Travel Rule: wie Kryptoplattformen die persönlichen Daten ihrer Kunden teilen

Travel Rule: wie Kryptoplattformen die persönlichen Daten ihrer Kunden teilen
Ask AI TO SUMMARIZE ThIS ARTICLE

Die Travel Rule verpflichtet Kryptoplattformen, die persönlichen Daten ihrer Nutzer bei Überweisungen zu übermitteln. Diese Verpflichtung stört das Gleichgewicht zwischen regulatorischer Compliance und dem Respekt für die Privatsphäre.

Your 2 free articles this month are up

The research your peers are already leveraging

The Big Whale gives financial institutions the market intelligence, network, and platform to move with confidence in digital assets. Trusted by 150+ firms.

Travel Rule: ein neues Rahmenwerk seit 2025 in Kraft

Die "Travel Rule" ist eine Maßnahme zur Bekämpfung von Geldwäsche und Terrorismusfinanzierung, die von der FATF (Financial Action Task Force) eingeführt wurde. Empfehlung 16 der FATF verlangt von Finanzinstituten, Informationen über den Absender und den Empfänger bei der Überweisung von Geldern zu übermitteln. Ursprünglich für die traditionelle Finanzwelt konzipiert, gilt diese Regel nun auch für Anbieter von Dienstleistungen im Bereich digitaler Vermögenswerte (DASPs).

Auf Deutsch gesagt: Sobald ein Nutzer Krypto-Assets von einer Plattform zu einer anderen sendet, müssen die beiden die Identifikationsdaten der beteiligten Kunden austauschen. Dies umfasst mindestens den Namen des Absenders und des Empfängers sowie die Adresse der verwendeten Wallet, sobald der Betrag 1.000 $ oder 1.000 € übersteigt.

Für europäische Akteure bedeutet dies, Gegenparteien zu überprüfen, Informationen zu sammeln, diese sicher zu übermitteln, Transaktionen über Sanktionslisten zu filtern und eine kontinuierliche Überwachung sicherzustellen. All dies unter Einhaltung strenger Datenschutzstandards und dem Versuch, operative Reibungen zu minimieren.

Dieses Rahmenwerk erfordert daher spezifische Infrastrukturen, die in der Lage sind, Identitäten zu überprüfen, bestimmte regulatorische Prüfungen zu automatisieren und den Nachweis des Datenaustauschs zu führen. Es schafft auch neue Risiken, sei es in Bezug auf Informationslecks, interne Schwächen oder technische Inkompatibilitäten.

>> Krypto-Regulierung im Jahr 2025: das Jahr aller Veränderungen

Eine Vielzahl unterschiedlicher Werkzeuge zur Übermittlung dieser Daten

Um die Anforderungen der Travel Rule zu erfüllen, mussten Plattformen für den Austausch digitaler Vermögenswerte Systeme implementieren, die in der Lage sind, die sensiblen Daten ihrer Nutzer sicher auszutauschen. Heute koexistieren mehrere Kommunikationsprotokolle, die jeweils einen anderen Ansatz für Vertraulichkeit, Interoperabilität und Governance bieten.

TRUST (Travel Rule Universal Solution Technology) ist eines der am weitesten verbreiteten Protokolle. Entwickelt von Coinbase und unterstützt von mehreren großen Plattformen, ermöglicht es den sicheren Austausch von Daten zwischen verifizierten VASPs über verschlüsselte Kanäle. Das Protokoll basiert auf einem geschlossenen Modell: Nur anerkannte Akteure können teilnehmen.

TRP (Travel Rule Protocol) verfolgt einen entgegengesetzten Ansatz mit einer Open-Source-Philosophie. Erstellt von einem Konsortium, zu dem Standard Chartered, ING und BitGo gehören, konzentriert es sich auf Einfachheit und Interoperabilität, mit dem Ziel, die Akzeptanz durch eine größere Anzahl von Akteuren zu erleichtern.

Sygna Bridge bietet eine Messaging-API für VASPs. Das Tool konzentriert sich auf den Schutz personenbezogener Daten und die Genauigkeit der übermittelten Informationen, während es die Einhaltung von Vorschriften sicherstellt.

TRISA (Travel Rule Information Sharing Architecture) basiert auf einem dezentralisierten Peer-to-Peer-Protokoll. Es ermöglicht Plattformen den erforderlichen Informationsaustausch, ohne einen zentralen Akteur zu durchlaufen, während es datenschutzfreundliche Mechanismen integriert.

CodeVASP Bridge ist hingegen ein proprietäres Protokoll, das von Sumsub, einem Compliance-Anbieter, verwendet wird. Es integriert sich direkt in deren Plattform, um die Übermittlung und Überprüfung der durch die Travel Rule geforderten Daten sicherzustellen.

GTR (Global Travel Rule) und Email Notification Tools vervollständigen das Ökosystem.

Letzteres wird verwendet, wenn die Gegenpartei über konventionelle Protokolle nicht erreicht werden kann. In diesem Fall wird eine automatische E-Mail gesendet (ohne sensible Daten), die den VASP einlädt, sich auf der Sumsub-Plattform zu registrieren. Jeder Versuch wird zu Nachverfolgungszwecken aufgezeichnet.

Zoom auf TRUST (Coinbase)

Unter den Kommunikationsprotokollen, die zur Einhaltung der Travel Rule angenommen wurden, nimmt TRUST einen zentralen Platz ein, insbesondere in den Vereinigten Staaten. Auf Initiative von Coinbase und einer Gruppe von Partnerbörsen ins Leben gerufen, zielt es darauf ab, einen gemeinsamen Rahmen für den sicheren Datenaustausch zwischen Plattformen zu schaffen. Mehrere europäische VASPs nutzen es bereits, wie zum Beispiel das französische Meria.

Die Funktionsweise basiert auf einem einfachen Prinzip: Die von der Travel Rule geforderten Informationen werden direkt zwischen den Plattformen in verschlüsselter Form übermittelt, ohne auf einem zentralen Server gespeichert zu werden. Vor jeder Übermittlung muss die empfangende Plattform nachweisen, dass sie die Empfangsadresse überprüft hat, um die Genauigkeit der Austausche zu gewährleisten.

TRUST stützt sich auf Ende-zu-Ende-verschlüsselte Kanäle und erfordert von allen Mitgliedern, unabhängige Sicherheits-, Datenschutz- und Compliance-Audits durchzuführen. Dies schafft einen geschlossenen Kreis vertrauenswürdiger Akteure, die regulatorische Daten austauschen können, während die Vertraulichkeit der Kunden gewahrt bleibt.

Die Lösung basiert auf einer Infrastruktur namens TRUSThub, die als Compliance-Schicht fungiert und in die technische Infrastruktur der Plattformen integriert werden kann. TRUSThub ermöglicht es, die durch die Travel Rule geforderten Daten standardisiert zu verpacken, zu übermitteln und zu empfangen.

Zu den hervorgehobenen Merkmalen gehören:

  • Interoperabilität, die den Dialog mit anderen VASPs ermöglicht, selbst wenn sie nicht dieselbe Technologie verwenden
  • Einfache Integration, dank eines offenen Netzwerks, das die Aufnahme neuer Mitglieder erleichtert, auch in neuen Rechtsordnungen
  • Skalierbarkeit, mit einer Architektur, die sich an wachsende Transaktionsvolumina anpassen kann
  • Partizipative Governance, da wichtige Entscheidungen von den Netzwerkmitgliedern zur Abstimmung gestellt werden

>> Durch das Angebot von Deribit unterzeichnet Coinbase die größte Übernahme in der Krypto-Geschichte

Die Grauzonen von TRUST

Trotz seiner wachsenden Akzeptanz wirft TRUST noch viele Fragen auf.

Laut einem Manager einer europäischen Börsenplattform ist "die Tatsache, dass ein Riese wie Coinbase sich abspaltet, um alle Daten der Europäer abzurufen und seine Konkurrenten zwingt, sensible Daten zu kommunizieren, nichts Positives".

Hinter einem Versprechen von Effizienz und Einhaltung der Travel Rule bleiben mehrere Grauzonen, insbesondere auf technischer, rechtlicher und organisatorischer Ebene.

Erster Punkt: der Mangel an Transparenz. Es sind nur wenige öffentliche Informationen über die technischen Grundlagen des Protokolls verfügbar.

Von The Big Whale befragt und trotz unserer wiederholten Erinnerungen wollte Coinbase unsere Fragen nicht beantworten.

Die detaillierten Spezifikationen, Verschlüsselungsmechanismen oder sogar interne Verfahren sind nicht offen dokumentiert. Dieses Defizit schränkt die Möglichkeiten für unabhängige Audits ein und verhindert, dass externe Akteure die Robustheit des Systems vollständig beurteilen können.

Zweiter Punkt: die unklare Abgrenzung von TRUST zu den oben genannten anderen Protokollen. Während TRUST bestimmte Merkmale wie Interoperabilität und partizipative Governance beansprucht, bleibt es schwierig zu verstehen, was es grundlegend von Alternativen wie TRISA oder TRP unterscheidet.

Auch die Frage der Governance bleibt unklar. Wir wissen, dass der Eintritt neuer Mitglieder eine Abstimmung durch die bestehenden Mitglieder erfordert, aber die Bedingungen dieser Abstimmung (einfache Mehrheit, Vetorecht, technisches Komitee) sind nicht spezifiziert. Diese Unklarheit wirft die Frage nach einer potenziellen Kontrolle durch einen kleinen Kreis von Akteuren auf.

Dieses Risiko ist umso präsenter, da das Netzwerk größtenteils aus großen Plattformen besteht, was Befürchtungen einer Form von oligopolistischer Konzentration nährt. Der obligatorische Austausch personenbezogener Daten zwischen diesen Akteuren wirft auch Fragen zur Einhaltung der RGPD auf, insbesondere in Bezug auf den Standort der Daten, das Recht auf Löschung und die ausdrückliche Zustimmung der Nutzer.

Ein weiterer problematischer Punkt: der Zugang zum Protokoll für neue Teilnehmer. Die Mitgliedskriterien sind nicht öffentlich, und der Integrationsprozess bleibt für kleinere oder weniger institutionalisierte Akteure undurchsichtig. Dies schränkt die Fähigkeit des Protokolls ein, sich an ein Krypto-Ökosystem anzupassen, das auf dezentraler Innovation basiert.

Schließlich bleiben Sicherheitsrisiken bestehen. Wenn einer der Mitglieds-VASPs kompromittiert wird, könnten die Daten, die er über TRUST empfängt oder übermittelt, offengelegt werden, mit schwerwiegenden Folgen: Identitätsdiebstahl, Finanzbetrug oder Leckage sensibler Informationen.

Coinbase selbst war Opfer eines Datenlecks, das fast 1 % der Nutzer der Plattform betraf, einschließlich Namen, Adressen, Telefonnummern, E-Mails, Passfotos und Finanzdaten... Es ist noch nicht bekannt, ob TRUST-Daten von diesem Hack betroffen waren.

Das Problem wird durch die Heterogenität der Datenschutzstandards in verschiedenen Rechtsordnungen verschärft, was das Risiko von Missmanagement oder Missbrauch erhöht.

Trotz seines Aufstiegs zur Prominenz wird TRUST daher nicht einhellig unterstützt. Sein Modell, obwohl in einigen Ländern operativ, weckt weiterhin Vorbehalte in einem Ökosystem, in dem Vertrauen ebenso auf Transparenz wie auf regulatorischer Compliance beruht.

Technologische Ansätze zur besseren Vereinbarkeit von Compliance und Datenschutz

Angesichts der Herausforderungen, die die Travel Rule mit sich bringt (insbesondere im Hinblick auf den Schutz personenbezogener Daten), tauchen mehrere technologische Lösungen auf, um zu versuchen, regulatorische Anforderungen und den Respekt vor der Privatsphäre der Nutzer in Einklang zu bringen.

Zu den vielversprechendsten gehören: fortschrittliche kryptografische Techniken. Diese Werkzeuge ermöglichen es Plattformen, Informationen auszutauschen oder zu überprüfen, ohne die Rohdaten offenzulegen.

  • Zero-Knowledge-Nachweise (zero-knowledge proofs oder ZKPs) ermöglichen den Nachweis, dass eine Bedingung erfüllt ist (zum Beispiel, dass ein Kunde korrekt identifiziert ist), ohne die zugrunde liegenden Daten offenzulegen.
  • Sichere Mehrparteienberechnung (secure multi-party computation, oder MPC) ermöglicht es mehreren Akteuren, bei einem Vorgang (wie einer Compliance-Prüfung) zusammenzuarbeiten, ohne ihre jeweiligen Informationen offenzulegen.
  • Homomorphe Verschlüsselung schließlich ermöglicht es, Daten direkt in verschlüsselter Form zu verarbeiten, ohne dass sie zu irgendeinem Zeitpunkt im Prozess entschlüsselt werden müssen.

In Kombination könnten diese Techniken es Plattformen für digitale Vermögenswerte ermöglichen, die Verpflichtungen der Travel Rule zu erfüllen und gleichzeitig die Risiken im Zusammenhang mit der Zirkulation sensibler Daten zu minimieren.

Ein weiterer ergänzender Ansatz: dezentrale Identitätssysteme (Decentralised Identity, oder DID). Die Idee ist, den Nutzern die Kontrolle über ihre Identitätsdaten zurückzugeben, indem sie diese über einen privaten kryptografischen Schlüssel verwalten können.

In diesem Modell teilen die Nutzer ihre persönlichen Informationen nicht direkt mit den Plattformen. Stattdessen können sie einen kryptografischen Nachweis erbringen, der von einer vertrauenswürdigen Entität validiert wurde. Dies ermöglicht es VASPs, die Identität eines Nutzers zu überprüfen, ohne deren Daten speichern oder sogar darauf zugreifen zu müssen.

Das Konzept der selektiven Offenlegung ist zentral: Es wird nur die Information geteilt, die strikt notwendig ist, um die Verpflichtungen zu erfüllen. Diese Vorgehensweise reduziert erheblich die Risiken von Datenlecks oder Missbrauch.

Obwohl diese Technologien im Sektor noch in der experimentellen Phase sind, stellen sie einen vielversprechenden Weg dar, um eine Compliance zu schaffen, die die Rechte der Nutzer mehr respektiert. In einem Kontext zunehmender regulatorischer Überwachung könnten sie sich als strategischer Hebel für Akteure erweisen, die versuchen, Innovation und rechtliche Anforderungen in Einklang zu bringen.

Die Meinung von The Big Whale

Die Umsetzung der Travel Rule in der Krypto-Welt beschränkt sich nicht auf eine einfache technische Compliance-Übung. Sie kristallisiert ein breiteres Dilemma: Wie weit kann die Branche gehen, um den Anforderungen der Regulierungsbehörden gerecht zu werden, ohne die Prinzipien zu verraten, auf denen Kryptowährungen gegründet wurden (individuelle Souveränität, Pseudonymität, Dezentralisierung)?

Protokolle wie TRUST, TRP oder TRISA sind die ersten Meilensteine in einem Kompromiss, der noch instabil ist. Sie versuchen, die Behörden zu beruhigen und den Austausch zwischen Plattformen zu professionalisieren, jedoch auf Kosten einer zunehmenden Standardisierung, die oft von den großen Akteuren vorangetrieben wird.

Hinter den Versprechen von Interoperabilität und offener Governance verbirgt sich das Risiko einer geschlossenen Architektur, in der nur Akteure mit den Mitteln zur Einhaltung der Regeln teilnehmen können. Eine Form der Zentralisierung, diesmal unter dem Deckmantel der Compliance.

Grundlegender stellt sich die strategische Frage: Ist die Kryptoindustrie dabei, sich durch Absorption zu institutionalisieren, oder ist sie in der Lage, ihre eigenen Standards für Vertrauen und Transparenz durchzusetzen? Fortschrittliche kryptografische Werkzeuge und dezentrale Identitäten bieten Auswege aus diesem Dilemma, kämpfen jedoch noch darum, in praktischen Implementierungen Fuß zu fassen.

>> Coinbase gewinnt historischen Sieg gegen die SEC: ein Wendepunkt für die Kryptoindustrie

Beatriz Ferreira

Beatriz Ferreira ist Crypto Research Analyst bei The Big Whale, wo sie sich auf Stablecoins und die Tokenisierung realer Vermögenswerte konzentriert. Ihre bei The Big Whale veröffentlichten Arbeiten behandeln Stablecoins und KI-Agenten, Crypto IPOs, die Regulierung von Derivaten, die regulatorische Divergenz zwischen den USA und Europa bei Stablecoins, in der Compliance eingesetzte Blockchain-Analytics-Tools sowie die Travel Rule. Zudem wirkt sie an Research zu institutionellen Dynamiken in den Märkten für Tokenisierung und Stablecoins mit.

Neben ihrer Tätigkeit bei The Big Whale hat Ferreira eine Position im Bereich Digital Products bei Repsol in Madrid inne, wo sie seit September 2025 tätig ist. Zudem schreibt sie freiberuflich Artikel für Stablecoin Insider und ist Founder und CEO von 3C Trix, einem 2025 von ihr gegründeten Research-Dienstleistungsunternehmen. Sie ist Mitglied des Youth Economic Circle (YEC). Ferreira besitzt einen Masterabschluss in Accounting and Finance sowie einen Bachelorabschluss in Applied Mathematics, beide von ISEG, und wurde mit mehreren akademischen Auszeichnungen geehrt. Sie lebt in Lissabon.

See all articles ↗
Abonnieren Sie The Drop
Der führendes wöchentliches Briefing zu digitalen Assets für Finanzinstitute: unabhängige Analysen, Berichte, Benchmarks und exklusive Veranstaltungen, direkt in Ihr Postfach geliefert.
Read by 30,000 professionals
12.–13. November 2026

Der Genfer Gipfel

Das Corporate Gateway: wo über die Zukunft der On-Chain-Finanzierung entschieden wird. 300 handverlesene Entscheidungsträger. Ein gemeinsames Mandat.
300
Entscheidungsträger
2 Tage
Intensivprogramm