Der europäische Gesetzgeber stellt den Rechtsrahmen für Zahlungsdienste erneut grundlegend um. Mit der dritten Zahlungsdiensterichtlinie (PSD3) und der ergänzenden Zahlungsdiensteverordnung (PSR) sollen die bisherigen Regeln der PSD2 modernisiert, vereinheitlicht und deutlich verschärft werden.
Ziel der Reform ist es vor allem, Zahlungen sicherer zu machen, Betrug besser zu bekämpfen und Verbraucher stärker zu schützen. Gleichzeitig sollen Barrieren für innovative Zahlungsdienste abgebaut und der Wettbewerb im europäischen Zahlungsverkehr gestärkt werden.
Nach der politischen Einigung auf EU‑Ebene Ende 2025 ist davon auszugehen, dass PSD3 und PSR nach ihrer finalen Verabschiedung schrittweise ab 2027 Anwendung finden werden.
Für Banken, Zahlungsdienstleister, FinTechs und Plattformbetreiber bedeutet das mitunter allerdings schon kurzfristig erheblichen Vorbereitungs- bzw. Anpassungsbedarf.
Zwei Regelwerke – unterschiedliche Wirkung
Ein zentraler Punkt der Reform ist die Aufteilung in zwei Rechtsakte:
Die Payment Services Regulation, kurz: PSR (Zahlungsdiensteverordnung), gilt künftig unmittelbar in allen EU‑Mitgliedstaaten. Sie enthält viele operative Pflichten – etwa zu Betrugsprävention, Transparenz, Kundenauthentifizierung und Open Banking.
Die Payment Services Directive 3, kurz: PSD3 (Richtlinie), regelt vor allem Fragen der Erlaubnis, Organisation und Beaufsichtigung von Zahlungs- und E‑Geld‑Instituten. Sie muss von den Mitgliedstaaten – in Deutschland insbesondere über das ZAG – umgesetzt werden.
Für die Praxis heißt das: Weniger nationale Spielräume, mehr direkt anwendbares EU‑Recht – und damit auch mehr Einheitlichkeit, aber zugleich weniger Flexibilität.
Wo liegen die größten praktischen Risiken?
1. Verschärfte Haftung bei Zahlungsbetrug
Ein Schwerpunkt von PSD3 und PSR liegt auf der Bekämpfung moderner Betrugsformen. Insbesondere sogenannte Social‑Engineering‑/Impersonation-Betrugsfälle – bei denen Kunden selbst zur Zahlung bewegt werden – stehen im Fokus.
Künftig sollen Zahlungsdienstleister in deutlich mehr Fällen finanziell haften, etwa:
- wenn Warnmechanismen fehlen oder unzureichend sind,
- wenn Transaktionen trotz offensichtlicher Risiken ausgeführt werden,
- oder wenn Sicherheitsmaßnahmen nicht dem Stand der Technik entsprechen.
Für Unternehmen bedeutet das:
- steigendes Kostenrisiko durch Rückerstattungen,
- höhere Anforderungen an Dokumentation und Nachweis,
- und einen klaren Anspruch der Aufsicht auf professionelles Betrugsmonitoring.
2. Pflicht zum IBAN‑Namensabgleich („Verification of Payee“)
Eine der sichtbarsten Neuerungen ist die verpflichtende Überprüfung, ob der Name des Zahlungsempfängers zur angegebenen IBAN passt. Diese Prüfung soll Kunden vor Überweisungen an Betrüger schützen.
Was technisch einfach klingt, ist in der Umsetzung anspruchsvoll:
- Systeme müssen zuverlässig prüfen, bewerten und warnen,
- Kunden müssen verständlich informiert werden,
- Abweichungen müssen sauber protokolliert werden.
Fehler bei dieser Prüfung können künftig nicht nur technisch, sondern auch haftungsrechtlich problematisch werden.
3. Weiterentwicklung der starken Kundenauthentifizierung (SCA)
Die bekannte starke Kundenauthentifizierung bleibt erhalten, wird aber weiterentwickelt. Zahlungsdienstleister müssen noch stärker risikobasiert arbeiten: sichere Transaktionen sollen möglichst reibungslos bleiben, riskante dagegen gezielt abgesichert werden.
In der Praxis heißt das:
- bestehende SCA‑Ausnahmen müssen überprüft werden,
- Betrugsquoten gewinnen an regulatorischer Bedeutung,
- externe Dienstleister (z. B. für Authentifizierung) müssen engmaschig kontrolliert werden.
Eine „SCA von der Stange“ wird künftig kaum noch ausreichen.
4. Austausch von Betrugsdaten: Pflicht statt Kür
PSD3/PSR sehen vor, dass Zahlungsdienstleister betrugsrelevante Informationen untereinander austauschen dürfen – und teilweise müssen. Ziel ist es, Betrugsmuster schneller zu erkennen.
Damit entstehen neue Herausforderungen:
- Abgrenzung zu Datenschutz‑ und Geheimhaltungspflichten,
- klare interne Regeln zu Nutzung und Speicherung von Daten,
- Risiko von Aufsichtsmaßnahmen bei unzureichender Kooperation.
5. Strengere Regeln für Open Banking
Open Banking soll verlässlicher funktionieren. Kunden sollen künftig über Übersichts‑Dashboards nachvollziehen können, wer auf ihre Zahlungsdaten zugreift – und diese Zugriffe einfach steuern.
Für Banken und kontoführende Zahlungsdienstleister heißt das:
- leistungsfähige und stabile Schnittstellen,
- transparente Einwilligungsverwaltung,
- deutlich geringere Toleranz der Aufsicht bei technischen Problemen.
6. Erlaubnisse, Übergangsregeln und Aufsicht
Auch bestehende Erlaubnisse stehen auf dem Prüfstand. Zwar ist mit Übergangsfristen zu rechnen, dennoch werden viele Institute zusätzliche Informationen liefern oder ihre Organisation anpassen müssen.
Besonders relevant ist dies für:
- neue Geschäftsmodelle,
- Plattform‑ und Marktplatzlösungen,
- hybride Zahlungs‑ und Technikdienstleister.
Ausblick: Was jetzt wichtig wird
Auch wenn noch nicht jeder Detailpunkt feststeht, ist die Richtung eindeutig: PSD3 und PSR werden den Zahlungsverkehr spürbar verändern.
Unternehmen sollten sich frühzeitig mit folgenden Fragen befassen:
- Welche neuen Haftungsrisiken entstehen?
- Sind unsere Systeme für Betrugsprävention, IBAN‑Prüfung und SCA ausreichend?
- Passt unser Geschäftsmodell noch in den regulatorischen Rahmen?
- Besteht Anpassungsbedarf bei Erlaubnissen oder Auslagerungen?
Unsere Rechtsanwälte und Fachanwälte verfügen über langjährige Erfahrung und Expertise im Bereich der BaFin‑ und ZAG‑Verfahren. Wir begleiten Mandanten umfassend bei der regulatorischen Einordnung neuer Geschäftsmodelle, bei Erlaubnis- und Änderungsverfahren und der Kommunikation mit der BaFin.
Wir sitzen in Köln, beraten und unterstützen Sie bundesweit dabei, vor dem Hintergrund der anstehenden PSD3-Ära die erforderlichen Weichen rechtzeitig und rechtssicher zu stellen.
