Finalarm — deine Finanz-Plattform

Virtuelle Kreditkarte: Funktionsweise und Anwendungsfelder

Das Wichtigste in Kürze:

Eine virtuelle Karte existiert nur als Datensatz in der Banking-App — sofort aktivierbar ohne Postversand. Einmal-Karten erzeugen pro Transaktion eine neue Kartennummer mit selbst gewähltem Maximalbetrag, die danach automatisch verfällt. Manche Banken erlauben 5 bis 10 parallele virtuelle Karten mit eigenen Sub-Limits für Abos, Online-Shops und Reisen.

Virtuelle Kreditkarte Konzept

Artikel anhören
0:00

-0:00

26 Aufrufe

Autor:

Finalarm Redaktion

Themen in diesem Artikel:

  • Konzept: Wie eine virtuelle Karte technisch entsteht.
  • Stärken: Wo virtuelle Karten ihre Vorteile ausspielen.
  • Einmal-Karten: Wie Single-Use-Nummern den Schutz erhöhen.
  • Einsatz: Wo virtuelle Karten praktisch nützen.
  • Markt: Zahlen, Treiber, Entwicklung in Deutschland.
  • Mechanik: PSD2, 3-D Secure und Tokenisierung erklärt.
  • Wallets: Apple Pay, Google Pay und die Device Account Number.
  • Anbieter: Welche Banken und Fintechs welches Modell anbieten.
  • Recht: PSD2, IFR, BGB-Haftung und reale Risiken.

Wie virtuelle Kreditkarten technisch funktionieren

Eine virtuelle Kreditkarte ist im Kern ein Datensatz im Issuing-System der ausgebenden Bank. Drei Werte machen sie zur Karte: die 16-stellige PAN (Primary Account Number), das Ablaufdatum und der dreistellige CVV2 (auf physischen Karten als Kartenprüfziffer aufgedruckt). Zusammen bilden diese Felder den Track-2-äquivalenten Datensatz, den ein Acquirer wie PAYONE, Adyen oder Worldline braucht, um eine Online-Transaktion über das jeweilige Kartennetzwerk zu autorisieren — sei es ein Vier-Parteien-Netzwerk wie Visa oder Mastercard mit Issuer, Acquirer, Händler und Karteninhaber oder ein Drei-Parteien-Netzwerk wie Diners Club oder JCB, bei dem Issuer und Acquirer in einer Hand liegen.

Der entscheidende Unterschied zur Plastikkarte liegt im Vertriebsweg und im Träger. Die physische Karte muss gedruckt, embosst, in der Regel mit einem EMV-Chip (Standard EMV 4.4, herausgegeben vom Konsortium EMVCo) personalisiert und postalisch versandt werden — branchenüblich 5 bis 10 Werktage. Die virtuelle Karte überspringt diese Strecke: Der Datensatz wird im Backend der Bank generiert und direkt in der Banking-App angezeigt, oft binnen Sekunden nach Antragsbestätigung.

An klassischen POS-Terminals ohne NFC ist die virtuelle Karte praktisch nicht einsetzbar — es fehlt der Plastikträger mit Chip und Magnetstreifen. An NFC-fähigen Terminals funktioniert sie indirekt über eine Wallet wie Apple Pay oder Google Pay, weil dann das Smartphone die Rolle der Karte übernimmt. Für reine Online-Zahlungen genügt die PAN-Eingabe — und genau dort spielt die virtuelle Karte ihre Stärke aus.

Bei den meisten Banken kann die virtuelle Karte sofort nach Beantragung genutzt werden. Manche Anbieter erlauben sogar, mehrere virtuelle Karten parallel zu betreiben, jede mit eigenem Sub-Limit oder Verwendungszweck.

Vorteile und Grenzen virtueller Karten

Drei strukturelle Vorteile sprechen für eine virtuelle Karte — alle drei lassen sich auf die Tatsache zurückführen, dass kein physischer Träger erzeugt werden muss.

Sofortverfügbarkeit

Nach erfolgreicher Bonitätsprüfung steht die Karte binnen Minuten zur Verfügung. Das ist relevant in zwei Lagen: erstens beim spontanen Online-Kauf, etwa bei Last-Minute-Buchungen oder Sale-Aktionen mit knappem Zeitfenster. Zweitens bei Verlust oder Diebstahl der physischen Karte — die virtuelle Variante bleibt nutzbar, auch während die neue Plastikkarte per Post unterwegs ist. Wer regelmäßig international reist, kennt diesen Engpass: Sperranruf nach Skimming, Wartezeit auf den Ersatz, in der Zwischenzeit keine Zahlungsfähigkeit. Die virtuelle Karte überbrückt diese Lücke.

Höherer Schutz bei Datenlecks

Bei einem Datenleck beim Händler — etwa nach einem Magecart-Angriff auf einen Online-Shop, wie sie der Branchenverband Verizon in seinem jährlichen Data Breach Investigations Report seit Jahren dokumentiert — ist der Schaden räumlich begrenzt. Die virtuelle Karte kann ohne Wartezeit neu generiert werden, die alte PAN wird im Issuing-System deaktiviert. Bei einer physischen Karte würde dieselbe Maßnahme den postalischen Versand einer neuen Karte erfordern, mit den genannten 5 bis 10 Tagen Ausfallzeit.

Mehrere Karten parallel

Manche Banken erlauben fünf bis zehn virtuelle Karten gleichzeitig — eine für Streaming-Abos, eine für E-Commerce, eine für Reisen, eine für Werbeausgaben des Nebengewerbes. Bei Problemen mit einem Bereich bleiben die anderen Karten weiterhin funktionsfähig. Das Modell hat auch eine forensische Komponente: Wenn nur die „Abo-Karte“ verdächtige Buchungen zeigt, weiß man sofort, wo das Leck sitzt.

Die Grenzen sind ebenso strukturell. An Geldautomaten ohne NFC-Unterstützung lässt sich kein Bargeld abheben. In Ländern mit dünner NFC-Abdeckung — Teile Süd- und Osteuropas, große Regionen außerhalb der EU — bleibt eine physische Backup-Karte praktisch unverzichtbar. Auch viele Mietwagen-Stationen und Hotels verlangen weiterhin eine physische Kreditkarte für die Kaution; die virtuelle Karte über die Wallet wird oft nicht akzeptiert, weil die Mitarbeiter den Datenträger anfassen und in das Reservierungssystem eingeben wollen.

Einmal-Karten als zusätzliche Schutzschicht

Eine spezielle Variante sind Einmal-Karten (englisch single-use cards): Pro Online-Kauf wird eine neue virtuelle Kartennummer mit selbst gewähltem Maximalbetrag erzeugt. Nach der ersten Autorisierung verfällt die Nummer automatisch, weitere Belastungen sind technisch nicht mehr möglich.

Technisch hängt das daran, dass das Issuing-System einen Single-Authorization-Flag setzt: Sobald die erste 0100-Authorization-Message über das Kartennetzwerk eingeht, wird der PAN-Status auf „expired“ gesetzt, bevor ein zweiter Acquirer eine weitere Autorisierung anfragen kann. Mastercard nennt dieses Verfahren in seinen Spezifikationen Mastercard Send Single-Use Account Numbers, Visa führt es unter Visa Single-Use Virtual Account. In Deutschland bieten Einmal-Karten unter anderem die Hanseatic Bank für ihre Kreditkartenprodukte und einige Fintech-Player auf Basis von Issuing-Plattformen wie Marqeta oder Solaris an.

Sinnvoll sind Einmal-Karten in drei Lagen: erstens bei einmaligen Käufen bei unbekannten Händlern, bei denen kein wiederkehrendes Abo entstehen soll. Zweitens bei Diensten mit ungewollten „kostenlose Probemonat geht in Abo über“-Mechaniken, die die Branche im Marketingjargon „dark patterns“ nennt. Drittens bei B2B-Beschaffungen, wenn ein Einkäufer einen exakt definierten Betrag freigeben möchte, ohne dass der Verkäufer Zugriff auf die Hauptkartennummer bekommt.

📌 Good to know

Einmal-Karten sind besonders sinnvoll bei unbekannten Online-Händlern oder bei einmaligen Käufen, bei denen kein wiederkehrendes Abo entstehen soll. Die Karte kann nach dem einen Kauf nicht erneut belastet werden — selbst wenn die Daten in falsche Hände geraten.

Die Grenze der Einmal-Karte liegt dort, wo Händler nachträgliche Korrekturbuchungen brauchen — etwa beim Mietwagen-Final-Bill für Kraftstoff-Differenzen oder bei Hotel-Minibar-Nachbelastungen. Diese können auf der bereits verfallenen Einmal-Karte nicht mehr autorisiert werden, der Händler bleibt auf der Forderung sitzen und versucht alternative Inkassowege. Für klassische E-Commerce-Bestellungen mit vollständiger Bezahlung im Bestellprozess sind Einmal-Karten dagegen ideal.

Wo virtuelle Karten besonders nützen

Drei Anwendungsfelder sprechen besonders für virtuelle Karten — sie ergänzen die physische Karte, ersetzen sie aber selten vollständig.

Online-Shopping bei neuen Händlern

Wer bei einem unbekannten Online-Händler kauft, schützt sich durch eine virtuelle Karte oder Einmal-Karte mit niedrigem Maximalbetrag. Bei einem Datenleak oder Betrugsversuch ist der Schaden gedeckelt. Das wirkt vor allem dort, wo man auf Marktplätze ausweicht — etwa beim Kauf bei kleinen Direktvertriebs-Shops mit dünner Online-Reputation, oder beim Einkauf bei internationalen Händlern außerhalb der EU, wo Käuferschutz-Regeln weniger greifen.

Abos und wiederkehrende Belastungen

Streaming-Dienste, SaaS-Tools und Cloud-Backups belasten die Kreditkarte häufig über Jahre. Eine dedizierte virtuelle Karte für Abos schafft Übersicht — bei Sperrung wirkt sie sich nicht auf andere Karten-Funktionen aus. Wer in der Banking-App den monatlichen Saldo der „Abo-Karte“ sieht, erkennt schneller, ob ein Anbieter Preise erhöht hat oder ob ein längst gekündigtes Abo weiterläuft. Die Buchungsdisziplin verbessert sich erfahrungsgemäß messbar, sobald die Abo-Ausgaben aus dem Sammeltopf der Hauptkarte herausgelöst sind.

Reisen und Auslandskäufe

Auf Reisen lassen sich mit einer dedizierten virtuellen Karte gezielt Auslandsgebühren steuern. Wer eine zweite Karte mit gebührenfreien Auslandstransaktionen führt — etwa von DKB oder Hanseatic Bank — kann die virtuelle Variante davon im Ausland einsetzen, während die Hauptkarte für den Inlandsverbrauch unangetastet bleibt. Bei Verlust des Smartphones unterwegs ist nur das Wallet-Token kompromittiert, nicht die zugrunde liegende PAN, weil die Apple- bzw. Google-Implementierung die echte Kartennummer gar nicht auf dem Gerät speichert.

💡 Tip

Wer mehrere virtuelle Karten nutzt, sollte sie in der Banking-App klar benennen (‚Reisen‘, ‚Abos‘, ‚Online‘). Das vereinfacht die Übersicht in der Abrechnung und erleichtert die Sperrung einzelner Karten bei verdächtigen Transaktionen.

Marktkontext: Wie groß ist das Geschäft mit Kreditkarten in Deutschland

Um virtuelle Karten einordnen zu können, lohnt der Blick auf den deutschen Karten-Gesamtmarkt. Die Deutsche Bundesbank weist in ihrer jährlichen Zahlungsverkehrsstatistik regelmäßig rund 40 Millionen ausgegebene Kreditkarten in Deutschland aus — bei rund 84 Millionen Einwohnern eine Durchdringung von knapp der Hälfte, niedriger als in den USA oder Großbritannien, aber spürbar wachsend. Hinzu kommen rund 100 Millionen Debitkarten (Girocards inklusive), die zum Teil bereits auch als virtuelle Variante über Wallets bereitgestellt werden.

Der Wendepunkt für virtuelle Karten in Deutschland war die Kombination aus zwei Ereignissen: dem Marktstart von Apple Pay im Dezember 2018 und der schrittweisen Anwendung der Starken Kundenauthentifizierung (SCA) ab Januar 2021. Mit Apple Pay wurde die NFC-Schnittstelle im iPhone für Drittbanken geöffnet; mit der SCA stieg der Aufwand für klassische Online-Kartenzahlungen, was indirekt die Wallet-Nutzung — und damit den Bedarf an einer virtuellen, in der Wallet hinterlegbaren Karte — beschleunigte.

Die Europäische Zentralbank weist in ihren Statistiken zum bargeldlosen Zahlungsverkehr für die Euro-Zone seit 2021 zweistellige jährliche Wachstumsraten bei kartenbasierten Mobile-Wallet-Transaktionen aus. Treiber sind nicht primär das Volumen klassischer E-Commerce-Käufe, sondern die Verlagerung von kontaktlosen In-Store-Zahlungen hin zur Wallet. In Deutschland ist der Anteil der Karten-Transaktionen über mobile Endgeräte (Smartphone, Smartwatch) je nach Quelle inzwischen im hohen einstelligen bis niedrigen zweistelligen Prozentbereich aller Karten-Transaktionen — und die virtuelle Karte ist deren technische Voraussetzung.

Wer den Trend mitnimmt, profitiert doppelt: Die virtuelle Karte ist sofort verfügbar (statt 5 bis 10 Tagen Postversand), und sie lässt sich nahtlos in Apple Pay oder Google Pay aufnehmen, ohne dass eine physische Karte je das Bankschließfach des Issuers verlässt. Aus Bankensicht reduziert das die Produktionskosten pro Karte spürbar — eine Plastikkarte mit Versand kostet je nach Veredelung zwischen 1 und 8 Euro, eine rein virtuelle Karte deutlich weniger.

PSD2, Tokenisierung und 3-D Secure: die Mechanik dahinter

Die Sicherheits-Architektur hinter virtuellen Karten ruht auf drei Säulen: PSD2 mit der Pflicht zur Starken Kundenauthentifizierung, der EMVCo-Spezifikation für 3-D Secure 2.x und der Netzwerk-Tokenisierung von Visa und Mastercard.

PSD2 und Starke Kundenauthentifizierung

Die Zweite Zahlungsdiensterichtlinie der EU (Richtlinie 2015/2366/EU, in Deutschland umgesetzt im Zahlungsdiensteaufsichtsgesetz ZAG) verlangt seit dem 14. September 2019 für die meisten elektronischen Zahlungen eine Starke Kundenauthentifizierung — zwei der drei Faktoren „Wissen, Besitz, Inhärenz“. Bei einer Online-Kartenzahlung sind das in der Regel das Smartphone als Besitz-Faktor und die TAN-App-Bestätigung als Wissens- oder Inhärenz-Faktor (Biometrie). Die schrittweise Durchsetzung in Deutschland wurde Ende 2020 und Anfang 2021 abgeschlossen.

3-D Secure 2.x

Die technische Umsetzung der SCA bei Kartenzahlungen ist 3-D Secure in der Version 2.x, herausgegeben von der EMVCo. Der Ablauf in vereinfachter Form: Der Händler übermittelt während des Checkout-Prozesses Geräte- und Browser-Daten an den Acquirer, dieser leitet sie über das Kartennetzwerk an den Issuer weiter. Der Issuer entscheidet auf Basis seines Risikomodells (Höhe, Händler, Land, Verhaltensmuster), ob er die Transaktion still durchwinkt („frictionless flow“) oder eine SCA-Challenge auslöst. Wird die Challenge ausgelöst, springt die Banking-App auf, der Nutzer bestätigt per Biometrie oder TAN, der Issuer schickt die Zustimmung über das Netzwerk an den Acquirer zurück.

Für die virtuelle Karte ändert sich an diesem Ablauf nichts — sie nutzt denselben 3-D-Secure-2-Stack wie eine physische Karte. Der einzige Unterschied: Da die virtuelle Karte typischerweise direkt in derselben App lebt wie der zweite Authentifizierungsfaktor, ist der Übergang vom Bezahlvorgang zur Freigabe nahtloser als bei einer physischen Karte mit separater TAN-App eines anderen Anbieters.

Tokenisierung

Bei der Aufnahme einer virtuellen Karte in Apple Pay oder Google Pay wird die echte PAN durch ein Netzwerk-Token ersetzt, das Visa als Visa Token Service (VTS) und Mastercard als Mastercard Digital Enablement Service (MDES) bereitstellt. Auf dem Endgerät landet nicht die 16-stellige Original-PAN, sondern eine Device Account Number (DAN), die nur für genau dieses eine Endgerät gültig ist. Bei einer Transaktion kommt zusätzlich ein dynamisches Kryptogramm zum Einsatz, das pro Zahlung einmalig gilt. Wird das Endgerät gestohlen, bleibt die ursprüngliche PAN verborgen — das Token kann einzeln revoziert werden, ohne die zugrundeliegende Kartennummer zu kompromittieren.

Apple Pay, Google Pay und die Device Account Number

Die Wallet-Integration ist die zweite Hälfte des Versprechens virtueller Karten — ohne sie wäre die Karte praktisch auf reine Online-Käufe in Browser-Checkouts beschränkt. Apple Pay (seit Dezember 2018 in Deutschland), Google Pay (seit Juni 2018 in Deutschland) und Samsung Pay decken zusammen einen Großteil des Smartphone-Marktes ab; bei Wearables kommen Apple Watch und diverse Wear-OS-Geräte hinzu.

Die Aufnahme einer virtuellen Karte in eine Wallet folgt einem standardisierten Provisioning-Prozess: Der Nutzer wählt in der Banking-App „zu Apple Wallet hinzufügen“ oder „zu Google Wallet hinzufügen“, die App leitet eine signierte Anfrage über das Issuing-System an den Token Service Provider des Kartennetzwerks (VTS bei Visa, MDES bei Mastercard). Dieser erstellt eine Device Account Number, verknüpft sie mit dem Endgerät und liefert sie verschlüsselt zurück. Die echte PAN verlässt das Bankensystem dabei nicht; auf dem Smartphone speichert die Wallet nur die DAN und zugehörige kryptographische Schlüssel im sicheren Element (Secure Enclave bei Apple, StrongBox bei Android).

Bei der NFC-Zahlung am Terminal überträgt das Smartphone die DAN plus ein dynamisches Kryptogramm. Der Acquirer leitet beides an das Kartennetzwerk weiter, das die DAN intern auf die PAN abbildet, das Kryptogramm verifiziert und die Transaktion über die normale Autorisierungs-Strecke zum Issuer schickt. Der Issuer „sieht“ am Ende eine Belastung der echten Karte, der Händler sieht nur die DAN — das ist der eigentliche Datenschutz-Effekt: Selbst wenn der Händler kompromittiert wird, ist die echte PAN nicht im Datenbestand.

Für In-App-Zahlungen (zum Beispiel bei Lieferdiensten oder im App Store) funktioniert derselbe Mechanismus. Bei browserbasierten Online-Zahlungen über Apple Pay (auf Safari) oder Google Pay (auf Chrome) entfällt die manuelle PAN-Eingabe — der Nutzer bestätigt nur per Biometrie, die Wallet schickt DAN und Kryptogramm direkt an den Händler-Acquirer. Das senkt die Abbruchquote im Checkout messbar, weil weniger Eingabefelder ausgefüllt werden müssen.

Wichtig zu wissen: Die DAN ist gerätegebunden. Wer dieselbe virtuelle Karte auf iPhone, iPad und Apple Watch nutzt, hat drei verschiedene DANs — und kann jede einzeln in der Banking-App sperren, ohne die anderen zu beeinträchtigen. Bei einem Wechsel des Smartphones läuft die alte DAN aus, eine neue wird beim Re-Provisioning erzeugt.

Anbieter-Landschaft: Wer in Deutschland virtuelle Karten ausgibt

Der deutsche Markt für virtuelle Karten gliedert sich grob in drei Lager: klassische Banken-Issuer mit nachgerüsteter Wallet-Funktion, Fintech-Issuer mit Wallet-first-Konzept und Co-Brand-Karten mit angeschlossener virtueller Variante.

Klassische Banken

Die DKB stellt virtuelle Kreditkarten für ihre Visa-Card-Inhaber bereit; die Hanseatic Bank bietet das Modell für ihre GenialCard– und Co-Brand-Produkte; Barclays Deutschland hat virtuelle Karten für die Barclays Visa umgesetzt; die Commerzbank und die Sparkassen ziehen schrittweise nach. Der Vorteil bei klassischen Bankhäusern: Bonitätsprüfung und Kreditrahmen folgen vertrauten Mustern, die deutsche Einlagensicherung greift bei den Girokonten dahinter, der Kundenservice ist deutschsprachig erreichbar.

Fintech-Issuer

N26 hat virtuelle Karten von Anfang an als Standard-Feature etabliert — der Pakettarif N26 You erlaubt mehrere virtuelle Mastercards parallel, jeweils mit eigener PAN. Revolut bietet ähnliches und ergänzt das Angebot um echte Single-Use-Karten („Disposable Virtual Cards“), die nach einer Transaktion automatisch verfallen. bunq aus den Niederlanden, in Deutschland aktiv, kombiniert virtuelle Karten mit Sub-Konten („Bank of the Free“). Bei allen drei Anbietern ist die App-zentrierte Bedienung und die Geschwindigkeit der Aktivierung das eigentliche Versprechen.

Co-Brand-Karten

Co-Brand-Programme wie Lufthansa Miles & More Kreditkarten (ausgegeben über die DKB Mastercard), DeutschlandCard-Karten via Hanseatic Bank oder die ADAC Kreditkarte ziehen die virtuelle Variante in der Regel nach. Hier ist der Issuer im Hintergrund (etwa Landesbank Berlin für Miles & More oder die Hanseatic Bank für DeutschlandCard-Produkte) entscheidend, weil dessen App das Provisioning der virtuellen Karte steuert und die Loyalty-Punkteverbuchung an die Transaktionsdaten koppelt. Die Markenprägung der Co-Brand-Karte (Logo, Bonusprogramm) bleibt in Wallet-Darstellung erhalten, technisch nutzt sie aber den gleichen Tokenisierungs-Stack.

Für die Auswahl lohnt sich der Blick auf vier Kriterien: Wie viele parallele virtuelle Karten sind möglich? Gibt es echte Single-Use-Karten oder nur dauerhaft gültige virtuelle Karten? Wie schnell lassen sich Karten sperren und neu generieren? Welche Auslandsgebühren fallen an, wenn die virtuelle Karte im Ausland eingesetzt wird? Erfahrungsgemäß unterscheiden sich Banken hier deutlich, und die offiziellen Konditionsblätter beantworten nur einen Teil dieser Fragen.

Regulierung, Haftung und reale Risiken

Die rechtliche Einbettung virtueller Karten unterscheidet sich nicht grundlegend von der ihrer physischen Geschwister — aber die Mechanik der Haftung und der Daten-Pfade lohnt einen genaueren Blick.

BGB-Haftung bei Kartenmissbrauch

Bei nicht autorisierten Transaktionen — egal ob virtuelle oder physische Karte — gilt § 675u BGB: Der Zahlungsdienstleister (also die Bank) muss den Betrag unverzüglich erstatten, sofern keine grobe Fahrlässigkeit des Karteninhabers vorliegt. Bei einfacher Fahrlässigkeit haftet der Karteninhaber nach § 675v BGB bis maximal 50 Euro für Schäden, die vor einer Anzeige des Verlusts entstehen. Nach Anzeige übernimmt die Bank, wenn nicht grobe Fahrlässigkeit oder Vorsatz nachweisbar ist. Das gilt analog für die virtuelle Karte: Der entscheidende Moment ist die Sperrung in der Banking-App, ab dann ist die Haftungsgrenze gezogen.

IFR und die Interchange-Fee-Caps

Die Interchange Fee Regulation (Verordnung EU 2015/751) deckelt seit 2015 die Interbankenentgelte bei Kartenzahlungen in der EU: 0,2 Prozent bei Debitkarten, 0,3 Prozent bei Verbraucher-Kreditkarten. Diese Caps gelten für Visa- und Mastercard-basierte Karten unabhängig davon, ob sie als physische oder virtuelle Variante eingesetzt werden. Drei-Parteien-Netzwerke wie Diners Club oder JCB fallen teilweise nicht unter die IFR, weil bei ihnen Issuer und Acquirer in einer Hand liegen und die ökonomische Logik des Interchange-Fees-Modells nicht greift. Die Akzeptanzkosten im Handel liegen dort oft höher als bei Visa und Mastercard, weshalb die Akzeptanz solcher Drei-Parteien-Karten in Deutschland traditionell schlechter ausfällt. Für den Endkunden ist das nur indirekt relevant, weil Händler entweder Aufschläge erheben (in Deutschland für VK-Konsumkartenzahlungen seit 2018 nicht mehr zulässig) oder solche Drei-Parteien-Karten schlicht nicht akzeptieren. Bei der virtuellen Karte verschärft sich dieser Effekt nicht zusätzlich, weil das zugrunde liegende Netzwerk identisch bleibt — die Token-Logik ändert die Interchange-Mechanik nicht.

DSGVO und Datenflüsse

Datenschutzrechtlich sind virtuelle Karten kein Sonderfall, aber sie machen einen Datenpfad sichtbarer: Beim Aufnehmen der Karte in eine Wallet fließen Daten zum Token Service Provider des Kartennetzwerks (VTS/MDES), die Wallet-Betreiber Apple bzw. Google halten Geräte-Daten und Zahlungs-Metadaten, der Issuer hält die zugrundeliegende PAN-Belastung. Bei Single-Use-Karten verlängert sich der Lebenszyklus eines personenbezogenen Datensatzes nur unwesentlich — die kurze Existenz der Karte begrenzt die Speicherdauer beim Händler.

Reale Risiken jenseits der Schlagzeilen

Drei Risiken bleiben, die in der Werbeprosa der Anbieter meist unter den Tisch fallen. Erstens Phishing: Wer dazu verleitet wird, in der Banking-App eine 3-D-Secure-Challenge zu bestätigen, autorisiert die Transaktion — die virtuelle Karte schützt nicht vor menschlicher Fehlentscheidung. Zweitens Sub-Optimierungen im Risikomodell des Issuers: Bei einigen Banken laufen virtuelle Karten in höheren Risiko-Stufen, was zu mehr Fehl-Ablehnungen („false declines“) führt — bei Reisen oder ungewöhnlichen Beträgen besonders ärgerlich. Drittens die Abhängigkeit vom Smartphone: Stirbt der Akku oder verliert man das Gerät, ist auch die virtuelle Karte temporär nicht erreichbar, solange nicht ein zweites Gerät provisioniert ist. Eine physische Backup-Karte im Geldbeutel bleibt für Vielreisende deshalb pragmatisch.

Häufig gestellte Fragen

Q

Funktioniert eine virtuelle Kreditkarte im stationären Handel?

Nur über Mobile-Wallet und NFC. An älteren Terminals ohne NFC funktioniert sie nicht — der Chip und der Magnetstreifen fehlen physisch. In Regionen mit moderner Terminal-Infrastruktur ist die Wallet-Nutzung Standard, in anderen Regionen kann eine physische Backup-Karte sinnvoll sein.

Q

Kann ich mehrere virtuelle Karten parallel nutzen?

Bei vielen Banken ja. Manche Anbieter erlauben 5 bis 10 parallele virtuelle Karten mit jeweils eigenem Sub-Limit. Wer Abos, Online-Käufe und Reisen sauber trennen möchte, profitiert davon — bei Problemen mit einer Karte bleiben die anderen funktionsfähig.

Q

Wie unterscheidet sich eine virtuelle Karte von einer Einmal-Karte?

Eine reguläre virtuelle Karte ist dauerhaft gültig und kann mehrfach belastet werden. Eine Einmal-Karte wird pro Einzeltransaktion erzeugt und verfällt nach der Buchung. Einmal-Karten bieten den höchsten Schutz bei unbekannten Händlern, sind aber für Abos und wiederkehrende Käufe ungeeignet.

Q

Bekomme ich eine virtuelle Karte ohne SCHUFA?

Bei klassischen Kredit-Varianten nein — eine virtuelle Kreditkarte mit Kreditrahmen erfordert dieselbe Bonitätsprüfung wie eine physische Karte. Bei Prepaid- und Debit-Varianten als virtuelle Karte entfällt die SCHUFA-Abfrage; das Modell ist dann allerdings auf Guthaben oder direkte Girokonto-Belastung beschränkt.

Q

Was passiert mit der virtuellen Karte beim Verlust des Smartphones?

Verloren geht nur das gerätegebundene Wallet-Token (DAN), nicht die zugrundeliegende PAN. Wer in der Banking-App das Token sperrt — über „Karte aus Wallet entfernen“ — deaktiviert die NFC-Zahlfunktion sofort. Die virtuelle Karte selbst bleibt nutzbar, sobald sie auf einem Ersatzgerät neu provisioniert wird. Apple-Find-My und Google-Find-My-Device erlauben zusätzlich eine Fernsperrung der Wallet.

Autor:

Finalarm Redaktion

Kreditkarten-Experte

Weitere News



Beliebteste Artikel auf Finalarm

Stöbere auch in den übrigen Inhalten von Finalarm

  • Commerzbank App: Funktionen, Download & Mobile Banking

    Commerzbank App: Funktionen, Download & Mobile Banking

    Die Commerzbank App bietet umfassende Mobile Banking-Funktionen für die digitale Kontoverwaltung unterwegs. Von Überweisungen über Kontoeinsicht bis zur Finanzplanung – alle wichtigen Features werden detailliert erklärt. Der Ratgeber hilft bei Installation, Einrichtung und optimaler Nutzung der Banking-App.

  • Deutsche Bank App: Funktionen, Download & Mobile Banking

    Deutsche Bank App: Funktionen, Download & Mobile Banking

    Die Deutsche Bank App ermöglicht umfassendes Mobile Banking mit Kontoübersicht, Überweisungen, Wertpapierhandel und Finanzmanagement. Dieser Ratgeber beleuchtet alle Funktionen, Sicherheitsaspekte und praktische Tipps zur Nutzung. Erfahrungen, häufige Probleme und Lösungen werden detailliert dargestellt.

  • Kreditkarten im Verfügungsrahmen-Vergleich: Worauf es wirklich ankommt

    Kreditkarten im Verfügungsrahmen-Vergleich: Worauf es wirklich ankommt

    Bandbreiten reichen von 500 Euro bei Einsteigerkarten bis 25.000 Euro bei individuell vereinbarten Premium-Karten. Neben dem Gesamtrahmen entscheiden Sub-Limits für Bargeldverfügung und Online-Zahlungen über die praktische Nutzbarkeit. Getrennte Tageslimits sind oft restriktiver als der nominelle Rahmen — eine Karte mit 8.000 Euro Limit kann ein Tages-Bargeld-Limit von nur 500 Euro haben.