powered by Powered by nwb

Top Themen

Teilen:
Warum § 13 KStTG mehr als eine angepasste Datenschutzerklärung verlangt

DAC 8 ist da, und niemand sagt es den Nutzenden

18.05.26
|
|
Lesedauer: 4 Minuten 38 Sekunden
Nahaufnahme mehrerer glänzender Kryptowährungsmünzen in Blau- und Goldtönen Bild: @Avi Rozen via canva.com

Ein Beitrag von Gregor Danielmeyer

Ab dem Meldezeitraum 2026 melden Kryptowerte-Dienstleister die Transaktionen ihrer steuerlich relevanten Nutzenden an das Bundeszentralamt für Steuern. Ein Detail bleibt dabei unter dem Radar: § 13 KStTG verpflichtet die Anbieter, ihre Nutzenden vor der Meldung zu informieren, und zwar konkreter, als viele meinen. Eine Analyse, warum eine angepasste Datenschutzerklärung nicht reicht und warum Anbieter über das Pflichtmaß hinausgehen sollten.

Gregor Danielmeyer

Gregor Danielmeyer

Diplom-Finanzwirt und Betriebsprüfer
Worum es geht

Mit dem Kryptowerte-Steuertransparenzgesetz, kurz KStTG, in Kraft seit dem 24. Dezember 2025, setzt Deutschland die EU-Richtlinie DAC 8 und das OECD Crypto-Asset Reporting Framework um. Erstmaliger Meldezeitraum ist 2026, die erste Meldung an das BZSt erfolgt zum 31. Juli 2027.

Was gemeldet wird, regelt § 11 KStTG umfassend. Erfasst sind Identitätsdaten, die steuerliche Ansässigkeit, die Steueridentifikationsnummer, der Geburtsort sowie je Kryptowertart aggregierte Transaktionsdaten. Bruttobeträge, Anzahl der Einheiten, Anzahl der Transaktionen, beizulegender Marktwert. Aufgeschlüsselt nach Käufen, Verkäufen, Tauschvorgängen, Übertragungen und Massenzahlungstransaktionen. Eine erhebliche Datenmenge je Nutzer:in.

Genau hier setzt § 13 KStTG an.

Der Wortlaut von § 13 KStTG

Anbieter haben jedem zu meldenden Nutzenden vor der erstmaligen Meldung mitzuteilen, dass nach diesem Gesetz Informationen für Zwecke der Durchführung des Besteuerungsverfahrens erhoben und dem Bundeszentralamt für Steuern zur Weiterleitung gemeldet werden. Die Mitteilung hat alle Informationen zu enthalten, auf die der zu meldende Nutzende seitens des Datenverantwortlichen Anspruch hat, und so rechtzeitig zu erfolgen, dass er seine Rechte wahrnehmen kann.

Der Wortlaut wirkt auf den ersten Blick wie eine Wiederholung von Art. 13 DSGVO. Genau diese Lesart ist verbreitet, und genau diese Lesart greift zu kurz.

Warum die Minimalauslegung nicht überzeugt
Richtlinienkonforme Auslegung: Art. 8ad Abs. 11 DAC 8

§ 13 KStTG ist eine Eins-zu-eins-Umsetzung von Art. 8ad Abs. 11 der Richtlinie 2011/16/EU in der Fassung der DAC 8. Die Richtlinie verlangt ausdrücklich, dass die meldepflichtige Person über die zu erhebenden und zu übermittelnden Informationen rechtzeitig informiert wird, damit sie ihre Datenschutzrechte wahrnehmen kann. Das ist mehr als ein Hinweis auf die Existenz einer Meldepflicht. Das ist eine inhaltliche Transparenzanforderung.

Der CARF-Kommentar konkretisiert die Pflicht

Der OECD-Kommentar zu Section V des CARF, der Notification of Reportable Users, präzisiert die Pflicht des meldenden Anbieters. Informiert werden muss über die Informationen, die mit Bezug auf den meldepflichtigen Nutzenden übermittelt werden, und zwar in einer Form und zu einem Zeitpunkt, die die Wahrnehmung der Datenschutzrechte tatsächlich ermöglichen. Im Klartext, über die ihn konkret betreffenden Daten, in einer Form, die Korrekturen vor der Meldung erlaubt.

Welche Rechte sollen Nutzende sonst wahrnehmen?

§ 13 KStTG knüpft die Mitteilung zeitlich an einen Punkt vor der Meldung. Welche Rechte sind dort sinnvoll wahrnehmbar? Berichtigung nach Art. 16 DSGVO setzt voraus, dass der Nutzende den konkret ihn betreffenden Meldeinhalt überhaupt kennt. Auskunft nach Art. 15 DSGVO bezieht sich auf Daten, die der Anbieter ohnehin bereithalten muss. Einschränkung der Verarbeitung nach Art. 18 DSGVO setzt Datenkenntnis voraus.

Ein abstrakter Hinweis, wonach steuerrelevante Daten an das BZSt gemeldet werden, ermöglicht keines dieser Rechte effektiv. Wenn § 13 KStTG nicht weitgehend leerlaufen soll, muss er mehr verlangen.

Das systematische Killerargument liefert § 14 KStTG

Das stärkste Argument liefert das Gesetz selbst gleich im nächsten Paragraphen. § 14 Abs. 1 Nr. 3 KStTG zwingt den Anbieter, die nach § 11 KStTG gemeldeten Informationen pro Nutzer:in zehn Jahre aufzubewahren. Wer die Daten ohnehin nutzerbezogen aufzeichnen muss, kann sie dem Nutzenden auch inhaltlich mitteilen. Eine Auslegung, die § 13 KStTG auf abstrakte Hinweise reduziert, würde die Aufzeichnungspflicht systemwidrig leerlaufen lassen.

Was § 13 KStTG damit wirklich verlangt

Die Anforderungen lassen sich auf drei Ebenen unterscheiden:

Sicher ist, dass der Nutzende vor der ersten Meldung über die Datenerhebung, die Datenkategorien, die Empfänger, also BZSt, Landesfinanzbehörden und ausländische zuständige Behörden, den Zweck und seine Betroffenenrechte informiert werden muss. Eine bloße DSGVO-Standardklausel genügt dafür nicht. Die Information muss sektoral konkretisiert sein.

Gut vertretbar ist, dass die Information auch die ihn konkret betreffenden, zur Meldung vorgesehenen personenbezogenen Daten umfasst, einschließlich der nach § 11 KStTG zu meldenden Transaktionsangaben je Kryptowertart.

Nicht zwingend ist hingegen ein Anspruch auf die technische Meldedatei im XML-Format oder auf das interne Mapping. Der Pflichtinhalt richtet sich nach dem Informationsinteresse des Nutzenden, nicht nach der Übermittlungsform an die Behörde.

Der Vergleich mit DAC 7 und § 22 PStTG

Bei DAC 7, also den Plattformmeldepflichten, verlangt § 22 PStTG explizit die Mitteilung der gemeldeten Informationen, allerdings erst nach der Meldung. § 13 KStTG geht den umgekehrten Weg. Die Information erfolgt vor der Meldung, mit Bezug auf die zur Übermittlung vorgesehenen Daten. Das ist zeitlich anders, funktional eher stärker. Korrekturen sollen erfolgen, bevor die Daten an das BZSt und von dort in den internationalen Austausch gehen.

Die verbreitete Annahme, DAC 8 fordere im Verhältnis zu DAC 7 weniger Transparenz, ist ein Irrtum.

Warum Anbieter freiwillig mehr tun sollten

Hier wird es betriebswirtschaftlich: Die zwingende Pflicht aus § 13 KStTG ist das eine. Die strategisch kluge Antwort darauf ist eine andere. Sie besteht darin, den zu meldenden Nutzenden die konkret gemeldeten Daten aktiv und in lesbarer Form zur Verfügung zu stellen, einschließlich der Transaktionsangaben je Kryptowertart, also

  • Bruttobeträge,
  • Einheiten,
  • Anzahl der Transaktionen,
  • beizulegender Marktwert,

aufgeschlüsselt nach Tausch-, Übertragungs- und Massenzahlungsvorgängen.

Der erste Grund ist die Fehlerreduktion vor der Meldung. Falsche Wallet-Zuordnungen, falsche Aggregationen, falsche Ansässigkeitsdaten, all das wird erfahrungsgemäß erst sichtbar, wenn der Nutzende die Daten sieht. Eine Korrektur vor der Übermittlung an das BZSt ist um Größenordnungen einfacher und billiger als eine Berichtigungsmeldung nach § 9 Abs. 3 KStTG, bei der zusätzlich der internationale Austausch zurückgedreht werden muss.

Der zweite Grund liegt in der Reduktion von Auskunftsersuchen. Wer die Daten proaktiv bereitstellt, erlebt einen drastischen Rückgang individueller Anfragen nach Art. 15 DSGVO. Gerade bei Anbietern mit sechs- oder siebenstelliger Nutzerzahl ist das ein erheblicher operativer Effekt.

Der dritte Grund betrifft die Qualität der Steuererklärung des Nutzenden. Wer seine DAC-8-Meldedaten in lesbarer Form erhält, kann seine Steuererklärung präziser machen. Das senkt das Risiko von Rückfragen des Finanzamts, das auf Basis der BZSt-Daten ohnehin abgleicht. Anbieter, die diesen Service liefern, verschaffen sich einen handfesten Wettbewerbsvorteil.

Der vierte Grund ist Vertrauen. Transparenz gegenüber steuerlichen Meldungen ist ein Lackmustest für seriöse Anbieter. In einem Markt, in dem die regulatorische Welle gerade erst beginnt, mit DAC 9, weiteren CARF-Erweiterungen und der praktischen Durchsetzung der MiCAR, ist Vertrauen die haltbarere Währung als kurzfristige Intransparenz.

Der fünfte Grund ist Risikominimierung gegenüber den Aufsichts- und Datenschutzbehörden. Eine Minimallösung läuft Gefahr, dass die Aufsicht § 13 KStTG weiter auslegt als der Anbieter selbst. Datenschutzrechtlich droht parallel ein Verstoß gegen den Transparenzgrundsatz nach Art. 5 Abs. 1 lit. a DSGVO mit Bußgeldfolge nach Art. 83 Abs. 5 DSGVO.

Wie eine saubere Umsetzung aussehen kann

Ein robustes Compliance-Konzept arbeitet zweistufig:

Auf der ersten Stufe steht die Vorabinformation vor der erstmaligen Meldung. Eine schriftliche oder elektronische Mitteilung an jeden zu meldenden Nutzenden benennt die Datenkategorien nach § 11 KStTG, die Empfänger, den Zweck, die Aufbewahrungsdauer von zehn Jahren nach § 14 Abs. 2 KStTG und die Betroffenenrechte. Zeitlich so gelegt, dass eine Reaktion vor der Meldefrist zum 31. Juli realistisch möglich ist.

Auf der zweiten Stufe steht die konkrete Datenanzeige vor oder unmittelbar nach der Meldung. Ein nutzerseitig abrufbarer DAC-8-Report mit den ihn konkret betreffenden Aggregatdaten, idealerweise integriert in die bestehende Steuerreport-Funktion des Anbieters. Das ist nichts, was lediglich nett wäre, das ist das vom Gesetzgeber und seinem europäischen Auftraggeber funktional Verlangte.

FAZIT

§ 13 KStTG ist mehr als eine Fußnote in der DAC-8-Umsetzung. Die Norm fordert echte Transparenz gegenüber den Nutzenden. Inhaltlich, rechtzeitig, mit der Möglichkeit zur Wahrnehmung von Korrektur- und Auskunftsrechten. Eine bloße Ergänzung der Datenschutzerklärung wird dem nicht gerecht.

Der Appell an die Anbieter ist klar: Übermitteln Sie Ihren zu meldenden Nutzenden die konkret gemeldeten Daten, einschließlich der Transaktionsangaben je Kryptowertart, aktiv und in lesbarer Form. Nicht nur, weil § 13 KStTG bei richtiger Auslegung darauf hinausläuft, sondern weil es in jeder Hinsicht im eigenen Interesse liegt. Weniger Fehler, weniger Auskunftsanfragen, höheres Vertrauen, geringeres aufsichtsrechtliches Risiko, ein klarer Wettbewerbsvorteil in einem Markt, der gerade erst beginnt, regulatorisch erwachsen zu werden.

Wer DAC 8 transparent umsetzt, gewinnt.

____________________________________________

taxtech.blog – Der Blog an der Schnittstelle zwischen Steuern & Technologie!
Impulse für die digitale Steuerpraxis. Mehr erfahren?

→ ZUM PROFIL

Weitere Themen

KI & CHATGPT BERATUNG STEUERABTEILUNG NEWS
Claude NEWS 1920X1080px
KI rückt tiefer in juristische Workflows

Anthropic baut Claude zur Legal-Plattform aus

15.05.26
Techie

Anthropic erweitert Claude um juristische Spezialfunktionen und zahlreiche Integrationen. Der Schritt ist nicht nur für Legal Tech relevant, sondern zeigt auch, wie KI künftig steuerliche Workflows über mehrere Systeme hinweg verbinden könnte.

FINANZAMT DER ZUKUNFT STEUERABTEILUNG NEWS
OECD KI NEWS 1920X1080px
Mehr Daten, mehr KI, mehr Verantwortung

OECD: KI-Einsatz in Steuerverwaltungen nimmt zu

15.05.26
JUVE Steuermarkt

Laut OECD nutzen inzwischen über 90 Prozent der Steuerverwaltungen im OECD-Umfeld KI oder führen entsprechende Systeme ein. Schwerpunkte sind Betrugserkennung, Risikobewertung und digitale Services.

BEST PRACTISES INTELLIGENTE PROZESSE STEUERABTEILUNG RECAP
KPMG Forum2026 Stender RECAP 1920X1080px
Recap: Praxisforum Tax Tech 2026

KI, Automatisierung & Tax CMS in der Steuerfunktion

13.05.26
Christian Stender

Beim Praxisforum Tax Tech 2026 wurde gezeigt, wie KI, Automatisierung und Tax CMS in Steuerabteilungen umgesetzt werden können. Im Fokus standen reale Use Cases, organisatorische Herausforderungen sowie die Frage, wann sich die Integration von Technologie lohnt und wo ihre Grenzen liegen.