PCI DSS-Anforderungen sind nur eines von drei regulatorischen Rahmenwerken, die ein Händler in Europa im Jahr 2025 erfüllen muss. Neben PCI DSS bilden DSGVO und PSD2 eine komplexe regulatorische Landschaft, in der sich Verantwortlichkeiten überschneiden, Fristen akkumulieren und Strafen erheblich kumulieren können. Dieser Leitfaden kartiert alle drei Rahmenwerke auf praktische Weise: wer was wann erfüllen muss und was passiert, wenn Sie nicht konform sind.
Der regulatorische Rahmen 2025: PCI DSS, DSGVO und PSD2 im Vergleich
Die drei Rahmenwerke operieren auf unterschiedlichen Ebenen, überschneiden sich jedoch kontinuierlich. PCI DSS ist ein vertraglicher Standard, der von Kartennetzwerken (Visa, Mastercard usw.) über Acquirer auferlegt wird: Er regelt die technische Sicherheit von Kartendaten und gilt für jeden, der Kartenzahlungsdaten akzeptiert, verarbeitet oder speichert. Die DSGVO ist eine europäische Verordnung mit Gesetzeskraft: Sie regelt die Verarbeitung aller personenbezogenen Daten, einschließlich Kartendaten, die eine natürliche Person identifizieren. PSD2 ist eine europäische Richtlinie, die in nationales Recht umgesetzt wurde: Sie regelt Zahlungsdienste, Kontozugang und Starke Kundenauthentifizierung.
Die Überschneidungen sind konkret. Eine Datenpanne, die Kartendaten von EU-Kunden offenlegt, löst gleichzeitig aus: PCI DSS (forensische Untersuchung und mögliche Netzwerkstrafen), DSGVO (Meldepflicht gegenüber der Aufsichtsbehörde innerhalb von 72 Stunden und mögliche Strafen bis zu 4 % des globalen Umsatzes) und PSD2, wenn die Verletzung Zahlungskonten oder Authentifizierungsdaten betrifft. Jedes Rahmenwerk hat seinen eigenen Durchsetzungsprozess und seinen eigenen Regulierer: Eine integrierte Handhabung ist weitaus effizienter als die Behandlung als drei separate Silos.
Wer muss was in Europa erfüllen: sektorspezifische Pflichten
PCI DSS gilt für jede Entität, die Kartenzahlungen akzeptiert: Händler aller Größen, PSPs, Acquirer, Gateways und Prozessoren. Es gibt keine Ausnahmen basierend auf der Unternehmensgröße: Selbst ein kleiner E-Commerce mit 100 Transaktionen pro Monat muss die PCI DSS-Anforderungen erfüllen, die für sein Level gelten. Der Unterschied zwischen den Levels betrifft die Komplexität der Pflichten, nicht deren Vorhandensein.
Die DSGVO gilt für jedes Unternehmen, das personenbezogene Daten von EU-Bürgern verarbeitet, unabhängig vom Standort des Unternehmens. Für Zahlungen schließt dies praktisch jeden europäischen Händler ein. PSD2 gilt direkt für Zahlungsdienstleister (PSPs, Banken, E-Geld-Institute), aber Händler sind indirekt an die Anforderungen der SCA (Starke Kundenauthentifizierung) gebunden, die ihre Checkout-Systeme unterstützen müssen. Ein Händler, dessen Zahlungsseiten 3DS2 nicht unterstützen, riskiert, dass Transaktionen von der Bank des Verbrauchers abgelehnt werden.
Kumulierte Strafen und wie man sie mit einer Lösung vermeidet
Die Strafen der drei Rahmenwerke akkumulieren sich unabhängig voneinander. Eine einzige Datenpanne, die Kartendaten von EU-Kunden offenlegt, kann auslösen: PCI DSS-Strafen vom Netzwerk (von 5.000 bis 100.000 € pro Monat bei Nichteinhaltung), DSGVO-Strafen der Aufsichtsbehörde (bis zu 4 % des globalen Umsatzes oder 20 Millionen €) und mögliche PSD2-Strafen, wenn die Verletzung regulierte Zahlungsdienste betrifft. In einem realen mittelschweren Szenario können kumulative Kosten leicht 500.000 € übersteigen, ohne Reputationsschäden und Kundenverluste zu berücksichtigen.
Die effizienteste Strategie zur Abdeckung aller drei Fronten ist die Zentralisierung des Kartendatenmanagements bei einem Anbieter, der gleichzeitig die technischen PCI DSS-Anforderungen, DSGVO-Sicherheits- und Datenspeicheranforderungen sowie PSD2-technische Spezifikationen für die Authentifizierung erfüllt. PCI Proxy EU ist PCI DSS Level 1 zertifiziert, betreibt seine Infrastruktur mit Daten in der EU für DSGVO-Konformität und unterstützt die von PSD2 geforderten 3DS2-Authentifizierungsabläufe. Eine einzige Integration reduziert den Risikobereich auf allen drei regulatorischen Fronten.
Häufig gestellte Fragen
Was sind die dringendsten regulatorischen Fristen im Jahr 2025?
Auf der PCI DSS-Seite sind die zusätzlichen Anforderungen von PCI DSS v4 am 31. März 2025 verbindlich geworden. Wer den Übergang von v3.2.1 noch nicht abgeschlossen hat, ist bereits nicht konform. Auf der DSGVO-Seite gibt es keine spezifischen Fristen für 2025, aber die 72-Stunden-Meldefrist bei Datenpannen ist dauerhaft. Auf der PSD2-Seite gelten SCA-Anforderungen für Online-Transaktionen seit 2021 und werden weiterhin von nationalen Bankaufsichtsbehörden überwacht.
Muss ein kleiner europäischer Händler alle drei Rahmenwerke erfüllen?
Für PCI DSS ja, aber mit Pflichten proportional zum Volumen (SAQ statt RoC). Für DSGVO ja, wenn personenbezogene Daten natürlicher Personen verarbeitet werden (praktisch immer). Für PSD2 nicht direkt (gilt für PSPs), aber indirekt ja für SCA-Anforderungen beim Checkout. In der Praxis muss jeder europäische Händler, der online verkauft, alle drei Rahmenwerke berücksichtigen.
Deckt PCI Proxy EU auch PSD2-Verpflichtungen ab?
PCI Proxy EU unterstützt die von PSD2 geforderten 3DS2-Authentifizierungsabläufe, um Rückbuchungen zu reduzieren und die Transaktionsakzeptanzraten zu maximieren. Die direkte Abdeckung von PSD2-Verpflichtungen betrifft PSPs, nicht Händler, aber die Integration mit dem PCI Proxy EU-Vault erleichtert die korrekte Implementierung der Authentifizierungsabläufe, die PSD2 indirekt von Händlern über ihre PSPs verlangt.
Möchten Sie PCI DSS, DSGVO und PSD2 mit einer einzigen integrierten Lösung, Daten in Europa und vollständigen Zertifizierungen abdecken? Entdecken Sie PCI Proxy EU.