Spielregeln im digitalen Zahlungsverkehr FISG, MiCA und DORA: Die Regulierungswelle nach Wirecard und was sie für E-Commerce-Plattformen bedeutet

Anbieter zum Thema

Arvato Systems GmbH

Allgeier Inovar GmbH

Descartes Systems (Germany) GmbH

Nach Wirecard dreht sich das Regulierungsrad: FISG, MiCA und DORA verlangen von E‑Commerce‑Plattformen strenge Compliance, Krypto‑Lizenzen und IT‑Resilienz — wer jetzt nicht handelt, riskiert Sanktionen.

Der Zusammenbruch von Wirecard im Sommer 2020 hat das Vertrauen in die deutsche Finanzaufsicht erschüttert und in Brüssel wie Berlin eine Welle neuer Regelwerke ausgelöst. Für E-Commerce-Plattformen, die digitale Zahlungen abwickeln, sind FISG, MiCA und DORA inzwischen Pflichtprogramm. Betreiber von Payment-Flows, Krypto-Optionen oder Cloud-Infrastruktur müssen 2026 mit aktiver Aufsicht und spürbaren Sanktionen rechnen.

Der Wirecard-Skandal und seine Folgen für die Aufsicht

Im Juni 2020 fehlten in der Bilanz des Münchner Zahlungsdienstleisters 1,9 Milliarden Euro auf Treuhandkonten, die nie existierten. Seitdem läuft am Landgericht München ein Mammutverfahren mit über 200 Verhandlungstagen; das Oberlandesgericht München hält im Frühjahr 2026 eine Haftstrafe von mehr als zehn Jahren für Ex-CEO Markus Braun für wahrscheinlich. Eine kompakte strafrechtliche Einordnung dazu, wie der Wirecard-Skandal die Branche verändert hat, zeigt, wie tief der Vertrauensschaden saß. Aus diesem Skandal zog die Politik drei Lehren.

FISG: Aufsicht mit Zähnen

Das Finanzmarktintegritätsstärkungsgesetz ist seit dem 1. Juli 2021 in Kraft. Die BaFin erhielt direkte Eingriffsbefugnisse bei bilanzrechtlichen Verstößen, die externe Bilanzkontrolle wurde neu strukturiert. Wirtschaftsprüfer müssen bei Unternehmen von öffentlichem Interesse spätestens nach zehn Jahren rotieren, Beratungsleistungen für Prüfungsmandanten sind stark eingeschränkt. Für Zahlungsinstitute heißt das: engere Berichtspflichten, schärfere Sanktionen und persönliche Haftung bis in den Vorstand. Vorsätzliche Bilanzdelikte können seitdem mit Bußgeldern bis zu zehn Millionen Euro oder fünf Prozent des Konzernumsatzes geahndet werden.

MiCA: Krypto-Zahlungen werden lizenzpflichtig

Seit dem 30. Dezember 2024 ist die Markets-in-Crypto-Assets-Verordnung vollständig anwendbar. E-Commerce-Plattformen, die Stablecoins oder Krypto-Token als Zahlungsoption integrieren, brauchen entweder eine eigene BaFin-Erlaubnis oder einen lizenzierten Issuer als Partner. Whitepaper-Pflichten, Eigenkapitalanforderungen und ein klar geregeltes Rückgaberecht für E-Money-Token verwandeln den bisherigen Wildwuchs in einen aufsichtsrechtlich kontrollierten Markt. Bestehende Krypto-Dienstleister haben in Deutschland bis zum 30. Juni 2026 Zeit, eine Erlaubnis nach MiCA zu beantragen; danach drohen Vertriebsverbote im Onlinehandel.

DORA: Resilienz wird Pflicht, nicht Kür

Seit dem 17. Januar 2025 gilt der Digital Operational Resilience Act für sämtliche Finanzunternehmen in der EU, inklusive Payment Service Provider. Plattformbetreiber sind indirekt betroffen, sobald sie als kritische IKT-Drittdienstleister agieren. Marketplaces, die die zentrale Zahlungsabwicklung für angeschlossene Händler bündeln, können von den European Supervisory Authorities EBA, ESMA und EIOPA direkt geprüft werden. DORA verlangt dokumentierte Resilienztests, Incident-Reporting binnen weniger Stunden und ein verbindliches Vertragsmanagement gegenüber Cloud- und Hosting-Anbietern. Bußgelder reichen bis zu einem Prozent des weltweiten Tagesumsatzes.

Was Plattformbetreiber jetzt prüfen sollten

Die Wirecard-Skandal folgen sind im operativen Tagesgeschäft angekommen. Drei Schritte stehen ganz oben:

• Vendor-Mapping: alle Zahlungs- und Cloud-Dienstleister gegen DORA-Anforderungen abgleichen.
• Vertragsklauseln: Audit-Rechte, Subunternehmer-Regeln und Exit-Szenarien nachschärfen.
• Krypto-Strategie: Vor jeder neuen Token-Integration die MiCA-Lizenz des Issuers im Register der Deutschen Bundesbank gegenprüfen.
• Incident-Drehbuch: Meldewege so trainieren, dass die DORA-Erstmeldung binnen vier Stunden nach Klassifizierung steht.

Compliance ist damit zur strategischen Disziplin geworden. Plattformen, die das Thema sauber aufstellen, gewinnen nicht nur Rechtssicherheit, sondern auch das Vertrauen ihrer Kunden zurück.