Welche Integrationsmodelle gibt es für ein Zahlungsgateway?

Es gibt drei gängige Modelle. Hosted Checkout leitet den Kunden auf die Seite des Anbieters um (geringster PCI-Geltungsbereich, geringste UI-Kontrolle). Eingebettete Felder / SDK (z. B. Stripe Elements, Drop-in-UI) rendert die sicheren Eingabefelder des Anbieters innerhalb Ihrer Seite, sodass Kartendaten direkt zum Anbieter gehen (geringer PCI-Geltungsbereich, gute UI-Kontrolle) – dies ist der Standard für die meisten Apps. Direkte / serverseitige API bedeutet, dass Ihr Backend rohe Kartendaten verarbeitet (maximale Kontrolle, aber vollständige PCI-DSS-Level-1-/SAQ-D-Pflichten) und ist für neue Produkte selten gerechtfertigt.

Wie wähle ich einen Zahlungsanbieter aus?

Vergleichen Sie nach: geografischer Abdeckung und Zahlungsmethoden (Karten plus lokale Methoden wie SEPA, iDEAL, Bancontact, Apple Pay, Google Pay); Preismodell (Pauschalpreis vs. Interchange-Plus); Auszahlungsgeschwindigkeit und Währungen; Entwicklererfahrung und SDK-Qualität; Unterstützung für Ihr Modell (Abonnements, Marktplätze, Plattformen); sowie integriertem Betrugsschutz und 3-D-Secure-Tooling. Stripe, Adyen, Braintree und Checkout.com sind die gängigen Optionen für US/EU-Produkte; die richtige Wahl hängt von Ihren Märkten, Methoden und davon ab, ob Sie einen Marktplatz betreiben.

Was ist Tokenisierung und warum ist sie wichtig?

Tokenisierung ersetzt eine Kartennummer durch einen nicht sensitiven Token, den Ihre Systeme speichern und wiederverwenden können, ohne die tatsächlichen Kartendaten zu halten. Das SDK des Anbieters erfasst die Karte und gibt einen Token zurück; Ihr Backend speichert den Token, nicht die PAN. Dadurch bleiben Sie außerhalb des PCI-Geltungsbereichs und ermöglichen gespeicherte Karten, Abonnements und One-Click-Checkout, ohne jemals Kartennummern zu speichern. Speichern Sie niemals selbst rohe Kartendaten – tokenisieren Sie immer.

Warum sind Webhooks und Idempotenz bei Zahlungsintegrationen wichtig?

Zahlungsergebnisse sind asynchron: Eine Abbuchung kann erfolgreich sein, fehlschlagen oder ausstehend bleiben, und die maßgebliche Aktualisierung kommt über einen Webhook vom Anbieter, nicht über die ursprüngliche API-Antwort. Sie müssen Webhook-Signaturen verifizieren, Ereignisse idempotent verarbeiten (dasselbe Ereignis kann mehr als einmal geliefert werden) und abstimmen, sodass ein wiederholter Aufruf niemals doppelt abbucht oder doppelt erfüllt. Idempotenzschlüssel bei Abbuchungsanfragen und idempotente Webhook-Handler sind nicht verhandelbar – sie verhindern Doppelabbuchungsfehler, die das Vertrauen am schnellsten erodieren.

Was ist 3-D Secure und SCA, und benötige ich diese?

3-D Secure (3DS2) ist ein Authentifizierungsschritt, der die Betrugshaftung auf den Issuer überträgt und zur Erfüllung der Starken Kundenauthentifizierung (SCA) gemäß der EU-PSD2 für die meisten Online-Kartenzahlungen an europäische Karteninhaber erforderlich ist. Wenn Sie EU-Kunden bedienen, muss Ihre Integration 3-D Secure auslösen, wo dies erforderlich ist; moderne Anbieter übernehmen das meiste für Sie, aber Ihr Checkout-Flow muss den Challenge-Schritt unterstützen. Für reine US-Flows ist es optional, wird aber zunehmend zur Betrugsprävention eingesetzt.

Wie lange dauert die Integration eines Zahlungsgateways?

Eine einfache Einmalzahlungsintegration mit einem modernen SDK kann in 1–3 Wochen funktionsfähig sein. Eine produktionsreife Integration mit Abonnements, gespeicherten Karten, Webhooks, Abstimmung, Rückerstattungen, Streitfallbehandlung, SCA und angemessenen Tests dauert in der Regel 4–10 Wochen. Das Onboarding und Underwriting beim Anbieter (KYB-Prüfungen vor der Aufnahme von Live-Zahlungen) laufen parallel und können Tage bis Wochen hinzufügen, daher sollten Sie die Kontoeröffnung frühzeitig beginnen.

Kann ich wiederkehrende Abrechnung und Abonnements über ein Gateway abwickeln?

Ja. Anbieter bieten Abonnement-/Abrechnungsprodukte an (z. B. Stripe Billing, Adyen-Abonnements), die wiederkehrende Abbuchungen, Wiederholungsversuche bei fehlgeschlagenen Zahlungen (Dunning), anteilige Berechnung und Rechnungen verwalten. Sie können auch eine eigene Abrechnungslogik auf Basis gespeicherter Token aufbauen, aber die Abrechnungsschicht des Anbieters bewältigt die schwierigen Sonderfälle – Wiederholungsversuche bei fehlgeschlagenen Zahlungen, SCA bei wiederkehrenden Abbuchungen, Planwechsel – in der Regel zuverlässiger als eine individuelle Entwicklung.

Wie verwalte ich Rückbuchungen und Streitfälle?

Eine Rückbuchung entsteht, wenn ein Karteninhaber eine Abbuchung bei seiner Bank anficht. Ihre Integration sollte auf Streitfall-Webhooks lauschen, diese Ihrem Betriebsteam anzeigen und das Einreichen von Belegen über die Streitfall-API des Anbieters unterstützen. Die Reduzierung von Streitfällen ist hauptsächlich ein operatives und Betrugsschutzproblem (klare Abrechnungsdeskriptoren, 3-D Secure, gute Betrugsregeln), aber die Integration muss Streitfallereignisse programmatisch erfassen und darauf reagieren, anstatt sich auf E-Mail-Benachrichtigungen zu verlassen.

Kann ich den Zahlungsanbieter später wechseln?

Ja, aber planen Sie es ein. Da gespeicherte Karten für einen bestimmten Anbieter tokenisiert sind, erfordert ein Wechsel eine Token-Migration (die meisten Anbieter unterstützen den Import von Token eines anderen über einen sicheren, PCI-konformen Prozess) sowie eine Neuimplementierung der Integration gegen die neue API. Die Abstraktion Ihrer Zahlungslogik hinter einem internen Interface von Anfang an macht eine zukünftige Migration wesentlich günstiger, als einen einzelnen Anbieter-SDK fest in die gesamte Codebasis einzubauen.

Zahlungsgateway integrieren: Kosten, Modelle und PCI-Geltungsbereich

Q: Was ist der Unterschied zwischen einem Zahlungsgateway und einem Zahlungsprozessor?

Ein Zahlungsgateway ist die technische Schicht, mit der Ihre Anwendung kommuniziert – es erfasst sicher Karten- oder Zahlungsdaten und leitet sie weiter. Ein Zahlungsprozessor transferiert das Geld zwischen der Bank des Karteninhabers (dem Issuer) und Ihrer Bank (dem Acquirer) über die Kartennetzwerke. Viele moderne Anbieter (Stripe, Adyen, Braintree) bündeln Gateway, Prozessor und Acquiring in einer einzigen API, sodass Sie als Entwickler nur einen Dienst integrieren, obwohl im Hintergrund mehrere Rollen stattfinden.

Q: Was kostet die Integration eines Zahlungsgateways?

Eine unkomplizierte Integration mit dem SDK eines Anbieters (Einmalzahlungen, einfache Rückerstattungen, Webhooks) kostet in der Regel $8.000–$25.000 an Entwicklungsaufwand. Das Hinzufügen von Abonnements/wiederkehrender Abrechnung, Mehrwährungsunterstützung, gespeicherten Karten, Marktplatz-Split-Payments, robustem Betrugsschutz und vollständiger Abstimmung erhöht eine Produktionsintegration auf $30.000–$80.000+. Zusätzlich zum Aufbau berechnen Anbieter Transaktionsgebühren (üblicherweise ca. 2,9 % + eine Fixgebühr, niedriger bei Volumen oder Interchange-Plus-Preisen). Die Aufbaukosten werden von Sonderfällen dominiert – Webhooks, Wiederholungsversuche, Abstimmung – nicht vom einfachen Zahlungsvorgang.

Marcus Chen Staff Engineer (Backend & Cloud), YuSMP Group · Entwicklung zahlungs-, banking- und integrationsintensiver Backends für US- und EU-Kunden

TL;DR — die wichtigsten Fakten auf einen Blick

Die Integration eines Zahlungsgateways wirkt von außen einfach — Karte erfassen, abbuchen — doch die entscheidenden Fragen betreffen den Compliance-Geltungsbereich und die asynchronen Sonderfälle. Das Wesentliche:

Eine Entscheidung dominiert: Ihr Integrationsmodell bestimmt Ihren PCI-DSS-Geltungsbereich. Halten Sie Kartendaten innerhalb der gehosteten Seite oder des SDK des Anbieters, bleiben Sie auf dem leichten SAQ-A-Niveau; verarbeiten Sie rohe Kartendaten selbst, steigen Sie auf SAQ A-EP oder SAQ D um.
Standardwahl: eingebettete Anbieterfelder / SDK (z. B. Stripe Elements, Adyen Drop-in) — Kartendaten gehen direkt zum Anbieter, Sie behalten die UI-Kontrolle, der PCI-Geltungsbereich bleibt minimal.
Kosten: eine einfache SDK-Integration kostet $8.000–$25.000; eine Produktionsintegration mit Abonnements, gespeicherten Karten, Webhooks, Abstimmung und SCA kostet $30.000–$80.000+.
Der schwierige Teil ist asynchron: Webhooks, Signaturverifizierung, Idempotenz und Abstimmung — nicht der einfache Zahlungsvorgang.
Für EU-Kunden: 3-D Secure / SCA (PSD2) ist für die meisten Online-Kartenzahlungen obligatorisch.
Speichern Sie niemals rohe Kartendaten — tokenisieren Sie über den Anbieter.

Gateway, Prozessor, Acquirer: Wer macht was

Hinter jeder Kartenzahlung stehen drei Rollen, die moderne Anbieter miteinander verschmelzen — doch ihr Verständnis hilft Ihnen, Kosten und Fehlerquellen besser einzuschätzen.

Zahlungsgateway — der technische Einstiegspunkt, mit dem Ihre App kommuniziert. Es erfasst Zahlungsdetails sicher und leitet sie weiter. Das ist es, was Sie integrieren.
Zahlungsprozessor — überträgt die Transaktion über die Kartennetzwerke (Visa, Mastercard) zwischen der ausstellenden Bank und Ihrer Bank.
Acquirer — die Bank oder das Finanzinstitut, das Ihr Händlerkonto führt und die Gelder empfängt.

Anbieter wie Stripe, Adyen und Braintree bündeln alle drei in einer einzigen API, weshalb Sie als Entwickler nur einen Dienst integrieren. Das Bündeln ist auch der Grund, warum Transaktionsgebühren anfallen: Sie zahlen gleichzeitig für Gateway, Verarbeitung und Acquiring. Für tiefere Integrationsarbeiten über Systeme hinweg folgt dies der gleichen Disziplin wie unsere API-Integrationsdienste.

Integrationsmodelle und ihr Einfluss auf den PCI-Geltungsbereich

Dies ist der wichtigste Abschnitt. Ihr Integrationsmodell entscheidet, wie viel der PCI-DSS-Last Sie tragen. Es gibt drei Modelle.

1. Hosted Checkout (Weiterleitung)

Der Kunde wird zur Zahlungsseite des Anbieters weitergeleitet, zahlt dort und wird zu Ihrer App zurückgeleitet. Kartendaten erreichen Sie überhaupt nicht. PCI-Geltungsbereich: minimal (SAQ A). Kompromiss: geringste Kontrolle über die Checkout-UI und eine Weiterleitung im Ablauf. Gut für einfache Shops und schnelle Markteinführungen.

2. Eingebettete Felder / SDK (Standard)

Die sicheren Eingabekomponenten des Anbieters (Stripe Elements, Adyen Drop-in, Braintree Hosted Fields) werden in Ihrer eigenen Seite oder App gerendert. Die Kartendaten gehen direkt vom Browser/Gerät zum Anbieter; Ihr Server empfängt nur einen Token. PCI-Geltungsbereich: gering (SAQ A in den meisten Konfigurationen). Sie behalten die volle Kontrolle über die umgebende UI. Dies ist der richtige Standard für fast jedes Web- und Mobilprodukt.

3. Direkte / serverseitige API

Ihr Backend empfängt und überträgt rohe Kartendaten an den Anbieter. PCI-Geltungsbereich: maximal (SAQ D / Level-1-Audit). Das bedeutet eine Karteninhaberdaten-Umgebung, jährliche Bewertungen, Netzwerksegmentierung und ein aufwändiges Compliance-Programm. Es ist selten gerechtfertigt — nur spezifische Fälle (manche Plattformen, bestimmte Telefonie- oder Terminal-Flows) benötigen es. Für die meisten Teams ist die Wahl dieses Modells ein kostspieliger Fehler. Unser PCI-DSS-Softwareentwicklungsservice ist darauf ausgelegt, Sie per Design in den Modellen mit minimalem Geltungsbereich zu halten.

Auswahl eines Zahlungsanbieters

Sobald das Modell feststeht, wählen Sie den Anbieter anhand Ihrer tatsächlichen Anforderungen, nicht aufgrund von Markenbekanntheit.

Abdeckung: die Karten und lokalen Methoden, die Ihre Kunden verwenden — SEPA, iDEAL, Bancontact, Apple Pay, Google Pay und regionale Wallets. Das Fehlen einer wichtigen lokalen Methode kostet Konversionen.
Preismodell: Pauschalpreis (einfach, z. B. ~2,9 % + Fixgebühr) vs. Interchange-Plus (günstiger bei Volumen, komplexer). Modellieren Sie Ihr reales Volumen, bevor Sie sich festlegen.
Auszahlungen: Abwicklungsgeschwindigkeit und die Währungen, die Sie halten und auszahlen können.
Modellunterstützung: Abonnements, Marktplätze/Plattformen (Split-Payments, verknüpfte Konten) und gespeicherte Karten.
Entwicklererfahrung: SDK-Qualität, Sandbox, Dokumentation und Webhook-Zuverlässigkeit — das wirkt sich direkt auf Ihre Entwicklungskosten aus.
Betrugsschutz & 3-D-Secure-Tooling: integriertes Risiko-Scoring und SCA-Behandlung.

Für US/EU-Produkte ist die gängige Auswahlliste Stripe, Adyen, Braintree und Checkout.com. Stripe führt bei Entwicklererfahrung und Bandbreite; Adyen ist stark bei größeren Volumen und einheitlichem globalem Acquiring; die richtige Wahl hängt von Ihren Märkten, Methoden und davon ab, ob Sie einen Marktplatz betreiben.

Kosten und Zeitplan

Zwei Kostenarten sind relevant: der einmalige Integrationsaufbau und die laufenden Transaktionsgebühren.

Umfang	Entwicklungskosten	Zeitplan
Einfache Einmalzahlungen (SDK, Rückerstattungen, Webhooks)	$8k–$25k	1–3 Wochen
+ Abonnements, gespeicherte Karten, Mehrwährung	$25k–$50k	4–7 Wochen
Marktplatz / Split-Payments + Betrugsschutz + vollständige Abstimmung	$50k–$80k+	8–12 Wochen

Transaktionsgebühren fallen separat an und werden vom Anbieter festgelegt (üblicherweise ca. 2,9 % + eine Fixgebühr beim Pauschalmodell, niedriger mit Interchange-Plus bei Volumen). Die Aufbaukosten werden durch die unten beschriebenen asynchronen Sonderfälle bestimmt, nicht durch den einfachen Zahlungsvorgang.

Tokenisierung, Webhooks, Idempotenz, Abstimmung

Hier entscheidet sich, ob eine Zahlungsintegration gelingt oder scheitert.

Tokenisierung: das SDK des Anbieters gibt einen Token zurück; Ihr Backend speichert den Token, niemals die Kartennummer. Das ermöglicht gespeicherte Karten, Abonnements und One-Click-Checkout, während Sie außerhalb des PCI-Geltungsbereichs bleiben.
Webhooks: das maßgebliche Zahlungsergebnis trifft asynchron über einen signierten Webhook ein, nicht über die ursprüngliche API-Antwort. Verifizieren Sie die Signatur und vertrauen Sie niemals allein einem clientseitigen „Erfolg“.
Idempotenz: verwenden Sie Idempotenzschlüssel bei Abbuchungsanfragen und machen Sie Webhook-Handler idempotent — Ereignisse können mehrfach zugestellt werden. Das verhindert Doppelabbuchungen und doppelte Erfüllung, den schnellsten Weg, das Kundenvertrauen zu verlieren.
Abstimmung: gleichen Sie Anbieterzahlungen gegen Ihr eigenes Hauptbuch ab, sodass jede Transaktion erfasst ist. Ein korrektes Hauptbuch macht aus „Ist diese Abbuchung erfolgt?“ eine Frage mit einer eindeutigen Antwort.

3-D Secure und SCA (PSD2)

Wenn Sie EU-Kunden bedienen, schreibt die EU-PSD2 die Starke Kundenauthentifizierung (SCA) für die meisten Online-Kartenzahlungen vor, die durch 3-D Secure (3DS2) erfüllt wird. Der Authentifizierungsschritt reduziert sowohl den Betrug als auch verschiebt die Haftung auf den Issuer. Moderne Anbieter übernehmen die Hauptarbeit, aber Ihr Checkout muss den Challenge-Flow unterstützen (ein Step-up-Bildschirm, den der Kunde möglicherweise sieht). Für reine US-Flows ist 3-D Secure optional, wird aber zunehmend zur Betrugsprävention eingesetzt. Der Compliance-Hintergrund hier ist derselbe, der in unserem FinTech-App-Entwicklungsleitfaden behandelt wird.

Planung des Projekts mit einem Partner

Ob Sie intern oder mit einem Partner entwickeln, planen Sie die Integration bewusst:

Entscheiden Sie das Integrationsmodell (und damit den PCI-Geltungsbereich) bevor Sie Code schreiben.
Listen Sie die Zahlungsmethoden und Märkte im Voraus auf — sie bestimmen die Anbieterwahl.
Behandeln Sie Webhooks, Idempotenz und Abstimmung als erstklassige Anforderungen, nicht als Nachgedanken.
Starten Sie das Anbieter-Onboarding/Underwriting frühzeitig; es läuft parallel zur Entwicklung.
Abstrahieren Sie die Zahlungslogik hinter einem internen Interface, damit ein zukünftiger Anbieterwechsel kostengünstig ist.

Wenn Sie auch das umgebende Produkt entwickeln, passt dies in die umfassendere individuelle Softwareentwicklung und FinTech-Arbeit, die wir liefern.

FAQ

Was ist der Unterschied zwischen einem Zahlungsgateway und einem Zahlungsprozessor?

Ein Gateway ist die Schicht, mit der Ihre App kommuniziert — es erfasst Zahlungsdetails und leitet sie weiter. Ein Prozessor transferiert das Geld zwischen der Bank des Karteninhabers und Ihrer Bank über die Kartennetzwerke. Moderne Anbieter (Stripe, Adyen, Braintree) bündeln Gateway, Verarbeitung und Acquiring in einer API, sodass Sie nur einen Dienst integrieren.

Entfallen meine PCI-DSS-Pflichten durch die Nutzung von Stripe oder Adyen?

Sie werden erheblich reduziert, entfallen aber nicht vollständig. Halten Sie rohe Kartendaten innerhalb der gehosteten Seite oder des SDK des Anbieters, reduziert sich Ihre Pflicht in der Regel auf die leichte SAQ-A-Selbstbewertung. Akzeptieren Sie Kartendaten auf Ihren eigenen Seiten oder Servern, wechseln Sie zu SAQ A-EP oder SAQ D, die deutlich anspruchsvoller sind.

Welches Integrationsmodell sollte ich wählen?

Eingebettete Felder / SDK (Stripe Elements, Adyen Drop-in) ist der richtige Standard für fast jedes Produkt: Kartendaten gehen direkt zum Anbieter, der PCI-Geltungsbereich bleibt bei SAQ A, und Sie behalten die UI-Kontrolle. Nutzen Sie Hosted Checkout für die einfachste Markteinführung und die direkte/serverseitige Option nur, wenn eine spezifische Anforderung es erzwingt.

Was kostet die Integration eines Zahlungsgateways?

Eine einfache SDK-Integration kostet $8.000–$25.000; das Hinzufügen von Abonnements, gespeicherten Karten, Mehrwährungsunterstützung, Marktplatz-Split-Payments, Betrugsschutz und vollständiger Abstimmung erhöht eine Produktionsintegration auf $30.000–$80.000+. Transaktionsgebühren des Anbieters (üblicherweise ~2,9 % + eine Fixgebühr) fallen separat an.

Was ist 3-D Secure und benötige ich es?

3-D Secure (3DS2) ist ein Authentifizierungsschritt, der zur Erfüllung der Starken Kundenauthentifizierung (SCA) gemäß PSD2 für die meisten Online-Kartenzahlungen an EU-Karteninhaber erforderlich ist. Wenn Sie EU-Kunden bedienen, muss Ihr Checkout es unterstützen; moderne Anbieter übernehmen den Großteil der Arbeit. Für reine US-Flows ist es optional, wird aber zunehmend zur Betrugsprävention eingesetzt.

Zuletzt aktualisiert am 16. Juni 2026. Kosten- und Gebührenspannen spiegeln typische US/EU-Integrationen wider und variieren je nach Anbieter, Modell und Umfang. Compliance- und regulatorische Verweise sind allgemeine Orientierung, keine Rechtsberatung — konsultieren Sie für Ihre Situation einen qualifizierten Sicherheitsgutachter und qualifizierten Rechtsberater. Fordern Sie ein individuelles Angebot für Ihre spezifische Integration an.

Angebot anfordern

Teilen Sie einige Details mit und ein erfahrener Berater antwortet innerhalb eines Werktages.

Lieber direkt sprechen? ☎ Call +374 44 871 811 ✉ sales@yusmpgroup.com

Name

Geschäftliche E-Mail

Unternehmen

Projekttyp

Budgetrahmen

Nachricht