Trilog abgeschlossen: Der nächste Schritt Richtung Payment Services Directive 3 und Payment Services Regulation

Parlament und Rat erzielen provisorische Einigung bei PSD3 und PSR

Mit der politischen Einigung zwischen Europäischem Parlament und Rat am 27. November 2025 wurde ein wesentlicher Meilenstein im Gesetzgebungsverfahren erreicht: Die Trilogverhandlungen zur neuen Payment Services Regulation (PSR) sowie der dritten Payment Services Directive (PSD3) sind abgeschlossen.

Mit dem Abschluss der Trilogverhandlungen sind die grundlegenden politischen Diskussionen beendet. Damit ist die Grundlage für die finale Ausarbeitung und formale Verabschiedung der Rechtsakte gelegt. Für Zahlungsdienstleister bedeutet dieser Schritt eine deutlich höhere Planungssicherheit. Ebenso lassen sich bereits jetzt konkrete Annahmen für die Analyse von Auswirkungen und die Vorbereitung der Umsetzung treffen.

Während wir in unserem letzten Blogbeitrag über die regulatorischen Streitfelder zwischen den gesetzgebenden Organen berichtet haben, konzentriert sich dieser Beitrag auf den aktuellen Stand des Gesetzgebungsverfahrens, die zu erwartenden finalen Regelungen sowie die Herausforderungen, die sich hieraus für Banken ergeben.

Wo wir im Gesetzgebungsprozess aktuell stehen

Derzeit befinden sich beide Rechtsakte in der technischen Finalisierung und juristisch-sprachlichen Prüfung. Hier wird aus den Beschlüssen und Kompromissen des Trilogs ein finaler (und in 24 Amtssprachen konsistenter) Gesetzestext geformt.

Im Anschluss hieran folgt die formale Verabschiedung durch Parlament und Rat sowie die Veröffentlichung im EU-Amtsblatt. Am 20. Tag nach der Veröffentlichung tritt die PSR als Verordnung unmittelbar in Kraft, während für die PSD3 eine nationale Umsetzungsfrist vorgesehen ist.

Blickt man auf die PSD2 zurück, so hat sich der Prozess zwischen Beendigung der Trilogverhandlungen und Veröffentlichung im Amtsblatt etwa 7 Monate hingezogen. Die Dauer zwischen Einigung im Trilog und finaler Veröffentlichung variiert je nach legislativer Komplexität. Für PSD3 und PSR halten wir eine Veröffentlichung im Sommer 2026 für realistisch.

Was im finalen Text erwartet wird

Die Pressemitteilung des Europäischen Parlaments macht den erwarteten regulatorischen Anspruch an Banken und Zahlungsdienstleister (PSP) deutlich. Beide Rechtsakte verfolgen eine stärkere Harmonisierung des europäischen Zahlungsverkehrs, erhöhten Schutz vor Betrug sowie gleiche Wettbewerbsbedingung im Markt.

Die PSR soll einen breiten Anwendungsbereich abdecken. Neben Banken und Zahlungsdienstleistern werden auch technische Dienstleister sowie in bestimmten Konstellationen auch Telekommunikationsanbieter oder Online-Plattformen einbezogen. Damit werden zentrale Anforderungen erstmals EU-weit unmittelbar einheitlich geregelt.

Mechanismen zur Betrugsprävention

In der PSR sollen deutlich verschärfte Anforderungen in Bezug auf Betrugsprävention gelten. Ein zentrales Element des finalen Regelwerks ist die erweiterte Verantwortung der Zahlungsdienstleister. So werden künftig PSPs verstärkt in die Haftung genommen, sofern unzureichende Schutzmechanismen implementiert wurden. In der praktischen Umsetzung lassen sich diese neuen Pflichten in drei Kernbereiche unterteilen:

1. Interne Prävention: Monitoring, Verification of Payee und Aufklärung

Ein zentraler Schutzmechanismus zur Betrugsprävention sieht das Ablehnen oder Einfrieren von Transaktionen vor. Hierbei werden sowohl die Zahlungsdienstleister auf der Auftraggeber- als auch Empfängerseite in die Pflicht genommen. Zahlungsdienstleister eines Auftraggebers müssen zukünftig verdächtige Zahlungen ablehnen. Unterlässt ein Institut dies trotz eines objektiv begründeten Betrugsverdachts, haftet dieses unmittelbar für den entstandenen Schaden. Ergänzend müssen Zahlungsdienstleister auf Empfängerseite den Betrag auffälliger Zahlungen bei begründetem Verdacht dem Begünstigten nicht zur Verfügung stellen.

Neben einer Ausweitung des Verification of Payee auf Überweisungen in sämtlichen EU-Währungen, verpflichtet die PSR Banken zur Einrichtung eines umfassenden, risikobasierten Transaktionsmonitorings. Banken müssen in der Lage sein, Betrugsmuster in Echtzeit zu erkennen und dabei eine Vielzahl spezifischer Kriterien zu berücksichtigen.

Dazu gehört beispielsweise der Abgleich mit bekannten Betrugsszenarien und kompromittierten oder gestohlenen Authentifizierungselementen. Sofern die Bank das Zugangsgerät oder die Software selbst bereitstellt, ist zudem eine lückenlose Protokollierung der Nutzung sowie die Erkennung von anomalem Nutzungsverhalten zur frühzeitigen Unterbindung unautorisierter Zugriffe erforderlich.

Zusätzlich zur technischen Überwachung rücken Aufklärung und Prävention in den Fokus: Banken müssen ihre Kunden künftig proaktiv über neue Betrugsmaschen informieren und technische Schutzmaßnahmen gegen Identitätsbetrug implementieren. Intern wird zudem eine jährliche Schulungspflicht für alle relevanten Mitarbeiter eingeführt, um das Fachwissen über aktuelle Betrugsrisiken dauerhaft sicherzustellen.

2. Die kollaborative Betrugsbekämpfung

Die PSR etabliert ergänzend einen neuen Standard der kollaborativen Betrugsbekämpfung zwischen PSPs. Zahlungsdienstleister müssen künftig Informationen über betrugsbezogene Daten über eine dedizierte Plattform untereinander teilen. Dabei dürfen die Informationen von anderen Instituten nicht ungeprüft zu negativen Auswirkungen, wie beispielsweise einer Beendigung der Geschäftsbeziehungen, führen. Bevor Institute an einem Datenaustausch teilnehmen, ist zwingend eine Datenschutz-Folgenabschätzung (DSFA) durchzuführen. Zudem ist die Speicherung dieser geteilten Daten streng auf maximal fünf Jahre nach dem Vorfall begrenzt.

Ein Novum ist die Einbindung großer Online-Plattformen in das Haftungsgefüge. Diese treten künftig gegenüber den Banken in die Haftung, wenn sie trotz Hinweisen betrugsfördernde Inhalte nicht entfernen und dadurch Erstattungsleistungen bei den Zahlungsdienstleistern auslösen.

3. Kundenschnittstelle: Limits, Sperrfunktionen und neue Interventionsrechte

Die dritte Säule der PSR-Betrugsprävention fokussiert sich auf die direkte Schnittstelle zum Kunden und greift dabei in die Limit-Steuerung ein.

Zur Reduzierung und Prävention von Betrugsrisiken müssen PSPs ihren Kunden künftig umfassende Funktionen zur eigenständigen Verwaltung von Zahlungs- und Ausgabenlimits sowie unmittelbare Sperr- und Blockierungsmöglichkeiten bereitstellen. Diese Limits sollen je nach Zahlungsart oder Zeitraum individuell durch den Nutzer definiert werden können.

Dabei verschieben sich die Befugnisse deutlich. Während es dem Kunden gestattet ist, seine Limits jederzeit anzupassen, wird es dem Zahlungsdienstleister untersagt, einmal im Rahmenvertrag festgelegte Limits einseitig zu verändern. . Flankierend zu diesen Kundenrechten wird den Instituten jedoch das ausdrückliche Recht eingeräumt, Zahlungen unter bestimmten Voraussetzungen proaktiv zu stoppen.

Transparenz im Zahlungsverkehr: Informationspflichten und operative Anforderungen

Um Kunden vor verdeckten Kosten zu schützen, verschärft die PSR die Transparenzpflichten sowohl auf vertraglicher Ebene als auch im operativen Tagesgeschäft.

Bereits in den Rahmenverträgen müssen Zahlungsdienstleister künftig detaillierte Angaben zu Entgelten für inländische Bargeldabhebungen machen und dabei nach eigenen Automaten, Partnernetzwerken und Drittbetreibern differenzieren. Bei grenzüberschreitenden Zahlungen außerhalb der Union tritt zudem die Pflicht hinzu, die geschätzte Transferdauer anzugeben.

Ein technischer Schwerpunkt liegt auf der Währungsumrechnung: Vor jeder Transaktion muss dem Nutzer künftig der geschätzte Entgeltbetrag sowie der prozentuale Aufschlag gegenüber einem Referenzkurs offengelegt werden. Dieser Referenzkurs muss auf einer „aggregated mid-market exchange rate“ eines IOSCO-konformen Administrators basieren und eine Aktualität von maximal 10 Minuten aufweisen.

Herausforderungen ergeben sich zudem aus der neuen Belegpflicht an Geldautomaten. Die Verordnung sieht vor, dass Entgelte künftig nicht nur am Bildschirm angezeigt, sondern zusätzlich auf einem dauerhaften Datenträger – in der Regel einem Papierbeleg – ausgegeben werden müssen. In Deutschland verfügt ein Großteil der Geldautomaten nicht über eine Druckfunktion was zu einer Debatte über die technische Machbarkeit und Wirtschaftlichkeit führt. Neben den hohen Nachrüstungskosten können hierbei auch Nachhaltigkeitsaspekte sowie potenzielle Sicherheitsrisiken durch zurückgelassene Belege als kritische Faktoren angeführt werden.

Open Banking und Dashboard

Wie bereits aus der PSD2 bekannt, konkretisiert die PSR die Anforderungen an kontoführende Zahlungsdienstleister im Open-Banking-Kontext. Zahlungsdienstleister, die ein online zugängliches Zahlungskonto bereitstellen, sind weiterhin verpflichtet, mindestens eine dedizierte Schnittstelle für den Datenaustausch mit Kontoinformations- und Zahlungsauslösediensten entgeltfrei zur Verfügung zu stellen. Damit wird die dedizierte Schnittstelle zum alleinigen Zugangspunkt für Open-Banking-Dienste.

Ergänzend stärkt die PSR die Kontrolle der Zahlungsdienstnutzer über ihre Datenzugriffe. Kontoführende Zahlungsdienstleister sind verpflichtet, ihren Kunden mit Online-Zugang zum Zahlungskonto ein in die Benutzeroberfläche integriertes Dashboard zur Verfügung zu stellen, über das erteilte Zugriffsberechtigungen für Kontoinformations- und Zahlungsauslösedienste überwacht und gesteuert werden können. Das Dashboard muss dem Kunden jederzeit eine verständliche Übersicht über bestehende Berechtigungen – auch für wiederkehrende oder mehrere Zahlungen – bieten und den kostenfreien Widerruf einzelner oder sämtlicher Datenzugriffe ermöglichen.

Herausforderungen

Mit den bevorstehenden Rechtsakten gehen die regulatorischen Anforderungen deutlich über punktuelle Anpassungen hinaus. Die neuen Vorgaben greifen tief in bestehende IT-Architekturen, Prozesse, Organisationsstrukturen und Geschäftsmodelle ein und betreffen den Zahlungsverkehr in seiner gesamten operativen Breite. Die nachfolgenden Punkte skizzieren einige Herausforderungen, die sich aus den erwarteten finalen Regelungen ergeben.

Haftungsabgrenzung, Risikoverschiebung und Zeitdruck

Trotz der im Trilog vorgenommenen Einschränkung der Haftung bei Identitätsbetrug bleibt die Abgrenzung im Einzelfall anspruchsvoll. Banken müssen rechtssicher beurteilen können, ob ein Betrugsfall unter die Haftungsregel fällt oder ob dem Kunden grobe Fahrlässigkeit vorzuwerfen ist, welche wiederum vom PSP zu beweisen ist.

Gleichzeitig besteht die Gefahr einer strukturellen Risikoverschiebung von Kunde zu PSP, welche auf Kundenseite Anreize für eine „All-Risks-Versicherung“-Mentalität führen kann. Banken müssen dabei ein Risiko tragen, welches sie kaum steuern können und außerhalb ihres Verantwortungsbereichs liegt.

Verschärft wird diese Situation durch den Zeitfaktor: Eine Vielzahl der regulatorischen Anforderungen trifft auf ambitionierte Umsetzungsfristen. Der Zeitdruck wird damit selbst zu einem zentralen Risiko für eine konsistente und wirtschaftlich tragfähige Umsetzung.

IT-Architektur unter Echtzeitdruck

Die PSR bündelt verschiedene Echtzeitanforderungen, welche bestehende Kernbanksysteme vor Herausforderungen stellen können. Banken müssen künftig Wechselkurse auf Basis externer Referenzdaten, wie etwa IOSCO-konforme Wechselkurse, in einem definierten Zeitintervallen aktualisieren und diese konsistent über alle Kanäle bereitstellen. Parallel sind Transaktionsmonitoring, Verification of Payee sowie Interventionsentscheidungen innerhalb kürzester Zeit zu treffen.

Für viele Institute bedeutet dies, dass historisch gewachsene Systemlandschaften an ihre technischen Grenzen stoßen können. Um regulatorische Latenzvorgaben stabil einzuhalten, werden Modernisierungen der IT-Architektur, wie beispielsweise an den Schnittstellen zwischen Zahlungsverkehr, Fraud-Systemen und Frontends erforderlich sein.

Transparenzanforderungen vs. operative Realitäten

Die erweiterten Transparenzpflichten führen zu Herausforderungen in der praktischen Umsetzung im Zusammenspiel von Systemarchitektur, Prozessen und Ausgabekanälen.

Neben externer Referenzdaten sind gleichzeitig physische und digitale Ausgabekanäle regulatorisch abzusichern, um Abweichungen in der Kosteninformation zu vermeiden.

Besonders deutlich wird der Konflikt in der Bargeldinfrastruktur: Die neue Belegpflicht an Geldautomaten könnte sich als kritischer Faktor für die Zukunft einzelner Standorte erweisen. Viele Automaten in Deutschland verfügen bislang nicht über die erforderliche Hardware, sodass kostenintensive Nachrüstungen notwendig werden. Überschreiten diese Investitionen den wirtschaftlichen Ertrag einzelner Filialen oder Standorte, droht eine weitere Ausdünnung der Bargeldversorgung – und damit ein Effekt, der den mit der PSD3 verfolgten Zielen einer Stärkung des Bargeldzugangs entgegenläuft.

Zielkonflikt zwischen Kundenerlebnis und Sicherheit

Mit erweiterten Limit-, Sperr- und Interventionsrechten verlagert die PSR Sicherheitsmechanismen stärker auf die Kundenseite. Dies erhöht zwar den Schutz vor Social-Engineering-Angriffen, geht jedoch zulasten von Komfort und Geschwindigkeit.

Banken müssen diesen Zielkonflikt aktiv steuern: Einerseits wird dem Kunden mehr Kontrolle eingeräumt, andererseits bleibt der Zahlungsdienstleister haftbar, wenn Schutzmechanismen als unzureichend bewertet werden. Prozesse und Benutzeroberflächen werden damit zu einem sicherheits- und haftungsrelevanten Faktor.

Prozessuale und datenschutzrechtliche Komplexität im Open Banking

Die Einführung des verpflichtenden Dashboards für Datenzugriffe erhöht die prozessuale Komplexität erheblich. Eine im Trilog zur Debatte stehende geplante Wiederherstellungsfrist nach einem Datenentzug erfordert eine enge Synchronisation zwischen kontoführender Bank und Drittanbietern, damit der Datenfluss ohne erneute, kundenbelastende Authentifizierung wieder aufgenommen werden kann.

Parallel dazu etabliert die PSR neue Formen der kollaborativen Betrugsbekämpfung durch den Austausch betrugsbezogener Informationen zwischen Zahlungsdienstleistern. Dieser Datenaustausch steht in einem sensiblen Spannungsverhältnis zum Datenschutzrecht und erfordert Governance-, Prüf- und Dokumentationsprozesse zur Vermeidung von Fehlbewertungen und unzulässige Folgeentscheidungen.

Fazit

Ob die PSD3 und die PSR tatsächlich die richtigen Lehren aus der PSD2 zieht, wird sich erst in der praktischen Umsetzung zeigen. Die PSR stellt zwar keine Revolution dar, erfordert jedoch teilweise komplexe Anpassungen an unterschiedlichen Stellen der System- und Prozesslandschaft von Banken.

Bleibt der Spielraum für wirtschaftliche Steuerung, marktorientierte Entgeltmodelle und eine praxisnahe Ausgestaltung begrenzt, besteht das Risiko, dass regulatorische Ziele zwar formal erreicht werden, Effizienz- und Innovationspotenziale jedoch erneut ungenutzt bleiben und somit eines der Hauptziele der neuen Rechtsakte verfehlt wird.