PSD3 und PSR: EU-Zahlungsdiensterecht vor Neustart: was jetzt zu beachten ist

Einheitliche Regeln für Zahlungen sind längst kein Bankenthema mehr: E-Commerce, Plattformmodelle, Subscription-Billing und internationale Lieferketten hängen von reibungslosen (und sicheren) Zahlungsprozessen ab. Mit dem EU-Paket aus der dritten Version der Zahlungsdiensterichtlinie (PSD3) und der neuen Payment Services Regulation (PSR) wird das Regelwerk grundlegend modernisiert. Am 27. November 2025 haben Rat und Europäisches Parlament eine politische Einigung erzielt; die finalen Texte werden derzeit technisch finalisiert. Im Fokus stehen Betrugsbekämpfung (Spoofing/Social Engineering), mehr Kostentransparenz und ein europäisch einheitlicherer Rahmen für Open Banking. Unternehmen sollten 2026 nutzen, um Prozesse und Verträge zu überprüfen.

Was ist PSD3/PSR und warum zwei Rechtsakte?

Die Europäische Kommission hat am 28. Juni 2023 ein Reformpaket vorgelegt, das PSD2 fortentwickelt: Künftig sollen die operativen Verhaltens- und Sicherheitsregeln überwiegend in einer unmittelbar geltenden Verordnung (PSR) stehen, während PSD3 als Richtlinie vor allem Zulassung und Aufsicht über Zahlungs- und E-Geld-Institute adressiert. Ziel ist mehr Harmonisierung (weniger nationale Abweichungen), schnellerer Verbraucherschutz und ein Level Playing Field zwischen Banken und Nichtbanken.

Kernpunkt 1: Betrugsbekämpfung: mehr Prävention, mehr Haftungsdruck

Die politischen Eckpunkte setzen deutlich auf Prävention und klarere Verantwortlichkeiten:

• Informationsaustausch: Zahlungsdienstleister sollen betrugsbezogene Informationen untereinander teilen, um Muster schneller zu erkennen.

• Verification of Payee (Name-IBAN-Check): Vor Überweisungen soll geprüft werden, ob IBAN und Kontoname zusammenpassen, ähnlich wie bereits bei SEPA-Echtzeitüberweisungen.

• Haftung bei unzureichender Prävention: Zahlungsdienstleister sollen haften, wenn sie ihre Pflichten zur Nutzung präventiver Werkzeuge nicht erfüllen.

• Schutz vor Spoofing: Die Regeln zielen ausdrücklich auf Betrugsmaschen, bei denen Täter als Bank oder Zahlungsdienstleister auftreten und Kunden zu autorisierten Zahlungen verleiten.

Hintergrund ist, dass sich Betrug zunehmend weg von gestohlenen Zugangsdaten hin zu Social-Engineering verlagert; auch die Europäische Bankenaufsichtsbehörde (EBA) hat dies 2024 hervorgehoben.

Praxisfolgen: Für Unternehmen werden insbesondere Name-IBAN-Checks und strengere Fraud-Controls spürbar. Zahlungsabteilungen sollten prüfen, ob Lieferantenstammdaten (Beneficiary Name) konsistent sind, wie Freigabeprozesse bei Zahlungsänderungen aussehen und ob interne Schulungen Social-Engineering-Szenarien abdecken.

Kernpunkt 2: Transparenz bei Gebühren und besserer Zugang zu Bargeld

Neben Sicherheit setzt das Paket auf mehr Transparenz und Praktikabilität im Alltag:

• Geldautomaten: Nutzer sollen vor der Transaktion sämtliche Gebühren und angewandte Wechselkurse angezeigt bekommen.

• Kartenzahlungsdienstleistungen: Anbieter müssen gegenüber Händlern Entgelte klarer ausweisen, damit Unternehmen Kosten vergleichen können.

• Händlerbezeichnung: Händler sollen sicherstellen, dass der Handelsname mit der Bezeichnung auf dem Kontoauszug übereinstimmt, weniger Verwirrung, weniger Rückfragen und weniger Chargebacks.

Zusätzlich soll der Zugang zu Bargeld verbessert werden: Händler sollen künftig Bargeldabhebungen auch ohne Einkauf anbieten können.

Praxisfolgen: Für Händler und Plattformen ist das kein Nebenthema. Sie sollten Deskriptoren bzw. Handelsnamen (einschließlich Konzern- oder Markenstrukturen) überprüfen! Auch Vertragsdokumente und Preisblätter (Acquirer, PSP, Payment Facilitator) gehören auf den Prüfstand.

Kernpunkt 3: Open Banking: weniger Reibung, mehr Datenkontrolle

Die Kommission verfolgt weiterhin das Ziel, Open Banking funktional zu machen: Hindernisse beim Kontozugriff und bei Schnittstellen sollen abgebaut werden; gleichzeitig soll die Kontrolle der Kunden über Zugriffsrechte gestärkt werden (z. B. über Permission Dashboards). Für Unternehmen mit FinTech- oder Plattformbezug ist das relevant, weil datengetriebene Mehrwertdienste (Cash-Management, Buchhaltung, Kreditwürdigkeitsprüfung, Account-Information) leichter skalierbar werden könnten, bei zugleich höheren Anforderungen an Sicherheit und Governance.

Ein oft übersehener Punkt: Werbung nur für regulierte Finanzanbieter

Nach den veröffentlichten Eckpunkten dürfen große Online-Plattformen und Suchmaschinen Finanzdienstleistungen in einem Mitgliedstaat nur dann bewerben, wenn der Anbieter dort reguliert und zugelassen ist. Das kann die Marketing- und Partnerstrategie von FinTechs, Vergleichsportalen und Plattformen beeinflussen.

Zeitplan: Was ist 2026 realistisch?

Stand Februar 2026 gilt: Die politische Einigung ist erreicht, die formelle Verabschiedung und Veröffentlichung im EU-Amtsblatt stehen noch aus. Erst danach laufen Übergangs- bzw. Umsetzungsfristen an. In der Praxis wird mit einer Übergangsphase von rund 18 Monaten gerechnet; entscheidend ist jedoch der finale Gesetzeswortlaut.

Für viele Marktteilnehmer bedeutet das: 2026 ist das Jahr, um Compliance by design aufzusetzen, statt später unter Zeitdruck umzubauen.

Checkliste: Was sollten Unternehmen jetzt tun?

1. Zahlungsprozesse kartieren: Welche Zahlungsarten (Überweisung, Karte, Wallets) nutzen wir und über welche Dienstleister?
   
2. Stammdatenqualität erhöhen: Beneficiary Names, IBANs, Change-Management bei Lieferanten; Vier-Augen-Prinzip für Zahlungsänderungen.
   
3. Fraud-Playbooks erstellen: Social-Engineering-Szenarien (CEO-Fraud, Spoofing, Fake-Support), Eskalationswege, Training.
   
4. Verträge prüfen: Haftung und SLAs bei Fraud-Prevention, Name-Checks, Rückabwicklung, Gebühren- und Informationspflichten.
   
5. Händlerdeskriptoren bereinigen: Einheitliche Bezeichnungen auf Kontoauszügen; Abstimmung mit Acquirer/PSP.
   
6. Open-Banking-Projekte bewerten: Wo schaffen APIs Mehrwert und welche Sicherheits- und Datenschutzanforderungen sind zu adressieren?

---

Autor: Alexander Knauss