FinCEN schlägt erste Stablecoin-KYC-Regeln für Emittenten vor
FinCEN und Bundesbankbehörden schlagen erste Stablecoin-Kundenidentifikationsregeln unter dem GENIUS Act vor – Frist: 21. August 2026.

Das Wichtigste in Kürze
- FinCEN und vier weitere Bundesbankaufsichtsbehörden veröffentlichten am 18. Juni 2026 die ersten vorgeschlagenen Regeln zur Kundenidentifikation bei Stablecoins und setzen damit eine zentrale Vorgabe des GENIUS Act um
- Nicht-Bank-Stablecoin-Betreiber, die derzeit als Geldtransmitter reguliert werden, stehen vor dem größten Compliance-Wandel, da für sie bisher keine kontobasierte Identitätsprüfung nach geltendem Recht vorgeschrieben ist
- Die vorgeschlagenen Regeln betreffen ausschließlich direkte Primärmarkt-Beziehungen; Sekundärmarkt-Transaktionen über Smart Contracts sind ausgenommen, wobei direkte Rücknahmen durch Sekundärmarkt-Käufer eine offene regulatorische Frage bleiben
- Die öffentliche Kommentierungsfrist endet am 21. August 2026, und die Regulierungsbehörden schlagen ein 12-monatiges Umsetzungsfenster nach Veröffentlichung der endgültigen Vorschrift vor
Für Stablecoin-Emittenten geht die regulatorische Schonzeit zu Ende. Das Financial Crimes Enforcement Network hat zusammen mit dem OCC, der Federal Reserve, der FDIC und der NCUA einen gemeinsamen Vorschlag für eine Regulierung (Notice of Proposed Rulemaking) veröffentlicht, der die Kundenidentifikationspflichten des Bank Secrecy Act auf zugelassene Zahlungs-Stablecoin-Emittenten ausweiten würde -- die ersten formellen Regeln dieser Art. Die Regulierung ist eine direkte Folge des GENIUS Act, der Anfang dieses Jahres Amerikas ersten umfassenden Bundesrahmen für digitale Zahlungswährungen schuf und von Emittenten ausdrücklich verlangte, wirksame Kundenidentifikationsprogramme als Voraussetzung für den legalen Betrieb zu unterhalten. Dies ist der KYC-Moment, auf den die Stablecoin-Branche zugesteuert hat.
Was verlangt die vorgeschlagene Vorschrift konkret?
Das CIP-Rahmenwerk im Detail
Gemäß dem Vorschlag muss jeder zugelassene Zahlungs-Stablecoin-Emittent (Permitted Payment Stablecoin Issuer, PPSI) ein schriftliches Kundenidentifikationsprogramm einrichten, bevor Konten eröffnet werden. Das Programm orientiert sich eng an den Modellen, die Banken und Broker-Dealer seit Jahren nach Bundesrecht unterhalten. Der Regulierungsentwurf wurde am 22. Juni im Federal Register veröffentlicht, Stellungnahmen sind bis zum 21. August einzureichen, und es ist ein 12-monatiges Umsetzungsfenster ab Veröffentlichung der endgültigen Vorschrift vorgesehen.
Jeder Emittent würde sein Programm an seine eigene Größe, sein Geschäftsmodell und sein Risikoprofil anpassen, doch die Mindestanforderungen gelten einheitlich für alle. Bei Kontoeröffnung müssten PPSIs Folgendes erheben:
Der Vorschlag führt zudem Stablecoin-spezifische Definitionen von „Konto" und „Kunde" ein, die von den traditionellen Bankvorschriften abweichen. Das bloße Halten oder Kontrollieren eines Stablecoins begründet für sich genommen noch keine Kundenbeziehung zum Emittenten. Erst wenn eine formelle Beziehung besteht, greifen die Pflichten zur Kundenidentifikation -- und das wird äußerst relevant, sobald Sekundärmarktaktivitäten ins Spiel kommen.
- Name und physische Adresse des Kunden
- Geburtsdatum (natürliche Personen) oder Gründungsdatum (juristische Personen)
- Steueridentifikationsnummer oder andere behördlich ausgestellte Kennung
- Risikobasierte dokumentarische oder nicht-dokumentarische Identitätsprüfverfahren
- Abgleich mit behördlichen Sanktions- und Überwachungslisten
- Kundenbenachrichtigung bei Kontoeröffnung
- Aufbewahrungsrichtlinien für sämtliche Verifizierungsunterlagen
Nicht-Bank-Emittenten trifft es am härtesten
Hier wird es schmerzhaft. Nach geltendem Recht sind Geldtransmitter -- die regulatorische Kategorie, unter die die meisten Nicht-Bank-Stablecoin-Betreiber fallen -- nur bei Transaktionen mit höherem Wert zur Kundenidentitätsprüfung verpflichtet. Eine formelle, kontobasierte Pflicht zur Kundenidentifikation gibt es für sie bislang nicht. Das ändert sich mit diesem Vorschlag.
Banken und Broker-Dealer unterliegen seit der Verschärfung der Bank Secrecy Act-Vorschriften in den frühen 2000er-Jahren umfassenden CIP-Pflichten. Nicht-Bank-Stablecoin-Emittenten haben diese Compliance-Last bislang weitgehend vermieden -- bis jetzt. Der GENIUS Act hat nicht nur definiert, was ein Zahlungs-Stablecoin ist. Er hat den Boden für genau diese Art von Regulierung bereitet, indem er von Emittenten verlangt, wirksame Kundenidentifikationsprogramme als Voraussetzung für den legalen Betrieb unter dem neuen Rahmenwerk zu unterhalten.
Für etablierte Unternehmen mit bestehender Compliance-Infrastruktur ist die Umstellung machbar. Für neuere Nicht-Bank-Marktteilnehmer, die ihre Geschäftsmodelle auf den weniger strengen Anforderungen der Geldtransmitter-Lizenz aufgebaut haben, werden die operativen Kosten spürbar sein. Neue Onboarding-Workflows, Identitätsprüfungssysteme, Anbindungen an Sanktionslistenprüfungen -- hier kommt bankentaugliche Compliance auf Unternehmen zu, die dafür nie gebaut wurden.
Ein kleiner Stablecoin-Betreiber, der derzeit Transaktionen unter einer Geldtransmitter-Lizenz abwickelt, musste noch nie ein formelles CIP von Grund auf entwerfen. Nach dieser Vorschrift müsste er eines aufbauen -- und es innerhalb von 12 Monaten nach Veröffentlichung der endgültigen Regel betriebsbereit haben.
Hält die Smart-Contract-Ausnahme tatsächlich stand?
Wo die Ausnahmeregelung endet
Die Regulierungsbehörden haben eine bewusste Grenze gezogen: Die Pflichten aus der vorgeschlagenen Erweiterung des Bank Secrecy Act gelten ausschließlich für direkte Primärmarkt-Beziehungen. Das umfasst die Ausgabe, Rücknahme, Umwandlung und Verwahrung von Stablecoins, bei denen der Kunde direkt mit dem Emittenten interagiert. Sekundärmarkt-Transaktionen, bei denen Nutzer ausschließlich über Smart Contracts ohne direkten Kontakt zum Emittenten handeln, sind ausdrücklich ausgenommen.
Die Begründung ist pragmatisch. Eine Identitätsprüfung bei jedem On-Chain-Transfer auf dem Sekundärmarkt vorzuschreiben, würde -- so die Behörden selbst -- eine unpraktikable globale Compliance-Pflicht bedeuten. Dem widerspricht im Grunde niemand ernsthaft.
Doch an den Rändern wird es schnell unübersichtlich. Was passiert, wenn jemand einen Stablecoin auf einem Sekundärmarkt kauft, ohne jemals eine Beziehung zum Emittenten gehabt zu haben, und dann direkt beim Emittenten einlösen möchte? Die Behörden haben dies als „folgenreiche Frage" gekennzeichnet und ausdrücklich nicht beantwortet. Dieses Rücknahme-Szenario könnte eine vollständige Kundenbeziehung auslösen, die eine Identitätsprüfung erfordert -- obwohl der Käufer vor dem Einlösungsversuch nie direkt mit dem Emittenten in Kontakt stand.
Emittenten, deren Geschäftsmodell stark auf Rücknahmeflüssen basiert, sollten dies genau beobachten. Die Antwort in der endgültigen Vorschrift wird darüber entscheiden, wie viele spontane Rücknahmen eine vollständige CIP-Registrierung erfordern, bevor ein Token einfach in Dollar umgetauscht werden kann -- und das könnte die Struktur einiger rücknahmelastiger Geschäftsmodelle grundlegend verändern.
Was bleibt bis zur Frist am 21. August offen?
Die Kommentierungsfrist endet am 21. August 2026, und die Behörden haben bewusst mehrere bedeutsame Fragen für Stellungnahmen aus der Branche offengelassen.
Ob der Auslöser der „formellen Beziehung" der richtige rechtliche Maßstab ist oder ob ein vertraglicher oder geschäftsbeziehungsbasierter Rahmen klarere Abgrenzungen liefern würde, bleibt ungeklärt. Wie digitale Identitätstechnologien und überprüfbare Nachweise in die Verifizierungsabläufe einer Branche integriert werden sollten, die auf dezentraler Infrastruktur aufgebaut ist, ist eine weitere offene Frage. Ob Emittenten, die ausschließlich Rücknahmen anbieten, anders behandelt werden sollten als Vollservice-Anbieter, steht im selben unerledigten Stapel. Und wie häufig PPSIs auf das bestehende Kundenidentifikationsprogramm eines Partner-Finanzinstituts zurückgreifen werden, anstatt ein eigenes aufzubauen, hat erhebliche Kostenauswirkungen, die der Vorschlag bisher nicht adressiert hat.
Dieser Regulierungsentwurf steht neben ergänzenden Vorschlägen zu Geldwäschebekämpfung, Terrorismusfinanzierungsbekämpfung und Sanktions-Compliance. Zusammen bilden sie das regulatorische Compliance-Fundament, das der GENIUS Act unausweichlich gemacht hat. Die Frage ist nicht mehr, ob Stablecoin-Emittenten bankentaugliche KYC-Anforderungen erfüllen müssen -- das wurde mit der Verabschiedung des Gesetzes entschieden. Die Frage ist, wo genau die endgültigen Grenzen gezogen werden.
Häufig gestellte Fragen
Was ist ein zugelassener Zahlungs-Stablecoin-Emittent?
Ein zugelassener Zahlungs-Stablecoin-Emittent (Permitted Payment Stablecoin Issuer, PPSI) ist ein Unternehmen, das gemäß dem GENIUS Act zur Ausgabe von Zahlungs-Stablecoins in den Vereinigten Staaten berechtigt ist. Gemäß der vorgeschlagenen Vorschrift müssen PPSIs schriftliche Kundenidentifikationsprogramme einrichten, bevor sie Kunden aufnehmen, orientiert an den Standards, die Banken und Broker-Dealer unter dem Bank Secrecy Act einhalten.
Was verlangt die vorgeschlagene Regel zur Stablecoin-Kundenidentifikation?
Die vorgeschlagene Regel verlangt von PPSIs, vor der Kontoeröffnung Kundennamen, physische Adressen, Geburts- oder Gründungsdaten sowie Steueridentifikationsnummern zu erheben. Emittenten müssen zudem risikobasierte Identitätsprüfungen, Sanktionslistenabgleiche, Kundenbenachrichtigungen und Aufbewahrungsrichtlinien implementieren, die auf die jeweilige Größe, das Geschäftsmodell und das Risikoprofil des Emittenten zugeschnitten sind.
Unterliegen Sekundärmarkt-Stablecoin-Transaktionen den neuen KYC-Regeln?
Nein. Die vorgeschlagenen Regeln gelten nur für direkte Primärmarkt-Beziehungen -- Stablecoin-Ausgabe, Rücknahme, Umwandlung und Verwahrungsdienste. Reine Sekundärmarkt-Transaktionen über Smart Contracts sind ausgenommen. Allerdings kann ein Sekundärmarkt-Käufer, der anschließend eine direkte Rücknahme beim Emittenten anstrebt, eine neue Kundenbeziehung auslösen, die eine vollständige Identitätsprüfung erfordert.
Bis wann müssen Stablecoin-Emittenten die neuen Identifikationsregeln einhalten?
Stellungnahmen zum Vorschlag sind bis zum 21. August 2026 einzureichen. Nach Veröffentlichung der endgültigen Vorschrift sehen die Regulierungsbehörden eine 12-monatige Umsetzungsfrist vor. Je nachdem, wann die endgültige Regel erlassen wird, könnten Stablecoin-Emittenten diesen Compliance-Pflichten frühestens Mitte bis Ende 2027 unterliegen.
