2. Was ist PCI DSS?

PCI DSS (Payment Card Industry Data Security Standard) ist der weltweit gültige Sicherheitsstandard, den die Kartenorganisationen (Visa, Mastercard, American Express, Discover, JCB) unter dem Dach des PCI Security Standards Council (PCI SSC) ins Leben gerufen haben. Dieses Gremium legt die Sicherheitsanforderungen von PCI DSS fest und aktualisiert sie regelmäßig. Ziel des Standards ist es, Kartendaten – darunter sensible Kreditkartendaten – bei der Verarbeitung, Übertragung und Speicherung zu schützen. In diesem Abschnitt erfährst Du alles, was Du über die Einhaltung von PCI DSS wissen musst.

Die aktuelle Version 4.0 stellt die erste große Überarbeitung seit über zehn Jahren dar: Sie umfasst 64 neue Anforderungen, die insbesondere modernere Technologien wie kontaktlose Zahlungen, Tokenisierung und Netzwerkscans adressieren. Darüber hinaus verpflichtet die neue Anforderung 12.5.2 Händler, den Umfang ihrer PCI‑Umgebung jährlich zu bestätigen und Verantwortlichkeiten schriftlich festzulegen. Änderungen in PCI DSS 4.0 sorgen dafür, dass Unternehmen weiterhin den Sicherheitsanforderungen gerecht werden. Eine Nachfolgeversion ist aktuell nicht angekündigt (Stand: September 2025).

2.1 Kernziele des PCI DSS

Der Standard gliedert sich in sechs grundlegende Schutzziele:

• Sichere Netzwerkinfrastruktur: Firewalls einrichten, Router konfigurieren und Standardpasswörter ersetzen.
• Kartendaten schützen: Primäre Kontonummern (PAN) nur verschlüsselt speichern und übertragen. Dies betrifft sensible Kreditkartendaten genauso wie Daten aus der Girocard; auch beim Verarbeiten oder Übertragen müssen diese geschützt werden, um Zahlungskartendaten vor Missbrauch zu bewahren.
• Schwachstellen managen: Antivirensoftware einsetzen und Systeme regelmäßig patchen, um Datenlecks zu verhindern und das Risiko auf ein Minimum zu verringern.
• Zugriffsrechte kontrollieren: Nur autorisierte Mitarbeiter dürfen auf Kartendaten zugreifen; Multi‑Faktor‑Authentifizierung (mindestens zwei Faktoren) ist Pflicht. Klare Rollen und organisatorische Kontrollen verringern das Risiko von Insider‑Bedrohungen und Nichteinhaltung.
• Netzwerke überwachen und testen: Protokolle auswerten, Schwachstellenscans und Penetrationstests durchführen.
• Informationssicherheitsrichtlinie etablieren: Ein dokumentiertes Sicherheitsprogramm einführen und pflegen. Dazu gehören auch organisatorische Prozesse für die Implementierung und das Befolgen der Sicherheitsanforderungen von PCI DSS.

Moderne Technologien wie EMV‑Chips erzeugen bei jeder Transaktion dynamische Daten, was Kartenfälschungen deutlich erschwert. Tokenisierung ersetzt reale Kartendaten durch wertlose Tokens, sodass bei einem Datenleck keine sensitiven Informationen kompromittiert werden. Point‑to‑Point‑Encryption (P2PE) verschlüsselt Transaktionsdaten direkt am Terminal und minimiert die PCI‑Scope‑Größe. Diese Sicherheitsmaßnahmen helfen, Zahlungskartendaten zu schützen.

Der Schutz von Karteninhaberdaten erfordert eine ganzheitliche Betrachtung: technologische Maßnahmen wie P2PE und Tokenisierung müssen durch organisatorische Richtlinien ergänzt werden, die jeder Mitarbeitende kennt und befolgt. So lässt sich das Risiko von Datenlecks und Missbrauch dauerhaft verringern.

Informationssicherheit ist dabei keine Einmal‑Aufgabe, sondern ein kontinuierlicher Prozess, den Unternehmen in ihre Abläufe integrieren müssen.

2.2 Warum PCI-Compliance für Händler unverzichtbar ist

Die Einhaltung von PCI DSS – also der Schutz Deiner Kreditkartendaten nach den Vorgaben des PCI Security Standards Council – ist Pflicht, wenn Du bargeldloses Bezahlen anbietest. Unverschlüsselte Terminals oder fehlende Updates erhöhen das Risiko von Datenlecks und damit von Bußgeldern oder Chargebacks.

Mit den Bezahlexperten bist Du dabei auf der sicheren Seite: Unsere zertifizierten Terminals erfüllen die neuesten Sicherheitsanforderungen, sind immer auf dem aktuellen Stand und helfen, sensible Kartendaten vor Angriffen zu schützen. So kannst Du Dich auf Dein Geschäft konzentrieren, während wir dafür sorgen, dass Du die strengen PCI‑DSS‑Anforderungen erfüllst.

3. Das Geldwäschegesetz (GwG) & KYC – Pflichten für Händler und Dienstleister

Geldwäsche und Terrorismusfinanzierung sind nicht nur Probleme der Großbanken. Auch kleine Händler und Dienstleister sind verpflichtet, ihre Geschäftspartner zu identifizieren und verdächtige Transaktionen zu melden. Das Geldwäschegesetz (GwG) setzt die europäischen Anti‑Geldwäsche‑Richtlinien in deutsches Recht um. Es verpflichtet Unternehmen, je nach Risiko vereinfachte, allgemeine oder verstärkte Sorgfaltspflichten anzuwenden – dazu gehören Identitätsprüfung, Risikobewertung, laufende Überwachung, Dokumentation und Meldung von verdächtigen Aktivitäten.

3.1 KYC‑Unterlagen und wirtschaftlich Berechtigte

Bevor Du einen Akzeptanzvertrag abschließen kannst, muss der Zahlungsdienstleister Deine Identität, die Deiner Gesellschafter und den wirtschaftlichen Zweck Deines Unternehmens prüfen. Hierfür sind Personalausweis, Handelsregisterauszug, Gesellschafterliste und ggf. Nachweise zur Unternehmensstruktur erforderlich. Das dient dem Schutz aller Beteiligten: Dienstleister riskieren hohe Bußgelder, wenn sie Kunden nicht ordnungsgemäß identifizieren; die BaFin verhängte z. B. 2024 eine Strafe von 350.000 € gegen einen Zahlungsdienstleister, der seine GwG‑Pflichten vernachlässigt hatte.

3.2 Neue BaFin-Leitlinien 2025

Zum 1. Februar 2025 hat die BaFin ihre Auslegungs‑ und Anwendungshinweise (AuA 2.0) zum GwG aktualisiert. Die wichtigsten Neuerungen:

• Risikobasierte Überprüfungsintervalle: KYC‑Dateien müssen nun je nach Risiko jährlich oder spätestens alle fünf Jahre aktualisiert werden. Die früheren festen Intervalle von bis zu 15 Jahren entfallen.
• Dokumente länger gültig: Handelsregisterauszüge und ähnliche Unterlagen dürfen bis zu drei Monate alt sein (zuvor vier Wochen).
• Erweiterter Identitätsnachweis: Neben Pass und Führerschein werden auch amtliche Ausweise staatlicher Stellen anerkannt. Die Nutzung externer Datenbanken zur Prüfung von politisch exponierten Personen (PEP) ist zulässig, sofern diese aktuell sind.
• Trennung von Geldwäsche- und Terrorismusfinanzierungs‑Risikoanalyse: Unternehmen müssen beide Risiken separat bewerten und bei Veränderungen ad hoc anpassen.
• Meldepflichten: Nach Abgabe einer Verdachtsmeldung gilt die „Duty to stand still“: Die Transaktion darf erst durchgeführt werden, wenn die FIU oder die Staatsanwaltschaft innerhalb von drei Werktagen nichts anderes veranlasst.

3.3 Pflichten für Händler zusammengefasst

• Identitätsprüfung & KYC: Sammle vollständige Unterlagen Deiner Geschäftsführer und Gesellschafter. Aktualisiere diese je nach Risikoprofil regelmäßig.
• Risikobewertung: Analysiere Branche, Kundenstruktur und Transaktionsvolumen, um das Geldwäscherisiko einzuschätzen. Dokumentiere Deine Bewertung.
• Monitoring & Meldung: Überwache Transaktionen laufend und melde verdächtige Vorgänge unverzüglich an die Financial Intelligence Unit (FIU). Halten Dich an die 3‑Tage‑Regel der AuA 2.0.
• Schulung & AML‑Beauftragter: Benenne einen Geldwäschebeauftragten, schule Dein Team regelmäßig und bewahre alle Dokumente mindestens fünf Jahre auf.

Klingt komplex? Keine Sorge – wir stehen Dir bei Fragen zur Verfügung. So vermeidest Du Verzögerungen und sorgst für einen reibungslosen Vertragsabschluss.

4. Konsequenzen bei Verstößen & Practices

Die Nichteinhaltung von Sicherheits‑ und Compliance‑Vorgaben ist teuer. Händler riskieren hohe Bußgelder, erhöhte Chargeback‑Quoten, Vertragskündigungen durch Acquirer und Reputationsschäden. Mit den neuen AuA‑Leitlinien drohen zudem aufsichtsrechtliche Maßnahmen, wenn KYC‑Prüfungen nicht ordnungsgemäß aktualisiert werden oder verdächtige Transaktionen nicht rechtzeitig gemeldet werden.

4.1 Konkrete Folgen

• Bußgelder und Strafen: Die BaFin kann empfindliche Geldbußen verhängen; das Spektrum reicht von fünfstelligen Beträgen bis zu mehr als einer Million Euro – je nach Schwere des Verstoßes.
• „Duty to stand still“: Nach einer Verdachtsmeldung dürfen Zahlungen erst ausgeführt werden, wenn die FIU oder Staatsanwaltschaft zustimmt oder drei Werktage verstrichen sind. Verzögerungen treffen sowohl Händler als auch Kunden.
• Reputationsrisiko: Medienberichte über Datenschutzverletzungen oder Geldwäscheverstöße schaden dem Vertrauen Deiner Kundschaft nachhaltig.

4.2 Best Practices für Deine Sicherheit

• Risikobasierte KYC‑Überprüfung: Lege für jede Kundenkategorie (niedrig, normal, hoch) klare Überprüfungszyklen fest und halte diese ein.
• Aktuelle Dokumente verwenden: Akzeptiere nur Nachweise, die nicht älter als drei Monate sind; archiviere diese sicher.
• PEP‑ und UBO‑Prüfungen: Nutze zuverlässige Datenbanken für politisch exponierte Personen und ermittle wirtschaftlich Berechtigte sorgfältig.
• Dualer Risikoansatz: Analysiere Geldwäsche- und Terrorismusfinanzierungsrisiken separat und passe Deine Analyse an, wenn sich interne oder externe Faktoren ändern.
• Verdachtsmeldungen professionell handhaben: Schulen Deine Teams, wann und wie eine SAR (Suspicious Activity Report) abzugeben ist. Dokumentiere jeden Schritt und beachte die 3‑Tage‑Regel.
• Zertifizierte Dienstleister: Arbeite mit Payment‑Service‑Providern und Terminalanbietern zusammen, die PCI‑zertifiziert sind und Deine AML‑Prozesse unterstützen. Moderne Anbieter integrieren KYC‑Management, Tokenisierung und P2PE in einem System.

Mit diesen Maßnahmen reduzierst Du Dein Risiko erheblich und erfüllst sowohl PCI‑ als auch GwG‑Anforderungen.

5. Bezahlexperten: Deine vertrauensvollen Partner für sichere Kartenzahlung

Abschließend wollen wir Dir zeigen, warum die Bezahlexperten der ideale Partner für Dein Unternehmen ist. Wir wissen, dass die Wahl des richtigen Payment‑Dienstleisters nicht nur von Sicherheit und Compliance abhängt, sondern auch von Preis, Service und Flexibilität. Unsere Zahlungsdienstleistungen sind darauf ausgelegt, Unternehmen mit Sitz in Deutschland und Österreich beim Umstieg auf bargeldlose Zahlungen zu unterstützen.

• Kartenzahlung einfach, fair und günstig: Mit unseren Flatrate‑Tarifen zahlst Du maximal 1,19 % pro Transaktion. Es gibt keine weiteren Fixkosten; Du zahlst nur für das, was Du wirklich brauchst – transparent und ohne versteckte Gebühren.
• Alle Zahlungsarten akzeptieren: Unsere Terminals verarbeiten EC‑Karten, Kreditkarten, kontaktlose Zahlungen und mobile Wallets. Besonders wichtig: Wir garantieren 100 % Girocard‑Akzeptanz, sodass wirklich jede Karte funktioniert.
• All‑in‑One‑Lösungen: Ob Du nur ein Kartenterminal, ein komplettes Kassensystem oder beides benötigst – wir bieten abgestimmte Pakete für jede Branche, von Gastronomie bis Einzelhandel.
• Transparente Preise und faire Konditionen: Du zahlst nur für das, was Du wirklich benötigst; wir bieten 100 % Preisklarheit. Unsere Verträge sind monatlich kündbar und ohne langfristige Bindung.
• Erfahrung und Service: Seit 2017 betreuen wir über 10.000 Kunden und kennen die Anforderungen kleiner und mittlerer Unternehmen. Unser Team aus über 30 Experten steht Dir bei Fragen jederzeit zur Seite – per Telefon oder E-Mail.
• Schnelle Einrichtung: Unsere Geräte sind in wenigen Tagen einsatzbereit; Du kannst sofort kartengestützte Zahlungen annehmen und kontaktlos zahlen ermöglichen. Das ist besonders für Apple Pay und Google Pay wichtig.
• Branchenspezifische Beratung: Ob Einzelhandel, Gastronomie oder Arztpraxis – mit nur vier kurzen Fragen in unserem Konfigurator ermitteln wir die passende Lösung für Deinen Umsatz, Deine Branche und Dein Geschäftsmodell. So erhältst Du ein maßgeschneidertes Angebot, das zu Deinem Budget passt.

Unser Versprechen: Wir machen Kartenzahlungen einfach, fair und sicher – damit Du Dich voll und ganz auf Dein Kerngeschäft konzentrieren kannst. Nutze unseren Konfigurator und überzeuge Dich selbst: Mit uns hast Du einen starken Partner an Deiner Seite, der Sicherheit, Compliance und Service vereint.

Diese Entscheidung ist für Unternehmen wichtig, um ihre Kunden zu schützen und gleichzeitig den gesetzlichen Sicherheitsanforderungen gerecht zu werden. Unsere Produkte und Dienstleistungen helfen Dir, die Einhaltung von PCI DSS zu garantieren, den organisatorischen Aufwand zu verringern und sensiblen Kartendaten die maximale Sicherheit zu bieten.