Das Scheitern des Berliner Startups Neufunds sollte kein leises sein. Neufund hatte sich zum Ziel gesetzt, „Unternehmensanteile über die Blockchain handelbar [zu] machen wie an der Börse.“[1] Im Juni 2020 gab Neufund dieses Ziel auf. Frank Thelen, bekannt aus der Serie “Die Höhle der Löwen”, brüllte auf LinkedIn unüberhörbar in Richtung Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin):
„Hierfür braucht es in unseren Augen aber einen Umbau der BaFin, da heute Technologie keine ernsthafte Rolle spielt. Es braucht ein neues Mindset: Es müssen auch Chancen und nicht nur Risiken eingeschätzt werden. Heute gibt es für die Mitarbeiter nur “Bestrafung”, wenn etwas nicht verhindert wird, aber kein Erfolgs-Modell, in dem es sich lohnt, neuen Technologien und Produkten kalkulierte Chancen zu geben.“[2]
In einem weiteren Beitrag Neufunds wurde insbesondere der BaFin vorgeworfen,
“the authorities have stifled this plan, blocking the innovation in its tracks.”[3]
Eine Verhinderungsmotivation aufseiten der BaFin kann hier nicht bestätigt werden. Dennoch bieten die Rückmeldungen der CEO von Neufund, Zoe Adamowicz, in den Kommentaren zum LinkedIn-Posting von Thelen viele Gründe, sich den Fall genauer anzuschauen. Weil dieser Beitrag Teil der Serie „Die Software war’s!“[4] ist, soll der Fokus auf der vermeintlich fehlenden Rolle Neufunds als Adressat von Regulierungsvorgaben liegen:
„Und hier unterscheidet der Regulierer nicht hinreichend zwischen solchen, die tatsächlich Verwahr- oder Vermittlerleistungen erbringen und damit -erneut- Mittelspersonen sind und solchen, die – wie Neufund es getan hat – letztlich nur die Technologie zugänglich machen.“[5]
Vor dem Hintergrund einer stark regulierten Finanzbranche löst der Gedanke, dass man mit dem Verweis auf eine Technologie seine Verantwortlichkeit abstreifen könne, zumindest Irritation aus. Aber eben auch Interesse am Gedankengang. Deswegen soll ihm einmal nachgegangen werden.
Auch wenn die Details des Falls Neufund nicht bekannt sind, so ist an den LinkedIn-Kommentaren der CEO zumindest abzulesen, dass die BaFin grundsätzlich „ihren Job gemacht hat“. Schutzvorschriften sind für Tech-Startups kein disponibles Recht. Das bedeutet, sie können nicht auf den Schutz anderer, insbesondere nicht den Verbraucherschutz, verzichten. Nur weil ein Geschäft mit anderen (technischen) Mittel angeboten wird, ist es noch kein anderes Geschäft. Dabei macht es ebenfalls keinen Unterschied, welcher Branche das Geschäft zuzurechnen ist.[6] Die meisten Gesetze sind bewusst technologieneutral gefasst. Ihre Umgehung durch den Einsatz einer anderen als der explizit genannten Technologie soll so vermieden werden.
Innovation im Sinne des Einsatzes neuer, d.h. anderer technischer Mittel hat sich daher grundsätzlich im Rahmen derjenigen Gesetze zu bewegen, welche das Geschäft regeln. Der Wortlaut dieser Gesetze bietet dabei nicht die einzige Grundlage für ihre Interpretation: Es kommen daneben ihr Sinn und Zweck sowie der Gesetzgeberwille zum Tragen.
Weil die Rechtsordnung als Ganzes in sich stimmig bleiben muss, dürfen Gesetze und ihre individuelle Interpretation nie aus diesem Rahmen fallen: Anderenfalls würde erhebliche Rechtsunsicherheit geschaffen. Wenn also das Risiko eines Geschäfts bei Einsatz anderer technischer Mittel dasselbe bleibt, dann kann von seiner rechtlichen Bewertung höchstwahrscheinlich nicht abgewichen werden. Ein gesteigertes Risiko wird sehr wahrscheinlich ebenso wenig zu einer Erlaubnis führen, wenn das geringere Risiko schon ein Verbot bedeutet.
Baut ein Anbieter sein Geschäft auf einer besonderen technischen Plattform auf, ändert sich sein Geschäft in der (technischen) Durchführung, jedoch nicht ohne Weiteres sein Charakter. Macht er sich dabei besondere technische Eigenschaften zunutze, ändert auch dieser Umstand grundsätzlich nichts an dem Charakter seines Geschäfts, aber sehr wahrscheinlich an seinen Informations- und Nebenpflichten. In diesem Zusammenhang wird die oben implizit gestellte Frage interessant, ob der Anbieter eines Geschäfts auf Blockchain-Basis die Verantwortlichkeit für nachteilige Ereignisse von sich weisen kann. Schließlich ist ihm die Kontrolle über diese dezentral verwaltete Plattform entzogen. Genauso wenig liegt die Sicherung des Private Key in seinen Händen. An die begrenzten Einflussnahmemöglichkeiten knüpft sich verständlicherweise die Frage, ob und wie die Anforderungen an die Anbieter von erlaubnispflichtigen Geschäften erfüllt werden können. Und ob dieser Umstand in der Folge gar eine Erlaubnisfreiheit bedeuten kann.
Unsicherheit besteht nicht zuletzt bei der Frage nach der (zivilrechtlich) schützenswerten Rechtsposition im Falle sog. digitaler Werte[7]. Und damit auch der Frage nach Innovation seitens des Gesetzgebers durch die Schaffung neuer Vorschriften, die sich in die Rechtsordnung einfügen. Wie sich zeigen soll, ist bereits die Regelung der sog. elektronischen Schuldverschreibung[8] alles andere als trivial.
Heute soll Vermögen nicht nur beschreibbar, sondern schreibbar[9] sein. Daten werden als sog. digitale Werte neudeutsch „ge-owned“, weil es das Eigentum an Daten mangels Sacheigenschaft nicht gibt.[10] Dementsprechend ist auch der Besitz, also die vom Besitzwillen getragene physische Herrschaft über eine Sache, in einer virtuellen Blockchain-Gemeinschaft schwer denkbar. Allerdings speichern mehrere sog. Full (Archive) Nodes[11] sämtliche „digitale Werte“ gesammelt in Form einer Kopie der gesamten Blockchain auf ihren Geräten. Ein Gerät ist eine Sache, die besitzbar sowie eigentumsfähig ist. Interessant ist jedoch, dass die Node-Betreiber die vervielfältigten „digitalen Werte“ als Bestandteil der Software ihres Geräts nicht „ownen“. „Ownen“ soll sie ausschließlich derjenige, der sie unter Verwendung der der Adresse zugehörigen Schlüssel Private Key und Public Key, allesamt Daten, verändern[12] kann.
Es ist in der Folge eine sehr interessante juristische Frage, was hier eigentlich der konkrete Bezugspunkt für die Bewertung und vor allem Begründung einer Rechtsposition ist. Doch nicht nur Vermögensinteressen müssen unter verlässlichem Verweis auf ihren Bezugspunkt „realisiert“ werden können. Auch datenschutzrechtliche Fragen sind hiermit eng verwoben. So stellt sich insbesondere die Frage, ob Private Key und Public Key personenbezogene Daten im Sinne des Art. 4 Nr. 1 DSGVO sind.
Wenn die reine Kombination von sowohl öffentlichem Public Key als auch geheimem Private Key notwendig ist, um über sog. digitale Werte auf der sich von ihnen ableitenden Blockchain-Adresse „verfügen“ zu können, dann kommt vor allem letzterem der eigentliche Wert zu. Nicht den “digitalen Werten” selbst – sie geben allenfalls die Werthöhe an. Diese „Rechtsposition“ kann nicht nur ein Mensch, sondern auch ein Computerprogramm „ausüben“. Vor allem kann sie leicht verloren gehen durch den Verlust[13] des Private Key. Adresse, Public Key und Private Key sind allesamt Daten, die sich aufeinander beziehen müssen – nicht jedoch eindeutig und dauerhaft auf einen Träger von Rechten und Pflichten. Es ist anhand der Blockchain gerade nicht ersichtlich, wer die Keys originär erzeugt hat, ob derjenige dazu seinen Rechner (oder den der Eltern) verwendet hat, wer Zugriff hierauf hat und ob ein (Haushalts-) Fremder Kenntnis hiervon erlangt hat. Für die Sicherung der „Realisierbarkeit“ der auf einer Adresse gespeicherten digitalen Werte ist, knapp zusammengefasst, der Halter des Private Key verantwortlich. Ob dieser der originäre oder auch rechtmäßige Halter ist, ist den Blockchain-Netzwerkbeteiligten allerdings gleichgültig.
In einem Blockchain-Netzwerk wie Bitcoin oder Ethereum geht es vor allem darum, ohne eindeutigen Personenbezug in Austausch zu treten. Adresse, Public Key und Private Key zusammen wirken in etwa wie ein Geldschein. Wer sie hat, kann die auf der Adresse gespeicherten Werte „realisieren“. Er wird von den Netzwerkbeteiligten als Berechtigter behandelt. Weil es jedoch an dem eindeutigen Personenbezug von Daten in Gestalt sog. digitaler Werte fehlt, ist es schwierig, Rechte hieran fest und (in der Außenwelt) geltend zu machen. Den Personenbezug über Transaktionen unter Nutzung derselben Adresse herzustellen, ist allerdings in einem öffentlichen Blockchain-Netzwerk nicht empfehlenswert.
Das geltende Recht weist Rechte und Pflichten einer Rechtspersönlichkeit zu, nicht jedoch Daten. Daten sind keine Träger von Rechten und Pflichten. Allenfalls dienen sie dem Beweis der Zuordnung zu einem Rechtsträger.[14] Doch was ist, wenn der unmittelbare Personenbezug by design nicht bestehen soll? Dann fehlt es by design an einer schutzfähigen Rechtsposition.
Ein interessantes Beispiel für die Frage nach schutzfähigen Rechtspositionen findet sich im Kontext sog. Smart Contracts. Dabei handelt es sich um nicht mehr als kleine Computerprogramme. Unter Umständen können hierin gespeicherte „digitale Werte“ durch das Auslösen einer bestimmten Funktion, und damit ohne die notwendige Kenntnis von Schlüsseln eines anderen, „entwendet“ werden. Häufig handelt es sich hierbei jedoch um sog. Honey Pots,[15] d.h. Fallen für gierige Schwachstellensucher. In dem Glauben, sich hier bereichern zu können, senden diese Schwachstellensucher “digitale Werte” an den Smart Contract, um die Funktion auszulösen. Und erfahren Verlust, nicht Gewinn. Ist der Schwachstellensucher nun Opfer oder Täter? Oder ist er nichts von beidem? Denn einerseits wird er infolge schwerer bis unmöglicher Identifizierbarkeit des Fallenstellers seinen potentiellen Rechtsanspruch nicht geltend machen können. Gleichermaßen versteckt sich der Schwachstellensucher hinter Daten, um sich selbst keinen Vorwürfen rechtswidrigen Verhaltens auszusetzen. Und überhaupt: Worin bestünde ein etwaiger Rechtsanspruch? In der Herausgabe von Daten, an denen weder Eigentum noch Besitz bestehen kann? Schadensersatz? In welcher Höhe, wenn der Wert der verwendeten “digitalen Werte” starken Schwankungen unterliegt? Ist er gegebenenfalls strafbar wegen versuchter Datenveränderung, § 303c Abs. 2 StGB und der Fallensteller wegen Betrugs nach § 263 Abs. 1 StGB? Worin liegt die Täuschung, wenn ein sorgfältiges Studium des offenen Smart Contract-Codes erkennen ließ, welche Aktion der Schwachstellensucher auslösen würde?
Wir sprechen vom Verlust von Rechten, die beim Rechtssubjekt womöglich gar nicht erst entstanden oder nicht einforderbar sind. Wo ungeschützte Rechtspositionen Gegenstand eines Geschäfts sein können, gehen Schutzvorschriften ins Leere und damit auch am Anbieter vorbei. Hier brauchen wir Klarstellung.
Die Diskussion um den Erwerb und Verlust von sog. Ownership ist nicht zielführend. Sie hält von der Suche nach Lösungen im bestehenden Recht ab. Es fehlt zudem an tauglicher Rechtsprechung zu der Frage, ob und wann sog. digitale Werte auf Blockchain-Basis tatsächlich mehr sein können als ein Datenbankeintrag. Etwas, das allein stehen kann und keine konkretisierenden Details außerhalb der Datensammlung benötigt. Leider hat sich das Landgericht Frankfurt am Main im ersten erstinstanzlichen savedroid-Urteil einer angemessenen Fall- und Rechtsprüfung entzogen. Bis heute hat es keine anonymisierte Urteilsabschrift zum Zwecke der Veröffentlichung herausgegeben. Die eigenhändige Anonymisierung zwecks Veröffentlichung hat es telefonisch untersagt. Um die Öffentlichkeit dennoch zum aktuellen Stand der Verfahren informieren zu können, hat die sehr geschätzte Kollegin Stepanova in der Ri 2020 das für sie persönlich anonymisierte Urteil kommentiert.[16] Weitere Verfahren sind (Corona-bedingt) noch nicht fortgeschritten.
Es stellt sich in diesem Zusammenhang die Frage, ob die geplante elektronische Schuldverschreibung ein Problem löst oder vielmehr zahlreiche neue Probleme schafft. Das geplante Gesetz wäre eine Grundlage für Rechte folgend aus Daten (-bankeinträgen), die regelmäßig keinen Bezug zu einer Rechtspersönlichkeit haben. Deren Verlust- und Vervielfältigungsrisiko zudem nie allein beim „Aussteller“ (vgl. § 793 Abs. 1 BGB) und/oder Plattform-Betreiber liegen wird, sondern auch beim Halter – und ggf. Verwahrer – des geheimzuhaltenden Private Key. Die „Inhaberschaft“, oder auch Änderungsberechtigung, ist nämlich nicht an den sog. digitalen Wert selbst geknüpft, sondern v.a. an den Private Key.
Dieser Umstand dürfte auch einer Analogie zu § 793 Abs. 1 BGB entgegenstehen: Ein elektronisches Datum, dessen „Inhaberschaft“ durch ein anderes elektronisches Datum außerhalb desselben (hier: den Private Key) begründet wird, ist mit einer Urkunde auch abseits der mangelnden Körperlichkeit nicht vergleichbar. Natürlich kann man sich fragen, ob nicht der Verlust des Papiers – mit der Folge des Verlusts des Rechts aus dem Papier – dem Verlust des Private Key gleichsteht. Hiergegen spricht jedoch, dass die Risiken des Verlusts des Private Key erheblich zahlreicher sind als die Risiken des Verlusts des Papiers.
Die wichtige Rolle des Private Key hat der europäische Gesetzgeber bereits erkannt. Allerdings vorwiegend im Zusammenhang mit der Prävention von Geldwäsche und Terrorismusfinanzierung. Seit dem 1. Januar 2020 wird von § 1 Abs. 1a Nr. 6 KWG auch das Angebot der Verwahrung, Verwaltung und Sicherung des privaten kryptografischen Schlüssels für andere als erlaubnispflichtiges Kryptoverwahrgeschäft erfasst.
Die Intention des europäischen Gesetzgebers ist die Schaffung der Möglichkeit der Zuordnung sog. digitaler Werte, insbesondere sog. virtueller Währungen, zu konkreten Personen über ihre Wallets:
„For the purposes of anti-money laundering and countering the financing of terrorism (AML/CFT), competent authorities should be able, through obliged entities, to monitor the use of virtual currencies.“[17]
„The anonymity of virtual currencies allows their potential misuse for criminal purposes. (…) To combat the risks related to the anonymity, national Financial Intelligence Units (FIUs) should be able to obtain information allowing them to associate virtual currency addresses to the identity of the owner of virtual currency. In addition, the possibility to allow users to self-declare to designated authorities on a voluntary basis should be further assessed.“[18]
Ohne einen Dritten wie den Kryptoverwahrer (Wallet-Anbieter), der seinen Kunden kennen muss (KYC – Know Your Customer), können weder sog. digitale Werte noch Private Key ohne Weiteres einer Person zugeordnet werden. Wenn nun eine Rechtsposition an die Verbindung mit einem Kryptoverwahrer geknüpft würde, wird es juristisch erneut interessant: Darf ein Recht von der Einräumung der Möglichkeit des behördlichen Monitorings abhängig gemacht werden? Was erzeugt wohl mehr Handlungsdruck? Die freiwillige Aufgabe der eigenen Quasi-Anonymität[19] zum Zwecke des Vorteils einer realisierbaren Rechtsposition, oder die per Gesetz verpflichtende Inanspruchnahme des Kryptoverwahrgeschäfts, ggf. erreicht durch ein Verbot der Nutzung anderer Wallet-Lösungen?
Das Verlustrisiko ist mit der Inanspruchnahme eines Kryptoverwahrers jedoch nicht gebannt. Unter Umständen kann man es als erhöht betrachten, weil jede weitere Kopie des Private Key eine weitere Verlustmöglichkeit schafft. Hinzu kommen die Gefahren der (nicht selten geforderten) Inanspruchnahme unzureichend gesicherter Cloud-Speicherangebote oder Ablage des Private Key auf dem wohl am schlechtesten vor Cyber-Angriffen gesicherten Gerät: dem Smartphone.
Nicht zuletzt werden GmbH-Geschäftsanteile auf Blockchain-Basis diskutiert. Auch hierfür bedarf es zunächst einer gesetzlichen Grundlage. Noch sind die Formanforderungen an die Übertragung von Geschäftsanteilen streng. Insbesondere das Schutzzwecke erfüllende Bedürfnis der notariellen Beurkundung wird als Hindernis und innovationshemmend wahrgenommen.
Der Vorteil Blockchain-basierter GmbH-Geschäftsanteile mag durch einen geringeren Grad an Bürokratie begründet sein. Jedoch stellt sich die Frage, ob den Befürwortern bewusst ist, wie schnell unter Umständen unfähige und gar maliziöse Mitgesellschafter in die Gesellschafterversammlung geraten können. Die Blockchain mag unter idealen Bedingungen ein sicherer Speicherort sein. Der außerhalb liegende Private Key ist jedoch nie absolut sicher vor dem Zugriff Dritter. Damit wäre auch die GmbH mit Geschäftsanteilen auf Blockchain-Basis vor dem Eingriff Dritter weniger geschützt.
Neue Technologien kommen zwangsläufig mit fehlender Erfahrung und Kenntnis daher. Wo Unwissen herrscht, treffen Versprechen unbegrenzter Möglichkeiten, v.a. unbegrenzten Reichtums, auf fruchtbaren Boden. Zu schnell vernebeln die vermeintlichen Chancen die Sinne. Schambehaftet sehen viele Geschädigte vom Beschreiten des Rechtswegs ab. Nicht selten wird ein Vorteil aus dem Unwissen und Unbehagen der anderen gezogen. Das schließt insbesondere die Unklarheit der Rechtsposition ein.
Neufund dürfte hingegen einen wichtigen Beitrag zur weiteren Rechtsentwicklung in Deutschland geleistet haben. Nicht durch die Kritik an der BaFin. Sondern mit dem nicht gänzlich unberechtigten Verweis, nur die Software bereitstellen zu wollen. Wie ausgeführt, liegt hierin der wichtige Hinweis auf die noch immer unbeantwortete Frage der Einfluss- und Risikoverteilung unter den Beteiligten an Geschäften mit sog. digitalen Werten auf Blockchain-Basis. Hier brauchen wir zunächst mehr Klarheit, Verständnis und Austausch. Nicht jedoch die Diskussion von Scheinrechten oder übereilt gefasste neue Gesetze.
Die oben stellvertretend für Blockchain-Startups aufgeworfene Frage, ob sie infolge nur begrenzter Einflussnahmemöglichkeiten ausnahmsweise nicht den Anforderungen an Anbieter von erlaubnispflichtigen Geschäften unterliegen, lässt sich pauschal nicht beantworten. Eine eingehende rechtliche Prüfung sollte stets vorgenommen werden, bevor die Geschäfte ausgerollt werden. Die meisten Gesetze sind technologieneutral und nicht allein anhand des Wortlauts zu beurteilen. Als Daumenregel ist jedoch sicherlich folgendes hilfreich: Wird ein vom Gesetz in seiner Gestalt erfasstes Geschäft lediglich unter Verwendung anderer (technischer) Mittel angeboten, wird es sehr wahrscheinlich auch auf dieses Geschäft Anwendung finden. Wer, durch die Möglichkeiten der Blockchain-Technologie tatsächlich befähigt, zahlreiche erlaubnispflichtige Geschäfte anbieten kann, der wird dies höchstwahrscheinlich nicht ohne umfassende Erlaubnis tun dürfen. Technisches Können und rechtliches Dürfen sind nicht als Synonyme zu verstehen. Auf den Schutz anderer kann ein Tech-Unternehmen nicht verzichten.
V
V
[1] FAS vom 21. Juni 2020, S. 34.
[2] https://www.linkedin.com/posts/frank-thelen_wir-sind-%C3%BCberzeugt-dass-blockchain-bzw-activity-6680404821192929280-yQgd/ vom 21. Juni 2020.
[3] https://blog.neufund.org/change-is-coming-8f5bcf4b2303 vom 21. Juni 2020.
[4] https://cot.legal/die-software-wars.
[5] Adamowicz am 22. Juni 2020 auf LinkedIn, Kommentarlink: https://www.linkedin.com/feed/update/urn:li:activity:6680404821192929280?commentUrn=urn%3Ali%3Acomment%3A%28activity%3A6680404821192929280%2C6680426603157229568%29&replyUrn=urn%3Ali%3Acomment%3A%28activity%3A6680404821192929280%2C6681061643574665216%29.
[6] Vgl. „Die Entscheidung des OLG Köln zum Smartlaw-Vertragsgenerator“, https://cot.legal/die-software-wars-teil-i-legal-tech.
[7] „Digitale Werte“ soll in diesem Beitrag alle denkbaren Blockchain-Token-Gestaltungen erfassen, ganz gleich, wie sie im konkreten Fall (aufsichts-)rechtlich eingestuft würden.
[8] https://www.bundesfinanzministerium.de/Content/DE/Gesetzestexte/Gesetze_Gesetzesvorhaben/Abteilungen/Abteilung_VII/19_Legislaturperiode/2019-03-07-Eckpunktepapier-Wertpapiere-Krypto-Token/2019-03-07-Eckpunktepapier-regulatorische-Behandlung-elektronische-Wertpapiere-Krypto-Token.pdf;jsessionid=EA4D784CA4F27FD8DE676D134168BC1C.delivery1-replication?__blob=publicationFile&v=3.
[9] Vgl. „programmierbarer Digitaler Euro“, https://bankenverband.de/themen/programmierbarer-digitaler-euro/ vom 30. Oktober 2019.
[10] Für ein dem Eigentum vergleichbares Recht an Zeichenkombinationen, wie etwa die Inhaberschaft einer Marke, bedarf es einer gesetzlichen Grundlage (hier: MarkenG).
[11] Die Netzwerkparteien, die eine Kopie sämtlicher Transaktionen, i.e. Änderungen an der Blockchain, speichern und regelmäßig synchronisieren.
[12] Durch eine Transaktion, die zunächst einmal nicht mehr als eine Änderung an der Datenbank beschreibt.
[13] Wobei Verlust hier auch die Kopie „in den falschen Händen“ meinen kann.
[14] Auch Auszüge der elektronischen Blockchain-Datensammlung können in einem Prozess als sog. Beweis durch Augenschein (§ 371 Abs. 1 ZPO) vorgelegt werden. Über den Beweiswert ist damit noch keine Aussage getroffen, weil eine Inhaltsprüfung bei Eintragung nicht stattfindet. Es bedarf jedoch keiner neuen Beweisvorschriften.
[15] https://medium.com/coinmonks/the-phenomena-of-smart-contract-honeypots-755c1f943f7b vom 20. März 2018.
[16] Stepanova, Ri 2020, 18 ff.
[17] DIRECTIVE (EU) 2018/843 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 30 May 2018 amending Directive (EU) 2015/849 on the prevention of the use of the financial system for the purposes of money laundering or terrorist financing, and amending Directives 2009/138/EC and 2013/36/EU, https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32018L0843&from=DE – Erwägungsgrund Nr. 8.
[18] Wie vor – Erwägungsgrund Nr. 9.
[19] Denn eigentlich agieren die Blockchain-Netzwerk-Teilnehmer in der Regel pseudonym. Je nach Ausgestaltung ihrer Teilnahme kann diese Pseudonymität einer Anonymität nahekommen.
Fortschritt mit Recht gestalten.
