GatewayCrypto GatewayCrypto
Einloggen Los geht's
Let's meet at
SBC SUMMIT in MALTA
28 – 30 April
Book a meeting
Zurück zu Leitfäden

Arten von Payment-Gateways: Hosted, API, Self-Hosted und Krypto im Vergleich

Wissensdatenbank11 min lesen
Arten von Payment-Gateways: Hosted, API, Self-Hosted und Krypto im Vergleich

Payment-Gateways lassen sich in vier klassische Architekturtypen einteilen, die sich nach Integrationsaufwand, Checkout-Kontrolle, PCI-DSS-Scope und Konversionsrate unterscheiden. Krypto-Gateways bilden einen fünften Typ, der außerhalb der Karten-Taxonomie liegt.

Dieser Leitfaden vergleicht alle fünf Typen aus Sicht deutscher Händler, ordnet sie in den Kontext von MiCA, PSD2/SCA, PCI DSS v4.0.1 und der Einstellung von Giropay zum 30.06.2024 ein und liefert am Ende ein Entscheidungsraster.

Steigern Sie Ihr Geschäft durch die Annahme von Krypto-Zahlungen

Krypto-Zahlungen akzeptieren

Warum der Gateway-Typ entscheidend ist

Der gewählte Gateway-Typ bestimmt drei Faktoren, mit denen Sie jahrelang leben:

  • Kontrolle über den Checkout. Branding, Layout, Feldreihenfolge, Fehlermeldungen, Conversion-Funnel, SCA-Flow unter PSD2.
  • Umfang Ihres PCI-DSS-Scopes. Von nahezu null (SAQ-A) bis zum vollen Audit (SAQ-D). Der Unterschied liegt bei mehreren zehntausend Euro pro Jahr an Compliance-Aufwand.
  • Time-to-Market und Wartungsaufwand. Hosted ist in Stunden live, eine reine API-Integration dauert Wochen bis Monate. Beide sind legitim, die Wahl ohne Kenntnis der Tradeoffs ist es nicht.

Vier klassische Typen existieren für Kartenzahlungen: Hosted, Self-Hosted, API/integriert und lokale Bankanbindung. Krypto-Gateways bilden einen fünften Typ, strukturell anders, weil es keine Karten und keinen PCI-Scope gibt.

Hosted Payment Gateway

Ein Hosted Gateway leitet den Käufer auf eine vom PSP gehostete Checkout-Seite um und holt ihn nach Zahlung zurück in Ihren Shop. Klassiker im deutschen Mittelstand, oft genutzt bei Computop, Concardis/Nexi oder Unzer.

Vorteile

  • Schnellste Integration, in Stunden bis Tagen live.
  • Geringster PCI-Scope (SAQ-A), da der PSP alles verantwortet.
  • PSP pflegt UI, neue Zahlungsmethoden, SCA- und Compliance-Updates.
  • Solide Standardlösung für KMU und nicht-technische Teams.

Nachteile

  • Redirect kostet 2 bis 8 % mobile Konversion.
  • Begrenzte UX- und Brand-Kontrolle.
  • Moderne Anbieter mildern das über iFrames oder Drop-in-Widgets ab.

Passend für: KMU, schlanke Teams, nicht-technische Händler, Piloten, Shops in denen der Checkout keinen Wettbewerbsvorteil darstellt.

Self-Hosted Payment Gateway

Beim Self-Hosted Gateway bleibt der Käufer in Ihrem Shop, das Formular wird von Ihnen gebaut und gehostet, Kartendaten laufen über Ihre Server zum Gateway. In Deutschland inzwischen selten, da der Compliance-Aufwand unter PCI DSS v4.0.1 (verpflichtend seit 31.03.2025) deutlich gestiegen ist.

Vorteile

  • Volle UI-Kontrolle, der Checkout fühlt sich wie Ihr Produkt an.
  • Kein Redirect, kein iFrame, maximale Konversion möglich.

Nachteile

  • Maximaler PCI-Scope (SAQ-D), Kartendaten berühren Ihre Server.
  • Typisch 50.000 bis 200.000 EUR pro Jahr an Compliance-Kosten.
  • Große Angriffsfläche für Magecart-artige Skimmer.
  • Requirement 6.4.3 v4.0.1 erzwingt Integritätsmonitoring aller Skripte auf der Zahlungsseite.

Passend für: Enterprise-Händler mit eigener Compliance-Mannschaft und etabliertem PCI-Programm. Für Neubauten 2026 nur noch in Ausnahmefällen zu empfehlen.

API- und integriertes Gateway (der moderne Standard)

Ein API-Gateway nutzt Client-SDKs (Hosted Fields, Drop-in-Komponenten oder tokenisierende iFrames), um Kartendaten direkt vom Browser zum Gateway zu schicken. Ihre Server bleiben außen vor. Der native Checkout bleibt erhalten, sensible Daten landen nie in Ihrer Infrastruktur. In Deutschland ist das die typische Adyen-, Stripe- oder Worldline-Integration.

Vorteile

  • Volle UI-Kontrolle plus geringster PCI-Scope (SAQ-A).
  • Native Mobile-SDKs, Apple Pay, Google Pay, 3-D-Secure 2 und Tokenisierung out of the box.
  • Moderne Developer Experience: Webhooks, Idempotenz, Sandbox-Parität.
  • SCA-konform unter PSD2 ohne eigenen Implementierungsaufwand.

Nachteile

  • Mehr Entwicklungsaufwand als Hosted (Wochen statt Stunden).
  • Erfordert Frontend-Disziplin, damit SAQ-A erhalten bleibt.

Passend für: Der Default für moderne E-Commerce-, SaaS- und Marketplace-Projekte. Rund 80 % der Neuintegrationen 2026 in DACH entfallen auf diesen Typ.

Lokale Bankanbindung und SEPA-Rails

Eine lokale Bankanbindung verbindet den Käufer direkt mit seiner Bank, meist über SEPA, SEPA Instant (SCT Inst), Lastschrift, Klarna, Girocard oder länderspezifische Pay-by-Bank-Systeme. Der Käufer authentifiziert sich bei seiner Bank, Gelder fließen per Open Banking oder lokalem Kartennetz.

Für den deutschen Markt relevant: Giropay wurde zum 30.06.2024 eingestellt, als Nachfolger etablieren sich Wero (EPI) und klassische SEPA-Instant-Integrationen über PSD2-AIS/PIS-Schnittstellen.

Vorteile

  • Sehr niedrige Gebühren, oft 0,10 bis 0,50 % pauschal.
  • SEPA Instant: Gutschrift in Sekunden, 7/24/365.
  • Lastschrift in Deutschland weiterhin stark verbreitet (rund 40 % der Online-Zahlungen).
  • Keine Chargeback-Rechte bei vielen Push-Verfahren.

Nachteile

  • Bei Lastschrift 8-Wochen-Widerrufsrecht des Zahlers.
  • Pro Land separate Integration.
  • Verbraucherschutz und UX variieren je Verfahren stark.

Passend für: Händler mit nennenswertem DACH-Volumen, bei denen 2 bis 3 Prozentpunkte Gebührenersparnis materiell sind.

Krypto-Payment-Gateway (der fünfte Typ)

Ein Krypto-Payment-Gateway liegt vollständig außerhalb der Karten-Taxonomie. Keine PAN, kein PCI, keine Interchange, kein Acquirer, kein Händlerkonto. Das Wallet des Käufers signiert eine Transaktion, die Blockchain wickelt ab. Unter MiCA (ab 30.12.2024) werden entsprechende Anbieter als CASP reguliert, in Deutschland durch die BaFin beaufsichtigt.

Vorteile

  • Pauschalgebühren unter 1 % statt 2,9 % plus bei Karten.
  • Keine Rückbuchungen.
  • Sofortige grenzüberschreitende Abwicklung.
  • High-Risk-Kategorien möglich.
  • Stablecoins (USDT, USDC, EURC) eliminieren Volatilität.

Nachteile

  • Käufer benötigt ein Krypto-Wallet (adressierbarer Markt ca. 600 Mio. Nutzer).
  • Operations müssen Confirmations, Reorgs und Off-Ramp verstehen.
  • Travel Rule (EU 2023/1113) erfordert Begleitinformationen ab 1.000 EUR.

Wie klassische Gateways existieren Krypto-Gateways in Hosted- und API-Varianten. Ein hosted Krypto-Checkout ist ein Redirect zur QR-Code-Seite, ein API-Checkout ein eingebettetes Widget oder eine programmatische Rechnungserstellung.

Passend für: Jedes Geschäftsmodell, in dem Gebühren, Rückbuchungen oder globale Reichweite materielle Engpässe sind. Zunehmend Default neben Karten, nicht als Ersatz.

Alle fünf Typen im direkten Vergleich

TypAufwandUX-KontrollePCI-ScopeTypische GebührPassend für
HostedStundenGeringSAQ-A1,5 bis 2,5 % plus 0,25 EURKMU, Piloten
Self-HostedWochen plus AuditVollSAQ-D1,2 bis 2,5 %Enterprise mit PCI-Programm
API/integriert1 bis 4 WochenVollSAQ-A1,4 bis 2,0 %Moderner Standard
Lokale Bank/SEPAWochen je MarktMittelKeine0,10 bis 0,50 %DACH, Open Banking
Krypto-GatewayTage bis 2 WochenVollKeine0,4 bis 1 %High-Risk, global, margenschwach

Der deutsche PSP- und Acquirer-Markt

Für DACH-Händler ist die Wahl des Gateway-Typs eng mit dem Acquiring-Partner verknüpft. Ein Überblick über die relevanten Anbieter:

Bad Homburg, unabhängiger PSP. Starke Hosted- und API-Optionen, breite Abdeckung deutscher Acquirer und lokaler Methoden inkl. SEPA, Klarna, PayPal.

Acquirer mit breiter Händlerbasis im deutschen Einzelhandel und E-Commerce, Girocard-stark, inzwischen Teil der Nexi-Gruppe.

Heidelberg, Fokus DACH, All-in-One-PSP mit Acquiring-Lizenz, stark bei Kauf-auf-Rechnung und Lastschrift.

Europäischer PSP mit breitem API-Katalog, starker Präsenz in POS und Enterprise-E-Commerce.

Beide mit deutscher BaFin-Präsenz (Adyen als lizenzierte Bank, Stripe Payments Europe über irische Tochter). API-first, sehr gute Developer Experience, Standard für Tech-Unternehmen.

Entscheidungsraster für DACH-Händler

Ein schnelles Entscheidungsraster:

  1. Haben Sie ein PCI-Programm und ein Compliance-Budget? Falls nein, Self-Hosted sofort streichen.
  2. Brauchen Sie einen nativen Checkout? Falls ja, API/integriert. Andernfalls ist Hosted günstiger und schneller.
  3. Bedienen Sie deutsche Käufer mit Präferenz für SEPA-Lastschrift, Kauf auf Rechnung oder Klarna? Lokale Bankanbindung und Klarna ergänzend einbinden.
  4. Sind Gebühren, Rückbuchungen oder globale Reichweite ein Problem? Krypto-Gateway als zweite Checkout-Option. Fiat und Krypto sind Komplemente, keine Substitute.
  5. Sind Sie in einer High-Risk-Branche (iGaming, Forex, Adult, Nahrungsergänzung)? Krypto als primäre Spur, deutsche Acquirer werden Sie häufig ablehnen, CASP-Anbieter nicht.

Typischer moderner DACH-Stack: API-Gateway für Karten plus Apple/Google Pay, SEPA/Lastschrift über den gleichen PSP, Klarna für Kauf auf Rechnung, Krypto-Gateway für High-Risk oder internationale Käufer. Ein Checkout, mehrere Rails, automatische Routenwahl nach Kosten und Konversion.

Krypto als zusätzliche Spur, sauber integriert.

GatewayCrypto ergänzt Ihren bestehenden Kartenprozessor mit einem MiCA-konformen Krypto-Checkout. EUR-Payout per SEPA, DATEV-konformer Export, Integration in wenigen Tagen.

Unverbindliches Gespräch buchen

Steigern Sie Ihr Geschäft durch die Annahme von Krypto-Zahlungen

Los geht's

Häufig gestellte Fragen

Vier klassische Typen: Hosted (Redirect zur PSP-Seite), Self-Hosted (Formular im eigenen Shop, Kartendaten über den eigenen Server), API/integriert (Formular im eigenen Shop, Daten per SDK direkt zum Gateway) und lokale Bankanbindung über SEPA, Lastschrift oder Klarna. Hinzu kommt als fünfte Kategorie das Krypto-Gateway, das unter MiCA als CASP reguliert ist.

Ein Hosted Gateway leitet den Käufer auf eine PSP-Checkout-Seite um, ein API-Gateway hält den Käufer im eigenen Shop und leitet Kartendaten per Client-SDK direkt an das Gateway, ohne den eigenen Server zu berühren. Das Ergebnis: volle UX-Kontrolle bei minimalem PCI-Scope (SAQ-A), weshalb API-Gateways 2026 der Standard sind.

Hosted Gateways und API-Gateways mit Hosted Fields qualifizieren sich beide für SAQ-A, die kürzeste Selbstauskunft. Self-Hosted Gateways landen bei SAQ-D, dem vollen Fragenkatalog. Krypto-Gateways haben überhaupt keinen PCI-Scope, da keine Kartendaten verarbeitet werden.

Giropay wurde zum 30.06.2024 eingestellt. Deutsche Händler setzen stattdessen zunehmend auf SEPA Instant (SCT Inst) über PSD2-AIS/PIS-Schnittstellen, auf Wero (EPI) und weiterhin auf Lastschrift. Prüfen Sie mit Ihrem PSP die Abdeckung alternativer Open-Banking-Rails.

Nur selten. Unter PCI DSS v4.0.1 sind die Anforderungen an Self-Hosted-Setups (u.a. Requirement 6.4.3 Skript-Integritätsmonitoring) deutlich strenger geworden. Für die meisten deutschen Händler ist ein API-Gateway mit Hosted Fields die wirtschaftlichere Alternative.

Funktional ja, strukturell eigenständig. Sie erfüllen dieselben Aufgaben (Autorisierung, Abwicklung, Reporting), jedoch auf Blockchain-Rails statt Kartennetzen. Die Gebührenstruktur, Regulierung (MiCA, GwG, Travel Rule) und der operative Ablauf unterscheiden sich grundlegend.

Ja, das ist im DACH-Mittelstand der Regelfall. Ein typischer Stack kombiniert ein API-Gateway für Karten und Wallets, SEPA/Lastschrift über denselben PSP, Klarna für Kauf auf Rechnung und ein Krypto-Gateway für High-Risk oder internationale Kunden. Eine Payment-Orchestration-Schicht routet je Transaktion nach Regeln.

Ein API/integriertes Gateway bei einem seriösen DACH-PSP (Adyen, Stripe, Worldline, Unzer, Computop). Das liefert native UX, geringsten PCI-Scope, schnelle Iterationszyklen und breite Methodenabdeckung. Ein Krypto-Gateway lohnt früh, wenn Sie High-Risk sind oder Kartengebühren von rund 2 % Ihre Marge drücken.

Jede Kryptowährung integrieren