Ist Giropay 2026 in deutschen Online-Casinos noch verfügbar?

Nein. Giropay wurde zum 31. Dezember 2024 als Marke und als operativer Service eingestellt. Seit Januar 2025 nehmen weder lizenzierte deutsche Online-Casinos noch internationale Anbieter Giropay-Zahlungen entgegen oder zahlen über diese Schiene aus.

Warum wurde Giropay überhaupt eingestellt?

Drei Faktoren kamen zusammen: ein anhaltend niedriger Marktanteil von rund 0,4 Prozent im deutschen E-Commerce, jährliche Verluste der Betreibergesellschaft Paydirekt von rund 8 Millionen Euro, und die strategische Verschiebung der trägerschaftlichen Banken hin zur europäischen Wero-Lösung.

Was ist die offizielle Nachfolge-Methode von Giropay?

Wero, die Wallet-Lösung der European Payments Initiative. Sie ist im Februar 2026 in Deutschland mit rund 46 Millionen Konten von 16 angeschlossenen Banken gestartet.

Welches Einzahlungslimit gilt für deutsche lizenzierte Online-Casinos?

Das anbieterübergreifende monatliche Einzahlungslimit liegt bei 1 000 Euro nach § 6c GlüStV 2021 — gerechnet als Summe über alle deutschen lizenzierten Anbieter zusammen, nicht pro Casino. Seit September 2023 können Spieler unter Bonitätsprüfung ein erhöhtes LUGAS-Limit bis zu 10 000 Euro pro Monat beantragen.

Konnte man früher mit Giropay aus dem Casino auszahlen lassen?

Nein. Giropay war architektonisch eine Einbahn-Methode: Einzahlung zum Händler, keine Rückrichtung. Auszahlungen liefen damals fast immer über klassische SEPA-Banküberweisung, oft mit zwei bis drei Werktagen Laufzeit.

Welche Online-Casinos haben eine deutsche Lizenz mit Giropay-Vergangenheit?

Stand 26. Mai 2025 hatten nur fünf Online-Casino-Operationen eine deutsche Lizenz für klassische Tischspiele — vier davon über Schleswig-Holstein. Maßgeblich ist 2026 die aktuelle GGL-Lizenz und die Whitelist-Eintragung, nicht die historische Methodenliste.

Sind frühere Giropay-Casinos heute pauschal seriös?

Nein, die Methodenhistorie ist kein Seriositätsmerkmal. Maßgeblich ist 2026 die Lizenz — GGL für virtuelle Automatenspiele bundesweit, Innenministerium Schleswig-Holstein oder Bayern für klassische Tischspiele.

AES – giropaycasino-de

Eine Aussage, die ich in Marketing-Materialien deutscher Casinos so oft gelesen habe, dass sie für mich zur leeren Floskel wurde: „AES-256-Verschlüsselung schützt Ihre Daten.“ Technisch ist das wahr. Praktisch ist es eine Aussage, die ungefähr so aussagekräftig ist wie „Unser Auto hat vier Räder.“ AES-256 ist die Eintrittskarte, nicht das Sicherheitskonzept. Wer die Schichten dahinter versteht, kann eine ehrliche Antwort darauf geben, wo eine Casino-Bankzahlung wirklich abgesichert ist — und wo das Marketing aufhört und der Eigenschutz beginnt.

Was AES-256 leistet — und was nicht

Eine kurze Geschichte: ein Spieler schrieb mir vor zwei Jahren mit der Frage, ob er sich Sorgen machen müsse, dass sein Casino „nur“ AES-128 statt AES-256 verwende. Meine Antwort hat ihn überrascht: für die meisten Anwendungen ist diese Differenz irrelevant — und für das, was er befürchtete, bringt selbst AES-256 keinen besseren Schutz.

AES, der Advanced Encryption Standard, ist ein symmetrisches Verschlüsselungsverfahren. Es wandelt Klartextdaten mithilfe eines Schlüssels in unleserliche Bytes um und macht den Vorgang ohne diesen Schlüssel praktisch unumkehrbar. AES-256 verwendet einen 256 Bit langen Schlüssel, AES-128 einen 128 Bit langen. Beide gelten gegen praktisch alle realistischen Angriffsszenarien als sicher. Die Lücke zwischen ihnen wird erst in einer fernen post-quantum Zukunft relevant.

Was AES-256 nicht leistet: es schützt nicht davor, dass jemand den Schlüssel selbst stiehlt. Es schützt nicht davor, dass der Endpunkt der Verbindung kompromittiert ist. Es schützt nicht davor, dass die Daten nach der Entschlüsselung in einer unsicheren Datenbank landen. AES ist eine Werkzeugschicht, kein Sicherheitssystem. Wer das beworbene AES-256 hört, hört eine Selbstverständlichkeit, kein Differenzierungsmerkmal.

TLS und HTTPS im Casino-Traffic

Hier wird es konkret. Die Verschlüsselung, die zwischen Spieler-Browser und Casino-Server tatsächlich läuft, heißt Transport Layer Security — TLS — und in ihrer aktuellen Inkarnation TLS 1.3. TLS 1.2, das ältere Standardprotokoll, ist bei lizenzierten deutschen Casinos 2026 weitgehend abgelöst, gilt aber technisch noch als sicher konfiguriert.

TLS leistet drei Dinge gleichzeitig. Es verschlüsselt die Verbindung — typischerweise mit AES als Algorithmus im Hintergrund, weshalb AES-256 als Bewerbungsargument so verbreitet ist. Es authentifiziert den Server gegenüber dem Browser über ein Zertifikat, das durch eine vertrauenswürdige Zertifizierungsstelle ausgestellt ist. Und es gewährleistet die Integrität der Daten — wenn ein Angreifer in der Mitte etwas verändert, bemerkt der Browser das.

Für Giropay-Casinos zur Hochzeit von 2018 bis 2024 war diese Schicht der zentrale Schutzmechanismus für den HTTP-Verkehr. Bei 45 Millionen registrierten Nutzern bedeutete das gigantische Datenströme von Login-Daten, Spielständen und Zahlungsbestätigungen, die alle über TLS abgesichert waren. Was TLS allerdings nicht abdeckte, war die TAN-Übermittlung selbst — die lief, je nach Variante, über SMS-Kanäle oder app-interne Push-Mechanismen mit eigenen Sicherheitsprotokollen.

Eine pragmatische Prüfung, die jeder Spieler in zehn Sekunden machen kann: das Schloss-Symbol in der Adresszeile anklicken, das Zertifikat anschauen, prüfen, ob es auf den richtigen Domain-Namen ausgestellt ist und von einer bekannten CA stammt. Wer dort eine Warnung sieht, hat ein Problem unabhängig davon, ob das Casino AES-256 oder AES-128 verwendet.

Es lohnt sich, einen häufigen Irrtum zu klären: TLS-Verschlüsselung sagt nichts darüber aus, ob die Gegenseite vertrauenswürdig ist. Ein Phishing-Casino mit gefälschter Domain kann technisch saubere TLS-Verbindungen anbieten — das Zertifikat ist dann zwar gültig für die gefälschte Domain, aber eben nicht für die echte Marke. Genau hier setzen viele erfolgreiche Angriffe an: der Spieler sieht das Schloss, klickt weiter, übergibt seine Login-Daten an die Phishing-Maske. Das Schloss ist eine Voraussetzung, kein Echtheitsbeweis.

Wo die Verschlüsselung aufhört

Hier wird es interessant. AES-256 und TLS schützen den Transportweg. Sie schützen nicht den Endpunkt. Auf dem Server des Casinos liegen die Daten nach der Entschlüsselung im Klartext, und ihre Sicherheit hängt von den Datenbank-Konfigurationen, den Zugriffsrechten und der internen Compliance-Architektur ab. An dieser Stelle wird die Frage relevant, mit welchem Anbieter ein Spieler überhaupt zu tun hat.

Die GGL führte 2024 insgesamt 231 Untersagungsverfahren durch und überprüfte über 1 700 Webseiten illegaler Anbieter. Rund 450 Seiten wurden unzugänglich gemacht, weitere 657 durch Geo-Blocking blockiert. Diese Zahlen verraten etwas Wichtiges über die Endpunkt-Sicherheit: ein nicht-lizenzierter Anbieter, der formal saubere TLS-Verbindungen anbietet, hat keinerlei regulatorische Verpflichtung zur sauberen Datenverarbeitung dahinter. Die Verschlüsselung am Transportweg ist Voraussetzung, nicht Garantie.

Bei lizenzierten Anbietern liegt die Hürde höher. Die GGL-Lizenzierung verlangt ein dokumentiertes Informationssicherheits-Management-System nach ISO 27001 oder einem gleichwertigen Standard. Das bedeutet Backup-Strategien, Logging, Zugriffsrechte-Management und regelmäßige Penetration-Tests. AES-256 ist in diesem System ein Baustein, nicht das Fundament.

Diese ISMS-Pflicht ist ein Aspekt, der in der Spielerkommunikation fast nie auftaucht — vielleicht weil er sich nicht griffig vermarkten lässt. Trotzdem ist sie aus regulatorischer Sicht der eigentlich relevante Punkt. Ein Anbieter, der seine Kryptographie betont, aber sein Informationssicherheits-Audit nicht zeigen kann oder will, verkehrt die Prioritäten. Verschlüsselung schützt die Datenpakete unterwegs. ISO 27001 schützt das gesamte Ökosystem rund um diese Pakete.

Die noyb-Beschwerde und Datenschutz bei Giropay

Ein Aspekt, der bei Giropay regelmäßig untergeht: die Beschwerde, die die Datenschutz-Initiative noyb im Jahr 2022 gegen Paydirekt einreichte. Vorwurf war ein systematischer DSGVO-Verstoß bei der Verarbeitung von Transaktionsdaten, insbesondere die fehlende Möglichkeit, der weitergehenden Verwendung der Daten zu widersprechen.

Das war eine wichtige Erinnerung daran, dass Verschlüsselung und Datenschutz zwei verschiedene Themen sind. AES-256 verhindert, dass Dritte mitlesen können. Es verhindert nicht, dass der Anbieter selbst die Daten für Zwecke verwendet, denen der Nutzer nicht explizit zugestimmt hat. Die noyb-Beschwerde wurde damals nicht zu einer Großen Welle, aber sie führte zu strukturellen Anpassungen in der Datenverarbeitung der Paydirekt GmbH bis zur Abschaltung.

Für die heutigen Bankmethoden ist das eine relevante Lehre. Wer über Trustly, Klarna oder einen ähnlichen Aggregator einzahlt, gibt diesem Anbieter die Banking-Login-Daten zur einmaligen Verwendung. Die DSGVO-konforme Weiterverarbeitung dieser Daten — Aggregation, Speicherung, Weitergabe an Bonität-Scoring-Dienste — ist eine eigene Schicht, die mit AES-256 nichts zu tun hat. Hier hilft nur ein Blick in die Datenschutzerklärung, und zwar bevor der Login geklickt wird.

Was am Ende bleibt: AES-256 ist ein notwendiger Mindeststandard, aber kein hinreichender Sicherheitsbeweis. Wer ein Casino nach Verschlüsselung beurteilt, beurteilt nur, ob die Eingangstür ein Schloss hat. Ob das Haus dahinter abgesichert ist, entscheidet sich an anderen Stellen — der Lizenz, der Aufsicht, dem Datenschutz, der internen Compliance. Eine ergänzende Schicht, die im selben Atemzug wichtig wird, ist das historische Authentifizierungs-Verfahren — ein Blick auf das TAN-Verfahren in seiner historischen Rolle rundet das technische Bild ab.

Ist AES-256 für Casino-Bankzahlungen ausreichend?

Als Verschlüsselungsschicht ja. AES-256 ist gegen alle realistischen Angriffe sicher und wird auch bei der höchsten Stufe staatlicher Datenklassifizierung verwendet. Für die Gesamtsicherheit einer Casino-Transaktion ist sie aber nur einer von mehreren Bausteinen — Lizenz, Aufsicht und Endpunktsicherheit zählen mindestens genauso.

Welche Daten sieht das Casino bei einer Bank-Direkt-Zahlung?

Das Casino sieht den Namen des Kontoinhabers, die IBAN und die Bestätigung der erfolgreichen Transaktion. Es sieht nicht das Banking-Passwort, nicht die TAN und nicht die Kontoauszüge. Diese Trennung war zu Giropay-Zeiten Standard und gilt für SEPA Instant, Trustly und Wero identisch.

Wer haftet bei einem Datenleck im Casino?

Bei lizenzierten DE-Casinos der Anbieter selbst, im Rahmen der DSGVO-Haftung. Geschädigte Spieler können Schadenersatzansprüche geltend machen und sich bei der zuständigen Landesdatenschutzbehörde beschweren. Bei Anbietern ohne deutsche Lizenz ist die Durchsetzung deutlich schwieriger, weil keine direkte Aufsichtsbeziehung besteht.

AES-256 und TLS 1.2 bei Casino-Bankzahlungen: was die Technik leistet und wo Risiken bleiben

Sportvorhersagen

Was AES-256 leistet — und was nicht

TLS und HTTPS im Casino-Traffic

Wo die Verschlüsselung aufhört

Die noyb-Beschwerde und Datenschutz bei Giropay