PCI DSS-Compliance in Europa folgt denselben globalen PCI SSC-Regeln, aber mit einigen lokalen Besonderheiten, die jeder Händler und jedes Unternehmen kennen muss, um kostspielige Fehler zu vermeiden. Jeder, der Kartenzahlungen in Europa akzeptiert, hat genaue Verpflichtungen gegenüber Acquirern, Fristen im Zusammenhang mit dem Übergang zu PCI DSS v4 und das zunehmend relevante Thema der Datenresidenz in Europa. Dieser Leitfaden beantwortet die häufigsten Fragen direkt und praktisch.
PCI DSS in Europa: Vorschriften, Akteure und spezifische Pflichten
In Europa ist PCI DSS kein staatliches Gesetz, sondern ein vertraglicher Standard, der von Acquirern (wie Worldline, Nexi, Concardis und anderen) als Bedingung für die Akzeptanz von Visa-, Mastercard-, American Express- und anderen Netzwerkzahlungen auf Händler auferlegt wird. Die Compliance wird von den Acquirern selbst überprüft, die ihrerseits von den Kartennetzwerken verpflichtet sind, sicherzustellen, dass ihre Händler den Standard erfüllen. Strafen bei Nichteinhaltung kommen von den internationalen Netzwerken und können den Entzug des Rechts zur Kartenakzeptanz umfassen.
Die Pflichten variieren je nach Händler-Level, der durch das jährliche Transaktionsvolumen bestimmt wird. Level 1-Händler (mehr als 6 Millionen Visa/Mastercard-Transaktionen pro Jahr) müssen einem jährlichen Audit durch einen akkreditierten QSA unterzogen werden. Level 2-, 3- und 4-Händler können im Allgemeinen einen SAQ (Self-Assessment Questionnaire) eigenständig ausfüllen, aber der Typ des SAQ hängt von der technischen Architektur ab, die für die Kartenakzeptanz verwendet wird.
Reale Kosten der PCI DSS-Compliance für ein Unternehmen in Europa
Die Kosten variieren erheblich je nach Händler-Level und PCI-Perimeter. Für einen Level 1-Händler mit breitem Perimeter kostet ein vollständiges QSA-Audit (Report on Compliance) in Europa zwischen 30.000 und 80.000 € allein für die QSA-Aktivität, zu der interne Vorbereitung, Sanierung und Penetrationstestkosten hinzukommen müssen. Für niedrigere Levels sind die direkten SAQ-Kosten viel geringer, erfordern aber dennoch technische und organisatorische Vorbereitung, die Wochen interner Arbeit in Anspruch nehmen kann.
Die Reduzierung des PCI-Perimeters durch Tokenisierung und CDE-Outsourcing kann einen Händler von einem RoC zu einem SAQ A bewegen, mit Einsparungen, die in der Praxis 20.000–60.000 € pro Jahr bedeuten, wenn man sowohl direkte Auditkosten als auch operative Compliance-Wartungskosten berücksichtigt. Für KMUs ist diese Reduzierung oft der Unterschied zwischen einem nachhaltigen Compliance-Programm und einem, das interne Ressourcen blockiert.
PCI DSS v4 und EU-Datenresidenz: Warum es wichtig ist
Der Übergang zu PCI DSS v4 hat neue Anforderungen an Authentifizierung, Verschlüsselung und kontinuierliches Monitoring eingeführt. Viele der Anforderungen, die ab dem 31. März 2025 verbindlich wurden, betreffen Bereiche wie Passwortverwaltung, Dateiintegritätsüberwachung und Anti-Skimming-Kontrollen für Web-Zahlungsseiten. Händler, die die Gap-Analyse gegenüber der vorherigen Version (v3.2.1) noch nicht abgeschlossen haben, sind bereits nicht konform.
Die Datenresidenz in Europa ist nach den Schrems-II-Urteilen und nachfolgenden Entscheidungen der Datenschutzbehörden zu einem konkreten Thema geworden. Die Speicherung von Kartendaten außerhalb der EU setzt ein Unternehmen potenziellen Konflikten mit der DSGVO aus, insbesondere wenn das Zielland kein dem europäischen Standard gleichwertiges Schutzniveau garantiert. Ein PCI DSS-zertifizierter Vault mit physisch in Europa befindlichen Daten, wie PCI Proxy EU, eliminiert diesen Graubereich und vereinfacht sowohl die PCI- als auch die DSGVO-Compliance.
Häufig gestellte Fragen
Wer überwacht die PCI DSS-Compliance in Europa?
Die Aufsicht wird hauptsächlich von europäischen Acquirern ausgeübt, die von internationalen Netzwerken verpflichtet sind, die Compliance ihrer Händler zu überprüfen. Im Falle einer Datenpanne leiten die Kartennetzwerke (Visa, Mastercard) ihre eigenen forensischen Untersuchungen ein, die zu Strafen von bis zu Hunderttausenden von Euro führen können.
Wie viel kostet ein PCI DSS-Audit?
Für einen Level 1-Händler kostet ein vollständiges QSA-Audit zwischen 30.000 und 80.000 € allein für die QSA-Aktivität. Für niedrigere Levels sind die direkten SAQ-Kosten gering, aber die Gesamtkosten umfassen technische Vorbereitung, erforderliche Penetrationstests und eventuelle Sanierung. Mit Tokenisierung können viele Händler den Perimeter reduzieren und diese Kosten erheblich senken.
Können Daten außerhalb der EU Compliance-Probleme verursachen?
Ja. Nach Schrems II setzt die Übertragung personenbezogener Daten (einschließlich Kartendaten) in Länder ohne angemessene Schutzgarantien gemäß DSGVO ein Unternehmen Strafen der Aufsichtsbehörde aus. Ein Vault mit physisch in Europa befindlichen Daten eliminiert dieses Risiko.
Möchten Sie eine PCI DSS-Lösung mit Daten in Europa, bereit für v4-Anforderungen und für den europäischen Markt optimiert? Entdecken Sie PCI Proxy EU.