KYC für Verkäufer auf Online-Marktplätzen: DAC7, PStTG und DSA 2026
KYC für Verkäufer auf Online-Marktplätzen: Was DAC7, PStTG und DSA-Artikel 30 von Plattformbetreibern in Deutschland verlangen — Schwellenwerte, Dokumente und Fristen.
Diesen Artikel zusammenfassen mit
ChatGPT
Claude
Perplexity
Gemini
GrokSeit dem 1. Januar 2023 sind Betreiber digitaler Plattformen in Deutschland durch das Plattformen-Steuertransparenzgesetz (PStTG) verpflichtet, die Identität ihrer Verkäufer zu erheben, zu verifizieren und jährlich an das Bundeszentralamt für Steuern (BZSt) zu melden. Parallel dazu schreibt Artikel 30 des Digitale-Dienste-Gesetzes (DSA, Verordnung (EU) 2022/2065) vor, dass Online-Marktplätze die Identität gewerblicher Anbieter aktiv prüfen müssen, bevor diesen erlaubt wird, auf der Plattform tätig zu werden. Wer beide Regelungsregimes übersieht, riskiert Bußgelder nach § 26 PStTG von bis zu 50.000 € je Verstoß sowie aufsichtsrechtliche Maßnahmen durch die BaFin für zahlungsdienstleistungsnahe Plattformen.
Dieser Artikel dient ausschließlich Informationszwecken und stellt keine Rechtsberatung dar. Die zitierten Rechtsquellen entsprechen dem Stand vom Veröffentlichungsdatum. Für eine auf Ihre konkrete Situation zugeschnittene Beratung wenden Sie sich an einen qualifizierten Rechtsanwalt oder Steuerberater.
Was ist DAC7/PStTG und warum müssen Online-Marktplätze ihre Verkäufer identifizieren?
Die EU-Richtlinie 2021/514/EU — bekannt als DAC7 — verpflichtet Betreiber digitaler Plattformen europaweit, steuerlich relevante Daten ihrer Verkäufer zu erheben und automatisch mit den Steuerbehörden auszutauschen. Deutschland hat DAC7 durch das Plattformen-Steuertransparenzgesetz (PStTG) vom 20. Dezember 2022 (BGBl. I S. 2730) in nationales Recht umgesetzt. Das Gesetz ist am 1. Januar 2023 in Kraft getreten; die erste Meldepflicht gegenüber dem BZSt galt für den 31. Januar 2024 (für Daten aus dem Kalenderjahr 2023).
Das Grundprinzip entspricht dem, was Banken und Finanzinstitute seit Jahrzehnten unter dem Common Reporting Standard (CRS) praktizieren: Die Plattform übernimmt die Rolle eines steuerlichen Informationsintermediärs. Sie erhebt KYC-Daten (Know Your Customer) von ihren Verkäufern, gleicht diese gegen interne Plausibilitätsprüfungen ab und übermittelt die konsolidierten Meldedaten einmal jährlich an das BZSt. Das BZSt leitet die Daten anschließend an die zuständigen Steuerbehörden der Ansässigkeitsstaaten der Verkäufer weiter — auch über die EU-Grenzen hinaus, soweit bilaterale Abkommen bestehen.
Wichtig ist die Abgrenzung: PStTG und DAC7 sind steuerliche Transparenzinstrumente — sie stehen neben, nicht anstelle der geldwäscherechtlichen Sorgfaltspflichten nach dem Geldwäschegesetz (GwG). Plattformbetreiber, die zugleich Zahlungsdienste im Sinne des Zahlungsdiensteaufsichtsgesetzes (ZAG) erbringen, können zusätzlich unter die GwG-Verpflichteteneigenschaft fallen und unterliegen dann der Aufsicht der BaFin.
Die Rechtsquellen:
- DAC7 im EUR-Lex-Portal (DE)
- BZSt — Informationen zum PStTG
- Bundesministerium der Finanzen — Digitale Plattformen
Wer ist meldepflichtig? Schwellenwerte und Definitionen
Das PStTG unterscheidet zwischen meldepflichtigen Plattformbetreibern und meldepflichtigen Anbietern (d. h. Verkäufern). Nicht jede Transaktion und nicht jeder Verkäufer löst eine Meldepflicht aus.
Meldepflichtige Plattformbetreiber
Meldepflichtig ist, wer eine digitale Plattform betreibt, über die Verkäufer entgeltliche Leistungen erbringen — insbesondere den Verkauf von Waren, die Erbringung persönlicher Dienstleistungen, die Vermietung von Verkehrsmitteln oder die Vermietung von Immobilien. Ausgenommen sind Plattformen, die ausschließlich Zahlungsabwicklung oder Werbung anbieten, ohne selbst Transaktionen zu vermitteln.
Schwellenwerte auf Verkäuferebene (De-minimis-Ausnahme)
| Kriterium | Schwellenwert | Rechtsgrundlage |
|---|---|---|
| Anzahl der Transaktionen pro Kalenderjahr | mehr als 30 | § 5 Abs. 3 PStTG |
| Vergütung pro Kalenderjahr | mehr als 2.000 € | § 5 Abs. 3 PStTG |
| Verknüpfung der Kriterien | ODER (eines genügt) | § 5 Abs. 3 PStTG |
| Ausgeschlossene Einheiten | Staatliche Stellen, börsennotierte Unternehmen | § 4 Abs. 2 PStTG |
Unterhalb beider Schwellen greift die De-minimis-Ausnahme: Der Plattformbetreiber muss diese Verkäufer zwar im System erfassen, ihnen gegenüber jedoch keine vollständige Sorgfaltspflicht nach § 12 PStTG erbringen und sie nicht melden. Sobald einer der Schwellenwerte überschritten wird — auch im laufenden Kalenderjahr — ist die vollständige Identitätsprüfung nachzuholen.
Welche Plattformtypen sind betroffen?
Die Meldepflicht trifft unter anderem: Warenkauf-Marktplätze (klassische C2C- und B2C-Plattformen), Dienstleistungsplattformen (Handwerker-, Freelancer- und Kuriermarktplätze), Kurzzeitmietplattformen (Wohnraum, Fahrzeuge) sowie Ticketwiederverkaufsplattformen. Reine SaaS-Lösungen, die Händlern lediglich Software zur Verfügung stellen, ohne selbst Transaktionen zu vermitteln, fallen in der Regel nicht darunter.
Welche Dokumente müssen für das Verkäufer-KYC gesammelt werden?
§ 12 PStTG legt fest, welche Informationen Plattformbetreiber von meldepflichtigen Anbietern erheben und nach § 13 PStTG verifizieren müssen. Die Anforderungen unterscheiden sich je nach Anbietertyp.
| Dokumentenkategorie | Privatperson (natürliche Person) | Unternehmen (juristische Person / Personengesellschaft) |
|---|---|---|
| Identitätsnachweis | Personalausweis oder Reisepass (amtliches Lichtbilddokument) | Handelsregisterauszug (nicht älter als 3 Monate) |
| Steueridentifikation | Steuer-Identifikationsnummer (Steuer-ID, 11-stellig) oder TIN des Ansässigkeitsstaats | Steuernummer / Umsatzsteuer-Identifikationsnummer (USt-IdNr.) |
| Bankverbindung | IBAN des Zahlungskontos | IBAN des Geschäftskontos |
| Wohnsitz-/Sitznachweis | Wohnsitznachweis (Meldebescheinigung, Versorgerabrechnung) | Eingetragene Geschäftsadresse (aus Handelsregister) |
| Ergänzende Angaben | Geburtsdatum, Geburtsort, Ansässigkeitsstaat | Rechtsform, wirtschaftlich Berechtigte (ggf. nach GwG) |
Die Verifikationspflicht nach § 13 PStTG verlangt, dass Plattformbetreiber die erhobenen Daten nicht nur sammeln, sondern aktiv auf Plausibilität prüfen — entweder durch eigene Prüfmechanismen oder durch Rückgriff auf externe Dienstleister. CheckFile unterstützt dabei über 3.200 Dokumenttypen in 32 Jurisdiktionen und verwendet eine mehrschichtige Analyse — strukturell, Metadaten und dokumentenübergreifende Konsistenzprüfung — um Dokumente automatisiert zu verifizieren.
Für die Verifizierung von Handelsregisterauszügen und Steueridentifikationsnummern ist die Integration mit behördlichen Datenquellen empfehlenswert. Unsere KYC-Lösung für Finanzinstitute und regulierte Unternehmen deckt auch plattformspezifische Anforderungen ab.
Bereit, Ihre Prüfungen zu automatisieren?
Kostenloses Pilotprojekt mit Ihren eigenen Dokumenten. Ergebnisse in 48h.
Kostenloses Pilotprojekt anfragenMeldefristen und Zeitplan
Das PStTG sieht einen klaren Meldezyklus vor. Plattformbetreiber sollten ihre internen Prozesse so gestalten, dass Datenerfassung, Verifikation und Exportvorbereitung vor dem Jahresende abgeschlossen sind.
| Zeitraum | Frist | Inhalt |
|---|---|---|
| Erste Meldung (Daten 2023) | 31. Januar 2024 (abgelaufen) | Erstmeldung an das BZSt für alle meldepflichtigen Anbieter des Jahres 2023 |
| Meldung für 2024 | 31. Januar 2025 (abgelaufen) | Reguläre Jahresmeldung |
| Meldung für 2025 | 31. Januar 2026 (abgelaufen) | Reguläre Jahresmeldung |
| Meldung für 2026 | 31. Januar 2027 | Nächste anstehende Frist |
| Korrekturmeldungen | Innerhalb von 30 Tagen | Bei nachträglicher Kenntnis von Fehlinformationen |
| Aufbewahrungspflicht | 10 Jahre | § 17 PStTG — alle erhobenen Daten und Nachweise |
Die Meldungen erfolgen elektronisch über das BZSt-Online-Portal (BOP) im vorgeschriebenen XML-Format gemäß dem technischen Standard des BZSt. Plattformbetreiber, die erstmalig meldepflichtig werden, müssen sich vorab beim BZSt registrieren.
Eine wichtige Einschränkung: Ist der Plattformbetreiber bereits in einem anderen EU-Mitgliedstaat registriert und erfüllt dort seine Meldepflichten nach DAC7, entfällt die Doppelmeldung an das BZSt — sofern die Einfachregistrierungsregelung des § 2 Abs. 3 PStTG greift.
DSA Artikel 30: Überprüfung gewerblicher Verkäufer
Neben dem steuerlichen Regelungsrahmen des PStTG tritt seit dem 17. Februar 2024 die volle Anwendung des Digital Services Act (DSA, Verordnung (EU) 2022/2065) für alle Online-Marktplätze in Kraft. DSA im EUR-Lex-Portal (DE)
Artikel 30 DSA verpflichtet Betreiber von Online-Marktplätzen dazu, vor der Zulassung gewerblicher Verkäufer eine aktive Identitätsprüfung ("Know Your Business Customer", KYBC) durchzuführen. Die Anforderungen gehen in einigen Punkten über das PStTG hinaus:
- Der Marktplatz muss Namen, Anschrift, Telefonnummer und E-Mail-Adresse des Händlers erheben.
- Eine Kopie des Personalausweises, Reisepasses oder eines anderen amtlich anerkannten Identitätsnachweises ist beizubehalten.
- Bei juristischen Personen ist der Name des gesetzlichen Vertreters zu dokumentieren.
- Die Handelsregisternummer oder eine gleichwertige offizielle Registrierungsnummer ist anzugeben.
- Der Marktplatz muss die erhobenen Informationen nach bestem Wissen auf Vollständigkeit und Plausibilität prüfen — eine Pflicht, die sich inhaltlich mit der Verifikationspflicht des § 13 PStTG überschneidet, jedoch unabhängig davon besteht.
Ein entscheidender Unterschied zum PStTG: Die DSA-Pflicht nach Artikel 30 gilt unabhängig von Umsatz- oder Transaktionsschwellen für alle gewerblichen Verkäufer. Es gibt keine De-minimis-Ausnahme. Plattformen sollten deshalb prüfen, ob ihre KYC-Prozesse beiden Anforderungsregimes gerecht werden, und die Datenerhebung entsprechend harmonisieren — ohne gegen das datenschutzrechtliche Prinzip der Datensparsamkeit nach der DSGVO und dem BDSG zu verstoßen.
Die zuständige Behörde für die DSA-Durchsetzung in Deutschland ist der Koordinator für digitale Dienste gemäß § 1 Abs. 1 DDG (Digitale-Dienste-Gesetz), der beim Bundesnetzamt angesiedelt ist. Datenschutzrechtliche Fragen im Zusammenhang mit der Identitätsverifizierung unterliegen der Kontrolle des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI).
Sanktionen bei Nichteinhaltung
Die Sanktionslandschaft ist vielschichtig und betrifft mehrere Rechtsregimes gleichzeitig.
PStTG-Bußgelder (§ 26 PStTG):
Verstöße gegen die Melde-, Erhebungs- und Verifikationspflichten des PStTG stellen Ordnungswidrigkeiten dar. Der Bußgeldrahmen beträgt bis zu 50.000 € je Verstoß. Als Verstoß gilt insbesondere: das vorsätzliche oder leichtfertige Unterlassen der Identifizierung eines meldepflichtigen Anbieters, die Übermittlung unrichtiger oder unvollständiger Meldedaten sowie die Nichteinhaltung der Aufbewahrungspflicht.
DSA-Sanktionen:
Nach Artikel 52 DSA können nationale Behörden bei Verstößen Geldbußen von bis zu 6 % des weltweiten Jahresumsatzes des Plattformbetreibers verhängen. Bei wiederholten schwerwiegenden Verstößen sieht Artikel 52 Abs. 3 DSA temporäre Zugangsbeschränkungen vor.
GwG und BaFin:
Für Plattformbetreiber, die als Zahlungsinstitute nach ZAG oder als verpflichtete Unternehmen nach § 2 GwG einzustufen sind, kommen zusätzliche aufsichtsrechtliche Sanktionen der BaFin hinzu — einschließlich Lizenzentzug im Extremfall.
DSGVO-Haftung:
Fehler bei der Verarbeitung personenbezogener Daten im KYC-Prozess — etwa übermäßige Datenerhebung entgegen dem Datensparsamkeitsprinzip oder fehlende Auftragsverarbeitungsverträge mit KYC-Dienstleistern — können Bußgelder nach Artikel 83 DSGVO von bis zu 4 % des weltweiten Jahresumsatzes nach sich ziehen.
Verkäufer-KYC automatisieren: So geht es in der Praxis
Die manuelle Überprüfung von Ausweisdokumenten, Handelsregisterauszügen und Steueridentifikationsnummern skaliert ab einer dreistelligen Verkäuferzahl nicht mehr wirtschaftlich. Plattformen, die ihre Compliance operativ umsetzen wollen, benötigen einen strukturierten, teilautomatisierten Ansatz.
Schritt 1 — Onboarding-Flow differenzieren: Privatpersonen und Unternehmen durchlaufen unterschiedliche Dokumentenpfade. Der Onboarding-Flow sollte die Anbieterklassifikation am Anfang abfragen und entsprechend verzweigen. DSA-Artikel 30 gilt nur für gewerbliche Anbieter; PStTG gilt für beide Kategorien, sofern die Schwellen überschritten werden.
Schritt 2 — Dokumentenerfassung standardisieren: Definieren Sie akzeptable Dokumententypen je Jurisdiktion und Anbieterklasse. Für deutsche Privatpersonen gilt Personalausweis oder Reisepass; für EU-Bürger aus anderen Mitgliedstaaten sind die nationalen Ausweisdokumente zu akzeptieren. CheckFile unterstützt über 3.200 Dokumenttypen in 32 Jurisdiktionen und erkennt automatisch, ob ein eingereistes Dokument zu den akzeptierten Typen gehört.
Schritt 3 — Automatisierte Verifikation integrieren: Die bloße Speicherung von Dokumentenkopien genügt weder dem PStTG noch dem DSA. Es bedarf einer inhaltlichen Plausibilitätsprüfung. Eine spezialisierte Compliance-Lösung analysiert Dokumente mehrschichtig: strukturelle Merkmale (Sicherheitsmerkmale, Schrifttypen, Layout), Metadaten (Erstellungsdatum, Geräteinformationen bei Scans) und dokumentenübergreifende Konsistenz (stimmt der Name auf dem Personalausweis mit dem auf dem Kontoauszug überein?).
Schritt 4 — Schwellenwert-Monitoring einrichten: Da die De-minimis-Ausnahme des PStTG transaktionsbasiert ist, muss das Plattformsystem Transaktionszahl und Vergütung je Verkäufer laufend tracken und automatisch eine KYC-Nachforderung auslösen, sobald einer der Schwellenwerte überschritten wird.
Schritt 5 — Meldedaten-Export vorbereiten: Die Meldung an das BZSt erfolgt im XML-Format gemäß BZSt-Vorgabe. Stellen Sie sicher, dass Ihr System die erforderlichen Felder vollständig und im korrekten Format befüllt und ein revisionsicheres Audit-Log der Meldungen führt.
Weitere Hintergründe zur Dokumenten-Compliance finden Sie in unserem Leitfaden zur Dokumenten-Compliance sowie in den verwandten Artikeln zu KYC-Anforderungen 2026 und zur Due-Diligence-Checkliste für Unternehmen.
Häufig gestellte Fragen
Gilt das PStTG auch für ausländische Plattformbetreiber, die in Deutschland tätig sind?
Ja. § 3 PStTG bestimmt, dass meldepflichtige Plattformbetreiber auch dann unter das Gesetz fallen, wenn sie ihren Sitz außerhalb Deutschlands oder der EU haben, sofern sie Anbieter in Deutschland über ihre Plattform tätig sein lassen. Nicht in der EU ansässige Betreiber müssen sich für PStTG-Zwecke bei einem EU-Mitgliedstaat registrieren und sind verpflichtet, von dort aus ihren Meldepflichten nachzukommen.
Kann ich als Plattformbetreiber die KYC-Prüfung an einen Dienstleister auslagern?
Die Meldepflicht selbst ist nicht delegierbar — verantwortlich bleibt stets der Plattformbetreiber. Die operative Durchführung der Identitätsverifizierung hingegen kann an spezialisierte Drittdienstleister ausgelagert werden, sofern ein Auftragsverarbeitungsvertrag nach Artikel 28 DSGVO geschlossen wird und der Dienstleister die DSGVO-Anforderungen einhält. Der BfDI hat klargestellt, dass Plattformbetreiber für die Compliance der von ihnen beauftragten Dienstleister mitverantwortlich bleiben.
Was passiert, wenn ein Verkäufer die angeforderten Dokumente verweigert?
§ 14 PStTG sieht vor, dass der Plattformbetreiber einem Anbieter, der die erforderlichen Informationen nach zweimaliger Erinnerung und einer Frist von mindestens 30 Tagen nicht übermittelt, die Auszahlung von Vergütungen zu sperren hat. Alternativ kann die Teilnahme an der Plattform vollständig untersagt werden. Diese Konsequenz ist im Nutzungsvertrag transparent zu kommunizieren.
Wie verhält sich das PStTG zur DSGVO — darf ich wirklich alle diese Daten erheben?
Das PStTG stellt nach herrschender Auffassung eine gesetzliche Verpflichtung im Sinne von Artikel 6 Abs. 1 lit. c DSGVO dar, die die Verarbeitung der erforderlichen personenbezogenen Daten rechtfertigt. Gleichzeitig gilt der Grundsatz der Datensparsamkeit (Artikel 5 Abs. 1 lit. c DSGVO): Es dürfen nur die Daten erhoben werden, die für die Erfüllung der PStTG-Pflichten tatsächlich erforderlich sind. Plattformbetreiber sollten prüfen, ob sie im Onboarding-Flow Daten erheben, die über das gesetzlich Geforderte hinausgehen, und diese gegebenenfalls aus dem Pflichtfeld-Set entfernen.
Müssen auch bereits aktive Verkäufer nachidentifiziert werden, die vor Inkrafttreten des PStTG ongeboardet wurden?
Ja. Das PStTG enthält keine Bestandsschutzregelung für Alt-Verkäufer. Plattformbetreiber mussten Verkäufer, die bei Inkrafttreten des Gesetzes bereits auf der Plattform aktiv waren und die Schwellenwerte überschritten, nachidentifizieren — spätestens vor der ersten Meldung am 31. Januar 2024. Für Plattformen, die diesen Schritt noch nicht vollständig abgeschlossen haben, besteht weiterhin Handlungsbedarf.
Dieser Artikel dient ausschließlich Informationszwecken und stellt keine Rechtsberatung dar.
Bleiben Sie informiert
Erhalten Sie unsere Compliance-Analysen und Praxisleitfäden direkt in Ihr Postfach.