News

Die 16 Ziffern hinter jeder Kartenzahlung: Warum die PAN für Händler zum Datenthema geworden ist

Bei jeder Kartenzahlung steht eine unscheinbare Ziffernfolge im Mittelpunkt: die PAN. Warum die Kartennummer als besonders sensibles Datum gilt, was PCI DSS und DSGVO dazu vorschreiben und weshalb der Handel zunehmend auf Tokenisierung setzt.

Von Anton · · 4 Min. Lesezeit

Eine Zahl, die im Alltag unsichtbar bleibt

An der Ladenkasse dauert eine Kartenzahlung nur Sekunden: Karte auflegen, kurz warten, Beleg fertig. Was dabei im Hintergrund passiert, bekommen weder Kundschaft noch Personal zu sehen. Im Zentrum des Vorgangs steht eine unscheinbare Zahlenfolge – die sogenannte PAN. Die Abkürzung steht für „Primary Account Number", zu Deutsch etwa Hauptkontonummer, und bezeichnet die lange Ziffernfolge, die auf jeder Giro- oder Kreditkarte aufgedruckt oder eingeprägt ist. Meist sind es sechzehn Stellen, bei manchen Kartentypen auch weniger oder mehr.

Die PAN ist kein Zufallsprodukt. Ihre ersten Ziffern verweisen auf den Kartentyp und die herausgebende Bank, ein Prüfzeichen am Ende dient der schnellen Erkennung von Tippfehlern. Für den Zahlungsverkehr ist die PAN die zentrale Kennung: Über sie wird die Transaktion dem richtigen Konto zugeordnet. Genau deshalb gilt sie als besonders schützenswert – und genau deshalb ist sie für Händlerinnen und Händler längst mehr als eine technische Randnotiz.

Warum die Kartennummer als sensibles Datum gilt

Wer mit Kartendaten arbeitet, bewegt sich in einem streng regulierten Feld. Für die Verarbeitung, Speicherung und Übertragung von Karteninformationen hat die Kreditkartenwirtschaft mit dem Standard PCI DSS (Payment Card Industry Data Security Standard) ein eigenes Regelwerk geschaffen. Es legt fest, unter welchen Bedingungen eine PAN überhaupt gespeichert werden darf, wie sie zu verschlüsseln ist und wann sie – etwa auf einem Beleg – nur verkürzt dargestellt werden darf. Aus diesem Grund erscheinen auf Kassenbons in der Regel nur die letzten vier Ziffern; der Rest ist durch Sternchen ersetzt.

Hinzu kommt der rechtliche Rahmen: Kartendaten sind personenbezogene Daten und fallen damit unter die Datenschutz-Grundverordnung. Für Betriebe bedeutet das eine doppelte Verantwortung – gegenüber den Kartenorganisationen und gegenüber dem Datenschutzrecht. Ein sorgloser Umgang mit vollständigen Kartennummern kann nicht nur zu Sicherheitslücken, sondern auch zu Haftungsfragen führen.

Tokenisierung: der Trend weg vom Speichern echter Nummern

Um dieses Risiko zu verringern, setzt sich im Handel zunehmend ein Verfahren durch, das die echte PAN gar nicht erst dauerhaft ins Kassensystem lässt: die Tokenisierung. Dabei wird die Kartennummer durch einen Platzhalter – ein sogenanntes Token – ersetzt. Dieses Token hat für Außenstehende keinen Wert, weil es sich außerhalb des jeweiligen Systems nicht in eine gültige Kartennummer zurückrechnen lässt. Für wiederkehrende Zahlungen, Abonnements oder die Zuordnung von Rückerstattungen genügt das Token, ohne dass der Betrieb die eigentliche PAN vorhalten muss.

Parallel sorgen Verfahren wie die Ende-zu-Ende-Verschlüsselung dafür, dass Kartendaten schon im Bezahlterminal unlesbar gemacht werden, bevor sie überhaupt weitergereicht werden. Kombiniert verschieben diese Techniken die Verantwortung für die sensibelsten Daten weg vom einzelnen Geschäft und hin zu spezialisierten Zahlungsdienstleistern – ein Grund, warum viele Händler den Aufwand an externe Anbieter auslagern.

Einordnung

Die Diskussion um die PAN ist ein gutes Beispiel dafür, wie tief Regulierung und Technik inzwischen selbst in scheinbar banale Alltagsvorgänge hineinreichen. Für Betriebe verschiebt sich die zentrale Frage: Nicht mehr „Wie speichere ich Kartennummern sicher?", sondern „Wie vermeide ich es, sie überhaupt zu speichern?" Wer Bezahlprozesse plant, kommt an diesen Überlegungen kaum vorbei – unabhängig davon, ob im kleinen Ladengeschäft oder im Onlineshop kassiert wird. Die konkrete Umsetzung hängt vom eingesetzten System und den Anforderungen des jeweiligen Zahlungsdienstleisters ab.


Dieser Beitrag ist eine redaktionelle Einordnung eines Branchenthemas und ersetzt keine individuelle technische oder rechtliche Beratung zu Zahlungsprozessen und Datenschutz.

Mehr zum Thema

  • Souveränität statt Tempo: Warum Europas KI-Debatte 2026 bei der Infrastruktur landet
  • Gehäuse aus altem Blech: Warum Recycling-Aluminium im Industriedesign zum Verkaufsargument wird
  • Sensor frei, Zone frei: München digitalisiert seine Lieferzonen
  • Zocken statt Zara: Wie VR-Lounges und SimRacing-Bars die Lücken der Innenstädte füllen
  • Wenn der CRM-Umzug ins Stocken gerät: Warum Chatter-Feeds und Angebotsdaten Migrationsprojekte ausbremsen
  • Wenn Software zum Medizinprodukt wird: Warum Anforderungsmanagement in der Medizintechnik zur Pflichtdisziplin wird