
Seit dem 1. Januar 2026 sammelt jede Krypto-Börse und jeder Broker, der EU-Bürger bedient, für die Steuerbehörden eine Datei über jeden Kunden: Name, Wohnadresse, Geburtsdatum und -ort, Steuernummern und aggregierte Jahreswerte aller gekauften, verkauften und getauschten Daten. Auch Überweisungen an Adressen, die die Plattform nicht erkennt, werden gemeldet, was in der Praxis dazu führt, dass Abhebungen in Eigenverwahrung erfolgen. Im Jahr 2027 beginnen diese Akten zwischen den Steuerverwaltungen aller 27 Mitgliedsstaaten zu fließen.
Der steuerliche Zweck ist legitim und die Daten sind nicht öffentlich. Gerade deshalb ist die ehrliche Frage nicht, ob das System auf dem Papier versiegelt ist, sondern wie vergleichbare Datensätze tatsächlich entkommen sind. Die Akte ist vollständig: ein gehackter privater Anbieter (Ledger 2020, 270.000 Kunden mit Privatadressen), ein bestochener Insider bei einem Support-Auftragnehmer (Coinbase 2025, etwa 70.000 Benutzer inklusive KYC-Dokumentenscans, mit angeblichen Bestechungsgeldern in der Größenordnung von Hunderten von Dollar), ein korrupter Beamter (ein Sachbearbeiter bei einem französischen Finanzamt, der seit Juni 2025 in Haft ist, führte angeblich Anfragen für Krypto-Investoren durch und verkaufte die Ergebnisse an die organisierte Kriminalität) und eine gehackte Krypto-Steuerplattform (Waltio, Januar 2026, Datenbank im Dark Web). Im Jahr 2019 hat Bulgarien die Steuerunterlagen fast aller Erwachsenen im Land offengelegt.
Die Einsätze unterscheiden sich von gewöhnlichen Finanzdaten. Ein Bankguthaben ist eine Forderung an ein Institut, die durch Rückbuchungen und AML-Holds geschützt ist; Bei einer selbstverwahrten Kryptowährung handelt es sich um einen Inhaberwert, der zusammen mit der Person beschlagnahmt wird. Für einen Betrüger ist es hilfreich, die Einzahlung einer Person zu kennen. Die Kenntnis der Hardware-Wallet einer anderen Person hilft einem Entführer. Der EuGH hat dies im Jahr 2022 verstanden, als er die Register öffentlicher wirtschaftlicher Eigentümer löschte und Betrug, Entführung, Erpressung, Erpressung, Belästigung und Gewalt als Risiken der Offenlegung von Vermögensdaten auflistete.
Wie eine verhältnismäßige Gestaltung aussehen würde: strikte Datenminimierung, protokollierte und geprüfte Zugriffe pro Beamtem, schwerwiegende kriminelle Aufdeckung wegen Missbrauchs, unabhängige Prüfungen der Börsensysteme. Was Einzelpersonen inzwischen rechtmäßig tun können: Die KYC-Oberfläche auf einen einzigen Anbieter beschränken, Wallet-Hardware niemals an eine Privatadresse versenden und die Verwahrung so gestalten, dass durchgesickerte Daten für einen Angreifer nutzlos sind.
1 Kommentar
But, but, you mean the GDPR didn’t protect them!?
From what I hear, privacy is only under attack from Google and Facebook.
/s