PCI DSS vs DSGVO
Der eine ist ein branchenspezifischer Sicherheitsstandard für Kartendaten; die andere ist ein EU-Gesetz für alle personenbezogenen Daten. Beide decken unterschiedliches Terrain ab – überschneiden sich aber bei Zahlungskarten. Hier erfahren Sie, wie sie sich unterscheiden und wie Sie beide gleichzeitig erfüllen.
Zwei Regelwerke, zwei Zwecke
PCI DSS
Ein branchenspezifischer Sicherheitsstandard der Kartenorganisationen, der technische und betriebliche Anforderungen für alle festlegt, die Karteninhaberdaten speichern, verarbeiten oder übertragen.
- Scope: Zahlungskartendaten
- Durchgesetzt von Kartenorganisationen & Acquirern
- Technische Sicherheitskontrollen
DSGVO
Ein EU-Gesetz zum Schutz personenbezogener Daten von Einzelpersonen. Es regelt Rechtsgrundlage, Datensparsamkeit, Sicherheit und individuelle Rechte für jede Verarbeitung personenbezogener Daten – einschließlich Kartennummern.
- Scope: Alle personenbezogenen Daten
- Durchgesetzt von EU-Datenschutzbehörden
- Rechtliche Rechte & Pflichten
PCI DSS vs DSGVO
| Kriterium | PCI DSS | DSGVO |
|---|---|---|
| Art | Branchenstandard | EU-Gesetz |
| Erfasste Daten | Karteninhaberdaten | Alle personenbezogenen Daten |
| Durchgesetzt von | Kartenorganisationen & Acquirer | Datenschutzbehörden |
| Fokus | Technische Sicherheit | Rechte, Rechtmäßigkeit, Datensparsamkeit |
| Sanktionen | Bußgelder, höhere Gebühren, Akzeptanzverlust | Bis zu 4 % des weltweiten Umsatzes |
| Wie Tokenisierung hilft | Scope auf SAQ A reduziert | Datensparsamkeit & EU-Datenhaltung |
Beide gleichzeitig erfüllen
Tokenisierung ist eine der wenigen Maßnahmen, die bei beiden helfen. Indem Sie Kartendaten durch Token ersetzen, die in unserem europäischen PCI DSS Level 1-Vault gespeichert sind, reduzieren Sie Ihren PCI-Scope auf SAQ A und unterstützen im Sinne der DSGVO die Datensparsamkeit und Sicherheit, indem persönliche Kartendaten aus Ihren Systemen ferngehalten werden – und das in der EU.
PCI DSS vs DSGVO – Ihre Fragen beantwortet
01 Was ist der Unterschied zwischen PCI DSS und DSGVO?
PCI DSS ist ein branchenspezifischer Sicherheitsstandard zum Schutz von Zahlungskartendaten, der von den Kartenorganisationen durchgesetzt wird. Die DSGVO ist ein EU-Gesetz zum Schutz aller personenbezogenen Daten von Einzelpersonen, das von Aufsichtsbehörden durchgesetzt wird. PCI DSS ist eng und technisch; die DSGVO ist weit gefasst und rechtlich – beide überschneiden sich jedoch, da eine Kartennummer auch personenbezogene Daten darstellt.
02 Macht PCI DSS Compliance mich DSGVO-konform?
Nein. PCI DSS regelt, wie Sie Kartendaten sichern, was dem Sicherheitserfordernis der DSGVO entgegenkommt. Die DSGVO verlangt darüber hinaus jedoch eine Rechtsgrundlage, Datensparsamkeit, individuelle Rechte, Meldung von Datenschutzverletzungen und mehr – für alle personenbezogenen Daten. Beide Regelwerke ergänzen sich, sind aber nicht austauschbar.
03 Wie hilft Tokenisierung bei PCI DSS und DSGVO zugleich?
Tokenisierung ersetzt Kartendaten durch Token, die in einem externen PCI DSS Level 1-Vault gespeichert werden. Das reduziert Ihren PCI-Scope auf SAQ A und unterstützt im Sinne der DSGVO die Datensparsamkeit und Sicherheit, indem personenbezogene Kartendaten aus Ihren Systemen entfernt werden – PCI Proxy hält sie dabei in der EU.
04 Gelten Kartendaten als personenbezogene Daten im Sinne der DSGVO?
Ja. Eine Zahlungskartennummer, die einer Person zugeordnet werden kann, ist personenbezogene Daten im Sinne der DSGVO und fällt damit sowohl unter PCI DSS (als Karteninhaberdaten) als auch unter die DSGVO (als personenbezogene Daten). Die Minimierung der Speicherorte reduziert Verpflichtungen unter beiden Regelwerken.
Kartendaten – minimal, sicher und europäisch
Schildern Sie uns Ihre Datenflüsse, und wir zeigen Ihnen, wie ein europäisches Vault Ihnen hilft, PCI DSS und DSGVO gemeinsam zu erfüllen.