Brite Payments logo
Demo buchen
Anfragen
Menu
Edit Template

PSD3 & PSR: Neue Standards für den europäischen Zahlungsverkehr

Zuletzt aktualisiert: 2. Juni 2026
9 Min. Lesezeit
Geschrieben von: Katharina Solf
Im April 2026 haben sich das EU-Parlament, der EU-Rat und die EU-Kommission auf die finale Fassung der PSD3 (Payment Services Directive 3) und der PSR (Payment Services Regulation) geeinigt. Damit gelten künftig neue Standards für den europäischen Zahlungsverkehr. Doch was bedeuten diese Reformen für Unternehmen, Finanzinstitute und Open Banking?
Person, die mit einem Smartphone an einem Tisch sitzt hinter einer unschärfe erzeugenden Glasscheibe
Inhaltsverzeichnis

Grundlagen der Regulierung: Was sind PSD3 und PSR?​

Um die Tragweite der regulatorischen Neuerungen zu verstehen, müssen die beiden Kernkomponenten des EU-Pakets zunächst getrennt betrachtet werden. Obwohl sie dasselbe Ziel verfolgen, übernehmen sie im Finanzökosystem unterschiedliche Aufgaben.

Was ist die PSD3 (Payment Services Directive 3)?

Die Payment Services Directive 3 (PSD3) ist eine EU-Richtlinie, die den rechtlichen Rahmen für die Zulassung, Lizenzierung und Beaufsichtigung von Finanzinstituten regelt. Sie definiert die Anforderungen, die ein Unternehmen erfüllen muss, um als Kreditinstitut, E-Geld-Institut oder Zahlungsdienstleister (PSP) in der Europäischen Union operieren zu dürfen.

Der Fokus der PSD3 liegt hierbei vor allem auf der institutionellen Sicherheit. Es geht um das „Wer“ und „Wie“ der Marktzulassung – also um Eigenkapitalanforderungen, die Absicherung von Kundengeldern und die regulatorische Überwachung durch nationale Aufsichtsbehörden (wie die BaFin in Deutschland).

Was ist die PSR (Payment Services Regulation)?

Die Payment Services Regulation (PSR) ist eine EU-Verordnung, die sich auf das operative Geschäft und die Durchführung von Zahlungsdiensten konzentriert. Sie greift direkt in den Marktalltag ein und regelt die konkreten Beziehungen, Rechte und Pflichten zwischen Zahlungsdienstleistern, Händlern und Verbrauchern.

Der Fokus der PSR liegt vor allem auf der Transaktionssicherheit und den Marktregeln. Es geht um das operative „Was“ und „Wann“ – also um die genaue Ausgestaltung der Starken Kundenauthentifizierung (SCA), die Pflichten zur Betrugsprävention, transparente Gebührenstrukturen und die technischen Mindestanforderungen an Open-Banking-Schnittstellen.

So greifen PSD3 und PSR ineinander

Die Trennung in eine Richtlinie (PSD3) und eine Verordnung (PSR) ist eine bewusste strategische Entscheidung der EU-Kommission, um die Schwachstellen der Vergangenheit (PSD2) zu beheben. Während die alte PSD2 als reine Richtlinie in 27 verschiedenen nationalen Gesetzen mündete – was zu einer Fragmentierung der aufsichtsrechtlichen Regulierung von Finanzdienstleistern führte –, schafft das neue Duo ein harmonisiertes Fundament.

Infografik zum EU Payment Services Framework mit der Gegenüberstellung von PSD3 und PSR. PSD3 (Richtlinie): Fokus auf Zulassung, Lizenzierung und Aufsicht von Instituten; Status erfordert nationale Umsetzung wie BaFin oder ZAG. PSR (Verordnung): Fokus auf operative Durchführung und Sicherheit von Transaktionen; Status ist unmittelbar und identisch in der gesamten EU gültig.

Die Auswirkungen auf den europäischen Zahlungsverkehr

  • Beseitigung nationaler Grauzonen: Als Verordnung steht die PSR über den nationalen Gesetzen, mit der Folge, dass für Banken, PSPs, Kredit- und E-Geld-Instituten von Portugal bis Estland exakt dieselben Regeln gelten. Länderspezifische Sonderwege bei der Auslegung von Sicherheitsabfragen gehören damit der Vergangenheit an.
  • Qualitätssprung für Open Banking: Die PSD3 zwingt Banken regulatorisch dazu, den Zugriff auf Kontodaten zu gewähren, während die PSR zeitgleich die technischen Qualitäts- und Verfügbarkeitsstandards für Open-Banking-Schnittstellen (Open Banking APIs) vorschreibt. Das Resultat ist eine hohe Transaktionsstabilität, die Konto-zu-Konto-Zahlungen (Account-to-Account Payments) zu einem ausfallsicheren Standard des digitalen Zahlungsverkehrs macht.
  • Ganzheitliche Betrugsprävention: Während die PSD3 Banken und Zahlungsanbieter zu robusteren internen Risikomanagementsystemen verpflichtet, schafft die PSR den rechtlichen Rahmen für konkrete Sicherheitsfeatures – wie den verpflichtenden Abgleich von IBAN und Namen (Verification of Payee). Zudem schafft die Verordnung unmissverständliche Haftungsregeln bei Zahlungsbetrug.
Hier klicken, um den Online Payment Trends Report 2025 für Deutschland zu entdecken.

Der aktuelle Zeitplan (Stand Mai 2026)

Nach der politischen Einigung im April 2026 befindet sich der europäische Finanzsektor mitten in der Vorbereitungsphase. Die regulatorische Roadmap von der ersten Idee bis zur verpflichtenden Anwendung im Markt gestaltet sich wie folgt:

  • 28. Juni 2023: Veröffentlichung der ursprünglichen Entwürfe für PSD3, PSR und FiDA (Framework for Financial Data Access) durch die Europäische Kommission.
  • April 2026: Erfolgreicher Abschluss der Trilog-Verhandlungen und Veröffentlichung der final abgestimmten Textfassungen durch das EU-Parlament, den Rat und die Kommission.
  • Voraussichtlich Sommer/Herbst 2026: Formelle Annahme der PSD3 und PSR durch den Rat (COREPER) und das Europäische Parlament sowie anschließende juristisch-sprachliche Überprüfung des Textes.
  • Voraussichtlich Ende 2026: Offizielle Veröffentlichung der finalen Gesetzestexte im Amtsblatt der Europäischen Union.
  • 20 Tage nach Veröffentlichung (Ende 2026): Formelles Inkrafttreten der PSD3 und der PSR. Zu diesem Zeitpunkt beginnt die offizielle Übergangsfrist.

Die entscheidende Phase: Übergangsfristen bis zur Anwendung

Nach dem Inkrafttreten beginnt die entscheidende Phase für das gesamte Ökosystem: Während Banken und PSPs die technischen Schnittstellen compliance-konform umstellen müssen, stehen Online-Händler und Plattformen in der Pflicht, ihre Checkout-Infrastruktur strategisch auf diese neuen Standards auszurichten. Hierbei gilt es, zwei unterschiedliche Fristen streng zu trennen, da Richtlinie und Verordnung unterschiedliche Wege gehen:

  • Die 18-monatige Übergangsphase (2027):
    • Für die PSR: Banken und Zahlungsdienstleister (PSPs) haben ab dem Inkrafttreten in der Regel 18 Monate Zeit, um die operativen Vorgaben umzusetzen. Dies umfasst für kontoführende Banken die Bereitstellung des obligatorischen Name-IBAN-Abgleichs (Verification of Payee) bei jeder Zahlungsinitiierung. Zudem verpflichtet die Verordnung kontoführende Institute zur Bereitstellung und lizenzierte Drittanbieter (TPPs) zur rechtskonformen Nutzung von Open-Banking-Schnittstellen (APIs), die den neuen verschärften Qualitäts- und Stabilitätskriterien entsprechen müssen.
    • Für die PSD3: Die EU-Mitgliedstaaten haben genau diesen Zeitraum von 18 Monaten, um die Richtlinie in ihre jeweiligen nationalen Gesetze (in Deutschland z. B. ins Zahlungsdiensteaufsichtsgesetz – ZAG) zu übersetzen.
  • Voraussichtlich Mitte 2028 (Die harte Anwendbarkeit): Nach Ablauf der 18 Monate (20 Tage nach Amtsblatt + 18 Monate) werden sowohl die PSR als auch die nationalen PSD3-Gesetze vollständig bindend.
    • Ab diesem Stichtag müssen alle kontoführenden Finanzinstitute und lizenzierte Zahlungsdienstleister die Vorgaben zwingend umsetzen. Transaktionen, die den neuen Sicherheitskriterien nicht entsprechen, werden blockiert.

Regulatorische Ausnahmen: Wo PSD3 und PSR Flexibilität erlauben

Trotz des Fokus auf maximale Sicherheit sieht das neue EU-Finanzpaket gezielte Ausnahmen vor, um den Zahlungsverkehr nicht unnötig zu verzögern. Diese Ausnahmen sind besonders für die Gestaltung von B2B-Geschäftsprozessen und spezifischen Checkout-Szenarien von Bedeutung:

  • Corporate-Zahlungen und dedizierte B2B-Prozesse: Zahlungen, die über spezielle B2B-Zahlungsprotokolle oder geschlossene Firmennetzwerke abgewickelt werden (z. B. im E-Procurement), sind unter bestimmten Voraussetzungen von den strengen SCA-Vorgaben für Endverbraucher ausgenommen, sofern die Systeme nachweislich dasselbe Sicherheitsniveau garantieren.
  • Kleinstbeträge und wiederkehrende Zahlungen (Subscriptions): Für Transaktionen unterhalb definierter Schwellenwerte oder für unveränderte, wiederkehrende Lastschriften und Daueraufträge gelten vereinfachte Authentifizierungsregeln, um Reibungsverluste für den Kunden zu minimieren.
  • Ausnahmen basierend auf Transaktionsrisikoanalysen (TRA): Zahlungsdienstleister, die nachweislich extrem niedrige Betrugsraten vorweisen können, dürfen für Transaktionen bis zu bestimmten Höchstgrenzen auf eine aktive Zwei-Faktor-Authentifizierung verzichten.
  • Technische Ausnahmen beim Namens-IBAN-Abgleich: Die Pflicht zur „Verification of Payee“ greift primär bei klassischen und Instant-Überweisungen, bei denen der Zahler die Daten manuell eingibt oder freigibt. Bei vollautomatisierten Lastschriftverfahren (Direct Debits), bei denen Online-Händler Zahlungen einziehen, gelten abweichende Prüfmechanismen.

Strategische Ziele: Warum die EU den Zahlungsverkehr neu ordnet

Die vier Säulen von PSD3 und PSR: Wettbewerb, Sicherheit, Transparenz und Verbraucherschutz

Die europäische Gesetzgebung verfolgt mit dem neuen Regulierungspaket ein klares Ziel: Den digitalen Binnenmarkt für Finanzdienstleistungen sicherer, innovativer und effizienter zu gestalten. Die Erwartungen von Unternehmen und Verbrauchern haben sich verschoben – Bezahlprozesse müssen im Jahr 2026 nicht nur reibungslos funktionieren, sondern auch gegen Betrug resilient sein.

Das Fundament von PSD3 und PSR ruht auf vier strategischen Säulen:

  • Wettbewerb und Innovation: Durch den regulierten Zugriff auf Zahlungskontodaten über standardisierte Open-Banking-Schnittstellen (APIs) wird die exklusive Datenhoheit traditioneller Banken aufgebrochen. Das ermöglicht lizenzierten Fintech-Unternehmen einen verbesserten und stabileren Marktzugang für innovative Payment-Lösungen.
  • Sicherheit im Zahlungsverkehr: Durch den klaren Fokus auf Cyber-Resilienz und digitaler Betrugsprävention werden die Risiken entlang der gesamten Transaktionskette – von Verbrauchern über Online-Händler bis hin zu Finanzinstituten – effektiv minimiert.
  • Umfassende Transparenz: Kontoführende Banken und Zahlungsanbieter werden verpflichtet, sämtliche Gebühren, Wechselkurse und Vertragsbedingungen – insbesondere bei Währungsumrechnungen – sowohl vor als auch nach der Transaktion lückenlos offenzulegen.
  • Gesteigerter Verbraucherschutz: Erweiterte Rechte bei Rückerstattungen und das konsequente Verbot von Zusatzgebühren (Surcharging) für gängige Zahlungsmethoden stärken das Vertrauen der Endverbraucher in digitale Transaktionen.

Betrugsprävention durch Starke Kundenauthentifizierung (SCA)

Mit der PSR wird die Starke Kundenauthentifizierung (SCA) auf die nächste Stufe gehoben, um Betrugsmustern wie Spoofing (betrügerische Identitätsübernahme) oder Social Engineering effektiv zu begegnen. Die Verordnung verlangt eine robustere Verknüpfung von zwei der drei Sicherheitskriterien – Wissen (z.B. PIN), Besitz (z. B. Smartphone) oder Inhärenz (z.B. Fingerabdruck).

Für kontobasierte Zahlungen (Account-to-Account, A2A) stellt diese Evolution einen klaren Vorteil dar: Da moderne A2A-Zahlungen von Natur aus direkt über die Sicherheitsarchitektur des Online-Bankings der Nutzer laufen (inklusive biometrischer Freigabe wie Face ID oder Fingerabdruck), erfüllen sie die neuen, verschärften SCA-Kriterien der PSR nativ. Im Gegensatz zu Kreditkartenzahlungen, die durch zusätzliche 3D-Secure-Ebenen oft zu Medienbrüchen führen und die Conversion Rate belasten, bieten Open-Banking-Zahlungen ein regulatorisch hohes Sicherheitsniveau bei minimaler Reibung im Checkout.

Open Banking & Drittanbieter-Zugang (API-Standardisierung)

Ein massiver Kritikpunkt unter der alten PSD2-Richtlinie waren die oft instabilen oder mangelhaften Programmierschnittstellen (APIs) der Banken. PSD3 und PSR setzen genau hier an und verpflichten kontoführende Zahlungsdienstleister – wie Banken und E-Geld-Institute –, ausfallsichere und schnelle Open-Banking-Schnittstellen (APIs) bereitzustellen.

Die PSR definiert klare Mindeststandards für die Verfügbarkeit und die Datendichte dieser APIs. Kontoführende Zahlungsdienstleister dürfen lizenzierten Drittanbietern, die Zahlungsinitiierungsdienste (PIS) oder Kontoinformationsdienste (AIS) anbieten, nicht mehr grundlos blockieren oder benachteiligen. Diese Standardisierung eliminiert die Notwendigkeit fehleranfälliger Fallback-Mechanismen (wie Screen Scraping) und garantiert Unternehmen, die Open-Banking-Lösungen nutzen, eine hohe Transaktionsstabilität.

Welche Auswirkungen hat die PSR auf Unternehmen im Digital Commerce und Marktplatzbetreiber?

Auch wenn die PSR als Zahlungsdiensteverordnung primär lizenzierte Marktteilnehmer des Zahlungsverkehrs reguliert, sind die operativen und finanziellen Implikationen für Unternehmen im Digital Commerce sowie für Marktplatzbetreiber spürbar. Da kontoführende Institute und PSPs die strengen Haftungs- und Sicherheitsvorgaben in ihren Systemen abbilden müssen, verändert sich die technische Dynamik der Zahlungsabwicklung unmittelbar. Transaktionen, die den neuen Kriterien nicht entsprechen, müssen von den Instituten konsequent blockiert werden.

Für Unternehmen im Digital Commerce liegt der unmittelbare Handlungsbedarf daher meist nicht in komplexer eigener Programmierarbeit, sondern im strategischen Umgang mit den veränderten Zahlungsflüssen. Wenn die aktuell genutzten Zahlungsarten die neuen, regulatorisch geforderten Prüfprozesse mit spürbaren Reibungsverlusten an den Endverbraucher weitergeben, führt dies unweigerlich zu vermehrten Kaufabbrüchen. Die eigentliche Neuerung und der Optimierungsbedarf auf Unternehmensseite bestehen somit im gezielten Wechsel zu modernen Zahlungsmethoden, die diese neuen regulatorischen Anforderungen in einem optimierten Zahlungsflow abbilden – wie beispielsweise Pay by Bank.

Optimierte Margen und native Resilienz gegen Zahlungsausfälle

Im modernen Digital Commerce bestimmen zwei Faktoren die Effizienz eines Zahlungssystems: die Kostenstruktur und die Resilienz gegen Zahlungsausfälle sowie Kaufabbrüche. Durch die verschärften Haftungsregeln der PSR zur Betrugsprävention gewinnt die Wahl der zugrunde liegenden Infrastruktur für Unternehmen an strategischer Bedeutung.

Kosteneffizienz durch direkte Zahlungswege

Während viele etablierte Zahlungsverfahren und Wallet-Anbieter mit komplexen, prozentualen Gebührenstrukturen arbeiten, basieren Account-to-Account (A2A) Zahlungen auf direkten Buchungen zwischen den Bankkonten. Diese direkten Zahlungswege bieten Pay by Bank eine weitaus schlankere und transparentere Kostenstruktur. Bei hohen Transaktionsvolumina und großen Warenkörben schützt diese Effizienz direkt die Nettomarge des Anbieters.

Resilienz gegen Zahlungsausfälle und Kaufabbrüche

Um sich vor den neuen Erstattungspflichten bei Betrugsfällen (wie dem Spoofing) zu schützen, sind viele kontoführende Institute gezwungen, ihre automatisierten Risikofilter restriktiver einzustellen. Bei traditionellen Bezahlverfahren führt dies vermehrt zu ungerechtfertigten Transaktionsablehnungen (False Declines) oder zwingt Kunden in langwierige, externe Freigabeprozesse. Kartenbasierte Transaktionen erfordern beispielsweise häufig die Weiterleitung an die separaten 3D-Secure-Apps der Banken, was die Abbruchquote erhöht.

Konto-zu-Konto-Zahlungen (A2A) lösen dieses Problem nativ: Da der lizenzierte Zahlungsauslösedienst (PIS) den Kunden direkt und verschlüsselt an die gewohnte Banking-App des Nutzers übergibt, erfolgt die Starke Kundenauthentifizierung (SCA) nahtlos über die integrierten, biometrischen Sicherheitsfeatures des Smartphones (Face ID oder Fingerabdruck). Zudem wird der obligatorische Name-IBAN-Abgleich (Verification of Payee) von den kontoführenden Instituten direkt in diesem flüssigen Autorisierungs-Flow abgebildet.

PSR in der EU vs. PSR im UK: Ein Namensgleichnis, zwei Systeme​

Im europaweiten Zahlungsverkehr führt die Abkürzung „PSR“ häufig zu regulatorischen Missverständnissen. Für Unternehmen, die parallel in der EU und im UK agieren, ist eine präzise prozessuale Trennung zweier unterschiedlicher Systeme erforderlich:

  • In der Europäischen Union (EU): Hier bezeichnet PSR die Payment Services Regulation – die unmittelbar bindende Verordnung, die zusammen mit der Richtlinie PSD3 die Marktregeln im SEPA-Raum harmonisiert.
  • Im Vereinigten Königreich (UK): Hier steht PSR für den Payment Systems Regulator. Dabei handelt es sich nicht um ein Gesetz, sondern um die eigenständige nationale Aufsichtsbehörde für Zahlungssysteme, die der Financial Conduct Authority (FCA) untersteht.

Wie bleibt der SEPA-Zahlungsverkehr mit dem UK harmonisiert?

Obwohl das Vereinigte Königreich nach dem Brexit nicht mehr an die EU-Gesetzgebung gebunden ist, bleibt es vollwertiges Mitglied des SEPA-Raums. Um den reibungslosen intereuropäischen Handelsfluss zu gewährleisten, verfolgt die britische FCA eine Strategie der funktionalen Konvergenz mit den EU-Standards. Dennoch ergeben sich im operativen Geschäft spezifische Dynamiken:

  • Schnittstellen-Infrastruktur: Während die EU mit der europäischen PSR die Mindestanforderungen an Banken-APIs neu diktiert, operiert das Vereinigte Königreich weiterhin auf Basis des etablierten Open Banking Limited (OBL)-Frameworks.
  • Betrugsprävention: Das Vereinigte Königreich hat mit dem APP Fraud Reimbursement Requirement bereits frühzeitig eigene, restriktive Regeln zur verpflichtenden Erstattung an Betrugsopfer etabliert, die den neuen EU-Haftungsregeln stark ähneln.

 

Für Unternehmen im Digital Commerce bedeutet dies: Wer sowohl in der EU als auch im UK skaliert, benötigt einen Payment-Partner, der in der Lage ist, die technischen Feinheiten beider Open-Banking-Infrastrukturen über eine einzige API zu konsolidieren und abzubilden.

Zukunftssicher aufgestellt: Wie Brite Unternehmen auf die PSR-Anforderungen vorbereitet

Als führender Anbieter von Open-Banking-Zahlungslösungen auf dem europäischen Markt ermöglicht Brite Payments Unternehmen, sich frühzeitig auf die regulatorischen Neuerungen von PSD3 und PSR einzustellen und diese ohne eigenen Entwicklungsaufwand in einen strategischen Vorteil zu verwandeln. Über das firmeneigene Brite Instant Payments Network (IPN) werden Transaktionen bereits heute in Echtzeit, sicher und gemäß den kommenden Standards abgewickelt.

Vorausschauende SCA-Konformität ohne Reibungsverluste im Checkout

Zahlungen mit Brite sind darauf ausgelegt, die durch die PSR kommenden Standardisierungen der Open-Banking-Schnittstellen (APIs) von Beginn an optimal zu nutzen. Da die Authentifizierung der Transaktion bereits jetzt innerhalb der geschützten Online-Banking-Umgebung des Nutzers erfolgt, entfallen fehleranfällige manuelle Eingaben sowie das Risiko von Session-Hijacking.

Der künftig von der PSR geforderte automatisierte Name-IBAN-Abgleich (Verification of Payee) wird nach dessen schrittweiser Implementierung durch die kontoführenden Institute direkt im nativen Banking-Flow von Brite abgebildet, ohne dass der Endverbraucher den Prozess unterbrechen muss.

Das Ergebnis für Ihr Unternehmen: Eine langfristig gesicherte Conversion Rate im Checkout, frühzeitige regulatorische Compliance und ein reibungsloses Nutzererlebnis für den Endkunden.

Transaktionsstabilität und Margenschutz durch direkte Kontoverbindung

Mit Instant Payments von Brite nutzen Anbieter eine Infrastruktur, die unabhängig von komplexen, mehrstufigen Intermediären funktioniert. Da es sich um direkte, unwiderrufliche Konto-zu-Konto-Überweisungen handelt, bleiben Unternehmen vom Phänomen klassischer, zeitaufwendiger Rückbuchungsprozesse (Chargebacks) systemimmanent befreit.

Unternehmen im Digital Commerce profitieren von einer transparenten, planbaren Kostenstruktur, die insbesondere bei hohen Transaktionsvolumina und großen Warenkörben die Nettomarge effektiv schützt. Indem Sie Brite in Ihren Payment-Mix integrieren, positionieren Sie sich frühzeitig an der Spitze des modernen europäischen Zahlungsverkehrs.

CTA-Banner: Bereit für Instant Payments? Schnell, sicher, europaweit. Jetzt Sales kontaktieren.
CTA-Banner: Bereit für Instant Payments? Schnell, sicher, europaweit. Jetzt Sales kontaktieren.