MiCA + FMA Realität für ein österreichisches Web3-Startup 2026

Wenn du 2026 ein Web3-Produkt aus Österreich heraus baust, sitzen zwei Regulatoren auf deiner Roadmap: die FMA (Finanzmarktaufsicht) und Brüssel via MiCA (Verordnung EU 2023/1114). Die Kurzversion. Wenn du Verwahrung, Tausch, Brokerage, Portfolio-Management, Beratung oder Transfer von Krypto-Assets für Dritte berührst, brauchst du eine CASP-Zulassung. Kapitaluntergrenzen liegen bei EUR 50k, 125k oder 150k je nach Dienstleistungsklasse. Österreichs Übergangsregime läuft am 30. Juni 2026 aus, der Vorlauf ist also kurz.

Dieser Guide ist Engineering-Perspektive, keine Rechtsberatung. Wir haben Crypto-Produkte unter MiCA-naher Scoping ausgeliefert (Scramble Pay, Scramble Wallet, Zybra Money), und wir behandeln Compliance als Architektur, nicht als Papierkram.

Wer braucht in Österreich tatsächlich eine CASP-Lizenz?

Wenn du eine der zehn regulierten Krypto-Asset-Dienstleistungen auf professioneller Basis in Österreich oder gegenüber österreichischen Kunden erbringst, brauchst du eine Crypto-Asset-Service-Provider-Zulassung von der FMA. Die zehn Dienstleistungen gemäß MiCA Art. 3(1)(16):

• Verwahrung und Verwaltung von Krypto-Assets für Kunden
• Betrieb einer Handelsplattform
• Tausch von Krypto-Assets gegen Geldmittel
• Tausch von Krypto-Assets gegen andere Krypto-Assets
• Ausführung von Aufträgen
• Platzierung von Krypto-Assets
• Annahme und Übermittlung von Aufträgen
• Beratung zu Krypto-Assets
• Portfolio-Management
• Transferdienste für Krypto-Assets für Kunden

Wenn dein Produkt keine davon anbietet, triffst du eventuell trotzdem die Token-Issuer-Regeln (Whitepaper, Marketing, laufende Offenlegung), falls du ein Krypto-Asset mintest und der Öffentlichkeit anbietest oder Zulassung zum Handel suchst.

Wie sind die Kapitalanforderungen pro CASP-Klasse?

MiCA Annex IV setzt prudentielle Untergrenzen. Drei Buckets:

Oben drauf: Eigenmittel müssen das Höhere aus Kapitaluntergrenze oder einem Viertel der Fixkosten des Vorjahres betragen. Praktische Lesart. Ein reines Custody-Wallet-Startup mit EUR 800k/Jahr Fixkosten braucht EUR 200k Eigenmittel, nicht 125k.

Wie steht das österreichische Übergangsregime Mitte 2026?

Österreich hat das maximale 18-monatige Übergangsfenster gewählt. VASPs, die vor dem 30. Dezember 2024 bei der FMA registriert waren, dürfen unter dem vorherigen FM-GwG-Regime bis zum 30. Juni 2026 weiter operieren. Danach heißt keine CASP-Zulassung kein Geschäft in Österreich. Der FMA-Fast-Track-Grandfathering-Prozess existiert, aber du brauchst einen vollständigen Antrag deutlich vor dem Stichtag. Wenn du bis Mitte 2026 nicht eingereicht hast, ist die Zeit um.

Wie sieht die Whitepaper-Anforderung bei einer Token-Ausgabe aus?

Wenn du ein Krypto-Asset herausgibst, das weder ein vermögenswertreferenzierter Token (ART), ein E-Geld-Token (EMT) noch ein Wertpapier ist, fällst du unter Titel II. Erforderliche Deliverables vor öffentlichem Angebot:

1. Whitepaper gemäß Art. 6 mit den spezifischen Annex-I-Inhaltsblöcken (Emittent, Projekt, gewährte Rechte, Technologie, Risiken, Umweltauswirkungen).
2. Notifikation an die FMA mindestens 20 Arbeitstage vor Veröffentlichung.
3. Marketingkommunikation, die mit dem Whitepaper konsistent ist, als Marketing erkennbar, mit Link zum Whitepaper.
4. Widerrufsrecht für Retail-Käufer für 14 Kalendertage bei Art.-4-Angeboten.

Utility-Tokens, die Zugang zu einer vom Emittenten bereitgestellten Ware oder Dienstleistung gewähren, bekommen ein leichteres Regime, falls die Ware oder Dienstleistung existiert. Ist es ein Pre-Launch-Versprechen zukünftiger Utility, bist du voll in Titel II.

Was ist mit NFT-Projekten?

MiCA Recital 11 nimmt Krypto-Assets aus, die einzigartig und nicht fungibel sind. In der Praxis heißt das, dass ein 1/1-Kunstwerk außerhalb des Scopes ist. Aber große fungible Collections (10k PFP-Drops mit gemeinsamen Traits) sind materiell gefährdet, von der FMA als fungibel behandelt zu werden. Der Test, den der Regulator anwendet. Sind die Einheiten wirtschaftlich austauschbar? Falls ja, gilt MiCA, Whitepaper erforderlich. Wir haben Scoping-Gespräche gesehen, in denen derselbe Code, Contract und Kunststil unterschiedliche Verdikte je nach Collection-Größe und Listing-Absicht auf Handelsplattform bekommen.

Können wir eine DAO aus Österreich betreiben?

Die FMA behandelt vollständig dezentralisierte Protokolle gemäß Recital 22 außerhalb des MiCA-Scopes. Der Haken. Die meisten Projekte, die sich DAO nennen, betreiben einen Multisig mit kleinem Admin-Set, eine Legal-Entity-Foundation, einen Treasury-Contract mit Upgrade-Authority und einen Frontend-Operator. Jeder dieser Touchpoints zieht dich zurück in den Scope. Ein Frontend zu betreiben, das Nutzer zum Protokoll routet, kann je nach UX als "Annahme und Übermittlung von Aufträgen" gelten. Eine Treasury, die Contributors gegen Umsatz bezahlt, kann die Issuer-Regeln treffen. Architektur zählt. Wenn du die Recital-22-Ausnahme willst, muss das Protokoll wirklich permissionless, immutable und operator-frei sein, und die Off-Chain-Entität darf sich nicht wie ein Service-Provider verhalten.

"Compliance ist Produktarchitektur, kein Papierkram. Entscheide deine CASP-Klasse, bevor du den ersten <a href="/de/glossary/#smart-contract">Smart Contract</a> schreibst."

Welche FMA-Touchpoints treffe ich tatsächlich?

Aus dem Engineering-Sitz dominieren drei FMA-Touchpoints den Kalender:

• Zulassungsantrag. Volle Akte mit Governance-, ICT-, AML-, Custody-Segregation-Policies, Businessplan, Drei-Jahres-Finanzen. Vor-Einreichungs-Meetings mit der FMA sind Standard und die Zeit wert.
• Laufendes Reporting. Quartalsweises prudentielles Reporting, jährlicher ICAAP/ICT-Report, Incident-Reporting unter DORA, das für CASPs ab Januar 2025 gilt.
• FMA-Regulatory-Sandbox. Verfügbar für neuartige Geschäftsmodelle. Gute Passung für Produkte, die vor dem Skalieren eine vom Regulator gesegnete Scoping-Entscheidung brauchen. Antragsfenster ist typischerweise zweimal pro Jahr.

Wie sieht die Build-Side-Checkliste aus?

Hier trifft Engineering auf das Regelwerk. Nicht erschöpfend, was wir für Kunden in diesem Bereich ausliefern:

1. Custody-Segregation. Kunden-Krypto-Assets und -Gelder von den eigenen der Firma getrennt. Wallet-Labels, On-Chain-Proofs, tägliche Reconciliation.
2. Key Management. HSM oder Threshold-Signing-Schema. Disaster Recovery getestet, nicht theoretisch.
3. Travel Rule. FATF-Empfehlung 16 plus EU-TFR-Verordnung 2023/1113. IVMS-101-Payloads für Transfers über EUR 1.000.
4. Market-Abuse-Überwachung. Bei Trading-Venue Wash-Trading- und Insider-Dealing-Erkennung on-chain und off.
5. Beschwerdebearbeitung. Geloggt, fristgebunden, Eskalationspfad dokumentiert.
6. ICT und DORA. Getestete Business Continuity, Third-Party-Register, Threat-led Penetration Testing, falls als signifikant klassifiziert.

Wir bauen und härten den Code. Externe Firmen führen die Audits durch. Wir nicht, und du solltest keinen Anbieter wählen, der behauptet, beides zu machen.

Was kostet das an Build-Zeit?

Aus Wavects Engagement-Historie in Crypto: Ein sauberes Klasse-2-CASP-MVP mit Custody-Segregation, Travel-Rule-Integration, AML-Screening, grundlegenden Compliance-Dashboards und dem technischen Dokumentations-Paket, das die FMA erwartet, landet in einem 12- bis 24-wöchigen Build-Fenster. Whitepaper-Engineering-Review (Korrektheit, technische Claims, Risiko-Sektion) ist eine separate Zwei- bis Vier-Wochen-Spur. Die eigentliche Lizenzierungs-Rechtsarbeit ist die Abrechnung deiner Kanzlei, nicht unsere.