Ab dem 31. März 2025 gelten neue Sicherheitsstandards für digitale Zahlungen. Die Vorschriften betreffen nicht nur Banken und große Tech-Unternehmen, sondern auch kleine Betriebe, darunter viele in Branchen, in denen Mindestlöhne gezahlt werden.
Ob im Einzelhandel, in der Gastronomie oder in der Plattformökonomie: Überall dort, wo Kartenzahlungen entgegengenommen oder digitale Auszahlungen vorgenommen werden, müssen Prozesse jetzt angepasst werden. Doch was genau steckt hinter den Änderungen und wie wirken sie sich wirtschaftlich aus?
PCI DSS v4.0 – das steckt hinter dem neuen Standard
Die Grundlage für die neuen Anforderungen ist die überarbeitete Version des „Payment Card Industry Data Security Standard“, kurz PCI DSS. Hinter dem Begriff verbirgt sich ein internationaler Regelkatalog, der seit 2004 existiert und nun in Version 4.0 modernisiert wurde.
Der Standard stammt von einem Zusammenschluss großer Kreditkartenanbieter wie Visa, Mastercard und American Express. Er schreibt vor, wie mit sensiblen Zahlungsdaten umzugehen ist, auch für kleine Händler, Cafés oder Dienstleister, die Kartenzahlungen akzeptieren.
Neu ist unter anderem, dass Sicherheitschecks häufiger stattfinden müssen. Während bislang jährliche Prüfungen reichten, sollen künftig Schwachstellen regelmäßig identifiziert und beseitigt werden.
Zudem werden Schutzmechanismen gegen Cyberangriffe deutlich verschärft. Das klingt abstrakt, hat aber ganz konkrete Folgen, insbesondere für kleinere Betriebe, die ohnehin mit steigenden Kosten und zusätzlichem Personalbedarf kämpfen.
Und das ist für die unterschiedlichsten Branchen spannend. Klar werden davon Online Shops und klassische Abo-Seiten beeinflusst, aber auch Unterhaltungsangebote wie zum Beispiel Online Casinos, bei denen man bisher anonym auszahlen konnte.
Wirtschaftlicher Druck für kleinere Betriebe
Gerade in den Bereichen, in denen viele Beschäftigte zum Mindestlohn arbeiten, wie im Gastgewerbe, in Friseursalons oder bei Lieferdiensten, sind Margen häufig knapp kalkuliert. Die Einführung von PCI DSS v4.0 kann dort zur zusätzlichen Belastung werden.
Neue Software, IT-Sicherheitstrainings, technische Prüfungen oder Dienstleister zur Umsetzung, all das kostet nicht nur Geld, sondern auch Zeit.
Laut einer aktuellen Umfrage erwarten 62 % der kleinen und mittleren Unternehmen in Deutschland, dass die Digitalisierung ihrer Zahlungsprozesse bis 2026 mit einem zusätzlichen finanziellen Aufwand von über 10.000 Euro verbunden ist. Für Großunternehmen ist das verkraftbar, für inhabergeführte Läden mit fünf bis zehn Mitarbeitenden kann es dagegen schnell existenzbedrohend werden.
Nicht zu unterschätzen ist auch der Schulungsaufwand. Beschäftigte, die täglich mit Kassensystemen oder Zahlungsabwicklungen arbeiten, müssen mit neuen Sicherheitsverfahren vertraut gemacht werden. Besonders in Sektoren mit hoher Personalfluktuation, wie etwa der Gastronomie, ist das eine Herausforderung.
Für Verbraucher ändert sich auf den ersten Blick wenig, aber im Alltag werden neue Sicherheitsprozesse spürbar sein. Biometrische Verfahren, Codes per App oder Zwei-Faktor-Authentifizierungen sollen künftig zur Norm werden. Das erhöht die Sicherheit, kann aber auch Prozesse verlangsamen, gerade in Stoßzeiten im Einzelhandel oder bei der mobilen Bestellung per App.
Tatsächlich haben sich Zahlungsbetrug und Datenmissbrauch zuletzt gehäuft. Laut dem Bundeskriminalamt lag der Schaden durch Cyberkriminalität im Jahr 2024 bei rund 205 Millionen Euro, Tendenz steigend.
Dass hier reguliert und nachgebessert wird, ist nachvollziehbar. Doch die Balance zwischen Verbraucherschutz, Wirtschaftlichkeit und Praktikabilität ist gerade für kleinere Anbieter schwer zu halten und dort sehen viele Unternehmen ein Versagen der Politik.
Was mit sensiblen Auszahlungen passiert
Ein Punkt, der in der Debatte oft übersehen wird, ist der Wunsch vieler Nutzer nach diskreten Auszahlungswegen, etwa bei sensiblen Diensten wie Online Casinos oder Plattformarbeit, bei der neben Einkommen auch Boni oder Trinkgelder digital ausgezahlt werden.
In diesen Fällen wünschen sich viele, anonym auszahlen zu können, ohne dabei Sicherheitsstandards zu verletzen. Denn tatsächlich haben die deutschen Haushalte heute etwas mehr Geld.
Aber wie kann man auch heute noch sicher ein- und auszahlen? Diese Frage betrifft nicht nur Glücksspielangebote, sondern auch Microjobbing-Plattformen, digitale Trinkgeldsysteme oder anonyme Spendenlösungen, alles Bereiche, die von Mindestlohndebatten direkt oder indirekt berührt werden.
Anbieter müssen technische Lösungen schaffen, die sowohl der Regulierung entsprechen als auch dem Wunsch vieler Nutzer nach Privatsphäre gerecht werden.
Die Anforderungen an Zahlungsabwicklungen werden technischer, das ist nicht wegzudiskutieren. Für Unternehmerinnen und Unternehmer heißt das: jetzt aktiv werden, statt abzuwarten.
Je näher das Inkrafttreten rückt, desto knapper werden die Termine bei zertifizierten Dienstleistern. Wichtig ist auch, Mitarbeitende frühzeitig einzubeziehen und einfache, verständliche Prozesse zu schaffen.
Viele kleine Betriebe setzen auf Kassensysteme mit integrierten Zahlungsdiensten. Doch nicht alle Anbieter sind bereits fit für PCI DSS v4.0. Ein Umstieg kann nötig werden, mit weiteren Kosten und Ausfallzeiten. Hier ist es ratsam, mit dem jeweiligen Zahlungsdienstleister oder IT-Partner ins Gespräch zu gehen und nach praktikablen, skalierbaren Lösungen zu fragen.
Was das Ganze mit Mindestlohn und Beschäftigungsbedingungen zu tun hat
Die Einführung neuer Sicherheitsstandards mag zunächst wie ein rein technisches Thema wirken. Doch sie hat mittelbar Einfluss auf Arbeitsrealitäten, besonders dort, wo mit Mindestlohn gearbeitet wird.
Denn wenn kleine Betriebe unter dem Druck zusätzlicher Digitalisierungsanforderungen stehen, können sie langfristig gezwungen sein, Arbeitszeiten zu kürzen, Aufträge abzulehnen oder gar Personal zu entlassen.
Gleichzeitig bieten die neuen Standards auch Chancen: Wer sich zukunftssicher aufstellt, kann das Vertrauen seiner Kundschaft stärken und sich so im Wettbewerb besser behaupten. Ein sicherer Zahlungsprozess wird zunehmend zum Standortvorteil, auch und gerade in preissensiblen Segmenten.
Die PCI-Vorgaben sind nicht das Ende, sondern nur ein Baustein in der Weiterentwicklung des digitalen Zahlungsmarkts. Künstliche Intelligenz zur Betrugserkennung, Blockchain-basierte Zahlungen oder eID-gestützte Authentifizierungen stehen längst in den Startlöchern. Wer über die wirtschaftliche Zukunft des Handels, der Gastronomie oder der Plattformarbeit nachdenkt, kommt an diesem Thema nicht vorbei.
Es lohnt sich also, nicht nur die technischen Anforderungen zu erfüllen, sondern das Thema strategisch zu denken. Denn wer sich früh mit den neuen Standards beschäftigt, kann Investitionen besser planen und vermeidet spätere Notlösungen unter Zeitdruck.
