Wiener Zocker

Hintergründe und Insiderinformationen

BaFin rügt Bitpanda – und in Wien bleibt es auffallend still

Published by

Redakteur

on

Austrian crypt exchange under regulatory pressure

Die österreichische Krypto-Vorzeigefirma Bitpanda wirbt seit Jahren mit „sicher, reguliert und real“. Nun zeigen Recherchen von WDR, NDR, Süddeutscher Zeitung, profil und dem ICIJ: Die deutsche Finanzaufsicht BaFin sah zumindest zeitweise etwas ganz anderes – nämlich gravierende Mängel in Risikomanagement, IT-Sicherheit und interner Organisation.

Während in Berlin Prüfer und interne Revisoren Alarm schlugen, gibt sich die österreichische FMA im Heimatmarkt betont zurückhaltend. Und das ausgerechnet in jenem Land, das sich mit MiCA-Lizenzen für KuCoin & Co. zum „Krypto-Hub“ aufschwingen will.

Was BaFin bei Bitpanda fand

Die deutsche Tochter Bitpanda Asset Management GmbH erhielt 2022 ihre BaFin-Lizenz. Kurz danach ordnete die Aufsicht 2023 eine Sonderprüfung an – Routine bei neuen Instituten, aber mit nicht ganz routinemäßigem Ergebnis:

  • 16 Beanstandungen insgesamt, davon
    • 5 „schwerwiegende“,
    • 4 „gewichtige“,
    • 6 „mittelschwere“ und
    • 1 „geringfügige“ Mängel.
  • Kritisiert wurden insbesondere Defizite im Risikomanagement, in der IT und beim Outsourcing – genau jene Kernbereiche, die Kundengelder und -daten schützen sollen.

In einem Schreiben vom Jänner 2025 hielt BaFin laut Auswertung von Broker-Test fest, dass trotz Fortschritten weiterhin keine „ordnungsgemäße Geschäftsorganisation“ im Sinne des Kreditwesengesetzes vorlag. Die Geschäftsführung wurde explizit auf ihre Pflichten hingewiesen.

Parallel dazu meldete die interne Revision von Bitpanda laut Tagesschau/ICIJ-Partnern und Broker-Test:

  • fehlende Dokumentation,
  • unzureichende Kenntnis regulatorischer Anforderungen in einzelnen Abteilungen,
  • organisatorische Defizite,
  • und eine Situation, in der die Prüfer das Unternehmen als faktisch „nicht prüfbar“ beschrieben.

Das ICIJ berichtet zudem von einem internen Bericht, der von „fortlaufender Nicht-Einhaltung regulatorischer Anforderungen“ spricht – und von einer Compliance-Abteilung, die die Aufklärung eher erschwerte als erleichterte.

Auch Wien taucht in den Akten auf

Die Probleme sind kein reines „Berlin-Thema“. Laut ICIJ-Partnern ergab ein separates Audit der Wirtschaftsprüfer KPMG Austria 2024 Dokumentationsmängel in der Wiener Zentrale. Zudem hatten zwei Gesellschafter und ein Aufsichtsgremien-Mitglied bis 2025 „unangemessen privilegierte“ Zugriffsrechte auf IT-Systeme – ein Governance-Albtraum in jeder Regulierungsschule.

profil berichtet ergänzend von „gravierenden Mängeln“ und davon, dass die Aufsicht (BaFin, aber auch die FMA im Blick) Bitpanda die Krallen zeige.

Bitpanda selbst betont gegenüber den Medien und in Geschäftsberichten, sämtliche Beanstandungen seien behoben, alle Gruppenunternehmen würden regelmäßig geprüft und erhielten „uneingeschränkte Bestätigungsvermerke“.
Ob die zweite BaFin-Prüfung Ende 2025 zur vollständigen Entwarnung geführt hat, ist derzeit öffentlich nicht bekannt.

Und wo bleibt die österreichische FMA?

Juristisch ist die Sache klar:

  • Die deutsche BaFin beaufsichtigt die deutsche Wertpapier- und Vermögensverwaltungsgesellschaft.
  • Heimataufsicht für die Bitpanda-Gruppe ist aber die österreichische FMA, in deren Register Bitpanda seit Jahren als reguliertes Wertpapier- und Zahlungsinstitut geführt wird – und die nun im MiCA-Regime auch als Gatekeeper für Krypto-Dienstleister auftritt.

Wenn die BaFin eine frisch lizenzierte Tochter mit einer Liste von 16 Mängeln in zentralen Kontrollfunktionen konfrontiert und interne Revisoren später von „nicht prüfbar“ sprechen, stellt sich aus Wiener Sicht eine simple Frage:

Warum gibt es bislang keine ebenso klare, öffentliche Positionierung der FMA zu den gruppenweiten Governance- und IT-Risiken bei Bitpanda?

Gerade weil Bitpanda sich als „eine der am stärksten regulierten“ Krypto-Plattformen Europas vermarktet, ist die Glaubwürdigkeit des Regulierungssystems betroffen – nicht nur das Image eines Unicorns.

MiCA, Hochrisiko-Börsen und die Leerstelle FMA

Seit 2024/25 verteilt die FMA in Wien MiCA-Lizenzen an globale Krypto-Börsen. KuCoin wurde trotz US-Schuldbekenntnis und hunderter Millionen an Geldstrafen als CASP zugelassen; Bitget steht als nächster Bewerber in den Startlöchern.

Gleichzeitig zeigen die Bitpanda-Dokumente, wie schwierig es offenbar ist, selbst ein „heimisches“ Vorzeigeinstitut durchgehend regelkonform zu halten – inklusive Basis-Themen wie Dokumentation, saubere IT-Rollen und prüfbare Organisation.

Wenn schon hier Governance und Informationssicherheit nachjustiert werden müssen, wie glaubwürdig ist dann der Anspruch, von Wien aus globale Derivatebörsen unter MiCA effektiv zu überwachen?

Aufruf an Insider

Wiener Zocker wird die Bitpanda-Causa weiter verfolgen – ebenso wie die „MiCA-Hub“-Pläne rund um KuCoin, Bitget und die Rolle von Oliver Stauber.

  • Mitarbeiter:innen von Bitpanda (Wien oder Berlin),
  • interne oder externe Prüfer:innen,
  • Aufseher:innen in BaFin und FMA

sind ausdrücklich eingeladen, weiterführende Informationen, Dokumente oder Erfahrungsberichte vertraulich zu übermitteln.

Nur wenn klar ist, wie es in den Maschinenraum dieser „sicheren, regulierten“ Krypto-Institute wirklich aussieht, lässt sich beurteilen, ob Wien gerade ein seriöses FinTech-Zentrum baut – oder nur eine schöne Kulisse für den nächsten Krypto-Zock.

,
Previous Post

Hinterlasse einen Kommentar