Neues aus Brüssel: Regulatorische Streitfelder zur PSD3 und PSR

Vorbemerkung

Während die neuesten Entwicklungen rund um die FIDA-Verordnung im Markt für reichlich Gesprächsstoff sorgen, hat der Rat der EU nach langem Warten diesen Sommer seinen Standpunkt zur Payment Services Directive 3 (PSD3) und Payment Services Regulation (PSR) veröffentlicht. Nun liegen alle drei Positionen auf dem Tisch und die entscheidenden Verhandlungen können beginnen.

Für Banken und Zahlungsdienstleister heißt das: Es ist höchste Zeit, die kommenden Änderungen genau im Blick zu behalten und sich auf die neuen Vorgaben vorzubereiten – zumal die Anforderungen aus PSD3 und PSR voraussichtlich früher umzusetzen sind als diejenigen aus FIDA.

PSD3 und PSR – es kommt Bewegung in die Sache

Es sind nun gut zwei Jahre vergangen, seit Zahlungsdienstleister und Banken gespannt auf die ersten Entwürfe zur Payment Services Directive 3 (PSD3) und Payment Services Regulation (PSR) gewartet haben. Im Juni 2023 veröffentlichte die Kommission ihre Initialentwürfe zur Überarbeitung der zweiten Zahlungsdiensterichtlinie (PSD2) und der E-Geld-Richtlinie (EMD2). Im April 2024 folgte der Änderungsentwurf des Parlaments – danach wurde es in Brüssel jedoch erst einmal still.

Nun kommt endlich Bewegung in die Sache: Der Rat der EU hat diesen Sommer seinen eigenen Standpunkt zu beiden Rechtsakten veröffentlicht. Damit sind die Weichen für die Trilogverhandlungen zwischen Kommission, Parlament und Rat gestellt, die jetzt in die entscheidende Phase gehen.

Was sind die unterschiedlichen Standpunkte der gesetzgebenden Organe? Wo herrscht Konsens? Und wo könnte es im Trilog noch Streitpunkte geben? Welche Reaktionen gibt es bislang aus der Branche? Und mit welchem Zeitplan ist zu rechnen?

In unserem Blogbeitrag werfen wir einen Blick auf die zentralen Punkte, die nun auf dem Verhandlungstisch liegen und welche Anforderungen die Branche zu erwarten hat.

Wo die aktuelle Regulierung an ihre Grenzen stößt

Trotz der Erfolge der Zahlungdiensterichtlinie wurden auf Basis einer Überprüfung der derzeit geltenden PSD2 und E-Geld-Richtlinie vier Hauptprobleme im Zahlungsverkehrs-Markt aufgedeckt.

Wegen des starken Anstiegs durch Social Engineering sind Verbraucher verstärkt dem Risiko von Betrug ausgesetzt und haben dadurch mangelndes Vertrauen in Zahlungen. Gleichzeitig zeigt sich, dass der Open-Banking-Sektor aufgrund starker Fragmentierung von Schnittstellen bislang nicht reibungslos funktioniert und somit Open-Banking Anbieter ihre grundlegenden Dienstleistungen nur eingeschränkt anbieten können. Hinzu kommen ungleiche Wettbewerbsbedingungen, die Marktteilnehmer innerhalb Europas vor zusätzliche Hürden stellen. Zuletzt sieht die Kommission unterschiedliche aufsichtsrechtliche Befugnisse und Pflichten in den einzelnen EU-Mitgliedsstaaten, was dazu führt, dass Zahlungsdienstleister den für sich günstigeren Gerichtsstand wählen.

Die Payment Services Directive 3 und Payment Services Regulation sollen genau diesen Problemen entgegenwirken, indem neben der Stärkung des Zahlungsdienstnutzerschutzes auch eine Verbesserung des Zugangs zu Zahlungssystemen sowie Bankkonten für bankfremde Zahlungsdienstleister ermöglicht werden soll. Ein weiteres Ziel der überarbeiteten Rechtsakte soll die Verbesserung der Wettbewerbsfähigkeit bei Open-Banking-Dienstleistungen sein. Nicht zuletzt zeigt sich durch die Wahl unterschiedlicher Rechtsvorschriften beider ablösenden Rechtsakte, dass die Kommission eine verbesserte Durchsetzung in den Mitgliedstaaten anstrebt.

Die PSD3 bleibt als Richtlinie ausgestaltet: Zulassungsverfahren und aufsichtsrechtliche Vorgaben müssen daher weiterhin von den einzelnen Mitgliedstaaten in nationales Recht überführt werden. Zivilrechtliche Vorgaben hingegen wandern in die neue PSR – eine Verordnung, die unmittelbar in allen EU-Ländern gilt und keine zusätzliche Umsetzung auf nationaler Ebene erfordert.

Wer ist von den neuen Vorgaben betroffen?

Die PSD3 richtet sich in erster Linie an Zahlungs- und E-Geld-Institute. Sie legt fest, wer in der EU Zahlungsdienste anbieten darf und welche aufsichtsrechtlichen Anforderungen dabei gelten müssen. Damit ist insbesondere das Zulassungsverfahren, die Kapitalanforderungen und die laufende Aufsicht betroffen. Kreditinstitute – etwa solche, die in Deutschland dem Kreditwesengesetz (KWG) unterliegen – benötigen keine zusätzliche Lizenz nach PSD3, da sie bereits umfassend reguliert sind.

Die PSR hat einen deutlich breiteren Anwendungsbereich. Sie gilt für nahezu alle Zahlungsdienstleister (PSP) in der EU, darunter Banken, Zahlungs- und E-Geld-Institute, Postscheckämtern sowie – in bestimmten Fällen – auch Zentralbanken.

Kurz gesagt: PSD3 reguliert vor allem den Marktzugang und die Aufsicht über Zahlungs- und E-Geld-Institute, während unter die PSR, mit wenigen Ausnahmen, alle Anbieter fallen, die Zahlungsdienste in der EU anbieten.

Die EU passt die Spielregeln an

Die Kernelemente der Payment Services Directive 3 und Payment Services Regulation im Überblick

Mit den initialen Entwürfen der PSD3 und PSR will die EU-Kommission das Fundament des europäischen Zahlungsverkehrs modernisieren und Schwachstellen aus der PSD2 beheben.

Die vorgeschlagenen Änderungen können in sechs Kernelemente aufgeteilt werden. Dazu zählen Anpassungen aufsichtsrechtlicher Vorgaben, eine verbesserte Transparenz zu Gebühren und Wechselkursen sowie die erweiterte Haftung bei Identitätsbetrug. Ein besonderer Schwerpunkt liegt zudem auf der Betrugsprävention durch Maßnahmen wie einer Ausweitung des IBAN Name Checks (Verification of Payee), verstärkte Transaktionsüberwachungsmechanismen oder dem verpflichtenden Austausch von betrugsbezogenen Daten unter den Zahlungsdienstleistern. Ebenso soll die Starke Kundenauthentifizierung (SCA), die bereits aus der PSD2 bekannt ist, barrierefrei ausgestaltet werden, um auch vulnerablen Gruppen einen verbesserten Zugang zu Zahlungsdiensten zu ermöglichen. Im Kontext des Open Bankings sollen kontoführende Zahlungsdienstleister zudem ein Dashboard zur besseren Verwaltung von Zugriffen Dritter bereitstellen.

Die wichtigsten Punkte beider Rechtsakte sind in der nachfolgenden Grafik übersichtlich zusammengefasst.

Die Verhandlungspositionen der zentralen Organe im Überblick

Auch wenn die Positionen von Kommission, Parlament und Rat in vielen Punkten eng beieinander liegen, gibt es zentrale Themen, die bei den Gesetzgebern unterschiedlich gesehen werden. Im Folgenden wird ein Auszug wichtiger Streitfragen beleuchtet.

E-Geld und die Gefahr einer Doppelregulierung

Ein sensibler Punkt ist die Regulierung von E-Geld und E-Geld-Token (EMTs). Die Kommission schlägt innerhalb der PSD3 vor, Zahlungsinstitute und E-Geld-Institute künftig in einem einheitlichen Zulassungsregime zusammenzufassen. Damit soll es nur noch eine Lizenz für Anbieter geben, die Zahlungsdienste und E-Geld-Dienste erbringen. Gleichzeitig verweist die PSD3 auf die MiCA-Verordnung ((EU) 2023/1114), die EMTs rechtlich dem klassischen E-Geld zuordnet.

Hieraus ergibt sich für Anbieter, die EMTs herausgeben, die berechtigte Frage: Falle ich möglicherweise unter eine Doppelregulierung – einerseits nach MiCA als E-Geld-Emittent, andererseits nach PSD3 als Zahlungsinstitut?

Während das Parlament die Sicht der Kommission teilt, erkennt der Rat die Gefahr der Doppelregulierung und nennt vereinzelte Ausnahmen, wann E-Geld-Token-Anbieter keiner Doppelregulierung unterworfen sind. Eine klare Antwort des Gesetzgebers gibt es in den derzeitigen Fassungen jedoch noch nicht.

Definition autorisierter Zahlungen

Besonders heikel ist die Frage, wann eine Zahlung als autorisiert gilt, obwohl dieser Aspekt bereits in der PSD2 verankert ist. Die Kommission, unterstützt vom Parlament, stellt klar: Die bloße Eingabe einer PIN oder die Verwendung von SCA-Elementen reicht nicht pauschal aus, um eine Zahlung als autorisiert anzusehen. Der Rat bleibt näher an der heutigen Rechtslage und hält eine Transaktion dann für autorisiert, wenn sie technisch korrekt und mit den vorgesehenen Sicherheitsmerkmalen durchgeführt wurde.

Implizit bedeutet das: Nach der Kommissions- und Parlamentslinie könnten Banken und Zahlungsdienstleister auch dann in die Haftung treten, wenn ein Betrüger mit den korrekten Zugangsdaten eine Transaktion auslöst. Der Rat möchte dieses Haftungsrisiko eingrenzen und den Status quo im Wesentlichen erhalten.

Haftung bei Identitätsbetrug

Zum Thema Haftung bei Identitätsbetrug gehen die Meinungen besonders auseinander. Nach Ansicht der Kommission muss der Zahlungsdienstleister dem Verbraucher den vollen Betrag erstatten, wenn dieser von einem Dritten getäuscht wurde – etwa durch die Vorgabe ein Bankmitarbeiter zu sein – und infolgedessen eine Zahlung autorisiert hat. Informiert ein Zahlungsdienstleister den Kommunikationsdiensteanbieter des betroffenen Verbrauchers über einen Betrugsfall, muss dieser unverzüglich mit dem Zahlungsdienstleister zusammenarbeiten und geeignete Sicherheitsmaßnahmen umsetzen, um zum Beispiel Rufnummern- und E-Mail-Spoofing zu verhindern.

Hat der Verbraucher grob fahrlässig gehandelt, so ist zwar der PSP grundsätzlich von der Haftungsverpflichtung befreit, die Beweislast hierzu liegt aber beim Zahlungsdienstleister. Ebenso liefert die Kommission keine konkrete Definition grober Fahrlässigkeit.

Das Parlament verlangt hingegen eine klare Definition grober Fahrlässigkeit durch die EBA. Zusätzlich soll die Haftungsverpflichtung deutlich ausgeweitet werden. Demnach sollen auch Kommunikationsdiensteanbieter bei derartigen Betrugsformen stärker in die Pflicht genommen werden. Das Parlament sieht vor, dass Anbieter, die gemeldete betrügerische Kommunikationsmittel nicht entfernt haben, selbst haften und dem Zahlungsdienstleister den Schaden des autorisierten Betrugs erstatten müssen.

Der Rat folgt grundsätzlich der Position der Kommission, möchte die Haftung des Zahlungsdienstleisters jedoch auf Fälle beschränken, in denen der Betrüger die Kommunikationskanäle des Zahlungsdienstleisters genutzt hat.

Starke Kundenauthentifizierung (SCA) & Barrierefreiheit

Die Kommission fordert barrierefreie SCA-Methoden, sodass auch vulnerable oder technisch weniger affine Zahlungsdienstnutzer in der Lage sind, diese durchführen zu können. Die SCA-Methoden dürfen dabei nicht den Besitz eines Smartphones voraussetzen. Erfolgt die Durchführung der Authentifizierung durch einen Dritten, müssen entsprechende Auslagerungsvereinbarungen mit diesem geschlossen werden.

Zwar lehnt das Parlament Auslagerungsvereinbarungen pauschal ab, verlangt aber, dass alle SCA-Mittel kostenfrei bereitgestellt werden müssen.

Der Rat schlägt eine flexiblere Lösung vor: Auch er sieht die Notwendigkeit von Auslagerungsvereinbarungen bei delegierter Authentifizierung. Die SCA-Anforderungen sollen jedoch mit dem Geschäftsmodell des jeweiligen PSPs kompatibel sein.

Open Banking

Für die Verwaltung von Datenzugängen sollen kontoführende Zahlungsdienstleister ihren Kunden ein Dashboard zur Verfügung stellen. Bezüglich den Dashboard-Anforderungen nennt die Kommission jedoch lediglich nicht-funktionale Anforderungen.

Während der Rat neben weiteren nicht-funktionalen Anforderungen eine reaktivierende Deaktivierung des Zugriffs fordert, möchte das Parlament eine ergänzende Opt-out-Option für alle Zugriffe – sowohl bestehende als auch zukünftige – als Anforderung an das Dashboard aufnehmen.

Sowohl Parlament als auch Rat gehen noch einen Schritt weiter. Beide Organe fordern darüber hinaus eine Kompatibilität des Dashboards mit der FIDA-Verordnung. Technisch bedeutet dies, dass Banken und andere Kontoinstitute die Schnittstellen so bereitstellen müssen, dass Nutzer ihre Datenfreigaben aus beiden Regelwerken (PSR und FIDA) über ein einziges Dashboard verwalten können.

In der Praxis bringt dies eine gewisse Komplexität mit sich: Die auszutauschenden Daten, Formate und die konkreten Regeln werden in der FIDA vor allem durch den Markt bestimmt, indem sich die Akteure in sogenannten Data-Sharing-Schemes organisieren müssen. Banken müssen daher flexible Schnittstellen bereitstellen, die mit diesen dynamisch entstehenden Standards kompatibel sind.

Transaktionsüberwachung & Betrugsdatenaustausch

Alle drei Institutionen fordern von Zahlungsdienstleistern, ein verpflichtendes Monitoring zur Betrugsprävention einzurichten und betrugsbezogene Daten untereinander auszutauschen. Hierzu soll gemäß Kommission und Rat eine eindeutige Kennung, wie etwa die IBAN, übermittelt werden. Das Parlament erweitert den Austausch auf ein breiteres Spektrum an Daten – darunter auch persönliche Informationen wie Namen und E-Mail-Adressen, die einem Betrüger zugeordnet werden können. Zusätzlich sieht das Parlament PSPs in der Haftung, falls diese die durch den Austausch bekannten betrügerischen IBANs nicht blockiert haben.

Informationsplichten zu Gebühren, Wechselkursen und Dauer der Transaktion

Ein weiterer Verhandlungsbedarf zeigt sich bei dem Thema Transparenz und Gebühren bei Währungsumrechnungen. Die Kommission fordert hier eine detaillierte Aufschlüsselung der Gebühren, die der Zahlungsdienstnutzer an den Zahlungsdienstleister zu entrichten hat. Dazu zählen auch Währungsumrechnungsgebühren, die als prozentualer Aufschlag auf den jeweils aktuellen Referenzwechselkurs der betreffenden Zentralbank berechnet werden. Ergänzend soll der Zahlungsprozess transparenter gemacht werden, indem Kunden Informationen über die geschätzte Dauer der maximalen Ausführungszeiten für grenzüberschreitende Zahlungen bereitgestellt werden.

Das Parlament verfolgt bei der Ausweisung der Währungsumrechnungsgebühren einen anderen Ansatz und verlangt, dass diese als ein sowohl als Gesamtbetrag als auch als prozentualer Aufschlag ausgewiesen werden soll, um eine bessere Vergleichbarkeit zu gewährleisten. Diese Informationen sollen spätestens vor der endgültigen Ausführung des Vorgangs deutlich sichtbar sein. Als Basis für die Berechnung soll hierzu ein Referenz-Wechselkurs gemäß der EU-Referenzwert-Verordnung verwendet werden. Der Rat hingegen möchte als Grundlage einen aggregierten Mid-Market-Wechselkurs heranziehen.

Unabhängig der Standpunkte liegt eine zentrale Herausforderung in der technischen Umsetzung der Gebührenausweisung. Einerseits sind Gebührenstrukturen – je nach Systemlandschaft – individuell und dynamisch aus verschiedenen Komponenten zusammengesetzt. Andererseits müssen essenzielle Gebühreninformationen in Echtzeit bei oder sogar vor der Autorisierung des Zahlungsvorgangs zur Verfügung gestellt werden.

Unterschiede in der Umsetzungsfrist

Es wird erwartet, dass die Finalisierung und Veröffentlichung der Rechtsakte noch Ende 2025 erfolgt. In den anschließenden Umsetzungsfristen zeigen sich jedoch deutliche Unterschiede zwischen den gesetzgebenden Institutionen.

Im Hinblick auf die PSD3 sind Kommission und Parlament der Ansicht, dass die Richtlinie innerhalb von 18 Monaten in nationales Recht überführt werden muss. Der Rat plädiert hingegen für eine längere Frist von 24 Monaten.

Die PSR als Verordnung tritt automatisch am 20. Tag nach ihrer Veröffentlichung im Amtsblatt der EU in Kraft. Ihre Anwendung wird jedoch durch Übergangsbestimmungen hinausgezögert: Die Kommission sieht dafür 18, das Parlament 21 und der Rat 24 Monate vor.

Das bedeutet: Die PSD3 würde – abhängig vom finalen Verhandlungsergebnis – frühestens Mitte 2027, spätestens Ende 2027 in nationales Recht umgesetzt sein. Die PSR könnte je nach Frist frühestens Mitte 2027, spätestens jedoch Anfang 2028 unmittelbar anwendbar sein.

Die ersten Stimmen aus dem Markt

Die Deutsche Kreditwirtschaft (DK) hat Anfang September die Änderungsentwürfe kritisch bewertet und dabei zentrale Punkte hervorgehoben.

Als besonders umstritten wird die vorgeschlagene Haftungsregelung bei Identitätsbetrug angesehen, da diese eine Risikoverschiebung herbeiführt, die Banken nicht kontrollieren können. Ferner werden hierdurch den Kunden der Zahlungsdienstleister Anreize gegeben, die zu einer „All-Risks-Versicherung“-Mentalität führen können.

Positiv gewertet wird hingegen der Vorschlag des Rats die Haftung bei Identitätsbetrug einzugrenzen sowie die Forderung nach stärkeren Möglichkeiten zur Sperrung verdächtiger Zahlungen. Bei Transparenzpflichten und Gebühren sehen die Verbände Herausforderungen, da diese für unverhältnismäßigen Aufwand sorgen und kaum Mehrwert für Kunden bieten.

Im Bereich Open Banking und SCA plädiert die DK für mehr Flexibilität, etwa durch risikobasierte Anwendung der SCA statt starrer Regeln. Eine Streichung der Reaktivierungsfunktion für Datenzugriffe wird begrüßt.

Insgesamt wird die Umsetzung als sehr komplex eingeschätzt, da zahlreiche delegierte Rechtsakte für Unsicherheit sorgen. Die Kreditwirtschaft fordert daher eine Implementierungsfrist von mindestens 24 Monaten.

Zwischen Klarheit und offenen Fragen

Die Standpunkte von Kommission, Parlament und Rat erlauben nun einen detaillierten Blick darauf, welche Themen hinter den Kulissen in den bereits laufenden Trilogverhandlungen verhandelt werden. Dass am Ende ein umfassendes Update des europäischen Zahlungsrechts kommen wird, gilt als sicher. Strittige Themen wie die Haftung bei Identitätsbetrug, die konkrete Ausgestaltung der Starken Kundenauthentifizierung oder die Transparenzpflichten bei Gebühren werden in den nächsten Monaten den Ton der Verhandlungen bestimmen.

Klar ist: Fast alle vorgeschlagenen Neuerungen werden in irgendeiner Form umgesetzt werden – manche eher abgeschwächt, andere womöglich noch verschärft. Der große Rahmen ist gesetzt, die Details werden nun im Trilog ausverhandelt.

Für Zahlungsdienstleister und Banken bedeutet das: Sie sollten sich frühzeitig auf umfangreiche Anpassungen vorbereiten – auch wenn einzelne Vorschriften noch justiert werden.

Sprechen Sie uns gerne an. Wir unterstützen Sie bei der Analyse und Umsetzung der neuen Anforderungen aus PSD3 und PSR.