Seit der Gründung vor elf Jahren ist das Kryptounternehmen mit dem Versprechen in der Finanzwelt aufgestiegen, dynamischer als herkömmliche Banken zu sein. Dank strenger EU-Regulierung sei man zudem sicherer und seriöser für Privatkunden als vergleichbare Konkurrenzfirmen in den USA. Im November 2022 erhielt Bitpanda eine Lizenz der deutschen Bundesanstalt für Finanzdienstleistungsaufsicht (Bafin), um in Deutschland Kryptowährungen verwahren und handeln zu dürfen. Bitpanda sei „eine der sichersten und am stärksten regulierten Plattformen in Europa“, lobte sich das Unternehmen damals selbst. Und das in einer Branche, „in der viele unregulierte Player ihr Unwesen treiben“.
Doch interne Dokumente von Bitpanda, die Süddeutsche Zeitung, NDR, WDR und das österreichische Magazin Profil einsehen konnten, zeichnen ein diffuseres Bild. Die Unterlagen beziehen sich auf den deutschen Ableger des Kryptounternehmens, die Bitpanda Asset Management GmbH. Diese Firma ist mit der deutschen Bafin-Lizenz ausgestattet, auf die das Unternehmen so stolz ist. Die Unterlagen lassen den Schluss zu, dass dort Probleme in den Bereichen Risikomanagement, Compliance und IT-Sicherheit bestanden. Bereiche, für die es in Deutschland und Europa strikte Vorgaben gibt. Aufsichtsbehörden wie die deutsche Bafin kontrollieren, dass sich Finanzinstitute daran halten.
Den Unterlagen zufolge ordnete die Bafin im Jahr 2023 eine Sonderprüfung an. Solche Kontrollen sind keine Seltenheit. Für die betroffenen Finanzinstitute bleiben sie dennoch unangenehm – auch, weil sie empfindliche Strafzahlungen nach sich ziehen können.
„Diese Feststellungen sind gravierend“
Der schriftliche Bericht zu dieser Prüfung ist auf den 4. März 2024 datiert. Darin attestierte die Finanzaufsicht dem deutschen Bitpanda-Ableger zahlreiche Mängel: fünf in der höchsten Kategorie „schwerwiegend“ (F4), daneben vier weitere „gewichtige“ Verstöße (F3). Die Bafin kritisierte unter anderem, dass die Auslagerungssteuerung von Bitpanda nicht den gesetzlichen Vorgaben entspreche. Damit sind jene Aufgaben gemeint, die externe Dienstleister für ein Finanzinstitut übernehmen, etwa im Bereich IT oder Zahlungsabwicklung. Wenn Finanzdienstleister solche Prozesse auslagern, müssen sie auch kontrollieren, ob ihre Dienstleister die gesetzlichen Vorgaben einhalten.
Da die Bitpanda-Tochter „wesentliche Bestandteile des Geschäftsmodells wie die Kryptoverwahrung und den IT-Betrieb“ auf ihre Muttergesellschaft in Österreich ausgelagert habe, sei ein ordnungsgemäßes Management in diesem Bereich „von zentraler Bedeutung“, mahnte die Aufsicht in einem der Schreiben, das die SZ einsehen konnte. Insgesamt listete die Bafin in ihrem Bericht 16 Kritikpunkte auf. Weitere schwere Mängel fand die Aufsicht demnach in den Bereichen IT und Informationssicherheit.
„Diese Feststellungen sind gravierend“, sagt Rechtswissenschaftler Nikolai Badenhoop, Leiter einer Forschungsgruppe am Frankfurter Leibniz-Institut für Finanzmarktforschung. Denn die genannten Schwachstellen beträfen die Kernaufgaben eines Finanzinstituts, „insbesondere die eines Kryptounternehmens“.
Sonderprüfungen sind laut Bitpanda in der Anfangszeit normal
Bitpanda bestätigt auf Anfrage die Sonderprüfung der Bafin. Eine solche sei im ersten Jahr nach Erhalt einer Konzession „üblich“. Im Übrigen habe man alle regelmäßigen behördlichen Prüfungen „stets ohne Einschränkungen“ erfüllt. Es sei normal, dass die Behörden bei ihren Untersuchungen Feststellungen machten, die die betroffenen Unternehmen dann „implementierten“. Will sagen: Die Firmen müssen die genannten Missstände dann rasch beseitigen.
Zumindest auf dem Papier hat Bitpanda das auch schnell getan: Neun Monate nach Erhalt des Prüfberichts, im Dezember 2024, gab das Unternehmen gegenüber der Bafin an, zwei Drittel der Mängel behoben zu haben. Die Finanzaufsicht würdigte in einem Schreiben, dass Bitpanda „die Handlungsnotwendigkeit erkannt“ habe und die Mängelbeseitigung „bereits weit fortgeschritten“ sei.
Die zuständige Prüferin der Bafin lobte die „Bemühungen“ von Bitpanda und sprach deshalb keine Verwarnung, sondern nur eine Belehrung aus. In ihren Jahresabschluss 2024 schrieb die Bitpanda-Tochter nachträglich, dass die in der Sonderprüfung festgestellten Mängel in den Bereichen Risiko, IT und Outsourcing zum 31. März 2025 „vollständig behoben“ werden konnten.
Etwa zu der Zeit, als die Bafin die Belehrung an die Tochterfirma schickte, sicherte sich Bitpanda eine neue Handelserlaubnis für EU-weite Geschäfte mit Bitcoin und anderen Kryptowährungen. Überwiegend wurde dabei die bisherige, nationale Zulassung in ein neues, europäisches System überführt. Lukas Enzersdorfer-Konrad, damals stellvertretender Bitpanda-CEO und einer der Geschäftsführer der deutschen Tochter, schwärmte damals: „Dieser Erfolg ist das Ergebnis von zehn Jahren konsequenter Arbeit im Bereich Compliance und Regulierung.“
Die Unterlagen, die die SZ einsehen konnte, erwecken den Eindruck, dass es bei der deutschen Tochter auch intern Konflikte wegen potenzieller regulatorischer Mängel gab. Demnach soll es ein Treffen von Geschäftsführer Enzersdorfer-Konrad und anderen Verantwortlichen aus der Führungsebene mit der unternehmensinternen Prüfabteilung gegeben haben, bei dem die internen Kontrolleure deutliche Kritik an der aus ihrer Sicht mangelhaften Zusammenarbeit mit anderen Abteilungen der Firma geäußert haben.
Die SZ hatte Einsicht in die englischsprachige Präsentation aus diesem Treffen. Darin heißt es: „Es besteht ein erheblicher Mangel an Wissen und Fachkompetenz in den Funktionen der ersten und zweiten Linie.“
Was nach Militärsprech klingt, beschreibt im Risikomanagement von Banken ein Modell aus drei sogenannten „Verteidigungslinien“, mit denen sich ein Finanzinstitut gegen Risiken absichert. Die erste Linie umfasst Fachbereiche wie IT und Vertrieb, zur zweiten Linie gehören Compliance und Informationssicherheit, die dritte Linie ist die interne Revision.
Wurden wichtige Dokumente mit Chat-GPT erstellt?
Die zweite Linie, so die Kritik der internen Auditoren, sei „unfähig“, die Fachabteilungen zu beraten und zu schulen, verweigere zudem die Zusammenarbeit mit der Revisionsabteilung. Den Teams mangele es an technischer Expertise. Da es zudem keine ausreichende Dokumentation gebe, sei das Unternehmen „nicht prüfbar“ – was offenbar heißt, die interne Revision könne nicht prüfen, ob Mängel korrekt behoben wurden. Alle internen Prüfer und auch der externe Wirtschaftsprüfer KPMG hätten festgestellt, dass das Unternehmen deshalb „nicht bereit für Audits“ sei. Weiter heißt es in den Präsentationsfolien: „Es scheint so, als ob alle Dokumente mit ChatGPT erstellt wären, ohne eine qualitative Überprüfung und ohne Bezug zum tatsächlichen Bitpanda-Prozess.“ Auch dieser Kritikpunkt bezieht sich offenbar auf die „zweite Verteidigungslinie“.
Die internen Prüfer warnten außerdem vor „fortlaufenden Verstößen gegen die aufsichtsrechtlichen Anforderungen“. Es bestehe ein konkretes Risiko, dass die Aufsicht einen Sonderbeauftragten bestelle. Einen Sonderbeauftragten entsendet die Aufsicht tatsächlich nur, wenn ihre Prüfer mit einem Institut die Geduld verlieren – ein Schritt, der stets öffentlich gemacht wird und daher auch die Reputation beschädigen kann. Zuletzt traf dies einige Fintechs wie N26 und Unzer, aber auch die Deutsche Bank.
Rechtsexperte Badenhoop vom Leibniz-Institut für Finanzmarktforschung hat sich die Präsentationsfolien der internen Prüfer angeschaut. „Falls das alles zutreffen sollte, wäre das sehr bedenklich“, sagt er. Letzten Endes könne hier die Zuverlässigkeit und fachliche Eignung der Geschäftsleiter zur Diskussion stehen, sagt er, „Fit and Proper“ nennt sich das im Fachjargon.
Mindestens eine Person, die damals bei Bitpanda arbeitete, hatte die Kritik der internen Kontrolleure im vergangenen Jahr auch der Hinweisgeberstelle der Bafin gemeldet. Die Finanzaufsicht wollte sich auf SZ-Anfrage nicht dazu äußern.
Das Unternehmen habe deutsche Regularien eingehalten
Bitpanda betont auf Anfrage, sich stets an die deutschen Vorgaben zu halten, die die strengsten in Europa seien und die sich in den vergangenen Jahren weiter verschärft hätten. Erst Anfang 2025 seien nochmals „erhebliche regulatorische Veränderungen hinzugekommen“. Das Argument will Nikolai Badenhoop nicht gelten lassen: „Was die Bafin bemängelt hat und weiterhin untersucht, gilt ja nicht erst seit Anfang 2025.“ Es gehe vielmehr um Kernfragen, zu denen es schon lange geltende Gesetze gebe und die „in jedem aufsichtsrechtlichen Kontext relevant“ seien.
Auch der externe Wirtschaftsprüfer KPMG Österreich soll in seiner regulären Jahresprüfung 2024 „unangemessen privilegierte“ Zugriffsrechte auf IT-Systeme und fehlende Dokumentationen moniert haben. So steht es in einer internen Notiz von Bitpanda zum Prüfbericht. Zwei der Gesellschafter und ein Vorstandsmitglied von Bitpanda hätten demnach Zugriffsrechte auf Systeme gehabt, die sie nicht hätten haben sollen.
Die Zugriffe seien den Personen im ersten Quartal 2025 entzogen worden. Hinweise auf eine missbräuchliche Nutzung habe es laut der Notiz nicht gegeben. KPMG will sich auf Anfrage nicht dazu äußern. Bitpanda betont, man habe „stets einen uneingeschränkten Bestätigungsvermerk“ von KPMG erhalten.
Was passiert, wenn Regulierung ausbleibt, zeigte zuletzt der spektakuläre Crash von FTX: Die Börse mit Sitz auf den Bahamas war bis zum November 2022 einer der weltweit größten Handelsplätze für Kryptogeld. Nach Enthüllungen über zweckentfremdete Kundengelder und riskante Geschäfte schlitterte das Unternehmen innerhalb weniger Tage in die Insolvenz; Millionen Anleger verloren ihr Geld. Gründer Sam Bankman-Fried wurde später wegen Betrugs zu 25 Jahren Haft verurteilt.
Ein Extremfall, der mit den festgestellten Mängeln bei Bitpanda in keiner Weise vergleichbar ist. Es gibt bei Bitpanda keine Hinweise auf Betrug. Doch der Fall FTX macht deutlich, warum deutsche Aufsichtsbehörden gerade bei Krypto-Unternehmen genau hinschauen.
Mitgründer Eric Demuth hat sich vor zwei Monaten aus der Geschäftsführung zurückgezogen und kontrolliert sein Unternehmen weiter als Verwaltungsratschef. Seitdem ist Lukas Enzersdorfer-Konrad alleiniger CEO der Firma. Doch in der Öffentlichkeit und in den sozialen Medien ist Demuth wesentlich präsenter, er bleibt das Gesicht von Bitpanda. Vielleicht bleibt ihm nun auch mehr Zeit für sein anderes Projekt: den Podcast „Beyond Business“, den er seit einem knappen Jahr mit seinem Kumpel Christian Wolf hostet. Wolf ist ebenfalls Multimillionär; er hat als Fitness-Influencer die Nahrungsmittelergänzungsmarke More Nutrition aufgebaut. Die beiden Männer reden sehr gerne über Geld, und auch darüber, wie man es anlegen sollte.
Im März 2025, als die Mängel bei der Bitpanda-Tochter angeblich schon quasi behoben waren, sagte Demuth in einer Folge, dass Finanzen „nicht trocken“ sein dürften, weil sich die Leute sonst nicht damit beschäftigten. Krypto hingegen mache diese Sache „ganz geil“: „Man nimmt den Finanzmarkt und packt das in so ein bisschen Entertainment. Da ist ja immer was los.“ Damit dürfte er recht behalten.
Mitarbeit: Petra Blum, Catharina Felke, Stefan Melichar
Im November vergangenen Jahres hat die SZ gemeinsam mit NDR, WDR und internationalen Medienpartnern wie dem International Consortium of Investigative Journalists (ICIJ) zu Krypto-Unternehmen recherchiert. Die Recherchen unter dem Projektnamen „The Coin Laundry“ beleuchteten, wie die organisierte Finanzkriminalität Kryptobörsen nutzt, um im großen Stil Gelder zu waschen.