Kryptowerte-Steuertransparenz-Gesetz: Steuertransparenz wird zur operativen Compliance-Pflicht im Kryptogeschäft
Mit dem Kryptowerte-Steuertransparenz-Gesetz (KStTG) ist ein besonderes Sorgfaltspflicht-Regime im Geschäft in Kryptowerten in Kraft getreten. Der Beitrag stellt die wesentlichen Änderungen vor.
Mit dem Kryptowerte-Steuertransparenz-Gesetz (KStTG) ist ein besonderes Sorgfaltspflicht-Regime im Geschäft in Kryptowerten in Kraft getreten. Inhaltlich setzt es die Richtlinie (EU) 2023/2226 „Directive on Administrative Cooperation DAC8“ und den OECD-Standard Crypto-Asset Reporting Framework in deutsches Recht um. Es richtet sich insbesondere an „Kryptowerte-Betreiber“. Der Begriff umfasst dabei nicht nur die in der Verordnung (EU) 2023/1114 MiCAR angelegten Dienstleistungen, sondern nach § 1 Abs. 11 KStTG ausdrücklich auch Staking und Lending in Kryptowerten.
In der Pflicht sind:
- Anbieter von Kryptowerte-Dienstleistungen im Sinne der MiCAR,
- Unternehmen die Staking und Lending in Kryptowerten als Dienstleistung anbieten.
Warum das KStTG Unternehmen jetzt betrifft
Mit dem Kryptowerte-Steuertransparenz-Gesetz (KStTG) ist die steuerliche Erfassung von Kryptotransaktionen in Deutschland in eine neue Phase eingetreten. Das Gesetz setzt die DAC8-Richtlinie der EU um und ist Teil eines internationalen Transparenzrahmens, der auf dem OECD Crypto-Asset Reporting Framework (CARF) aufsetzt. Nach der Einordnung des BMF geht es nicht um neue Besteuerungstatbestände, sondern um verfahrensrechtliche Transparenz: Steuerbehörden sollen bessere Informationen über Transaktionen mit Kryptowerten und bestimmten digitalen Finanzprodukten erhalten.
Für Unternehmen liegt die Relevanz nicht nur bei klassischen Kryptobörsen. Betroffen sein können auch Geschäftsmodelle, die Wallet-, Tausch-, Verwahr-, Transfer-, Staking- oder Lending-Funktionen anbieten oder in Plattform-, Payment- oder Treasury-Strukturen Kryptowerte einbinden. Der praktische Kern lautet: Steuertransparenz wird nicht erst im Tax Reporting relevant, sondern bereits bei Onboarding, Kundenidentifikation, Datenarchitektur, Vertragsgestaltung und Governance.
Rechtlicher Ausgangspunkt: DAC8, KStTG und Meldearchitektur
DAC8 erweitert den automatischen Informationsaustausch zwischen EU-Mitgliedstaaten auf Kryptowerte. Nach Angaben der Europäischen Kommission sollen Anbieter ab dem 1. Januar 2026 Daten zu meldepflichtigen Kryptotransaktionen erfassen; der erste Austausch für das Berichtsjahr 2026 erfolgt im Jahr 2027. Deutschland hat diese Vorgaben durch das KStTG umgesetzt. Das BZSt weist das Gesetz als Umsetzung der Richtlinie (EU) 2023/2226 aus; die Pflichten gelten erstmals für das Kalenderjahr 2026.
Zentral ist die jährliche Meldung an das Bundeszentralamt für Steuern. Anbieter müssen für zu meldende Nutzer und beherrschende Personen spätestens bis zum 31. Juli für den jeweils vorangegangenen Meldezeitraum die gesetzlich bestimmten Informationen übermitteln. Unterbliebene Meldungen sind nachzuholen, fehlerhafte Meldungen zu korrigieren. Die Meldung erfolgt elektronisch. Mit BMF-Schreiben vom 14. Januar 2026 wurde der amtlich vorgeschriebene Datensatz gemäß § 12 Satz 2 KStTG bekanntgegeben.
Inhaltlich sind die Meldepflichten granular. Zu melden sind nicht nur Anbieter- und Nutzerinformationen, sondern transaktionsbezogene Angaben je Kryptowert, etwa aggregierte Bruttobeträge bei Erwerb oder Verkauf gegen Fiat-Währung, beizulegende Marktwerte bei Tauschgeschäften, Zahl und Einheiten der Transaktionen sowie bestimmte Übertragungen an unbekannte Kryptowert-Adressen. Damit wird aus steuerlicher Transparenz ein Datenqualitäts- und Prozessrisiko.
Praktische Tragweite: mehr als ein Tax-Reporting-Projekt
Das KStTG ist kein bloßes Meldeformular. Es verlangt eine belastbare Compliance-Kette vom Kundenkontakt bis zur elektronischen Übermittlung. Besonders relevant sind drei Punkte.
- Sorgfaltspflichten und Nutzeridentifikation
- Datenmodell und Schnittstellenfähigkeit
- Aufzeichnungs- und Nachweispflichten
Anbieter müssen meldepflichtige Nutzer und gegebenenfalls beherrschende Personen identifizieren. Selbstauskünfte sind einzuholen und auf Plausibilität zu prüfen. Bei Rechtsträgern sind Strukturen und beherrschende Personen einzubeziehen. Kunden sind nach § 8 Abs 1 KStTG gesetzlich zur Mitwirkung verpflichtet. Kommt der Kunde spätestens nach 90 Tagen nach Aufforderung der Anforderung nicht nach, ist die Geschäftsbeziehung nach § 8 Abs. 3 KStTG zu suspendieren.
Die Anforderungen überschneiden sich mit AML/KYC-Prozessen, sind aber nicht deckungsgleich. Wer KStTG-Pflichten lediglich an bestehende Geldwäscheprozesse „anhängt“, riskiert Lücken bei Steueransässigkeit, Dokumentation und Datenfeldern.
Die Meldedaten müssen aus operativen Systemen extrahiert, konsolidiert und im CARF-XML-Schema verarbeitet werden. Praktisch bedeutet das: Tax, Legal, Compliance, IT und Produktverantwortliche müssen frühzeitig klären, welche Systeme die relevanten Informationen führen, wo Daten fehlen und wie Korrekturmeldungen technisch abgebildet werden.
Anbieter müssen nach § 14 KStTG Prozesse, Zuständigkeiten, Fristen, Selbstauskünfte, Plausibilitätsprüfungen, Meldedaten und Maßnahmen zur Durchsetzung von Mitwirkungspflichten dokumentieren. Die Aufzeichnungen sind zehn Jahre aufzubewahren; bestimmte Daten sind danach zu löschen (vgl. § 14 Abs. 2 KStTG). Damit entsteht ein Spannungsfeld zwischen Nachweisfähigkeit, Datenschutz und Löschkonzept.
Risiken bei unzureichender Umsetzung
Die Bußgeldrisiken sind nicht existenzbedrohend, aber reputations- und aufsichtsrechtlich relevant. Vorsätzliche oder leichtfertige Verstöße gegen zentrale Sorgfalts-, Melde-, Nachmelde-, Korrektur- und Registrierungspflichten können mit Geldbußen bis zu EUR 50.000,00 geahndet werden; Verstöße gegen bestimmte Aufzeichnungs- und Aufbewahrungspflichten mit bis zu EUR 10.000,00. Zudem informiert das BZSt die BaFin über wiederholte Geldbußen gegen Kryptowerte-Dienstleister.
Aus Unternehmenssicht schwerer wiegt häufig das Sekundärrisiko: fehlerhafte Kundenkommunikation, unklare Verantwortlichkeiten, inkonsistente Daten zwischen AML-, Steuer- und Produktprozessen oder verspätete technische Umsetzung. Auch strategisch ist das relevant.
Konkreter Handlungsbedarf
Unternehmen sollten kurzfristig ein strukturiertes KStTG-Readiness-Projekt aufsetzen. Prioritär sind:
Daten-Gap-Analyse: Welche gesetzlich geforderten Nutzer-, Kontrollpersonen- und Transaktionsdaten liegen bereits vor, welche fehlen?
Governance: Wer verantwortet Sorgfaltspflichten, Meldefristen, Korrekturen, Nutzerinformation und Aufbewahrung?
IT-Umsetzung: Kann das Unternehmen CARF-XML, DIP-Schnittstelle oder BZSt-Upload rechtzeitig abbilden?Kontrollrahmen: Gibt es Plausibilitätsprüfungen, Vier-Augen-Kontrollen, Eskalationen und Audit Trails?
Datenschutz und Kommunikation: Werden Nutzer rechtzeitig über die Datenerhebung und Meldung informiert?
Typische Umsetzungsfehler sind eine zu enge Betroffenheitsprüfung, die Gleichsetzung von AML-KYC mit KStTG-Sorgfaltspflichten, fehlende Verantwortung zwischen Tax und Compliance sowie die Unterschätzung der technischen Meldeanforderungen.
KStTG als Governance-Test für Krypto-Geschäftsmodelle
Das KStTG schafft keine neue Kryptosteuer. Es verändert aber die Durchsetzbarkeit bestehender steuerlicher Pflichten erheblich, weil Finanzbehörden künftig systematisch verwertbare Transaktionsdaten erhalten. Für Anbieter und kryptonahe Unternehmen ist das Gesetz deshalb ein Governance-Test: Wer Kundendaten, Steueransässigkeit, Transaktionslogik und Reporting nicht konsistent beherrscht, läuft in Melde-, Bußgeld- und Reputationsrisiken.
Die wichtigsten Takeaways für Entscheidungsträger: KStTG-Compliance ist interdisziplinär, beginnt im Onboarding und endet nicht mit der Meldung. Die erste Meldeperiode läuft bereits seit 2026; der 31. Juli 2027 ist kein reiner Tax-Termin, sondern der Endpunkt eines jetzt aufzubauenden Kontroll- und Datenprozesses.