PSD3: Ein Leitfaden für Banken zur Dritten Zahlungsdiensterichtlinie

Voraussichtlich ab 2027 (der endgültige Stichtag steht noch aus) müssen Banken und andere Einrichtungen, die elektronische Zahlungsdienste in der EU anbieten oder ermöglichen, die kommende Zahlungsdiensterichtlinie 3 (PSD3) und die Zahlungsdiensteverordnung (PSR) einhalten. Diese Vorschriften sind die jüngste Weiterentwicklung des durch PSD2 etablierten Open-Banking-Rahmens.

Im Gegensatz zu PSD2, das sich vor allem auf die Verbesserung von Wettbewerb und Sicherheit (insbesondere durch die starke Kundenauthentifizierung) konzentrierte, schafft PSD3 einen umfassenderen regulatorischen Rahmen. Der Fokus liegt auf Betrugsprävention, klareren Regelungen zum Datenaustausch und dem Schutz der Verbraucherrechte im Bereich digitaler Zahlungen.

Die Verordnung verlangt von Banken, ihre technische Infrastruktur zu verbessern und die Kundenbeziehungen zu stärken.

In diesem Artikel erklären wir, was PSD3 ist, welche Probleme damit gelöst werden sollen, den Zeitplan für die Einführung und wie sich Banken effektiv vorbereiten können.

PSD3 ist die nächste Entwicklungsstufe des regulatorischen Rahmens für Zahlungsdienste der EU-Kommission und zielt darauf ab, einen sichereren, integrierten und effizienteren EU-Zahlungsmarkt zu schaffen. Sie baut auf den Grundlagen von PSD1 (2007) und PSD2 (2015) auf.

Eine zentrale strukturelle Änderung ist die Aufteilung in zwei Teile:

• Zahlungsdiensterichtlinie 3 (PSD3): Die Richtlinie konzentriert sich auf den Betrieb der Zahlungsdienstleister, insbesondere auf die Zulassung und Lizenzierung von Zahlungsinstituten und E-Geld-Instituten. Nach der Veröffentlichung und formellen Annahme durch die EU-Kommission muss jeder EU-Mitgliedstaat PSD3 innerhalb eines bestimmten Zeitraums in nationales Recht umsetzen. Der Richtlinientext nennt explizit die Frist für die Umsetzung, in der Regel 18 bis 24 Monate nach Veröffentlichung.
• Zahlungsdiensteverordnung (PSR): Diese Verordnung beschreibt den operativen Rahmen und die Verhaltensregeln, die Zahlungsdienstleister einhalten müssen. Nach Veröffentlichung im Amtsblatt der EU tritt sie unmittelbar und verbindlich in allen EU-Mitgliedstaaten in Kraft – ohne nationale Umsetzungspflicht, also sofort oder ab einem im Text festgelegten Datum.

PSD3 modernisiert den bestehenden Zahlungsdienste-Rahmen und reagiert auf das hohe Innovationstempo und die Digitalisierung in diesem Sektor. Sie wird mit der bevorstehenden Financial Data Access (FiDA) Verordnung zusammenarbeiten, die Open Finance auf weitere Bereiche wie Sparen, Hypotheken, Pensionen, Investments, Versicherungen und andere Finanzdienstleistungen ausdehnt.

Eine der wichtigsten Neuerungen von PSD3 ist die Konsolidierung der regulatorischen Rahmenwerke: Die bisherige E-Geld-Richtlinie wird aufgehoben und E-Geld-Institute werden zu einer Unterkategorie der Zahlungsdienstleister (PSPs).

PSD3 wird auch die Regeln zur starken Kundenauthentifizierung (SCA) aktualisieren. Während PSD2 zwei verschiedene Authentifizierungsfaktoren aus unterschiedlichen Kategorien verlangte (Wissen, Besitz, Inhärenz), erlaubt der aktuelle Entwurf von PSD3 (vorbehaltlich Änderungen) auch zwei Faktoren aus derselben Kategorie (z.B. zwei wissensbasierte Faktoren wie Passwort und ein Erinnerungswort).

Außerdem wird die Barrierefreiheit für ältere Menschen, einkommensschwache Personen und Menschen mit Behinderungen verbessert, indem sichergestellt wird, dass die Authentifizierung nicht ausschließlich über Smartphones erfolgt.

Die PSD3 befindet sich noch im EU-Gesetzgebungsprozess, der grob wie folgt aussehen dürfte:

• Juni 2023: Die EU-Kommission veröffentlicht die ersten Vorschläge für PSD3 und die PSR.
• Q1–Q2 2025: Die Verhandlungen zwischen EU-Kommission, Parlament und Rat laufen, insbesondere zu offenen Themen wie Haftungsfragen bei Betrug über Technologieplattformen und Standards für Open Banking.
• Q3–Q4 2025: PSD3 und PSR sollen im Amtsblatt der EU veröffentlicht und formalisiert werden.
• 2026–2027: Die Mitgliedstaaten haben 18 Monate Zeit, PSD3 in ihrer nationalenRechtsordnung zu verankern. Die PSR tritt 21 Monate nach Veröffentlichung unmittelbar in Kraft (voraussichtlich Mitte 2027).
• Mitte 2027: Banken und andere Zahlungsdienstleister müssen die Vorgaben von PSD3 und PSR vollständig erfüllen – vorausgesetzt, die Verabschiedung erfolgt bis Ende 2025 oder Anfang 2026.

Banken in Deutschland und Österreich müssen sich an die EU-Termine halten. Schweizer Banken sind betroffen, wenn sie EU-Geschäfte vor Ort betreiben.

Die PSD3 bringt für Banken Herausforderungen, aber auch Chancen mit sich.

Um davon zu profitieren, sollten Banken:

• Strategisch vorgehen: PSD3 sollte nicht nur als Pflichtübung betrachtet werden. Die Veränderungen bieten Chancen, das eigene Angebot zu verbessern und neue Einnahmequellen zu erschließen (z.B. Premium-APIs oder personalisierte Kundenerlebnisse).
• Frühzeitig Lücken erkennen: Bestehende Systeme, Prozesse und Richtlinien analysieren und Anpassungsbedarf feststellen, um ausreichend Zeit und Ressourcen für die Umsetzung zu haben.
• Betrugsprävention verbessern: Systeme für Namen- und Kontonummernüberprüfung entwickeln oder aufrüsten, Betrugsmonitoring stärken und Protokolle für den Austausch von Betrugsdaten mit anderen Finanzdienstleistern einführen. Investitionen in Transaktionsüberwachung, die verdächtige Aktivitäten erkennt, können helfen, Haftungsrisiken zu minimieren.
• API-Infrastruktur modernisieren: API-Systeme überprüfen und an neue Anforderungen anpassen.
• Kundeneinwilligungen verwalten: Benutzerfreundliche Dashboards entwickeln, mit denen Kund:innen Datenfreigaben selbst verwalten können.
• Kundenbindung neu denken: Da PSD3 den Bankwechsel erleichtert, sollten Banken auf moderne digitale Erlebnisse, personalisierte Finanzübersichten und Zusatzservices wie Budgetierungs-Tools oder Bonusprogramme setzen, um die Bindung zu stärken.

Wer frühzeitig handelt, verschafft sich einen Wettbewerbsvorteil und stellt sicher, nicht wegen Fristversäumnissen mit empfindlichen Strafen belegt zu werden – diese können bei schwerwiegenden oder systematischen Verstößen bis zu 10 % des weltweiten Jahresumsatzes betragen!

Möchten Sie wissen, wie G+D Netcetera Ihre Bank dabei unterstützt, bei regulatorischen Änderungen immer up-to-date zu bleiben? Kontaktieren Sie unser Expertenteam.