Suche
Contact
Symbolbild zu PSD3 und PSR: Fassade mit Dreiecken
19.01.2026 | KPMG Law Insights

PSD3 und PSR: Neue Payment-Regulierung für Zahlungsdienstleister und Banken

EU-Parlament, Rat und EU-Kommission haben sich am 23. April 2026 auf finale Fassungen der PSD3 (Payment Services Directive 3) und der PSR (Payment Services Regulation) geeinigt. Damit ist der Weg frei für eine grundlegende Reform des europäischen Zahlungsrechts.  

Für Kreditinstitute, E-Geld-Institute und Zahlungsdienstleister (PSPs) bedeutet das: Sie sollten ihre Compliance-Strukturen, die vertraglichen Regelwerke und die IT-Architektur frühzeitig überprüfen und – wo erforderlich – anpassen.  

Die zunächst parallel angestoßene, flankierende OpenFinanceInitiative (Financial Data Access, FIDA) war zuletzt weitgehend „on hold“; nach der jüngsten Wiederaufnahme von Kompromissbemühungen im Rat sind jedoch auch insofern zeitnah Verhandlungsfortschritte zu erwarten. 

Die zentralen Neuerungen gemäß der finalen Entwürfe im Überblick 

Bestehende Lizenzen: (Re-)Autorisierung und Grandfathering für Bestandsinstitute 

Bestehende Zahlungsinstitute und EGeld-Institute müssen ihre Zulassung aktiv überprüfen und neu bestätigen lassen. Grundsätzlich besteht die Pflicht, innerhalb der vorgesehenen Übergangsfristen einen (Re)Autorisierungsantrag zu stellen. 

Regelmäßig werden aber automatische Autorisierungen und Registereintragungen erfolgen. Hierzu ist erforderlich, dass der Aufsicht Nachweise vorgelegt werden, dass das Institut auch die verschärften Anforderungen erfüllt (etwa im Hinblick auf Abwicklungspläne einschließlich der Sicherstellung von OutsourcingKontinuität).  

Betrugsprävention 

Die Anforderungen an die Betrugsprävention werden deutlich ausgeweitet. Zahlungsdienstleister müssen ihre Monitoring-Systeme weiterentwickeln und dabei ausdrücklich auch neue Technologien wie künstliche Intelligenz einsetzen, sofern dies zur Risikoerkennung geeignet ist. Gleichzeitig steigen die Haftungsrisiken: Defizite im Monitoring können künftig stärker zu Erstattungsansprüchen führen. 

Der Datenaustausch zur Betrugsbekämpfung wird erleichtert, bleibt aber an enge datenschutzrechtliche Vorgaben gebunden, etwa Zweckbindung oder Datenschutz-Folgenabschätzungen. 

Neu sind zudem Kooperationspflichten: Anbieter elektronischer Kommunikationsdienste und sehr große Online-Plattformen bzw. Suchmaschinen müssen sich stärker in die Betrugsprävention einbinden lassen. 

Ein zentrales Instrument ist die Empfängerüberprüfung (Verification of Payee). Diese wird inhaltlich deutlich geschärft: 

  • Ausweitung grundsätzlich auf alle Überweisungen, auch außerhalb von SEPA, 
  • eng begrenzte OptoutMöglichkeiten im B2BBereich, 
  • klar geregelte Haftungs- und Regressbeziehungen zwischen beteiligten Zahlungsdienstleistern. 

Starke Kundenauthentifizierung 

Die Vorgaben zur starken Kundenauthentifizierung (SCA) werden inhaltlich weiterentwickelt und stärker harmonisiert. 

Neu ist insofern eine klare Inklusionsperspektive: Zahlungsdienstleister müssen Nutzergruppen mit besonderen Bedürfnissen – etwa ohne Smartphone – kostenfrei geeignete Authentifizierungslösungen anbieten. 

Ein weiterer Baustein ist das verpflichtende Berechtigungs-Dashboard. Zahlungsdienstleister müssen in ihrer Kundenschnittstelle eine zentrale Übersicht bereitstellen, über die Nutzer ihre erteilten Zugriffe an Drittanbieter verwalten können – inklusive Transparenz zu Zweck, Umfang und Laufzeit der Einwilligungen sowie klar geregelten Widerrufs- und Protokollierungsfunktionen. 

Ergänzend führt das Regelwerk neue Pflichten und Haftungsregeln für technische Dienstleister ein, insbesondere im Kontext von Outsourcing. Haftungsrisiken werden dabei grundsätzlich auf direkte Schäden begrenzt. Ungeklärt scheint, ob dies auch im Falle künftig verpflichtend anzuerkennender und von den Mitgliedstaaten angebotener European Digital Identity Wallets als gemäß eIDAS zulässiger SCAOption gilt. 

Open Finance 

Der Zugang zu Zahlungskonten und Zahlungssystemen wird präziser geregelt. Kontoführende Institute dürfen den Zugang für Drittanbieter künftig nur noch unter eng definierten Voraussetzungen verweigern oder entziehen, etwa bei nachweislich „ernsthaften“ Risiken – insbesondere im Zusammenhang mit Geldwäscheprävention. 

Ziel ist ein Level Playing Field zwischen Banken und nicht-banklichen Zahlungsdienstleistern. 

Ursprünglich sollte dieses Regime durch den Vorschlag für ein Financial Data Access Framework (FiDA) ergänzt werden. Hier wird nach aktuellem Stand ab Sommer 2026 wieder Bewegung in den Trilogverhandlungen erwartet.  

Schutz von Kundengeldern 

Die Anforderungen an die Sicherung von Kundengeldern werden vereinheitlicht und gleichzeitig verschärft. Insbesondere für EGeld-Institute gilt künftig eine deutlich strengere Frist für die Sicherung eingehender Mittel, die sich an einer T+1Logik orientiert. 

Neu hinzu kommen konkrete Vorgaben zur Steuerung von Konzentrationsrisiken, etwa bei Verwahrstellen oder Sicherungsinstrumenten. Darüber hinaus müssen Zahlungsdienstleister wesentliche Änderungen ihrer Sicherungsmaßnahmen künftig vorab anzeigen. 

Klarstellend regelt das neue Framework zudem den Umgang mit Geldern im Zusammenhang mit EGeld-Token und verzahnt die Vorgaben mit der Markets in Crypto-Assets Regulation (MiCA). 

Alignment mit dem MiCA-Framework 

Um Doppelregulierung zu vermeiden, enthält das Paket gezielte Abgrenzungen zur MiCA-Verordnung. Zahlungsdienstleister mit PSD3Zulassung können bestimmte kryptobezogene Dienstleistungen im Zusammenhang mit EGeld-Token erbringen, ohne zusätzlich eine eigenständige MiCA-Erlaubnis zu benötigen. 

Voraussetzung ist allerdings, dass sie entsprechende Anzeige- und Informationspflichten erfüllen und bestimmte Vorlaufzeiten einhalten. 

Ausnahmen-Regime 

Die bestehenden Ausnahmetatbestände werden überarbeitet und präzisiert. 

Ein Schwerpunkt liegt auf der europaweiten Harmonisierung der Handelsvertreter-Ausnahme, die bislang unterschiedlich ausgelegt wurde. 

Zudem stellt der Gesetzgeber klar, unter welchen Voraussetzungen die „limited network“-Ausnahme greift. Ziel ist es, regulatorische Grauzonen zu reduzieren und die Abgrenzung zwischen regulierten und nicht regulierten Geschäftsmodellen zu schärfen. 

Hintergrund der Reform des Zahlungsrechts 

PSD3 und PSR sollen die Regulierung harmonisieren 

Mit der Verlagerung zentraler verhaltensbezogener Vorschriften in die PSR verfolgt der Gesetzgeber das Ziel, nationale Umsetzungsspielräume und damit regulatorische Fragmentierung zu reduzieren. Dies erhöht die Rechts- und Planungssicherheit, führt aber auch zu einer einheitlicheren und strengeren Durchsetzung der Vorschriften mit weniger Raum für nationale Interpretation. 

Mehr Sicherheit und Betrugsprävention 

Mit den Neuerungen rücken Sicherheit und Betrugsprävention noch stärker in den Mittelpunkt. Strong Customer Authentication (SCA), verbesserte Transaktionsüberwachung und (Wieder-) Einführung des IBANNamensabgleichs sollen Risiken senken und das Vertrauen in digitale Zahlungen stärken. Operativ anspruchsvoll ist zudem die Verschärfung der Haftung und Erstattung in Betrugsfällen: Ähnlich wie in UK und Singapur werden PSPs in bestimmten Konstellationen von Betrug zu Lasten von Bankkunden Schäden erstatten müssen. Gleichzeitig wird es einfacher – und teilweise auch verpflichtend – werden, Betrugsdaten auszutauschen. Gegenüber Telekommunikationsunternehmen, deren Infrastruktur durch Betrüger genutzt wurde, wird es eng gefasste Regressmöglichkeiten geben. 

Außerdem wird der regulatorische Rahmen für Open Banking weiterentwickelt. Dedizierte, sichere Schnittstellen und klare Regeln zur Schnittstellen-Governance sollen die Verfügbarkeit und Qualität erhöhen; Kunden sollen mehr Transparenz und Kontrolle über Datenzugriffe erhalten, etwa über BerechtigungsDashboards. 

Stärkung von Verbraucherschutz und Transparenz 

Die Informationspflichten gegenüber Kunden werden präzisiert, insbesondere hinsichtlich Währungsumrechnungsentgelten und der Sperrung von Geldbeträgen. In der Folge werden viele Institute ihre AGB, Kundeninformationen und produktbegleitenden Dokumente inhaltlich und redaktionell überarbeiten müssen. 

Wie Unternehmen sich auf die PSD3 und die PSR vorbereiten sollten 

Kreditinstitute, Zahlungsinstitute, E-Geld-Institute sowie AIS-/PIS-Anbieter sollten frühzeitig eine integrierte rechtliche und operative Gap-Analyse durchführen (lassen), damit die Anforderungen aus PSD3/PSR prüffest in Prozesse, Kontrollen, IT und Verträge übersetzt werden. 

Am effizientesten ist ein Ansatz, bei dem Rechtsabteilungen und Second–Line-Verantwortliche eng zusammenarbeiten und die regulatorische Auslegung direkt in ein umsetzbares Operating Model überführen – insbesondere für GRC, Third-Party/Outsourcing-Governance, Vertragswerk, SCA/Fraud-Kontrollen und API-/Schnittstellen-Governance. 

 

 

Wir arbeiten regelmäßig in enger Kooperation mit den Implementierungsexpertinnen und -experten der KPMG AG Wirtschaftsprüfungsgesellschaft, die sich unter anderem hier mit entsprechenden Umsetzungsfragen befassen.

 

 

Explore #more

10.07.2026 | KPMG Law Insights

Neues Verpackungsdurchführungsgesetz verschärft Pflichten für Unternehmen

  Co-Autorin: Séverine Sieprath, Director Audit, KPMG AG Wirtschaftsprüfungsgesellschaft   Das Verpackungsdurchführungsgesetz (VerpackDG), mit dem das deutsche Recht…

09.07.2026 | In den Medien

Gastbeitrag im Versicherungsmagazin: D&O-Versicherung – Rechtlicher Schutzschirm in stürmischen Zeiten

Haftungsrisiken für Führungskräfte nehmen spürbar zu: Neue regulatorische Anforderungen wie NIS-2, CSRD und das Lieferkettengesetz erhöhen die Verantwortung von Geschäftsleitern und Vorständen. Der Beitrag von

02.07.2026 | KPMG Law Insights

Einwurfeinschreiben bietet keinen sicheren Zugangsnachweis mehr – diese Alternativen gibt es

Das Einwurfeinschreiben im Rahmen der elektronischen Dokumentation begründet nicht mehr den Anscheinsbeweis für den Zugang eines Schriftstücks. Das hat das Bundesarbeitsgericht entschieden…

02.07.2026 | Dealmeldungen

KPMG Law advises Prinzhorn Group on the acquisition of German Stora Enso sites

KPMG Law  has advised Mosburger GmbH, a company of Dunapack Packaging and part of the Austrian Prinzhorn Group, on the acquisition of Stora Enso’s German…

02.07.2026 | In den Medien

KPMG Law Interview im Focus Business: Die EmpCo kommt: Nachhaltigkeitsmarketing wird zur Chefsache

Strengere EU‑Regeln setzen klarere Grenzen für Klimaversprechen und Social‑Claims. KPMG‑Law Expertin Manuela Meyer erklärt, welche Claims überprüft werden müssen und wie Unternehmen teure Fehler vermeiden…

29.06.2026 | KPMG Law Insights

Digitale Souveränität im Unternehmen verankern – rechtliche Anforderungen an IT-Systeme

Digitale Souveränität ist ein wichtiger strategischer Erfolgsfaktor und viele Maßnahmen sind auch gesetzlich vorgeschrieben. Unter anderem mit dem Data Act, NIS‑2, dem Cyber Resilience Act…

25.06.2026 | In den Medien

KPMG Law Interview in fvw I Traveltalk: Kommende EU-Pauschalreise-Richtlinie – „Für die Branche beginnt die eigentliche Arbeit erst jetzt“

Nach über zweieinhalb Jahren Dauer ist das Gesetzgebungsverfahren samt Veröffentlichung seit Kurzem abgeschlossen. Jetzt beginnt die Frist für Reiseveranstalter und Reisebüros – spätestens ab 29.…

24.06.2026 | Dealmeldungen

KPMG Law advised the shareholders of Zimmermann PV-Steel Group on the sale to Nextpower

KPMG Law Rechtsanwaltsgesellschaft mbH (KPMG Law) advised the shareholders of Zimmermann PV-Steel Group (Zimmermann) on the sale of the company to Nextpower™ (Nasdaq: NXT),  a…

23.06.2026 | KPMG Law Insights

Deutschland modernisiert das Schiedsverfahrensrecht

Die Bundesregierung hat am 10. Juni 2026 den Entwurf eines „Gesetzes zur Modernisierung des Schiedsverfahrensrechts“ vorgelegt. Damit möchte sie die gesetzlichen Regeln für die Streitbeilegung…

18.06.2026 | In den Medien

KPMG Law Gastbeitrag in Innovative Verwaltung: Schutz in stürmischen Zeiten

Organe kommunaler Unternehmen tragen ein persönliches, unbegrenztes Haftungsrisiko, das durch die Besonderheiten des öffentlichen Sektors zusätzlich exponiert ist. Eine D&O-Versicherung schützt Vermögen und deckt die…

Kontakt

Marc Pussar

Partner

THE SQUAIRE Am Flughafen
60549 Frankfurt am Main

Tel.: +49 69 951195-062
mpussar@kpmg-law.com

Jonas Sturies

Manager

THE SQUAIRE Am Flughafen
60549 Frankfurt am Main

Tel.: +49 69 951195 199
jsturies@kpmg-law.com

©2026 KPMG Law Rechtsanwaltsgesellschaft mbH, assoziiert mit der KPMG AG Wirtschaftsprüfungsgesellschaft, einer Aktiengesellschaft nach deutschem Recht und ein Mitglied der globalen KPMG-Organisation unabhängiger Mitgliedsfirmen, die KPMG International Limited, einer Private English Company Limited by Guarantee, angeschlossen sind. Alle Rechte vorbehalten. Für weitere Einzelheiten über die Struktur der globalen Organisation von KPMG besuchen Sie bitte https://home.kpmg/governance.

KPMG International erbringt keine Dienstleistungen für Kunden. Keine Mitgliedsfirma ist befugt, KPMG International oder eine andere Mitgliedsfirma gegenüber Dritten zu verpflichten oder vertraglich zu binden, ebenso wie KPMG International nicht autorisiert ist, andere Mitgliedsfirmen zu verpflichten oder vertraglich zu binden.

Scroll