Was kostet ein PCI DSS-Verstoß? Strafen und reale Konsequenzen

PCI DSS-Verstöße werden nicht von einer staatlichen Behörde sanktioniert, sondern durch ein privatwirtschaftliches System aus Kartennetzwerken und Acquirern. Das macht die Strafen paradoxerweise schwerer vorherzusagen: Visa und Mastercard können nach eigenem Ermessen handeln, und die wahren Kosten eines Verstoßes gehen weit über direkte Bußgelder hinaus. Eine einzige Datenpanne kann ein Unternehmen durch eine Kombination aus Bußgeldern, Sanierungskosten, erhöhten Transaktionsgebühren und Reputationsschäden in die Insolvenz treiben.

Wie PCI DSS-Strafen funktionieren

PCI DSS ist kein Gesetz: Es ist ein Industriestandard, der durch vertragliche Vereinbarungen zwischen Händlern, Acquirern und Kartennetzwerken durchgesetzt wird. Die Sanktionskette sieht so aus:

1. Kartennetzwerke (Visa, Mastercard) verhängen Bußgelder gegen Acquirer für nicht-konforme Händler in ihrem Portfolio.
2. Acquirer leiten diese Bußgelder an die betroffenen Händler weiter und können eigene zusätzliche Sanktionen verhängen.
3. Im Falle einer bestätigten Datenpanne können Kartennetzwerke höhere Strafen verhängen und zusätzliche forensische Untersuchungen verlangen.

Die Höhe der Bußgelder ist nicht öffentlich festgelegt und variiert je nach Kartennetzwerk, Größe des Verstoßes, Anzahl der kompromittierten Karten und ob der Händler zu diesem Zeitpunkt als PCI DSS-konform galt. Schätzungen gehen von 5.000 bis 100.000 € pro Monat für chronische Nicht-Konformität aus.

Die wahren Kosten einer Datenpanne

Die direkten Bußgelder sind nur ein Teil des Problems. Die Gesamtkosten einer Kartendatenpanne umfassen:

• Forensische Untersuchung (PFI): Kartennetzwerke verlangen eine forensische Untersuchung durch einen zugelassenen PCI Forensic Investigator. Kosten: typisch 20.000–100.000 € oder mehr für komplexe Fälle.
• Karten-Neuerstellungskosten: Der Händler (über den Acquirer) kann für die Kosten der Neuerstellung aller kompromittierten Karten haftbar gemacht werden. Bei Millionen von Karten können diese Kosten in die Millionen gehen.
• Betrugsverluste: Haftung für Betrugsverluste, die auf kompromittierte Karten zurückzuführen sind (chargeback liability).
• Erhöhte Transaktionsgebühren: Nach einer Datenpanne können Kartennetzwerke erhöhte Transaktionsgebühren für 1–3 Jahre verhängen.
• DSGVO-Bußgelder: In Europa gilt zusätzlich die DSGVO: Eine Datenpanne mit Kartendaten kann DSGVO-Bußgelder von bis zu 4 % des weltweiten Jahresumsatzes nach sich ziehen.
• Sanierungskosten: Implementierung der erforderlichen Sicherheitsverbesserungen unter Zeitdruck und mit externem Consulting.

Compliance-Verlust vs. Datenpanne: Unterschiedliche Konsequenzen

Es gibt einen wichtigen Unterschied zwischen Compliance-Verlust (Nicht-Einreichung des SAQ oder fehlgeschlagene Bewertung ohne bekannte Panne) und einer Datenpanne (tatsächlicher Verlust von Kartendaten):

• Compliance-Verlust führt typischerweise zu monatlichen Non-Compliance-Gebühren (20–100 €/Monat für kleinere Händler) und möglichen Anforderungen des Acquirers zur Wiederherstellung der Konformität.
• Eine Datenpanne löst das vollständige Sanktionssystem aus: forensische Untersuchung, Bußgelder, Karten-Neuerstellungskosten, Betrugshaftung und potenzielle DSGVO-Sanktionen.

Das Paradoxe: Wenn ein Händler eine Datenpanne erleidet und zum Zeitpunkt der Panne nicht PCI DSS-konform war, erhöht das die Bußgelder erheblich. Wenn er konform war und eine Panne trotz implementierter Kontrollen eingetreten ist, sind die Strafen in der Regel geringer. Compliance reduziert nicht nur das Risiko einer Panne, sondern auch die Konsequenzen im Pannenfall.

Häufig gestellte Fragen

Die beste Versicherung gegen PCI DSS-Strafen ist das Eliminieren des Risikos: Wenn keine Kartendaten in Ihren Systemen gespeichert sind, gibt es nichts zu kompromittieren. PCI Proxy EU entdecken.