Bafin, DSGVO, ZAG: Was ein Payment-Anbieter im deutschen Markt mitbringen muss

Warum der Standort deines Zahlungsdienstleisters manchmal mehr zählt als seine API

Inhalt
  1. Was den deutschen Payment-Markt besonders macht
  2. Plattformbeispiel secupay: Was ein deutsches Zahlungsinstitut konkret mitbringt
  3. Für wen lohnt sich ein deutscher Zahlungsdienstleister?
  4. Weitere Anbieter im Überblick
  5. Fazit: Wann ein deutscher Zahlungsdienstleister der bessere Partner ist
Wer in Deutschland ein Payment-System sucht, findet schnell eine Lösung. Internationale Payment Service Provider (PSP) sind gut dokumentiert, weit verbreitet und für Standardanforderungen gut geeignet.
Komplizierter wird es, wenn das Zahlungsprojekt wächst. Wenn Marktplatzstrukturen entstehen, Treuhandkonten gesetzlich vorgeschrieben sind, Kund*innen in regulierten Branchen arbeiten oder Datensouveränität eine Vergabebedingung ist. die ein PSP mit globaler Ausrichtung nicht ohne weiteres beantworten kann.
In diesem Artikel zeigen wir dir, welche Anforderungen der deutsche Markt an Zahlungsdienstleister stellt, was ein lokal verwurzelter Zahlungsdienstleister strukturell mitbringt und für welche Szenarien das konkret relevant ist.
Das Wichtigste in Kürze
  • Der deutsche Payment-Markt hat eine eigene regulatorische Logik: Bafin, ZAG, PSD2 und KapESt sind Anforderungen, die internationale Anbieter nicht von Haus aus abbilden können.
  • US-Anbieter unterliegen dem Cloud Act. Das bedeutet potenziellen Behördenzugriff auf Daten, auch wenn die Server in Europa stehen. Für regulierte Branchen und öffentliche Auftraggeber ist das oft ein Ausschlusskriterium.
  • Für Marktplätze und Plattformmodelle mit gesetzlicher Treuhandpflicht oder automatisierter KapESt-Abführung braucht es einen Partner mit nativem deutschen Rechtsrahmen.
  • Nicht jedes Unternehmen braucht ein Bafin-reguliertes Zahlungsinstitut. Wer aber im deutschen Markt komplex operiert, sollte prüfen, ob ein lokal verwurzelter Anbieter besser passt.
Made in Germany
Mit unserem Format „Made in Germany“ stellen wir deutsche Softwarelösungen vor, die nicht nur mit internationalen Größen mithalten können, sondern in entscheidenden Bereichen sogar überlegen sind.
 
 

Was den deutschen Payment-Markt besonders macht

Der deutsche Markt hat eine eigene regulatorische Logik. Wer hier operiert, bewegt sich in einem Rahmen, den internationale Anbieter nicht von Haus aus mitbringen.

Regulatorik als Ausgangsbedingung

ZAG, Bafin, PSD2, AML, KapESt: Diese Abkürzungen beschreiben den Rahmen, in dem deutsche Zahlungsdienstleister arbeiten. Das Zahlungsdiensteaufsichtsgesetz (ZAG) regelt, wer in Deutschland Zahlungsdienste erbringen darf und unter welchen Auflagen. Die Bafin beaufsichtigt die zugelassenen Institute. Wer mit einer Plattform Gelder zwischenhält, Kapitalerträge auszahlt, Acquiring-Dienste anbietet oder Marktplatzstrukturen betreibt, muss diese Anforderungen nicht nur kennen, sondern sie auch technisch und rechtlich abbilden.
Zahlungsdienstleister, die ursprünglich für andere Märkte gebaut wurden, passen ihre Architektur nachträglich an, so gut es geht. Anbieter, die von Anfang an im deutschen Markt reguliert sind, bauen ihre Systeme genau dafür.

DSGVO und Serverstandort

Europäische Datenschutzanforderungen sind für viele Unternehmen ein operativer Faktor. Besonders dann, wenn Anbieter dem US Cloud Act unterliegen: US-Behörden können unter bestimmten Voraussetzungen auf Daten zugreifen, unabhängig davon, ob die Server physisch in Europa stehen. Der strukturelle Konflikt zwischen Cloud Act und DSGVO (Art. 48) lässt sich auch durch Standardvertragsklauseln nicht auflösen.
Für Unternehmen in regulierten Branchen, öffentliche Auftraggebende und mittelständische Betriebe, die ihre Datenverarbeitung sauber dokumentieren müssen, ist das ein Kriterium, das den Anbieterkreis faktisch einschränkt.
Gut zu wissen

Gut zu wissen: Die Bußgeldpraxis der europäischen Datenschutzbehörden verdeutlicht den Konflikt zwischen DSGVO und US-Datenrecht. Meta erhielt z. B. im Mai 2023 eine Rekordstrafe von 1,2 Milliarden Euro für die ungeschützte Übermittlung von Facebook-Nutzerdaten in die USA. Uber zahlte im August 2024 290 Millionen Euro, weil EU-Fahrerdaten ohne angemessenen Schutz in die USA transferiert wurden. Die irische Datenschutzkommission verhängte gegen TikTok im Mai 2025 ein Bußgeld von 530 Millionen Euro, unter anderem weil das Unternehmen europäische Nutzerdaten nach China weitergeleitet hatte – dem gleichen DSGVO-Grundsatz folgend, der auch US-Übermittlungen betrifft.

Unified Commerce als Marktanforderung

Viele Händler*innen im deutschen Markt wollen POS und Online-Zahlungen über eine gemeinsame Plattform abwickeln (Stichwort: Omnichannel Commerce), inklusive Loyalty-Systemen, die an beiden Punkten funktionieren. Nicht alle Zahlungsdienstleister decken diesen sogenannten Unified Commerce aus einer Hand ab.
Die wichtigsten Payment-Begriffe im Überblick:
ZAG
Zahlungsdiensteaufsichtsgesetz; das deutsche Bundesgesetz, das regelt, wer Zahlungsdienste erbringen darf und unter welchen Auflagen
PSD2
Payment Services Directive 2; die europäische Zahlungsdienstleisterrichtlinie, die u. a. starke Kundenauthentifizierung und Open Banking vorschreibt
AML
Anti-Money-Laundering; gesetzliche Anforderungen zur Verhinderung von Geldwäsche, die Zahlungsdienstleister technisch und organisatorisch umsetzen müssen
KapESt
Kapitalertragsteuer; eine Quellensteuer auf Kapitalerträge, die Plattformen, die Erträge an Nutzer*innen auszahlen, direkt einbehalten und ans Finanzamt abführen müssen
KYC
„Know Your Customer“; gesetzlich vorgeschriebene Identitätsprüfung von Kund*innen zur Verhinderung von Geldwäsche und Betrug
Cloud Act
US-Bundesgesetz, das amerikanische Unternehmen verpflichtet, auf behördliche Anfrage Daten herauszugeben, unabhängig davon, wo die Server physisch stehen
Split-Payments
automatische Aufteilung einer Zahlung auf mehrere Empfänger*innen, etwa bei Marktplätzen mit verschiedenen Händler*innen
 
 

Plattformbeispiel secupay: Was ein deutsches Zahlungsinstitut konkret mitbringt

Die secupay AG wurde im Jahr 2000 gegründet. Hans-Peter Weber ist Gründer und Inhaber des Unternehmens. Was in den Jahren seit der Gründung entstanden ist, lässt sich nicht importieren: gewachsenes Praxiswissen im deutschen Markt, eine Produktarchitektur, die nativ auf die hiesige Regulatorik ausgelegt ist, und ein Verständnis für Anforderungen, das über API-Dokumentation weit hinausgeht.
secupay ist heute das größte inhabergeführte, Bafin-zugelassene Zahlungsinstitut in Deutschland. Der Payment Service Provider bietet alle Zahlungsprodukte und -services aus einer Hand: POS, E-Commerce, Mobile und Loyalty. Die Daten aller Kanäle laufen dabei zentral im secuOffice zusammen. secupay ist ISO 27001-zertifiziert, PCI-DSS Level 1 konform und betreibt seine Rechenzentren ausschließlich in der EU in Frankfurt am Main und Amsterdam.
Zu den Kund*innen zählen unter anderem Viba/Hussel und der BVB, beides Unternehmen mit Anforderungen, die über einen Standard-Checkout hinausgehen.

Regulatorik von Grund auf

secupay ist Zahlungsinstitut nach ZAG, bei der Bafin registriert (Reg.-Nr. 126737) und hält Erlaubnisse für Acquiring (Abwicklung und Autorisierung von Kartenzahlungen im Auftrag von Händler*innen), Finanztransfer und Lastschrift. Die Produktarchitektur ist nativ für die deutschen regulatorischen Anforderungen gebaut: Treuhandkonten, KYC-Prozesse und Auszahlungslogiken sind so konstruiert, dass sie den Anforderungen von ZAG und Bafin entsprechen.

Plattformmodelle und Treuhand

Bei der Plattform verfügen alle Kanäle, ob Kassensystem im Store, Onlineshop oder Loyalty-Programm, über eine gemeinsame technologische Basis. So vermeidest du Datensilos zwischen Systemen und manuelle Abgleiche.
secupay bietet Treuhandlösungen für Crowdfunding, Crowdinvesting und Token-Offerings mit ZAG-konformer Treuhandarchitektur an. Für Plattformmodelle ist das besonders relevant: Wer als Marktplatz oder Finanzierungsplattform Gelder zwischenhält, ist gesetzlich zur getrennten Verwahrung verpflichtet. Hinzu kommt die automatisierte Abführung der Kapitalertragsteuer direkt aus der Plattformarchitektur heraus, ein Szenario, das viele Payment Service Provider ohne nativen deutschen Rechtsrahmen nicht abbilden können.

secupay-Integrationen

secupay bietet Shopmodule für folgende Systeme und weitere DACH-relevante Plattformen:
Zusätzlich bietet secupay eine REST-API sowie native Anbindungen an Kassensysteme. Wer ERP-Lösungen integrieren möchte, kann das ebenfalls über die API tun. Die Integrationsbreite gezielt auf die Systeme ausgerichtet, die im deutschen Handel im Einsatz sind.

Kundenservice

Bei secupay gibt es feste Ansprechpersonen in Deutschland, die dein Unternehmen kennen und direkt erreichbar sind. Für Projekte, bei denen persönliche Erreichbarkeit und klare Verantwortlichkeit in der Lieferantenauswahl eine Rolle spielen, ist das ein Unterschied, den viele deutsche Unternehmen bewusst abwägen.
„Der technische Support ist immer sehr kompetent und fast jederzeit erreichbar. Die Geräte sind einfach zu konfigurieren und [zu] administrieren.“ – Rene, Bürosysteme Emsland GmbH

Inhabergeführt seit 2000

secupay ist inhabergeführt und kommt ohne externe Investor*innen aus. Produktentscheidungen orientieren sich nicht an Quartalsergebnissen oder Investorenerwartungen. Für Unternehmen, die einen langfristigen Payment-Partner suchen und Wert auf beständige Ansprechpersonen und langfristige Produktkontinuität legen, ist das eine relevante Variable.
 
 

Für wen lohnt sich ein deutscher Zahlungsdienstleister?

Stationärer Handel und Unified Commerce

Wer POS und Online unter einem Dach zusammenführen will, braucht einen PSP, der Omnichannel nativ versteht. Der Unterschied zeigt sich im Alltag durch eine gemeinsame Datenbasis, keine manuellen Abgleiche zwischen Systemen und Loyalty-Programme, die am POS genauso funktionieren wie im Onlineshop.
Bei secupay laufen POS, Onlineshop und Loyalty-Programm auf derselben technischen Basis. Acquiring, Loyalty und Reporting laufen bei der Plattform zentral im secuOffice zusammen. Hier kannst du rund um die Uhr sämtliche Transaktionsdaten in Echtzeit einsehen, sie bei Bedarf exportieren und Loyalty- und Gutscheinkarten verwalten.
secupay_Karte-präsentieren_Karte_2.jpg
secupay bietet Payment-Lösungen für den Onlineshop und den stationären Handel. Bild: secupay

Marktplätze und Plattformmodelle

Plattformmodelle stellen besondere Anforderungen an die Zahlungsarchitektur. Wer einen Marktplatz betreibt, auf dem Kund*innen bei verschiedenen Händler*innen gleichzeitig kaufen, braucht eine Lösung, die gemischte Warenkörbe sauber aufteilt und dabei die gesetzliche Treuhandpflicht erfüllt.
Wer mit einer Plattform Kapitalerträge auszahlt, ist verpflichtet, die Kapitalertragsteuer direkt einzubehalten und ans Finanzamt abzuführen. Das sind gesetzliche Pflichten, die der Zahlungspartner technisch erfüllen muss. PSP ohne nativen deutschen Rechtsrahmen stoßen hier strukturell an Grenzen. secupay bildet diese Szenarien nativ ab: Split-Payments, Mixed-Basket-Logik, also Warenkörbe, in denen Kund*innen bei mehreren Händler*innen gleichzeitig kaufen und die Zahlung sauber aufgeteilt werden muss, Bafin-konforme Treuhandarchitekturen und KapESt-Abführung sind fester Bestandteil der Plattform.

Loyalty und Kundenbindung

Kundenbindungsprogramme funktionieren nur, wenn sie nahtlos in den Zahlungsprozess integriert sind. Gutscheine, Kundenkarten und Treuepunkte, die ausschließlich online einlösbar sind, greifen für stationäre Händler*innen zu kurz. Wer beides verbinden will, braucht einen Anbieter, der Loyalty und Payment aus einer Hand denkt. secucard bringt Gutschein-, Kundenkarten- und Treueprogramme mit, die kontaktlos am POS integriert sind.

Regulierte Branchen und öffentliche Hand

In regulierten Branchen und bei öffentlichen Vergabeverfahren ist der Serverstandort oft eine formale Anforderung. Zahlungsdienstleister ohne EU-Serverstandort oder ohne deutschen Rechtsrahmen können in solchen Verfahren von vornherein ausscheiden, unabhängig von Preis oder Funktionsumfang. Datensouveränität, Bafin-Regulierung und nachweisbare DSGVO-Konformität sind oftmals Grundvoraussetzung.
Das Sozialcard-Projekt, bei dem secupay die Bezahlkarte für 14 Bundesländer umsetzt, zeigt, welche Anforderungen in diesem Segment gestellt werden und wer sie erfüllen kann.
 
 

Weitere Anbieter im Überblick

secupay und Stripe sind nicht die einzigen Optionen im deutschen Payment-Markt. Wer eine Nischenlösung sucht oder andere Schwerpunkte setzt, bekommt auf der OMR-Reviews-Kategorieseite für Payment-Tools einen aktuellen Überblick mit Nutzerbewertungen und Vergleichsmöglichkeiten:

Fazit: Wann ein deutscher Zahlungsdienstleister der bessere Partner ist

Für viele Unternehmen kann eine internationale Standard-Payment-Lösung genau das Richtige sein: Sie ist schnell integriert, gut dokumentiert und für E-Commerce und internationale Märkte erprobt.
Sobald das Projekt komplexer wird, verschieben sich allerdings auch die Entscheidungskriterien. Preis und API-Qualität treten in den Hintergrund. Stattdessen zählt, ob der Payment Service Provider den deutschen Rechtsrahmen von Grund auf kennt, ob er als Acquirer lizenziert ist, Treuhandpflichten nativ abbildet und Omnichannel-Szenarien ohne Systembrüche ermöglicht.
secupay ist die richtige Wahl, wenn du …
  • ein Bafin-reguliertes Zahlungsinstitut als Partner brauchst.
  • Datensouveränität ohne Cloud-Act-Risiko benötigst.
  • POS, E-Commerce und Loyalty aus einer Hand willst.
  • komplexe Marktplatz-, Split-Payment- oder Treuhandstrukturen umsetzt.
  • eine feste Ansprechperson in Deutschland für ein langfristiges Projekt erwartest.
 
 
FAQ

Häufige Fragen zum Thema Payment in Deutschland

Was ist der Unterschied zwischen einem Bafin-regulierten Zahlungsinstitut und einem E-Money-Institut?
Ein Zahlungsinstitut nach ZAG (Zahlungsdiensteaufsichtsgesetz) wird direkt von der deutschen Bafin beaufsichtigt und darf komplexe Zahlungsdienste wie Acquiring, Finanztransfer und Treuhandmodelle nach deutschem Recht anbieten. Ein E-Money-Institut ist hingegen oft nach dem Recht eines anderen EU-Staates – zum Beispiel Irland – reguliert. Das bietet eine solide europäische Basis, ist aber nicht deckungsgleich mit den Anforderungen der Bafin, was bei komplexen deutschen Compliance-Anforderungen spürbar wird.
Wann brauche ich als Unternehmen einen deutschen Zahlungsdienstleister?
Sobald dein Zahlungsprojekt über einen Standard-Checkout hinausgeht. Konkret relevant wird es bei Marktplatzstrukturen mit gesetzlicher Treuhandpflicht, bei der automatisierten Abführung der Kapitalertragsteuer (KapESt), bei Bafin-konformen Plattformmodellen oder wenn Datensouveränität, etwa in Vergabeverfahren der öffentlichen Hand, eine formale Anforderung ist.
Was bedeutet der US Cloud Act für deutsche Unternehmen?
Der US Cloud Act verpflichtet amerikanische Unternehmen, auf behördliche Anfrage Daten herauszugeben, unabhängig davon, ob die Server physisch in Europa stehen. Das bedeutet: Wer einen US-amerikanischen Payment-Anbieter nutzt, kann sich nicht allein durch den Serverstandort gegen einen Behördenzugriff absichern. Der strukturelle Konflikt zwischen Cloud Act und DSGVO (Art. 48) lässt sich auch durch Standardvertragsklauseln nicht auflösen.
Wann ist eine Treuhandlösung beim Payment gesetzlich vorgeschrieben?
Immer dann, wenn eine Plattform Gelder zwischenhält, bevor sie an Händler*innen oder andere Empfänger*innen weitergeleitet werden. Das betrifft Marktplätze, Crowdfunding- und Crowdinvesting-Plattformen sowie Token-Offerings. Das ZAG schreibt in diesen Fällen die getrennte, insolvenzgesicherte Verwahrung der Gelder vor. Wer das nicht nativ abbilden kann, muss es über Dritte lösen oder riskiert regulatorische Probleme.
Kann ich POS und Online-Payment über einen einzigen Anbieter abwickeln?
Ja, wenn der Anbieter Unified Commerce nativ unterstützt. Das bedeutet, dass POS, Onlineshop und Loyalty-Programme auf einer gemeinsamen technologischen Basis laufen und alle Kanaldaten zentral zusammengeführt werden. Nicht alle Payment-Anbieter decken das aus einer Hand ab. Wer primär für Online gebaut hat und POS nachgerüstet hat, bietet oft eine technisch getrennte Lösung, die manuelle Abgleiche erfordert.
Chantal Seiter

Chantal ist Redakteurin bei OMR Reviews. Wenn sie gerade mal nicht in die Tasten haut, betreibt sie Café Hopping oder erkundet neue Städte. Am liebsten beides zusammen. Vor ihrem Start bei OMR Reviews hat die Eigentlich-Kielerin in Kreativagenturen und als Freelancerin gearbeitet. 2022 hat sie außerdem eine Weiterbildung zur Fashion Stylistin abgeschlossen.

Dieser Artikel erscheint auf OMR Reviews – der führenden DACH-Plattform für B2B-Software-Bewertungen, Software-Vergleiche, Agenturen, Business Services und B2B-Tech-Content. Mit mehr als 80.000 verifizierten Bewertungen und 12.000+ gelisteten Tools hilft OMR Reviews Unternehmen dabei, passende Software-Lösungen und Dienstleister fundiert zu recherchieren, zu vergleichen und bessere Entscheidungen zu treffen.

Alle Artikel von Chantal Seiter

Im Artikel erwähnte Softwares

Im Artikel erwähnte Software- oder Service-Kategorien

Ähnliche Artikel