Viele Kleinunternehmen glauben fälschlicherweise, dass PCI DSS nur für große Einzelhändler oder Banken gilt. In Wirklichkeit gilt PCI DSS für jeden Händler oder Dienstleister, der Zahlungskartendaten akzeptiert, verarbeitet, speichert oder überträgt, unabhängig von Größe oder Umsatz. Ein kleines Restaurant mit einem einzigen Kartenlesegerät ist genauso verpflichtet wie ein Großhändler. Der Unterschied liegt im Umfang der Anforderungen – und die gute Nachricht ist, dass Kleinunternehmen durch die richtigen Architekturentscheidungen die minimal aufwändige Compliance-Variante wählen können.
Gilt PCI DSS wirklich für mein kleines Unternehmen?
Ja. PCI DSS ist kein optionaler Standard: Es ist eine vertragliche Verpflichtung, die Händler beim Abschluss ihres Merchant-Agreements mit dem Acquirer (der Bank, die Kartenzahlungen verarbeitet) eingehen. Das Merchant-Agreement enthält in der Regel eine Klausel, die die Einhaltung der PCI DSS-Standards vorschreibt. Die Kosten der Nichteinhaltung können erheblich sein: Geldstrafen des Acquirers, erhöhte Transaktionsgebühren, Entzug des Kartenakzeptanzrechts und im Falle einer Datenpanne direkte Haftung gegenüber dem Acquirer für die Kosten der Kompromittierung.
PCI SSC hat ein Tiersystem eingeführt, das auf der jährlichen Transaktionsvolume basiert, aber dieses System bestimmt die Bewertungsmethode (SAQ oder QSA-Prüfung), nicht die Pflicht zur Compliance selbst. Level-4-Händler (weniger als 20.000 E-Commerce-Transaktionen/Jahr oder bis zu 1 Million Transaktionen anderer Art) können typischerweise ein SAQ ausfüllen statt eine formelle QSA-Prüfung zu durchlaufen – aber sie sind dennoch verpflichtet, alle im SAQ beschriebenen Kontrollen zu implementieren.
Was PCI DSS-Compliance für ein KMU wirklich kostet
Die direkten Kosten der PCI DSS-Compliance für ein Kleinunternehmen hängen stark vom SAQ-Typ ab:
- SAQ A (einfachster Scope): Geringe direkte Kosten. Hauptaufwand ist die jährliche Dokumentation und die neue Anforderung für Zahlungsseiten-Skript-Überwachung in v4.
- SAQ C oder SAQ D: Regelmäßige Schwachstellenscans durch einen ASV (ab ca. 200–500 €/Quartal), Penetrationstest (5.000–20.000 €/Jahr), interne Sicherheitskontrollen, möglicherweise eine Firewall-Infrastruktur.
- Nicht-Compliance-Kosten: Der Acquirer kann monatliche Gebühren für nicht-konforme Händler erheben (typisch 20–100 €/Monat) und im Falle einer Datenpanne erhebliche Haftungskosten.
Für ein kleines E-Commerce-Unternehmen, das SAQ D ausfüllt, können die jährlichen direkten Compliance-Kosten (Scans, Pen Tests, Beratung) leicht 10.000–20.000 € übersteigen. Dasselbe Unternehmen, das sich durch Tokenisierung für SAQ A qualifiziert, hätte nur minimale direkte Compliance-Kosten.
Der einfachste Weg zur Compliance: SAQ A durch Tokenisierung
Für die meisten E-Commerce-Kleinunternehmen ist der schnellste Weg zur einfachen Compliance die Implementierung einer Hosted Payment Page oder eines sicheren Tokenisierungs-iFrames von einem PCI DSS Level-1-zertifizierten Anbieter. Die Kartendaten gehen nie auf eigene Server: Der Kunde gibt die Karte direkt auf der sicheren Seite des Anbieters ein.
Mit dieser Architektur:
- Hat das Unternehmen keine CDE mehr (keine eigenen Systeme, die PANs berühren)
- Kann es SAQ A ausfüllen (22 Fragen statt 350)
- Entfallen vierteljährliche ASV-Scans und jährliche Pen Tests
- Reduziert sich der Gesamtaufwand für die jährliche PCI DSS-Konformitätsbescheinigung auf einige Stunden Arbeit
Häufig gestellte Fragen
Was passiert, wenn ich PCI DSS ignoriere?
Die unmittelbaren Konsequenzen der Nichteinhaltung sind: monatliche Gebühren des Acquirers für nicht-konforme Händler (die je nach Vertrag variieren), mögliche Kündigung des Händlerkontos und Verlust des Kartenakzeptanzrechts. Im Falle einer Kartendatenpanne trägt der nicht-konforme Händler die volle Haftung: Kosten für forensische Untersuchungen, Entschädigung der Acquirer für die Kosten kompromittierter Karten und mögliche DSGVO-Bußgelder, wenn europäische Bürgerdaten betroffen sind.
Ich verwende Shopify/WooCommerce/Stripe. Bin ich bereits compliant?
Nicht automatisch. Diese Plattformen können die Compliance vereinfachen, wenn Sie deren Hosted-Payment-Lösungen korrekt implementieren, aber Compliance ist keine Pauschalgarantie des Plattformanbieters. Sie müssen überprüfen, wie die Zahlung implementiert ist: Wenn das Zahlungsformular auf Ihrer eigenen Domain rendert oder wenn Kartendaten durch Ihre Server weitergeleitet werden, haben Sie eigene PCI DSS-Pflichten. Mit der korrekten Hosted-Payment-Page-Implementierung kann die Compliance auf SAQ A reduziert werden.
Als Kleinunternehmen können Sie PCI DSS-Compliance effizienter erreichen als Sie denken: Mit PCI Proxy EU Tokenisierung minimieren Sie Scope und Aufwand. PCI Proxy EU entdecken.