Die Überschneidung von DSGVO und PCI DSS ist einer der am häufigsten missverstandenen Aspekte der digitalen Zahlungsverwaltung in Europa. Viele Unternehmen glauben, dass die Einhaltung eines der beiden Regelwerke ihre Kartendatenpflichten erschöpft. Das ist falsch: Die beiden Regelwerke haben unterschiedliche Zwecke, überschneiden sich teilweise und können im Falle einer Datenpanne parallele Strafen erzeugen. Das Verständnis der Unterschiede ist der erste Schritt zum Aufbau einer soliden Compliance-Strategie.
DSGVO und PCI DSS: zwei verschiedene Regelwerke, keine Alternativen
Die DSGVO ist eine europäische Verordnung mit Gesetzeskraft, die die personenbezogenen Daten natürlicher Personen schützt. PCI DSS ist ein von den Zahlungsnetzwerken (Visa, Mastercard, Amex) definierter Vertragsstandard, der Kartendaten während Transaktionen schützt. Die DSGVO gilt für jedes Unternehmen, das personenbezogene Daten von Personen in der EU verarbeitet. PCI DSS gilt für jeden, der Zahlungskartendaten speichert, überträgt oder verarbeitet, unabhängig vom Standort.
Der grundlegende Unterschied betrifft die Art der Verpflichtung: Die DSGVO legt gesetzliche Anforderungen mit direkten Verwaltungsstrafen fest. PCI DSS schafft vertragliche Pflichten zwischen Händlern, Acquirern und Zahlungsnetzwerken. Ein DSGVO-Verstoß setzt ein Unternehmen Verfahren der Aufsichtsbehörde aus. Die Nichteinhaltung von PCI DSS führt zu kommerziellen Strafen, dem Entzug der Fähigkeit, Karten zu akzeptieren, und Sanierungskosten, die vom Acquirer auferlegt werden. Keines der Regelwerke ersetzt das andere.
Wo sie sich überschneiden: Kartendaten zwischen DSGVO und PCI DSS
Kartendaten enthalten fast immer personenbezogene Daten: den Namen des Karteninhabers, die Kontonummer (PAN) und manchmal die Rechnungsadresse. Diese Elemente fallen unter die DSGVO-Definition personenbezogener Daten, sodass derselbe Datensatz beiden Regelwerken unterliegt. Die DSGVO verlangt eine Rechtsgrundlage für die Verarbeitung, Datensparsamkeit und Betroffenenrechte. PCI DSS verlangt Verschlüsselung, Zugangskontrolle, Netzwerksegmentierung und kontinuierliche Überwachung der CDE (Cardholder Data Environment).
Einige technische Maßnahmen erfüllen beide Regelwerke. Tokenisierung beispielsweise reduziert die Anzahl der Kartendatensätze im Unternehmensperimeter, wodurch sowohl das PCI-Risiko als auch die DSGVO-Exposition im Falle einer Panne sinkt. Verschlüsselung im Ruhezustand und bei der Übertragung ist von PCI DSS gefordert, ist aber auch eine DSGVO-empfohlene Maßnahme zur Risikominderung für Betroffene. Nicht alle Maßnahmen überschneiden sich: Betroffenenrechte (Auskunft, Löschung, Portabilität) haben kein Äquivalent in PCI DSS, und umgekehrt gehen die PCI-DSS-Netzwerksegmentierungsanforderungen über das hinaus, was das Datenschutzrecht verlangt.
Datenpanne: Meldepflichten und kumulative Strafen
Eine Panne mit Kartendaten löst unter beiden Regelwerken parallele Pflichten aus. Die DSGVO verlangt die Meldung an die Aufsichtsbehörde innerhalb von 72 Stunden nach Entdeckung, wenn die Panne ein Risiko für die Rechte natürlicher Personen darstellt. Ist das Risiko hoch, müssen auch die betroffenen Personen direkt benachrichtigt werden. PCI DSS verlangt die sofortige Benachrichtigung des Acquirers und der Kartennetzwerke, die ihre eigenen Incident-Response-Verfahren mit obligatorischer forensischer Untersuchung auf Kosten des Händlers einleiten.
Die Strafen heben sich nicht gegenseitig auf. Die Aufsichtsbehörde kann Strafen von bis zu 4 % des weltweiten Jahresumsatzes für schwerwiegende DSGVO-Verstöße verhängen. Parallel dazu kann der Acquirer vertragliche Strafen für PCI-DSS-Nichteinhaltung von 5.000 bis 100.000 Euro pro Monat verhängen, zusätzlich zu Sanierungsprogrammkosten und potenziellen Verlusten durch betrügerische Rückbuchungen. Ein einzelner Vorfall kann daher eine doppelte finanzielle Exposition erzeugen, die Unternehmen häufig unterschätzen, wenn sie das Risiko bewerten.
Häufig gestellte Fragen
Deckt die DSGVO Kartendaten anstelle von PCI DSS ab?
Nein. Die DSGVO schützt personenbezogene Daten im Allgemeinen, einschließlich der in Kartendaten enthaltenen Daten. PCI DSS befasst sich speziell mit der Sicherheit von Zahlungsdaten während der Transaktionsverarbeitung. Die beiden Regelwerke gelten kumulativ: Die Erfüllung der DSGVO befreit nicht von PCI DSS und umgekehrt. Ein Händler, der Karten akzeptiert, muss beide einhalten.
Wenn ich DSGVO-konform bin, bin ich auch PCI-DSS-konform?
Nicht unbedingt. Die beiden Regelwerke teilen einige technische Maßnahmen (Verschlüsselung, Zugangskontrolle, Datensparsamkeit), haben aber spezifische Anforderungen, die sich nicht überschneiden. PCI DSS verlangt beispielsweise vierteljährliche Schwachstellenscans, CDE-Netzwerksegmentierung und jährliche Penetrationstests. Keine dieser Pflichten ist ausdrücklich von der DSGVO gefordert.
Addieren sich DSGVO- und PCI-DSS-Strafen?
Im Falle einer Datenpanne mit Kartendaten ja. DSGVO-Strafen werden von der Aufsichtsbehörde verhängt und haben Verwaltungscharakter. PCI-DSS-Strafen werden vom Acquirer vertraglich verhängt. Es gibt keinen Ausgleichsmechanismus: Ein Unternehmen kann für dasselbe Ereignis Strafen von beiden Fronten erhalten, zusätzlich zu forensischen Untersuchungskosten, der Benachrichtigung betroffener Personen und möglichen Schadensersatzansprüchen.
Die Verwaltung von DSGVO und PCI DSS mit einer einzigen Tokenisierungsinfrastruktur reduziert den Expositionsperimeter auf beiden Fronten. Entdecken Sie PCI Proxy EU.