Eine Datenpanne bei Zahlungen löst gleichzeitig zwei getrennte regulatorische Rahmen aus: die DSGVO, die für alle personenbezogenen Daten gilt, und PCI DSS, das für Kartendaten gilt. Die Kosten einer solchen Panne gehen weit über das unmittelbare Bußgeld hinaus und umfassen forensische Kosten, Benachrichtigungskosten an die betroffenen Personen, Kosten für die Kartenneuausstellung und den Reputationsschaden. Das Verständnis des vollständigen Schadenbildes ist der erste Schritt zur Implementierung einer angemessenen Präventivstrategie.
DSGVO-Meldepflicht: die 72-Stunden-Frist
Artikel 33 der DSGVO verpflichtet den Datenverantwortlichen (den Händler oder das Unternehmen, das die Daten verarbeitet), eine Datenpanne innerhalb von 72 Stunden nach Kenntnisnahme an die zuständige Datenschutzbehörde zu melden, außer wenn es unwahrscheinlich ist, dass die Panne ein Risiko für die Rechte und Freiheiten natürlicher Personen darstellt. Bei Zahlungsdaten – die per Definition sensibel sind – ist dieses Risiko fast immer gegeben. Wenn Zahlungskartendaten und damit verbundene personenbezogene Daten (Name, E-Mail, Adresse) betroffen sind, ist die Meldung obligatorisch.
Darüber hinaus verpflichtet Artikel 34 zur Benachrichtigung der betroffenen Personen, wenn die Panne ein hohes Risiko darstellt – was bei Zahlungsdaten fast immer der Fall ist. Diese Benachrichtigung muss klar, in verständlicher Sprache und konkret in Bezug auf die Maßnahmen zum Schutz der betroffenen Personen sein. DSGVO-Bußgelder für verspätete Meldungen oder unzureichende Sicherheitsmaßnahmen können bis zu 4 % des weltweiten Jahresumsatzes oder 20 Millionen Euro erreichen, je nachdem, welcher Betrag höher ist.
PCI DSS-Strafen und forensische Kosten
Auf der PCI-Seite initiieren die Kartennetzwerke (Visa, Mastercard) nach der Meldung einer Datenpanne, die Kartendaten betrifft, eine Untersuchung durch einen zugelassenen PFI (PCI Forensic Investigator). Die forensischen Kosten – in der Regel zwischen 15.000 € und 100.000 € je nach Umfang der Untersuchung – werden vom betroffenen Händler getragen. Wenn die Untersuchung Nichteinhaltung von PCI DSS bestätigt, verhängen die Netzwerke Strafen über den Acquirer, der sie über den Händlervertrag auf den Händler überträgt.
Netzwerkstrafen sind nicht öffentlich und variieren je nach Schwere und Häufigkeit. Die verfügbaren Schätzungen variieren zwischen 5.000 € und über 100.000 € pro Monat für die Dauer der Nichteinhaltung oder bis zur Beseitigung der Datenpanne. Hinzu kommen die Kosten für die Kartenneuausstellung (die Kreditkartenaussteller können vom Händler bis zu 12,50 $ pro betroffener Karte berechnen), Benachrichtigungskosten und Reputationsschäden, die schwer zu quantifizieren sind, aber erhebliche langfristige Auswirkungen auf Umsatz und Kundenvertrauen haben.
Wie Tokenisierung den Schaden begrenzt
Der entscheidende Vorteil der Tokenisierung im Kontext von Datenpannen ist konzeptionell einfach: Wenn der Händler keine Klartext-PAN in seinen Systemen speichert, werden selbst im Falle eines vollständigen Systemkompromisses keine Kartendaten kompromittiert. Dies hat direkte Auswirkungen auf beide regulatorischen Rahmen.
- Für die DSGVO: Die Panne kann weiterhin personenbezogene Daten (E-Mail, Adresse, Kaufhistorie) betreffen, aber das Risiko ist geringer, da keine Zahlungsinformationen kompromittiert wurden, die zu sofortigem Finanzbetrug führen könnten. Dies kann den Schweregrad der Panne und die damit verbundenen Bußgelder reduzieren.
- Für PCI DSS: Wenn die kompromittierten Systeme keine PAN enthielten, wird die Panne technisch nicht zu einer "PCI-Datenpanne". PFI-Untersuchungskosten und Kartennetzwerkstrafen entfallen oder sind drastisch reduziert.
- In Bezug auf die Kartenneuausstellung: Ohne PAN im Klartext müssen die Aussteller keine Karten neuausstellen, was Gebühren von bis zu 12,50 $ pro Karte vermeidet.
Häufig gestellte Fragen
Was passiert, wenn ein Händler eine Zahlungsdatenpanne nicht innerhalb von 72 Stunden meldet?
Es riskiert DSGVO-Bußgelder sowohl für die Datenpanne selbst als auch für die verspätete Meldung. Nationale Datenschutzbehörden können administrative Sanktionen verhängen, Korrekturmaßnahmen auferlegen und im schlimmsten Fall die Aussetzung bestimmter Datenverarbeitungsaktivitäten anordnen. Verspätete Meldungen werden von den Behörden als erschwerender Umstand betrachtet.
Kann der Händler von den Kosten der forensischen Untersuchung ausgenommen werden?
Im Allgemeinen nein, außer in Sonderfällen. Wenn der Händler jedoch nachweist, dass er zum Zeitpunkt der Panne vollständig PCI DSS-konform war (gültige AOC, kein Klartext-PAN in Systemen), können einige Netzwerke auf bestimmte Strafen oder Benachrichtigungsgebühren verzichten. Ein reduzierter Scope durch Tokenisierung ist der effektivste Weg, um das finanzielle Risiko einer möglichen Panne zu senken.
Wer trägt die Kosten für die Kartenneuausstellung bei einem Händler?
Die Kartenneuausstellungskosten werden in der Regel zunächst von den Kartenausstellern getragen, die sie dann über Netzwerkstrafen und Acquirer-Durchsetzung auf den Händler übertragen. Die Acquirer-Rückforderungsklauseln in Händlerverträgen ermöglichen es den Acquirern, diese Kosten direkt aus zukünftigen Settlements des Händlers zurückzufordern. In schweren Fällen kann der Acquirer die Rückforderung in einem separaten Rechtsverfahren geltend machen.
Möchten Sie verstehen, wie Tokenisierung das finanzielle Risiko einer möglichen Datenpanne eliminiert? Entdecken Sie PCI Proxy EU.