Eine praxisorientierte Anleitung für Händler in Deutschland, wie Sie Zahlungen sicher abwickeln und PCI‑DSS‑Anforderungen erfüllen.
PCI DSS Compliance — Was Händler wissen müssen
Sie akzeptieren Kartenzahlungen in Ihrem Geschäft oder Online-Shop? Dann sind Sie verpflichtet, die PCI DSS-Sicherheitsstandards einzuhalten. Was das konkret bedeutet, welche Anforderungen auf Sie zukommen und wie Sie Compliance erreichen, erfahren Sie in diesem Ratgeber.
📋 Das Wichtigste in Kürze:
- ✅ PCI DSS ist Pflicht für alle Händler, die Kartenzahlungen akzeptieren
- ✅ 4 Compliance-Level abhängig vom jährlichen Transaktionsvolumen
- ✅ Selbsteinschätzung (SAQ) oder externe Prüfung (QSA) je nach Level
- ✅ Vierteljährliche Sicherheitsscans sind für die meisten Händler Pflicht
- ✅ Bußgelder bei Nicht-Compliance: 5.000 bis 100.000 EUR pro Monat
Was ist PCI DSS?
PCI DSS steht für Payment Card Industry Data Security Standard – ein globaler Sicherheitsstandard für den Umgang mit Kreditkartendaten. Entwickelt wurde er vom PCI Security Standards Council (PCI SSC), einem Zusammenschluss der großen Kreditkartenunternehmen: Visa, Mastercard, American Express, Discover und JCB.
Ziel des Standards ist es, Karteninhaberdaten zu schützen und das Risiko von Datenpannen, Betrug und Missbrauch zu minimieren. Der Standard definiert technische und organisatorische Maßnahmen, die Händler und Dienstleister beim Umgang mit sensiblen Zahlungsdaten einhalten müssen.
Wichtig: PCI DSS ist kein Gesetz, sondern eine vertragliche Verpflichtung zwischen Ihnen als Händler und Ihrer Acquiring-Bank bzw. den Kreditkartenunternehmen. Verstöße können zu empfindlichen Strafen führen. In Deutschland ist PCI DSS zusätzlich relevant im Kontext der DSGVO (Art. 32); fehlende PCI‑Compliance kann bei Datenpannen als Organisationsmangel gewertet werden.
Für welche Händler gilt PCI DSS?
PCI DSS gilt für alle Unternehmen, die Kreditkarten- oder Debitkartendaten speichern, verarbeiten oder übertragen. Das betrifft:
- Stationäre Geschäfte mit EC-Terminal oder Kartenlesegerät
- Online-Shops mit Kreditkartenzahlung
- Mobile Händler (Food Trucks, Marktstände, Lieferdienste mit SoftPOS)
- Dienstleister die Zahlungsabwicklung anbieten
Selbst wenn Sie die Zahlungsabwicklung komplett an einen Payment Service Provider (PSP) auslagern, sind Sie nicht automatisch von allen PCI-Anforderungen befreit. Die genaue Einstufung hängt davon ab, wie und wo Kartendaten in Ihrem System verarbeitet werden.
Die 4 Merchant Levels
PCI DSS teilt Händler in vier Levels ein – abhängig vom jährlichen Transaktionsvolumen über alle Kartenmarken hinweg:
| Level | Transaktionen/Jahr | Anforderungen |
|---|---|---|
| Level 1 | > 6 Millionen | Jährliche externe Prüfung durch QSA (Qualified Security Assessor), vierteljährliche Netzwerk-Scans |
| Level 2 | 1 – 6 Millionen | Jährliche Selbsteinschätzung (SAQ) oder QSA-Audit, vierteljährliche Scans |
| Level 3 | 20.000 – 1 Million (E-Commerce) | Jährliche Selbsteinschätzung (SAQ), vierteljährliche Scans |
| Level 4 | < 20.000 (E-Commerce) oder < 1 Million (stationär) | Jährliche Selbsteinschätzung (SAQ), vierteljährliche Scans (falls gefordert) |
Die meisten stationären Einzelhändler fallen in Level 3 oder 4. Das bedeutet: Sie müssen keinen teuren externen Auditor beauftragen, sondern können eine Selbsteinschätzung (SAQ) durchführen.
Self-Assessment Questionnaire (SAQ) — Die 4 Kategorien
Der Self-Assessment Questionnaire (SAQ) ist ein Fragebogen zur Selbstbewertung Ihrer PCI-Compliance. Es gibt vier verschiedene SAQ-Typen – welcher für Sie gilt, hängt von Ihrer Zahlungsinfrastruktur ab:
SAQ A — Für E-Commerce mit vollständigem Outsourcing
- Sie haben einen Online-Shop
- Kunden werden zu einem externen Zahlungsanbieter weitergeleitet (z.B. PayPal, Stripe)
- Keine Kartendaten durchlaufen Ihre Server
SAQ B — Für stationäre Händler mit POS-Terminals
- Sie nutzen ein eigenständiges EC-Terminal (standalone oder Dial-out)
- Keine elektronische Speicherung von Kartendaten
- Das ist der relevante SAQ für die meisten Ladengeschäfte!
Hinweis: SAQ B gilt nur, wenn das Terminal nicht in ein offenes Händlernetzwerk integriert ist und keine IP‑basierte Verarbeitung über das Kassensystem erfolgt. Bei IP‑integrierten Terminals oder wenn Kartendaten über das Händlernetz verarbeitet werden, kann eine andere SAQ‑Variante (z. B. SAQ C oder SAQ D) erforderlich sein.
SAQ C — Für Web-basierte Zahlungslösungen
- Zahlungsseite ist in Ihre Website integriert (z.B. iFrame, Hosted Payment Page)
- Kartendaten werden nicht auf Ihrem Server gespeichert
SAQ D — Für alle anderen Szenarien
- Komplexeste Variante für Händler, die Kartendaten selbst verarbeiten oder speichern
- Auch Pflicht für Service Provider
Für stationäre Händler mit einem zertifizierten EC-Terminal ist SAQ B in der Regel ausreichend – vorausgesetzt, Sie speichern keine Kartendaten elektronisch.
→ Zum Terminal-Konfigurator
Die 12 PCI DSS-Anforderungen im Überblick
Der PCI DSS-Standard definiert 12 Hauptanforderungen, die in sechs Kategorien unterteilt sind:
1. Aufbau und Pflege eines sicheren Netzwerks
- Firewall einrichten – Schutz der Karteninhaberdaten durch Firewalls
- Keine Standardpasswörter – Ändern Sie Werkseinstellungen von Systemen und Geräten
2. Schutz der Karteninhaberdaten
- Gespeicherte Daten schützen – Verschlüsselung, Zugriffsbeschränkung, Aufbewahrungsfristen
- Übertragungen verschlüsseln – Karteninhaberdaten in offenen Netzwerken verschlüsseln
3. Wartung eines Schwachstellenmanagements
- Anti-Virus nutzen – Regelmäßige Updates und Scans
- Sichere Systeme entwickeln – Sicherheitslücken schließen, Patches einspielen
4. Starke Zugriffskontrollen
- Zugriff einschränken – Nur autorisierte Personen dürfen auf Kartendaten zugreifen (Need-to-know-Prinzip)
- Eindeutige Benutzer-IDs – Jeder Mitarbeiter mit Systemzugriff benötigt eine eigene ID
- Physischen Zugriff beschränken – Terminals und Server vor unbefugtem Zugriff schützen
5. Regelmäßige Überwachung und Tests
- Zugriff protokollieren – Alle Zugriffe auf Kartendaten dokumentieren
- Sicherheitssysteme testen – Regelmäßige Penetrationstests und Scans
- Sicherheitsrichtlinie pflegen – Dokumentierte Sicherheitspolitik für alle Mitarbeiter
Praxisbeispiel für einen Einzelhändler mit EC-Terminal:
– Ihr Terminal ist verschlüsselt und speichert keine Kartendaten ✅
– Sie haben Ihr WLAN-Passwort geändert (nicht „admin123″) ✅
– Nur Sie und Ihre Kassierer:innen haben Zugriff auf das Terminal ✅
– Ihr Terminal wird regelmäßig mit Updates versorgt ✅
→ Damit erfüllen Sie bereits die wichtigsten Anforderungen für SAQ B!
Vierteljährliche Sicherheitsscans
Vierteljährliche Netzwerk‑Schwachstellenscans (ASV‑Scans) sind in vielen Fällen vorgeschrieben, gelten jedoch nicht pauschal für alle Händler. In Deutschland sind ASV‑Scans erforderlich, wenn öffentlich erreichbare IP‑Adressen bestehen, ein Terminal oder Zahlungssystem im offenen Händlernetzwerk integriert ist, oder wenn der Acquirer die Scans explizit fordert. Viele klassische Einzelhändler mit standalone EC‑Terminals ohne IP‑Anbindung benötigen daher keine ASV‑Scans. ASV‑Scans werden von einem Approved Scanning Vendor (ASV) durchgeführt – einem vom PCI SSC zertifizierten Dienstleister.
Was wird gescannt?
– Ihr Netzwerk auf bekannte Sicherheitslücken
– Offene Ports und unsichere Konfigurationen
– Veraltete Software mit Schwachstellen
Was passiert bei gefundenen Schwachstellen?
Sie müssen die Probleme beheben und einen Re-Scan durchführen lassen. Erst wenn der Scan keine kritischen Fehler mehr aufweist, gilt der Scan als bestanden.
Kosten: ASV‑Scans kosten je nach Anbieter und Umfang ab ca. 50 € pro Quartal. Viele Payment Service Provider bieten Scan‑Tools kostenlos oder zu reduzierten Preisen an.
So erreichen Sie PCI DSS-Compliance (Step-by-Step)
1. Merchant Level ermitteln
Prüfen Sie Ihr jährliches Transaktionsvolumen und ermitteln Sie, in welches Level Sie fallen. Ihre Acquiring-Bank kann Ihnen dabei helfen.
2. SAQ-Kategorie bestimmen
Welcher Self-Assessment Questionnaire passt zu Ihrer Zahlungsinfrastruktur? Für stationäre Händler mit EC-Terminal ist das meist SAQ B.
3. Selbsteinschätzungsfragebogen ausfüllen
Füllen Sie den SAQ wahrheitsgemäß aus. Die Fragebögen sind auf der offiziellen PCI SSC-Website verfügbar (auf Deutsch und Englisch).
4. Vierteljährliche Scans durchführen
Beauftragen Sie einen ASV und führen Sie die Scans durch. Dokumentieren Sie die Ergebnisse.
5. Attestation of Compliance (AoC) einreichen
Reichen Sie Ihre ausgefüllte Selbsteinschätzung und die Scan-Ergebnisse bei Ihrer Acquiring-Bank ein. Diese leitet die Dokumente an die Kartenunternehmen weiter.
Unser Tipp: Viele Payment Service Provider bieten Unterstützung beim Compliance-Prozess an – von Schritt-für-Schritt-Anleitungen bis zur automatischen Scan-Integration.
Was passiert bei Nicht-Compliance?
Die Nichteinhaltung von PCI DSS kann gravierende Folgen haben:
Finanzielle Strafen
- Bußgelder: 5.000 bis 100.000 EUR pro Monat, bis Compliance erreicht ist
- Die Acquiring-Bank leitet diese Strafen von den Kartenunternehmen an Sie weiter
Kündigung des Akzeptanzvertrages
- Im schlimmsten Fall dürfen Sie keine Kartenzahlungen mehr akzeptieren
- Ihr Geschäft wird in die MATCH-Liste (Terminated Merchant File) aufgenommen
- Neue Akzeptanzverträge sind dann nur schwer zu bekommen
Reputationsverlust bei Datenpannen
- Sollte es zu einem Datenleck kommen und Sie waren nicht PCI-compliant, drohen zusätzlich:
- Schadenersatzforderungen
- Negative Presse
- Vertrauensverlust bei Kunden
Fallbeispiel: Ein mittelständischer Einzelhändler in den USA wurde nach einer Datenpanne mit Bußgeldern von über 250.000 EUR belegt – weil er keine vierteljährlichen Scans durchgeführt und veraltete Terminal-Software verwendet hatte.
PCI DSS-konforme EC-Terminals
Die gute Nachricht: Wenn Sie ein PCI PTS-zertifiziertes Terminal verwenden, erfüllen Sie bereits einen Großteil der Anforderungen automatisch. Diese Terminals:
- Verschlüsseln Kartendaten direkt bei der Eingabe (End-to-End-Verschlüsselung)
- Speichern keine sensiblen Daten lokal
- Entsprechen den neuesten Sicherheitsstandards (PCI PTS 5.x oder höher)
Moderne EC-Terminals von seriösen Anbietern sind in der Regel bereits zertifiziert. Achten Sie bei der Auswahl darauf, dass Ihr Anbieter:
– Regelmäßige Software-Updates bereitstellt
– End-to-End-Verschlüsselung (E2EE) unterstützt
– Kontaktloses Bezahlen und moderne Payment-Methoden wie Apple Pay ermöglicht
Konfigurieren Sie Ihr sicheres Terminal in 2 Minuten — kostenlos & unverbindlich.Terminal konfigurieren →
Fazit: PCI DSS ist kein Hexenwerk
PCI DSS-Compliance klingt im ersten Moment komplex – ist für die meisten stationären Händler aber gut machbar:
- Kleine und mittlere Händler (Level 3-4) müssen in der Regel nur einen Self-Assessment Questionnaire (SAQ B) ausfüllen und vierteljährliche Scans durchführen
- Zertifizierte EC-Terminals übernehmen bereits den Großteil der technischen Sicherheitsmaßnahmen
- Payment Service Provider unterstützen Sie beim Compliance-Prozess
Wichtig: Nehmen Sie PCI DSS ernst. Die Standards existieren nicht ohne Grund – sie schützen Ihre Kunden UND Ihr Geschäft vor Betrug und Datenlecks. Bei Unsicherheiten wenden Sie sich an Ihre Acquiring-Bank oder beauftragen Sie einen Qualified Security Assessor (QSA).
Mit dem richtigen Terminal und einem klaren Verständnis der Anforderungen ist Compliance keine Hürde, sondern eine sinnvolle Investition in die Sicherheit Ihres Unternehmens.
Weitere hilfreiche Artikel:
– Kreditkartengebühren für Händler einfach erklärt
– SoftPOS: Smartphone als Kartenterminal nutzen
– Kontaktloses Bezahlen optimieren
FAQ
Was ist PCI DSS?
PCI DSS (Payment Card Industry Data Security Standard) ist ein Sicherheitsstandard für den Schutz von Karteninhaberdaten.
Gilt PCI DSS für kleine Händler?
Ja. Abhängig vom Transaktionsvolumen gelten unterschiedliche Anforderungen.
Checkliste für Händler
- Inventarisieren Sie alle Systeme, die Karten verarbeiten.
- Minimieren Sie die gespeicherten Karten‑Daten.
- Nutzen Sie stets TLS/HTTPS für Übertragungen.
- Pflegen Sie regelmäßige Software‑Updates.
- Führen Sie Penetrationstests und Schwachstellen‑Scans durch.
