EMV-Terminal: Was dahinter steckt und warum es für Händler entscheidend ist

Wer ein Kartenterminal kauft oder mietet, stößt früher oder später auf den Begriff EMV. Er steht auf Zertifikaten, in Produktbeschreibungen, in Anforderungslisten des Acquirers. Was er bedeutet, ist für die meisten Händler unklar — dabei hat er direkte Konsequenzen für die Haftung bei Kartenbetrug.

Was ist EMV?

EMV ist ein internationaler Standard für chipbasierte Kartenzahlungen. Das Kürzel steht für die drei Organisationen, die ihn in den 1990er Jahren entwickelt haben: Europay, Mastercard und Visa. Heute wird der Standard von EMVCo gepflegt — einem gemeinsamen Gremium von Visa, Mastercard, American Express, Discover, JCB und UnionPay.

Der Kern des Standards: Statt Kartendaten auf einem einfach kopierbaren Magnetstreifen zu speichern, werden sie auf einem Mikrochip hinterlegt und durch kryptografische Verfahren geschützt. Jede Transaktion erzeugt einen einmaligen, nicht wiederverwendbaren Prüfwert (Kryptogramm) — selbst wenn jemand die Kommunikation mitschneidet, sind die abgehörten Daten für eine andere Transaktion wertlos.

Wie ein EMV-Terminal funktioniert

Wenn eine Chipkarte in ein EMV-Terminal gesteckt oder aufgelegt wird, läuft im Hintergrund eine mehrstufige Authentifizierung ab:

1. Kartenauslese: Das Terminal liest die auf dem Chip gespeicherten Daten (Kartennummer, Gültigkeitsdatum, Risikoparameter des Kartenherausgebers).
2. Echtheitsprüfung (Card Authentication): Das Terminal prüft per Kryptografie, dass die Karte echt ist und nicht geklont wurde. Dies geschieht entweder lokal (Offline Data Authentication) oder über eine Verbindung zur Bank.
3. Inhaberprüfung (Cardholder Verification): PIN-Eingabe, Unterschrift oder — bei kontaktlosen Zahlungen unter dem Limit — keine Verifikation.
4. Transaktionsgenehmigung: Das Terminal entscheidet gemeinsam mit der Karte, ob eine Online-Autorisierung bei der Bank erforderlich ist oder ob die Transaktion lokal genehmigt werden kann.

Online- vs. Offline-Autorisierung

Diese Unterscheidung wird oft verwechselt:

• Online-Autorisierung: Das Terminal stellt eine Echtzeit-Verbindung zur kartenausgebenden Bank her. Die Bank prüft Kontodeckung und Kreditlimit und gibt die Transaktion frei oder lehnt sie ab. Standard bei fast allen Transaktionen in Deutschland.
• Offline-Autorisierung: Karte und Terminal entscheiden lokal anhand vorgespeicherter Risikoparameter (z. B. maximaler Betrag seit letzter Online-Autorisierung). Wurde in Zeiten eingeschränkter Konnektivität entwickelt, spielt heute kaum noch eine Rolle — außer bei bestimmten Spezialsystemen (z. B. Autobahnmaut, Flugzeugbord).

Contact EMV vs. Contactless EMV

Der EMV-Standard umfasst zwei physische Schnittstellen:

Contact EMV (Chip-Stecken)

Die Karte wird in den Kartenschlitz gesteckt, Chip und Terminal kommunizieren über galvanische Kontakte. PIN-Eingabe ist sowohl online (PIN wird verschlüsselt an die Bank übermittelt) als auch offline möglich (PIN wird direkt auf dem Chip geprüft, ohne Bankverbindung). Offline-PIN ist das sicherste Verfahren und Standard auf deutschen Girocards.

Contactless EMV (NFC / Tap)

Die Karte oder das Smartphone wird an das Terminal gehalten; die Kommunikation erfolgt per NFC (Near Field Communication) nach ISO/IEC 14443. Die kryptografische Absicherung ist identisch mit Contact EMV — nur der Übertragungsweg ist anders.

Besonderheit: Bei kontaktlosen Zahlungen gibt es transaktionsbasierte Betragslimits ohne PIN-Eingabe. In Deutschland liegt das Limit für PIN-freie kontaktlose Zahlungen bei 50 € pro Einzeltransaktion (Visa/Mastercard) bzw. einem kumulierten Limit, nach dem die Karte eine PIN-Eingabe erzwingt. Darüber hinaus ist immer eine PIN notwendig.

---

Die Haftungsverschiebung — der wichtigste Aspekt für Händler

Hier wird EMV für Händler finanziell relevant. Die Kartennetzwerke (Visa, Mastercard) haben eine klare Regel eingeführt:

Wenn Betrug passiert und der schwächere Sicherheitsstandard genutzt wurde, haftet die Partei, die den schwächeren Standard eingesetzt hat.

Konkret:

Situation	Wer haftet?
Chip-Karte, EMV-Terminal → Betrug	Kartenherausgeber (Bank des Kunden)
Chip-Karte, Terminal liest nur Magnetstreifen → Betrug	Der Händler
Magnetstreifen-Karte (keine Chip), EMV-Terminal → Betrug	Kartenherausgeber
Terminal nicht EMV-zertifiziert, Betrug mit Klon-Karte	Der Händler

Diese sogenannte Liability Shift (Haftungsverschiebung) wurde in Europa bereits 2005 eingeführt. Wer also noch ein Terminal betreibt, das Chips nicht lesen kann oder auf Magnetstreifen-Fallback ausweicht, trägt bei Betrugsfällen das volle finanzielle Risiko — unabhängig davon, ob er von der gefälschten Karte wusste.

In Deutschland sind Terminals ohne EMV-Fähigkeit seit 2010 verpflichtend durch EMV-fähige Geräte zu ersetzen (EMV-TA-Pflicht im girocard-System). Praktisch alle aktuell verkauften oder vermieteten Terminals sind EMV-zertifiziert.

---

EMV-Zertifizierungsstufen: Level 1, 2 und 3

Wer Terminals kauft oder in Kassensysteme integriert, begegnet drei Zertifizierungsstufen:

Level	Was wird geprüft?
Level 1	Hardware: Physikalische und elektrische Schnittstelle (Kontaktkarte und NFC)
Level 2	Software: EMV-Kernapplikation, korrekte Transaktionslogik
Level 3	Netzwerk: Korrekte Integration mit dem Acquirer-System (zahlungssystemspezifisch)

Für Händler ist das nur relevant, wenn sie eigene Kassensoftware entwickeln oder ein Terminal direkt an einen Acquirer anbinden wollen. Wer ein zertifiziertes Komplettsystem (SumUp, Zettle, Nexi, SumUp POS, orderbird etc.) nutzt, hat alle drei Level bereits in der Lösung des Anbieters.

---

EMV und PCI DSS: Was der Unterschied ist

Beide Begriffe tauchen im Kontext der Zahlungssicherheit auf — sie regeln aber unterschiedliche Dinge:

	EMV	PCI DSS
Was	Technischer Standard für Chip-Transaktion	Sicherheitsstandard für Datenverarbeitung
Schützt vor	Geklonten Karten, gefälschten Transaktionen	Datenlecks, Speicherung sensibler Kartendaten
Von wem	EMVCo (Kartennetzwerke)	PCI Security Standards Council
Für wen	Terminalhersteller, Softwareanbieter	Händler, Zahlungsdienstleister
Pflicht?	Technische Pflicht über Acquirer-Verträge	Vertragliche Pflicht über Acquirer

Kurz: EMV schützt die Transaktion, PCI DSS schützt die gespeicherten Daten. Ein EMV-zertifiziertes Terminal allein erfüllt noch keine PCI-Anforderungen — und umgekehrt.

---

Was Händler in der Praxis wissen müssen

Alle aktuellen Terminals sind EMV-fähig

Wer ein Terminal über einen deutschen Anbieter (SumUp, Zettle, Nexi, Flatpay, Payone, myPOS, orderbird, Vectron etc.) mietet oder kauft, erhält automatisch ein EMV-zertifiziertes Gerät. Es gibt keinen Handlungsbedarf — außer bei sehr alten Geräten aus der Zeit vor 2010.

Magnetstreifen-Fallback vermeiden

Manche älteren Terminals erlauben einen „Fallback” auf den Magnetstreifen, wenn der Chip nicht gelesen werden kann. Diesen Fallback sollte man deaktivieren oder vom Acquirer deaktivieren lassen — er öffnet das Haftungsrisiko und wird von Visa und Mastercard zunehmend sanktioniert.

Kontaktlose Zahlung ist EMV

Tap-to-Pay mit Karte, Apple Pay, Google Pay oder Smartwatch — all das basiert auf dem gleichen EMV-Standard, nur über NFC. Kein gesondertes Zertifikat nötig; ein NFC-fähiges EMV-Terminal deckt alle diese Zahlungsarten ab.

Kein Handlungsbedarf bei zertifizierten Lösungen

Wer ein aktuelles Kassensystem oder einen modernen Kartenleser nutzt, ist EMV-konform. Die Zertifizierung ist Sache des Terminalherstellers und Acquirers — nicht des einzelnen Händlers.

---

Zusammenfassung

Frage	Antwort
Was bedeutet EMV?	Standard für sichere Chip-Kartenzahlung (Europay, Mastercard, Visa)
Brauche ich ein EMV-Terminal?	Ja — in Deutschland seit 2010 Pflicht im girocard-System
Was passiert ohne EMV bei Betrug?	Der Händler haftet (Liability Shift)
Ist kontaktlose Zahlung auch EMV?	Ja — NFC-Zahlung nutzt denselben Standard
Muss ich selbst eine EMV-Zertifizierung beantragen?	Nein — zertifizierte Komplettsysteme decken das ab

---

→ Kartenzahlungsgerät kaufen: Welcher Typ passt zu meinem Betrieb? → Chargeback und Rückbuchung: Was Händler dagegen tun können → Tap to Pay: Mit dem iPhone als Kartenterminal bezahlen