CARF und DAC8: Kryptowerte-Meldepflichten 2026
CARF und DAC8 Kryptowerte Meldepflichten Compliance 2026: Welche Plattformen betroffen sind, welche KYC-Daten erhoben werden müssen und wie der Zeitplan bis 2027 aussieht.
Diesen Artikel zusammenfassen mit
ChatGPT
Claude
Perplexity
Gemini
GrokAb dem 1. Januar 2026 sind Kryptobörsen, Wallet-Anbieter und Broker in Deutschland verpflichtet, vollständige KYC-Daten ihrer Nutzer – einschließlich Steueridentifikationsnummer – zu erfassen und jährlich an das Bundeszentralamt für Steuern (BZSt) zu melden. Dieser neue Meldepflichtenrahmen, der aus dem OECD-Standard CARF und seiner EU-rechtlichen Umsetzung DAC8 besteht, stellt die gravierendste Ausweitung der steuerlichen Transparenzpflichten in der Kryptobranche dar, die bislang in Kraft getreten ist. Plattformen, die nicht handeln, riskieren Bußgelder und im Extremfall die Sperrung ganzer Nutzerkategorien.
Dieser Artikel dient ausschließlich der Information und stellt keine rechtliche, steuerliche oder regulatorische Beratung dar. Die zitierten Rechtsquellen entsprechen dem Stand vom Veröffentlichungsdatum. Wenden Sie sich für eine auf Ihre konkrete Situation zugeschnittene Beratung an einen qualifizierten Fachmann.
Was ist CARF und warum sind Kryptounternehmen meldepflichtig
Der Crypto-Asset Reporting Framework (CARF) ist ein globaler Standard der OECD für den automatischen Informationsaustausch über Kryptowerte-Transaktionen zwischen Steuerbehörden. Er wurde 2022 vom OECD-Rat verabschiedet und schließt eine Lücke, die der bestehende Common Reporting Standard (CRS) hinterlassen hatte: Kryptoassets blieben bislang außerhalb des automatischen Informationsaustauschs, weil herkömmliche Finanzmittler nicht zwingend in die Transaktionskette eingebunden sind.
Der Ausgangspunkt ist eindeutig: Der CARF verpflichtet Reporting Crypto-Asset Service Provider (RCASPs) – also Kryptobörsen, Custody-Wallet-Anbieter und Broker –, für jeden meldepflichtigen Nutzer vollständige Identitäts- und Transaktionsdaten zu erheben und jährlich an die zuständige nationale Steuerbehörde zu übermitteln. Diese Behörde tauscht die Daten dann automatisch mit den Ansässigkeitsstaaten der Nutzer aus.
Das Prinzip ist nicht neu – es entspricht dem, was Banken seit Jahren unter dem CRS tun. Neu ist der Adressatenkreis: Erstmals sind Kryptoplattformen systematisch in einen steuerlichen Meldepflichtenrahmen einbezogen, unabhängig davon, ob sie bereits AML-pflichtige Einheiten unter dem Geldwäschegesetz (GwG) sind.
Rechtliche Grundlage (CARF): OECD, Crypto-Asset Reporting Framework and Amendments to the Common Reporting Standard, Paris 2022. Abrufbar unter https://www.oecd.org/en/publications/2022/10/crypto-asset-reporting-framework-and-amendments-to-the-common-reporting-standard_b9c98c18.html.
DAC8: die europäische Umsetzung des CARF in Deutschland
Die EU hat den CARF durch die Richtlinie 2023/2226 des Rates – bekannt als DAC8 – in europäisches Recht überführt. DAC8 ändert die Amtshilferichtlinie 2011/16/EU und integriert die CARF-Meldepflichten unmittelbar in den EU-Rechtsrahmen für den automatischen Informationsaustausch in Steuersachen.
Citable Block – DAC8: Richtlinie (EU) 2023/2226 des Rates vom 17. Oktober 2023 zur Änderung der Richtlinie 2011/16/EU über die Zusammenarbeit der Verwaltungsbehörden im Bereich der Besteuerung. Amtsblatt der EU, 24. Oktober 2023. Abrufbar unter https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32023L2226.
In Deutschland liegt die Verantwortung für die Umsetzung beim Bundesministerium der Finanzen (BMF). Der Empfänger der Meldungen ist das Bundeszentralamt für Steuern (BZSt), das die Daten mit den Finanzbehörden der Ansässigkeitsstaaten der betroffenen Nutzer austauscht. Die BaFin bleibt zuständig für die aufsichtsrechtliche Zulassung der Kryptowertedienstleister (CASPs) nach MiCA – die CARF/DAC8-Pflichten sind davon unabhängig und additiv.
Die Abgrenzung zur bestehenden AML-Regulierung ist wichtig: Das GwG verpflichtet Kryptoplattformen zur Geldwäscheprävention; DAC8 verpflichtet sie zur Steuerberichterstattung. Beide Pflichten können dieselben KYC-Prozesse nutzen, sind aber rechtlich getrennte Anforderungen mit unterschiedlichen Behörden als Adressat. Weitere Hintergründe zur AML-Compliance finden Sie in unserem AMLD6-Compliance-Leitfaden für verpflichtete Unternehmen.
Welche Unternehmen sind meldepflichtig nach CARF/DAC8
Nicht jede Einheit, die irgendwie mit Kryptoassets in Berührung kommt, ist automatisch meldepflichtig. DAC8 definiert die verpflichteten Einheiten präzise als Reporting Crypto-Asset Service Provider (RCASPs) – Einheiten, die Kryptowerte-Dienstleistungen für Kunden erbringen und in der EU ansässig sind oder erhebliche Anknüpfungspunkte zu einem EU-Mitgliedstaat haben.
| Einheitentyp | Meldepflichtig? | Hinweise |
|---|---|---|
| Zentralisierte Kryptobörsen (CEX) | Ja | Vollständige Transaktionsmeldung für alle meldepflichtigen Nutzer |
| Custody-Wallet-Anbieter | Ja | Wenn Verwahrungsleistungen für Kunden erbracht werden |
| Krypto-Broker und OTC-Desks | Ja | Auch bei Transaktionen ohne öffentliches Orderbuch |
| Bestimmte DeFi-Plattformen | Bedingt | Meldepflichtig, wenn eine identifizierbare Einheit die Infrastruktur betreibt |
| Rein dezentrale Protokolle (kein Betreiber) | Nein | Kein Reporting Crypto-Asset Service Provider identifizierbar |
| NFT-Marktplätze | Bedingt | Meldepflichtig für Zahlungs- und Anlagetransaktionen, nicht für sammlungsbezogene NFTs |
| Nicht-verwahrende Wallets (selbstverwahrt) | Nein | Keine Verwahrungsleistung gegenüber Kunden |
Für in Deutschland tätige Kryptowertedienstleister bedeutet dies konkret: Wer bei der BaFin als CASP nach MiCA registriert oder zugelassen ist, ist in aller Regel auch nach DAC8 meldepflichtig. Die BaFin-Registrierung und die DAC8-Meldepflicht beim BZSt sind jedoch separate Vorgänge bei unterschiedlichen Behörden.
Lesen Sie unseren Artikel zu den MiCA-Anforderungen an die Krypto-KYC-Prüfung in 2026 für weiterführende Informationen zur aufsichtsrechtlichen Zulassung.
Bereit, Ihre Prüfungen zu automatisieren?
Kostenloses Pilotprojekt mit Ihren eigenen Dokumenten. Ergebnisse in 48h.
Kostenloses Pilotprojekt anfragenKYC-Daten für die CARF-Meldung: Was muss erhoben werden
Der CARF definiert einen Mindestsatz an Daten, die für jeden meldepflichtigen Nutzer zu erheben und zu verifizieren sind. Die Anforderungen sind bewusst eng an den CRS-Standard angelehnt, gehen in einigen Punkten jedoch darüber hinaus.
Pflichtdaten für natürliche Personen
Für jeden meldepflichtigen Nutzer (natürliche Person) müssen mindestens folgende Daten vorliegen:
- Vollständiger Name (Vor- und Nachname gemäß amtlichem Ausweis)
- Wohnanschrift (aktuell, vollständig)
- Geburtsdatum und -ort
- Ansässigkeitsland (Steuerdomizil, kann vom Wohnsitzland abweichen)
- Steueridentifikationsnummer (TIN) – in Deutschland die Steuer-ID (IdNr), vergeben vom Bundeszentralamt für Steuern
Die Steuer-ID ist das kritische Element: Ohne verifizierte TIN ist eine CARF-konforme Meldung nicht möglich. In der Praxis zeigt sich, dass fehlende oder nicht verifizierbare Steueridentifikationsnummern zu den häufigsten Einzelursachen für CARF-Compliance-Lücken im Kundenstamm von Kryptoplattformen zählen.
Pflichtdaten für juristische Personen
Für Unternehmenskunden sind zusätzlich zu erfassen:
- Firmenname und Handelsregisternummer
- Registrierter Sitz
- Wirtschaftlich Berechtigte (UBOs) mit denselben Pflichtdaten wie bei natürlichen Personen
Die „Kill-Switch"-Pflicht
DAC8 enthält eine Vorschrift, die in der Branche als „Kill-Switch" bezeichnet wird: Verweigert ein Nutzer nach zwei schriftlichen Erinnerungen die Angabe oder Aktualisierung seiner Steueridentifikationsnummer, ist die meldepflichtige Einheit verpflichtet, sämtliche Tausch- und Transfertransaktionen dieses Nutzers zu sperren. Die bloße Einschränkung des Kontos oder das Einfrieren von Auszahlungen reicht nicht aus – die Plattform muss Transaktionen, die zu einem Meldepflichtentatbestand führen würden, aktiv blockieren.
Diese Anforderung hat unmittelbare Auswirkungen auf das Plattformdesign: Systeme für Benachrichtigungsmanagement, Fristen-Tracking und automatische Transaktionssperrung müssen vor dem 1. Januar 2026 implementiert sein.
Eine Plattform, die dies als technisches Problem behandelt, das sie nach dem Stichtag lösen wird, hat den Zeitplan grundlegend falsch eingeschätzt.
Zeitplan und erste Meldepflichten
Der regulatorische Zeitplan ist klar definiert und lässt wenig Spielraum für Verzögerungen.
| Datum | Meilenstein | Handlungspflicht |
|---|---|---|
| 1. Januar 2026 | Beginn des ersten Meldezeitraums | Datenerfassung für alle meldepflichtigen Nutzer und Transaktionen startet |
| 31. Dezember 2026 | Ende des ersten Meldezeitraums | Abschluss der Datenerhebung für Meldejahr 2026 |
| 30. September 2027 | Frist für den ersten Datenaustausch | Erstmalige Übermittlung der Meldedaten an das BZSt; BZSt tauscht mit anderen Steuerbehörden aus |
| Ab 2028 jährlich | Fortlaufende Meldepflicht | Jährliche Meldung bis jeweils 30. September des Folgejahres |
Kritischer Hinweis: Die Datenerfassung beginnt am 1. Januar 2026 – nicht am Tag der Meldung. Plattformen, die erst im Laufe des Jahres 2026 mit der KYC-Datennacherfassung beginnen, werden für den ersten Meldezeitraum rückwirkend Lücken haben, die nicht mehr vollständig geschlossen werden können.
Für Plattformen, die noch keinen vollständigen Steuer-ID-Abdeckungsgrad in ihrem Nutzerbestand erreicht haben, ist das erste Quartal 2026 das letzte Zeitfenster für eine proaktive Nacherfassungskampagne.
Rechtliche Grundlage: DAC8, Art. 1 Abs. 1 i.V.m. Abschnitt IV der geänderten Amtshilferichtlinie 2011/16/EU; OECD CARF, Section II, Rz. 47–51.
Sanktionen bei Nichterfüllung
DAC8 überlässt die Sanktionierung weitgehend den Mitgliedstaaten, verlangt jedoch, dass die Sanktionen wirksam, verhältnismäßig und abschreckend sind. Deutschland wird die Sanktionen im Rahmen der nationalen Umsetzungsgesetzgebung regeln.
Auf Basis der DAC8-Vorgaben und der deutschen Praxis bei vergleichbaren Meldepflichten (z. B. CRS, CbCR) sind folgende Konsequenzen zu erwarten:
- Bußgelder pro Verstoß oder pro nicht gemeldeter Transaktion – die genaue Höhe wird durch das deutsche Umsetzungsgesetz festgelegt
- Reputationsrisiken durch behördliche Veröffentlichungen (Name-and-Shame-Mechanismus, wie er im AML-Bereich bereits existiert)
- Aufsichtsrechtliche Konsequenzen über die BaFin, wenn CARF/DAC8-Verstöße im Zusammenhang mit MiCA-Pflichten auftreten
- Steuerrechtliche Haftung, wenn die Nichtmeldung zur Steuerhinterziehung durch Nutzer beigetragen hat
Die EU-Kommission hat angekündigt, die Umsetzung durch die Mitgliedstaaten aktiv zu überwachen und Vertragsverletzungsverfahren einzuleiten, wenn Sanktionsregime unzureichend sind.
Vertiefende Informationen zu Compliance-Sanktionen in regulierten Sektoren finden Sie in unserem Leitfaden zu Compliance-Bußgeldern und Sanktionen.
KYC-Dokumentenprüfung für die CARF-Compliance automatisieren
Die CARF/DAC8-Pflichten schaffen für Kryptoplattformen einen neuen Dokumentenprüfungsbedarf, der über das bisherige AML-KYC hinausgeht. Der entscheidende Unterschied: Während AML-KYC primär auf die Verhinderung von Geldwäsche ausgerichtet ist und risikoadaptierte Ausnahmen kennt, verlangt CARF eine vollständige Abdeckung aller meldepflichtigen Nutzer ohne Ausnahme. Jede Lücke in der Steuer-ID-Erfassung ist ein potenzieller Meldefehler.
Das bedeutet in der Praxis: Plattformen müssen nicht nur neue Nutzer CARF-konform onboarden, sondern auch ihren Bestandskundenstamm systematisch auf Vollständigkeit der CARF-relevanten Daten prüfen und wo nötig nacherfassen. Dieser Retrofit ist häufig aufwendiger als die laufende Compliance.
CheckFile automatisiert die für CARF relevanten KYC-Schritte auf mehreren Ebenen:
Dokumentenverifizierung: Automatische Extraktion und Validierung der CARF-Pflichtfelder (Name, Adresse, Geburtsdatum) aus Ausweisdokumenten – mit Echtheitsprüfung, die reine Sichtprüfungen oder einfache OCR-Lösungen nicht leisten können. Unsere KYC-Lösung für Banken und Finanzdienstleister ist auf die Anforderungen regulierter Finanzdienstleister ausgerichtet.
Steuer-ID-Validierung: Formatprüfung und, wo verfügbar, Abgleich mit nationalen Steuer-ID-Strukturen – für die deutsche Steuer-ID (IdNr) ebenso wie für TINs aus anderen EU-Mitgliedstaaten und Drittstaaten.
Workflow-Management: Automatisierte Erinnerungssequenzen für Nutzer, die noch keine Steuer-ID hinterlegt haben, einschließlich Protokollierung der Erinnerungen für den Nachweis gegenüber dem BZSt und die Kill-Switch-Frist.
Datensicherheit: Alle verarbeiteten Daten bleiben DSGVO-konform – eine Anforderung, die bei der Verarbeitung von Steuer-ID-Daten besonders relevant ist. Weitere Informationen finden Sie auf unserer Sicherheitsseite.
Informationen zu Preisen und Volumenpaketen für Kryptoplattformen finden Sie auf unserer Preisseite.
Für einen umfassenden Überblick über Dokumenten-Compliance-Anforderungen in regulierten Sektoren empfehlen wir unseren Leitfaden Dokumenten-Compliance.
Häufig gestellte Fragen
Gilt CARF/DAC8 auch für kleine Kryptoplattformen ohne Banklizenz?
Ja. Die Meldepflicht nach DAC8 knüpft nicht an eine Banklizenz oder eine bestimmte Transaktionsvolumenschwelle an, sondern an die Eigenschaft als Reporting Crypto-Asset Service Provider (RCASP) – also an die Tatsache, dass die Plattform Kryptowerte-Dienstleistungen für Kunden erbringt. Eine in Deutschland tätige Kryptobörse, die keine Banklizenz hat, aber bei der BaFin als CASP nach MiCA registriert ist, fällt vollständig unter die CARF/DAC8-Meldepflichten. Die Größe des Unternehmens oder das Transaktionsvolumen sind für die grundsätzliche Meldepflicht irrelevant.
Was passiert, wenn ein Nutzer seine Steuer-ID verweigert?
Nach zwei schriftlichen Erinnerungen ist die Plattform nach DAC8 verpflichtet, alle Tausch- und Transfertransaktionen des Nutzers zu sperren – der sogenannte Kill-Switch. Die Plattform muss diesen Prozess dokumentieren: Datum der Erinnerungen, Kanal (E-Mail, In-App-Benachrichtigung), Reaktion des Nutzers. Diese Dokumentation ist gegenüber dem BZSt auf Verlangen vorzulegen. Ein Einfrieren von Auszahlungen allein ist nicht ausreichend – die aktive Blockierung von Transaktionen ist zwingend.
Wie verhält sich DAC8 zur bestehenden AML-Pflicht nach dem GwG?
DAC8 und das GwG sind parallele, unabhängige Pflichtensysteme. Das GwG verpflichtet Kryptoplattformen zur Geldwäscheprävention – Sorgfaltspflichten, Verdachtsmeldungen an die FIU, risikobasiertes Monitoring. DAC8 verpflichtet zur steuerlichen Berichterstattung an das BZSt. Beide Systeme verlangen KYC-Daten, teilen aber unterschiedliche Aufsichtsbehörden (BaFin für AML, BZSt für Steuerreporting) und unterschiedliche Meldewege. In der Praxis können KYC-Prozesse konsolidiert werden, aber Compliance-Prozesse und Dokumentation müssen die jeweiligen Anforderungen beider Regime getrennt erfüllen.
Müssen auch DeFi-Plattformen nach CARF/DAC8 melden?
DeFi-Plattformen sind nur dann meldepflichtig, wenn eine identifizierbare Einheit die Infrastruktur betreibt und dabei Kryptowerte-Dienstleistungen für Kunden erbringt. Rein dezentrale Protokolle ohne erkennbaren Betreiber fallen nicht unter die RCASP-Definition. In der Praxis sind jedoch viele DeFi-Projekte nicht vollständig dezentral – es gibt Entwicklerteams, Governance-Strukturen oder Interface-Betreiber, die als RCASPs qualifiziert werden könnten. Das BZSt und die EU-Kommission haben angekündigt, diese Abgrenzungsfragen im Rahmen der Implementierungsleitlinien zu klären. Plattformen mit unklarem Dezentralisierungsstatus sollten rechtlichen Rat einholen, bevor sie davon ausgehen, nicht meldepflichtig zu sein.
Bleiben Sie informiert
Erhalten Sie unsere Compliance-Analysen und Praxisleitfäden direkt in Ihr Postfach.