Die Überschneidung von DSGVO und PCI DSS verursacht bei vielen Unternehmen, die Kartenzahlungen akzeptieren, erhebliche Verwirrung. Die Annahme, dass die beiden Regelwerke gleichwertig seien oder dass die Erfüllung eines Rahmens automatisch das andere abdeckt, ist unzutreffend und potenziell kostspielig. DSGVO und PCI DSS entstammen unterschiedlichen Kontexten, regeln verschiedene Aspekte und aktivieren im Falle eines Verstoßes separate Strafmechanismen, die sich kumulieren können. Das Verständnis der konkreten Unterschiede ist unerlässlich, um eine Compliance-Strategie aufzubauen, die keine Flanke offenlässt.
DSGVO vs. PCI DSS: unterschiedliche Ziele, unterschiedliche Pflichten
Die DSGVO ist eine europäische Verordnung mit unmittelbarer Rechtskraft in allen Mitgliedstaaten. Ihr Ziel ist der Schutz der Grundrechte natürlicher Personen im Zusammenhang mit der Verarbeitung ihrer personenbezogenen Daten. Sie gilt für jede Organisation, die Daten natürlicher Personen in der EU verarbeitet, unabhängig vom Sektor. PCI DSS hingegen ist ein technischer und vertraglicher Standard, der vom PCI Security Standards Council gefördert wird, dem Gremium der großen Kartennetzwerke. Sein Ziel ist der Schutz von Zahlungsdaten während Transaktionen und die Reduzierung von Betrug. Er gilt für jeden, der Zahlungskartendaten der teilnehmenden Netzwerke speichert, überträgt oder verarbeitet.
Die konkreten Pflichten sind unterschiedlich. Die DSGVO verlangt eine Rechtsgrundlage für jede Verarbeitung, die Beantwortung von Betroffenenrechten (Auskunft, Löschung, Portabilität), die Bestellung eines Datenschutzbeauftragten (DSB) in bestimmten Fällen, die Führung des Verzeichnisses von Verarbeitungstätigkeiten und die obligatorische Meldung an die Aufsichtsbehörde im Falle einer Verletzung innerhalb von 72 Stunden. PCI DSS fordert die Verschlüsselung von Kartendaten, die Netzwerksegmentierung der CDE, vierteljährliche Schwachstellenscans, jährliche Penetrationstests, privilegierte Zugriffsverwaltung mit MFA und kontinuierliche Prüfprotokolle. Einige Maßnahmen sind gemeinsam (Verschlüsselung, Zugriffskontrolle), aber die meisten sind für jeden Standard spezifisch.
Kartendaten unter beiden Regelwerken
Zahlungskartendaten enthalten fast immer personenbezogene Daten: den Namen des Karteninhabers, die Kontonummer (PAN), das Ablaufdatum und manchmal die Rechnungsadresse. Das bedeutet, dass dieselbe Datenmenge gleichzeitig durch die DSGVO (als personenbezogene Daten) und durch PCI DSS (als Zahlungsdaten) geregelt wird. Die Verarbeitung dieser Daten erfordert daher die Einhaltung beider Regelwerke: Eine DSGVO-Rechtsgrundlage für die Speicherung von Kartendaten befreit nicht von der PCI-DSS-Pflicht, diese Daten zu verschlüsseln und mit den vom Standard geforderten technischen Kontrollen zu schützen.
Tokenisierung ist eines der seltenen Werkzeuge, das auf beiden Fronten hilft. Die Ersetzung der PAN durch einen irreversiblen Token reduziert die Anzahl der gefährdeten personenbezogenen Datensätze (DSGVO-Vorteil) und reduziert den CDE-Perimeter (PCI-DSS-Vorteil). Sie beseitigt nicht alle Pflichten beider Regelwerke, reduziert jedoch erheblich den Expositionsbereich und die Gesamtkosten der Compliance. Für Händler, die Kartendaten für wiederkehrende Bestellungen speichern, ist die Tokenisierung oft die einzige praktische Lösung, die gleichzeitig die Anforderungen beider Regelwerke erfüllt.
Im Falle eines Verstoßes: Meldepflichten und kumulative Strafen
Ein Verstoß, der Kartendaten offenlegt, löst unter beiden Regelwerken separate Meldepflichten aus. Nach der DSGVO muss der Verantwortliche die Aufsichtsbehörde innerhalb von 72 Stunden nach Entdeckung benachrichtigen, sofern der Verstoß ein Risiko für die Rechte und Freiheiten der Betroffenen darstellt. Ist das Risiko hoch, müssen auch die Betroffenen selbst benachrichtigt werden. Nach PCI DSS muss der Händler den Acquirer sofort benachrichtigen und den Incident-Response-Verfahren des Zahlungssystems folgen, die typischerweise eine obligatorische forensische Untersuchung auf Kosten des Händlers beinhalten.
Die Strafen schließen sich nicht gegenseitig aus. Die Aufsichtsbehörde kann bei schwerwiegenden DSGVO-Verstößen bis zu 4 % des weltweiten Jahresumsatzes verhängen. Der Acquirer kann vertraglich PCI-DSS-Strafen von einigen tausend Euro pro Monat für fortlaufende Nichteinhaltung bis hin zu erheblichen Einmalstrafen im Falle eines dokumentierten Verstoßes verhängen. Hinzu kommen die Kosten für forensische Untersuchungen (von 50.000 bis 500.000 Euro bei einem mittelschweren Verstoß), die Erstattung betrügerischer Rückbuchungen bei kompromittierten Karten und mögliche Kartenersatzkosten der Aussteller. Die doppelte regulatorische Exposition macht einen Verstoß zu einem Ereignis mit Kosten, die weit über die Risikoabschätzungen hinausgehen, wenn die Wechselwirkung beider Regelwerke nicht berücksichtigt wird.
Häufig gestellte Fragen
Stimmt der DSGVO-Verantwortliche mit dem PCI-Händler überein?
Nicht unbedingt. Ein Händler kann DSGVO-Verantwortlicher (entscheidet über die Zwecke der Kundendatenverarbeitung) und gleichzeitig PCI-Händler (akzeptiert Kartenzahlungen) sein. Wenn der Händler jedoch einen Zahlungsdienstleister nutzt, ist dieser Anbieter in der Regel DSGVO-Auftragsverarbeiter für Kartendaten und PCI-DSS-Dienstleister. Die beiden Verantwortungsketten existieren parallel und müssen mit geeigneten Vereinbarungen formalisiert werden (AVV für DSGVO, Dienstleistungsvereinbarung mit PCI-Bescheinigung für PCI DSS).
Entspricht die DSGVO-Pseudonymisierung der PCI-Tokenisierung?
Es handelt sich um verwandte, aber nicht gleichwertige Konzepte. Die DSGVO-Pseudonymisierung (Art. 4) ist ein Verfahren, das personenbezogene Daten ohne zusätzliche Informationen nicht mehr einer bestimmten betroffenen Person zuordenbar macht. Die PCI-Tokenisierung ersetzt die PAN durch einen irreversiblen Token im Händlerkontext. Eine starke Tokenisierung kann die DSGVO-Kriterien für Pseudonymisierung erfüllen, aber die DSGVO-Pseudonymisierung impliziert nicht automatisch die Konformität mit den technischen PCI-DSS-Tokenisierungsanforderungen. Beide Standards müssen separat überprüft werden.
Muss ich einen DSB benennen, wenn ich Kartenzahlungen akzeptiere?
Die Pflicht zur Benennung eines Datenschutzbeauftragten hängt von der Art und dem Umfang der Verarbeitung ab, nicht speziell von der Kartenakzeptanz. Ein durchschnittlicher E-Commerce-Händler ist nicht automatisch verpflichtet, einen DSB zu benennen, nur weil er Karten akzeptiert. Die Pflicht gilt für Unternehmen, die Daten in großem Umfang verarbeiten, eine systematische Überwachung von Betroffenen durchführen oder besondere Kategorien von Daten verarbeiten. Konsultieren Sie Ihren Rechtsberater für eine spezifische Bewertung.
Doppelte Compliance mit einer einzigen Integration: Tokenisierung reduziert gleichzeitig die DSGVO- und PCI-DSS-Exposition. Entdecken Sie PCI Proxy EU.