Thomas Weber 
PSD3 und die begleitende Payment Services Regulation (PSR) kommen – und sie kommen nicht als sanfter Reformwind, sondern als handfester Umbauauftrag für jeden, der im E-Commerce Zahlungen abwickelt. Checkout-Anbieter, Payment-Fintechs und Marktplatz-Betreiber stehen vor konkreten Lizenz-, Technik- und Kostenfragen. Wer jetzt noch auf klare Fristen wartet, riskiert, die Vorbereitungszeit zu verspielen.
Klartext vorweg: PSD3 ersetzt PSD2 nicht schlagartig. Die Reform besteht aus zwei Teilen – einer Richtlinie (PSD3), die Mitgliedstaaten in nationales Recht umsetzen müssen, und einer direkt wirkenden EU-Verordnung (PSR). Die EU-Kommission hatte die Vorschläge im Juni 2023 vorgelegt. Der Gesetzgebungsprozess läuft; mehrere Fachquellen rechnen mit einer Anwendung frühestens 2028, nach einer Umsetzungsfrist von 18 bis 24 Monaten. Wer also auf ein fixes Datum im Kalender wartet, wartet vergeblich.
Das Problem dabei: „Noch nicht in Kraft“ bedeutet nicht „noch nicht relevant“. PSPs und Checkout-Anbieter brauchen für API-Umbau, Lizenzprüfung und SCA-Redesign realistische Vorlaufzeiten. Wer erst mit der nationalen Umsetzung anfängt, ist technisch und organisatorisch zu spät dran.
PSD3 und PSR decken vier Kernbereiche ab: verschärfte Sicherheit und Strong Customer Authentication, neue Verbraucher- und Haftungsregeln, ein verbessertes Open-Banking-Regime mit interoperableren APIs sowie einheitlichere Aufsicht über Zahlungs- und E-Geld-Institute. Das ist kein Einzelthema – das ist eine Systemüberholung.
Open Banking nach PSD2 war in der Praxis ein einziger Flickenteppich. Banken lieferten APIs mit lückenhafter Dokumentation, wechselnden Endpoints und wochenlangen Ausfallzeiten – offiziell zertifiziert, funktional mangelhaft. PSD3 und PSR sollen das ändern: verpflichtende Interoperabilität, klarere Pflichten für kontoführende Institute, bessere Erreichbarkeit für Drittanbieter.
Für Checkout-Anbieter, die mehrere Banken aggregieren, klingt das gut. Die Realität wird sein, dass Banks die APIs zwar formal anpassen, Details aber weiter durch Regulatory Technical Standards der EBA geregelt werden – die teilweise noch ausstehen. Technische Teams sollten Implementierungen modular planen, weil RTS-Feinheiten sich noch ändern können.
Die Kombination aus PSD3, PSR und der bereits in Kraft getretenen Instant Payments Regulation (IPR) macht Account-to-Account-Zahlungen strukturell attraktiver. Die IPR verpflichtet Banken im SEPA-Raum, Sofortzahlungen zum gleichen Preis wie Standardüberweisungen anzubieten. Das senkt die Marge bei Kartenzahlungen und macht „Pay by Bank“-Lösungen im Checkout rechnerisch interessanter – besonders bei höheren Warenkörben und B2B-Transaktionen. Embedded Finance in Nicht-Bank-Apps profitiert von standardisierten APIs ebenfalls.
Hier wird es für viele Marktplatz- und Checkout-Betreiber unangenehm. Bisher nutzten Plattformen gerne die sogenannte Handelsvertreter-Ausnahme: „Wir wickeln keine Zahlungsdienste ab, wir vermitteln nur.“ PSD3 schließt diese Lücke explizit. Stripe verweist in seinem Leitfaden darauf, dass die PSD3-Präambel E-Commerce-Plattformen, die faktisch Zahlungen für Käufer und Verkäufer abwickeln, ausdrücklich von der Handelsvertreter-Ausnahme ausschließt.
Die Bedingungen für die Ausnahme werden gleichzeitig verschärft: Handelsvertreter müssen ausdrücklich ermächtigt sein, im Namen des Zahlers oder Zahlungsempfängers zu verhandeln – und sie müssen echten Verhandlungsspielraum haben. Ein Checkout-Widget, das Zahlungen routet, ist das nicht.
Das bedeutet im Klartext: Wer als Plattform Zahlungen abwickelt, wird entweder selbst lizenzierter Zahlungsdienstleister – mit allen Kapital- und Compliance-Anforderungen – oder er kooperiert mit einem regulierten PSP und übergibt die Zahlungsabwicklung vollständig. Das bisherige „Wir sind nur Vermittler“-Narrativ ist regulatorisch nicht mehr tragfähig. Für viele Fintechs mit schmalem Eigenkapital ist das eine direkte Margenbedrohung.
Strong Customer Authentication bleibt Pflicht – aber PSD3 differenziert stärker. Lastschriften bleiben weiterhin von SCA ausgenommen. Merchant-Initiated Transactions (MIT) – das Modell hinter Streaming-Abos und Daueraufträgen – werden gesetzlich verankert: Nur die initiale Vereinbarung erfordert SCA, Folge-Transaktionen sind SCA-frei. Kein Erstattungsrecht wie bei SEPA-Lastschriften gilt für MIT explizit nicht.
Für Abo-Commerce und Subscription-Modelle ist das eine klare Vereinfachung. Das Problem dabei: Die genauen Grenzwerte für risikobasierte SCA-Ausnahmen hängen von noch ausstehenden EBA-Leitlinien ab. Wer jetzt SCA-Flows für 2028 baut, muss Puffer für Nachregulierungen einplanen.
Neu ist die Pflicht zur IBAN-Namensprüfung bei Überweisungen. Bevor eine Überweisung ausgeführt wird, müssen PSPs prüfen, ob Kontoinhaber-Name und IBAN übereinstimmen. Das reduziert Betrug, erzeugt aber technischen Integrationsaufwand – und Fragen zur Conversion: Was passiert, wenn ein Kunde seinen Namen leicht abweichend eingetragen hat? Wie kommuniziert der Checkout eine Warnmeldung, ohne die Kaufabsicht zu killen? Das ist eine UX-Frage mit direkten Auswirkungen auf die Abbruchrate.
MOTO-Transaktionen (Mail Order/Telephone Order) benötigen unter PSD3 keine SCA, aber irgendeine Form der Authentifizierung – etwa eine TAN bei Telefonbestellungen. Wer heute noch MOTO ohne Authentifizierung betreibt, muss das anpassen.
PSD3 erhöht die Haftung von Zahlungsdienstleistern bei unautorisierten Transaktionen. Besonders relevant: Bei Identitätsbetrug müssen PSPs Verbrauchern die entstandenen Schäden erstatten. Das klingt nach Verbraucherschutz – und ist es auch. Aus PSP-Perspektive ist es eine direkte Kostenposition.
Für Checkout-Anbieter bedeutet das, dass Fraud-Prävention kein optionales Feature mehr ist, sondern harte Haftungsgrundlage. Risikobasierte Authentifizierung, Verhaltensanalyse und datengetriebene Fraud-Engines werden zur Pflichtinfrastruktur. Wer bei Sicherheitsinvestitionen spart, zahlt später über Erstattungsquoten.
Meine Einschätzung: Gerade für kleinere Payment-Fintechs ohne eigene Risk-Engine wird das zum Differenzierungsproblem. Wer keine belastbare Fraud-Detection hat, wird entweder teuer fremdkaufen oder höhere Verluste einkalkulieren müssen. Beides drückt die Marge.
Neben den technischen Anforderungen enthält PSD3 auch verschärfte Informationspflichten gegenüber Zahlungsnutzern, die in der öffentlichen Diskussion bisher wenig Aufmerksamkeit bekommen. PSPs müssen Verbraucher künftig klarer und verständlicher über Gebühren, Wechselkurse und Bedingungen informieren – und zwar vor, während und nach einer Transaktion. Das klingt nach einem Marginalthema, ist es aber nicht.
Wer heute einen mehrsprachigen Checkout betreibt, der mit dynamischen Währungsumrechnungen arbeitet, steht vor konkretem Überarbeitungsaufwand. Welche Informationen müssen zu welchem Zeitpunkt in welchem Format angezeigt werden? Werden Vergleichsgrößen oder alternative Zahlungsmittel aktiv kommuniziert? PSD3 legt hier die Latte höher als PSD2.
Hinzu kommt die geplante Pflicht, Kunden bei wiederkehrenden Zahlungsvereinbarungen proaktiv zu informieren – beispielsweise bevor ein Abo-Betrag nach einer Probezeit erstmals abgebucht wird. Für Subscription-Commerce ist das eine direkte Anforderung an Notification-Logik und CRM-Integration. Wer Abonnements automatisiert verwaltet, muss prüfen, ob die bestehende Kommunikationsarchitektur diese Informationspflichten rechtzeitig und nachweisbar erfüllen kann.
Praktisch bedeutet das: Rechts- und Produktteams müssen gemeinsam ran. Die Anforderungen sind nicht rein technisch und nicht rein juristisch – sie liegen genau auf der Grenze. Wer das als reinen Compliance-Auftrag an die Rechtsabteilung delegiert, wird am Ende einen Text haben, der zwar konform ist, aber die Conversion unnötig belastet.
Das Verbot, Verbrauchern Aufschläge für teurere Zahlungsmittel zu berechnen (Surcharging), bleibt in den meisten Fällen bestehen. Wer also hoffte, Kreditkartengebühren direkt an Kunden weiterzureichen, wird enttäuscht. Die Konsequenz: Die Gebührenlast bleibt beim Händler.
Gleichzeitig öffnet die Kombination aus Open Banking und IPR einen Ausweg: Account-to-Account-Zahlungen sind strukturell günstiger als Kartentransaktionen. Die IHK Bremen/Bremerhaven empfiehlt Einzelhändlern ausdrücklich, PSD3 und IPR als Chance zu nutzen, die eigene Zahlungslandschaft zu überprüfen und kostengünstigere Bank-zu-Bank-Zahlungen gezielt einzusetzen, um Kartengebühren zu senken.
Für den deutschen E-Commerce ist das relevant. Der Onlinehandel in Deutschland wächst wieder – nach dem Rückgang in den Jahren 2022 und 2023 zeigen aktuelle Zahlen eine Erholung. Angesichts der Volumen, die über Kartennetzwerke laufen, macht jedes Zehntel Prozent Gebührendifferenz bei großen Händlern erhebliche Summen aus. Wer Open-Banking-Zahlungen bisher ignoriert hat, sollte die Kalkulation neu aufmachen.
Neue SCA-Pflichten, IBAN-Namensprüfung, erhöhte Haftung, engere Lizenzanforderungen, einheitlichere Kapitalberechnung für Zahlungsinstitute: PSD3 und PSR sind ein Compliance-Paket, das technische und organisatorische Investitionen verlangt. Für gut kapitalisierte PSPs mit eigenem Compliance-Team ist das beherrschbar. Für kleinere Fintechs ohne Reserven wird es eng.
PSD3 schafft zudem einen einheitlichen rechtlichen Rahmen für Zahlungs- und E-Geld-Institute – bisher in unterschiedlichen Regimes reguliert. Das vereinfacht die Aufsicht, erhöht aber für E-Geld-Institute die Anforderungen spürbar. Wer bisher unter dem leichteren E-Geld-Regime operierte, wird mit neuen Kapital- und Autorisierungsanforderungen konfrontiert.
Der Druck zur Konsolidierung ist real. Mehrere PSP-Analysen legen nahe, dass steigende Compliance-Kosten mittelfristig zu M&A-Aktivität und Kooperationsmodellen führen werden. Quantifizieren lässt sich das noch nicht belastbar – aber die Richtung ist klar. Embedded-Finance-Modelle, die auf Drittlizenzen aufbauen, rücken stärker in den Fokus. Wer die Risiken solcher Konstruktionen unterschätzt, sollte sich die Entwicklungen im Bereich kollabierter FinTech-Infrastrukturpartner der letzten Jahre vor Augen halten.
Ein Aspekt, der in der PSD3-Debatte zu kurz kommt, ist der Wettbewerbskontext. Während europäische PSPs und Fintechs erhebliche Compliance-Budgets für PSD3, DORA und weitere regulatorische Anforderungen einplanen müssen, operieren US-amerikanische oder asiatische Zahlungsanbieter in deutlich weniger regulierten Umgebungen – zumindest was grenzüberschreitende Transaktionen betrifft.
Das schafft ein strukturelles Spannungsfeld: Europäische Anbieter tragen höhere Compliance-Kosten, während global agierende Plattformen diese Kosten partiell vermeiden können, solange sie keine vollständige EU-Lizenz benötigen. PSD3 und PSR versuchen, durch die verschärfte Handelsvertreter-Regelung und klarere Anforderungen an Drittanbieter gegenzusteuern. Ob das ausreicht, hängt davon ab, wie konsequent die nationalen Aufsichtsbehörden grenzüberschreitende Sachverhalte verfolgen – eine offene Frage, auf die es heute keine sichere Antwort gibt.
Für Checkout-Anbieter mit internationaler Expansion bedeutet das eine strategische Überlegung: Wer primär den europäischen Markt adressiert, muss PSD3-Konformität als Wettbewerbsmerkmal gegenüber Kunden kommunizieren, nicht nur als Pflicht. Gerade im B2B-Bereich und bei institutionellen Einkäufern kann regulatorische Verlässlichkeit ein echtes Differenzierungsmerkmal sein – wenn man sie aktiv vermarktet.
Erstens: Lizenzstatus prüfen. Betreiben Sie ein Marktplatz-Modell oder einen Checkout, der Zahlungen für Dritte routet? Dann jetzt klären, ob das bisherige Konstrukt unter PSD3 noch ohne Lizenz tragfähig ist. Antwort: wahrscheinlich nicht.
Zweitens: SCA-Flows und MIT-Setups dokumentieren. Welche Transaktionen laufen aktuell über welche Authentifizierungspfade? Wo gibt es MIT-Vereinbarungen ohne saubere initiale SCA? Das muss aufgeräumt sein, bevor nationale Umsetzungsgesetze in Kraft treten.
Drittens: IBAN-Namensprüfung auf die Roadmap. Die technische Integration ist machbar – aber UX-Tests für Fehlerfälle und Warnmeldungen brauchen Zeit. Eine holprige Namensprüfungs-Meldung im Checkout kann die Conversion messbar senken. Das verdient eigene Aufmerksamkeit, nicht eine Nacht vor dem Go-live.
Viertens: Open Banking und A2A-Zahlungen kalkulieren. Wer noch keine „Pay by Bank“-Option anbietet, sollte jetzt die Kostenstruktur gegen Kartengebühren rechnen. Bei mittleren und größeren Warenkörben lohnt sich der Vergleich. Die IPR hat die Infrastruktur bereits gelegt.
Fünftens: Fraud-Prevention als Pflichtinvestition betrachten. Erhöhte Erstattungspflichten bei Identitätsbetrug sind direkter Aufwand. Wer die Risikomodellierung outsourct, sollte Verträge auf die neuen Haftungsregeln prüfen.
Sechstens: Informations- und Transparenzpflichten frühzeitig im Produkt verankern. Das betrifft Checkout-Texte, Notification-Logik für Abos und die CRM-Integration gleichermaßen. Wer das als letzten Schritt vor dem Launch behandelt, riskiert teure Nacharbeiten unter Zeitdruck.
Was bleibt? PSD3 und PSR sind kein regulatorisches Hygiene-Update, sondern ein struktureller Eingriff in Lizenz-, Gebühren- und Technikmodelle. Die Frage ist nicht ob sich Checkout-Infrastruktur in Deutschland und der EU ändern muss – sondern wie schnell Anbieter die Anpassungen produktiv und nicht reaktiv angehen. Haben Sie Ihren PSP-Partner schon gefragt, was dessen PSD3-Roadmap konkret vorsieht?
