Regulierung6. Juli 2023

PSD3 & PSR – Was auf den Zahlungsverkehr in Europa zukommt

Von Dr. Andreas Windisch
Asquared Blog Post DE - PSD3 & PSR (976 Downloads )
Die EU hat Ende Juni 2023 ein umfassendes Paket zur Modernisierung des Zahlungsverkehrs vorgestellt: die neue Zahlungsdiensterichtlinie PSD3 und die ergänzende Verordnung über Zahlungsdienste (PSR). Ziel sind mehr Sicherheit, Innovation und fairer Wettbewerb. Banken, FinTechs und Verbraucher müssen sich auf tiefgreifende Veränderungen einstellen. Die Umsetzung wird Jahre dauern, doch erste Schritte sind bereits jetzt erforderlich.

Die PSD2 ist nicht mehr ausreichend

Mit der zweiten Zahlungsdiensterichtlinie (PSD2) schuf die EU 2015 den Rechtsrahmen für den digitalen Zahlungsverkehr. Sie brachte große Fortschritte: Verbraucher wurden besser geschützt, neue Akteure wie FinTechs konnten am Markt Fuß fassen, und mit der „starken Kundenauthentifizierung“ (SCA) wurde ein hoher Sicherheitsstandard etabliert. Seit ihrer vollständigen Umsetzung im Jahr 2019 ist jedoch klar geworden, dass die Realität komplexer ist als der Gesetzgeber damals annahm.

Zum einen ist der Zahlungsmarkt deutlich dynamischer geworden: Digitale Zahlungen und E-Commerce boomen, während Bargeld an Bedeutung verliert. Gleichzeitig entstehen neue Betrugsmaschen, etwa Social-Engineering-Angriffe, die nicht durch technische Sicherheitsmaßnahmen allein zu verhindern sind. Auch die Umsetzung der PSD2 verlief in den Mitgliedstaaten uneinheitlich, was zu regulatorischer Fragmentierung führte. Schließlich zeigte sich, dass Open Banking zwar gestartet ist, aber durch technische Hürden und uneinheitliche Schnittstellen ausgebremst wurde.

Vor diesem Hintergrund präsentierte die Europäische Kommission am 28. Juni 2023 ein neues Paket, das die PSD2 ablösen und weiterentwickeln soll: die PSD3 und die begleitende PSR.

Zwei Bausteine für die Zukunft: PSD3 und PSR

Die Reform beruht auf einer zweigleisigen Struktur.

  1. PSD3 als Richtlinie: Sie konzentriert sich auf Fragen der Zulassung, Aufsicht und Organisation von Zahlungsinstituten und E-Geld-Instituten. Sie definiert also, wer Zahlungsdienste erbringen darf, unter welchen Bedingungen dies geschieht und wie die Aufsicht funktioniert.
  2. PSR als Verordnung: Sie legt unmittelbar geltende Regeln für Geschäftsbeziehungen, Verbraucherrechte und Transparenz fest. Da eine Verordnung direkt in allen Mitgliedstaaten gilt, sollen Unterschiede in der Umsetzung künftig vermieden werden.

Mit dieser Kombination will die EU einheitlichere Rahmenbedingungen schaffen und gleichzeitig ausreichend Flexibilität für nationale Aufsichtsstrukturen erhalten.

Die Ziele sind dabei klar formuliert (vgl. Abbildung 1): Es geht darum, Zahlungsbetrug zu verringern, Verbraucherrechte zu stärken, faire Wettbewerbsbedingungen zwischen Banken und Nichtbanken sicherzustellen, Open Banking praxistauglicher zu machen und die Bargeldversorgung in Europa zu sichern.

Ziele der PSD3 sowie der PSR (Stand Juli 2023)

Die wichtigsten Neuerungen im Detail

Die Vorschläge der Kommission enthalten eine ganze Reihe von Maßnahmen, die in Summe einen deutlichen Wandel für die Branche bedeuten.

Ein erster großer Schritt ist die Integration des E-Geld-Regimes. Bisher existierte neben der PSD2 eine eigenständige E-Geld-Richtlinie. Dies führte zu doppelten Regeln, unterschiedlichen Zulassungsverfahren und einem Nebeneinander zweier Regime. Mit PSD3 soll diese Parallelstruktur aufgehoben werden: E-Geld-Institute werden künftig wie Zahlungsinstitute behandelt, auch wenn für bestimmte Besonderheiten des E-Gelds eigene Vorschriften bestehen bleiben.

Eine weitere Neuerung betrifft das Open Banking. Unter PSD2 hatten Banken die Wahl, Drittanbietern entweder eine eigene Schnittstelle (API) oder – im Zweifel – den Zugang über bestehende Online-Banking-Kanäle zu ermöglichen. In der Praxis führte dies zu erheblichen Reibungen. Mit PSD3 und PSR wird nun klargestellt: Banken müssen dedizierte APIs bereitstellen, die frei von künstlichen Hürden sind. Zugleich wird ein Dashboard für Verbraucher vorgeschrieben, über das diese ihre Einwilligungen verwalten und Datenfreigaben widerrufen können.

Auch die Bekämpfung von Zahlungsbetrug steht im Zentrum. Ein zentrales Element ist der Abgleich von Empfängername und IBAN vor jeder Überweisung. Diese Maßnahme, die bislang nur für Instant Payments vorgesehen war, soll nun EU-weit verpflichtend für alle Überweisungen eingeführt werden. Zudem wird die Möglichkeit geschaffen, dass Zahlungsdienstleister Daten über Betrugsfälle austauschen, um Muster frühzeitig zu erkennen. Schließlich wird die starke Kundenauthentifizierung modernisiert und erweitert, damit sie nicht nur sicher, sondern auch für alle Nutzergruppen zugänglich ist.

Auch Nichtbanken werden gestärkt. Zahlungsinstitute sollen künftig gesicherten Zugang zu Zahlungssystemen erhalten, die bisher vielfach nur Banken vorbehalten waren. Zudem haben sie ein Recht auf ein Bankkonto, sodass das sogenannte „De-Risking“ – die Praxis von Banken, FinTechs vorsorglich den Zugang zu Konten zu verweigern – eingedämmt wird.

Nicht zuletzt widmet sich die Reform auch dem Thema Bargeld. Händler sollen künftig Bargeldauszahlungen ohne Kaufzwang anbieten dürfen, also „Cashback“ an der Supermarktkasse auch dann, wenn der Kunde nichts einkauft. Zugleich werden für unabhängige Geldautomaten-Betreiber klare Transparenzpflichten eingeführt: Kunden müssen vor jeder Abhebung sehen können, welche Gebühren anfallen.

Auswirkungen auf Banken, FinTechs und Verbraucher

Die Reform wird alle Akteure im Zahlungsverkehr betreffen – wenn auch in unterschiedlicher Weise.

Für Banken bedeutet die PSD3/PSR-Reform zunächst erhebliche Investitionen. Sie müssen leistungsfähige APIs entwickeln, Kundendashboards einführen und ihre Systeme für neue Betrugskontrollen aufrüsten. Der Compliance-Aufwand steigt, da Transparenz- und Informationspflichten verschärft werden. Gleichzeitig entsteht mehr Wettbewerb, da Nichtbanken besseren Zugang zu Infrastruktur erhalten. Auf der positiven Seite profitieren Banken aber von einem einheitlicheren Rechtsrahmen, der grenzüberschreitende Geschäfte erleichtert und regulatorische Unsicherheiten reduziert.

Für FinTechs und Zahlungsinstitute sind die Änderungen ambivalent. Einerseits werden Marktzugang und Expansion erleichtert, da viele Regeln künftig europaweit einheitlich gelten. Der gesicherte Zugang zu Zahlungssystemen und das Recht auf Bankkonten beseitigen wesentliche Hürden, die bislang das Geschäft erschwerten. Andererseits steigen die Anforderungen: Safeguarding von Kundengeldern, SCA-Umsetzung und erweiterte Betrugsprävention verlangen zusätzliche Ressourcen und Investitionen. Langfristig dürfte sich dies aber lohnen, da ein strenger reguliertes Umfeld mehr Vertrauen bei Kunden und Investoren schafft.

Für Verbraucher schließlich versprechen PSD3 und PSR spürbare Verbesserungen. Sie erhalten mehr Sicherheit durch den verpflichtenden Namens-IBAN-Abgleich, mehr Rechte bei Betrugsfällen – auch wenn Zahlungen durch Social Engineering autorisiert wurden –, und bessere Transparenz bei Entgelten. Über das Open-Banking-Dashboard behalten sie die Kontrolle über ihre Daten und können Einwilligungen einfach widerrufen. Auch die Möglichkeit, im Supermarkt Bargeld abzuheben, erweitert die Optionen im Alltag. Insgesamt sollen Verbraucher mehr Auswahl, Sicherheit und Kontrolle im Zahlungsverkehr erhalten.

Die Kommission plant zudem, die Rolle der European Banking Authority (EBA) zu stärken. Sie soll nicht nur technische Standards entwickeln, sondern auch den Austausch zwischen nationalen Aufsichtsbehörden koordinieren. Damit soll eine einheitlichere Durchsetzung der Vorschriften gewährleistet werden.

Trotz klarer Zielsetzungen bleiben viele Fragen offen. Dazu zählen insbesondere die Haftungsregeln bei Betrugsfällen, die genaue Ausgestaltung der API-Standards und die Frage, wie nationale Sonderwege (etwa bei Bargeldnutzung oder Sanktionen) vermieden werden können. Auch die praktische Umsetzung der SCA-Ausnahmen könnte noch zu Diskussionen führen.

Voraussichtliche Timeline

Zum jetzigen Zeitpunkt lässt sich nur eine grobe Planung skizzieren. Erwartet wird, dass die politischen Beratungen im Parlament und im Rat im zweiten Halbjahr 2023 beginnen und sich bis weit ins Jahr 2024 erstrecken. Anschließend dürfte es in die Trilog-Verhandlungen zwischen den EU-Institutionen gehen, die voraussichtlich 2024 oder 2025 abgeschlossen werden.

Wenn dieser Fahrplan eingehalten wird, könnte die Verabschiedung des finalen Textes ab 2025 erfolgen. Danach greifen Übergangsfristen: Die Verordnung (PSR) wird wohl erst 18 bis 21 Monate nach Inkrafttreten anwendbar sein, und die Richtlinie (PSD3) muss innerhalb derselben Zeit von den Mitgliedstaaten umgesetzt werden. Damit ist es realistisch, dass die neuen Regeln 2026/27 im Markt spürbar werden.

  • 28. Juni 2023: Veröffentlichung durch die Europäische Kommission
  • H2 2023 – H1 2024: Beratungen im Parlament und im Rat der EU
  • H2 2024 – H1 2025: Trilog-Verhandlungen und Abschluss eines Kompromisses
  • Ab 2025: formale Verabschiedung und Veröffentlichung im Amtsblatt
  • Nach 18–21 Monaten: Anwendung der PSR sowie Umsetzung der PSD3 in nationales Recht
  • Ab 2026/27: erste praktische Wirksamkeit der neuen Regeln im Markt

To-Dos für Marktteilnehmer

Auch wenn die konkreten Verhandlungen erst beginnen, ist für Banken, FinTechs und Zahlungsdienstleister klar: Die Richtung ist vorgegeben. Bereits heute sollten erste Vorbereitungen getroffen werden, um später nicht in Zeitnot zu geraten. Dazu gehören:

  • Banken sollten jetzt Roadmaps entwickeln, wie sie APIs, Fraud-Checks und Dashboards aufbauen können.
  • FinTechs sind gut beraten, ihre Compliance-Readiness zu prüfen und mögliche Anpassungen der Lizenzstrategie frühzeitig zu planen.
  • Anbieter mit direktem Kundenkontakt sollten überlegen, wie sie künftige Änderungen an Zahlungsabläufen oder Informationspflichten verständlich kommunizieren.
  • Führungskräfte in allen Häusern sollten bereits Budgetrahmen und Projektstrukturen einplanen, um beim Inkrafttreten der Regeln schnell handlungsfähig zu sein.

Fazit

PSD3 und PSR sind keine Revolution, aber eine konsequente Weiterentwicklung. Sie verbinden den Schutz der Verbraucher mit der Förderung von Innovation und Wettbewerb. Wer sich frühzeitig auf die Änderungen einstellt, kann nicht nur Risiken vermeiden, sondern auch Chancen für neue Geschäftsmodelle und Kundenbeziehungen nutzen.

Quellen

  1. Europäische Kommission, „Financial Data Access and Payments Package: Questions and Answers“, 28. Juni 2023, Link
  2. Europäische Kommission, „Payment services: Commission proposes new rules to enhance protection of consumers and competition in electronic payments“, 28. Juni 2023, Link
  3. European Banking Authority (EBA), „EBA welcomes the European Commission’s proposal on the revision of PSD2“, 28. Juni 2023, Link
  4. BaFin, „PSD3 und PSR: EU-Kommission legt Entwurf für neue Zahlungsdienste-Regeln vor“, Juli 2023, Link

Dr. Andreas Windisch

Andreas ist Unternehmer und Berater in den Bereichen Automotive, Banking und Financial Services und beschäftigt sich seit über 20 Jahren mit der Entwicklung Software-basierter Systeme. Vor der Gründung von asquared war er bereits viele Jahre als Berater in verantwortlichen Rollen u.a. für den Aufbau der Kooperationsinitiativen paydirekt und verimi tätig.

Kommentar

Dieser Beitrag wurde noch nicht kommentiert.

Schreibe einen Kommentar