Kontakt

Einfo@sza.de
T+49 621 4257 0

Anfahrt & Kontakt

Soziale Netzwerke

Tpirot sza arch aust hires 070 87 A5246

In a Nutshell | 25.02.26

PSD3 & PSR – Was Unternehmen beachten müssen

Die EU überarbeitet mit PSD3 und PSR die Zahlungsdiensteregulierung grundlegend. Für Zahlungsinstitute, E-Geld-Institute und Banken bedeutet das neue Pflichten bei Kundenauthentifizierung, Betrugshaftung und Open Banking. Wir erläutern die wichtigsten Änderungen und zeigen, wie sich betroffene Unternehmen vorbereiten können.

Das Wichtigste in Kürze

  1. Zeitplan: Wir gehen davon aus, dass die endgültigen Texte zu PSD3/PSR in den kommenden Wochen fertiggestellt und vom Rat und vom Europäischen Parlament offiziell verabschiedet werden, wobei die früheste Anwendung für das zweite Halbjahr 2027 vorgesehen ist, möglicherweise verschoben auf Anfang 2028, wenn die vom Rat vorgeschlagene 24-monatige Umsetzungsfrist angenommen wird.
  2. Evolutionär, nicht revolutionär: Das neue Gesetzespaket baut auf PSD2 auf, anstatt es grundlegend umzugestalten, erfordert jedoch dennoch erhebliche operative, technische und Compliance-Änderungen seitens der Zahlungsdienstleister.
  3. Erweiterte Haftung bei Betrug: Verbraucherorientierte Zahlungsdienstleister sehen sich einer erweiterten Haftungsregelung gegenüber, die neben den bestehenden Verpflichtungen für nicht autorisierte und fehlerhafte Transaktionen auch Betrug durch autorisierte Push-Zahlungen (Identitätsbetrug) abdeckt.
  4. Strengere Anforderungen an das Open Banking: ASPSPs müssen spezielle Schnittstellen für Drittanbieter (TPPs) implementieren, Kunden-Dashboards für die Einwilligungsverwaltung bereitstellen und sich mit eingeschränkteren Gründen für die Verweigerung von Bankdienstleistungen gegenüber anderen Zahlungsdienstleistern auseinandersetzen.

Was ist PSD3/PSR?

PSD3 (die dritte Zahlungsdiensterichtlinie) und PSR (die Zahlungsdiensterichtlinie) stellen die nächste Generation der Zahlungsdienstegesetzgebung der EU dar und bauen auf dem durch PSD2 geschaffenen Rahmen auf. Das Gesetzespaket wurde im Juni 2023 von der Europäischen Kommission vorgeschlagen, und die Entwürfe des Rates der EU wurden am 18. Juni 2025 vom COREPER gebilligt, sodass der Trilogprozess beginnen konnte.

Eine wichtige strukturelle Änderung besteht darin, dass PSD3 zwar weiterhin eine Richtlinie ist (die eine nationale Umsetzung erfordert), viele Verhaltensvorschriften nun jedoch in der direkt anwendbaren PSR enthalten sind. Damit soll eine einheitlichere Anwendung in allen Mitgliedstaaten gewährleistet und der Spielraum für unterschiedliche nationale Umsetzungen, der für PSD2 charakteristisch war, verringert werden. Ein weiteres strukturelles Element ist, dass die ehemals unabhängige EMD2 in den neuen Rahmen integriert wurde und EMI somit neben PI reguliert werden.

Wie sieht der Zeitplan aus?

Der Gesetzgebungsprozess befindet sich derzeit in der Trilogphase, wobei ein starkes Interesse daran besteht, beide Dossiers in den kommenden Wochen abzuschließen. Was den Zeitplan für die Umsetzung betrifft, so sieht der ursprüngliche Vorschlag der Kommission eine Umsetzungsfrist von 18 Monaten vor, während der Rat eine Verlängerung auf 24 Monate (bzw. 21 Monate im Entwurf der Vereinbarung) vorschlägt.

  • Der ursprüngliche Vorschlag der Kommission sieht eine Umsetzungsfrist von 18 Monaten vor, während der Rat eine Verlängerung auf 24 Monate (bzw. 21 Monate im Entwurf der Vereinbarung) vorschlägt.
  • Somit dürfte die PSD3/PSR frühestens im zweiten Halbjahr 2027 in Kraft treten, wobei sich dies auf Anfang 2028 verschieben könnte, wenn es dem Rat gelingt, die Umsetzungsfrist zu verlängern.
  • Bestehende Zahlungsinstitute (PIs) und E-Geld-Institute (EMIs) haben gemäß dem Text des Rates zweieinhalb Jahre Zeit (anstatt zwei Jahre in anderen Versionen), um die Einhaltung der neuen Aufsichtsanforderungen nachzuweisen.
  • Die Anforderungen zur Bestätigung des Zahlungsempfängers und die entsprechende Haftungsregelung sollten 24 Monate nach Inkrafttreten der Verordnung gelten.

Welche Unternehmen sind betroffen?

Die neue Regelung betrifft verschiedene Parteien auf unterschiedliche Weise:

Betroffene Einrichtungen

Wichtigste Auswirkungen

E-Geld-Institute (EMIs)Müssen aufgrund der Zusammenlegung der Regelungen für E-Geld und Zahlungen ihre Vorgehensweise zum Schutz von Geldern überdenken; müssen Gelder bis zum Ende des folgenden Geschäftstages schützen; müssen Vertreiber bei den Aufsichtsbehörden registrieren.
Verbraucherorientierte ZahlungsdienstleisterSind mit einer verschärften Haftungsregelung konfrontiert, die auch Betrug durch autorisierte Push-Zahlungen (Identitätsdiebstahl) umfasst; haften gegenüber Verbrauchern möglicherweise länger als die ursprünglich in der PSD1 festgelegte Frist von 13 Monaten.
Kontoführende Zahlungsdienstleister (ASPSPs)/BankenDeutlich weniger Ermessensspielraum bei der Erbringung von Bankdienstleistungen für andere Zahlungsdienstleister; müssen SCA-Lösungen mit Schwerpunkt auf Barrierefreiheit überprüfen; müssen spezielle Schnittstellen für den Zugang von Drittanbietern und Kunden-Dashboards für die Einwilligungsverwaltung bereitstellen; müssen Details zu Konten/Kunden weitergeben, bei denen der Verdacht auf betrügerische Aktivitäten besteht.
Drittanbieter (TPPs)Profitieren von klareren Regeln zu verbotenen Hindernissen; Zugang erfolgt nun in erster Linie über spezielle Schnittstellen.
Krypto-Asset-Dienstleister (CASPs)Benötigen möglicherweise eine doppelte Zulassung, um Zahlungsdienste in Form von E-Geld-Token (EMTs) anzubieten; der Ratstext schlägt vor, dass eine CASP-Zulassung nicht ausreicht, um als Zahlungsdienstleister zu gelten.
Online-Plattformen/HandelsvertreterDiejenigen, die die Ausnahmeregelung für Handelsvertreter in Anspruch nehmen, müssen prüfen, ob sie weiterhin ohne Zulassung tätig sein können oder eine Partnerschaft mit einem Zahlungsdienstleister eingehen müssen.
ATM-BetreiberUnterliegen einer neuen, weniger strengen Registrierungsregelung.
Technische DienstleisterKönnen einer indirekten Regulierung unterliegen; diejenigen, die SCA-Elemente bereitstellen und überprüfen, sind als ausgelagerte Dienstleister zu behandeln.

Was sind die wichtigsten Änderungen?

Starke Kundenauthentifizierung (SCA)

SCA-Elemente müssen nicht mehr aus verschiedenen Kategorien stammen (d. h. es können auch zwei Wissenselemente herangezogen werden). Papierbasierte und MOTO-Transaktionen fallen nicht unter die SCA-Anforderungen, sofern relevante Sicherheitsprüfungen eine andere Form der Authentifizierung zulassen. Die SCA-Lösungen der Zahlungsdienstleister müssen auf Menschen mit Behinderungen, ältere Menschen, Menschen mit geringen digitalen Kenntnissen und Menschen ohne Zugang zu digitalen Kanälen zugeschnitten sein – SCA darf nicht vom Zugang zu einem Smartphone abhängig sein. Der Zugang zu AISP wird für 180 Tage nach der ersten SCA ohne weitere SCA gewährt (sofern keine Betrugsrisiken bestehen).

Haftung bei Betrug und Identitätsbetrug

Die PSR führt eine neue Verpflichtung für Zahlungsdienstleister ein, Verbrauchern innerhalb von 10 Werktagen eine Rückerstattung zu gewähren, wenn der Verbraucher durch einen Betrüger, der sich als Zahlungsdienstleister ausgibt, zur Autorisierung einer Zahlung verleitet wurde. Der Verbraucher hat keinen Anspruch auf Rückerstattung, wenn er an dem Betrug beteiligt war oder grob fahrlässig gehandelt hat. Die Beweislast liegt beim Zahlungsdienstleister, der nachweisen muss, dass der Verbraucher betrügerisch oder grob fahrlässig gehandelt hat. Der EP-Text sieht eine Ausweitung dieser Regelung auf die Identitätsfälschung „jeder anderen relevanten öffentlichen oder privaten Einrichtung“ vor, was jedoch im Text des Rates nicht übernommen wurde.

Bestätigung des Zahlungsempfängers

Zahlungsdienstleister müssen einen kostenlosen Dienst zur Bestätigung des Zahlungsempfängers anbieten, der Kunden über etwaige Abweichungen zwischen einer eindeutigen Kennung und dem angegebenen Namen des Zahlungsempfängers informiert. Zahlungsdienstnutzer können diesen Dienst ablehnen, allerdings müssen Zahlungsdienstleister sie auf die damit verbundenen Risiken hinweisen. Ein Zahlungsdienstleister ist verpflichtet, dem Zahlungsdienstnutzer Zahlungen zu erstatten, wenn er ihn nicht über eine Abweichung informiert hat. Der Text des Rates stützt sich auf die Anforderungen zur Überprüfung des Zahlungsempfängers gemäß der Verordnung über Sofortzahlungen, mit der die SEPA-Verordnung geändert wurde.

Open Banking und TPP-Zugang

ASPSPs müssen nun für den TPP-Zugang eine spezielle Kundenschnittstelle verwenden. ASPSPs mit modifizierten Kundenschnittstellen müssen entweder eine Genehmigung für die Nutzung ihrer Kundenschnittstelle beantragen oder auf eine spezielle Kundenschnittstelle umsteigen. Es muss ein „Dashboard“ bereitgestellt werden, über das PSUs die verschiedenen Einwilligungen, die sie TPPs erteilt haben, zentral verwalten können. Die Gründe für die Verweigerung des Zugangs zu Zahlungsdiensten für PSPs sind erheblich eingeschränkt.

Sicherheitsvorkehrungen

Die Schutzregelungen der PSD2 und EMD2 wurden angeglichen – E-Geld-Institute müssen nun bis zum Ende des folgenden Geschäftstages nach Erhalt der Gelder Schutzmaßnahmen ergreifen. Es wurde eine neue Anforderung zur Minderung des Konzentrationsrisikos von geschützten Geldern eingeführt.

Transaktionsüberwachung und Datenaustausch

Zahlungsdienstleister müssen Transaktionsüberwachungsmechanismen implementieren, um potenziell betrügerische Transaktionen zu verhindern und aufzudecken. Zahlungsdienstleister müssen eindeutige Identifikatoren austauschen, um Betrug zu verhindern und aufzudecken, wenn mindestens zwei verschiedene Zahlungsdienstnutzer, die Kunden desselben Zahlungsdienstleisters sind, ihrem Zahlungsdienstleister gemeldet haben, dass ein eindeutiger Identifikator eines Zahlungsempfängers für Betrug verwendet wurde. Zahlungsdienstleister müssen gemeinsam eine Datenschutz-Folgenabschätzung gemäß Artikel 35 der DSGVO durchführen.

Liquidationspläne

Die PSD3 führt eine neue Anforderung für Antragsteller ein, die eine Zulassung als Zahlungsinstitut beantragen, einen Liquidationsplan für den Fall einer Insolvenz vorzulegen, der an die geplante Größe und das Geschäftsmodell des Antragstellers angepasst ist. Der Plan muss geeignet sein, eine ordnungsgemäße Abwicklung der Tätigkeiten nach geltendem nationalem Recht zu unterstützen, einschließlich der Kontinuität oder Wiederherstellung aller kritischen Tätigkeiten, die von ausgelagerten Dienstleistern, Vertretern oder Vertriebshändlern ausgeführt werden. Für Antragsteller, die Zahlungsdienste gemäß Anhang I Nummern 1 bis 5 oder Nummer 8 der PSD3 erbringen wollen, muss der Liquidationsplan Vorkehrungen für die Rückgabe gesicherter Gelder im Falle einer ungeordneten Liquidation enthalten. Diese Anforderung gilt auch für Krypto-Asset-Dienstleister (CASPs), die eine Zulassung für die Erbringung von Zahlungsdiensten unter Verwendung von E-Geld-Tokens gemäß PSD3 beantragen.

Wie sollten sich Unternehmen vorbereiten?

Die bevorstehenden Änderungen werden sich in unterschiedlicher Weise auf bestimmte Bereiche des Geschäfts eines Zahlungsdienstleisters auswirken, darunter wahrscheinlich eine Kombination aus folgenden Änderungen:

  1. Kundenvereinbarungen: Überprüfung und Aktualisierung der Geschäftsbedingungen, insbesondere in Bezug auf Haftung, SCA-Anforderungen, Bestätigung des Zahlungsempfängers und Einwilligungsmanagement.
  2. Richtlinien und Verfahren: Aktualisierung der Richtlinien zur Betrugsbekämpfung, Transaktionsüberwachung, Absicherung und Bekämpfung von Geldwäsche; Entwicklung von Vereinbarungen zum Datenaustausch mit anderen Zahlungsdienstleistern.
  3. Technologie und Betrieb: Aufbau oder Verbesserung spezieller TPP-Schnittstellen, Dashboards für die Einwilligung von Kunden, Dienste zur Bestätigung von Zahlungsempfängern und SCA-Lösungen, die den Anforderungen an die Barrierefreiheit entsprechen.
  4. Behördliche Zusammenarbeit: Bestehende APIs und EMI müssen zusätzliche Informationen bereitstellen, die im Rahmen eines Antrags auf „erneute Autorisierung” erforderlich sind; Behörden über neue Sicherheitsvorkehrungen informieren; Vertreiber registrieren (für EMI).
  5. Lückenanalyse: Durchführung einer Lückenanalyse, um festzustellen, welche Informationen den Aufsichtsbehörden vorgelegt werden müssen und welche betrieblichen Änderungen erforderlich sind.

Professionals

Tpirot sza ffm 07 loesing lowres 003 87 A0764
Dr. Carsten Lösing, Dipl.-Betriebswirt (FH)
Tpirot sza mu 01 gross langenhoff hires 001 87 A0822
Dr. Martin Gross‑Langenhoff, LL.M. (Yale)

Expertise

Finanzaufsichtsrecht

FAQ

Profil
Tpirot sza ffm 06 hires 012 87 A7540

Zu uns kommen Konzerne. Weil wir keiner sind.

SZA Schilling, Zutt & Anschütz vereint Souveränität und Wissensdurst für individuelle und pragmatische Lösungen.

Profil 

Expertise
Tpirot sza ma 07 hires 003 87 A2965

Aus einer Hand. Auf höchstem Niveau.

Wir beraten nationale und internationale Mandanten auf allen wesentlichen Gebieten des Wirtschaftsrechts.

Schwerpunkte ansehen 

Karriere
Tpirot sza arch aust hires 026 87 A8406

Stellung beziehen und Einsatz zeigen.

Sie möchten an Bord kommen? Erfahren Sie mehr über die Arbeitskultur bei SZA Schilling, Zutt & Anschütz.

Ihre Einstiegsmöglichkeiten