Open Banking und PCI DSS ist eines der am meisten missverstandenen Themen in der europäischen digitalen Zahlungslandschaft. Viele Unternehmen nehmen an, dass die Einführung von Konto-zu-Konto-Zahlungen sie automatisch von PCI DSS-Verpflichtungen ausschließt, aber die Realität ist nuancierter. PSD2 und PCI DSS operieren auf verschiedenen regulatorischen Ebenen, mit konkreten Überschneidungen, die jeder Händler und PSP verstehen muss, bevor er seine Zahlungsarchitektur gestaltet.
Open Banking und PCI DSS: wann jedes Framework gilt
PCI DSS gilt für jede Entität, die Zahlungskartendaten speichert, verarbeitet oder überträgt – nämlich PAN, CVV, PIN und gleichwertige Daten. Open Banking hingegen operiert bei Zahlungen, die direkt von einem Bankkonto über APIs initiiert werden, die durch PSD2 reguliert sind: Über diesen Kanal fließen keine Kartendaten, daher gilt PCI DSS nicht streng für den A2A-Fluss.
In der Praxis ist die Unterscheidung jedoch selten so eindeutig. Unternehmen, die Open Banking als zusätzliche Zahlungsmethode anbieten, akzeptieren fast immer weiterhin Karten. Hier entsteht das Problem: Das Aufrechterhalten von zwei parallelen Kanälen bedeutet, dass unabhängig davon eine CDE (Cardholder Data Environment) existiert, mit allen damit verbundenen PCI-Verpflichtungen. Die Logik "Ich habe Open Banking, ich brauche kein PCI DSS" ist nur korrekt, wenn das Unternehmen die Kartenakzeptanz vollständig eingestellt hat – ein äußerst seltenes Szenario.
A2A und Konto-zu-Konto-Zahlungen: reduzierter, aber nicht null PCI-Scope
Konto-zu-Konto (A2A) Zahlungen eliminieren die PAN aus dem Transaktionsfluss. Dies reduziert den PCI-Scope konkret: Wenn ein Händler ausschließlich Sofortüberweisungen oder über einen PISP (Payment Initiation Service Provider) verarbeitet, gibt es technisch keine aktive CDE für diesen Kanal. Das erforderliche Compliance-Level sinkt, und in einigen Fällen kann für den verbleibenden Teil des Unternehmens ein SAQ A ausgefüllt werden.
Es verbleiben jedoch nicht triviale operative Verpflichtungen. IBAN-Daten und Girokontoinformationen fallen nicht in den PCI DSS-Perimeter, fallen aber unter DSGVO und die von PSD2 geforderten API-Sicherheitsregeln. Eine Datenpanne bei A2A-Bankdaten kann zu DSGVO-Strafen von bis zu 4 % des globalen Umsatzes führen, unabhängig von PCI DSS. Eine Reduzierung des PCI-Scopes bedeutet nicht, das Gesamtrisiko zu reduzieren.
Hybrider Stack: wenn Sie sowohl Karten als auch Open Banking verwenden
Das häufigste Szenario für europäische Händler und PSPs im Jahr 2025 ist ein hybrider Stack: Kredit- und Debitkarten für den Großteil der Einzelhandelstransaktionen, Open Banking für B2B-Zahlungen oder Händler, die Interbankengebühren reduzieren wollen. In diesem Fall existiert die CDE weiterhin, und die PCI DSS-Compliance betrifft die gesamte Infrastruktur, die Kartendaten verarbeitet, einschließlich gemeinsamer Komponenten wie Firewalls, Protokolle und Authentifizierungssysteme.
Die optimale Lösung für einen hybriden Stack ist die Zentralisierung des Kartendatenmanagements in einem einzigen extern zertifizierten PCI DSS Level 1 Vault, wie dem von PCI Proxy EU, und das Aufrechterhalten von Open-Banking-Zahlungen auf einem separaten technischen Pfad. Dies hält den PCI-Perimeter begrenzt, reduziert die Audit-Komplexität und ermöglicht es den beiden Kanälen, sich unabhängig zu entwickeln, ohne dass Änderungen an einem die Compliance des anderen beeinflussen.
Häufig gestellte Fragen
Muss ein Unternehmen, das nur Open Banking verwendet, PCI-konform sein?
Wenn das Unternehmen in keinem Fluss Zahlungskartendaten berührt, gilt PCI DSS nicht. Dies gilt nur, wenn alle akzeptierten Zahlungsmethoden A2A oder über einen PSD2-regulierten PISP sind. In der Praxis befindet sich fast kein europäischer Händler in dieser Situation: Die große Mehrheit akzeptiert weiterhin Karten, was die PCI DSS-Verpflichtung aktiv hält.
Eliminiert PSD2 PCI DSS-Verpflichtungen für Banken?
Nein. PSD2 reguliert den Kontozugang und Zahlungsdienste, während PCI DSS ein vom PCI SSC verwalteter Kartendatensicherheitsstandard ist. Banken unterliegen beiden: PSD2 für Open-Banking-APIs, PCI DSS für alle Dienste, die Kartendaten verarbeiten. Die beiden Frameworks ergänzen sich, nicht ersetzen sich gegenseitig.
Unterstützt PCI Proxy EU Open-Banking-Zahlungen?
PCI Proxy EU konzentriert sich auf Tokenisierung und sichere Kartendatenverwaltung. Für hybride Karten- und Open-Banking-Stacks besteht die Lösung darin, PCI Proxy EU für den Kartenkanal zu integrieren und einen separaten Pfad für A2A-Zahlungen zu behalten. Dies minimiert den PCI-Perimeter, ohne die Flexibilität der angebotenen Zahlungsmethoden zu beeinträchtigen.
Verwalten Sie einen hybriden Karten- und Open-Banking-Stack und möchten genau verstehen, was in Ihren PCI-Perimeter fällt? Entdecken Sie PCI Proxy EU.