Payment-Startup gründen -- Regulierung und Technik in Österreich
Zahlungsverkehr ist das Herzschlag-Segment der FinTech-Branche. Jede Transaktion, jeder Einkauf, jede Überweisung -- all das läuft über Payment-Infrastruktur. Wenn du ein Payment-Startup in Österreich gründen willst, betrittst du einen der reguliertesten, aber auch lukrativsten Bereiche der Finanzwirtschaft.
In diesem Beitrag zeige ich dir Schritt für Schritt, welche regulatorischen Hürden du überwinden musst, welche technische Infrastruktur du brauchst und wie du dein Payment-Startup von der Idee zum Marktstart bringst.
Die verschiedenen Payment-Geschäftsmodelle
Bevor wir in die Regulierung eintauchen, musst du verstehen, welches Payment-Geschäftsmodell du anstrebst. Denn davon hängt alles Weitere ab.
Zahlungsauslösedienst (Payment Initiation Service -- PIS)
Du löst Zahlungen im Namen des Kunden aus, ohne selbst Geld zu halten.
Beispiel: Ein Kunde kauft online ein, und dein Service löst die Überweisung direkt von seinem Bankkonto aus.
Regulatorische Anforderung: ZaDiG-Registrierung als Zahlungsauslösedienstleister
Vorteile:
- Geringere regulatorische Hürde
- Kein eigenes Geldhalten nötig
- Schneller Markteintritt möglich
Nachteile:
- Abhängigkeit von Bank-APIs
- Begrenzte Wertschöpfung
- Hoher Wettbewerbsdruck
Kontoinformationsdienst (Account Information Service -- AIS)
Du aggregierst Kontoinformationen aus verschiedenen Banken für den Kunden.
Beispiel: Eine App, die alle Bankkonten eines Nutzers in einer Übersicht zusammenfasst.
Regulatorische Anforderung: ZaDiG-Registrierung als Kontoinformationsdienstleister
Vorteile:
- Niedrigste regulatorische Hürde im Payment-Bereich
- Wertvolle Dateninsights möglich
- Gute Basis für Zusatzservices
Zahlungsinstitut (Payment Institution)
Du verarbeitest Zahlungen und haltst möglicherweise Kundengelder.
Beispiel: Ein Payment-Gateway für Online-Händler oder eine digitale Wallet.
Regulatorische Anforderung: Volle ZaDiG-Konzession als Zahlungsinstitut
Vorteile:
- Breites Geschäftsspektrum
- Höhere Wertschöpfung
- Eigenständige Marktposition
Nachteile:
- Hohe regulatorische Anforderungen
- Signifikantes Eigenkapital nötig
- Längerer Lizenzierungsprozess
E-Geld-Institut
Du gibst elektronisches Geld aus (z.B. Prepaid-Karten, digitale Wallets mit Guthaben).
Regulatorische Anforderung: E-Geld-Konzession gemäss E-Geldgesetz
Vorteile:
- Eigene Währung/Guthaben-Ökosystem möglich
- Hohe Kundenbindung
- Vielfältige Geschäftsmodelle
Das ZaDiG 2018 im Detail
Das Zahlungsdienstleistungsgesetz 2018 (ZaDiG 2018) ist die österreichische Umsetzung der EU-Zahlungsdiensterichtlinie PSD2. Es ist das zentrale Gesetz für Payment-Startups.
Was regelt das ZaDiG?
Das ZaDiG definiert, welche Zahlungsdienste einer Konzession bedürfen und welche Anforderungen erfüllt werden müssen:
Konzessionspflichtige Zahlungsdienste:
- Ein- und Auszahlungsgeschäft
- Zahlungsgeschäft mit und ohne Kreditgewährung
- Ausgabe von Zahlungsinstrumenten
- Acquiring (Akzeptanz von Zahlungsinstrumenten)
- Finanztransfergeschäft (Geldüberweisungen)
- Zahlungsauslösedienst
- Kontoinformationsdienst
Konzessionsvoraussetzungen für ein Zahlungsinstitut
Wenn du ein vollwertiges Zahlungsinstitut gründen willst, musst du folgende Voraussetzungen erfüllen:
Eigenkapitalanforderungen:
| Art des Zahlungsdienstes | Mindest-Eigenkapital |
|---|---|
| Finanztransfergeschäft | 20.000 EUR |
| Zahlungsauslösedienst | 50.000 EUR |
| Zahlungsgeschäft | 125.000 EUR |
| Umfassende Zahlungsdienste | 125.000 EUR |
Weitere Anforderungen:
- Zuverlässige Geschäftsführer mit fachlicher Eignung
- Solider Geschäftsplan mit Drei-Jahres-Prognose
- Organisatorische Vorkehrungen (Risikomanagement, Compliance, Interne Revision)
- Sicherung von Kundengeldern (Treuhandkonto oder Versicherung)
- Beschwerdemanagement
- IT-Sicherheitskonzept
Der Konzessionsantrag -- Schritt für Schritt
Schritt 1: Vorgespräch mit der FMA
Bevor du den formellen Antrag stellst, nutze die FinTech-Kontaktstelle der FMA. In einem informellen Gespräch klärst du:
- Ob dein Geschäftsmodell überhaupt konzessionspflichtig ist
- Welche Konzession du benötigst
- Welche Unterlagen du vorbereiten musst
Schritt 2: Unterlagen vorbereiten
Du brauchst unter anderem:
- Detaillierter Geschäftsplan
- Organisationsstruktur und Compliance-Konzept
- IT-Sicherheitskonzept
- Nachweis des Eigenkapitals
- Lebenslauf und Zuverlässigkeitsnachweis der Geschäftsführer
- Konzept zur Sicherung der Kundengelder
- Notfallplan und Business-Continuity-Plan
Schritt 3: Antrag einreichen
Den Antrag reichst du direkt bei der FMA ein. Die Bearbeitungszeit beträgt in der Regel drei bis sechs Monate.
Schritt 4: Prüfung und Rückfragen
Die FMA prüft deinen Antrag und stellt in der Regel Rückfragen. Rechne mit mehreren Iterationen.
Schritt 5: Konzessionserteilung
Nach erfolgreicher Prüfung erhältst du die Konzession -- und darfst loslegen.
Kosten: Plane für den gesamten Lizenzierungsprozess mit Kosten von 50.000 bis 150.000 EUR (inklusive Rechtsberatung, Compliance-Beratung und FMA-Gebühren).
Technische Infrastruktur für dein Payment-Startup
Neben der Regulierung brauchst du eine robuste technische Infrastruktur. Hier sind die wichtigsten Bausteine.
Payment-Processing-Architektur
Eine typische Payment-Architektur besteht aus mehreren Schichten:
1. Frontend-Schicht:
- Checkout-Integration (Web, Mobile, POS)
- SDKs und APIs für Händler
- White-Label-Lösungen
2. Orchestrierung:
- Transaction Routing
- Load Balancing
- Failover-Mechanismen
- Fraud Detection in Echtzeit
3. Processing-Schicht:
- Autorisierung und Clearing
- Settlement und Reconciliation
- Währungsumrechnung
- Buchungssysteme
4. Anbindungen:
- Kartennetzwerke (Visa, Mastercard)
- SEPA-Infrastruktur
- Instant Payment (SEPA Instant, TIPS)
- Alternative Zahlungsmethoden (EPS, Klarna etc.)
Build vs. Buy -- Die entscheidende Frage
Als Startup musst du entscheiden, was du selbst baust und was du zukaufst.
Selber bauen -- sinnvoll für:
- Dein Kern-Differenzierungsmerkmal
- Proprietäre Algorithmen (z.B. Fraud Detection)
- Kundenfacing-Interfaces
Zukaufen/Anbinden -- sinnvoll für:
- Kartenprozessierung (über einen Payment Processor)
- SEPA-Clearing (über eine Partnerbank)
- KYC/AML-Checks (über spezialisierte Anbieter)
- Compliance-Monitoring
Wichtige technische Partner und Anbieter
Payment Processors:
- Adyen -- Globaler Payment Processor, APIs verfügbar
- Stripe -- Umfassende Payment-APIs
- Checkout.com -- Flexible Payment-Infrastruktur
Banking-as-a-Service:
- Railsbank -- Banking-Infrastruktur per API
- Solarisbank -- Deutschsprachige BaaS-Plattform
- Swan -- Europäische Banking-APIs
KYC/AML-Provider:
- IDnow -- Video- und Auto-Ident
- Jumio -- Dokumentenverifikation
- Comply Advantage -- AML-Screening
Card Issuing:
- Marqeta -- Kartenausgabe per API
- Enfuce -- Nordeuropäischer Card Issuer
- Moorwand -- Europäischer BIN-Sponsor
PCI-DSS -- Der Sicherheitsstandard
Wenn du mit Kartendaten arbeitest, kommst du um PCI-DSS (Payment Card Industry Data Security Standard) nicht herum.
Was ist PCI-DSS?
PCI-DSS ist ein Sicherheitsstandard, der den Umgang mit Kreditkartendaten regelt. Er wird von den Kartennetzwerken (Visa, Mastercard etc.) vorgeschrieben.
Die vier PCI-DSS-Level
| Level | Kriterium | Anforderungen |
|---|---|---|
| 1 | Über 6 Mio. Transaktionen/Jahr | Jährliches Audit durch QSA |
| 2 | 1-6 Mio. Transaktionen/Jahr | Jährlicher SAQ + Quartalsscan |
| 3 | 20.000-1 Mio. Transaktionen/Jahr | Jährlicher SAQ + Quartalsscan |
| 4 | Unter 20.000 Transaktionen/Jahr | Jährlicher SAQ |
PCI-DSS-Anforderungen (Kurzüberblick)
Die 12 PCI-DSS-Anforderungen lassen sich in sechs Bereiche gliedern:
- Netzwerksicherheit: Firewall-Konfiguration, sichere Systemkonfigurationen
- Datenschutz: Verschlüsselung von Kartendaten, sichere Übertragung
- Schwachstellenmanagement: Antivirensoftware, sichere Entwicklung
- Zugriffskontrolle: Need-to-know-Prinzip, eindeutige IDs
- Monitoring: Netzwerküberwachung, Logging
- Sicherheitsrichtlinien: Dokumentation, regelmässige Tests
Tipp: Vermeide den direkten Umgang mit Kartendaten
Die einfachste Strategie: Handle niemals rohe Kartendaten. Nutze stattdessen Tokenisierung über einen zertifizierten Anbieter wie Stripe oder Adyen. Damit reduzierst du deinen PCI-DSS-Scope drastisch und sparst enorm an Compliance-Kosten.
Strong Customer Authentication (SCA) und 3D Secure
Die PSD2 verlangt eine starke Kundenauthentifizierung (SCA) für elektronische Zahlungen. Das betrifft dein Startup direkt.
Was bedeutet SCA?
SCA erfordert mindestens zwei von drei Faktoren:
- Wissen: Etwas, das der Kunde weiss (PIN, Passwort)
- Besitz: Etwas, das der Kunde hat (Smartphone, Karte)
- Inhärenz: Etwas, das der Kunde ist (Fingerabdruck, Gesichtserkennung)
Ausnahmen von der SCA
Nicht jede Transaktion erfordert SCA. Wichtige Ausnahmen:
- Transaktionen unter 30 EUR (bis zu einem Gesamtlimit)
- Wiederkehrende Zahlungen gleicher Höhe
- Transaktionen mit geringem Risiko (Transaction Risk Analysis)
- Vertrauenswürdige Empfänger (Whitelist)
- Unternehmenszahlungen
3D Secure 2.0
3D Secure 2.0 ist der technische Standard für SCA im E-Commerce:
- Frictionless Flow: Authentifizierung im Hintergrund ohne Kundeninteraktion
- Challenge Flow: Aktive Authentifizierung durch den Kunden
- Bessere User Experience als das alte 3D Secure 1.0
Fraud Detection und Risikomanagement
Payment-Startups müssen Betrug erkennen und verhindern. Das ist nicht nur regulatorische Pflicht, sondern auch geschäftskritisch.
Typische Betrugsszenarien
- Card-not-present Fraud: Gestohlene Kartendaten im E-Commerce
- Account Takeover: Übernahme von Kundenkonten
- Friendly Fraud: Ungerechtfertigte Rückbuchungen
- Money Laundering: Geldwäsche über Payment-Systeme
- Identitätsbetrug: Falsche Identitäten bei der Kontöröffnung
Fraud-Detection-Stack
Ein moderner Fraud-Detection-Stack umfasst:
Regelbasierte Systeme:
- Transaktionslimits
- Velocity Checks (Anzahl Transaktionen pro Zeitraum)
- Geolocation-Prüfungen
- Blacklists
Machine-Learning-Modelle:
- Anomalieerkennung
- Verhaltensanalyse
- Netzwerkanalyse (Verbindungen zwischen Konten)
- Predictive Scoring
Manuelle Reviews:
- Geschulte Fraud-Analysten für Grenzfälle
- Eskalationsprozesse
- Feedback-Loop für ML-Modelle
AML und KYC für Payment-Startups
Als konzessioniertes Zahlungsinstitut unterliegst du dem Finanzmarkt-Geldwäschegesetz (FM-GwG).
Know Your Customer (KYC)
Bevor du einen Kunden annimmst, musst du seine Identität prüfen:
Identifizierung:
- Amtlicher Lichtbildausweis
- Überprüfung der Identitätsdaten
- Bei juristischen Personen: Firmenbuchauszug, wirtschaftliche Eigentümer
Sorgfaltspflichten:
- Laufende Überwachung der Geschäftsbeziehung
- Aktualisierung der Kundendaten
- Erhöhte Sorgfalt bei Hochrisiko-Kunden
Digitale Identifizierung:
- Video-Ident (z.B. über IDnow)
- eID (österreichische Bürgerkarte/Handysignatur bzw. ID Austria)
- Auto-Ident mit KI-gestützter Dokumentenprüfung
Anti-Money Laundering (AML)
Deine AML-Pflichten umfassen:
- Transaktionsmonitoring in Echtzeit
- Verdachtsmeldungen an die Geldwäschemeldestelle (A-FIU)
- Sanktionslistenprüfungen
- Dokumentation und Aufbewahrung (mindestens 5 Jahre)
- Bestellung eines Geldwäschebeauftragten
Kostenplanung für dein Payment-Startup
Eine realistische Kostenplanung ist entscheidend. Hier eine grobe Aufstellung für die ersten 18 Monate:
Einmalige Kosten
| Posten | Geschätzte Kosten |
|---|---|
| Rechtsberatung und Lizenzierung | 50.000 -- 150.000 EUR |
| Technische Entwicklung (MVP) | 100.000 -- 300.000 EUR |
| PCI-DSS-Zertifizierung | 20.000 -- 50.000 EUR |
| Büröinrichtung und IT-Infrastruktur | 15.000 -- 30.000 EUR |
| Gründungskosten (Notar, Firmenbuch) | 3.000 -- 5.000 EUR |
Laufende monatliche Kosten
| Posten | Geschätzte Kosten/Monat |
|---|---|
| Team (5-8 Personen) | 30.000 -- 60.000 EUR |
| Cloud-Infrastruktur | 2.000 -- 5.000 EUR |
| Payment-Processor-Gebühren | Variabel (0,1-0,5% pro Transaktion) |
| Compliance und Audit | 3.000 -- 8.000 EUR |
| Büromiete | 1.500 -- 3.000 EUR |
| Versicherungen | 500 -- 1.500 EUR |
Gesamtbudget für 18 Monate
Rechne mit einem Gesamtbudget von 700.000 bis 1.500.000 EUR für die ersten 18 Monate -- je nach Umfang deines Geschäftsmodells und der benötigten Lizenz.
Praktische Tipps für den Start
Zum Abschluss einige praxiserprobte Tipps:
1. Starte ohne eigene Lizenz
Du kannst unter der Lizenz eines bestehenden Zahlungsinstituts als Agent starten. Das spart dir den Lizenzierungsprozess und ermöglicht einen schnelleren Markteintritt.
2. Nutze Banking-as-a-Service
Anbieter wie Solarisbank oder Swan bieten dir die gesamte Banking-Infrastruktur per API. Du konzentrierst dich auf dein Frontend und dein Differenzierungsmerkmal.
3. Baue Compliance von Anfang an ein
Compliance ist kein Projekt, das du irgendwann nachholst. Es muss in deiner DNA verankert sein. Stelle früh einen Compliance-Experten ein oder arbeite mit einem erfahrenen Berater zusammen.
4. Automatisiere alles, was geht
Manuelle Prozesse skalieren nicht. Automatisiere KYC, Transaktionsmonitoring, Reporting und Reconciliation von Anfang an.
5. Denke an den österreichischen Markt
Der österreichische Payment-Markt hat seine Eigenheiten. EPS (Electronic Payment Standard) ist weit verbreitet, die Bankomatkarte hat eine starke Stellung, und österreichische Konsumenten haben spezifische Präferenzen. Berücksichtige das in deinem Produkt.
Fazit
Ein Payment-Startup in Österreich zu gründen ist anspruchsvoll, aber machbar. Die regulatorischen Anforderungen sind hoch, aber sie schützen auch vor unseriöser Konkurrenz. Wenn du die ZaDiG-Anforderungen erfüllst, PCI-DSS ernst nimmst und eine robuste technische Infrastruktur aufbaust, hast du die Basis für ein erfolgreiches Payment-Unternehmen.
Der Schlüssel liegt darin, regulatorische und technische Planung von Anfang an parallel zu betreiben und sich auf ein klar definiertes Geschäftsmodell zu konzentrieren.
Über Startup Burgenland
Startup Burgenland unterstützt dich bei der Gründung deines Payment-Startups -- von der ersten Idee über die Förderberatung bis zum Markteintritt. Nutze unser Netzwerk und unsere Expertise, um dein Vorhaben auf solide Beine zu stellen.
Dieser Beitrag ist Teil 607 der Serie "fintech-und-insurtech" im Bereich Geschäftsmodell und Strategie. Die Serie begleitet dich durch alle relevanten Themen rund um FinTech und InsurTech -- praxisnah und auf den österreichischen Markt zugeschnitten.
Über den Autor: Felix Lenhard ist Program Director und Startup Coach bei Startup Burgenland. Zuvor Managing Director beim 360 Innovation Lab, Innovation Manager bei RHI Magnesita und Serial Entrepreneur mit internationalen Exits. Über 15 Jahre Erfahrung in Innovation und Unternehmensaufbau.
Weiterführende Artikel
- RegTech -- Compliance automatisieren für Finanz-Startups
- FinTech in Österreich -- Marktüberblick für Gründer
- Neobanken und Banking-as-a-Service -- Chancen für österreichische Startups
- Blockchain und DeFi für Startups
- SaaS-Geschäftsmodell aufbauen -- So startest du dein Software-as-a-Service-Business