Endspurt Kryp­tower­te-Steu­er­trans­pa­renz-Ge­setz (KStTG)

DAC8, MiCAR und CARF – der neue Dreiklang

Die DAC8 baut auf der europäischen Kryptoregulierung auf und schließt an die Verordnung über Märkte für Kryptowerte (MiCAR) an. Gleichzeitig bezieht sich der deutsche Entwurf auf das Crypto Asset Reporting Framework (CARF) der OECD. Das CARF und die OECD-Auslegung dienen als Auslegungshilfe für die praktische Umsetzung. Der Gesetzgeber übernimmt zentrale Begriffe aus der MiCAR, dem CARF und dem automatischen Informationsaustausch (CRS), ergänzt sie aber um nationale Präzisierungen für den Vollzug. Diese Anschlussfähigkeit erleichtert die Praxis, birgt aber das Risiko divergierender Auslegungen im Binnenmarkt.

Zeitplan und Meilensteine

Deutschland muss die DAC8 bis zum 31. Dezember 2025 umsetzen. Das KStTG soll am 1. Januar 2026 in Kraft treten. Die Finanzverwaltung erhält strukturierten Zugang zu Informationen über Einkünfte aus Kryptowerte-Transaktionen. Das BZSt bündelt Meldungen und koordiniert den internationalen Austausch, was die Auswertung beschleunigt und Prüfungen zielgenauer macht.

Wer betroffen ist: Anbieter, Dienstleister, Betreiber

Anbieter bilden den persönlichen Anwendungsbereich: Hierunter fallen Kryptowerte-Dienstleister und Kryptowerte-Betreiber, die Tauschgeschäfte für oder im Namen zu meldender Nutzer bewirken. Pflichten treffen Anbieter mit Sitz oder Geschäftstätigkeit in Deutschland; ausgenommen sind unter anderem börsennotierte Gesellschaften, staatliche Rechtsträger, internationale Organisationen und Zentralbanken.

Kryptowerte-Dienstleister sind juristische Personen oder Unternehmen, die eine oder mehrere Kryptowerte-Dienstleistungen gewerblich erbringen und hierfür eine Erlaubnis nach Artikel 59 MiCAR besitzen. Kryptowerte-Betreiber erbringen ähnliche Dienstleistungen, fallen aber nicht unter die MiCAR-Definition und besitzen keine MiCAR-Lizenz (Betreiber müssen sich fristgerecht beim BZSt registrieren).

Damit erfasst das KStTG ausdrücklich auch Staking und Lending, obwohl MiCAR diese aufsichtsrechtlich nicht konkret definiert; das BMF will diese Begriffe in Verwaltungsvorschriften präzisieren.

Was zu melden ist: Leistungen, Nutzer, Transaktionen

Kryptowerte-Dienstleistungen umfassen die MiCAR-Leistungen sowie Staking und Lending. Dazu zählen insbesondere Verwahrung, Handelsplattformbetrieb, Tausch, Ausführung von Aufträgen, Platzierung, Annahme und Übermittlung von Aufträgen, Beratung, Portfolioverwaltung und Transferleistungen.

Der Anwendungsbereich öffnet sich nur, wenn für oder im Namen eines zu meldenden Nutzers Tauschgeschäfte bewirkt werden. Zu meldende Transaktionen umfassen Tauschgeschäfte gegen Fiat oder andere Kryptowerte sowie bestimmte Übertragungen.

Ein Tauschgeschäft liegt vor beim Tausch zwischen Kryptowerten und Fiat oder zwischen zu meldenden Kryptowertarten; erfasst sind Bewegungen zwischen Adressen oder Konten im Gegenwert von Fiat oder anderen Kryptowerten.

Sorgfaltspflichten: Selbstauskunft, Plausibilisierung, Durchsetzung

Anbieter unterliegen den Pflichten, wenn sie die Anbieter-Eigenschaft erfüllen und in Deutschland ansässig sind oder deren Herkunftsmitgliedstaat nach MiCAR Deutschland ist; für Betreiber gilt die Inlandsansässigkeit. Anbieter behandeln Nutzer ab Identifizierung als zu meldend.

Für Bestandskunden mit Geschäftsbeziehung bis zum 31. Dezember 2025 müssen Anbieter erst zum 1. Januar 2027 eine gültige Selbstauskunft einholen und deren Plausibilität bestätigen.

Gültige Selbstauskünfte enthalten Firma, Anschrift, Ansässigkeitsstaaten, Steueridentifikationsnummern, Angaben zu aktiven Rechtsträgern oder ausgenommenen Personen sowie Funktionen beherrschender Personen; erforderlichenfalls sind Selbstauskünfte beherrschender Personen beizubringen.

Die Durchsetzung erfolgt dreistufig: Erinnerung, Mahnung, Sperre meldepflichtiger Transaktionen nach sechzig bis neunzig Tagen, wenn die Selbstauskunft ausbleibt.

Meldepflichten und Verfahren

Anbieter melden jährlich spätestens zum 31. Juli für das vorangegangene Kalenderjahr an das Bundeszentralamt für Steuern. Zu melden sind die Stammdaten und detaillierte Transaktionsangaben je zu meldendem Nutzer und je beherrschender Person. Die Übermittlung erfolgt elektronisch nach amtlich vorgeschriebenem Datensatz über amtliche Schnittstellen.

Sanktionsregime und Rechtsdurchsetzung

Ordnungswidrigkeiten umfassen Verstöße gegen Selbstauskunft, Plausibilisierung, Feststellung beherrschender Personen, Durchsetzungspflichten einschließlich Sperre, Meldepflichten und Aufzeichnungspflichten sowie die Registrierung. Die Bußgeldobergrenze liegt bei EUR 50.000.

To-do-Liste für Unternehmer, Finanzleiter, Steuerverantwortliche

• Governance festlegen: Verantwortlichkeiten, Eskalationen, Vier-Augen-Prinzip.
• Datenhaushalt konsolidieren: Stammdaten, Transaktionsdaten, Mapping auf Meldeformate, Nachvollziehbarkeit der Verarbeitung.
• AML/KYC-Brücken nutzen: KYC-Daten für Selbstauskunft und Plausibilisierung produktiv anbinden.
• Bestandskunden bis zum 1. Januar 2027: Selbstauskunft anfordern, Erinnerung und Mahnung terminieren, Sperrlogik konfigurieren.
• IT-Schnittstellen aufsetzen: Datensatz nach amtlicher Vorgabe, sichere Übertragung, Fehlermanagement, Protokollierung.
• Registrierung prüfen: Betreiber ohne MiCAR-Lizenz rechtzeitig beim BZSt registrieren.
• Bußgeldrisiken steuern: Kontrollrahmen für Kernpflichten und Aufzeichnungen implementieren.

Fazit

Das KStTG bringt ein kohärentes, praxisnahes und europäisch anschlussfähiges Regelwerk. Mit Geltung ab dem 1. Januar 2026 zählt jeder Monat der Vorbereitung, um die spätere Meldung effizient umzusetzen. Wer Governance, Daten, Prozesse und Schnittstellen jetzt aufsetzt, minimiert Sanktionsrisiken und sichert Compliance vom Start weg.