Back
Die Europäische Kommission aktualisiert ihre Vorschriften für die Zahlungsdienstleistungsbranche. Die dritte Zahlungsdiensterichtlinie (PSD3) wird in der ersten Hälfte des Jahres 2025 erwartet, und Händler, Banken, Fintechs, Kartennetzwerke und Zahlungsabwickler bereiten sich auf die zusätzliche Arbeit und die damit verbundenen Möglichkeiten vor.
Was ist PSD3?
PSD3 ist eine dritte Zahlungsdiensterichtlinie der Europäischen Kommission, die in der ersten Hälfte des Jahres 2025 veröffentlicht werden soll. Dabei handelt es sich um eine Reihe von Vorschriften für die Zahlungsverkehrsbranche, die darauf abzielen, die Ziele der vorherigen Richtlinien PSD1 aus dem Jahr 2007 und PSD2 aus dem Jahr 2015 weiter zu verbessern und auszubauen.
Das zentrale Ziel der Zahlungsdiensterichtlinien der Europäischen Kommission ist es, einen einheitlichen Zahlungsdienstleistungsmarkt für die EU zu entwickeln und aufrechtzuerhalten, der in allen Mitgliedsstaaten das gleiche Maß an Verbraucherschutz, Effizienz und Innovation bietet.
Diese Verordnungen zielen darauf ab, grenzüberschreitende Zahlungen so einfach und sicher wie Inlandszahlungen zu machen, indem sie die Gesetze für elektronische Zahlungen standardisieren und ein Umfeld fördern, das Wettbewerb und Innovation erleichtert. Während die PSD1 darauf abzielte, diesen Binnenmarkt zu schaffen, sollen die PSD2 und die in Kürze erscheinende PSD3 diesen durch Schutzmaßnahmen für Verbraucher, Händler und Zahlungsdienstleister erweitern, die den Anforderungen der modernen Finanzdienstleistungslandschaft gerecht werden.
- PSD3 ist ein von der Europäischen Kommission herausgegebenes Regelwerk für die Zahlungsdienstleistungsbranche, das auf den vorherigen Richtlinien PSD2 (aus dem Jahr 2015) und PSD1 (aus dem Jahr 2007) aufbaut.
- Ziel der Zahlungsdiensterichtlinien der Europäischen Kommission ist es, die Verbraucher zu schützen und einen sicheren, integrierten, wettbewerbsfähigen und effizienten EU-Zahlungsverkehrsmarkt zu schaffen.
- Die PSD3 erweitert den Rahmen der PSD2, insbesondere in den Bereichen Betrugsprävention, Open Banking, Datenzugang, Verbraucherrechte, Verfügbarkeit von Bargeld und fairer Wettbewerb.
Was ist die Verordnung über Zahlungsdienste (PSR)?
Die neue Verordnung besteht aus zwei Teilen. PSD3 ist immer noch eine Richtlinie, die sich hauptsächlich auf den Betrieb und die Zulassung von Zahlungsdienstleistern bezieht. Der Großteil der Verpflichtungen der Banken wird nun von der PSR abgedeckt, einer Vorschrift, die die PSD2 ablösen wird und in jedem EU-Mitgliedstaat automatisch in Kraft tritt.
Schlüsselkomponenten von PSD3
Erhöhte SCA-Anforderungen
Bei der Bewertung der Auswirkungen der PSD2 stellte die Europäische Kommission fest, dass die Vorschriften zur Betrugsprävention, insbesondere die Anforderungen an die starke Kundenauthentifizierung (SCA)als eine der erfolgreichsten Komponenten der Richtlinie. Die SCA-Anforderungen fügen dem Zahlungsvorgang eine zusätzliche Sicherheitsebene hinzu, indem sie von den Verbrauchern verlangen, dass sie während des Zahlungsvorgangs mindestens zwei Identifikationsdaten angeben. Diese Informationen müssen zu zwei der folgenden Kategorien gehören:
- Etwas, das der Kunde KENNT (z. B. eine PIN oder ein Passwort)
- Etwas, das der Kunde HAT (z. B. ein Kartenlesegerät oder ein Mobiltelefon)
- Etwas, das der Kunde IST (z. B. Gesichts- oder Fingerabdruckerkennung)
Die PSD3 wird die SCA-Anforderungen gegenüber der PSD2 u.a. um einige Punkte erweitern:
- Klarstellung, wann bestimmte Transaktionen vom SCA ausgenommen werden können
- Erfordernis von SCA für die Registrierung von mobilen Geldbörsen
- Verpflichtung der Zahlungsdienstleister, SCA-Methoden anzubieten, die sich nicht nur auf eine Technologie stützen, um die Zugänglichkeit für alle Nutzer (z. B. ältere Nutzer, Nutzer mit geringem Einkommen usw.) zu gewährleisten.
"Spoofing"-Betrugsprävention
Die Europäische Kommission hat den Betrug durch Nachahmung, auch "Spoofing" genannt, als einen Bereich hervorgehoben, in dem die PSD2 nicht ausreichend ausgestattet ist. Diese Art von Betrug ist schwieriger zu verhindern, da der Kunde, nachdem er vom Betrüger manipuliert wurde, tatsächlich seine Zustimmung zur Autorisierung einer Zahlung gibt. Da Spoofing- und Social-Engineering-Betrügereien vernünftige menschliche Fehler ausnutzen, ist es für automatisierte Betrugspräventionssysteme schwierig, sie zu erkennen und zu verhindern.
Mit PSD3 plant die Europäische Kommission, die Anforderungen an die Erkennung und Verhinderung von Spoofing auf folgende Weise zu erhöhen:
- Überprüfung von IBAN und Name bei allen Überweisungen, wobei die Bank überprüfen muss, ob der Kontoname mit der zu diesem Namen gehörenden IBAN übereinstimmt
- Verstärkung der Maßnahmen zur Überwachung von Transaktionen, um ungewöhnliche, potenziell betrügerische Zahlungsaktivitäten aufzudecken
- Schaffung eines Rechtsrahmens für Zahlungsdienstleister zum Austausch von Informationen über Betrug, z. B. Daten über laufende Betrugsfälle
- Verpflichtung der Zahlungsdienstleister, ihre Mitarbeiter und Kunden gründlich über die Betrugsbekämpfung im Zahlungsverkehr aufzuklären
Fairer Wettbewerb für Nicht-Banken-Zahlungsdienstleister
Zahlungsdienstleister, die keine Banken sind, wie Zahlungsinstitute (PIs) und E-Geld-Institute (EMIs), haben in der PSD2-Ära an Popularität gewonnen, aber ein Mangel an Rechtsvorschriften für einen fairen Wettbewerb hat viele daran gehindert, Zugang zu den wichtigen Bankdienstleistungen und Zahlungsinfrastrukturen zu erhalten, die sie für ihre Tätigkeit benötigen. So verweigern Geschäftsbanken PIs und EWIs häufig die Eröffnung von Bankkonten, oder sie schließen ihre Konten ohne Vorwarnung mit dem Hinweis auf vage Bedenken hinsichtlich der Vorschriften zur Bekämpfung der Geldwäsche. Unter den derzeitigen Bedingungen sind Zahlungsdienstleister, die keine Banken sind, der Gnade der Geschäftsbanken ausgeliefert, obwohl sie deren direkte Konkurrenten sind.
Um diese Probleme zu lösen, wird die PSD3 von den Banken verlangen, dass sie die Verweigerung von Dienstleistungen für Zahlungsdienstleister viel stärker begründen. Wenn eine Bank einem Zahlungsdienstleister kritische Bankdienstleistungen verweigert oder beschließt, sein Konto zu schließen, wird der Zahlungsdienstleister die Möglichkeit haben, bei seiner nationalen Behörde Einspruch gegen die Entscheidung einzulegen. Diese Aktualisierungen werden dazu beitragen, die Wettbewerbsbedingungen für Zahlungsdienstleister, die keine Banken sind, zu verbessern, indem sie ihnen einen faireren Wettbewerb mit den traditionellen Banken ermöglichen.
Verbesserungen beim Open Banking
Die PSD3 wird auf dem Rahmen der PSD2 für das "Open Banking" aufbauen, bei dem Drittanbieter auf die Bank- und Zahlungskontodaten eines Kunden zugreifen können, um wertvolle Dienstleistungen wie Ausgabenübersichten, Budgetierungstools und gezielte Finanzprodukte anzubieten.
Das Ziel der PSD3 im Hinblick auf Open Banking ist es, die Funktionalität des Datenaustauschs zwischen Banken und Dritten zu verbessern, ohne die bestehende Infrastruktur zu stören oder die Kosten zu erhöhen. Neben der Festlegung strengerer Regeln für Datenzugangsschnittstellen wird erwartet, dass die PSD3 die folgenden spezifischen Änderungen an ihren Open-Banking-Anforderungen vornimmt:
- Die Banken müssen nicht mehr zwei Datenzugangsschnittstellen unterhalten (eine Ausweichschnittstelle wird nicht mehr benötigt).
- Banken und Anbieter von Zahlungsverkehrskonten sollen verpflichtet werden, ein Verbraucher-Dashboard einzurichten, mit dem die Kunden sehen können, welche Unternehmen Zugang zu ihren Daten haben, und das es ihnen leicht macht, den Zugang bei Bedarf zu widerrufen.
Mehr Verbraucherrechte
Der Schutz der Verbraucher und die Vereinheitlichung des Verbraucherschutzes in ganz Europa sind seit langem ein Ziel der Europäischen Kommission. Die PSD3 wird auf früheren Richtlinien aufbauen, um die Rechte der Verbraucher in der EU in mehrfacher Hinsicht zu stärken:
1. Bessere Kommunikation und Klarheit in Bezug auf Währungsumrechnungsgebühren
Die PSD3 verpflichtet Zahlungsdienstleister, ihre Kunden über die voraussichtlichen Währungsumrechnungsgebühren für Überweisungen und Geldtransfers in Länder außerhalb der EU sowie über die voraussichtliche Dauer bis zum Eingang des Geldes beim Zahlungsempfänger zu informieren.
Ziel dieser Initiative ist es, den Kunden mehr Möglichkeiten zum Vergleich von Währungsumrechnungskursen und internationalen Überweisungsgebühren zu geben, damit sie bei der Wahl eines Zahlungsdienstleisters eine fundierte Entscheidung treffen können.
2. Klarere Angaben zum Zahlungsempfänger auf den KontoauszügenIm
Rahmen der PSD2 ist nicht festgelegt, ob der rechtmäßige Name oder der Handelsname eines Zahlungsempfängers auf den Kontoauszügen der Kunden erscheinen muss. Infolgedessen erkennen Verbraucher oft nicht den Namen eines rechtmäßigen Zahlungsempfängers und vermuten fälschlicherweise einen Betrug, was zu unnötigem Ärger und Verwirrung führt. Die PSD3 wird hier Abhilfe schaffen, indem sie von den Zahlungsdienstleistern verlangt, die Zahlungsempfänger eindeutig zu identifizieren und gegebenenfalls auch ihren Handelsnamen anzugeben.
3. Mehr Transparenz bei GeldautomatengebührenIm
Rahmen der PSD3 müssen die Zahlungsdienstleister den Nutzern Informationen über die von allen Geldautomatenbetreibern in ihren Mitgliedstaaten erhobenen Gebühren offenlegen. So können die Verbraucher im Voraus wissen, welche Kosten auf sie zukommen, bevor sie sich für einen Geldautomaten entscheiden, an dem sie Geld abheben wollen.
4. Besserer Schutz für vorübergehend gehaltene oder "gesperrte" Gelder
Bestimmte Arten von Händlern, wie Tankstellen, Hotels und Autovermietungen, halten vorübergehend Gelder zurück, um erwartete Kosten oder mögliche Schäden zu decken. Obwohl dies eine gängige Praxis in diesen Branchen ist, hat die Europäische Kommission darauf hingewiesen, dass die zurückgehaltenen Geldbeträge oft unverhältnismäßig hoch sind im Vergleich zum tatsächlichen, endgültigen Transaktionsbetrag, und dass das Verfahren zur Rückgabe der zurückgehaltenen Gelder an den Kunden langwierig und unnötig kompliziert sein kann. Mit der PSD3 werden Regeln eingeführt, die eine schnellere Auszahlung nicht genutzter "gesperrter" Gelder gewährleisten und dafür sorgen, dass die zurückgehaltenen Gelder in einem besseren Verhältnis zum endgültigen Transaktionsbetrag stehen.
Mehr Verfügbarkeit von Bargeld
Mit der PSD3 hofft die Europäische Kommission, den Verbrauchern mehr Möglichkeiten zum Abheben von Bargeld zu geben, indem sie es Händlern und Geldautomatenbetreibern erleichtert, Bargeldabhebungsdienste anzubieten. Die PSD3 wird die Verfügbarkeit von Bargeld für die Verbraucher vor allem auf zwei Arten verbessern:
1. Kauffreies "Cashback" in stationären Geschäften
Auf dem derzeitigen Markt können Einzelhändler, wie z. B. Supermärkte, ihren Kunden "Cashback" als Teil eines Kaufs von Waren oder Dienstleistungen anbieten. Mit der PSD3 werden die geltenden Vorschriften aktualisiert, so dass Einzelhändler ihren Kunden diesen Bargeldabhebungsservice auch außerhalb eines herkömmlichen Kaufvorgangs anbieten können. Mit anderen Worten: Die Kunden müssen nichts mehr im Geschäft kaufen, sondern können mit ihrer Zahlungskarte oder ihrer mobilen Geldbörse direkt an der Kasse Bargeld anfordern. Bestimmte Beschränkungen bleiben bestehen, z. B. eine Obergrenze von 50 EUR für die Bargeldabhebung, um einen fairen Wettbewerb mit den Geldautomaten zu gewährleisten und die Bargeldvorräte der Einzelhändler vor Ort nicht zu leeren.
2. Mehr ATMs
Im Rahmen der PSD2 dürfen bestimmte Geldautomatenbetreiber (die keine Zahlungskonten bedienen) ohne Lizenz arbeiten. Dies ist der Branche jedoch nur bedingt bewusst. Die PSD3 wird diese Ausnahmen klarer formulieren, um die Zahl der Geldautomaten in der EU zu erhöhen, insbesondere in Gebieten, in denen nur wenige oder gar keine Geldautomaten vorhanden sind.
Was ist der voraussichtliche Zeitrahmen?
In diesem Interview, das auf der Website der Europäischen Kommission veröffentlicht wurdegab Eric Ducoulombier, Referatsleiter bei der Europäischen Kommission, an, dass die Veröffentlichung der PSD3 in der ersten Hälfte des Jahres 2025 zu erwarten ist:
"Was die Zeitachse betrifft, so habe ich keine Kristallkugel, und wie Mark Twain sagte: "Es ist schwierig, Vorhersagen zu machen, besonders über die Zukunft". Ich denke, es ist nicht unvernünftig, eine mögliche endgültige Verabschiedung der Texte in der ersten Hälfte des Jahres 2025 vorauszusehen."
PSD2 vs. PSD3
Banken, Zahlungsdienstleister und alle Organisationen, die von den Zahlungsdiensterichtlinien der Europäischen Kommission betroffen sind, können die PSD3 als eine Erweiterung der PSD2 betrachten und nicht als eine erhebliche Störung der bestehenden Zahlungsdienstinfrastruktur in Europa.
In vielen Fällen handelt es sich bei den neuen Vorschriften, die im Rahmen der PSD3 erwartet werden, um Erweiterungen bestehender Anforderungen, die keinen umfassenden Umbau der Zahlungsinfrastrukturen oder kostspielige Integrationen neuer Technologien erfordern. Stattdessen soll die PSD3 auf dem Erfolg der PSD2-Vorschriften aufbauen und einfache Lösungen für Bereiche bieten, die von der PSD2 übersehen oder unterversorgt wurden.
Die wichtigsten Unterschiede zwischen PSD2 und PSD3 sind:
- Verschärfte SCA-Anforderungen
- Verbesserter Schutz vor Betrug, insbesondere in Bezug auf "Spoofing".
- Verbesserter Datenaustausch zur Erleichterung eines effizienteren, wertvollen "Open Banking"-Rahmens
- Mehr Rechte für Verbraucher in Bezug auf Transparenz und Kommunikation, Zahlungsgebühren, Auszüge und Guthaben
Die PSD3 soll die Zahlungsdienstleistungsbranche für alle Beteiligten - Händler, Banken, Zahlungsdienstleister, Fintechs, Kartennetzwerke und vor allem für die Verbraucher - verbessern. Es wird erwartet, dass sie eine neue Ära der Transparenz, der Sicherheit und des Verbraucherschutzes einläutet, die die EU weiter als weltweit führend in der Regulierung und Innovation von Finanzdienstleistungen etabliert.
Erfahren Sie mehr über unsere Komplettlösungen für den Zahlungsverkehr
FAQs
Wie lange haben die Unternehmen Zeit, die PSD3-Anforderungen umzusetzen?
Die endgültige Fassung der PSD3 wird voraussichtlich in der ersten Hälfte des Jahres 2025 veröffentlicht werden. Wenn eine 18-monatige Übergangsfrist gewährt wird, wie es bei früheren Richtlinien der Fall war, dann wird die PSD3 irgendwann im Jahr 2027 in Kraft treten.
Was ist der Unterschied zwischen PSD3 und PCI DSS?
PSD3 ist ein von der Europäischen Kommission erlassener Rechtsrahmen zur Regulierung der Zahlungsdienstleistungsbranche und zur Harmonisierung der Zahlungsdienste für einen EU-Binnenmarkt. Die in diesen Richtlinien festgelegten Regeln und Anforderungen sind Teil des europäischen Rechts und ihre Nichteinhaltung hat rechtliche Konsequenzen.
PCI DSS (Payment Card Industry Data Security Standard) ist ein eine Reihe von globalen Standards, die vom PCI Security Standards Council herausgegeben werden und sich in erster Linie auf die Sicherheit von Kartenzahlungen beziehen. Er wird von den Kartennetzen durchgesetzt, und obwohl er mit bestimmten Gesetzen auf der ganzen Welt verbunden ist, ist PCI DSS selbst kein Gesetz.
Kurz gesagt, PSD3 hat einen breiteren Anwendungsbereich als PCI DSS, gilt nur für die Mitgliedstaaten der Europäischen Union und enthält ausdrückliche Gesetze. PCI DSS befasst sich nur mit der Sicherheit von Kartenzahlungen, ist kein Gesetz, sondern ein Industriestandard, und gilt weltweit.
Warum ist PSD3 notwendig?
Die PSD3 wird benötigt, weil sich die Verbrauchergewohnheiten ändern und die Zahlungstechnologie fortschreitet. Daher müssen die Rechtsvorschriften angepasst werden, um den Anforderungen von Verbrauchern und Händlern in der EU gerecht zu werden. Mit der PSD3 werden die Anforderungen der PSD2 überarbeitet und erweitert, um die Verbraucher vor neuen Arten von Betrug zu schützen und Sicherheitslücken zu beheben. Sie wird die Rahmenbedingungen für die gemeinsame Nutzung von Daten verbessern und dazu beitragen, dass sowohl traditionelle als auch nicht-traditionelle Finanzdienstleistungsinstitute in einen fairen Wettbewerb treten können.
Welche Strafen drohen bei Nichteinhaltung der PSD3?
Wie bei ihren Vorgängern PSD2 und PSD1 ist die PSD3 Gesetz. Die Nichteinhaltung der PSD3 hat Geldstrafen und den möglichen Verlust der Zulassung für das betreffende Institut zur Folge. Die Art der Strafe hängt von der Art des Verstoßes und seiner Schwere ab. Die Zahlungsdiensterichtlinien der Europäischen Kommission werden von der "zuständigen Behörde" des Mitgliedstaates, in dem der Verstoß begangen wurde, überwacht und durchgesetzt.
