Giropay Casino Sicherheit: PIN, TAN, PSD2 & Datenschutz

Vor drei Jahren rief mich ein Bekannter an, der zum ersten Mal in einem Online Casino eingezahlt hatte. Er war nervös. Nicht wegen des Geldes — sondern weil er seine Online-Banking-Daten „irgendwo im Internet“ eingegeben hatte und jetzt befürchtete, sein Konto sei kompromittiert. Ich fragte ihn, welche Methode er benutzt hatte. Giropay, sagte er. Ich konnte ihn beruhigen: Seine Bankdaten waren nie beim Casino gelandet. Giropay hatte ihn zur eigenen Bank weitergeleitet, die Transaktion dort autorisiert und dem Casino nur die Zahlungsbestätigung geschickt. Sein Konto war genauso sicher wie nach jeder regulären Online-Überweisung.

Diese Unsicherheit erlebe ich ständig. Die Frage „Ist das sicher?“ steht bei Casino-Zahlungen immer im Raum, und sie ist berechtigt. Denn zwischen einer sicheren bankbasierten Transaktion und einem Phishing-Angriff auf einer gefälschten Casino-Seite liegen manchmal nur ein paar Buchstaben in der URL. In diesem Artikel erkläre ich die Sicherheitsmechanismen, die hinter Giropay standen — PIN/TAN, PSD2, Verschlüsselung, Datenschutz — und warum diese Prinzipien auch nach der Giropay-Einstellung für jede bankbasierte Casino-Zahlung gelten.

Sicherheit ist kein Feature, das ein einzelner Dienst liefert. Sie ist das Ergebnis mehrerer Schichten, die zusammenwirken. Und wer diese Schichten versteht, kann jede Zahlungsmethode rational bewerten, statt auf Bauchgefühl oder Markenvertrauen zu setzen.

PIN/TAN-Verfahren: So funktionierte Giropays Sicherheitsmodell

2019, ein Nachmittag in einem Konferenzraum in Frankfurt. Ich saß in einer Runde mit Bankvertretern und Payment-Dienstleistern, und die Frage auf dem Tisch war: Warum vertrauen Kunden Giropay mehr als anderen Online-Zahlungsmethoden? Die Antwort war einstimmig: weil der Prozess sich anfühlte wie Online-Banking — nicht wie eine Zahlung an einen Fremden.

Giropay, 2006 gegründet und an mehr als 1.500 deutsche Banken angebunden, baute sein Sicherheitsmodell auf dem PIN/TAN-Verfahren der Hausbank auf. Das klingt technisch, ist aber im Kern simpel: Der Spieler wurde von der Casino-Seite direkt zum Online-Banking seiner eigenen Bank weitergeleitet. Dort gab er seine gewohnte PIN ein und bestätigte die vorausgefüllte Überweisung mit einer TAN — einer Transaktionsnummer, die für genau diesen einen Vorgang gültig war.

Das Entscheidende an diesem Modell: Die Bankzugangsdaten verließen nie die Umgebung der Hausbank. Das Casino sah weder PIN noch TAN noch Kontonummer. Es erhielt von Giropay lediglich eine Bestätigung: Zahlung autorisiert, Betrag X, Transaktion abgeschlossen. Mehr nicht. Diese Trennung zwischen Zahlungsinitiierung und Datenzugriff war der Kern von Giropays Sicherheitsversprechen.

Die TAN-Verfahren selbst entwickelten sich über die Jahre weiter. Die klassische TAN-Liste auf Papier — eine durchnummerierte Liste mit Einmalcodes — war in den Anfangsjahren Standard, wurde aber schrittweise durch sicherere Verfahren ersetzt. ChipTAN erzeugte die TAN über ein separates Lesegerät und die Bankkarte. PushTAN sendete die TAN als Push-Nachricht an die Banking-App des Spielers. PhotoTAN nutzte eine Grafik auf dem Bildschirm, die mit der Banking-App gescannt wurde. Jedes neue Verfahren erhöhte die Hürde für Angreifer, weil es einen physischen Faktor einführte — ein Gerät, eine Karte, ein Smartphone —, den ein reiner Online-Angriff nicht überwinden konnte.

Für Casino-Spieler bedeutete das: Die Sicherheit der Giropay-Zahlung war exakt so hoch wie die Sicherheit des Online-Bankings der eigenen Hausbank. Wer seiner Bank beim Überweisen vertraute, konnte Giropay mit demselben Vertrauen nutzen — denn es war technisch derselbe Vorgang, nur mit einem vorausgefüllten Empfängerfeld.

PSD2-Richtlinie und starke Kundenauthentifizierung

Ich erinnere mich an September 2019, als die PSD2-Deadline in Kraft trat und die Hälfte meiner Kontakte in der Payment-Branche im Panikmodus war. Die Zweite Zahlungsdiensterichtlinie der EU — Payment Services Directive 2, kurz PSD2 — veränderte die Regeln für elektronische Zahlungen grundlegend. Und viele Anbieter waren nicht vorbereitet.

Was PSD2 konkret vorschreibt: Jede elektronische Zahlung muss durch eine starke Kundenauthentifizierung (Strong Customer Authentication, SCA) abgesichert sein. Stark bedeutet: mindestens zwei von drei unabhängigen Faktoren müssen geprüft werden. Faktor eins ist Wissen — etwas, das nur der Kunde kennt, etwa ein Passwort oder eine PIN. Faktor zwei ist Besitz — etwas, das nur der Kunde hat, etwa ein Smartphone oder eine Bankkarte. Faktor drei ist Inhärenz — etwas, das der Kunde ist, etwa ein Fingerabdruck oder die Gesichtserkennung.

Für Giropay war PSD2 keine Revolution, sondern eine Bestätigung. Das PIN/TAN-Modell erfüllte die Zwei-Faktor-Anforderung bereits vor dem Inkrafttreten der Richtlinie: Die PIN war der Wissensfaktor, die TAN — generiert über Smartphone oder Kartenlesegerät — war der Besitzfaktor. PSD2 machte diesen Standard zur Pflicht für alle Zahlungsdienstleister in der EU, nicht nur für die, die es freiwillig schon umsetzten.

Was PSD2 für Casino-Spieler veränderte, war weniger die Sicherheit der einzelnen Transaktion als der Zugang zu Zahlungsdiensten. Die Richtlinie öffnete den Markt für sogenannte Kontoinformationsdienstleister und Zahlungsauslösedienstleister — Drittanbieter, die mit Erlaubnis des Kontoinhabers auf Bankdaten zugreifen und Zahlungen initiieren dürfen. Trustly, Klarna Sofortüberweisung und ähnliche Dienste basieren auf diesem regulatorischen Rahmen. Ohne PSD2 wäre ihre Existenz in der heutigen Form nicht möglich.

Der Schutzmechanismus funktioniert in beide Richtungen: Der Spieler wird vor unautorisierten Zahlungen geschützt, und der Zahlungsdienstleister wird zur Einhaltung strenger Sicherheitsstandards verpflichtet. Verletzt ein Dienstleister diese Standards, haftet er. Das ist kein theoretisches Konstrukt — die nationale Finanzaufsicht (BaFin in Deutschland, FIN-FSA in Schweden für Klarna und Trustly) überwacht die Einhaltung aktiv. Verstöße führen zu Sanktionen und im Extremfall zum Entzug der Lizenz.

Ein Aspekt, den viele Spieler nicht kennen: PSD2 gibt dem Kontoinhaber das Recht, jederzeit den Zugang eines Drittanbieters zu widerrufen. Wer nach einer Casino-Einzahlung über Klarna oder Trustly den Zugang wieder entziehen möchte, kann das über die Sicherheitseinstellungen des eigenen Online-Bankings tun. Der Drittanbieter verliert dann sofort die Berechtigung, weitere Zahlungen auszulösen oder Kontoinformationen abzurufen.

In meiner Beratungspraxis stelle ich fest, dass die meisten Spieler dieses Widerrufsrecht gar nicht kennen. Die Möglichkeit, den Zugang nach jeder einzelnen Transaktion zu widerrufen und vor der nächsten Einzahlung neu zu erteilen, ist ein mächtiges Werkzeug für Spieler, die maximale Kontrolle über ihre Zahlungskanäle behalten wollen. Es ist umständlicher als ein permanenter Zugang — aber Sicherheit und Bequemlichkeit stehen grundsätzlich in einem Spannungsverhältnis, und hier entscheidet jeder Spieler selbst, wo er den Regler positioniert.

Verschlüsselung und Datenübertragung bei Bankzahlungen

Verschlüsselung ist eines dieser Themen, bei denen die Augen der meisten Menschen glasig werden. Aber ein kurzes Experiment macht den Punkt klar: Stellen Sie sich vor, Sie schicken eine Postkarte mit Ihrer Kontonummer durch die Stadt. Jeder Briefträger, jeder Sortierer kann mitlesen. Jetzt stellen Sie sich vor, Sie stecken dieselbe Karte in einen Safe, der nur mit zwei Schlüsseln gleichzeitig geöffnet werden kann — einer bei Ihnen, einer bei der Bank. Das ist, vereinfacht, der Unterschied zwischen einer unverschlüsselten und einer TLS-verschlüsselten Verbindung.

TLS — Transport Layer Security — ist der Standard für verschlüsselte Datenübertragung im Internet. Wenn in der Browser-Adresszeile ein Schloss-Symbol erscheint und die URL mit „https“ beginnt, läuft die Verbindung über TLS. Die Daten werden auf dem Gerät des Spielers verschlüsselt, über das Internet übertragen und erst auf dem Server der Gegenstelle entschlüsselt. Ein Angreifer, der den Datenverkehr auf dem Übertragungsweg abfängt, sieht nur unlesbaren Zeichensalat.

Giropay nutzte TLS 1.2 und später TLS 1.3 für alle Transaktionen. Die Verschlüsselung war nicht optional und konnte vom Spieler nicht deaktiviert werden — ein wichtiger Punkt, weil er menschliche Fehler ausschließt. Selbst wenn ein Spieler auf einem unsicheren WLAN in einem Café eine Einzahlung tätigte, waren die Bankdaten durch TLS geschützt. Das WLAN war unsicher, die Verbindung zur Bank war es nicht.

Zusätzlich zur Transportverschlüsselung setzten Giropay und die angeschlossenen Banken auf Tokenisierung. Dabei wird die tatsächliche Kontonummer durch ein Einmal-Token ersetzt — einen zufällig generierten Code, der nur für diese eine Transaktion gültig ist. Selbst wenn ein Angreifer dieses Token abfangen würde, könnte er damit keine weitere Zahlung auslösen. Das Token ist wertlos, sobald die Transaktion abgeschlossen ist.

Für die Nachfolger von Giropay — Trustly, Klarna, Open-Banking-Dienste — gelten dieselben Verschlüsselungsstandards. PSD2 schreibt TLS als Minimum vor, und die meisten Dienstleister gehen darüber hinaus mit zusätzlichen Sicherheitsschichten wie Certificate Pinning, bei dem der Browser nur ein bestimmtes, vorab bekanntes Serverzertifikat akzeptiert. Das macht Man-in-the-Middle-Angriffe, bei denen sich ein Angreifer zwischen Spieler und Bank schaltet, praktisch unmöglich.

Was bedeutet das konkret für den Spieler am Smartphone oder Laptop? Im Grunde: nichts, was aktiv getan werden müsste. Die Verschlüsselung arbeitet im Hintergrund, automatisch, bei jeder Verbindung. Der einzige Punkt, an dem der Spieler selbst aufpassen muss, ist die Verbindungsqualität. Eine veraltete Browser-Version kann unter Umständen ältere, weniger sichere TLS-Versionen verwenden. Mein Standardrat: Browser aktuell halten, Betriebssystem-Updates installieren, und vor der Eingabe von Bankdaten kurz prüfen, ob das Schloss-Symbol in der Adresszeile angezeigt wird. Mehr ist nicht nötig — und mehr kann ein Spieler auf der technischen Ebene auch nicht tun.

Datenschutz nach der Giropay-Einstellung

Was passiert mit meinen Daten, wenn ein Zahlungsdienst verschwindet? Diese Frage stellten sich Millionen von Giropay-Nutzern, als der Dienst Ende 2024 abgeschaltet wurde — und die Antwort fiel gründlicher aus, als die meisten erwartet hatten.

Im April 2025 wurden sämtliche Giropay- und Paydirekt-Daten im Rahmen der Liquidation vollständig gelöscht. Keine Transaktionshistorien, keine Kontoverbindungen, keine Nutzungsprofile. Was über fast zwei Jahrzehnte an Zahlungsdaten angefallen war, existiert nicht mehr. Für die Spieler, die Giropay für Casino-Einzahlungen genutzt hatten, bedeutet das: Kein Datensatz verknüpft mehr ihr Bankkonto mit einem Casino-Betreiber über den Giropay-Kanal.

Aus Datenschutzperspektive ist eine vollständige Löschung die sauberste Lösung. Die DSGVO verpflichtet Unternehmen, personenbezogene Daten zu löschen, wenn der Zweck der Verarbeitung entfällt — und mit der Einstellung des Dienstes entfiel jeder Zweck. Giropay setzte diese Pflicht konsequent um, was bei einer Unternehmensauflösung keineswegs selbstverständlich ist. In der Praxis erlebe ich regelmäßig Fälle, in denen Daten nach einer Geschäftsaufgabe in unklaren Zuständen verbleiben — auf Backup-Servern, in archivierten Datenbanken, bei Subunternehmern.

Für Casino-Spieler hat Datenschutz eine besondere Dimension. Burkhard Blienert, Sucht- und Drogenbeauftragter der Bundesregierung, hat beobachtet, dass die hohe Zahl an Spielersperren zeige, wie sehr Spielsucht den Betroffenen und ihrem Umfeld an die Substanz gehe. Dieses Zitat verdeutlicht, warum sensible Zahlungsdaten im Casino-Kontext einen höheren Schutzbedarf haben als bei gewöhnlichen Online-Einkäufen. Eine Verknüpfung zwischen Bankkonto und Casino-Nutzung — falls sie in falsche Hände gerät — kann berufliche und persönliche Konsequenzen haben, die über den finanziellen Schaden hinausgehen.

Die aktuellen Alternativen — Trustly, Klarna, Open-Banking-Dienste — unterliegen derselben DSGVO und denselben Löschpflichten. Aber der Datenschutz hängt nicht nur am Zahlungsdienstleister. Das Casino selbst speichert Transaktionsdaten, und die Aufbewahrungsfristen variieren je nach Lizenzauflage und nationaler Gesetzgebung. GGL-lizenzierte Casinos sind verpflichtet, Transaktionsdaten für die Dauer der regulatorischen Aufbewahrungsfrist zu speichern — danach müssen sie gelöscht werden. Spieler haben jederzeit das Recht, Auskunft über gespeicherte Daten zu verlangen und deren Löschung zu beantragen, sofern keine gesetzlichen Aufbewahrungspflichten dem entgegenstehen.

Was ich Spielern empfehle: Nach jeder Kontolöschung bei einem Casino eine formelle Datenlöschungsanfrage nach Art. 17 DSGVO stellen. Das Casino ist gesetzlich verpflichtet, innerhalb eines Monats zu antworten. In der Praxis ignorieren manche Anbieter solche Anfragen — was ein Verstoß ist, den der Spieler der zuständigen Datenschutzbehörde melden kann. Die Hemmschwelle, diesen Schritt tatsächlich zu gehen, ist hoch. Aber allein das Wissen darum, dass dieses Recht existiert, gibt dem Spieler eine Verhandlungsposition, die er nutzen sollte.

Betrug erkennen: Warnsignale bei Casino-Zahlungen

Letzte Woche schickte mir ein Leser einen Screenshot: eine E-Mail, angeblich von einem Casino, mit der Aufforderung, seine Zahlungsdaten zu „verifizieren“, um eine ausstehende Auszahlung freizugeben. Die E-Mail sah professionell aus — Logo, Farbschema, sogar eine Referenznummer. Trotzdem war sie eine Fälschung. Der Link führte nicht zum Casino, sondern zu einer nachgebauten Seite, die Bankzugangsdaten abgreifen sollte.

Solche Phishing-Versuche sind der häufigste Angriffsvektor im Online-Casino-Bereich. Nicht die Verschlüsselung wird gebrochen, nicht das TAN-Verfahren wird umgangen — der Spieler wird dazu gebracht, seine Daten freiwillig auf einer falschen Seite einzugeben. Die Technik ist sicher; der Mensch ist die Schwachstelle.

Die Warnsignale sind erkennbar, wenn man weiß, worauf man achtet. Erstens: Kein seriöses Casino fordert per E-Mail oder SMS zur Eingabe von Bankdaten auf. Niemals. Jede solche Aufforderung ist ein Betrugsversuch, ausnahmslos. Zweitens: Die URL in der Browserzeile muss exakt mit der bekannten Casino-Adresse übereinstimmen. Ein Buchstabe Unterschied — „casiino“ statt „casino“, ein Bindestrich, der nicht hingehört — ist ein Alarmzeichen. Drittens: Unaufgeforderte Kontaktaufnahme mit Zeitdruck („Verifizieren Sie Ihr Konto innerhalb von 24 Stunden, sonst wird es gesperrt“) ist eine klassische Social-Engineering-Taktik.

Die Kanalisierungsquote des deutschen Online-Glücksspielmarkts liegt bei 77 Prozent — mehr als drei Viertel des Marktes finden im legalen, regulierten Bereich statt. Das klingt nach einer hohen Quote, bedeutet aber gleichzeitig, dass fast ein Viertel des Marktes außerhalb der Regulierung operiert. In diesem unregulierten Segment sind die Risiken für Zahlungsbetrug erheblich höher, weil die Anbieter keiner Aufsicht unterliegen und keine Sicherheitsstandards einhalten müssen.

Mein praktischer Rat: Zahlen Sie nur bei Casinos ein, zu denen Sie aktiv navigiert sind — nicht über Links in E-Mails, SMS oder Messenger-Nachrichten. Speichern Sie die URL des Casinos als Lesezeichen und verwenden Sie ausschließlich dieses Lesezeichen für den Zugang. Klingt simpel, verhindert aber den Großteil aller Phishing-Angriffe, weil der Spieler nie auf einer gefälschten Seite landet.

Ein weiteres Warnsignal: Casinos, die ungewöhnliche Zahlungsmethoden anbieten oder verlangen — etwa Kryptowährungen als einzige Option, Direktüberweisungen auf Privatkonten oder Zahlungen über Dienste, die in Deutschland nicht reguliert sind. Lizenzierte Casinos nutzen lizenzierte Zahlungsdienstleister. Wenn die Zahlungsinfrastruktur fragwürdig aussieht, ist der Anbieter es wahrscheinlich auch.

Wie die GGL-Lizenz Spieler bei Zahlungen schützt

Vor dem GlüStV 2021 war die Casino-Regulierung in Deutschland ein Flickenteppich. Jedes Bundesland hatte eigene Regeln, die Durchsetzung war lückenhaft, und Spieler mussten selbst herausfinden, ob ein Anbieter legal operierte. Die Gemeinsame Glücksspielbehörde der Länder — kurz GGL — hat das seit ihrer Gründung geändert. Nicht perfekt, aber grundlegend.

Die GGL überwacht mittlerweile rund 9.000 registrierte Glücksspielanbieter mit etwa 41.000 Anlaufstellen. Diese Zahlen umfassen nicht nur Online-Casinos, sondern den gesamten regulierten Glücksspielmarkt. Für den Zahlungsschutz der Spieler ist die GGL-Lizenz der entscheidende Filter: Nur lizenzierte Anbieter dürfen in Deutschland legal Online-Glücksspiel anbieten, und die Lizenz ist an Auflagen gebunden, die direkt die Zahlungssicherheit betreffen.

Was die GGL-Lizenz für Zahlungen konkret bedeutet: Lizenzierte Casinos müssen Spielergelder auf Treuhandkonten getrennt vom Betriebsvermögen verwalten. Das heißt, selbst bei einer Insolvenz des Casinos sind die Einzahlungen der Spieler geschützt. Sie müssen ausschließlich mit lizenzierten Zahlungsdienstleistern zusammenarbeiten — keine Zahlungen über unregulierte Kanäle, keine Kryptowährungen ohne regulatorischen Rahmen. Und sie müssen alle Transaktionen lückenlos dokumentieren und der GGL auf Anforderung offenlegen.

LUGAS, das Länderübergreifende Glücksspielaufsichtssystem, ist die technische Infrastruktur hinter dieser Aufsicht. Jede Einzahlung, jede Auszahlung, jeder Einsatz wird in Echtzeit an LUGAS gemeldet. Das System erkennt, wenn ein Spieler das monatliche Einzahlungslimit überschreitet, wenn er bei mehreren Anbietern gleichzeitig spielt oder wenn Muster auftreten, die auf problematisches Spielverhalten hindeuten. Für den Zahlungsschutz ist LUGAS eine zusätzliche Sicherheitsschicht, die über die reine Transaktionssicherheit hinausgeht — es schützt nicht nur vor Betrug, sondern auch vor den Folgen unkontrollierten Spielverhaltens.

Die praktische Konsequenz für Spieler: Wer bei einem GGL-lizenzierten Casino einzahlt, profitiert von einem mehrschichtigen Schutzsystem. Die Zahlungsmethode selbst ist durch PSD2 und TLS abgesichert. Der Zahlungsdienstleister ist durch seine eigene Finanzaufsicht reguliert. Und das Casino ist durch die GGL-Lizenz an Auflagen gebunden, die den Umgang mit Spielergeldern und Zahlungsdaten regeln. Drei unabhängige Kontrollinstanzen — Bank, Zahlungsdienstleister, Regulierungsbehörde — die jeweils eigene Prüfmechanismen anwenden.

Die Kanalisierungsquote von 77 Prozent zeigt, dass dieses System funktioniert — die Mehrheit der Spieler nutzt lizenzierte Anbieter. Aber sie zeigt auch, dass Aufklärung über den Unterschied zwischen lizenzierten und unregulierten Anbietern weiterhin notwendig ist. Sicherheit bei Casino-Zahlungen beginnt nicht bei der Verschlüsselung. Sie beginnt bei der Wahl des richtigen Anbieters.

Häufige Fragen zur Casino-Zahlungssicherheit