. Admin-Keys sind auf EVM-Chains auf Vertragsebene sichtbar, und die Ethereum-Dokumentation dokumentiert die standardmäßigen Upgrade-Muster – Proxy-Contracts, Timelocks, Multisig-Owner –, die ein Aufseher aufzählen könnte. Governance-Konzentration ist durch Token-Verteilung und historische Abstimmungsbeteiligung messbar. Verwahrung ist eine Frage, ob Nutzermittel in einem nicht verwahrenden Contract liegen oder über ein vom Betreiber kontrolliertes Konto fließen. Open-Source-Status ist in der Praxis binär. Aktives Marketing ist der unschärfste Faktor und wahrscheinlich derjenige, der die meisten Durchsetzungsstreitigkeiten erzeugen wird.

„Eingebettete Aufsicht" ist das technisch ehrgeizigste der vorgeschlagenen Modelle. Das Konzept baut Compliance-Prüfungen direkt in die Protokollarchitektur ein: Denken Sie an KYC-Attestierungen, die auf Vertragsebene durchgesetzt werden, Transaktionslimits, die durch On-Chain-Credentials gesteuert werden, oder Aufsichts-Read-Endpoints, die Regulierer direkt abfragen können. Dies ist dem Geist nach näher daran, wie Oracles bereits vertrauenswürdige Off-Chain-Daten in Smart Contracts einbinden, und Projekte, die auf Chainlink-ähnlichen Attestierungsschichten aufbauen, werden einen strukturellen Vorsprung haben, wenn eingebettete Aufsicht als das gewählte Modell durchsetzt.

Das CASP-als-Gatekeeper-Modell ist technisch leichter, aber rechtlich schwerer. CASPs würden eine Due Diligence bei DeFi-Protokollen durchführen, mit denen sie Kunden verbinden, nur Zugang zu zertifizierten Protokollen vermitteln und möglicherweise Haftung für Vorfälle im Zusammenhang mit diesen Protokollen tragen. In der Praxis macht dies jede lizenzierte Börse und jeden Broker zu einem Whitelist-Operator. Die Compliance-Kosten liegen nicht im Code, sondern in den Rechtsgutachtendateien.

Was wir noch nicht wissen, ist, ob diese drei Modelle Alternativen oder stapelbar sind. Die Grenze ist bedeutsam: Wenn das endgültige Regime sowohl Zertifizierung als auch CASP-Gatekeeping für Protokolle oberhalb des Schwellenwerts erfordert, verdoppelt sich die effektive Compliance-Belastung gegenüber jedem einzelnen Modell in etwa.

Wer Am Meisten Betroffen Ist

Drei Gruppen tragen in den nächsten 90 Tagen das größte Risiko. Erstens DeFi-Protokolle mit identifizierbaren europäischen Teams oder aktiver EU-Vermarktung. Die Definition der Kommission erfasst ausdrücklich „Blockchain-Anwendungen, die Finanzfunktionalitäten anbieten, einschließlich solcher, bei denen eine identifizierbare Entität die Kontrolle ausübt." Ein Protokoll mit einem in Berlin ansässigen Kernteam, einem von Lissabon aus moderierten Discord und einem auf französische Privatanleger ausgerichteten Marketingbudget wird Schwierigkeiten haben, reine Dezentralisierung zu argumentieren, unabhängig davon, wie seine Smart Contracts strukturiert sind.

Zweitens EU-CASPs, insbesondere diejenigen, die ihre Wachstumsstrategie auf die Verbindung von Nutzern mit DeFi aufgebaut haben. Deutschland genehmigte 2025 20 CASPs, was 30 Prozent der gesamten EU-CASP-Genehmigungen entspricht – mehr als jeder andere Mitgliedstaat. Diese deutschen Unternehmen werden am wahrscheinlichsten zur Gatekeeper-Pflicht herangezogen, wenn sich dieses Modell durchsetzt. Ihre nächsten 90 Tage sollten dem Aufbau eines Due-Diligence-Rahmens für die DeFi-Protokollbewertung gewidmet sein, da die Kombination aus Zertifizierung und Haftung eine wesentliche Änderung ihres Risikomodells darstellt.

Drittens Stablecoin- und Tokenisierungsemittenten, die ihre EU-Strategie auf Basis des bestehenden MiCA-Regelwerks kalkuliert haben. Die Konsultation signalisiert, dass die Kommission der Ansicht ist, das ursprüngliche Rahmenwerk habe die Reifung dieser Märkte nicht berücksichtigt – was bedeutet, dass die Regeln, deren Umsetzung sie gerade 18 Monate gewidmet haben, sich erneut ändern könnten, bevor der Legislativvorschlag 2027 kommt.

Der Vergleich mit dem ursprünglichen MiCA-Zeitplan ist aufschlussreich. Das erste Rahmenwerk brauchte Jahre der Verhandlung und trat in zwei Tranchen in Kraft, Juni 2024 für Stablecoins und Dezember 2024 für CASPs. MiCA 2.0 läuft auf einem strafferen Zeitplan – Konsultation bis Sommer 2026, Kommissionsbericht bis 30. Juni 2027. Teams, die dies als ein Problem von 2028 behandeln, werden feststellen, dass sie schlecht positioniert sind, wenn der Legislativvorschlag veröffentlicht wird.

Handlungsempfehlungen für Crypto und DeFi

Für Protokoll-Teams: Prüfen Sie jetzt Ihre eigene Dezentralisierungsposition anhand der fünf Kriterien – nicht wenn die Regeln finalisiert sind. Dokumentieren Sie die Admin-Key-Verwahrung, Timelock-Parameter, Governance-Token-Verteilung und die Kontrollkette über Treasury-Assets. Wenn Sie eine identifizierbare EU-ausgerichtete Entität oder Marketingpräsenz haben, gehen Sie davon aus, dass die Definition der Kommission Sie erfasst, und planen Sie entsprechend. Reichen Sie vor dem 31. August 2026 eine Konsultationsantwort ein; der Regulierungstext, der 2027 entsteht, wird durch die in diesem Sommer eingegangenen Beiträge geprägt sein.

Für CASPs, die in der EU tätig sind: Beginnen Sie jetzt mit dem Aufbau eines DeFi-Protokollbewertungsrahmens. Wenn das Gatekeeper-Modell kommt, benötigen Sie eine vertretbare Methodik dafür, auf welche Protokolle Sie Ihren Nutzern Zugang gewähren – und Sie werden diese Methodik in Kraft haben wollen, bevor eine Haftung entsteht. Der deutsche Anteil von 30 Prozent der Genehmigungen von 2025 wird wahrscheinlich die stärkste Prüfung erfahren und sollte am besten vorbereitet sein.

Für Gründer, die den EU-Markteintritt abwägen: Die Kosten-Nutzen-Rechnung hat sich verschoben. Der ursprüngliche MiCA-Pass war attraktiv, weil er harmonisierten Zugang zum gesamten Binnenmarkt bot. MiCA 2.0 erhöht die Obergrenze dessen, was Compliance über einem noch nicht bekannten TVL-Schwellenwert kosten könnte. Wenn Ihr prognostizierter EU-TVL gering ist, könnte das Zertifizierungsregime tragbar sein; wenn Sie auf Milliarden skalieren wollen, kalkulieren Sie die vollständigen CASP-Lizenzkosten als Ausgangsbasis.

Überprüfbare Prognose: Wenn das CASP-als-Gatekeeper-Modell im Vorschlag von 2027 übernommen wird, sollten die EU-CASP-vermittelten DeFi-Zugriffsvolumen innerhalb von zwei Quartalen nach der Durchsetzung messbar sinken – und ein entsprechender Anstieg bei EU-Nutzern, die über Nicht-EU-Frontends oder Self-Custody-Wallets auf Protokolle zugreifen, sollte folgen.

Wichtigste Erkenntnisse

• Die MiCA 2.0 Konsultation läuft vom 20. Mai 2026 bis zum 31. August 2026, mit einem Kommissionsbericht an Parlament und Rat bis zum 30. Juni 2027 gemäß Artikel 140.
• Der ursprüngliche Ausschluss „vollständig dezentralisierter" Protokolle wird neu bewertet, mit fünf vorgeschlagenen Kriterien zu Admin-Keys, Governance, Verwahrung, Open-Source-Status und aktivem Marketing.
• Drei Regulierungsarchitekturen stehen zur Diskussion: TVL-basierte Zertifizierung, eingebettete Aufsicht und CASP-als-Gatekeeper. Der TVL-Schwellenwert ist nicht bekannt.
• Deutschlands Anteil von 30 Prozent der CASP-Genehmigungen von 2025 macht deutsche Intermediäre am anfälligsten für ein Gatekeeper-Haftungsregime.
• Wenn eingebettete Aufsicht gewinnt, haben Protokolle mit Attestierungs- und Oracle-Integrationen einen strukturellen Vorsprung gegenüber reinen Code-only-DeFi-Designs.