Versicherungen und Gesundheitsdienstleister werden nicht sofort mit PCI DSS in Verbindung gebracht, doch beide Sektoren verarbeiten regelmäßig Zahlungskartendaten. Prämieneinzüge, Selbstbehaltszahlungen bei medizinischen Behandlungen, Einnahmen für klinische Leistungen: All diese Zahlungsflüsse fallen unter PCI DSS, wenn sie mit Kredit- oder Debitkarte erfolgen. Und die Risiken sind erhöht, weil diese Sektoren gleichzeitig unter zwei sensiblen regulatorischen Frameworks operieren: PCI DSS für Zahlungsdaten und DSGVO (sowie NIS2) für Gesundheitsdaten.
Versicherungen und PCI DSS: Prämieneinzüge und versteckte Risiken
Ein Versicherungsunternehmen, das Prämien per Karte einzieht – online, telefonisch oder über Callcenter-Agenten – ist im PCI-Scope. Für Kfz-, Hausrat- oder Lebensversicherungen überträgt der Kunde am Abschluss oder bei der Prämienrate Kartendaten, und das Unternehmen wird verantwortlich für deren sichere Verarbeitung. Wenn diese Kartendaten in einer internen CRM- oder Policy-Management-Software gespeichert werden – was in vielen traditionellen Versicherungen der Fall ist – entsteht eine CDE ohne strukturierte Governance.
Ein weiterer häufiger blinder Fleck: Versicherungsagenten und -makler, die Kartendaten für die Kundenverwaltung auf Papier oder in ungeschützten Dateien sammeln. Wenn ein Agent Kartendaten auf einem Formular notiert und das Formular später in Papierform gespeichert oder manuell übertragen wird, entsteht ein diffuses Risiko, das schwer zu auditieren und noch schwerer zu dokumentieren ist.
Gesundheitsdienstleister: wo Kartendaten in klinische Systeme eindringen
Im Gesundheitsbereich findet die Zahlungssammlung in verschiedenen Phasen des klinischen Pfades statt: beim Empfang (Selbstbehalt, Zuzahlung), nach einer diagnostischen Untersuchung (Zahlung vor Entlassung) oder online (Buchung privater Termine). Jeder dieser Momente kann ein PCI-Risiko erzeugen, insbesondere wenn der Zahlungsfluss in das klinische Managementsystem (KIS) integriert ist.
Viele KIS wurden nicht mit dem Konzept einer CDE entworfen: Sie wurden für die klinische Dokumentation, die Planung und die Patientenakte entwickelt. Wenn die Zahlungskomponente später hinzugefügt wird, fließen Kartendaten in ein System ein, das nicht für deren sichere Verarbeitung ausgelegt ist. Aus diesem Grund empfehlen viele PCI-Berater für Gesundheitsdienstleister den Einsatz eines externen Zahlungstools, das vollständig vom KIS getrennt ist, mit Tokenisierung als Integrationsmethode zwischen den beiden Systemen.
DSGVO und PCI DSS gleichzeitig: doppelte Compliance
Gesundheitsdaten sind nach Artikel 9 DSGVO besonders sensible Daten. Ein Gesundheitsdienstleister, der Kartendaten speichert, die mit einer medizinischen Behandlung verknüpft sind, verarbeitet effektiv eine Kombination aus besonders sensiblen Daten (Diagnose) und finanziellen Daten (Zahlungskarte). Im Falle einer Datenpanne aktivieren sich beide Frameworks gleichzeitig: PCI DSS-Strafen über den Acquirer und DSGVO-Strafen von der nationalen Datenschutzbehörde.
Die empfohlene Strategie zur Bewältigung dieser doppelten Compliance-Last ist die vollständige Trennung der Datenflüsse: Gesundheitsdaten bleiben im KIS, Zahlungsdaten werden einem externen PCI DSS Level 1 zertifizierten Vault anvertraut (wie PCI Proxy EU), und nur Tokens werden intern gespeichert. Diese Architektur reduziert beide Scopes gleichzeitig.
Häufig gestellte Fragen
Unterliegt ein Hausarzt PCI DSS, wenn er Kartenzahlungen für Besuche akzeptiert?
Technisch ja, wenn er Kartendaten direkt verarbeitet oder speichert. In der Praxis können Ärzte, die nur physische POS-Terminals mit vollständiger Auslagerung des Verarbeitungsprozesses an den PSP verwenden, ein SAQ A oder SAQ B einreichen, mit einer sehr reduzierten Compliance-Last. Das Problem entsteht, wenn Kartendaten manuell (z.B. per Telefon) gesammelt und irgendwo aufgezeichnet werden – in diesem Fall tritt eine direkte PCI-Verantwortung ein.
Wie sollte eine private Klinik die Zahlungskomponente in das KIS integrieren?
Die beste Praxis ist die vollständige Trennung: die Zahlungsschnittstelle wird auf einem externen, PCI DSS Level 1 zertifizierten Tool gehostet, das nur Tokens an das KIS zurückgibt. Das KIS assoziiert den Token mit dem Patienten und der Behandlung, berührt jedoch nie Kartendaten im Klartext. Diese Architektur reduziert gleichzeitig den PCI-Scope und die DSGVO-Risiken.
Sind Versicherungen verpflichtet, einen QSA für das jährliche Audit zu beauftragen?
Dies hängt vom Transaktionsvolumen und den Anforderungen des Acquirers ab. Versicherungen mit einem hohen Volumen an Kartentransaktionen (Level 1: über 6 Millionen pro Jahr) müssen eine jährliche Prüfung durch einen qualifizierten QSA einreichen. Die große Mehrheit der Versicherungen ist auf Level 2–4 und kann SAQ-Selbstbewertungen einreichen, möglicherweise mit ASV-Scans. Die Verwendung von PCI Proxy EU für die Kartendatenverwaltung kann das SAQ auf Typ A reduzieren, selbst für Unternehmen mit komplexen Zahlungsflüssen.
Sind Sie im Versicherungs- oder Gesundheitssektor tätig und möchten verstehen, wie Sie den PCI-Scope und die DSGVO-Risiken gleichzeitig reduzieren? Entdecken Sie PCI Proxy EU.