Die Auswirkungen der neuen Zahlungsaufsicht auf Nutzer von Apple Pay in Deutschland

Seit dem Dezember 2018 kann man in Deutschland mit Apple Pay bezahlen und seit sieben Jahren ist es bei vielen zum Standard geworden, wenn sie mit ihrem iPhone kontaktlos bezahlen. Was viele Apple-Pay-Nutzer dabei aber nicht auf dem Radar haben, ist, dass sich im Hintergrund einiges ändert, oder besser: dass sich die Aufsicht ändert.

40 Zahlungsdienstleister stehen bei der GGL unter Beobachtung

Im Tätigkeitsbericht 2024, den die Gemeinsame Glücksspielbehörde der Länder (GGL) am 27. Juni 2025 veröffentlicht hat, heißt es, dass sie insgesamt 231 Untersagungsverfahren gestellt und mehr als 1.700 Internetseiten kontrolliert hat. Realisiert wurde das Ganze über das sogenannte Payment-Blocking.

Die Behörde hat Zahlungsdienstleister per Anordnung aufgefordert, Überweisungen an lizenzlose Anbieter zu sperren. Die rechtlich entscheidende Grundlage liegt in einem Beschluss des Verwaltungsgerichts Halle vom 2. Oktober 2024, durch den ein Schweizer Zahlungsdienstleister dazu verpflichtet wurde, alle unerlaubten Angebote, nicht nur jene, die dort namentlich genannt wurden, zu sperren. Seit diesem Tag spielen Ländergrenzen bei der Umsetzung deutscher Vorgaben kaum noch eine Rolle.

Die Wirkung dieser Praxis ist messbar: 450 Seiten waren laut GGL Ende 2024 wegen Untersagungsverfügungen nicht mehr aus Deutschland erreichbar, weitere 657 durch Geo-Blocking auf Basis des Digital Services Act. Branchenbeobachter berichten Anfang 2026, dass die GGL die Liste blockierter Zahlungsdienstleister auf mehr als 40 ausgeweitet habe — eine Zahl, die die Behörde selbst bislang nicht offiziell bestätigt hat. Die Stoßrichtung ist trotzdem eindeutig.

Die Gemeinsame Glücksspielbehörde der Länder hat ihre Kontrolle über das sogenannte Payment-Blocking ausgeweitet, 2026 treten mit einer neuen Fassung des Glücksspielstaatsvertrags Regelungen in Kraft, und die Bundesanstalt für Finanzdienstleistungsaufsicht nimmt die Zahlungsdienstleister unter die Lupe. Was sich daraus für iPhone-Wallets ergibt, ist mehr Routinevorgang als Spektakel. Aber für eine Plattform, deren Sicherheitsversprechen auf Tokenisierung und Secure Element basiert, lohnt sich der genaue Blick.

Das können Secure Element und Device Account Number leisten

Für Apple Pay ist diese Entwicklung weder Bedrohung noch Vorteil, sondern Kontext. Die technische Architektur von Apple Pay arbeitet mit einer Device Account Number (DAN), die im Secure Element des iPhones gespeichert wird. Die echte Kartennummer verlässt das Gerät nicht. Stattdessen wird bei jeder Transaktion ein dynamischer, einmaliger Sicherheitscode generiert. Apple selbst sieht laut eigener Sicherheitsdokumentation keine Transaktionsdaten, die sich auf einzelne Nutzer zurückführen lassen.

Das ist kein neues System, aber es bekommt 2026 einen neuen Stellenwert. Wenn deutsche Aufsichtsbehörden Geldflüsse zwischen Bankkunden und Zahlungsempfängern stärker kontrollieren, bleibt die Tokenisierung selbst unangetastet. Apple Pay verschlüsselt die Transaktion auf der Geräteebene. Die Aufsicht setzt eine Ebene tiefer an, nämlich beim Zahlungsdienstleister, der die Karten– oder Wallet-Transaktion am Ende abwickelt. Mit iOS 26 hat Apple das System auf gerätespezifische, verschlüsselte Einmalcodes erweitert. Praktische Konsequenz für den Nutzer: keine. Compliance und Tokenisierung laufen parallel.

MCC 7995 und der Code, den niemand sieht

Jede Kartenzahlung trägt einen vierstelligen Merchant Category Code. Visa und Mastercard verwenden ihn, um Branchen zu klassifizieren. Für lizenzierte Glücksspielanbieter ist es MCC 7995. Der Code ist für den Nutzer unsichtbar, entscheidet aber, ob eine Bank eine Transaktion freigibt, ob zusätzliche Prüfungen greifen und ob ein Issuer im Echtzeitsystem STIP Zahlungen blocken kann. In der iGaming-Branche liegt die Ablehnungsquote bei MCC-7995-Transaktionen branchenweit bei 30 bis 40 Prozent gegenüber 5 bis 10 Prozent im sonstigen E-Commerce — eine Zahl, die der Spezialdienstleister iGaming Payment Solutions regelmäßig dokumentiert. Apple Pay verändert daran nichts, weil die Tokenisierung den MCC nicht ersetzt, sondern nur die Kartendaten verschleiert.

Für Nutzer der 95 Online-Spielotheken mit gültiger GGL-Lizenz (Stand April 2026) heißt das: Die Zahlungsabwicklung über Apple Pay funktioniert reibungslos, weil die regulierten Anbieter ihre Compliance-Anforderungen erfüllen. Das ist auch der Kontext, in dem viele Neukunden zuerst Promotionen sichten, bevor sie ihre Apple-Wallet zum Spielkonto verknüpfen, weil Angebote wie ein 20€ ohne Einzahlung Casino oder ein 30 Euro Bonus ohne eigenen Mittelfluss getestet werden können. Anonyme Zahlungsmethoden sind in regulierten Glücksspiel-Transaktionen nach deutschem Recht ohnehin verboten, ebenso Kryptowährungen, was die Rolle von verifizierten Wallet-Lösungen wie Apple Pay strukturell stärkt. Ein nicht lizenzierter Anbieter könnte ein gleichlautendes Promo-Versprechen formulieren, hätte aber unter aktueller GGL-Praxis Schwierigkeiten, Apple Pay als regulärer Zahlungsweg zu integrieren.

Was die Novelle ab Mai 2026 für iPhone-Nutzer ändert

Am 19. März 2025 entschied das Bundesverwaltungsgericht in Leipzig, dass Access-Provider wie Telekom oder Vodafone nicht zu Netzsperren gegen illegale Glücksspielseiten verpflichtet werden können. Die rechtliche Grundlage im damals geltenden Staatsvertrag reichte nicht aus. Die Länder haben darauf mit dem Zweiten Glücksspieländerungsstaatsvertrag reagiert, der im Frühjahr 2026 in Kraft tritt und DNS-Sperren erstmals explizit anordnet. Für iPhone-Nutzer bedeutet das im Alltag: Beim Aufruf bestimmter Domains liefert der Provider nicht mehr die echte IP-Adresse, sondern leitet auf eine Informationsseite der GGL um. Apple Pay selbst ist davon nicht betroffen, weil die Zahlungsabwicklung über andere Kanäle läuft als die DNS-Auflösung.

Auf europäischer Ebene wird die deutsche Linie zur Schablone. Ende 2025 unterzeichneten Glücksspielregulierer aus Österreich, Frankreich, Deutschland, Großbritannien, Italien, Portugal und Spanien eine gemeinsame Erklärung mit Forderungen nach harmonisierten Payment-Blocking-Mechanismen. Die GGL kann daran formal nicht als Co-Unterzeichnerin teilnehmen, weil Deutschland föderal organisiert ist. Sie unterstützt das Vorhaben trotzdem. Für Apple, das seine Wallet als europaweite Plattform versteht, ergibt sich daraus ein Geflecht aus 27 nationalen Regimen, die alle ähnlich, aber nicht identisch funktionieren.