EU-Datenresidenz für Zahlungsdaten ist nicht länger eine optionale Best Practice: Für europäische Unternehmen, die der DSGVO unterliegen, ist die Übertragung von Kartendaten an Infrastrukturen außerhalb des Europäischen Wirtschaftsraums (EWR) ein regulatorisches Risiko mit konkreten Haftungsimplikationen. Das Schrems-II-Urteil des Europäischen Gerichtshofs und die jüngsten Maßnahmen der Aufsichtsbehörden haben gezeigt, dass Datentransfers in Drittländer strenger Kontrolle unterliegen. Das Halten von Kartendaten im EU-Perimeter ist eine strategische Entscheidung, nicht nur eine technische.
DSGVO und Datentransfers: was das Recht über Kartendaten außerhalb der EU sagt
Die DSGVO gestattet die Übertragung personenbezogener Daten in Drittländer (außerhalb des EWR) nur unter bestimmten Bedingungen: das Zielland muss einen Angemessenheitsbeschluss der Europäischen Kommission haben, oder es müssen geeignete Garantien vorhanden sein (Standardvertragsklauseln, verbindliche Unternehmensregeln). Das Schrems-II-Urteil von 2020 hat das EU-US Privacy Shield für ungültig erklärt und Zweifel an der Angemessenheit der Standardvertragsklauseln für US-Anbieter aufgeworfen, die unter FISA Section 702 und ähnlichen Gesetzen fallen.
Für Kartendaten, die personenbezogene Daten enthalten (PAN + Karteninhabername), bedeutet dies: Wenn ein europäisches Unternehmen diese Daten an einen Anbieter mit US-Infrastruktur oder an nicht-EU-Server sendet, kann dieser Transfer eine DSGVO-Verletzung darstellen, sofern nicht präzise rechtliche Garantien vorhanden sind. Aufsichtsbehörden in Deutschland, Österreich, Frankreich und anderen EU-Ländern haben gegen Anbieter ermittelt, die personenbezogene Daten über US-Dienste wie Google Analytics und Mailchimp übertragen haben.
Warum EU-Datenresidenz für Kartendaten wichtiger ist als für andere Daten
Kartendaten sind eine besonders sensible Datenkategorie aus zwei komplementären Gründen. Erstens sind sie als personenbezogene Daten unter der DSGVO geschützt. Zweitens sind sie PCI-DSS-Scope: Ihre Exposition stellt ein direktes finanzielles Risiko für Karteninhaber und Händler dar. Die Kombination dieser zwei regulatorischen Schichten bedeutet, dass Unternehmen für eine Datenpanne mit Kartendaten potenziell von zwei verschiedenen Behörden sanktioniert werden können: der Aufsichtsbehörde (für die DSGVO-Verletzung) und dem Acquirer/Kartennetzwerk (für die PCI-DSS-Verletzung).
EU-Datenresidenz reduziert das Risiko auf beiden Fronten: Die Daten verlassen nie den EU-Rechtsraum, sodass keine Drittland-Transfer-Probleme entstehen, und sie sind unter einer Infrastruktur geschützt, die strengen europäischen Sicherheitsstandards entspricht. Für regulierte Unternehmen (Finanzdienstleister, Gesundheitsunternehmen, öffentliche Auftraggeber) kann die EU-Datenresidenz auch eine sektorspezifische Vorschrift sein.
PCI Proxy EU: zertifizierte Infrastruktur vollständig in der EU
PCI Proxy EU wurde speziell für europäische Unternehmen entwickelt, die maximale Zahlungssicherheit mit vollständiger DSGVO-Konformität kombinieren müssen. Der Tokenisierungs-Vault ist in europäischen Rechenzentren gehostet, die sich vollständig im EWR befinden. Kartendaten verlassen niemals die EU-Grenzen: Erfassung, Speicherung, Tokenisierung und PAN-Übertragung an den PSP erfolgen innerhalb der EU-Infrastruktur.
Darüber hinaus ist PCI Proxy EU PCI DSS Level 1 zertifiziert – das höchste Niveau –, was bedeutet, dass die Sicherheitskontrollen die strengsten im Standard verfügbaren sind. Für europäische Unternehmen bietet diese Kombination aus EU-Datenresidenz und PCI-Level-1-Zertifizierung den vollständigsten verfügbaren Schutz für Zahlungsdaten und ermöglicht es, beide regulatorischen Verpflichtungen – DSGVO und PCI DSS – mit einer einzigen Integration zu erfüllen.
Häufig gestellte Fragen
Sind US-Zahlungsanbieter mit Standardvertragsklauseln DSGVO-konform?
Standardvertragsklauseln (SCC) sind ein möglicher rechtlicher Mechanismus für Transfers, aber nach Schrems II reichen sie allein nicht aus: Es ist auch eine Bewertung erforderlich, ob das Zielland tatsächlich den EU-Datenschutzstandards äquivalenten Schutz bietet. Für US-Anbieter, die unter FISA Section 702 fallen, bestehen erhebliche Risiken. Das EU-US Data Privacy Framework (2023) hat einige Klarstellungen vorgenommen, ist aber Gegenstand laufender rechtlicher Herausforderungen. Die sicherste Option für europäische Unternehmen bleibt die Verwendung von EU-ansässigen Infrastrukturen.
Erfordert die DSGVO explizit EU-Datenresidenz für Zahlungsdaten?
Die DSGVO schreibt EU-Datenresidenz nicht explizit vor, beschränkt aber internationale Transfers unter strengen Bedingungen. Der praktische Effekt ist, dass EU-Datenresidenz die einfachste Methode ist, um sicherzustellen, dass Transfers nicht DSGVO-Beschränkungen unterliegen. Für hochsensible Daten wie Kartendaten ist EU-Datenresidenz die risikoärmste Option aus regulatorischer Sicht.
Beeinflusst EU-Datenresidenz die Zahlungsleistung?
In der Praxis nein. Moderne EU-Rechenzentren bieten Leistung auf demselben Niveau wie US-Pendants. Latenz bei Zahlungstransaktionen wird hauptsächlich durch die Verbindung zum PSP und das Kartennetzwerk bestimmt, nicht durch den physischen Standort des Token-Vaults. PCI Proxy EU hat Rechenzentren in mehreren EU-Ländern, um Redundanz und optimale Leistung für europäische Händler zu gewährleisten.
Möchten Sie Kartendaten in der EU halten und gleichzeitig PCI-DSS-konform sein? Entdecken Sie PCI Proxy EU.