Was sind die Neuerungen beim Open Banking?

PSR überarbeitet das Open-Banking-Regime grundlegend. Kontoführende Zahlungsdienstleister müssen Drittdienstleistern (AISPs, PISPs) über dedizierte Schnittstellen Zugang zu Kontodaten gewähren. Die bisherige Fallback-Pflicht (Bildschirmscraping als Reserve) entfällt, wenn die Schnittstelle die Performance-Anforderungen der PSR erfüllt. Neu ist ein Rahmen für Finanzdatenzugang (Financial Data Access, FIDA), der langfristig den Kontozugang über Zahlungsdaten hinaus erweitert.

Unternehmens-Compliance Datenschutz DORA Informationssicherheit

PSD3 und PSR: Neues Recht für Zahlungsdienste.

Q: Wen betreffen PSD3 und PSR?

PSD3 und PSR richten sich an alle Zahlungsdienstleister im Sinne der Richtlinie: Kreditinstitute, Zahlungsinstitute, E-Geld-Institute, Postgirodienste sowie neu hinzugekommene Kategorien wie bestimmte Krypto-Dienstleister, soweit sie Zahlungsfunktionen anbieten. Auch Kontoinformationsdienstleister (AISPs) und Zahlungsauslösedienstleister (PISPs) bleiben erfasst, profitieren aber von erleichterten Marktzugangsbedingungen.

Q: Was ändert sich bei der Starken Kundenauthentifizierung (SCA)?

Das SCA-Regime wird in der PSR vollständig neu kodifiziert. Die Grundanforderungen bleiben erhalten: zwei von drei Faktoren (Wissen, Besitz, Inhärenz), Transaktionsbindung (dynamische Verknüpfung). Ausnahmen werden präzisiert und teilweise erweitert, unter anderem für risikobasierte Transaktionsüberwachung und wiederkehrende Zahlungen an vertrauenswürdige Empfänger. Die bisherigen RTS-Regelwerke der EBA werden sukzessive durch PSR-Delegierte Rechtsakte abgelöst.

Q: Wann gelten PSD3 und PSR in Deutschland?

Nach der Trilog-Einigung im November 2025 muss der Text noch formal von Europäischem Parlament und Rat verabschiedet und im Amtsblatt der EU veröffentlicht werden. Die PSR gilt 18 Monate nach Veröffentlichung unmittelbar. Für PSD3 haben die Mitgliedstaaten ebenfalls 18 Monate Umsetzungsfrist. Mit einer vollständigen Anwendbarkeit ist frühestens Ende 2027 zu rechnen.

Im November 2025 haben Europäisches Parlament und Rat eine Trilog-Einigung erzielt. PSD3 und die Payment Services Regulation reformieren Betrugsschutz, Open Banking und Starke Kundenauthentifizierung grundlegend.

Nov. 2025

Trilog-Einigung zu PSD3 und PSR zwischen Parlament, Rat und Kommission

18 Monate

Umsetzungsfrist ab Veröffentlichung im Amtsblatt der EU; PSR gilt unmittelbar

2027

frühestmögliche vollständige Anwendbarkeit in Deutschland (nach OJ-Veröffentlichung)

Hintergrund

Von PSD2 zu PSD3: Warum das Zahlungsdienstrecht reformiert wird.

Die Zahlungsdiensterichtlinie PSD2 hat seit 2018 die Grundlagen für Open Banking und Starke Kundenauthentifizierung geschaffen. In der Praxis zeigten sich jedoch erhebliche Defizite: Open-Banking-Schnittstellen waren unzuverlässig, Betrugsschutz lückenhaft und Wettbewerbsverzerrungen zwischen Banken und Fintechs ungelöst. Die Europäische Kommission legte im Juni 2023 einen Reformvorschlag vor.

Das neue Regelwerk teilt sich in zwei Rechtsakte: Die Payment Services Regulation (PSR) als direkt anwendbare Verordnung und PSD3 als Richtlinie für Zulassung und Aufsicht. Diese Trennung ermöglicht eine einheitlichere Rechtsanwendung im Binnenmarkt als die bisherige Richtlinie, die nationalen Spielraum ließ.

Stand des Verfahrens

Nach der Trilog-Einigung im November 2025 stehen die formale Annahme durch Parlament und Rat sowie die Veröffentlichung im Amtsblatt noch aus. Mit einer Anwendbarkeit der PSR ist frühestens Ende 2027 zu rechnen. Zahlungsdienstleister sollten die Vorbereitungszeit nutzen.

Auf dieser Seite

PSR vs. PSD3: zwei Rechtsakte, eine Reform
Wer betroffen ist (ZAG, Banken, Fintechs, Krypto-PSPs)
IBAN-Namensabgleich und neues Betrugs-Haftungsregime
Open Banking nach PSR: dedizierte Schnittstellen, kein Fallback
SCA-Neuerungen und neue Delegierte Rechtsakte
Zeitplan: Trilog, OJ-Veröffentlichung, Anwendbarkeit

Kernreformen

Die vier zentralen Reformbereiche der PSR.

Betrugsschutz und Haftung

Verpflichtender IBAN-Namensabgleich vor jeder Überweisung
Warn- und Hinweispflicht bei Namensabweichung
Neue Haftungsregeln bei APP-Fraud (Authorised Push Payment)
Schadensersatz möglich bei Verletzung der Betrugsschutzpflichten

Open Banking und FIDA

Pflicht zu leistungsfähigen, dedizierten Schnittstellen
Wegfall des Fallback-Scraping bei normkonformen APIs
Stärkere Durchsetzungsrechte für AISPs und PISPs
Vorbereitung auf Financial Data Access (FIDA) ab 2027

Starke Kundenauthentifizierung

SCA-Anforderungen vollständig in PSR kodifiziert
Ausnahmen präzisiert: risikobasierte TRA, vertrauenswürdige Empfänger
EBA-RTS werden durch PSR-Delegierte Rechtsakte abgelöst
Stärkere Anforderungen an Transaktionsbindung

Marktzugang und Aufsicht

Erleichterter Marktzugang für AISPs (vereinfachte Zulassung)
Recht auf Zugang zu Zahlungssystemen für Nicht-Banken
Harmonisiertes ZAG-Pendant in Deutschland nach PSD3-Umsetzung
Erweiterter Anwendungsbereich: auch bestimmte Krypto-Zahlungsdienste

Zwei Rechtsakte

PSR und PSD3: Was gilt wann und für wen.

PSR – Payment Services Regulation

EU-Verordnung; gilt unmittelbar nach Ablauf der 18-Monats-Frist; kein nationaler Umsetzungsakt; enthält die Kernregeln für Betrugsschutz, SCA, Open Banking, Transparenz

PSD3 – Payment Services Directive 3

EU-Richtlinie; muss von Mitgliedstaaten umgesetzt werden (ZAG-Novelle in D); regelt Zulassung, Aufsicht und institutionellen Rahmen für Zahlungsinstitute

Die Zweiteilung soll eine einheitlichere Anwendung des Zahlungsdienstrechts im Binnenmarkt gewährleisten als die bisherige PSD2-Richtlinie, die erhebliche nationale Spielräume ließ.

Zusammenspiel mit DORA

Was Zahlungsdienstleister zusätzlich zu beachten haben.

Zahlungsdienstleister, die unter DORA fallen (alle unter PSD2/PSD3 zugelassenen PSPs), müssen parallel die IKT-Risikomanagement-, Melde- und Drittparteimanagement-Anforderungen der DORA-Verordnung erfüllen. DORA ist seit dem 17. Januar 2025 anwendbar.

Die Sicherheitsanforderungen von PSR (insbesondere für SCA und Betrugsüberwachung) und DORA-IKT-Sicherheit überlappen sich inhaltlich. Eine integrierte Umsetzung vermeidet Doppelarbeit.

Hintergrund

DORA verweist für operative IKT-Sicherheitsanforderungen ausdrücklich auf sektorale Rechtsakte wie PSD2 (künftig PSR). Die PSR-Umsetzung sollte daher von Beginn an DORA-kompatibel geplant werden.

FAQ

Häufige Fragen zu PSD3 und PSR.

Verwandte Themen

Was ist der Unterschied zwischen PSD3 und PSR?+

Das neue Zahlungsdienstrecht besteht aus zwei Rechtsakten. Die PSR ist eine EU-Verordnung und gilt unmittelbar, ohne nationalen Umsetzungsakt. Sie enthält die Kernregeln für Betrugsschutz, SCA und Open Banking. PSD3 ist eine Richtlinie, die vor allem Zulassungs- und Aufsichtsregeln enthält und in Deutschland eine ZAG-Novelle erfordert.

Wen betreffen PSD3 und PSR?+

Alle Zahlungsdienstleister: Kreditinstitute, Zahlungsinstitute, E-Geld-Institute sowie Kontoinformationsdienstleister (AISPs) und Zahlungsauslösedienstleister (PISPs). Neu erfasst werden bestimmte Krypto-Dienstleister, soweit sie Zahlungsfunktionen anbieten. AISPs profitieren von erleichterten Marktzugangsbedingungen.

Was ändert sich beim Schutz vor Zahlungsbetrug?+

PSR führt einen verpflichtenden IBAN-Namensabgleich ein: Vor einer Überweisung muss der Zahlungsdienstleister prüfen, ob Empfängername und IBAN übereinstimmen, und bei Abweichung warnen. Bei APP-Fraud (von Tätern veranlasste Überweisungen) wird die Haftung neu verteilt. Zahlungsdienstleister können Schäden ersetzen müssen, wenn sie die PSR-Schutzpflichten verletzt haben.

Was ändert sich beim Open Banking?+

Kontoführende Zahlungsdienstleister müssen Drittdienstleistern über dedizierte Schnittstellen Zugang gewähren. Das bisherige Fallback-Scraping entfällt, wenn die Schnittstelle die PSR-Performance-Anforderungen erfüllt. Neu ist der Rahmen für Financial Data Access (FIDA), der den Datenzugang langfristig über Zahlungskonten hinaus erweitert.

Was ändert sich bei der Starken Kundenauthentifizierung?+

Das SCA-Regime wird vollständig in der PSR kodifiziert. Die bisherigen EBA-RTS werden durch PSR-Delegierte Rechtsakte abgelöst. Ausnahmen werden präzisiert, unter anderem für risikobasierte Transaktionsüberwachung (TRA) und vertrauenswürdige Empfänger. Die Grundanforderungen (zwei von drei Faktoren, dynamische Verknüpfung) bleiben erhalten.

Wann gelten PSD3 und PSR in Deutschland?+

Nach der Trilog-Einigung im November 2025 stehen formale Annahme und OJ-Veröffentlichung noch aus. Die PSR gilt 18 Monate nach Veröffentlichung unmittelbar, PSD3 hat dieselbe Umsetzungsfrist. Mit einer vollständigen Anwendbarkeit ist frühestens Ende 2027 zu rechnen.

Leistung DORA-Compliance Zur Leistung Leistung Unternehmens-Compliance Zur Leistung Ratgeber MiCAR-Compliance Zum Ratgeber

Finanzdienstleister brauchen DORA und PSD3 gemeinsam.

IKT-Sicherheit nach DORA und Zahlungsdienstpflichten nach PSR überlappen sich erheblich.

Zu DORA-Compliance