Datenschutz bei Visa Sportwetten – Wie Ihre Kartendaten geschützt werden

Redaktion «Visa Wetten» Mai 28, 2026 Lesezeit: 6 Min

Kartendaten beim Wettanbieter – welche Informationen tatsächlich übermittelt werden

Viele Spieler geben ihre Visa-Kartendaten bei einem Wettanbieter ein und denken nicht weiter darüber nach. Ich tue das – beruflich bedingt. Und was ich in neun Jahren gelernt habe: Die meisten Spieler haben ein falsches Bild davon, was der Wettanbieter tatsächlich über ihre Karte weiß. Bei knapp jeder dritten Visa-Zahlung in Österreich kommen bereits Tokens zum Einsatz – verschlüsselte Ersatznummern, die die echten Kartendaten ersetzen. Das heißt: Der Wettanbieter bekommt oft gar nicht deine echte Kartennummer zu sehen.

Bei einer klassischen Visa-Einzahlung ohne Token-Technologie übermittelt der Spieler drei Datenpunkte: Kartennummer, Ablaufdatum und CVV. Der Wettanbieter leitet diese an seinen Payment-Provider weiter, der die Transaktion über das Visa-Netzwerk an deine Bank sendet. Die Bank autorisiert die Zahlung. Was der Wettanbieter speichert, hängt von seinen internen Richtlinien ab – und hier kommt der Datenschutz ins Spiel.

PCI DSS: Der Industriestandard für Kartensicherheit bei Wettanbietern

PCI DSS – Payment Card Industry Data Security Standard – ist nicht irgendein Zertifikat, das man sich an die Wand hängt. Es ist ein verbindlicher Sicherheitsstandard, den jeder Händler einhalten muss, der Visa-Karten akzeptiert. Visa hat innerhalb von fünf Jahren weltweit mehr als 12 Milliarden US-Dollar in Cybersicherheit investiert – und PCI DSS ist das Rahmenwerk, das diese Investition in konkrete Anforderungen übersetzt.

Was PCI DSS für den Sportwetten-Spieler bedeutet: Der Wettanbieter darf deine vollständige Kartennummer nach der Transaktion nicht im Klartext speichern. Entweder wird die Nummer verschlüsselt, oder sie wird durch einen Token ersetzt. Der CVV-Code – die dreistellige Prüfziffer auf der Kartenrückseite – darf nach der Autorisierung überhaupt nicht gespeichert werden. Das heißt: Selbst wenn die Datenbank des Anbieters gehackt würde, wären deine sensiblen Kartendaten nicht im Klartext auffindbar.

Der Standard umfasst zwölf Anforderungsbereiche – von der Firewall-Konfiguration über die Verschlüsselung der Datenübertragung bis hin zu regelmäßigen Sicherheitsaudits. Wettanbieter mit EU-Lizenz müssen PCI-DSS-Konformität nachweisen, um ihre Lizenz zu behalten. Anbieter ohne Lizenz sind an diesen Standard nicht gebunden – ein weiterer Grund, nur bei lizenzierten Anbietern per Visa einzuzahlen.

Wie prüfst du, ob ein Anbieter PCI-DSS-konform ist? Direkt überprüfen kannst du es nicht – es gibt keine öffentliche Datenbank. Aber seriöse Anbieter erwähnen ihre PCI-DSS-Zertifizierung in der Datenschutzerklärung oder in den Zahlungsbedingungen. Wenn du den Begriff dort nicht findest, ist das kein Beweis für mangelnde Konformität, aber ein Grund zur Vorsicht.

DSGVO und Visa-Daten: Was Wettanbieter speichern dürfen

Die Datenschutz-Grundverordnung der EU gilt auch für Visa-Daten bei Sportwetten. Und sie gibt dir als Spieler klare Rechte, die viele nicht kennen.

Ein Wettanbieter darf deine Zahlungsdaten nur so lange speichern, wie es für den Zweck der Verarbeitung erforderlich ist. In der Praxis heißt das: Solange dein Konto aktiv ist und du die Karte für Ein- oder Auszahlungen nutzt, darf der Anbieter die (verschlüsselten) Kartendaten vorhalten. Sobald du dein Konto schließt, muss er sie löschen – mit einer Ausnahme: gesetzliche Aufbewahrungsfristen für Geldwäscheprävention, die in der Regel fünf Jahre betragen.

Dein Recht auf Auskunft: Du kannst den Wettanbieter jederzeit fragen, welche Daten er über dich und deine Visa-Karte gespeichert hat. Der Anbieter muss innerhalb von 30 Tagen antworten – kostenlos. Ich empfehle jedem Spieler, dieses Recht mindestens einmal zu nutzen. Die Antwort zeigt dir, wie professionell der Anbieter mit deinen Daten umgeht.

Dein Recht auf Löschung: Du kannst die Löschung deiner Visa-Kartendaten verlangen, sofern keine gesetzliche Aufbewahrungspflicht besteht. Der Anbieter muss die Daten dann aus seinen aktiven Systemen entfernen. Backups können länger bestehen bleiben, müssen aber nach einem definierten Zeitraum ebenfalls bereinigt werden.

Was viele nicht wissen: Die DSGVO gilt für alle Anbieter, die ihre Dienste an EU-Bürger richten – unabhängig davon, wo das Unternehmen seinen Sitz hat. Ein Wettanbieter mit Sitz in Malta, Gibraltar oder auch Curaçao, der sich an österreichische Spieler richtet, unterliegt der DSGVO.

Tokenisierung als Datenschutz-Instrument bei Visa-Zahlungen

Stefanie Ahammer von Visa Österreich hat die Entwicklung klar beschrieben: „Angesichts zunehmender Betrugsversuche arbeiten wir bei Visa kontinuierlich daran, digitale Zahlungen noch sicherer zu machen.“ Die Token-Technologie ist das konkreteste Beispiel für dieses Versprechen.

So funktioniert Tokenisierung bei Sportwetten: Wenn du deine Visa-Karte über Apple Pay, Google Pay oder eine hinterlegte Kartenfunktion beim Wettanbieter nutzt, wird deine 16-stellige Kartennummer durch einen Token ersetzt – eine zufällige Zahlenfolge, die nur für diesen einen Händler und dieses eine Gerät gültig ist. Der Wettanbieter verarbeitet den Token, die echte Kartennummer kennt er nicht.

Das Ergebnis: Selbst wenn ein Datenleck beim Wettanbieter auftreten sollte, sind die erbeuteten Tokens für Betrüger nutzlos. Sie funktionieren nur beim ursprünglichen Händler und nur in Kombination mit dem kryptografischen Schlüssel des Geräts. Ohne beides ist der Token eine bedeutungslose Ziffernfolge.

Bei knapp jeder dritten Visa-Zahlung in Österreich werden bereits Tokens eingesetzt – Tendenz stark steigend. Für Sportwetten bedeutet das: Ein wachsender Anteil der Einzahlungen ist durch Tokenisierung geschützt, ohne dass der Spieler etwas davon mitbekommt. Der Schutz passiert im Hintergrund, automatisch, bei jeder Visa-Sportwetten-Zahlung, die über eine mobile Wallet läuft.

Kartendaten schützen – ohne Komfort zu opfern

Erstellt von der Redaktion von „Visa Wetten“.