Skip to content

DAC8

DAC8: Schluss mit der Massenüberwachung von Krypto-Inhabern

Wir stehen an einem Scheideweg.

Die Sicherheit von Millionen Europäern steht auf dem Spiel: Ein gefährliches und ungerechtfertigtes Programm zur Massenüberwachung und Datensammlung ist im Gange.

DAC8 ist die bislang größte Bedrohung für das Fortbestehen der Grundrechte und der Cypherpunk-Prinzipien von Bitcoin.

Bull Bitcoin stellt sich als Bollwerk dagegen: Wir weigern uns, zu Komplizen dieses staatlichen Machtmissbrauchs zu werden. Wir weigern uns, uns kampflos zu unterwerfen.

Deshalb haben wir eine Klage eingereicht, um dieses Gesetz zu Fall zu bringen.

Der juristische Kampf von Bull Bitcoin zur Aufhebung von DAC8 und CARF

01

Was ist DAC8?

Die Richtlinie zur steuerlichen Überwachung von Kryptowerten, in Kraft seit dem 1. Januar 2026.

Die Richtlinie DAC8, in Kraft seit dem 1. Januar 2026, verpflichtet jeden EU-Krypto-Dienstleister (CASP), jährliche Informationen über meldepflichtige Krypto-Transaktionen seiner Kunden an die Steuerbehörden zu melden. Diese Informationen werden anschließend automatisch zwischen den 27 Mitgliedstaaten ausgetauscht.

Jeder CASP muss jährlich Folgendes melden:

  • vollständige Kundenidentität (Name, Wohnanschrift, Geburtsdatum, Steueridentifikationsnummer) sowie Steuersitz;
  • Arten von Krypto-Assets und Transaktionskategorien;
  • Werte, Einheiten, Daten, Anzahl der Transaktionen und Jahressummen;
  • Transferinformationen, einschließlich aggregierter Transfers an Distributed-Ledger-Adressen, die keinem VASP zugeordnet sind, soweit anwendbar.

Der erste Meldezeitraum umfasst das Kalenderjahr 2026, der erste Austausch zwischen den Steuerbehörden ist für September 2027 vorgesehen. In Frankreich wurde DAC8 durch das Dekret Nr. 2025-1276 vom 19. Dezember 2025 umgesetzt.

Council of the EU, 17 October 2023 press release · European Commission DAC8 page · Decree No. 2025-1276 of 19 December 2025 · ADAN / Deloitte / Ipsos 2026 barometer.

Zum Kampf beitragen

Der Kampf gegen DAC8 wird von BULLBITCOIN.COM und einer weiteren französischen Krypto-Börse finanziert, die vorerst anonym bleiben möchte. Um beizutragen, nutzen Sie BULLBITCOIN.COM als Ihre Börse. Die Gewinne aus Ihren Geschäften helfen, rechtliche Schritte gegen DAC8 und CARF überall dort zu finanzieren, wo sie nützlich sind.

Sagen Sie es weiter

Warnen Sie Ihr Umfeld

Teilen Sie die Website, um möglichst viele Menschen zu erreichen, oder laden Sie die Infografik herunter, um sie in Ihrem Umfeld zu verbreiten.

Infografik, die erklärt, wie DAC8 Nutzer- und Transaktionsdaten zu Kryptowerten erfasst und zwischen den Steuerbehörden austauscht.

03

Warum es Sie betrifft

Die erste Pflicht des Staates ist es, seine Bürger zu schützen.

DAC8 betrifft nicht nur Halter von Krypto-Assets. Indem Identitäten, Wohnanschriften sowie Krypto-Transaktions- und Transferdaten in einer von 27 Steuerverwaltungen gemeinsam genutzten Datenbank zusammengeführt werden, entsteht ein äußerst wertvolles Ziel, und das genau in dem Moment, in dem Kriminelle zunehmend die Angehörigen von Haltern ins Visier nehmen.

40-135 M

Europäer in einer Zone physischen Risikos (Halter und deren Angehörige)

>50%

der Angriffsopfer 2026 besitzen selbst gar keine Krypto-Assets: Ehepartner, Kinder, ältere Eltern

Krypto-Assets sind liquide, übertragbar und mitunter auf öffentlichen Blockchains sichtbar. Sobald zivile Identität und Wohnanschrift mit Krypto-Aktivität und Wertsignalen verknüpft sind, dient die Information nicht mehr allein der Steuerverwaltung: Sie kann genutzt werden, um Personen gezielt anzugreifen.

Mehr als die Hälfte der 2026 angegriffenen Personen besitzt keinerlei Kryptowährung. Sie haben nie Bitcoin gekauft? Ein einziger Angehöriger, der welche hält, genügt, um Sie zum Ziel zu machen, und Sie haben nie zugestimmt, in dieser Datenbank aufzutauchen.

Die Position von Bull Bitcoin ist klar: Steuerbehörden sollten in der Lage sein, bestimmte Steuerpflichtige durch gezielte, begründete Anfragen zu untersuchen. Sie sollten keine Massendatenbank von Krypto-Nutzern, Wohnanschriften, Transaktionen und Transfers anlegen.

CertiK, Wrench Attacks Report Q1 2026 · ADAN, 2026 barometer · Eurostat EU-SILC 2023.

04

Warum es unverhältnismäßig ist

Eine Blockchain-Adresse ist keine Kontonummer. Sie ist ein ganzes Finanzleben, offen zutage gelegt.

01

Die Transparenz der Blockchain macht die massenhafte Datenerhebung unverhältnismäßig

Eine Blockchain-Adresse ist keine Bankkontonummer. Sie kann ein Zugangspunkt zu einem öffentlichen, dauerhaften finanziellen Graphen sein. DAC8 kann daher weit mehr offenlegen als einen steuerpflichtigen Vorgang.

Mehr erfahren ↓

Eine Blockchain-Adresse ist keine Bankkontonummer: Sie ist ein Zugangsschlüssel zu einem gesamten Finanzleben, das öffentlich und dauerhaft einsehbar ist. Bei Bitcoin, Ethereum und nahezu allen öffentlichen Chains ist jede Transaktion öffentlich, überprüfbar und permanent. Wenn gemeldete Krypto-Aktivität eine zivile Identität mit Aktivitäten auf öffentlichen Registern verbindet, geht die Offenlegung daher weit über einen einzelnen steuerpflichtigen Vorgang hinaus.

  • Vollständige Offenlegung. Während DAC2 Kontostände übermittelt, verknüpft DAC8 Identität und Wohnanschrift mit Krypto-Transaktions- und Transferdaten; auf öffentlichen Registern kann dies zum Einstiegspunkt in eine breitere Historie werden.
  • Alles, auch das steuerlich Irrelevante. Übertragungen zwischen den eigenen Wallets, Geschenke an Familienmitglieder, Zahlungen an Händler, P2P-Vorgänge: DAC8 erfasst Bewegungen, die überhaupt keine steuerliche Relevanz haben.
  • Ein Leck, das sich nie schließt. Anders als ein eingefrorener Kontostand aktualisiert sich die On-Chain-Historie fortlaufend, unbegrenzt, für jeden Angreifer sichtbar.
  • Ein Verstoß gegen die Verhältnismäßigkeit. Artikel 52 der Charta der Grundrechte verlangt, dass jede Einschränkung eines Rechts notwendig und verhältnismäßig ist; der EuGH hat dies in seiner Rechtsprechung zu FATCA und zur DSGVO bekräftigt.
Die vollständige Analyse lesen
02

Kein Nachweis der Wirksamkeit rechtfertigt dieses Risikoniveau

Eine Maßnahme, die Millionen von Menschen exponiert, sollte starke Belege für Notwendigkeit und Wirksamkeit erfordern. Die Argumentation für eine massenhafte Meldung von Krypto-Vermögen bleibt im Verhältnis zu ihren Sicherheitskosten schwach.

Mehr erfahren ↓

Es gibt keine öffentlichen Daten, die belegen, dass der automatische Massendatenaustausch ein Steueraufkommen erzielt, das seinen Kosten entspricht. Sieben Jahre nach der ersten Evaluierung räumt die Europäische Kommission ein, dass „die Bewertung des Nutzens äußerst begrenzt“ sei. Trotzdem weitet sie genau denselben Rahmen auf Krypto-Assets aus.

  • Die Kommission (SWD 2019, dann SWD 2025) räumt ein, dass sie die durch den automatischen Austausch erzeugten Mehreinnahmen nicht beziffern kann.
  • Der Europäische Rechnungshof (Bericht 03/2021) stellte fest, dass nur einer der fünf geprüften Mitgliedstaaten die Datenqualität überprüft, und dass zwischen 2015 und 2017 nur 2 % der erfassten Steuerzahler mit einer Steuernummer verknüpft werden konnten.
  • Das vergleichbare AML/KYC-Regime erfasst lediglich 0,1 % der kriminellen Gelder, bei jährlichen Kosten von 136,5 Milliarden USD in Europa.
  • Der CRS-Präzedenzfall zeigt vor allem eine Verlagerung in nicht teilnehmende Jurisdiktionen, nicht einen tatsächlichen Rückgang der Steuerhinterziehung.
Die vollständige Analyse lesen
03

DAC8 kann das Gegenteil seines erklärten Ziels bewirken

Indem die Nutzung eines regulierten CASP mit automatischer Offenlegung gleichgesetzt wird, kann DAC8 vorsichtige Nutzer zu Peer-to-Peer-Märkten, Offshore-Plattformen, Mining oder Non-Custodial-Lösungen drängen.

Mehr erfahren ↓

Der informierte Halter fragt sich nicht mehr, ob er seine Vermögenswerte deklarieren soll: Sobald er einen CASP nutzt, gehen seine Daten ohnehin an die Steuerbehörde. Seine eigentliche Frage lautet nun: „Sollte ich überhaupt weiter einen regulierten CASP nutzen?“ Für eine wachsende Zahl von Haltern wird die Antwort Nein lauten.

  • Die Umgehungsmöglichkeiten sind legal. Non-Custodial-Wallets, DEXs, P2P, Mining, Non-Custodial-Staking: alles außerhalb des Anwendungsbereichs von DAC8 und völlig legal. Die Richtlinie drängt niemanden zum Betrug, sondern dazu, regulierte CASPs zu verlassen.
  • Der Widerspruch zu MiCA ist frontal. Die EU hat fast fünf Jahre (2019 bis 2024) damit verbracht, MiCA aufzubauen, um Europäer zu regulierten, sicheren, beaufsichtigten Plattformen zurückzuholen. Sechs Monate vor der Frist vom 1. Juli 2026 macht DAC8 genau diese Plattformen zum am stärksten exponierten Ort für Transaktionen.
  • Die Wirksamkeit kehrt sich um. Erfahrene Halter verlassen das System; nur gewöhnliche Nutzer bleiben innerhalb des Anwendungsbereichs und tragen das physische Risiko allein. Weniger erfasste Steuerbasis, auf Kosten von Arbeitsplätzen und digitaler Souveränität.
Die vollständige Analyse lesen
04

Eine weniger eingriffsintensive Alternative existiert bereits

Das französische Recht gibt den Steuerbehörden bereits gezielte Auskunftsrechte. Eine begründete Anfrage zu einem identifizierten Steuerpflichtigen ist sicherer und verhältnismäßiger als eine Massenerhebung.

Mehr erfahren ↓

Das Auskunftsrecht (Artikel L. 81 ff. des französischen Steuerverfahrensgesetzbuchs) erlaubt der Verwaltung bereits heute den Zugang zu Daten, die von Dritten gehalten werden (Banken, Dienstleister und nun auch CASPs), und zwar gezielt und begründet, für einen identifizierten Steuerpflichtigen unter Ermittlung. Wenn eine weniger eingriffsintensive Maßnahme dasselbe Ziel erreicht, ist die Massenerhebung schon konstruktionsbedingt unverhältnismäßig.

Wichtigste Punkte:

  • Eine weniger eingriffsintensive Alternative existiert. DAC8 besteht den Verhältnismäßigkeitstest von Artikel 52 der Charta nicht: nicht notwendig, nicht geeignet, nicht verhältnismäßig.
  • Das Auskunftsrecht ist gezielt. Es betrifft Steuerpflichtige unter Ermittlung, mit streng erforderlichen Daten, statt rund 54 Mio. Halter über 27 zentralisierte Datenbanken hinweg.
  • Es ist bereits der Standard. Kunstgegenstände, Edelmetalle, ausländischer Immobilienbesitz (Formular 3916), Wertpapierdepots: Die Verwaltung erhält diese Daten auf begründete Anfrage, niemals durch dauerhaften Zugriff. Krypto-Assets rechtfertigen keine Ausnahme.
Die vollständige Analyse lesen

05

Warum es gestoppt werden muss

Eine zentralisierte Datensammlung ist ein Angriffsziel.

01

Eine Welle physischer Gewalt trifft Krypto-Halter

Krypto-bezogene physische Gewalt ist explodiert: 82% der weltweiten Angriffe finden in Europa statt und 70% in Frankreich (Januar bis April 2026), und das französische Innenministerium verzeichnet etwa alle 2,5 Tage einen Angriff. 101 Mio. USD wurden in vier Monaten erpresst. Kriminelle handeln nicht mehr wahllos: Sie kaufen die persönlichen Daten ihrer Ziele.

Mehr erfahren ↓

Physische Gewalt im Zusammenhang mit Krypto ist explosionsartig angestiegen und konzentriert sich auf Europa, mit Frankreich an der Spitze. Kriminelle handeln nicht mehr wahllos: Sie kaufen die persönlichen Daten ihrer Ziele, um Halter und deren Angehörige auszuwählen, zu lokalisieren und unter Druck zu setzen.

  • 82% der weltweiten krypto-bezogenen physischen Angriffe finden in Europa statt und 70% in Frankreich (Januar bis April 2026); 101 Mio. USD wurden in vier Monaten erpresst (CertiK, 2026). Das französische Innenministerium verzeichnet etwa einen Angriff alle 2,5 Tage.
  • Frankreich verzeichnet einen stetigen Anstieg: 18 Fälle im Jahr 2024, 67 im Jahr 2025, 47 im Jahr 2026 (Stand 25. April); 88 Personen angeklagt, darunter mehr als 10 Minderjährige (PNACO).
  • Das Vorgehen hat sich verändert: Datenkäufe, Abgleich geleakter Plattformdaten (Fall Waltio), Überwachung von Angehörigen, über Telegram rekrutierte Handlanger, Steuerung aus dem Ausland.
  • DAC8 und CARF würden eine strukturierte Datenbank schaffen, die zivile Identitäten mit Krypto-Daten verknüpft, genau das, wonach Angreifer bereits suchen.
Die vollständige Analyse lesen
02

Familien stehen an vorderster Front

Mehr als die Hälfte der Opfer von 2026 sind keine Halter: Es sind ihre Ehepartner, Kinder oder ältere Eltern. DAC8 setzt somit nicht nur Halter, sondern ihr gesamtes familiäres Umfeld einem physischen Risiko aus, zwischen 40 und 135 Millionen Europäer, von denen keiner je zugestimmt hat.

Mehr erfahren ↓

Mehr als die Hälfte der 2026 erfassten Gewaltvorfälle richtet sich nicht gegen Halter: Sie treffen deren Ehepartner, Kinder oder ältere Eltern, sei es als direkte Opfer oder als Druckmittel (CertiK, Q1 2026). DAC8 setzt somit nicht nur Halter von Krypto-Assets, sondern ihr gesamtes engeres familiäres Umfeld einem Risiko aus.

  • Ein Risiko in großem Maßstab. Multipliziert man jeden Halter mit seinem engeren Familienkreis (× 2,5, entsprechend der durchschnittlichen EU-Haushaltsgröße), ergibt sich eine Zahl zwischen 40 und 135 Millionen Europäern in einer Zone physischen Risikos.
  • Ein asymmetrisches Risiko. Ein Leak von 50.000 Haltern wird zu einem Leak von 125.000 tatsächlich exponierten Personen; ein DAC8-Leak (54 Mio.) würde zu einem Leak von 135 Mio. Menschen.
  • Keine Zustimmung. Angehörige haben nie eine Krypto-Plattform genutzt, nie Nutzungsbedingungen akzeptiert und haben keine Möglichkeit, sich davon abzumelden.
Die vollständige Analyse lesen
03

DAC8 fügt einem bereits kontaminierten Boden eine weitere Datenbank hinzu

In 18 Monaten wurden mehr als 100 Millionen Datensätze französischer Bürger aus Datenbanken kompromittiert, die vom Staat oder seinen Dienstleistern betrieben werden. Der Zusammenhang zwischen Datenlecks und Gewalt wird inzwischen von den Behörden selbst bestätigt: Das Waltio-Leck diente direkt mindestens drei Entführungen. DAC8 fügt diesem Boden eine Datenbank von Haltern eines Vermögenswerts hinzu, der unter Zwang übertragbar ist.

Mehr erfahren ↓

Keine öffentliche Datenbank kann als dauerhaft sicher gelten. Innerhalb von 12 Monaten erhielt die CNIL 8.613 Meldungen von Datenschutzverletzungen (+45 %), also etwa ein Leck pro Stunde, betroffen waren 12,2 Millionen Menschen. DAC8 fügt diesem Boden eine Datenbank hinzu, die die zivile Identität mit der Krypto-Aktivität verknüpft.

Wichtigste Punkte:

  • Die Sicherheit hängt vom schwächsten Glied ab: Eine der 27 Verwaltungen genügt. Die Präzedenzfälle existieren bereits (bulgarische Steuerbehörde NRA 2019: bis zu 7 Mio. Steuerzahler; Equalize in Italien; die DGFiP-Beamtin Ghalia C., die gezielt Krypto-Investoren ins Visier nahm).
  • Das Risiko liegt nicht nur in externem Hacking: missbräuchlicher Zugriff durch Insider, Fehlkonfigurationen und kompromittierte Dienstleister zählen ebenso.
  • Geleakte Krypto-Daten bleiben lange verwertbar und können dauerhafte Überwachung, sogar physisches Aufspüren, ermöglichen.
Die vollständige Analyse lesen
04

Eine zentralisierte Datenbank ist von Natur aus ein Ziel

Die Konzentration sensibler Daten schafft einen Honeypot: ein hochwertiges Angriffsziel. Regulierte CASPs (MiCA, DORA, GDPR) sind beaufsichtigte, sanktionierbare Fachleute mit Anreizen, ihre Kunden zu schützen. DAC8 bewirkt das Gegenteil: 27 gemeinsam genutzte Datenbanken, deren Gesamtsicherheit nur so stark ist wie das schwächste Glied.

Mehr erfahren ↓

Die Konzentration sensibler Krypto-Daten in einer gemeinsamen Datenbank schafft einen Honeypot: ein äußerst hochwertiges Ziel. Je größer und wertvoller die Datenbank, desto größer der Aufwand der Angreifer und desto verheerender ein einzelnes Leck. Das DAC8-Ziel wird eines der wertvollsten in Europa sein.

Regulierte CASPs (MiCA seit dem 30. Dezember 2024, DORA seit Januar 2025, GDPR) sind beaufsichtigte Fachleute mit klaren Anreizen: Ein Leck kostet sie die Lizenz, die Kunden und den Ruf, mit Strafen von bis zu 4 % des weltweiten Umsatzes. Eine Verwaltung, die Steuerzahlerdaten verliert, besteht dagegen weiter fort und riskiert bestenfalls eine symbolische Geldstrafe (Bulgarien 2019: 2,9 Mio. Euro, gezahlt vom bulgarischen Steuerzahler an den bulgarischen Staat).

DAC8 tut das Gegenteil des vernünftigen Sicherheitsreflexes:

  • Aktuelles Modell: etwa 100 bis 200 unabhängige CASPs; ein Leck bleibt begrenzt (Waltio: 50.000 Kunden).
  • DAC8-Modell: 1 Datenbank × 27 Verwaltungen = 27 gleichwertige Ziele, mit Millionen exponierten Mitarbeitern (DGFiP: etwa 100.000).
  • Die Sicherheit des Gesamtsystems ist nur so stark wie sein schwächstes Glied.
Die vollständige Analyse lesen

Ressourcen

Das Referenzdossier, in gut lesbaren Seiten

Analysen, Zahlen, Quellen und der globale CARF-Kontext, ohne die Startseite zu überladen.

Unterstützen Sie den Kampf gegen DAC8