FATF Travel Rule Countdown: 99 Rechtsordnungen im Wettlauf um die Einhaltung bis Q3 2026 oder drohendem Ausschluss aus dem Bankwesen

Bis zum 3. Quartal 2026 könnten Länder, die die Travel Rule der FATF für Kryptowährungen nicht implementiert haben, auf der grauen Liste landen – was faktisch den Ausschluss aus dem globalen Korrespondenzbankwesen bedeutet. Da 85 von 117 bewerteten Jurisdiktionen inzwischen Gesetze verabschiedet haben, aber 59 % diese noch nicht durchsetzen, läuft die Zeit für die wohl folgenreichste Compliance-Frist in der Geschichte der Kryptowährungen ab.

Vom Bankenstandard zum Krypto-Mandat

Die Travel Rule ist nicht neu. Sie entstand 1996 als Anforderung an traditionelle Banken, Informationen über Sender und Empfänger bei Überweisungen oberhalb eines bestimmten Schwellenwerts auszutauschen. Was sich änderte, war die Entscheidung der FATF im Jahr 2019, diese Anforderung auf Virtual Asset Service Providers (VASPs) auszuweiten – Börsen, Custodial Wallets und jedes Krypto-Unternehmen, das Gelder im Namen von Kunden bewegt oder verwahrt.

Die Logik war simpel: Wenn Banken identifizieren müssen, wer Geld sendet und wer es empfängt, sollte dieselbe Transparenz auch für Krypto-Transfers gelten. Doch die Umsetzung war alles andere als einfach.

Sieben Jahre nach diesem Mandat bleibt das globale Bild der Compliance uneinheitlich. Laut Daten der FATF haben 85 von 117 Jurisdiktionen eine Travel-Rule-Gesetzgebung verabschiedet oder entwickeln diese derzeit – ein deutlicher Anstieg gegenüber 65 im Jahr 2024. Doch ein Gesetz zu verabschieden und es durchzusetzen, sind zwei sehr unterschiedliche Dinge. Ungefähr 59 % der Jurisdiktionen mit bestehender Gesetzgebung müssen erst noch Aufsichtsergebnisse veröffentlichen oder Durchsetzungsmaßnahmen gegen nicht konforme Unternehmen ergreifen.

Diese Lücke wird sich bald schließen – und zwar mit Nachdruck.

Der Hammer der grauen Liste

Die graue Liste der FATF – offiziell bekannt als „Jurisdiktionen unter verstärkter Beobachtung“ – ist der primäre Durchsetzungsmechanismus der Organisation. Darauf gesetzt zu werden, ist kein bloßer Klaps auf die Finger; es ist eine finanzielle Quarantäne.

Stand Februar 2026 stehen 21 Länder auf der grauen Liste, nachdem Kuwait und Papua-Neuguinea in der jüngsten Plenarsitzung hinzugefügt wurden. Die Folgen sind schwerwiegend:

• Rückzug aus dem Korrespondenzbankwesen: Große globale Banken lehnen routinemäßig Beziehungen zu Finanzinstituten in Ländern auf der grauen Liste ab oder schränken diese ein, wodurch der Zugang zu internationalen Zahlungsnetzwerken unterbunden wird.
• Erhöhte Sorgfaltspflichten: Unter Vorschriften wie denen des Vereinigten Königreichs müssen Finanzinstitute jede Transaktion mit Jurisdiktionen auf der grauen Liste einer verstärkten Prüfung unterziehen – was Kosten und Reibungsverluste verursacht, die Geschäfte effektiv verhindern.
• Druck von IWF und Weltbank: Nationen auf der grauen Liste sehen sich negativen Auswirkungen auf die Handelsfinanzierung, ausländische Direktinvestitionen und den Zugang zu multilateralen Kreditfazilitäten gegenüber.
• Kapitalflucht: Unternehmen und Investoren wandern aktiv aus Jurisdiktionen auf der grauen Liste ab, was einen sich selbst verstärkenden Kreislauf wirtschaftlicher Isolation erzeugt.

Speziell für Krypto-Unternehmen bedeutet das Listing auf der grauen Liste, dass es für VASPs, die in nicht konformen Jurisdiktionen tätig sind, fast unmöglich sein wird, Bankbeziehungen aufrechtzuerhalten oder Fiat-On/Off-Ramps zu etablieren – die Arterien, die digitale Assets mit der Realwirtschaft verbinden.

Was VASPs tatsächlich tun müssen

Die Travel Rule verpflichtet VASPs dazu, spezifische Informationen für qualifizierende Transfers zu sammeln, zu verifizieren und zu übermitteln. Seit der wegweisenden Überarbeitung der Empfehlung 16 durch die FATF im Juni 2025 haben sich diese Anforderungen erheblich ausgeweitet:

Informationen zum Auftraggeber (Sender):

• Vollständiger Name
• Kontonummer oder Wallet-Adresse
• Physische Adresse, nationale Identitätsnummer oder Geburtsdatum und -ort

Informationen zum Begünstigten (Empfänger):

• Vollständiger Name
• Kontonummer oder Wallet-Adresse

Neu in der Überarbeitung von 2025:

• Confirmation of Payee (CoP): Grenzüberschreitende Überweisungen erfordern nun die Verifizierung, dass der Name des Empfängers mit dem Kontoinhaber übereinstimmt – ein System, das im traditionellen Bankwesen bereits Standard ist, für Krypto jedoch technisch komplex bleibt.
• Mandat zur Betrugsprävention: Der Geltungsbereich der Travel Rule deckt nun explizit die Betrugsprävention und die Finanzierung der Proliferation ab, nicht nur Geldwäsche und Terrorismusfinanzierung.
• ISO 20022 Integration: Die Anforderungen sind nun vollständig auf den ISO 20022-Messaging-Standard abgestimmt, der von SWIFT und großen Zahlungsnetzwerken verwendet wird.

Die Compliance-Last ist nicht trivial. VASPs müssen Infrastrukturen für die Identitätsprüfung, die sichere Datenübertragung zwischen Gegenparteien und die laufende Überwachung aufbauen oder integrieren. Für kleinere Betreiber stellen diese Kosten echte Markteintrittsbarrieren dar, da die Implementierung erhebliche Investitionen in Technologie und Personal erfordert.

Das Sunrise-Problem: Warum globale Compliance so schwierig ist

Die vielleicht vexierendste Herausforderung bei der Umsetzung der Travel Rule ist das „Sunrise-Problem“ – die Tatsache, dass verschiedene Jurisdiktionen Regulierungen unterschiedlich schnell übernehmen. Ein VASP in Singapur (das die Travel Rule streng durchsetzt), der Gelder an eine Gegenpartei in einer Jurisdiktion sendet, die die Regel noch nicht implementiert hat, steht vor einer unlösbaren Compliance-Lücke.

Wie teilt man Sender- und Empfängerdaten mit einer Gegenpartei, die keinen rechtlichen Rahmen hat, um diese Informationen zu empfangen, zu verarbeiten oder zu schützen?

Mehrere technische Lösungen sind entstanden, um dieses Problem anzugehen:

• TRISA (Travel Rule Information Sharing Alliance): Nutzt ein Verzeichnis validierter VASPs und ein Certificate-Authority-Modell, um die Identitätsverifizierung an einem bekannten „Root of Trust“ zu verankern.
• TRP (Travel Rule Protocol): Ein dezentrales Protokoll mit einem „Travel Address“-System, das hilft, das Sunrise-Problem zu lösen, indem es Compliance auch mit Gegenparteien in Jurisdiktionen ermöglicht, die die Regeln noch nicht durchsetzen.
• OpenVASP: Ein Open-Source-Peer-to-Peer-Protokoll für den Datenaustausch im Rahmen der Travel Rule.

Im November 2023 erreichten TRISA und OpenVASP Interoperabilität, was es VASPs ermöglicht, die eines der beiden Protokolle verwenden, Travel-Rule-Daten nahtlos auszutauschen. Doch die Interoperabilität zwischen Protokollen löst das grundlegende Problem nicht: Gegenparteien in nicht konformen Jurisdiktionen verfügen unter Umständen überhaupt über kein System.

Die DeFi-Frage: Wo endet die Dezentralisierung und wo beginnt die Compliance?

Die Leitlinien der FATF zu DeFi sind immer deutlicher geworden – und für die Branche zunehmend unangenehm. Der Test erfolgt funktional, nicht strukturell: Wenn ein DeFi-Protokoll über ein Team verfügt, das Parameter ändern, Verträge aktualisieren oder Gelder einfrieren kann, werden die dahinterstehenden Personen unabhängig vom Label „dezentralisiert“ als VASP behandelt.

Dieser funktionale Ansatz bedeutet, dass viele als dezentral vermarktete Protokolle direkt in den Anwendungsbereich der Travel Rule fallen. Die Auswirkungen sind erheblich:

• DEX-Betreiber mit Admin-Keys oder Konzentrationen von Governance-Token könnten als VASPs eingestuft werden.
• Bridge-Protokolle, die Cross-Chain-Transfers ermöglichen, sind Hauptkandidaten für Travel-Rule-Verpflichtungen.
• Lending-Plattformen mit zentralisiertem Risikomanagement oder Upgrade-Funktionen könnten Compliance-Anforderungen gegenüberstehen.

Echt dezentralisierte Protokolle – solche ohne identifizierbare kontrollierende Partei, ohne Admin-Keys und ohne die Möglichkeit zur Modifikation oder zum Einfrieren – könnten außerhalb des FATF-Anwendungsbereichs liegen. Aber die Hürde für „echte Dezentralisierung“ ist hoch, und die Regulierungsbehörden gehen bei ihrer Analyse immer differenzierter vor.

Der praktische Effekt ist ein Compliance-Keil zwischen der regulierten und der unregulierten Krypto-Ökonomie. Da die Durchsetzung der Travel Rule verschärft wird, werden regulierte VASPs zunehmend Transaktionen mit nicht identifizierbaren Gegenparteien einschränken. Dies schafft faktisch ein Zwei-Klassen-System, in dem konforme Kanäle das institutionelle Kapital führen und nicht-konforme Kanäle einer wachsenden Isolation gegenüberstehen.

Regionale Compliance-Landschaft: Wer führt, wer hinkt hinterher

Das globale Bild zeigt starke Unterschiede:

Führende Jurisdiktionen:

• Europäische Union: Die Transfer of Funds Regulation (TFR), die im Dezember 2024 in Kraft tritt, hat einen einheitlichen Travel-Rule-Rahmen für alle 27 Mitgliedstaaten geschaffen. Jeder Krypto-Transfer – unabhängig von der Größe – erfordert vollständige Angaben zum Absender und zum Empfänger. Keine De-minimis-Schwelle.
• Singapur: Die Monetary Authority of Singapore (MAS) gehörte zu den ersten, die umfassende Travel-Rule-Anforderungen ohne Mindestschwelle für den Informationsaustausch implementierten.
• Japan: Einer der frühesten Anwender mit aktiver Durchsetzung durch die Japan Financial Services Agency (JFSA).
• Vereinigtes Königreich: Durchsetzung seit September 2023 unter FCA-Leitlinien, wobei jeder Transfer vollständige Angaben erfordert.
• USA: FinCEN wendet eine Schwelle von 3.000 $ für das Travel-Rule-Reporting an, wobei laufende Rechtsetzungsverfahren die Abdeckung erweitern sollen.

Hinterherhinkend oder fehlend:

• Mehrere Jurisdiktionen in Afrika, Südostasien und Lateinamerika haben Gesetze verabschiedet, verfügen jedoch nicht über die entsprechende Aufsichtsinfrastruktur.
• Einige Jurisdiktionen haben VASPs noch nicht einmal in ihren Rechtsrahmen definiert, geschweige denn Travel-Rule-Anforderungen implementiert.

Die FATF-Plenarsitzung im Februar 2026 genehmigte zudem neue Publikationen mit Schwerpunkt auf cyber-gestütztem Betrug und virtuellen Vermögenswerten. Ein Bericht mit Fokus auf Stablecoins wird in den kommenden Monaten erwartet, der voraussichtlich zusätzliche Risikoindikatoren und Compliance-Empfehlungen einführen wird.

Was als Nächstes passiert: Der Wendepunkt im 3. Quartal 2026

Der Zeitplan der gegenseitigen Evaluierung der FATF schafft eine natürliche Timeline für die Durchsetzung. Jurisdiktionen, die 2026 evaluiert werden und keine effektive Implementierung der Travel Rule vorweisen können, riskieren ein unmittelbares Gray-Listing. Die Folgen kaskadieren:

1. Banking-De-Risking beschleunigt sich: Korrespondenzbanken – die gegenüber krypto-bezogenen Geschäften ohnehin vorsichtig sind – werden sich weiter aus Jurisdiktionen zurückziehen, die keine effektive Travel-Rule-Aufsicht nachweisen können.
2. VASP-Migration intensiviert sich: Krypto-Unternehmen in nicht-konformen Jurisdiktionen werden in Regulierungshäfen abwandern, was die Branche in konformen Korridoren konzentriert.
3. Druck auf DeFi steigt: Da regulierte On/Off-Rampen ihre Anforderungen verschärfen, geraten DeFi-Protokolle zunehmend unter Druck, identitätsverifizierte Transaktionen einzuführen oder riskieren, von der Fiat-Liquidität abgeschnitten zu werden.
4. Compliance-Kosten konsolidieren sich: Die technische und operative Last der Travel-Rule-Compliance wird die Branchenkonsolidierung beschleunigen und größere Akteure begünstigen, die über die Ressourcen verfügen, in Compliance-Infrastruktur zu investieren.

Der Countdown für die Travel Rule ist nicht nur eine regulatorische Formalität. Er gestaltet die Geografie der Krypto-Finanzwelt neu und bestimmt, welche Jurisdiktionen Kapital und Innovation anziehen und welche zurückbleiben. Für VASPs ist die Botschaft unmissverständlich: Compliance ist nicht länger optional, und das Zeitfenster für die Vorbereitung schließt sich schnell.

---

Für Blockchain-Infrastruktur-Teams, die konforme Anwendungen über mehrere Chains hinweg aufbauen, bietet BlockEden.xyz RPC- und API-Dienste der Enterprise-Klasse mit der Zuverlässigkeit, die regulierte Umgebungen erfordern.