Zum Hauptmenü Zum Inhalt
Bank & Kapitalmarkt | Haslinger / Nagele, Illustration: Karlheinz Wasserbacher

PSD3 und PSR auf der Zielgeraden

Autorinnen: Birgit Meisinger und Leonie Müller

Am 27. November 2025 haben Europäisches Parlament und Rat die grundsätzliche politische Einigung über die Payment Services Regulation (PSR) und die Third Payment Services Directive (PSD3) erzielt. Die Regelungen betreffen den Zahlungsverkehr in seiner gesamten operativen Breite – von der Betrugsprävention über Open Banking bis hin zur Bargeldversorgung und stellen eine Weiterentwicklung und Nachschärfung des bestehenden Regelwerks dar. Mit einer Veröffentlichung der beiden Rechtsakte wird in den nächsten Monaten gerechnet.

Wesentliche Neuerungen

Die derzeitig vorgesehenen Entwürfe verfolgen eine klare Aufgabenteilung: Die PSR regelt als EU-Verordnung die materiellen Verhaltens- und Pflichtennormen für alle Zahlungsdienstleister – also sämtliche operativen Anforderungen zu Betrugsprävention, Transparenz, Open Banking und Kundenschutz. Die PSD3 regelt demgegenüber als Richtlinie die institutionelle Seite – insbesondere Zulassung und Aufsicht über Zahlungsinstitute.

Vorbehaltlich der Prüfung der finalen Texte können aus dem Kommissionsvorschlag zur PSR und PSD3 sowie den jeweiligen Erwiderungen des Parlaments bzw den Pressemitteilungen des Rates bereits wesentliche Aspekte herausgelesen werden:

1. Verschärfte Betrugsprävention und Verbraucherschutz

Die PSR führt ein umfassendes Pflichtensystem zur Betrugsbekämpfung ein, das deutlich über die bisherigen Anforderungen der PSD2 hinausgeht:

  • Erweitertes Transaktionsmonitoring: Zahlungsdienstleister müssen ein risikobasiertes Transaktionsmonitoring in Echtzeit implementieren, das auf der Analyse bisheriger Zahlungsvorgänge basiert und den Abgleich mit bekannten Betrugsszenarien, kompromittierten Authentifizierungselementen sowie anomalem Nutzungsverhalten umfasst. Ergänzend ist die Europäische Bankenaufsicht (EBA) beauftragt, eine dedizierte IT-Plattform für den Austausch von betrugsbezogenen Informationen zwischen Zahlungsdienstleistern einzurichten.
  • Verification of Payee: Vor jeder Überweisung muss die Übereinstimmung von Name und IBAN des Zahlungsempfängers geprüft werden (ähnlich wie bereits durch die Instant Payment Regulation vorgesehen). Bei Diskrepanzen ist die Zahlung abzulehnen und der Auftraggeber zu informieren.
  • Spoofing-Erstattung: Bei Identitätsbetrug (Spoofing), wo ein Betrüger sich als Mitarbeiter eines Zahlungsdienstleisters ausgibt, muss der Zahlungsdienstleister den gesamten Betrag erstatten, sofern der Kunde den Betrug bei der Polizei meldet und seinen Zahlungsdienstleister informiert. Eine Ausnahme besteht bei grober Fahrlässigkeit des Kunden, wobei die Beweislast beim Zahlungsdienstleister liegt.
  • Limits und Sperrfunktionen: Zahlungsdienstleister müssen ihren Kunden Ausgabenlimits und Sperrfunktionen bereitstellen, die der Kunde individuell anpassen kann.
  • Haftung von Online-Plattformen: Große Online-Plattformen haften gegenüber Zahlungsdienstleistern für erstattete Schäden, wenn sie über betrügerische Inhalte informiert wurden und diese nicht entfernt haben – aufbauend auf den Pflichten des Digital Services Act.
  • Menschlicher Kundensupport: Nutzer müssen Zugang zu menschlichem Kundensupport haben – Chatbots allein genügen den Anforderungen nicht.

2. Höhere Transparenz und besserer Bargeldzugang

  • Gebührentransparenz am Geldautomaten: Kunden müssen vor jeder Transaktion vollständig über alle anfallenden Gebühren und Wechselkurse (sowie entsprechende Aufschläge) informiert werden.
  • Bargeldabhebung ohne Kauf: Einzelhändler können freiwillig Bargeldabhebungen bis zu EUR 150 auch ohne Kaufvorgang anbieten, um insbesondere in ländlichen Gebieten den Bargeldzugang zu verbessern.

3. Open Banking und Wettbewerb

  • Dashboard: Kontoführende Zahlungsdienstleister müssen auf der Benutzeroberfläche ein integriertes Dashboard bereitstellen, über das Kunden die von ihnen erteilten Zugriffsberechtigungen für ihre Daten überwachen, steuern und kostenfrei widerrufen können.
  • Nichtdiskriminierender Kontozugang: Banken müssen Zahlungsinstituten auf nichtdiskriminierender Basis Zugang zu Zahlungskonten gewähren. Eine Liste verbotener Hindernisse für den Datenzugang wird gesetzlich verankert.
  • FRAND-Zugang zu Mobilgeräten: Hersteller von Mobilgeräten müssen Front-End-Dienstleistern die Datenspeicherung und -übertragung für Zahlungsvorgänge zu fairen, angemessenen und nichtdiskriminierenden (FRAND) Bedingungen ermöglichen.

4. Vereinfachte Zulassung

  • Das Zulassungsverfahren für Zahlungsinstitute wird vereinfacht; das Anfangskapital wird risikoangepasst und an die Art der erbrachten Zahlungsdienste geknüpft. Krypto-Asset-Dienstleister, die bereits unter der MiCA-Verordnung zugelassen sind, durchlaufen ein vereinfachtes Verfahren.

Sanktionen

Die PSR sieht ein verschärftes Sanktionsregime vor:

  • Die Mitgliedstaaten müssen wirksame, verhältnismäßige und abschreckende verwaltungsrechtliche Sanktionen und Maßnahmen für Verstöße gegen die PSR vorsehen. Bei spezifischen Kernverstößen – insbesondere gegen die Vorschriften zum Kontozugang, zur sicheren Datenzugangsregelung, zu Betrugspräventionsmechanismen einschließlich starker Kundenauthentifizierung sowie zur ATM-Gebührentransparenz – sind empfindliche Sanktionen vorgesehen. Für juristische Personen sind Verwaltungsstrafen von mindestens 7,5 %10 % des Jahresumsatzes oder zumindest dem Doppelten des durch den Verstoß erzielten Gewinns im Gespräch.Daneben können öffentliche Bekanntmachungen, Unterlassungsanordnungen und temporäre Tätigkeitsverbote für Geschäftsleiter verhängt werden.
  • Darüber hinaus können zuständige Behörden Zwangsgelder (periodic penalty payments) für andauernde Verstöße (bis zu sechs Monate) verhängen.
  • Die Veröffentlichung aller Sanktionsentscheidungen auf den Websites der zuständigen Behörden ist vorgesehen und soll eine zusätzliche abschreckende Wirkung entfalten.

Nächste Schritte

Derzeit wird noch an letzten Details gefeilt. Mit einer Verabschiedung der Rechtsakte vom Europäischen Parlament und vom Rat und der daran anschließenden Veröffentlichung wird in den nächsten Monaten gerechnet. Danach bleiben den Betroffenen voraussichtlich 18 Monate (diese Frist steht derzeit noch in Diskussion), um die Änderungen zu implementieren: die PSR soll als EU-Verordnung voraussichtlich ab Ende 2027 / Anfang 2028 anwendbar sein, die PSD3 (als Richtlinie) wird bis dahin national umzusetzen sein. Bestehende Zulassungen unter der PSD2 werden übergangsweise bisvoraussichtlich 30 Monate nach Inkrafttreten fortgeführt, innerhalb dieser Frist muss jedoch rechtzeitig ein Antrag auf Neuzulassung gestellt werden.

Es empfiehlt sich daher schon jetzt, das Jahr 2026 als Vorbereitungsphase zu nutzen, um die regulatorischen Anforderungen im Detail zu prüfen und Handlungsfelder zu identifizieren.

Disclaimer

Dieser Newsletter-Artikel dient der allgemeinen Information und stellt keine Rechtsberatung im Einzelfall dar. Die Haslinger / Nagele Rechtsanwälte GmbH übernimmt keinerlei Haftung für Inhalt und Richtigkeit dieses Beitrages. Für eine auf Ihre konkrete Situation zugeschnittene rechtliche Einschätzung stehen wir Ihnen gerne zur Verfügung.

Autor:innen

Porträtfoto Birgit Meisinger, Rechtsanwältin, eingetragene Mediatorin Haslinger/Nagele, Portrait von Julia Spicker

Birgit Meisinger

Rechtsanwältin
Leonie Müller, Porträt, quadratisch, Fotografin: Julia Spicker

Leonie Müller

Rechtsanwältin

Weitere Informationen zum Rechtsgebiet:

Bank & Kapitalmarkt | Haslinger / Nagele, Illustration: Karlheinz Wasserbacher

Bank- und Kapitalmarktrecht

 

29. April 2026

 
Zurück zur Übersicht
  • Haslinger/ Nagele: JUVE Top Arbeitgeber Österreich 2025
  • Haslinger / Nagele: JUVE Awards Kanzlei des Jahres Österreich 2018
  • JUVE Top 20 Logo für 2025 und 2026
  • Haslinger/ Nagele: Chambers Europe Top Ranked 2025 Logo
  • Legal 500 EMEA Ranking Logo 2025
  • Promoting the best. Women in Law Award
  • Haslinger/ Nagele: Partner im CTC Cleantech Cluster
  • Haslinger/ Nagele: Mitglied Photovoltaic Austria