E-Geld-Institut gründen (Türkei) – Lizenz & Compliance Leitfaden 2025/2026

Dieser Leitfaden beschreibt die BDDK-Anforderungen für E-Geld-Institute (EMI): Kapital, Compliance (KYC/AML), PCI-DSS/3DS, sichere Architektur und Antragspaket. Hub & Spoke-Struktur mit Verweisen auf Long-Tail-Themen.

Letztes Update

• Veröffentlichung: 2025-02-07
• Aktualisiert: 2025-12-15 (Regulatorik/Kapital geprüft)

1) Rechtlicher und organisatorischer Rahmen

• Aufsicht: BDDK (Gesetz 6493 + Sekundärregeln)
• Gesellschaft: A.Ş. in der Türkei
• Governance: Interne Kontrolle, Risiko, Revision, Compliance
• Datenschutz: KVKK-Konformität, Aufbewahrung/Löschung, Anonymisierung
• Reporting: Periodische BDDK-Meldungen, IT-Audits, unabhängige Prüfung

2) Kapital und Finanzen

• Höhere Kapitalanforderung für EMIs (aktuelle Werte in BDDK-Mitteilungen prüfen; z. B. 10 Mio. TL+).
• Eigenmittel-/Liquiditätsquoten; Rückstellungen und Treasury-Richtlinien.
• 3–5-Jahres-Projektionen: Nutzer, Volumen, OPEX/CAPEX, Umsatzmodell.

3) Architektur und Sicherheit

• PCI-DSS, 3DS, Tokenisierung; Segmentierung sensibler Daten.
• DDoS/WAF, IPS/IDS, SIEM, Backups, DR/BCP.
• Zwei Rechenzentren (HA), RPO/RTO-Ziele; Observability/Alerting.
• Secure SDLC: SAST/DAST, Code-Review, OWASP.
• Unveränderliche Logs, Zugriffs-Matrix, Least-Privilege.

4) Compliance und Betrieb

• KYC/AML: e-ID/Face-Match, Watchlists, STR-Prozess, Aufbewahrung.
• Support-SLAs, Dispute/Chargeback-Prozesse, Call-Recording.
• Business Continuity: Geübte BCP/DRP, regelmäßige Tests.

5) Antragspaket (Kern)

• Satzung, Gesellschafterstruktur, CVs von Vorstand/Management.
• Richtlinien: Kontrolle/Risiko/Compliance/ISMS/BCP/DRP/Sicherheit.
• Technische Architektur: Netzdiagramme, Zugriffs-Matrix, Redundanz/Sicherheitskontrollen.
• Business-Plan + Finanzpläne; Kapitalnachweis; Auditplan.

6) Beispiel-Zeitplan

1. Vorbereitung (Policies, Architektur, Unterlagen): 6–10 Wochen
2. Einreichung + Vorgespräche: 2–4 Wochen
3. BDDK-Prüfung & Rückfragen: 8–16 Wochen
4. Lizenz + Go-Live: 4–8 Monate gesamt (Reifegradabhängig)

7) Checkliste

• [ ] A.Ş. gegründet, Kapital eingezahlt
• [ ] Control/Risk/Compliance/ISMS/BCP/DRP-Richtlinien fertig
• [ ] PCI-DSS/3DS-Design vorhanden
• [ ] KYC/AML-Flows definiert (e-ID, Face-Match, Watchlist)
• [ ] DR/BCP getestet, Backups verifiziert
• [ ] Business-Plan + Projektionen fertig
• [ ] Antragspaket (Sicherheit/Architektur/Prozesse) vollständig

8) Hub-Spoke und Links

• Hub: Dieser Leitfaden.
• Spokes: Kapital, PCI-DSS/3DS, KYC/AML, DR/BCP, Gebührenmodell, Reporting, Fraud-Kontrollen.
• Verwandte Services: /de/fintech, /de/e-commerce, /de/seo-dienste, /de/blockchain.
• Verwandte Blogposts:
  • Zahlungslizenz in der Türkei
  • Lizenzierte Zahlungs- und E-Geld-Institute
  • Was ist E-Geld?
  • Sichere Krypto-Börse erkennen

FAQ

Wie hoch ist das Mindestkapital für ein EMI?

BDDK legt eine höhere Schwelle als bei Zahlungsinstituten fest; aktuelle Werte in den BDDK-Mitteilungen prüfen.

Welche technischen Unterlagen sind Pflicht?

Netz-/Systemarchitektur, Zugriffs-Matrix, HA/DR-Design, Sicherheitskontrollen (WAF/DDoS/IPS), PCI-DSS/3DS-Design, Logging/Audit-Richtlinien.

Welche KYC/AML-Kontrollen werden erwartet?

e-ID/Face-Match, Watchlist-Screening, STR-Szenarien, Aufbewahrung nach Datenschutz.

Wie lange dauert der Prozess?

In der Regel 4–8 Monate, abhängig von Vollständigkeit des Dossiers und technischer Reife.

Ist PCI-DSS erforderlich?

Bei Verarbeitung/Transport von Kartendaten ja; auch mit Tokenisierung werden Segmentierung und Kontrollen bewertet.

Warum sind DR/BCP wichtig?

Regulatorische Erwartungen und Uptime-Ziele verlangen nach belegbaren RPO/RTO, Redundanz und geübten Tests.

Fazit

EMI-Lizenzierung verlangt robuste Compliance, sichere Architektur, belastbare Operations und solide Finanzplanung. Ein Hub-Spoke-Content-Setup plus vollständiges technisches Dossier beschleunigt den Prozess.

Professionelle Unterstützung:

• 📧 iletisim@cesayazilim.com
• 📞 +90 850 225 53 34
• 💬 WhatsApp: EMI License Desk