撰文:杨琪律师
Stabile Coins werden von immer mehr Unternehmen für Abrechnungen, grenzüberschreitende Zahlungen, Kapitalmanagement und B2B-Zahlungen verwendet. In Singapur ist „die Verwendung von Stable Coins für Zahlungen“ jedoch oft kein reines Produktproblem, sondern ein typisches Zusammenspiel aus regulatorischen Grenzen + AML/CFT-Geldwäschebekämpfung + technisches Risikomanagement.
Dieser Artikel erklärt den Kernweg in einer „Entrepreneur-Umsetzung“: Zuerst das Geschäftsmodell klar machen, dann die Lizenz- und Compliance-Struktur aufbauen, um das Risiko von Regelverstößen und nachfolgenden Korrekturen erheblich zu reduzieren.
Hinweis: Dieser Artikel ist eine allgemeine Informationsweitergabe und stellt keine Rechtsberatung dar. Die endgültige Compliance hängt von Ihrem Transaktionsprozess, Kundentyp, Kapital-/Token-Fluss und Kontrollmethoden ab.
I. Der wichtigste erste Schritt: Skizziere dein Geschäft „auf“
Bevor wir konkrete Umsetzungsschritte diskutieren, sollte der Geschäftsleiter eine Seite mit einem Kapital-/Token-Flussdiagramm (Flow) erstellen, mindestens folgende Fragen beantworten:
Wer sind deine Kunden: Privatpersonen / Händler / bestimmte Branchenunternehmen?
Hast du Kontrolle über oder besitzt du Stable Coins deiner Kunden (Depot, Private Keys Kontrolle, Multi-Signature-Berechtigungen)?
Führst du Fiat ↔ Stable Coin oder Stable Coin ↔ Stable Coin Tauschgeschäfte durch?
Förderst du Überweisungen (A an B, Händlerzahlungen, Unternehmenszahlungen)?
Sind deine Kunden in Singapur oder im Ausland? Bietest du „Dienstleistungen in Singapur für ausländische Kunden“ an?
Bist du Emittent von Stable Coins oder nutzt du nur Drittanbieter-Stable Coins (z.B. USDC/USDT usw.)?
Diese Flow-Seite bestimmt, welche regulatorischen Aktivitäten du auslöst, und legt fest, welche Compliance-Struktur du benötigst.
II. Lizenzbewertung: Die meisten Stable Coin-Zahlungen fallen unter den PSA-Rahmen (möglicherweise auch unter FSMA)
In Singapur fällt das Stable Coin-Zahlungsgeschäft meist in den Regulierungsbereich des „Payment Services Act“ (PSA), insbesondere bei Aktivitäten im Zusammenhang mit Digital Payment Tokens (DPT) (wie Überweisung, Tausch, Verwahrung usw.). Außerdem, wenn du digitale Token-Dienste für Kunden im Ausland anbietest, könnten auch Anforderungen unter FSMA ausgelöst werden.
Häufige Geschäftsmodelle und „mögliche regulatorische Auslöser“
Händlerzahlungen + Stable Coin-Abrechnung / Clearing: löst oft DPT-bezogene Dienste aus; bei Akzeptanz, Überweisungen, grenzüberschreitenden Zahlungen können weitere PSA-Zahlungsdienstarten hinzukommen.
Wallet / Verwahrung (du kannst Kundengelder bewegen): gilt meist als eines der risikoreichsten Auslöser (insbesondere bei Kontrolle der Private Keys oder Übertragungsberechtigungen).
OTC / Tausch / Matching: löst in der Regel DPT-bezogene Dienste aus.
Eigene Stable Coins emittieren: Wie die Diskussion um die „Emittentenregulierung“ ausgelöst wird, ist deutlich strenger.
Praktischer Tipp: Beginne nicht mit „Welche Lizenz möchte ich beantragen“, sondern mit „Welche regulierten Aktivitäten habe ich durchgeführt“. Die regulatorische Beurteilung basiert immer auf der Transaktionswirklichkeit.
III. Wenn du Stable Coins emittieren willst: Entscheide dich zuerst für den Weg „MAS-regulierte Stable Coins“
Wenn du nicht nur bestehende Stable Coins nutzt, sondern eigene emittieren möchtest, ist der Compliance-Weg ganz anders. Du musst in der Regel strengere Anforderungen erfüllen (z.B. Reservevermögen, Rücknahmemechanismen, Offenlegung, Audits und Risikokontrolle im Betrieb).
Fazit:
Nicht emittieren: Fokus auf die Compliance-Struktur von „DPT / Zahlungsdienstleister“ (insbesondere AML und technisches Risikomanagement).
Emittieren: Du musst die „Reserve, Rücknahme, Audit, Offenlegung, Governance“ im Rahmen einer institutionellen Struktur umsetzen.
IV. Compliance-Säule 1: Anti-Geldwäsche AML/CFT (wie Finanzinstitute handeln)
Im Zusammenhang mit Stable Coins / digitalen Token ist ** AML und Terrorismusfinanzierung (CFT) ** die erste regulatorische Priorität.
Du solltest mindestens ein umsetzbares System haben:
- Risikobewertung auf Unternehmensebene (EWRA)
Produkt-, Kunden-, Regional- und Kanalrisiken
Welche Kunden erfordern eine erweiterte Due Diligence (EDD)? Welche müssen abgelehnt werden?
- Kunden-Due Diligence (KYC/CDD/EDD)
Identitätsprüfung und -verifizierung, Identifikation des wirtschaftlichen Nutzungsberechtigten (z.B. bei Unternehmenskunden)
Sanktionen- und PEP-Checks (Politisch Exponierte Personen)
Hochrisiko-Auslöser (z.B. Anonymität, komplexe Strukturen, sensible Regionen)
- Transaktionsüberwachung und Verdachtsfallbearbeitung (STR-Prozess)
Überwachungsregeln / Szenarien (z.B. häufige Aufspaltung, schnelle Ein- und Ausgänge, verdächtige Adressenzuordnungen)
Fallmanagement und Eskalationsmechanismen: Wer ermittelt, wer genehmigt, wie wird die Beweiskette dokumentiert?
Mitarbeiterschulungen und jährliche Überprüfungen / unabhängige Prüfungen
- On-Chain-Analyse / Wallet-Risiko-Bewertung (dringend frühzeitig implementieren)
Ob „gesetzlich verpflichtend“ hängt vom Geschäftsmodell ab, aber aus praktischer Sicht wird die On-Chain-Finanzverfolgung und Adressrisikobewertung immer mehr zum Branchenstandard, insbesondere bei Hochrisikogeschäften, grenzüberschreitenden Aktivitäten oder Verwahr- / Übertragungsfunktionen.
V. Compliance-Säule 2: Marketing-Compliance – Vermeide „öffentlichkeitswirksame Krypto-Werbung“
In Singapur gibt es klare regulatorische Bedenken bei der Werbung für digitale Token-Dienste. Viele Teams scheitern nicht am Produkt, sondern an der „Werbemethode“: Massenmarketing, Gewinnversprechungen, Risikoverharmlosung, Publikumseinbindung usw. sind äußerst sensibel.
Ein sichererer Ansatz ist:
B2B-Fokus (Händler, Unternehmen, Institutionen)
Kanal-„spezialisierter“: Branchenkonferenzen, exklusive Treffen, Partnerempfehlungen, gezielte Content-Marketing
Klare Risikohinweise: Nicht „leichtfertig“, nicht „sicherer Gewinn“, nicht „garantierte Kapitalrückzahlung“
Kurz gesagt: Wachstum ist möglich, aber nicht mit „Spekulationsnarrativen“ bei der Neukundengewinnung.
VI. Compliance-Säule 3: Technologisches Risikomanagement, Verwahr- und Outsourcing-Sicherheit (TRM + Outsourcing)
Stable Coin-Zahlungsunternehmen sind eine Kombination aus „Finanzen + Software“. Die Regulierungsbehörden prüfen, ob du eine institutionelle Risikomanagementfähigkeit hast, insbesondere:
- Wallet- und Schlüsselverwaltung (Custody / Key Management)
Berechtigungsaufteilung, Genehmigungsprozesse, Multi-Signature / Hierarchische Autorisierung
Vollständige Protokollierung und Auditierbarkeit
„Zwei-Personen-Check / Multi-Party-Authorization“ bei kritischen Operationen
- Netzwerksicherheit und Incident Response
Schwachstellenmanagement, Penetrationstests, Patches und Konfigurationsmanagement
Incident-Response-Planung und -Übungen (Tabletop-Übungen)
Backups, Wiederherstellung, Business Continuity (BCP)
- Anbieter- / Outsourcing-Management (besonders wichtig): Du wirst wahrscheinlich Cloud-Services, KYC-Anbieter, On-Chain-Analysetools, Wallet-Infrastruktur outsourcen. Die Regulierungsbehörden prüfen:
Anbieterauswahl und Risikobewertung
Vertragsklauseln (Prüfungsrechte, Datenschutz, Subunternehmerbeschränkungen, Exit-Strategien)
Alternativpläne und Notfallmaßnahmen bei Schlüsselanbietern
VII. Compliance-Säule 4: Datenschutz (PDPA)
Solange du KYC machst, Kundendaten, Transaktionsdaten, Geräteinformationen sammelst, bist du an die Verpflichtungen des Singapore PDPA gebunden. Es empfiehlt sich, mit zwei „niedrigschwelligen, hochprofitablen“ Maßnahmen zu starten:
DPO (Datenschutzbeauftragter) benennen und externe Kontaktkanäle aufbauen
Eine Datenkarte erstellen: Was wird gesammelt, wofür, wo gespeichert, mit wem geteilt, wie lange aufbewahrt
VIII. Gründer-Action-Plan: Day 0 → Day 90
Day 0–15: Zuerst die Grenzen klar definieren
Skizziere den Kapital-/Token-Fluss (Flow)
Entscheide, ob du verwahrst, tauschst, transferierst, Kunden in SG oder im Ausland sind
Vorläufige Entscheidung, welche „regulierten Aktivitäten“ ausgelöst werden
Day 15–45: Baue das Compliance-Gerüst auf
AML/CFT: Risikobewertung, CDD/EDD, Überwachungs- und STR-Prozesse
Technisches Risikomanagement: Wallet / Schlüssel, Sicherheitsbasis, Incident Response
Outsourcing: Anbieterauswahl und -prüfung + Vertragsklauseln + Exit-Strategien
PDPA: DPO, Datenschutzrichtlinien, Datenaufbewahrung und Zugriffskontrolle
Day 45–90: Mach das Compliance „betriebsfähig“
Implementiere Screening- und Überwachungstools, richte Fallmanagement und Dokumentation ein
Schule Mitarbeiter, etabliere Compliance-Berichte und interne Prüfmechanismen
Bereite Lizenz- / Compliance-Dokumente vor (Governance, Systeme, Strukturen, Prozesse, Beweiskette)
Fazit: Compliance ist kein „Kostenfaktor“, sondern die Eintrittsbarriere für nachhaltiges Wachstum
Stable Coin-Zahlungen können schnell umgesetzt werden, aber die Compliance muss noch schneller sein. Wenn du die regulatorischen Grenzen, AML und technisches Risikomanagement solide umsetzt, wird dein Geschäft leichter Partnerschaften mit Institutionen eingehen, Prüfungen bestehen und bei kritischen Kontrollen „Standhalten“.
