PIN oder Unterschrift? Was bei Kartenzahlungen wirklich sicherer ist · Zahlungskompass
Zahlungskompass Echte Kosten berechnen
Ratgeber

PIN oder Unterschrift? Was bei Kartenzahlungen wirklich sicherer ist

Viele Terminals fragen noch immer: PIN oder Unterschrift. Doch was steckt technisch dahinter, warum gibt es überhaupt noch Unterschrift und was bedeutet das für die Haftung bei Betrug?

Von Ulf Mayer 06. Juni 2026 Aktualisiert 06. Juni 2026 6 Min. Lesezeit
Verschiedene Girocards und Kreditkarten — bei Kartenzahlung entscheidet die CVM-Liste im Chip, ob PIN oder Unterschrift verlangt wird

Wer an einer deutschen Supermarktkasse bezahlt, tut es meist kommentarlos: Karte ran, PIN eingeben, fertig. Doch wer im Ausland oder an älteren Terminals zahlt, erlebt noch immer das Angebot: „PIN oder Unterschrift?” Für viele Kunden eine Frage der Bequemlichkeit. Für Händler ist sie sicherheitsrelevant — und die Antwort, die das Terminal gibt, bestimmt, wer im Betrugsfall haftet.

Warum gibt es überhaupt zwei Verfahren?

Die Unterschrift als Zahlungsbestätigung stammt aus der Zeit, bevor Kreditkarten einen Chip hatten. Bei alten Magnetstreifenkarten war die Unterschrift auf dem Papierbeleg der einzige Beweis dafür, dass der rechtmäßige Karteninhaber an der Kasse stand — das Terminal konnte nicht prüfen, wer die Karte hielt.

Mit der Einführung des EMV-Chips (benannt nach Eurocard, Mastercard und Visa) in den 1990er-Jahren änderte sich das. Der Chip ermöglicht eine echte kryptografische Verifikation: Die Karte beweist, dass sie echt ist, und die PIN beweist, dass die richtige Person sie hält. Die Unterschrift blieb aber als Rückfallverfahren bestehen — für Märkte, die noch keine flächendeckende PIN-Infrastruktur hatten, und für Terminals, die das neue Verfahren noch nicht unterstützten.

In Deutschland ist PIN heute der Standard. In den USA und manchen anderen Märkten wird Unterschrift bei Kreditkartenzahlungen noch häufig eingesetzt.

Wie PIN-Verifikation technisch funktioniert

Nicht alle PIN-Prüfungen sind gleich. Der EMV-Standard unterscheidet zwei grundlegend verschiedene Methoden:

Offline-PIN

Die PIN wird direkt im Chip der Karte überprüft. Das Terminal schickt die eingegebene PIN verschlüsselt an den Chip, der Chip vergleicht sie mit der gespeicherten Referenz und antwortet mit Ja oder Nein — ohne dass die Issuer-Bank in diesem Moment einbezogen ist.

Vorteil: Funktioniert auch ohne Internetverbindung, extrem schnell.
Verbreitung: Häufig bei Girocards und europäischen Debitkarten.

Online-PIN

Die PIN wird nicht lokal geprüft, sondern verschlüsselt an die Issuer-Bank übermittelt. Die Bank prüft die PIN gegen ihre Datenbank und antwortet in Echtzeit mit einer Genehmigung oder Ablehnung.

Vorteil: Die Bank hat volle Kontrolle, kann bei Verdacht auf Betrug sofort blockieren.
Verbreitung: Standard bei Kreditkarten (Visa, Mastercard, Amex).

Offline-PINOnline-PIN
Prüfung durchChip der KarteIssuer-Bank
Internetverbindung nötigNeinJa
Reaktion bei BetrugGesperrte Karte nach KartenaustauschSofortsperre möglich
Typische KartentypenGirocard, manche DebitkartenKreditkarten (Visa, MC)

Warum die Unterschrift kein Sicherheitsmerkmal ist

Hier liegt das größte Missverständnis: Die Unterschrift auf dem Kassenbelegstreifen hat keinen echten Sicherheitswert. Warum?

  1. Niemand prüft sie wirklich. An der Kasse vergleicht kein Kassierer ernsthaft Unterschriften. Bei Selbstbedienungsterminals gibt es ohnehin niemanden, der schaut.
  2. Referenz fehlt. Der Kassierer hat in der Regel kein Bild der Referenzunterschrift — die Rückseite der Karte hat meist einen aufgedruckten Streifen, den man in Sekunden imitieren kann.
  3. Rechtliche Konsequenz ist gering. Eine gefälschte Unterschrift ist zwar strafbar, aber ihre Entdeckung an der Kasse nahezu ausgeschlossen.

Die Unterschrift ist ein Legacy-Mechanismus, der in der PIN-Ära nur noch formal existiert. Visa hat die Unterschriftspflicht für Händler in den USA, Kanada, Australien und vielen anderen Märkten bereits abgeschafft. In Deutschland war sie für Kreditkartentransaktionen an modernen Terminals schon lange de facto optional.

CVM: Wer entscheidet, welches Verfahren angewendet wird?

Die Abkürzung CVM steht für Cardholder Verification Method — also die Methode, mit der bestätigt wird, dass die Person an der Kasse die rechtmäßige Karteninhaberin ist. Welche CVM bei einer Transaktion zum Einsatz kommt, bestimmt eine Prioritätsliste im Chip der Karte, die sogenannte CVM-Liste.

Diese Liste kann mehrere Methoden in Reihenfolge enthalten, zum Beispiel:

  1. Online-PIN (bevorzugt)
  2. Offline-PIN (Fallback)
  3. Unterschrift (letzter Ausweg)
  4. Keine Verifikation (für kleine Beträge)

Das Terminal handelt mit dem Chip aus, welche Methode aus der Liste für diese Transaktion gilt — abhängig von den eigenen Fähigkeiten des Terminals und dem Transaktionsbetrag.

Entscheidend: Weder Händler noch Kassierer bestimmen das CVM. Es ist in der Karte vorprogrammiert und wird von Issuer und Kartenschema (Visa, Mastercard etc.) vorgegeben. Das Terminal kann nur aus den angebotenen Optionen wählen, die die Karte erlaubt.

Wenn ein Terminal einem Kunden die Wahl „PIN oder Unterschrift?” anbietet, hat der Chip beides als zulässig für diese Transaktion markiert — und das Terminal gibt die Entscheidung an den Kunden weiter, statt sie selbst zu treffen.

Kontaktlos: Warum unter 50 € gar keine PIN nötig ist

Bei kontaktlosen Zahlungen unter 50 € (EU-weite Grenze seit 2019) gibt es häufig gar keine Karteninhaberverifikation — keine PIN, keine Unterschrift. Das klingt unsicherer, ist aber regulatorisch so gestaltet:

  • Die Transaktion wird als risikoarm eingestuft (niedriger Betrag, physische Kartenpräsenz)
  • Die Haftung bei Missbrauch liegt eindeutig beim Issuer
  • Nach mehreren kontaktlosen Transaktionen in Folge oder bei Überschreiten eines kumulierten Limits fordert das Terminal automatisch eine PIN — das nennt sich cdCVM (consumer device CVM) oder schlicht PIN-Reset

Ab 50 € wird immer eine Verifikation erzwungen — in der Regel die PIN. Diese Grenze gilt EU-weit und ist in der Zahlungsdiensterichtlinie PSD2 geregelt.

Haftung bei Betrug: Wer zahlt bei PIN, wer bei Unterschrift?

Die Haftungsfrage ist der praktisch wichtigste Unterschied für Händler.

PIN-Zahlung

Bei einer autorisierten PIN-Transaktion (Chip + PIN) liegt die Haftung im Betrugsfall grundsätzlich beim Issuer. Die Logik: Wenn der Chip echt und die PIN korrekt war, hat der Händler alles richtig gemacht. Einzige Ausnahme: Der Karteninhaber hat die PIN selbst weitergegeben — dann kann die Haftung auf ihn zurückfallen.

Für Händler bedeutet das: Chargebacks wegen „Transaktion nicht autorisiert” greifen bei Chip+PIN deutlich seltener durch. Der Issuer hat schlechtere Karten, weil die PIN als starkes Authentifizierungsmerkmal gilt.

Unterschrift-Zahlung

Bei Unterschrift ist die Beweislage schwächer. Ein Chargeback-Antrag des Kunden mit der Begründung „Ich habe das nicht unterschrieben” ist schwerer zu widerlegen — der Händler müsste den Unterschriften-Beleg vorlegen und dessen Echtheit nachweisen.

Die Haftungsverschiebung bei veralteten Terminals

Seit der europaweiten EMV-Einführung gilt: Wenn ein Händler kein EMV-Terminal betreibt und eine gestohlene Karte mit Magnetstreifen akzeptiert, trägt der Händler die Haftung — nicht der Issuer. Das ist die sogenannte Liability Shift: Wer die veraltete Technologie betreibt, übernimmt das Risiko.

Wer noch Terminals ohne Chip-Unterstützung einsetzt, sollte das dringend ändern — nicht nur aus Sicherheitsgründen, sondern weil im Betrugsfall die Kosten beim Händler hängen bleiben.

Warum Händler PIN bevorzugen sollten

Aus Händlerperspektive gibt es keinen Grund, Unterschrift zu bevorzugen. Die Argumente für PIN:

  • Stärkerer Chargeback-Schutz: PIN ist ein härteres Authentifizierungsmerkmal als eine Unterschrift.
  • Schneller: Ein vierstelliger Code ist schneller eingegeben als eine Unterschrift auf einem Display.
  • Kein Beleg nötig: Bei PIN muss der Händler keine Unterschriften-Belege aufbewahren.
  • Weniger Disputes: Kunden können eine PIN-bestätigte Transaktion schwerer anfechten als eine Unterschriften-Transaktion.

Falls dein Terminal die Wahl anbietet: Konfiguriere es so, dass PIN bevorzugt wird. Die meisten modernen Terminals erlauben das in den Einstellungen oder über den Acquirer.

Ausblick: Biometrie als dritte Option

PIN und Unterschrift sind nicht die letzten Wörter. Neuere Entwicklungen setzen auf biometrische Verifikation:

  • Fingerabdruck-Karten: Karten mit integriertem Fingerabdrucksensor (Mastercard, Visa haben Piloten durchgeführt). Der Finger ersetzt die PIN — kein externes Gerät nötig, kein Code zu merken.
  • Face ID / Biometrie auf dem Smartphone: Bei Wallet-Zahlungen (Apple Pay, Google Pay) ist die Biometrie des Smartphones bereits der Verifikationsmechanismus. Wer mit Apple Pay zahlt, hat nie eine PIN eingegeben — Face ID oder Touch ID haben das übernommen.
  • Behavioral Biometrics: Im Hintergrund analysieren Issuer-Systeme Tippgewohnheiten, Bewegungsmuster und Gerätenutzung zur Betrugserkennung — das ist keine Karteninhaberverifikation im klassischen Sinne, erhöht aber die Erkennungsrate bei Betrug.

In der Praxis hat Biometrie die klassische Terminalauthentifizierung noch nicht ersetzt. Für die Mehrheit der stationären Transaktionen bleibt Chip + PIN der Standard — und die sicherste Wahl.

EMV-Terminal: Was der Chip-Standard für Händler bedeutet
Chargeback: Was passiert wenn Kunden eine Zahlung anfechten?
Kartenzahlung stornieren: So geht es am Terminal und danach