Die Europäische Kommission hat mit den Entwürfen der Dritten Zahlungsdiensterichtlinie (Payment Services Directive 3 – PSD3) und der neuen Zahlungsdiensteverordnung (Payment Services Regulation – PSR) eine umfassende Revision des regulatorischen Rahmens für den europäischen Zahlungsverkehr eingeleitet.
Für Kreditinstitute, E-Geld-Institute und Zahlungsdienstleister (PSPs) bedeutet das: Sie sollten ihre Compliance-Strukturen, die vertraglichen Regelwerke und die IT-Architektur frühzeitig überprüfen und – wo erforderlich – anpassen.
Denn: Die Neuerungen bringen strengere Regeln mit sich. Die Lizenz- und Aufsichtsanforderungen werden konsolidiert, E‑Geld‑Institute werden als Kategorie der Zahlungsinstitute in das Rahmenwerk integriert, und Governance sowie Auslagerungen unterliegen einem klar verschärften Regime.
PSD3 und PSR sollen die Regulierung harmonisieren
Mit der Verlagerung zentraler verhaltensbezogener Vorschriften in die PSR verfolgt der Gesetzgeber das Ziel, nationale Umsetzungsspielräume und damit regulatorische Fragmentierung zu reduzieren. Dies erhöht die Rechts- und Planungssicherheit, führt aber auch zu einer einheitlicheren und strengeren Durchsetzung der Vorschriften mit weniger Raum für nationale Interpretation.
Mehr Sicherheit und Betrugsprävention
Mit den Neuerungen rücken Sicherheit und Betrugsprävention noch stärker in den Mittelpunkt. Strong Customer Authentication (SCA), verbesserte Transaktionsüberwachung und (Wieder-) Einführung des IBAN‑Namensabgleichs sollen Risiken senken und das Vertrauen in digitale Zahlungen stärken. Operativ anspruchsvoll ist zudem die Verschärfung der Haftung und Erstattung in Betrugsfällen: Ähnlich wie in UK und Singapur werden PSPs in bestimmten Konstellationen von Betrug zu Lasten von Bankkunden Schäden erstatten müssen. Gleichzeitig wird es einfacher – und teilweise auch verpflichtend – werden, Betrugsdaten auszutauschen. Gegenüber Telekommunikationsunternehmen, deren Infrastruktur durch Betrüger genutzt wurde, wird es eng gefasste Regressmöglichkeiten geben.
Außerdem wird der regulatorische Rahmen für Open Banking weiterentwickelt. Dedizierte, sichere Schnittstellen und klare Regeln zur Schnittstellen-Governance sollen die Verfügbarkeit und Qualität erhöhen; Kunden sollen mehr Transparenz und Kontrolle über Datenzugriffe erhalten, etwa über Berechtigungs‑Dashboards.
Stärkung von Verbraucherschutz und Transparenz
Die Informationspflichten gegenüber Kunden werden präzisiert, insbesondere hinsichtlich Währungsumrechnungsentgelten und der Sperrung von Geldbeträgen. In der Folge werden viele Institute ihre AGBs, Kundeninformationen und produktbegleitenden Dokumente inhaltlich und redaktionell überarbeiten müssen.
Betroffene sollten die Zeit nutzen
Nach der politischen Einigung von Parlament und Rat am 27. November 2025 rechnen wir mit der formellen Annahme und Veröffentlichung des PSD3-/PSR-Pakets im ersten Halbjahr 2026. Die PSR tritt voraussichtlich 20 Tage nach der Veröffentlichung in Kraft und gilt grundsätzlich 18 Monate danach unmittelbar in allen Mitgliedstaaten. Die PSD3 ist von den Mitgliedstaaten innerhalb von 18 Monaten nach Inkrafttreten in nationales Recht umzusetzen; erst dann greifen die jeweiligen nationalen Umsetzungsvorschriften. Für bereits zugelassene Institute ist eine Übergangs-/Grandfathering-Phase vorgesehen: Bestehende ZAG/PSD2-Erlaubnisse gelten fort, betroffene Institute müssen aber innerhalb der Übergangsfristen ihre Governance, Organisation und Prozesse an die neuen Anforderungen anpassen und der Aufsicht ergänzende Unterlagen bzw. einen (Re-) Autorisierungs-/ Anpassungsantrag einreichen.
Wie Unternehmen sich auf die PSD3 und die PSR vorbereiten sollten
Kreditinstitute, Zahlungsinstitute, E-Geld-Institute sowie AIS-/PIS-Anbieter sollten frühzeitig eine integrierte rechtliche und operative Gap-Analyse durchführen (lassen), damit die Anforderungen aus PSD3/PSR prüffest in Prozesse, Kontrollen, IT und Verträge übersetzt werden.
Am effizientesten ist ein Ansatz, bei dem Rechtsabteilungen und Second–Line-Verantwortliche eng zusammenarbeiten und die regulatorische Auslegung direkt in ein umsetzbares Operating Model überführen – insbesondere für GRC, Third-Party/Outsourcing-Governance, Vertragswerk, SCA/Fraud-Kontrollen und API-/Schnittstellen-Governance.
