DORA-konforme Infrastruktur: Was Asset Manager von einer Tokenisierungsplattform brauchen

DORA, der Digital Operational Resilience Act, gilt seit dem 17. Januar 2025 EU-weit. Die meisten Asset Manager fallen nicht direkt darunter. Praktisch jeder digitale Infrastrukturanbieter, auf den sie sich verlassen, jedoch schon. Wenn eine Tokenisierungsplattform Fondsadministration, Investor-Onboarding oder Wertpapieremissionen für eine in den Anwendungsbereich fallende Finanzeinheit übernimmt, definiert DORA den operativen Standard, den die Vendor-Diligence-Teams heute überprüfen müssen.

Die Folge: Auch Asset Manager außerhalb des direkten DORA-Anwendungsbereichs führen faktisch DORA-getriebene Due Diligence über die Plattformen durch, mit denen sie integrieren. Eine Plattform, die nicht DORA-ready, eWpG-registriert und MiFID-II-klassifiziert ist, bleibt operativ unvollständig, unabhängig davon, wie sauber ihre Smart Contracts wirken.

Dieser Beitrag erklärt, was DORA tatsächlich verlangt, warum die Last bei den Infrastrukturanbietern und nicht bei den Asset Managern selbst liegt, wie DORA mit MiFID II und dem deutschen eWpG zusammenspielt und was Asset Manager prüfen sollten, bevor sie eine Tokenisierungsplattform in ihren Operating Stack integrieren.

Inhaltsverzeichnis

1. Was DORA tatsächlich verlangt (und für wen)

2. Warum Asset Manager DORA spüren, auch wenn es sie nicht direkt betrifft

3. Der regulatorische Stack, den eine Tokenisierungsplattform abdecken sollte

4. Wie DORA, MiFID II und eWpG zusammenspielen

5. Welche Rolle ONINO als regulierte Infrastrukturschicht einnimmt

6. Was am Modell noch in Entwicklung ist

7. Häufig gestellte Fragen

Was DORA tatsächlich verlangt (und für wen)

DORA schafft einen einheitlichen Rahmen für operative Resilienz im EU-Finanzsektor. Die Verordnung ersetzt einen Flickenteppich nationaler Regelungen durch fünf bindende Säulen, die jede betroffene Einheit umsetzen muss.

Die fünf Säulen umfassen:

• IKT-Risikomanagement. Steuerung des Risikos aus Informations- und Kommunikationstechnologie auf Vorstandsebene, mit dokumentierten Frameworks, kartierten Abhängigkeiten und klaren Verantwortlichkeiten.

• IKT-bezogene Vorfallsmeldungen. Standardisierte Klassifizierung, Eskalation und Meldung schwerwiegender Vorfälle an die zuständigen nationalen Behörden, innerhalb fester Fristen.

• Tests der digitalen operativen Resilienz. Regelmäßige bedrohungsorientierte Penetrationstests (TLPT) für signifikante Einheiten sowie umfassendere Schwachstellen- und Szenario-Tests für alle Betroffenen.

• Management des IKT-Drittparteienrisikos. Vertragliche, überwachungsbezogene und ausstiegsbezogene Pflichten gegenüber kritischen IKT-Anbietern, einschließlich eines Registers aller Drittparteien-Vereinbarungen.

• Informationsaustausch. Freiwillige Mechanismen zum Austausch von Cyber-Bedrohungsinformationen zwischen Finanzeinheiten.

Der Anwendungsbereich ist breiter, als viele Asset Manager zunächst annehmen. DORA gilt für Kreditinstitute, Wertpapierfirmen, AIFM und OGAW-Verwalter oberhalb bestimmter Schwellen, Zahlungs- und E-Geld-Institute, zentrale Gegenparteien, Handelsplätze, Zentralverwahrer, Krypto-Dienstleister unter MiCA und, entscheidend, auch für die IKT-Drittanbieter, die diese Einheiten bedienen.

Diese letzte Kategorie verändert den Diskussionsrahmen. Wird eine Tokenisierungsplattform als kritischer IKT-Drittanbieter einer oder mehrerer betroffener Finanzeinheiten eingestuft, fällt sie selbst über die Vertrags- und Aufsichtskette unter die DORA-Anforderungen, auch ohne eigene Lizenz als Finanzeinheit im engeren Sinne.

Warum Asset Manager DORA spüren, auch wenn es sie nicht direkt betrifft

Hier liegt die operative Asymmetrie, auf die es ankommt.

DORA zwingt betroffene Finanzeinheiten dazu, ihre kritischen IKT-Anbieter zu prüfen, zu überwachen und vertraglich zu binden. Sie müssen ein vollständiges Register aller IKT-Drittparteien-Vereinbarungen führen, vorvertragliche Due Diligence zur Resilienzfähigkeit durchführen, spezifische Vertragsklauseln einbauen (Prüfrechte, Sub-Outsourcing-Kontrollen, Ausstiegsstrategien, Vorfallsmeldungen) und durchgehende Überwachung über die Laufzeit der Beziehung nachweisen.

Asset Manager betreiben in der Regel keine eigene Emissions-, Register- oder KYC-Infrastruktur. Sie verlassen sich auf Tokenisierungsplattformen, Registerführer, Verwahrer, KYC-Anbieter und Fondsadministratoren. Ist einer dieser Anbieter nicht DORA-konform aufgestellt, scheitert die Vendor-Risk-Akte des Asset Managers im Diligence-Prozess, selbst wenn dieser formal nicht in den DORA-Anwendungsbereich fällt.

Drei konkrete Konsequenzen ergeben sich daraus. Sub-Threshold-AIFM, die außerhalb des direkten DORA-Anwendungsbereichs liegen, sehen sich dennoch einer DORA-getriebenen Prüfung durch ihre LP-Basis gegenüber, insbesondere wenn unter den LPs betroffene Einheiten wie Banken, Versicherer oder große Pensionsfonds sind, die ihre indirekten IKT-Risiken selbst berichten müssen. Grenzüberschreitende Fondsstrukturen enthalten regelmäßig mindestens eine betroffene Einheit in der Kette: Fällt der Master-AIFM in den Anwendungsbereich, werden auch jeder Feeder, jeder Sub-Manager und jeder gemeinsam genutzte Dienstleister in den Diligence-Perimeter einbezogen. Co-Investment-Strukturen mit regulierten Banken, die bei tokenisierungsgetriebenen Private-Market-Deals zunehmend üblich sind, holen DORA automatisch in den Raum, weil die teilnehmende Bank im Anwendungsbereich liegt und die operative Resilienz der Deal-Infrastruktur überprüfen muss.

Die praktische Folge: Ein Asset Manager, der 2026 eine Tokenisierungsplattform bewertet, fragt nicht mehr nur, ob die Plattform die Emission abwickeln kann. Die Fragen lauten heute eher: Wird diese Plattform die Vendor-Risk-Prüfung unseres größten LP überstehen, und werden Vorfallsmeldeprozesse und Ausstiegsstrategie tragen, falls unser Fondsadministrator geprüft wird?

Der regulatorische Stack, den eine Tokenisierungsplattform abdecken sollte

DORA ist nur ein Element. Eine Tokenisierungsplattform, die regulierte Asset Manager in der EU bedient, sitzt im Schnittpunkt mehrerer Frameworks, und das Fehlen auch nur eines davon ist eine strukturelle Lücke, keine fehlende Funktion.

Der vollständige operative Layer für digitale Wertpapiere unter EU-Recht setzt sich aus mehreren Bausteinen zusammen. Das eWpG (Gesetz über elektronische Wertpapiere) definiert die Rechtsform von Kryptowertpapieren und Wertpapieren des zentralen Registers und weist die Verantwortlichkeiten der Registerführer unter BaFin-Aufsicht zu. MiFID II regelt die Klassifizierung von Wertpapierdienstleistungen, Wohlverhaltenspflichten und Transaktionsmeldungen für jedes tokenisierte Instrument, das als Finanzinstrument qualifiziert. DORA adressiert operative Resilienz, Vorfallsmeldungen und Drittparteienrisiko in der Rolle der Plattform als IKT-Anbieter betroffener Finanzeinheiten. AMLD6 und das GwG regeln Geldwäscheprävention und KYC entlang der Emissions- und Transferflüsse. DSGVO behandelt den Umgang mit Investorendaten, grenzüberschreitende Transfers und das Recht auf Löschung im Spannungsfeld mit On-Chain-Identitäten. MiCA ist nur dort relevant, wo die Plattform auch Krypto-Assets außerhalb der Finanzinstrumentenkategorie handhabt; für digitale Wertpapiere unter MiFID II liegt MiCA in der Regel außerhalb des Anwendungsbereichs.

Eine Tokenisierungsplattform, die zwar "blockchain-konform" ist, aber nicht eWpG-registriert, kann in Deutschland keine rechtlich anerkannten elektronischen Wertpapiere emittieren. Eine Plattform, die MiFID-II-Finanzinstrumente ohne korrekte Klassifizierung handhabt, erfüllt die Transaktionsmeldepflichten nicht. Eine Plattform, die nicht DORA-ready ist, wird die Vendor-Diligence einer betroffenen Finanzgegenpartei nicht bestehen.

Genau aus diesem Grund unterscheidet sich ein White-Label-Infrastrukturmodell strukturell vom Selbstaufbau einzelner Tokenisierungs-Tools: Die regulatorische Architektur ist die Integration, nicht ein Add-on dazu.

Wie DORA, MiFID II und eWpG zusammenspielen

Die drei Frameworks beantworten unterschiedliche Fragen. Sie sind komplementär, nicht redundant. Die folgende Tabelle fasst zusammen, was jedes Framework abdeckt, für wen es gilt und was Asset Manager bei der Vendor-Diligence konkret abfragen sollten.

Zwei Klarstellungen zum Zusammenspiel sind dabei wichtig.

Die AIFM-Richtlinie bleibt die eigene Lizenz des Asset Managers. Keines dieser drei Frameworks ersetzt die AIFM-Richtlinie. Zulassung, Verwahrstellenarrangements, Bewertungsrichtlinien und Risikomanagement-Framework des Fondsmanagers richten sich weiterhin nach der AIFM-Richtlinie und ihren nationalen Umsetzungen. DORA, MiFID II und eWpG liegen unter dieser Lizenz: Sie regulieren die Infrastrukturschicht, nicht die Fondsschicht. Ein Asset Manager lagert seine AIFM-Pflichten nicht aus, indem er regulierte Infrastruktur nutzt; er lagert die operative und technische Resilienz der Komponenten aus, die er nach AIFM-Richtlinie ohnehin vorhalten muss.

Die MiFID-II-Auslagerungsregeln gelten weiterhin parallel zu DORA. DORA verschärft und vereinheitlicht zwar das IKT-Drittparteienrisiko, ersetzt aber die bestehenden Auslagerungsanforderungen aus MiFID II für Wertpapierfirmen nicht. In der Praxis greifen beide gleichzeitig. DORA-Anforderungen setzen typischerweise die höhere Messlatte für IKT-bezogene Vereinbarungen und werden in denselben Vendor-Vertrag integriert.

Welche Rolle ONINO als regulierte Infrastrukturschicht einnimmt

ONINO betreibt regulierte Infrastruktur für digitale Wertpapiere und absorbiert die regulatorische Schicht auf Plattformebene, anstatt sie an den Asset Manager zurückzudelegieren.

Das umfasst eine DORA-orientierte operative Resilienz mit dokumentiertem IKT-Risikomanagement-Framework, Vorfallsmeldeprozessen entsprechend den EU-Klassifikationsstandards, einem Sub-Contractor-Register, vertraglich passenden Klauseln für Gegenparteien aus dem DORA-Anwendungsbereich und Resilienztests gemäß den Anforderungen für kritische IKT-Anbieter. Die eWpG-Registerarchitektur wird über Cashlink bereitgestellt, das als Kryptowertpapierregisterführer unter BaFin-Aufsicht steht und die rechtlich anerkannte Registerschicht für elektronische Wertpapiere bereitstellt, die über ONINO-Plattformen emittiert werden. Tokenisierte Instrumente werden, sofern relevant, als MiFID-II-Finanzinstrumente klassifiziert, strukturiert und dokumentiert, mit Transaktionsmeldefähigkeit direkt im Emissions-Pipeline-Setup. Für Permissioned-Transfers auf Ethereum-kompatiblen Chains kommt ERC-3643 (T-REX) zum Einsatz, also der De-facto-Standard für identitätsgebundene Transfers, mit Whitelisting und Transferrestriktionen auf Token-Vertragsebene. KYC und Geldwäscheprävention werden entsprechend AMLD6 und GwG als Teil des Investor-Onboardings umgesetzt.

Zur institutionellen Validierung: Der ONINO-Partnerschaft mit der Volksbank, einer regulierten Genossenschaftsbank, ging mehr als ein Jahr Due Diligence voraus, das genau die Dimensionen abdeckte, die DORA jetzt sektorweit kodifiziert: operative Resilienz, regulatorische Delegation und Drittparteienrisiko. 35 Mio. Euro tokenisiertes Kapital sind über mehr als 8 Live-Plattformen auf diesem Stack verarbeitet worden.

Für Asset Manager, die eine Tokenisierungsplattform unter DORA-bewusster Diligence bewerten, bedeutet das: Die regulatorische Architektur wurde bereits von einer Gegenpartei mit Bank-Niveau-Vendor-Diligence getragen. Der Asset Manager behält den vollen AIFM-Scope und die Investorenbeziehung; ONINO trägt die operative und regulatorische Last der Infrastruktur.

Was am Modell noch in Entwicklung ist

Tokenisierung ist operativ erprobt, aber Teile der regulatorischen Landschaft entwickeln sich weiter. Diese Punkte ehrlich zu benennen, gehört zum Vertrauensaufbau institutioneller Infrastruktur.

Die regulatorischen technischen Standards (RTS) zu DORA werden 2026 weiter konkretisiert, insbesondere bei Sub-Contracting, dem Umfang bedrohungsorientierter Penetrationstests und den Kritikalitätskriterien für IKT-Drittanbieter. Vendor-Diligence-Frameworks werden enger gezogen, sobald sich diese Standards setzen. Auch die grenzüberschreitende Koordinierung verläuft uneinheitlich: Die nationalen Aufsichtsbehörden bauen ihre DORA-Aufsichtspraxis unterschiedlich schnell auf, eine EU-weit einheitliche Linie ist das erklärte Ziel, aber noch nicht die Realität.

Das Zusammenspiel zwischen AIFM-Richtlinie und DORA bei Schwellen-AIFM bleibt in der Praxis Auslegungssache. Die ESMA-Hinweise zur Anwendung von DORA auf Sub-Threshold-AIFM und kleine alternative Investmentfondsmanager werden noch ausgelegt; die meisten Marktteilnehmer arbeiten mit einer konservativen Lesart. Hinzu kommt, dass die Formate für das Sub-Contractor-Register anbieterübergreifend nicht vollständig standardisiert sind, was den Datenaustausch zwischen Vendor und Finanzeinheit manueller macht, als er sein müsste.

Keiner dieser Punkte ist ein Grund, Infrastrukturentscheidungen zu vertagen. Sie sind Argumente, sich für Infrastruktur zu entscheiden, die von Gegenparteien getragen wird, welche die regulatorische Schicht kontinuierlich nachverfolgen, statt Compliance als einmaliges Projekt zu behandeln.

Von der Regulierung zum operativen Aufsetzen

DORA, MiFID II und eWpG beschreiben gemeinsam, wie regulierte Infrastruktur für digitale Wertpapiere 2026 auszusehen hat. Die Aufgabe des Asset Managers ist nicht, jedes einzelne Framework intern abzubilden. Die Aufgabe besteht darin, sich mit Infrastruktur zu integrieren, in der die Frameworks bereits abgebildet sind. ONINO betreibt diese Infrastrukturschicht: DORA-ready, eWpG-registriert über Cashlink, MiFID-II-klassifiziert auf Instrumentenebene und validiert durch institutionelle Partnerschaften, die bankübliche Diligence auf den regulatorischen Stack legen. Der Asset Manager behält AIFM-Scope, Investorenbeziehungen und Produktstrategie; die Infrastruktur trägt darunter das operative und regulatorische Gewicht.

ONINO-Architektur für Asset Manager im Überblick →

Bereit zum Start?

ONINOs Infrastruktur übernimmt Compliance, Investor-Onboarding und Reporting vom ersten Tag an – damit Sie sich auf die Strukturierung Ihres Deals und den Aufbau Ihrer Investorenbasis konzentrieren können. Plattformen gehen in unter 24 Stunden live, ohne internen technischen Aufbau.

Demo buchen

Zusammenfassung

• DORA gilt seit Januar 2025 und betrifft Finanzeinheiten sowie deren kritische IKT-Drittanbieter, einschließlich der meisten Tokenisierungsplattformen, die mit DORA-pflichtigen Gegenparteien arbeiten.

• Asset Manager außerhalb des direkten Anwendungsbereichs spüren DORA dennoch durch Vendor-Diligence ihrer LPs, Co-Investoren oder Dienstleister, die selbst betroffen sind.

• Der vollständige regulatorische Stack einer Tokenisierungsplattform für regulierte Asset Manager in der EU umfasst DORA, MiFID II, eWpG, AMLD6 und DSGVO; jede Lücke ist strukturell, nicht funktional.

• Die AIFM-Richtlinie bleibt die eigene Lizenz des Asset Managers; DORA, MiFID II und eWpG ordnen die Infrastrukturschicht darunter, nicht die Fondsschicht darüber.

• ONINO betreibt eine DORA-konforme, eWpG-registrierte (über Cashlink) und MiFID-II-klassifizierte Infrastruktur, validiert durch die Volksbank-Partnerschaft und 35 Mio. Euro tokenisiertes Kapital über mehr als 8 Live-Plattformen.

Häufig gestellte Fragen

Gilt DORA für meinen Fonds, wenn ich Sub-Threshold-AIFM bin?

Sub-Threshold-AIFM fallen in der Regel nicht in den direkten DORA-Anwendungsbereich. DORA-getriebene Pflichten erreichen sie aber häufig indirekt über LPs, Co-Investoren oder Dienstleister, die selbst betroffen sind. In der Praxis führen 2026 die meisten Sub-Threshold-AIFM mit institutionellem Kapital ohnehin DORA-konforme Vendor-Diligence durch, weil die Pflichten der Gegenparteien faktisch denselben Standard erzwingen.

Kann ich unter DORA eine Tokenisierungsplattform außerhalb der EU nutzen?

Grundsätzlich ja, die DORA-Pflichten verschwinden dadurch aber nicht. Eine betroffene Finanzeinheit muss die Resilienz auch nicht-EU-ansässiger Anbieter prüfen, die Beziehung überwachen und den Anbieter vertraglich binden. Bestimmte kritische IKT-Anbieter aus Drittstaaten können von EU-Behörden zudem direkt unter den Aufsichtsrahmen gestellt werden. EU-ansässige, EU-regulierte Infrastruktur senkt typischerweise sowohl Diligence-Aufwand als auch laufende Reportinglast.

Was unterscheidet "DORA-compliant" von "DORA-ready"?

Es gibt kein formales DORA-Zertifizierungsschema für IKT-Drittanbieter, "DORA-compliant" ist also kein behördlich vergebener Status. "DORA-ready" beschreibt einen Anbieter, dessen operatives Resilienz-Framework, vertragliche Templates, Vorfallsmeldeprozesse und Sub-Contractor-Management mit den DORA-Anforderungen für kritische IKT-Drittanbieter abgestimmt sind. Damit kann der Anbieter die DORA-Pflichten einer betroffenen Finanzeinheit unterstützen, ohne dass diese die operative Lücke intern schließen muss.

Wie wirkt sich der DORA-Status des Registerführers auf meine Emission aus?

Wenn die tokenisierte Emission ein elektronisches Wertpapierregister nach eWpG nutzt, etwa ein Kryptowertpapierregister eines BaFin-beaufsichtigten Registerführers, ist der Registerführer selbst ein IKT-Drittanbieter in der Kette. Sein DORA-Status ist relevant, weil Registerkontinuität, Vorfallsreaktion und Ausstiegsstrategie operativ kritisch für die rechtliche Wirksamkeit der Wertpapiere sind. Asset Manager sollten Registerführer-Lizenzierung, Aufsicht und DORA-Reife als Gesamtpaket prüfen.