PSD3 und PSR 2026: DACH-Übergangsleitfaden
Der 2026-Leitfaden zu PSD3 und der Payment Services Regulation aus DACH-Perspektive: vorläufige politische Einigung 27. November 2025, Veröffentlichung H1 2026, Inkrafttreten 2027, 21-Monate-Transition, Zusammenführung von ZAG-PI und ZAG-EMI, IBAN-Namens-Check und FIDA.
Was PSD3 und PSR für deutsche PIs und EMIs bedeuten
Am 27. November 2025 erzielten Europäisches Parlament und Rat eine vorläufige politische Einigung über PSD3 und die Payment Services Regulation (PSR). Die finale Veröffentlichung im Amtsblatt wird für H1 2026 erwartet. Das Inkrafttreten ist für 2027 geplant, mit einer Übergangsperiode von 21 Monaten, so dass die praktische Anwendung in Deutschland auf Mitte bis Ende 2027 fällt.
Für deutsche Zahlungsinstitute (ZAG-PI) und E-Geld-Institute (ZAG-EMI) bedeutet PSD3 die größte Strukturreform seit PSD2 2018:
- Zusammenführung von PI und EMI in eine einheitliche Kategorie "Zahlungsinstitut mit E-Geld-Emissionsbefugnis". Deutsche EMIs wechseln in die neue Kategorie.
- Direkt anwendbare Verordnung (PSR) ersetzt viele nationale ZAG-Durchführungsregeln.
- Verpflichtende IBAN-Namens-Verifikation vor Überweisungen.
- APP-Betrugs-Rückerstattungspflicht für autorisierte Push-Payment-Betrugsopfer.
- FIDA (Financial Data Access) erweitert Open-Banking auf Anlagen, Renten, Versicherungen und Hypotheken.
Lassen Sie uns Ihr Projekt besprechen und herausfinden, wie wir Ihr Projekt auf den Weg bringen können. PSD3-fähiges Zahlungsprodukt zusammen
Demo anfordernIBAN-Namens-Check: in Deutschland bereits live für SEPA Instant
Die EU-Instant Payments Regulation (Verordnung (EU) 2024/886) verlangt seit dem 9. Oktober 2025 eine obligatorische Verifikation des Zahlungsempfängers (VoP, Verification of Payee) bei SEPA Instant-Überweisungen. Deutsche Banken, PIs und EMIs mussten die Prüfung bereits implementieren. PSD3/PSR erweitert die Regel auf alle Zahlungswege.
Deutsche Anbieter nutzen überwiegend die EPC-Standards und Routing über EBA CLEARING (RT1) oder TARGET Instant Payment Settlement (TIPS). Die Bundesbank ist stark in der TIPS-Infrastruktur engagiert.
APP-Betrugshaftung: was deutsche Institute bauen müssen
PSR führt eine Haftung für autorisierten Push-Payment-Betrug (APP-Betrug) ein: wenn ein Betrüger den Zahler durch Täuschung zur Autorisierung einer Zahlung bewegt, kann das Zahlungsinstitut zur Rückerstattung verpflichtet werden, falls es die erwarteten Betrugserkennungsstandards nicht eingehalten hat.
Für deutsche PIs und EMIs bedeutet das: Echtzeit-Transaktionsmonitoring mit Machine-Learning-Detektion, IBAN-Empfänger-Reputationsdatenbanken (im Austausch mit anderen DE-Instituten), strukturierte APP-Betrugs-Erkennungsregeln und dokumentierte Erstattungsprozesse. 2026 ist das Jahr, in dem DACH-Institute diese Systeme aufbauen müssen, bevor PSD3 2027 gilt.
Safeguarding-Verschärfungen
- Diversifizierungspflicht. Oberhalb einer Schwelle müssen Kundengelder auf mindestens zwei Kreditinstitute verteilt werden. Konzentrationsrisiko bei einer einzelnen Safeguarding-Bank ist nicht mehr akzeptabel.
- Bundesbank-Konten. PSD3 erlaubt nationalen Gesetzgebern, Zahlungsinstituten ein Safeguarding direkt bei der nationalen Zentralbank zu ermöglichen. Die Bundesbank hat hier einen strukturellen Startvorteil.
- Tägliche Abstimmung mit formaler Beweisführung und Dokumentation.
- Insolvenzrechtliche Abgrenzung mit klarer Kundenvorrangregel im Insolvenzfall.
Was deutsche Institute 2026 vorbereiten sollten
- Kategorisierungs-Mapping. ZAG-PI oder ZAG-EMI auf die neue einheitliche Kategorie abbilden. Identifizieren Sie zusätzliche Dokumentation, die die BaFin beim Re-Authorisation-Prozess erwartet.
- IBAN-Namens-Check ausrollen. Bereits Pflicht für SEPA Instant seit Oktober 2025. Bis 2027 auf alle SEPA- und nationalen Zahlungswege ausweiten.
- APP-Betrugserkennung. Echtzeit-Monitoring, IBAN-Empfänger-Reputationsaustausch, APP-Betrugs-Regeln.
- Safeguarding-Diversifizierung. Auf mindestens zwei Kreditinstitute verteilen; Bundesbank-Safeguarding-Zugang prüfen.
- API-Qualität. Berlin Group XS2A-APIs auf PSD3-Performance-KPIs heben.
- Governance und Substanz. Anheben auf PSD3/DORA-Niveau.
Starten Sie Ihr PSD3-fähiges Produkt mit Crassula
Crassula liefert den Core für PSD3-bereite deutsche Institute: Ledger, IBANs, Karten, SEPA und SEPA Instant, Berlin-Group-XS2A-APIs, IBAN-Namens-Check, Echtzeit-Betrugserkennung, Safeguarding-Diversifizierung, DORA-konformes ICT und BaFin-fähiges Reporting.
FAQ
Vorläufige politische Einigung 27. November 2025, Veröffentlichung im Amtsblatt H1 2026, Inkrafttreten 2027 nach 21-monatiger Übergangsfrist. Praktische Anwendung Mitte bis Ende 2027.
Nein. Bestehende ZAG-Institute werden in die neue einheitliche Kategorie überführt. Sie müssen jedoch Unterlagen, Governance und Reporting an die neue Taxonomie anpassen.
Die Verifikation, dass die angegebene IBAN und der Empfängername übereinstimmen, vor Ausführung der Überweisung. Seit 9. Oktober 2025 verpflichtend für SEPA Instant durch Instant Payments Regulation; PSD3/PSR erweitert die Regel auf alle Zahlungswege.
Haftung für autorisierten Push-Payment-Betrug: Zahlungsinstitute können zur Rückerstattung verpflichtet werden, wenn der Zahler durch Täuschung zur Autorisierung bewegt wurde und das Institut die Betrugserkennungsstandards nicht eingehalten hat.
Die Financial Data Access Verordnung, parallel zu PSD3 vorgeschlagen. Erweitert Open-Banking auf Anlagen, Renten, Versicherungen und Hypotheken unter einer neuen FISP-Kategorie. Noch in Trilog; wahrscheinlich operativ 2029-2030.
Ja. Zahlungsinstitute erhalten klarere Rechte auf direkten Zugang zu Zahlungssystemen (TARGET2, Instant-Payment-Schemata) neben Banken. Die Bundesbank hat bereits Rahmenbedingungen veröffentlicht.
Crassula liefert eine PSD3-bereite Plattform: Multi-Currency-Ledger, SEPA und SEPA Instant, Echtzeit-Betrugs- und SCA, IBAN-Namens-Check, Multi-Bank-Safeguarding, Berlin-Group-APIs und BaFin-konformes Reporting.
Other Guides
Erstellen Sie eine digitale Bank in nur wenigen Tagen
Demo anfordern