Payment Processor werden im Jahr 2026
Ein Playbook für 2026, um ein Payment-Processing-Unternehmen zu starten: Processor, Acquirer, PSP, PayFac und Gateway im Vergleich, Lizenzen, PCI DSS Level 1, Netzwerk-Principal-Mitgliedschaft, Unit Economics und Tech-Stack.
Was ein Payment Processor tatsächlich macht
Ein Payment Processor ist das Unternehmen, das die Karten-Autorisierungsnachricht zwischen Händler und Issuer-Bank bewegt und anschließend die Gelder über das Settlement zurückholt. Jedes Mal, wenn eine Karte an der Kasse eingesteckt, kontaktlos aufgelegt oder online eingegeben wird, erledigt ein Processor im Hintergrund die technische Schwerstarbeit: Routing der ISO-8583- oder ISO-20022-Nachricht, Anwenden von Betrugsregeln, Kommunikation mit den Kartennetzwerken und Rückmeldung einer Freigabe in unter einer Sekunde.
2026 Payment Processor zu werden ist etwas anderes als 2016. Die Kartenvolumina wachsen weiter (globale Kartenzahlungen haben 600 Milliarden Transaktionen pro Jahr überschritten), aber der regulatorische Rahmen ebenso: PSD3, DORA, PCI DSS v4.0.1, die EU-Instant-Payments-Verordnung und strengere Netzwerkaufsicht prägen, was Sie bauen müssen. Die gute Nachricht ist, dass der Stack heute modular ist. Sie brauchen vom ersten Tag an weder einen eigenen Switch noch eine HSM-Farm oder eine Settlement-Engine. Jede Schicht lässt sich mieten oder selbst bauen.
Autorisierung
Transaktion vom Händler empfangen, an das richtige Netzwerk routen und in Millisekunden mit Freigabe oder Ablehnung antworten.
Clearing
Autorisierte Transaktionen des Tages bündeln und Dateien mit Visa, Mastercard und inländischen Schemes austauschen.
Settlement
Gelder von Issuern einziehen, Interchange und Scheme-Gebühren verrechnen und den Händler im vereinbarten Zyklus auszahlen.
Wenn Sie sich nur eine Sache merken: Ein Processor ist ein Nachrichten-Router und ein Geldbeweger. Alles andere (Risiko, Reporting, Tokenisierung, Abstimmung) ist Zubehör auf diesen beiden Kernaufgaben.
Lassen Sie uns Ihr Projekt besprechen und herausfinden, wie wir Ihr Projekt auf den Weg bringen können. digitales Bankprodukt zusammen
Demo anfordernProcessor vs. Acquirer vs. PSP vs. PayFac vs. Gateway
Diese fünf Begriffe werden in Pitch Decks oft synonym verwendet - das ist ein Problem, denn sie beschreiben unterschiedliche Rechtsträger mit unterschiedlichen Lizenzen, unterschiedlicher Ökonomie und unterschiedlicher Haftung. So ist die praktische Aufteilung.
| Rolle | Was sie tut | Lizenz oder Mitgliedschaft | Wer hält den Händlervertrag |
|---|---|---|---|
| Acquirer | Hält Gelder für Händler, trägt Kredit- und Chargeback-Risiko, unterzeichnet den Händlervertrag. | Bank oder Zahlungsinstitut plus Visa- oder Mastercard-Principal-Mitgliedschaft. | Acquirer selbst. |
| Processor | Betreibt den technischen Switch: Autorisierung, Clearing, Settlement-Dateien, Tokenisierung. | In der Regel keine Finanzlizenz, aber PCI DSS Level 1 und Scheme-Zertifizierung erforderlich. | Kein direkter Vertrag; bedient den Acquirer. |
| PSP (Gateway plus) | Bündelt Gateway, Fraud-Tools und Acquirer-Beziehung in einem kommerziellen Produkt. | Meist Zahlungsinstitut-Lizenz für Geldflüsse (Stripe, Adyen, Checkout.com). | PSP oder Partner-Acquirer. |
| PayFac | Onboardet Sub-Merchants unter seiner Master-MID, betreibt KYB und Risiko, zahlt Sub-Merchants direkt aus. | Registrierter PayFac bei einem Sponsor-Acquirer; ZAG-Lizenz bei Geldhaltung. | PayFac vertragt den Händler, der Acquirer vertragt den PayFac. |
| Gateway | Reine Technikschicht: nimmt die Transaktion vom Checkout an, verschlüsselt, leitet an den Processor weiter. | Keine Lizenz, PCI DSS erforderlich. | Keiner. |
Die größte kommerzielle Entscheidung am Anfang ist, welche dieser Rollen Sie einnehmen wollen. Ein reiner Processor ist ein B2B-Infrastrukturgeschäft mit hohen Margen und langen Vertriebszyklen. Ein PayFac ist ein vertikales SaaS-Spiel, bei dem Payments ein Umsatz-Multiplikator ist. Ein PSP ist der am stärksten umkämpfte (und kapitalintensivste) Platz. Wählen Sie eine Rolle und bauen Sie dafür.
Rollen in einer Kartentransaktion
Sieben Parteien sind an jeder Kartentransaktion beteiligt. Wer die Choreographie versteht, weiß, wo der Processor hineinpasst, wo die Gebühren genommen werden und wo die Haftung sitzt, wenn ein Chargeback eingeht.
Karteninhaber
Legt eine Karte an der Händlerkasse vor, online oder am POS.
Händler & Gateway
Checkout erfasst Kartendaten, Gateway tokenisiert und leitet weiter.
Acquirer & Processor
Empfangen den Auth-Request, führen Risikoprüfungen durch, leiten an das Netzwerk weiter.
Netzwerk & Issuer
Visa oder Mastercard routet zum Issuer, der freigibt oder ablehnt.
Der Rückweg spiegelt die Anfrage und endet typischerweise in 300 bis 800 Millisekunden. Das Settlement erfolgt später, meist T+1 oder T+2, wenn der Acquirer die Gelder über das Netzwerk vom Issuer einzieht, Interchange und Scheme-Gebühren abzieht und den Händler auszahlt. Als Processor leben Sie in Schritt drei, kümmern sich um die Nachrichten-Infrastruktur und später um die Clearing- und Settlement-Dateien.
Welches Modell wählen: Acquiring, PayFac, ISO oder reines Gateway
Es gibt 2026 vier ehrliche Wege in die Branche. Jeder hat andere Kosten, eine andere Time-to-Market und eine andere regulatorische Obergrenze.
Merchant Acquiring
Volle ZAG- oder Banklizenz plus Visa- oder Mastercard-Principal-Mitgliedschaft. Sie halten die MID, tragen das Risiko, behalten den größten Teil der Ökonomie.
Kapital: 10-50 Mio. EUR. Zeit: 18-36 Monate. Geeignet für: gut finanzierte Teams mit echtem Händlerbuch.
Payment Facilitator (PayFac)
Unterzeichnen Sie einen Master-Vertrag mit einem Sponsor-Acquirer und onboarden Sie Sub-Merchants selbst über ein vereinfachtes KYB. Sie besitzen das Händlererlebnis und teilen Umsatz mit dem Sponsor.
Kapital: 1-3 Mio. EUR. Zeit: 6-12 Monate. Geeignet für: vertikale SaaS-Plattformen (Marktplätze, Buchungen, KMU-Tools).
ISO oder Reseller
Verkaufen Sie das Produkt eines Acquirers oder PSPs unter Ihrer Marke. Minimaler Tech-Aufwand, wiederkehrende Residuals auf Volumen, keine Lizenz nötig. Ein guter Weg, Nachfrage zu testen, bevor Sie in Infrastruktur investieren.
Kapital: 100-500k EUR. Zeit: 1-3 Monate. Geeignet für: vertriebsgetriebene Gründer in einer Vertikale oder Region.
Nur Gateway
Bauen Sie Checkout, Tokenisierung, 3DS und Fraud-Layer, ohne Gelder zu berühren. Kombinierbar mit jedem Acquirer. Geringe regulatorische Last, aber Wettbewerb mit Stripe und Adyen auf UX und Zuverlässigkeit.
Kapital: 0,5-2 Mio. EUR. Zeit: 4-9 Monate. Geeignet für: technikstarke Teams mit Nische (Krypto-On-Ramp, Hochrisiko, regional).
Die meisten erfolgreichen Launches 2026 starten als PayFac oder ISO in einer Vertikale, sammeln Volumen und beantragen erst dann eigene Lizenz und Principal-Mitgliedschaft. Volles Acquiring vom ersten Tag verbrennt Kapital meist schneller, als es Händler gewinnt.
Lizenzierung und Netzwerk-Principal-Mitgliedschaft
Der regulatorische Stack ist geschichtet. Sie brauchen die richtige Finanzlizenz für die Geldflüsse, den richtigen Netzwerkstatus für die Teilnahme an Kartensystemen und eine Reihe operativer Zertifizierungen, um sich überhaupt einzuklinken.
- Finanzlizenz. In Deutschland deckt eine Zulassung als Zahlungsinstitut nach ZAG (Umsetzung von PSD2, bald PSD3) das Acquiring ab. Ein E-Geld-Institut (EMI) ergänzt die Ausgabe von E-Geld und Karten. Eine volle Banklizenz ergänzt Einlagen und Kreditvergabe. Wählen Sie die leichteste Option, die zu Ihren Geldflüssen passt. Kapitalanforderungen reichen von 125k EUR für ein PI bis 5 Mio. EUR für eine Bank, plus laufende Eigenmittelpflichten. Die BaFin ist die zuständige Aufsicht.
- Visa- und Mastercard-Principal-Mitgliedschaft. Für direktes Acquiring beantragen Sie Principal-Member-Status. Rechnen Sie mit sechs bis zwölf Monaten Prüfung, Scheme-Gebühren (zehntausende Euro pro Jahr) und strengen BIN-Sponsoring-Regeln. Affiliate- oder Sponsored-Mitgliedschaft ist schneller, deckelt aber Ihre Unabhängigkeit.
- PCI DSS Level 1. Jeder Akteur, der mehr als sechs Millionen Kartentransaktionen pro Jahr speichert, verarbeitet oder überträgt, muss PCI DSS Level 1 nach v4.0.1 (in Kraft seit April 2025) erfüllen. Rechnen Sie mit sechs Monaten Umsetzung und jährlichem Report on Compliance durch einen QSA. Das ist nicht verhandelbar.
- Fraud- und Chargeback-Tooling. 3DS2, Netzwerk-Tokenisierung, Device Intelligence und Verhaltens-Scoring sind Pflichtprogramm. Dazu braucht es einen Streit-Workflow entlang von Visa VCR und Mastercard MCOP.
- Underwriting und AML. Jeder Händler oder Sub-Merchant muss geprüft werden (KYB, Sanktionen, PEP, Geschäftsmodellrisiko). Sie brauchen eine Live-Transaktionsüberwachung, Verdachtsmeldungen (SAR) und in Deutschland einen bei der BaFin registrierten Geldwäschebeauftragten.
Nichts davon ist optional. Die Welle an Enforcement-Maßnahmen 2023-2025 (US-OCC-Consent-Orders, BaFin-Maßnahmen gegen deutsche EMIs, FCA-Fokus auf britische PIs) hat die Kosten eines schwachen Compliance-Programms schmerzhaft hoch gemacht.
Ein realistischer Fahrplan: von der Nische zum Live-Traffic
Die schnellsten Teams fahren eine Reihenfolge, die grob so aussieht.
Nische & Jurisdiktion
Wählen Sie eine Vertikale (SaaS-Abrechnung, Reisen, B2B-Marktplatz). Wählen Sie einen Regulator, dessen Zeitplan und Track Record zu Ihrem Plan passt. Sichern Sie Seed-Kapital.
Lizenz & Sponsor
Reichen Sie die ZAG- oder EMI-Anmeldung bei der BaFin ein oder unterzeichnen Sie mit einem Sponsor-Acquirer, wenn Sie als PayFac starten. Entwerfen Sie AML-, Safeguarding- und Auslagerungsrichtlinien.
Tech & PCI
Bauen oder kaufen Sie Gateway, Ledger, Tokenisierung, 3DS2 und Fraud-Engine. Starten Sie die PCI-DSS-Level-1-Arbeit parallel zur Lizenzierung.
Scheme-Zertifizierung
Visa-VCMS- und Mastercard-MTF-Zertifizierungen abschließen. Verzeichnisse, Tokenisierung und Dispute-APIs der Netzwerke integrieren.
Pilot-Händler
Fünf bis zwanzig befreundete Händler onboarden, echten Traffic fahren, Risk- und Chargeback-Flows kalibrieren, den ersten Auditzyklus abschließen.
Skalieren & neue Korridore
In weitere Länder expandieren, alternative Zahlmethoden ergänzen (giropay, Swish, PIX), Principal-Mitgliedschaft planen, wenn Sie Sponsored gestartet sind.
Die Teams, die am häufigsten verrutschen, versuchen Switch, Ledger und Scheme-Integrationen parallel zur Lizenzanmeldung komplett selbst zu bauen. Legen Sie früh Ihre Build-vs.-Buy-Grenze fest und halten Sie sich daran.
Tech-Stack: bauen, kaufen oder kombinieren
Sie haben drei realistische Tech-Optionen. Die meisten Teams mischen sie.
| Option | Was Sie bekommen | Trade-off |
|---|---|---|
| Legacy-Processor (Fiserv, TSYS, Worldpay, Global Payments) | Erprobter Switch, globale Scheme-Konnektivität, reife Dispute- und Clearing-Module. Die Maschinenräume der meisten Banken und großen Acquirer, auch in Deutschland bei Concardis/Nexi. | Lange Integrationszyklen, hohe Mindestvolumina, ältere Developer Experience. Passt, wenn Sie vom ersten Tag an Skalierung haben. |
| Moderne Issuing- und Acquiring-Plattformen (Nuvei, Checkout.com, Adyen for Platforms, Marqeta) | Sauberere APIs, schnelleres Onboarding, fertiges PayFac-Tooling, globales Acquiring in einem Vertrag. | Weniger Flexibilität tief im Stack, höhere Kosten pro Transaktion, Sie sind Mieter auf fremder Infrastruktur. |
| BaaS plus White-Label (Crassula, Solaris, Swan, ClearBank) | Markenprodukt, eigener Ledger und Admin-Konsole, modulares Austauschen von Acquirer oder Issuer. Geht in Wochen live statt in Jahren. | Sie brauchen trotzdem einen Sponsor oder eigene Lizenz. Risiko, Fraud und Support liegen bei Ihnen. |
Ein typisches Muster 2026: Crassula (oder ähnlich) für Produktschicht und Ledger, ein PSP oder Acquirer wie Concardis/Nexi für die Scheme-Anbindung, und ein Spezialist für Fraud (Riskified, Ravelin, Featurespace). Je sauberer diese Teile getrennt sind, desto leichter lässt sich ein Baustein ohne Rewrite tauschen.
Unit Economics: wo das Geld wirklich liegt
Kartenprocessing wirkt auf den ersten Blick wie ein tolles Geschäft. Das Kleingedruckte liegt im Gebühren-Stack. Eine typische europäische Kartenzahlung am POS bei 1,5 % Merchant Discount Rate teilt sich grob wie folgt auf.
In Europa ist Interchange durch die Interchange Fee Regulation gedeckelt: 0,2 % für Consumer-Debit und 0,3 % für Consumer-Kredit. Kommerzielle Karten, grenzüberschreitende und interregionale Flows liegen über dem Cap. In den USA liegt Durbin-regulierte Debit bei rund 0,05 % plus 0,22 USD pro Transaktion, während Kredit und Small-Bank-Debit (Durbin-exempt) bei rund 1,5 % liegen. Ihre Processor- und Acquirer-Marge liegt obendrauf, typischerweise 20 bis 80 Basispunkte, und wird von Fraud, Chargebacks, PCI, Compliance-Personal und Scheme-Strafen aufgezehrt.
Die Erkenntnis: Bruttovolumen ist Eitelkeit, Netto-Takerate ist Realität. Modellieren Sie den Gebühren-Stack transaktionsgenau, pro Korridor und pro Kartenprodukt, bevor Sie den ersten Händler unterzeichnen.
Wie Crassula Sie beim Start eines Payment Processors unterstützt
Crassula ist der White-Label-Core zwischen Ihrem lizenzierten Träger (oder Sponsor-Acquirer) und Ihren Händlern. Sie bekommen das Produkt, den Ledger und das Backoffice. Marke, Pricing und Händlerbeziehungen bleiben bei Ihnen.
Modularer Core
Ledger, IBAN- und Karten-Issuing, Acquiring-Orchestrierung, FX, Dispute-Workflows und Reconciliation. Binden Sie Ihren Acquirer (Nuvei, Checkout.com, Concardis/Nexi oder eine lokale Bank) ein oder wechseln Sie später zu eigener Principal-Mitgliedschaft.
Compliance-fertig
PCI-DSS-Level-1-Hosting, 3DS2, Tokenisierung, Sanktions- und PEP-Screening, Transaktionsüberwachung, Audit-Spuren im Einklang mit PSD2, PSD3 und ZAG.
Gebrandetes Händler- & Admin-UI
White-Label-Händlerportal, Onboarding-Flows, KYB-Orchestrierung, Risiko-Konsole und Reporting. Kein Standardlogo in Sicht.
Wochen statt Jahre
MVP-Processor-Stack in 8-14 Wochen live. Sie konzentrieren sich auf Händlerakquise und Scheme-Zertifizierung, wir liefern die Infrastruktur.
Wenn Sie es ernst meinen, 2026 einen Payment Processor zu starten, sprechen Sie mit dem Crassula-Team. Wir mappen Lizenz-, Sponsor- und Scheme-Pfad und kalkulieren den Stack, bevor Sie einen Euro Build-Budget binden.
FAQ
Der Acquirer hält den Händlervertrag, trägt Kredit- und Chargeback-Risiko und ist der regulierte Träger mit Visa- und Mastercard-Mitgliedschaft. Der Processor ist der technische Dienst, der den Switch betreibt: Autorisierung, Clearing, Settlement-Dateien und Tokenisierung. In der Praxis machen viele große Akteure beides, rechtlich und kommerziell sind es jedoch zwei verschiedene Rollen mit unterschiedlichen Lizenzen.
Normalerweise nein. Ein reiner Processor (technische Rolle) braucht keine Finanzlizenz, nur PCI DSS Level 1 und Scheme-Zertifizierung. Wollen Sie zusätzlich Händlergelder halten oder Karten ausgeben, brauchen Sie in Deutschland eine Zulassung als Zahlungsinstitut oder E-Geld-Institut nach ZAG durch die BaFin, in den USA die jeweiligen State- oder Federal-Lizenzen. Eine volle Banklizenz ist nur erforderlich, wenn Sie Einlagen nehmen oder aus der Bilanz finanzieren.
PCI DSS Level 1 ist die höchste Stufe des Payment Card Industry Data Security Standard und Pflicht für jeden Akteur, der mehr als sechs Millionen Kartentransaktionen pro Jahr verarbeitet. Erforderlich sind jährliche Prüfungen durch einen Qualified Security Assessor, vierteljährliche Vulnerability Scans, segmentierte Netzarchitektur, starke Kryptografie und strenge Change-Kontrolle. Unter PCI DSS v4.0.1 (in Kraft seit April 2025) sind die Kontrollen rund um Phishing-Resistenz, Authentifizierung und gezielte Risikoanalyse strikter. Jeder Processor oder PayFac nennenswerter Größe braucht es.
Das hängt völlig vom Modell ab. Ein reines Gateway startet mit 0,5-2 Mio. EUR. Ein PayFac-Programm unter einem Sponsor-Acquirer kostet 1-3 Mio. EUR inkl. Technik, Compliance und Startkapital. Volles Acquiring mit ZAG-Lizenz und Visa- oder Mastercard-Principal-Mitgliedschaft liegt bei 10-50 Mio. EUR plus regulatorischem Eigenmittelkapital. Laufende Scheme- und Compliance-Kosten allein sind im Live-Betrieb sechs- bis siebenstellig pro Jahr.
Interchange ist die Gebühr, die der Acquirer pro Kartentransaktion an die Issuer-Bank zahlt, festgelegt durch die Netzwerke. In der EU gedeckelt auf 0,2 % für Consumer-Debit und 0,3 % für Consumer-Kredit unter der Interchange Fee Regulation. In den USA liegt Durbin-regulierte Debit bei rund 0,05 % plus 0,22 USD, Durbin-exempt-Kredit bei rund 1,5 %. Interchange ist der größte Einzelposten im Gebühren-Stack und der Hauptgrund, warum die Take Rate bei sauberer Modellierung dünn aussieht.
Ein PSP (Payment Service Provider) bündelt Gateway, Fraud-Tools und eine Acquirer-Beziehung in einem kommerziellen Produkt; Stripe, Adyen und Checkout.com sind klassische Beispiele. Ein PayFac (Payment Facilitator) geht einen Schritt weiter: Er unterzeichnet einen Master-Vertrag mit einem Sponsor-Acquirer und onboardet danach Sub-Merchants unter seiner eigenen Master-MID mit vereinfachtem KYB. PayFac ist das Standardmodell für vertikale SaaS und Marktplätze, die Payments ins Produkt holen wollen.
Ein reines Gateway-Produkt kann in vier bis neun Monaten live gehen. Ein PayFac-Programm unter einem Sponsor-Acquirer dauert meist sechs bis zwölf Monate. Volles Acquiring mit frischer ZAG- oder EMI-Lizenz der BaFin und Visa- oder Mastercard-Principal-Mitgliedschaft läuft 18 bis 36 Monate, ein großer Teil davon in Regulierungs- und Scheme-Prüfung. Ein White-Label-Core wie Crassula verkürzt den Tech-Build von rund 12 Monaten auf 8-14 Wochen.
Es gibt drei Lager. Legacy-Cores wie Fiserv, TSYS, Worldpay und Global Payments betreiben weiterhin die meisten Banken und großen Acquirer und liefern die Infrastruktur hinter Akteuren wie Concardis/Nexi in Deutschland. Moderne Plattformen wie Nuvei, Checkout.com, Adyen for Platforms und Marqeta bieten sauberere APIs und schnelleres PayFac-Onboarding. Die meisten Launches 2026 kombinieren einen White-Label-BaaS- oder Processing-Core (Crassula, Solaris, Swan) mit einem modernen Acquirer und einer Fraud-Spezialistin, wobei jede Schicht austauschbar bleibt.
Other Guides
Erstellen Sie eine digitale Bank in nur wenigen Tagen
Demo anfordern