PSD3 erklärt: Die wichtigsten Änderungen im EU-Zahlungsverkehr und im Open Banking
In der EU werden jährlich elektronische Zahlungen im Wert von rund 240 Billionen Euro abgewickelt. Die dafür geltenden Regeln werden derzeit überarbeitet.
Die dritte Zahlungsdiensterichtlinie (PSD3) ersetzt die PSD2 vollständig. Sie aktualisiert nicht nur die alten Regeln, sondern verbindet die Richtlinie mit einer direkt anwendbaren Zahlungsdiensteverordnung (PSR). Dadurch werden die nationalen Unterschiede beseitigt, die die PSD2 in den EU-Märkten inkonsistent gemacht haben. Zu den wichtigsten Änderungen zählen ein verbesserter Betrugsschutz, standardisierte Open-Banking-APIs und die explizite Regulierung von E-Geld-Token und Krypto-Zahlungsdiensten.
Im November 2025 wurde eine vorläufige politische Einigung erzielt. Die Veröffentlichung im Amtsblatt der EU wird im zweiten Quartal 2026 erwartet. Die vollständige Umsetzung erfolgt voraussichtlich um 2028. Der Zeitraum zwischen diesen Daten ist von Bedeutung: Die PSR tritt 20 Tage nach Veröffentlichung in Kraft, also deutlich bevor die Mitgliedstaaten die Richtlinie in nationales Recht umgesetzt haben.
Was ist PSD3?
Die EU regelt ihren Zahlungsverkehrsmarkt seit 2007 mithilfe von Richtlinien. PSD1 schuf den grundlegenden Rahmen. PSD2 folgte 2015 und ergänzte diesen um eine starke Kundenauthentifizierung und den Zugriff Dritter durch Open Banking. PSD3 ist die dritte Generation – und stellt eine größere strukturelle Veränderung dar als die beiden Vorgänger.
Anders als ihre Vorgänger steht PSD3 nicht für sich allein. Sie geht mit einer Zahlungsdiensteverordnung (PSR) einher, die in allen EU-Mitgliedstaaten unmittelbar gilt – eine nationale Umsetzung ist nicht erforderlich. Unter PSD2 setzten Deutschland und Frankreich dieselbe Richtlinie unterschiedlich um. Fintech-Unternehmen mussten daher jeden Markt separat analysieren. Mit der PSR fallen diese Unterschiede weg – die Verhaltensregeln sind überall identisch.
Zwei weitere Änderungen sind strukturell relevant:
- Die Richtlinie über elektronisches Geld (EMD2), die E-Geld-Institute separat regelte, wird in die PSD3 integriert. E-Geld-Institute werden zu einer Unterkategorie von Zahlungsinstituten unter einem einheitlichen Rahmen.
- E-Geld-Token, also die für Zahlungszwecke verwendeten Krypto-Stablecoins, fallen erstmals unter die EU-Zahlungsdiensteverordnung.
PSD3 vs. PSD2: Was hat sich geändert?
In sechs Bereichen gab es zwischen PSD2 und PSD3 wesentliche Aktualisierungen:
| Bereich | PSD2 | PSD3 |
|---|---|---|
| Rechtsinstrument | Richtlinie (nationale Umsetzung) | Richtlinie + PSR (einheitliche EU-Verordnung) |
| EMV-Rahmenwerk | Separate EMD2-Richtlinie | In das Zahlungsinstituts-Framework integriert |
| SCA-Anforderungen | Strenge Faktorkategorien | Unabhängigkeitsprinzip; mehr Flexibilität |
| Offene Banking-APIs | Freiwillige Formate, inkonsistent | Standardisierte Spezifikationen, Meldepflicht |
| Haftung für APP-Betrug | Der Kunde trägt das größte Risiko. | PSP haftet, es sei denn, grobe Fahrlässigkeit wird nachgewiesen. |
| Krypto-/E-Geld-Token | Nicht abgedeckt | Ausdrücklich im Geltungsbereich von PSR |
Der Übergang von einer reinen Richtlinie zu einer Richtlinie mit Verordnung ist bedeutsamer, als es zunächst scheint. Ein Fintech-Unternehmen, das in Deutschland, Frankreich und den Niederlanden tätig ist, hatte zuvor mit drei unterschiedlich umgesetzten Fassungen desselben Gesetzes zu tun. Unter PSD3/PSR sind die Verhaltensregeln in allen Mitgliedstaaten identisch.
IBAN-Verifizierung und Haftung für App-Betrug
Zwei der wirtschaftlich bedeutendsten Bestimmungen von PSD3 zielen auf Betrug ab, insbesondere auf den Betrug mit autorisierten Push-Zahlungen (APP-Betrug), bei dem Kunden dazu manipuliert werden, freiwillig Gelder an ein kriminelles Konto zu überweisen.
Der erste Mechanismus ist der Abgleich des IBAN-Namens . Zahlungsdienstleister müssen vor der Ausführung einer Überweisung überprüfen, ob der Name des Zahlungsempfängers mit dessen IBAN übereinstimmt. Diese Prüfung muss innerhalb weniger Sekunden abgeschlossen sein und ist für Verbraucher kostenlos. Sie entspricht dem britischen System zur Bestätigung des Zahlungsempfängers (Confirmation of Payee, CoP), das nach seiner Einführung im Jahr 2020 den Betrug mit automatisierten Zahlungsdiensten (Applicable Payments) deutlich reduziert hat. Die Anforderung tritt 24 Monate nach Inkrafttreten der PSD3 in Kraft, voraussichtlich um das Jahr 2028.
Die Haftungsverlagerung ist der zweite Mechanismus. Gemäß PSD2 lag die Beweislast in Fällen von APP-Betrug typischerweise bei den Opfern, die nachweisen mussten, dass sie nicht eingewilligt hatten. PSD3 kehrt dies um:
- Ein Kunde meldet eine unautorisierte oder betrügerisch herbeigeführte Transaktion.
- PSP hat 14 Werktage Zeit, um den Rückerstattungsantrag zu bearbeiten.
- Der Zahlungsdienstleister muss den vollen Betrag erstatten, es sei denn, er kann nachweisen, dass der Kunde betrügerisch oder grob fahrlässig gehandelt hat.
- Zahlungsdienstleister, die keine angemessenen Betrugskontrollmaßnahmen, einschließlich der IBAN-Verifizierung, implementieren, übernehmen die Standardhaftung für Verluste.
- Fälle von Manipulation durch Zahler: Wenn der Zahlungsdienstleister eine Namens-/IBAN-Abweichung nicht gemeldet hat, trägt er den Verlust unabhängig von anderen Faktoren.
Institutionen, die die eindeutige Absicht der PSD2 hinsichtlich der Haftung bei Betrugsfällen ignoriert haben, sehen sich nun mit einem obligatorischen finanziellen Risiko konfrontiert. Dies ist nicht nur eine Pflichterfüllung – es ist ein direkter Anreiz, in die Betrugspräventionsinfrastruktur zu investieren.
Open-Banking- und API-Standards
Die Open-Banking-Ambitionen von PSD2 stießen an ihre Grenzen: Banken implementierten APIs nach Belieben. Drittanbieter (TPPs), also Fintechs, die auf Bankdaten aufbauten, sahen sich in den EU-Märkten mit Dutzenden inkompatibler Implementierungen konfrontiert. Ein französisches Fintech, das auf deutsche Bankdaten zugriff, nutzte eine völlig andere Schnittstelle als die, die es in Spanien verwendete.
PSD3 behebt dieses Problem durch verpflichtende Standardisierung:
- Kontoführende Zahlungsdienstleister (ASPSPs) müssen dedizierte Schnittstellen anbieten, die den standardisierten EU-Spezifikationen entsprechen.
- Banken müssen vierteljährliche Leistungsberichte über API-Verfügbarkeit, Latenz und Fehlerraten veröffentlichen.
- Wenn die primäre API ausfällt, erhalten Drittanbieter (TPPs) einen alternativen Zugriff auf die Standard-Kundenschnittstelle der Bank.
- Dashboards zur Kundeneinwilligung werden obligatorisch – Benutzer können sehen, welche Drittanbieter Zugriff auf ihre Konten haben und die Berechtigung in Echtzeit widerrufen.
- Dedizierte Schnittstellen müssen zuverlässig genug sein, um das „Screen Scraping“ als Ausweichmethode auszuschließen.
Für Banken bedeutet dies eine echte Verantwortlichkeit für die API-Qualität, die bisher freiwillig war und weitgehend ignoriert wurde. Für Fintechs bedeutet es einen einheitlichen und nachvollziehbaren Zugang in allen EU-Märkten.
Starke Kundenauthentifizierung gemäß PSD3
Die Regeln für die starke Kundenauthentifizierung (SCA) gemäß PSD2 erforderten zwei Authentifizierungsfaktoren aus mindestens zwei verschiedenen Kategorien: etwas, das man weiß (PIN, Passwort), etwas, das man besitzt (Gerät, Karte) oder etwas, das man ist (biometrische Daten). PSD3 behält die Zwei-Faktor-Anforderung bei, verzichtet aber auf die Kategorisierung.
Der neue Standard lautet „Unabhängigkeit“, nicht Kategorientrennung. Zwei Faktoren gelten als konform, solange die Beeinträchtigung des einen nicht automatisch den anderen beeinträchtigt. Das ist ein echter Designgewinn für Zahlungsanbieter, die bisher aufgrund einer Kategorienregel, die kaum zusätzliche Sicherheit bot, mit umständlichen Benutzerführungen konfrontiert waren.
Vom Händler initiierte Transaktionen ändern sich am deutlichsten. Unter PSD2 befanden sich wiederkehrende Gebühren nach der erstmaligen Einrichtung der starken Kundenauthentifizierung (SCA) in einer Grauzone – die Regeln waren nicht für Abonnementabrechnungen ausgelegt. PSD3 schafft hier Abhilfe: Die SCA bei der Mandatserstellung deckt die gesamte Geschäftsbeziehung ab. Nachfolgende automatische Abbuchungen erfordern keine erneute Authentifizierung.
Die Tokenisierung wird ebenfalls präzisiert. Die starke Kundenauthentifizierung (SCA) wird nun nur noch ausgelöst, wenn der Karteninhaber aktiv an der Einrichtung eines Tokens beteiligt ist. Sobald der Token existiert, ist für Transaktionen damit keine erneute Authentifizierung mehr erforderlich.
Die dynamische Verknüpfung wurde aus PSD2 übernommen – der Authentifizierungscode ist weiterhin an den jeweiligen Transaktionsbetrag und den Zahlungsempfänger gebunden. Die PSR bietet zudem klarere Vorgaben zu SCA-Ausnahmen, wodurch die marktspezifischen Unterschiede in der Anwendung der Ausnahmen gemäß der Richtlinie allein verringert werden dürften.
PSD3, Kryptozahlungen und E-Geld-Token
Die meisten PSD3-Leitfäden lassen diesen Abschnitt ganz aus oder behandeln ihn nur in einem einzigen Satz. Der Zusammenhang zwischen PSD3 und Kryptowährungen ist strukturell und nicht nebensächlich – er betrifft jedes Unternehmen, das Kryptozahlungen in der EU verarbeitet.
Der Einstieg erfolgt über E-Geld-Token. Gemäß MiCA, der EU-Verordnung für Krypto-Assets, die 2024 in Kraft trat, gelten an eine Fiatwährung gekoppelte Stablecoins als E-Geld-Token, wenn sie zu Zahlungszwecken verwendet werden. USDC wird beispielsweise zur Begleichung einer in Euro denominierten Rechnung eingesetzt. PSD3 integriert diese Token direkt in den Zahlungsdienstleistungsrahmen.
Die regulatorischen Rahmenbedingungen für einen Krypto-Zahlungsdienstleister in der EU:
| Entitätstyp | Es gelten die Vorschriften. |
|---|---|
| Traditionelles Zahlungsinstitut | PSD3 + PSR |
| E-Geld-Institut | PSD3 (zusammengeführtes EMD2-Framework) |
| Krypto-PSP mit E-Geld-Token | MiCA + PSD3/PSR (optimierte Anwendung) |
| BNPL-Anbieter | PSD3 + Kapitaladäquanzregeln |
| Krypto-Wallet-Anbieter | PSD3-Framework für digitale Geldbörsen |
Die Problematik der Doppelregulierung wird von den meisten Compliance-Teams unterschätzt. Ein von MiCA autorisierter Krypto-Asset-Dienstleister (CASP), der E-Geld-Token ausgibt, benötigt nicht automatisch eine separate PSD3-Autorisierung. Bietet er jedoch auch Zahlungsdienste an – Senden, Empfangen, Verarbeiten –, kommt ein vereinfachter PSD3-Antrag zum Einsatz. Die beiden Regulierungsformen decken sich nicht standardmäßig gegenseitig ab.
BNPL ist eine weitere neu hinzugekommene Kategorie. Anbieter, die sich in einer regulatorischen Grauzone auf den EU-Märkten bewegten, unterliegen nun formalen Zulassungsanforderungen für Zahlungsinstitute und Eigenkapitalvorschriften. Die Kosten für die Einhaltung der Vorschriften steigen für den Sektor erheblich.
Für Unternehmen, die eine Krypto-Zahlungsinfrastruktur aufbauen, ist Plisio ein Beispiel für ein Krypto-Zahlungsgateway, das sich in diesem regulatorischen Umfeld zurechtfindet – es ermöglicht Händlern, Kryptowährungen zu akzeptieren, während sich der EU-Zahlungsregulierungsrahmen unter PSD3 und MiCA weiterentwickelt.
Für wen gilt PSD3?
PSD3 und PSR gelten für alle Unternehmen, die Zahlungsdienste innerhalb der EU anbieten, unabhängig von ihrem Sitz. Der Anwendungsbereich:
- Kreditinstitute (Banken), die Zahlungsdienste anbieten
- Zahlungsinstitute – Nichtbanken-Zahlungsdienstleister einschließlich Fintechs, Neobanken und Geldtransferunternehmen
- E-Geld-Institute – jetzt in den Zahlungsinstitutsrahmen integriert
- BNPL-Anbieter – neu im Anwendungsbereich, vorbehaltlich der Zulassungs- und Kapitalanforderungen
- Krypto-Asset-Dienstleister, die Zahlungsdienste anbieten – doppelt reguliert gemäß MiCA + PSD3
- Drittanbieter (TPPs) – Anbieter von Kontoinformationsdiensten (AISPs) und Anbieter von Zahlungsauslösediensten (PISPs)
Plattformen und Marktplätze stehen vor den größten Umwälzungen. Unter PSD2 umgingen viele die Zahlungsdienstgenehmigung durch die „Ausnahmeregelung für Handelsvertreter“, indem sie behaupteten, als Vermittler für Käufer und Verkäufer und nicht als Zahlungsabwickler zu agieren. PSD3 verschärft diese Ausnahmeregelung deutlich. Die meisten Plattformen, die sich darauf stützen, benötigen nun eine formale Zahlungsdienstleistungsgenehmigung, müssen Kapitalanforderungen erfüllen und sich einer fortlaufenden behördlichen Aufsicht unterziehen – eine erhebliche operative Umstellung für Marktplatzbetreiber, deren Infrastruktur auf dieser Ausnahmeregelung basierte.
Für in Großbritannien ansässige Unternehmen gilt: PSD3 ist ausschließlich EU-Recht. Nach dem Brexit betreibt Großbritannien seinen eigenen FCA-Rahmen. Die britische BNPL-Verordnung (FCA-Regelung gültig ab Juli 2026) und das System zur Bestätigung des Zahlungsempfängers verfolgen eine ähnliche Richtung, jedoch müssen Unternehmen, die in beiden Jurisdiktionen tätig sind, völlig unterschiedliche Compliance-Vorgaben erfüllen.
PSD3-Zeitleiste: Wann tritt es in Kraft?
PSD3 wird in Phasen eingeführt, nicht mit einem einzigen Schalter:
- 28. Juni 2023 – Die Europäische Kommission veröffentlichte die Vorschläge zu PSD3 und PSR.
- 27. November 2025 – Vorläufige politische Einigung zwischen dem Europäischen Parlament und dem Rat erzielt.
- 2. Quartal 2026 (voraussichtlich) – Veröffentlichung im Amtsblatt der EU; die PSR tritt 20 Tage später in Kraft.
- 18 Monate nach Inkrafttreten – Frist für die Mitgliedstaaten zur Umsetzung der PSD3-Richtlinie in nationales Recht
- 24 Monate nach Inkrafttreten – die Überprüfung der IBAN/des Zahlungsempfängernamens wird obligatorisch (ca. 2028).
- 24–30 Monate nach Einreise – Bestehende PSD2-Genehmigungen bleiben gültig; Verlängerung auf 30 Monate möglich
- 2.–3. Quartal 2028 (geschätzt) – Vollständige Durchsetzung von PSD3/PSR; PSD2 und EMD2 vollständig ersetzt
Die 18-monatige Umsetzungsfrist ist keine Wartezeit. Die Verhaltensregeln der PSR gelten EU-weit ab dem 20. Tag nach ihrer Veröffentlichung. Die Gap-Analyse im Hinblick auf die PSR – einschließlich der Implementierung von SCA, Betrugsbekämpfung, API-Infrastruktur und Kryptolizenzierung gemäß den MiCA-Koordinierungsregeln – sollte jetzt laufen.
