Mit PSD3 und der PSR entsteht in Europa ein neuer regulatorischer Rahmen für Banken, Fintechs, Zahlungsinstitute und E-Geld-Institute. Im Fokus stehen nicht nur neue Compliance-Anforderungen, sondern zentrale Zukunftsthemen des Zahlungsverkehrs: Betrugsprävention, Open Banking, API-Performance, Consent Management, Kundenschutz und digitale Geschäftsmodelle und die konsequente Weiterentwicklung der PSD2 und Abbau von Hürden zur Nutzung der Daten. Für Institute ist jetzt der richtige Zeitpunkt, PSD3 und PSR nicht als reine Regulierungsübung zu behandeln, sondern als strategischen Anlass zur Modernisierung von Prozessen, Systemen und Kundeninteraktionen.

PSD3 und PSR: Mehr als ein regulatorisches Update

PSD2 hat den europäischen Zahlungsverkehr wesentlich verändert. Die Richtlinie hat Open Banking eingeführt, neue Marktrollen wie Account Information Service Provider und Payment Initiation Service Provider etabliert und die starke Kundenauthentifizierung zum Standard gemacht.

Gleichzeitig hat die praktische Umsetzung gezeigt, dass PSD2 zentrale Erwartungen nur teilweise erfüllt hat. Open Banking blieb in vielen Fällen hinter seinem Potenzial zurück. API-Standards waren uneinheitlich, Schnittstellen nicht immer ausreichend leistungsfähig und Customer Journeys teilweise zu komplex. Hinzu kommt, dass neue Betrugsformen wie Social Engineering und Authorised Push Payment Fraud deutlich an Bedeutung gewonnen haben.

Mit PSD3 und PSR adressiert die EU genau diese Schwachstellen. Die Reform verfolgt drei strategische Ziele: eine stärkere Harmonisierung der Zahlungsregulierung in Europa, eine wirksamere Betrugsprävention sowie die Weiterentwicklung von Open Banking zu einem verlässlicheren und produktfähigeren Marktstandard.

Damit wird PSD3/PSR zu einem Management-Thema. Betroffen sind nicht nur Legal und Compliance, sondern auch Zahlungsverkehr, IT, Operations, Fraud Management, Produktentwicklung, Treasury, Vertrieb und Strategie.

Warum die PSR besonders relevant ist

Der wichtigste strukturelle Unterschied zu PSD2 liegt in der Kombination aus Richtlinie und Verordnung. PSD3 wird als Richtlinie in nationales Recht umgesetzt und betrifft insbesondere Zulassung, Aufsicht, Governance und organisatorische Anforderungen an Zahlungs- und E-Geld-Institute.

Die PSR ist dagegen eine unmittelbar anwendbare EU-Verordnung. Sie enthält zentrale operative Anforderungen an Zahlungsdienste, unter anderem zu Betrugsprävention, Open Banking, Transparenzpflichten, Kundenschutz, API-Standards und Haftung. Für Banken und Zahlungsdienstleister bedeutet das: Ein wesentlicher Teil der neuen Anforderungen wird nicht erst durch nationale Umsetzung geprägt, sondern unmittelbar europäisch harmonisiert.

Genau daraus entsteht Handlungsdruck. Institute sollten nicht warten, bis alle nationalen Detailfragen geklärt sind. Viele fachliche, technische und organisatorische Auswirkungen lassen sich bereits heute analysieren und vorbereiten.

Regulatorischer Zeitplan

Die Gesetzestexte wurden im April 2026 veröffentlicht, die formale Verabschiedung wird für Q3 2026 erwartet. PSD3 und PSR treten voraussichtlich Ende 2026 in Kraft. Für die PSR gilt eine sanktionsfreie Übergangsfrist — die Anforderungen sind jedoch bekannt und die Vorbereitung sollte jetzt beginnen. Die nationale Umsetzung der PSD3-Richtlinie in Deutschland wird voraussichtlich weitere 18 bis 24 Monate in Anspruch nehmen.

Fünf Themen, die Institute jetzt auf die Agenda setzen sollten

1. Fraud Prevention wird zum strategischen Kontrollsystem

PSD3 und PSR verschärfen den Blick auf Zahlungsbetrug. Künftig reicht es nicht aus, allein auf starke Kundenauthentifizierung zu verweisen. Institute müssen zeigen können, dass sie geeignete Präventions-, Erkennungs- und Reaktionsmechanismen implementiert haben.

Besonders relevant sind Verification of Payee, risikobasierte Fraud Detection, Transaktionsmonitoring, Warnmechanismen, Eskalationsprozesse und belastbare Nachweisketten. Für viele Institute bedeutet das eine Neubewertung bestehender Fraud-Systeme, Datenmodelle und operativer Workflows.

Die strategische Frage lautet: Ist Fraud Management heute bereits ein integriertes Kontrollsystem über Kunde, Konto, Kanal, Transaktion und Drittanbieter hinweg – oder noch eine fragmentierte Prüfstrecke?

2. Open Banking muss produktfähig werden

PSD2 hat Open Banking regulatorisch ermöglicht. PSD3 und PSR sollen Open Banking operativ verlässlicher machen. Das betrifft insbesondere Schnittstellenqualität, Verfügbarkeit, Performance, Wiederherstellungszeiten und die Vermeidung künstlicher Zugangshürden für Drittanbieter.

Für Banken entsteht daraus ein klarer Prüfauftrag: Sind bestehende APIs nur regulatorisch vorhanden oder tatsächlich marktfähig? Können sie perspektivisch neue Zahlungs-, Daten- und Plattformangebote unterstützen? Und wie fügt sich Open Banking in die übergreifende Digital- und Datenstrategie ein?

Institute, die Open Banking frühzeitig als Produkt- und Plattformthema verstehen, können sich besser auf FiDA, digitale Identitäten und datenbasierte Finanzdienstleistungen vorbereiten.

3. Consent Management wird kundenseitig sichtbar

Ein wesentlicher Baustein der PSR sind höhere Transparenzanforderungen beim Zugriff Dritter auf Kontodaten. Consent Dashboards sollen Kunden künftig besser nachvollziehen lassen, welche Drittanbieter Zugriff haben, auf welche Daten zugegriffen wird und wie lange Berechtigungen bestehen.

Damit wird Consent Management zu einem reputationsrelevanten Kundenthema. Es geht nicht nur um regulatorische Dokumentation, sondern um Vertrauen, Nutzerführung und digitale Selbstbestimmung.

Institute sollten daher früh prüfen, ob ihre bestehenden Consent-Prozesse, Kundenfrontends, Datenflüsse und Kontrollmechanismen den künftigen Anforderungen entsprechen.

4. Zahlungs- und E-Geld-Institute müssen ihre Governance überprüfen

PSD3 führt Zahlungsdienste- und E-Geld-Regulierung enger zusammen. Für Zahlungsinstitute, E-Geld-Institute, Wallet-Anbieter und Embedded-Finance-Modelle entstehen dadurch neue Anforderungen an Zulassung, Governance, Eigenmittel, Safeguarding, Risikomanagement und interne Kontrollen.

Besonders relevant ist dies für Geschäftsmodelle, die bisher stark auf Wachstum, Partnerschaften oder Plattformintegration ausgerichtet waren. Die neue Regulierung erhöht die Anforderungen an Skalierbarkeit, Kontrollfähigkeit und aufsichtsrechtliche Nachweisbarkeit.

Für Investoren, Fintechs und strategische Partner wird damit auch die regulatorische Qualität eines Geschäftsmodells wichtiger.

5. PSD3/PSR ist Teil einer größeren digitalen Finanzarchitektur

PSD3 und PSR sollten nicht isoliert betrachtet werden. Sie stehen im Zusammenhang mit DORA, FiDA, EUDI Wallet, Instant Payments und dem digitalen Euro. Gemeinsam verschieben diese Initiativen den europäischen Finanzmarkt in Richtung stärkerer digitaler Resilienz, mehr Datennutzung, sicherer Identitäten und harmonisierter Zahlungsinfrastrukturen.

Für Institute entsteht daraus eine zentrale strategische Aufgabe: Regulatorische Programme müssen stärker gebündelt werden. Wer PSD3/PSR getrennt von DORA, FiDA oder Digital Identity behandelt, riskiert Doppelarbeiten, inkonsistente Zielarchitekturen und unnötige Umsetzungskosten.

Was Banken und Zahlungsdienstleister jetzt konkret tun sollten

BDO empfiehlt ein strukturiertes Vorgehen in vier Phasen.

In der ersten Phase steht eine Regulatory Baseline im Mittelpunkt. Institute sollten die relevanten Anforderungen identifizieren, betroffene Geschäftsbereiche bestimmen und eine klare Management-Sicht auf Handlungsfelder, Risiken und Chancen entwickeln. Ziel ist ein belastbares Bild darüber, welche Anforderungen unmittelbar geschäftskritisch sind.

In der zweiten Phase sollte ein Impact Assessment durchgeführt werden. Legal, Compliance, IT, Operations, Fraud, Zahlungsverkehr und Produktbereiche sollten gemeinsam prüfen, welche Prozesse, Systeme, Kontrollen, Verträge und Kundenschnittstellen betroffen sind. Besonders wichtig sind Fraud-Prozesse, API-Infrastruktur, Consent Management, Haftungslogik und Governance-Anforderungen.

In der dritten Phase sollte ein Zielbild mit Umsetzungsroadmap entwickelt werden. Dieses Zielbild sollte regulatorische Mindestanforderungen, technische Zielarchitektur, Prozessdesign, Verantwortlichkeiten, Budgetbedarf und Abhängigkeiten zu anderen Programmen enthalten.

In der vierten Phase stehen Umsetzung, Testing und Aufsichtsfähigkeit im Vordergrund. Policies, Kontrollen, Systemanpassungen, Trainings, Testkonzepte und Audit Trails sollten so aufgebaut werden, dass sie intern steuerbar und extern prüfbar sind.

Der strategische Vorteil früher Vorbereitung

Der häufigste Fehler bei regulatorischen Reformen ist das Warten auf den letzten Umsetzungsschritt. Bei PSD3 und PSR wäre das besonders riskant. Die wesentlichen Stoßrichtungen sind bekannt: mehr Betrugsprävention, bessere Schnittstellen, höhere Transparenz, stärkere Harmonisierung und mehr Kundenschutz.

Wer früh beginnt, gewinnt Zeit für bessere Architekturentscheidungen, realistischere Budgetplanung und eine stärkere Verzahnung mit bestehenden Transformationsprogrammen. Gleichzeitig können Institute regulatorische Anforderungen nutzen, um Kundenerlebnis, Datenfähigkeit und operative Exzellenz im Zahlungsverkehr zu verbessern.

Fazit: PSD3 und PSR gehören jetzt auf die Management-Agenda

PSD3 und PSR sind keine reine Compliance-Anpassung. Sie verändern die Spielregeln für Zahlungsverkehr, Open Banking, Fraud Management und digitale Kundeninteraktion.

Für Banken, Fintechs und Zahlungsdienstleister stellt sich daher nicht die Frage, ob sie sich vorbereiten müssen. Die entscheidende Frage lautet: Wird PSD3/PSR als Pflichtprojekt abgearbeitet – oder als Anlass genutzt, Zahlungsverkehr, Datenzugang und Betrugsprävention strategisch neu aufzustellen?

BDO unterstützt Banken, Zahlungsinstitute, E-Geld-Institute und Fintechs bei der regulatorischen Einordnung, Gap-Analyse, Zielbildentwicklung und Umsetzung von PSD3- und PSR-Anforderungen.

Dieser Artikel wurde verfasst von