Transfer of Funds & Satoshi-Test - Was ist das?

Blocktrainer.de hat in den vergangenen Monaten und Jahren bereits mehrfach über die neuen Regulierungsrichtlinien für Kryptowährungen berichtet, die insbesondere im Rahmen der "MiCAR" (Markets in Crypto-Assets Regulation) umgesetzt werden. Eine dieser Maßnahmen ist die sogenannte Transfer of Funds Regulation (ToFR), die auch als „Travel Rule“ bekannt ist. Doch wie funktioniert die ToFR genau, und warum sorgt ihre Umsetzung – insbesondere durch den sogenannten „Satoshi Test“ – derzeit für starke Kontroversen?

Die Transfer of Funds Regulation ist eine Verordnung der Europäischen Union, die ab dem 30. Dezember 2024 in allen EU-Mitgliedsstaaten in Kraft tritt. Ziel der Regelung ist es, Geldwäsche und Terrorismusfinanzierung durch Kryptowährungen effektiver zu bekämpfen. Dazu verpflichtet die ToFR sogenannte Krypto-Asset-Dienstleister (CASPs) wie Börsen oder Zahlungsanbieter, umfangreiche Daten zu Transaktionen zu sammeln, weiterzuleiten und zu speichern.

Konkret schreibt die ToFR vor, dass CASPs bei jeder Transaktion – unabhängig von der Höhe – die Identität des Absenders und des Empfängers überprüfen und zahlreiche Daten erheben müssen. Dazu gehören Name, Adresse, Geburtsdatum und Kontodetails. Diese Informationen sollen während der Transaktion an den jeweiligen Empfänger-Dienstleister übermittelt werden und für einen festgelegten Zeitraum gespeichert bleiben, um eine Rückverfolgbarkeit durch Behörden zu ermöglichen. Damit soll ein Standard geschaffen werden, der sich an den Transparenzanforderungen für klassische Fiat-Währungstransaktionen orientiert.

Die Umsetzung der ToFR stellt Dienstleister vor erhebliche praktische und logistische Herausforderungen, insbesondere im Umgang mit selbstverwalteten Wallets. Krypto-Asset-Dienstleister (CASPs) wie Börsen, Zahlungsdienstleister oder Verwahrstellen müssen künftig – wie oben erwähnt – nicht nur umfangreiche Daten von Nutzern sammeln, sondern diese auch in Echtzeit mit jeder Transaktion abgleichen und weiterleiten. Während dies bei internen Transfers innerhalb einer Plattform relativ unkompliziert ist, wird es bei Transaktionen mit selbstverwalteten Wallets äußerst komplex. Hier fehlt eine direkte Kommunikationsschnittstelle, wie sie bei traditionellen Finanzinstituten üblich ist. Stattdessen müssen Dienstleister kreative Lösungen finden, um sicherzustellen, dass die Wallet dem angegebenen Nutzer gehört.

Zusätzlich erschweren die hohen regulatorischen Anforderungen den Dienstleistern den Betrieb. Sie müssen nicht nur robuste IT-Infrastrukturen entwickeln, sondern auch Prozesse implementieren, die sowohl den technischen als auch den rechtlichen Anforderungen gerecht werden. Dazu gehören etwa Mechanismen zur Identitätsverifizierung, die Verarbeitung und Speicherung sensibler Daten sowie der Schutz dieser Daten vor Missbrauch. Dabei bewegen sie sich stets in einem Spannungsfeld zwischen Compliance und Nutzerfreundlichkeit: Während die ToFR maximale Transparenz fordert, erwarten Nutzer verständlicherweise weiterhin eine reibungslose, datensichere und unkomplizierte Nutzung ihrer Wallets und Services. Hinzu kommen die steigenden Kosten durch zusätzliche Infrastruktur und Verwaltung, die letztlich entweder von den Unternehmen selbst oder von den Nutzern getragen werden müssen.

Ein zentraler Aspekt der neuen Vorschriften betrifft selbstverwaltete Wallets, also Wallets, bei denen Nutzer die vollständige Kontrolle über ihre privaten Schlüssel behalten. CASPs müssen sicherstellen, dass der Nutzer tatsächlich der Besitzer der angegebenen Wallet ist, wenn eine Transaktion mit einer selbstverwalteten Wallet durchgeführt wird. Man spricht hierbei vom sogenannten “Proof-of-Ownership” oder einfach “Eigentumsnachweis”.

An dieser Stelle kommt der sogenannte „Satoshi Test“ ins Spiel, der von einigen Anbietern als Lösung vorgeschlagen wird. Der Satoshi-Test funktioniert so, dass der Nutzer durch eine kleine Mikrotransaktion beweisen muss, dass er die Kontrolle über eine selbstverwaltete Wallet besitzt. Dabei wird eine geringe Menge an Kryptowährung, meist in Form einer zufälligen Mikrotransaktion innerhalb eines festgelegten Bereichs (im Gegenwert von 50 Cent bis einem Euro), von der Wallet des Nutzers an eine angegebene Zieladresse gesendet. Diese Transaktion dient als Nachweis, dass der Nutzer Zugriff auf die private Wallet hat und somit als deren Besitzer identifiziert werden kann.

Sobald die Transaktion erfolgreich durchgeführt wurde, gilt der Nachweis als erbracht, und die übertragenen Coins können vom jeweiligen Dienstleister dem gewünschten Zweck zugeordnet werden - so die Theorie.

Der Satoshi-Test wird in der Community bereits aus mehreren Gründen heftig kritisiert, da er sowohl technisch als auch praktisch erhebliche Schwächen aufweist. Einer der zentralen Kritikpunkte ist, dass der Test genau genommen keinen echten Nachweis der Eigentümerschaft liefert. Stattdessen belegt er lediglich, dass der Nutzer zu einem bestimmten Zeitpunkt Zugriff auf eine Wallet hatte oder jemanden kennt, der diesen Zugriff besitzt. Es ist somit durchaus möglich, dass der tatsächliche Besitzer der Wallet eine dritte Person ist, die den Test im Namen des Nutzers durchführt. Damit erfüllt der Satoshi-Test die regulatorische Anforderung des Eigentumsnachweises nicht vollständig und zeigt die eigentliche Unsinnigkeit des Ganzen auf.

Ein weiterer fundamentaler Mangel des Satoshi-Tests liegt in der mangelnden Kompatibilität mit dem Bitcoin-UTXO-Modell . Dieses Modell teilt jede Bitcoin -Transaktion in ungenutzte Ausgänge auf, und moderne Wallets sorgen dafür, dass nach jeder Transaktion automatisch eine neue Adresse generiert wird. Dieser Mechanismus schützt die Privatsphäre der Nutzer, steht nun jedoch im Widerspruch zum Satoshi-Test, da jede neue Adresse erneut verifiziert werden müsste. Nutzer, die die empfohlenen Sicherheits- und Datenschutzstandards befolgen, sind dadurch gezwungen, den Test wiederholt durchzuführen – ein ineffizienter und kostspieliger Prozess insbesondere, da die Nutzer die Kosten selbst tragen müssen.

Auch die Problematik von Wechselgeldadressen („Change“) verschärft die Situation. Bitcoin-Wallets schicken den verbleibenden Betrag einer Transaktion oft automatisch auf eine neue Adresse, um die Privatsphäre zu wahren. Doch diese neue Adresse müsste im Rahmen des Satoshi-Tests erneut verifiziert werden, was den administrativen Aufwand zusätzlich erhöht. Das führt nicht nur zu einer schlechten Nutzererfahrung, sondern birgt auch ein höheres Fehlerrisiko.

Die Tatsache, dass der Satoshi-Test weder mit grundlegenden Wallet-Standards noch mit den Prinzipien des grundlegenden Datenschutzes kompatibel ist, zeigt, wie wenig durchdacht diese Methode ist. Dabei gäbe es mit der Nutzung digitaler Signaturen eine einfache und kosteneffiziente Alternative, die weder das UTXO -Modell noch die Nutzererfahrung beeinträchtigen würde – zumindest bei ordentlicher und durchdachter Umsetzung. 

Kurz- und mittelfristig wird sich die Krypto-Community in der EU wohl oder übel mit der ToFR arrangieren müssen. Nutzer und Dienstleister werden sich daher gleichermaßen an zusätzliche bürokratische Hürden und potenziell höhere Kosten gewöhnen müssen, etwa durch Verfahren wie den genannten Satoshi-Test. Doch gerade hier besteht die Hoffnung, dass sich Dienstleister in Zukunft praktikablere und nutzerfreundlichere Lösungen einfallen lassen, die weniger aufwendig und kostspielig sind.

Gleichzeitig muss die Wirksamkeit der ToFR in Bezug auf ihre Ziele sowieso kritisch hinterfragt werden. Die Bekämpfung von Terrorismusfinanzierung und Geldwäsche dürfte durch diese Maßnahmen kaum signifikant verbessert werden, da illegale Akteure in der Regel ohnehin Wege finden, solche Regulierungen zu umgehen. Stattdessen zeigt die ToFR, wie übermäßige Regulierung Märkte und Freiheiten einschränken kann, während sie die Nutzererfahrung erheblich verschlechtert. Es bleibt zu hoffen, dass langfristig sowohl die EU als auch die Krypto-Industrie Wege finden, regulatorische Anforderungen mit den grundlegenden Prinzipien von Dezentralität, Datenschutz und Nutzerfreundlichkeit in Einklang zu bringen. Die Hoffnung ist zwar gering, aber sie stirbt ja bekanntlich zuletzt.