PSD3 Anforderungen und neue Regeln bei Online Zahlungen

Der zeitliche Fahrplan der PSD3 ist eng mit dem Gesetzgebungsprozess auf EU-Ebene verknüpft. Nach der Veröffentlichung im EU-Amtsblatt haben die Mitgliedstaaten in der Regel 18 bis 24 Monate Zeit, die Richtlinie in nationales Recht umzusetzen. Für die begleitende PSR (Payment Services Regulation), die unmittelbar gilt, wird mit einer vollen Wirksamkeit bis Ende 2026 gerechnet. Für Sie als Verbraucher bedeutet dies, dass sich die Sicherheitslandschaft bereits heute schleichend verändert, da viele Banken die technischen Anforderungen (wie den IBAN-Name-Check) bereits vorab implementieren, um ihre künftigen Haftungsrisiken zu minimieren. Ein konkreter Anker ist hierbei das Jahr 2026 als Wendepunkt, ab dem Sie sich bei Betrugsfällen auf die deutlich verbraucherfreundlichere Beweislastverteilung berufen können.

In realen Szenarien bedeutet das Warten auf den Stichtag jedoch kein Risiko-Vakuum. Die Gerichte tendieren bereits heute dazu, die Grundgedanken der PSD3 im Rahmen von Analogieschlüssen bei der Auslegung von „grober Fahrlässigkeit“ heranzuziehen. Wenn eine Bank heute schon technisch in der Lage wäre, einen Spoofing-Angriff zu blockieren, dies aber aus Kostengründen unterlässt, ist dies ein starkes Argument in jeder aktuellen Haftungsklage. Sie sollten daher bei jedem neuen Update Ihrer Banking-App genau prüfen, welche neuen Sicherheitsfeatures aktiviert werden, und diese konsequent nutzen. Die rechtliche Sicherheit wächst parallel zur technischen Implementierung, wobei der finale rechtliche Schutzwall durch die Vollendung des Gesetzgebungsverfahrens im Jahr 2026 zementiert wird.

Die starke Kundenauthentifizierung wird unter PSD3 deutlich smarter und weniger reibungsbehaftet, aber gleichzeitig sicherer gegen externe Manipulationen. Ein wesentlicher technologischer Fortschritt ist die Abkehr von der „statischen“ SCA hin zu einer Risiko-basierten Analyse. Das bedeutet, dass nicht mehr bei jeder Kleinigkeit eine TAN-Eingabe nötig ist, wenn die Transaktion in ein bekanntes Muster passt (z.B. gleiches Gerät, bekannter Shop, übliche Zeit). Gleichzeitig werden die Anforderungen an die genutzten Faktoren verschärft. SMS-TANs gelten künftig als „weniger sicher“, weshalb Banken verstärkt auf biometrische Faktoren (Gesichtsscan, Fingerabdruck) in Verbindung mit hardwaregebundenen Schlüsseln setzen müssen. Die Beweislogik verschiebt sich hierbei: Die Bank muss belegen, dass die Authentifizierung kryptografisch an den exakten Transaktionsinhalt gebunden war.

Ein wichtiges Detail für die Praxis ist die neue Regelung für Open-Banking-Dienste. Bisher mussten Nutzer alle 90 Tage ihre Einwilligung zur Datenfreigabe gegenüber Drittanbietern (z.B. Multibanking-Apps) durch eine volle SCA bestätigen. Die PSD3 verlängert diesen Zeitraum auf 180 Tage, was den Komfort massiv erhöht. Im Gegenzug müssen die Drittanbieter jedoch strengere Berichte über ihre Sicherheitsvorkehrungen abliefern. Wenn Sie künftig eine Zahlung in einer App freigeben, wird das System im Hintergrund deutlich mehr Datenpunkte prüfen, um sicherzustellen, dass nicht nur der Code korrekt ist, sondern auch der Kontext der Zahlung plausibel erscheint. Diese „Silent Authentication“ wird zum neuen Goldstandard, um die Balance zwischen Nutzererlebnis und maximaler Betrugsprävention zu halten.

Die Haftungsfrage bei Spoofing – also wenn Betrüger die Telefonnummer Ihrer Bank fälschen, um Ihr Vertrauen zu gewinnen – war unter PSD2 eine rechtliche Grauzone, die meist zulasten des Kunden entschieden wurde. Die PSD3 und insbesondere die PSR schaffen hier eine bahnbrechende Neuerung: Banken haften künftig für den Schaden, wenn sie es versäumt haben, technische Schutzmaßnahmen gegen das Identitäts-Spoofing ihrer eigenen Kommunikationskanäle zu ergreifen. Dies bedeutet eine faktische Beweislastumkehr. Der Kunde muss lediglich nachweisen, dass er aufgrund einer täuschend echten Anzeige im Telefondisplay oder einer offiziell wirkenden SMS gehandelt hat. Die Bank kann sich dann nicht mehr pauschal mit dem Argument der „groben Fahrlässigkeit“ aus der Affäre ziehen, sofern sie nicht beweisen kann, dass der Kunde offensichtliche Warnsignale ignoriert hat.

In der juristischen Auseinandersetzung wird künftig geprüft, ob die Bank die sogenannten „Anti-Spoofing-Standards“ (wie STIR/SHAKEN für Telefonnetze) unterstützt hat. Dokumentenqualität bedeutet in diesem Kontext, dass Sie als Betroffener Screenshots Ihres Anrufprotokolls und ggf. Aufzeichnungen über die Gesprächsinhalte vorlegen sollten. Ein typisches Ergebnismuster in der Schlichtung wird sein, dass die Bank den vollen Schaden erstattet, wenn der Betrug durch eine Schwäche in ihrer Infrastruktur begünstigt wurde. Dennoch bleibt eine Restverantwortung: Wer trotz expliziter In-App-Warnungen („Geben Sie diese TAN niemals am Telefon weiter!“) handelt, riskiert weiterhin eine Mithaftung. Die PSD3 schützt vor technologischer Überlegenheit der Kriminellen, entbindet aber nicht von einer basalen digitalen Vorsicht im Umgang mit unaufgeforderten Anrufen.

Der IBAN-Namens-Check (Verification of Payee) wird mit der PSD3 zur Pflicht für alle Banken im EWR. Wenn Sie künftig eine Überweisung oder eine Online-Zahlung vorbereiten, wird das System noch vor der finalen Freigabe den von Ihnen eingegebenen Empfängernamen mit den bei der Zielbank hinterlegten Daten abgleichen. Es gibt drei Ergebnisszenarien: Übereinstimmung, Beinahe-Übereinstimmung (z.B. Tippfehler) oder keine Übereinstimmung. Bei einer Diskrepanz muss die Bank Sie explizit warnen. Führt die Bank diesen Check nicht durch oder liefert sie ein falsches Ergebnis, übernimmt sie die volle Haftung für eine daraus resultierende Fehlleitung des Geldes an Betrüger. Dies ist eine massive Erhöhung der Dokumentationspflicht für die Institute, die jede dieser Abfragen revisionssicher protokollieren müssen.

Für die Praxis bedeutet dies ein Ende der „Fat Finger“-Fehler, bei denen eine einzige falsche Ziffer in der IBAN das Geld unwiederbringlich verschwinden ließ. Besonders wirksam ist dieses Tool gegen Rechnungsbetrug (Invoice Fraud), bei dem Kriminelle Briefköpfe fälschen, aber ihre eigene IBAN angeben. Die Beweislogik ist hier simpel: Wenn Sie trotz Warnung der Bank („Name passt nicht zur IBAN“) auf „Senden“ klicken, handeln Sie grob fahrlässig. Wenn die Bank jedoch keine Warnung ausgibt und Sie auf ein Betrügerkonto überweisen, ist die Bank in der Pflicht. Diese technische Neuerung ist einer der stärksten Anker zur Reduktion von APP-Betrugsfällen und wird die statistische Erfolgsquote von kriminellen Überweisungen drastisch senken. Ein lückenloser Zeitstempel der Warnmeldung ist dabei das entscheidende Beweisstück für beide Seiten.

Ja, die PSD3 behält das Konzept der Ausnahmen bei, verknüpft sie jedoch mit deutlich strengeren technischen Überwachungsstandards. Klassische Ausnahmen wie Kleinbetragszahlungen (unter 30 oder 50 Euro) oder Abonnements mit festen Beträgen bleiben bestehen. Neu hinzugekommen sind präzisere Regeln für die sogenannte „Transaktionsrisikoanalyse“ (TRA). Banken dürfen auf SCA verzichten, wenn ihre internen Systeme in Echtzeit ein extrem niedriges Risiko ermitteln. Hierbei müssen jedoch Faktoren wie der Standort des Nutzers, das verwendete Endgerät und die Historie des Händlers einbezogen werden. Die Beweislastverteilung ist hier eindeutig: Nutzt die Bank eine Ausnahme und kommt es zum Missbrauch, haftet die Bank vollständig, es sei denn, sie kann dem Kunden Vorsatz nachweisen. Ein Rückgriff auf die 50-Euro-Haftungsgrenze des Kunden ist bei genutzten Ausnahmen in der Regel ausgeschlossen.

Ein weiterer Fokus liegt auf den „Whitelists“. Kunden können künftig noch einfacher bestimmte Händler als vertrauenswürdig markieren. In realen Streitfällen prüfen Aufsichtsbehörden nun verstärkt, ob Banken diese Listen regelmäßig auf Aktualität prüfen. Wenn ein ehemals vertrauenswürdiger Händler gehackt wurde und die Bank die Whitelist-Ausnahme trotz bekannter Vorfälle beibehält, liegt ein Organisationsverschulden vor. Die PSD3 strebt an, die „Reibung“ beim Bezahlen zu minimieren, schiebt aber die finanzielle Verantwortung für diese Bequemlichkeit fast vollständig in den Bereich der Zahlungsdienstleister. Das bedeutet für Sie als Nutzer mehr Komfort beim Shopping, während die Bank im Hintergrund das ökonomische Risiko der technologischen Vereinfachung trägt.

Open Banking Apps (wie Konten-Aggregatoren oder Budget-Planer) profitieren massiv von der PSD3, da die Sicherheitsstandards für den Datenaustausch über APIs (Schnittstellen) nun viel detaillierter vorgeschrieben sind. Banken dürfen Drittanbietern künftig den Zugang zu Daten nicht mehr durch willkürliche Zusatz-Sicherheitsabfragen erschweren, die über die gesetzlichen Vorgaben hinausgehen. Gleichzeitig müssen diese Drittanbieter nun die gleichen strengen Governance- und Reporting-Regeln einhalten wie klassische Banken. Dies erhöht die Dokumentenqualität der Risikoanalysen in der gesamten Kette. Für die Sicherheit Ihrer Daten bedeutet dies, dass die Verschlüsselungsprotokolle und die Verifizierung der Identität des Anbieters künftig EU-weit einheitlich zertifiziert werden. Die Beweishierarchie im Falle eines Datenlecks ist nun klarer geregelt: Der Anbieter, bei dem die Lücke entstand, haftet primär gegenüber dem Endkunden.

In der praktischen Anwendung führt dies zu einer deutlich höheren Transparenz. Nutzer erhalten unter PSD3 ein zentrales „Dashboard“ in ihrer Bank-App, auf dem sie alle erteilten Einwilligungen für Drittanbieter auf einen Blick sehen und mit einem Klick widerrufen können. Dieses Consent-Management-System ist ein zwingender technischer Standard der PSD3. In Streitfällen dient dieses Protokoll als Beweis dafür, ob ein Drittanbieter zum Tatzeitpunkt überhaupt noch berechtigt war, auf Ihre Kontodaten zuzugreifen. Wenn eine Bank den Zugriff nach einem Widerruf nicht sofort technisch unterbindet, haftet sie für alle daraus resultierenden Schäden. Open Banking wird so von einer experimentellen Phase in ein hochgradig reguliertes und rechtssicheres Ökosystem überführt, in dem der Schutz der Privatsphäre technisch fest in der Architektur verankert ist (Privacy by Design).

Ein direktes Umgehen der SCA-Pflicht durch Händler ist unter PSD3 nahezu ausgeschlossen, da die Haftungskaskade dies wirtschaftlich unattraktiv macht. Ein Händler kann zwar technisch anfragen, eine Transaktion ohne SCA abzuwickeln (z.B. über MOTO-Transaktionen oder Mail-Order), trägt dann aber im Falle eines Rückläufers (Chargeback) das volle finanzielle Risiko. Neu ist, dass die Bank des Kunden (Issuer) künftig verpflichtet ist, Transaktionen abzulehnen, die nicht den SCA-Anforderungen entsprechen, sofern keine legitime Ausnahme (wie TRA oder Whitelisting) vorliegt. Dies beendet die Praxis des „Soft-Declines“, bei dem Banken erst nach einem misslungenen Versuch nach SCA fragten. Die technische Basisberechnung der Risikoanalyse muss nun bereits beim ersten Kontakt zwischen Händler-Terminal und Bank erfolgen.

In realen Fällen führt dies dazu, dass Händler massiv in „3D-Secure 2.2“ und höher investieren müssen, um die geforderten Metadaten (wie Browser-Fingerprint oder Warenkorb-Details) an die Bank zu liefern. Diese Daten sind notwendig, damit die Bank des Kunden eine fundierte Entscheidung über eine SCA-Ausnahme treffen kann. Wenn ein Händler unzureichende Daten liefert, wird die Transaktion entweder blockiert oder der Kunde muss den vollen SCA-Prozess durchlaufen, was die Abbruchquoten erhöht. Händler stehen somit unter dem Druck, ihre Checkout-Prozesse technisch so zu optimieren, dass sie maximale Sicherheit bei minimaler Nutzerinteraktion bieten. Der Erfolg wird hier an der Konversionsrate gemessen, die direkt mit der Qualität der technischen Integration in die Sicherheitsarchitektur der Banken korreliert.

Systemausfälle bei der Authentifizierung sind unter PSD3 ein kritisches Compliance-Risiko für Banken. Die neue PSR schreibt vor, dass die dedizierten Schnittstellen für Open Banking und SCA eine hohe Verfügbarkeit aufweisen müssen, die derjenigen der direkten Kundenschnittstellen (Online-Banking) entspricht. Kommt es zu einem Ausfall der SCA-Infrastruktur und kann ein Kunde dadurch eine zeitkritische Zahlung (z.B. Hotelbuchung oder Aktienkauf) nicht tätigen, können Schadensersatzansprüche entstehen. Die Bank muss für diesen Zeitraum Notfallmechanismen vorhalten. In der Beweislogik der Aufsichtsbehörden wird ein systematisches Versagen der IT als schwerer Verstoß gegen die Betriebserlaubnis gewertet. Dokumentenqualität bedeutet hier, dass die Bank detaillierte Uptime-Statistiken führen und im Fehlerfall die Kausalität eines Schadens durch Alternativwege entkräften muss.

Für Sie als Nutzer bedeutet dies eine höhere Zuverlässigkeit. Sollte eine Zahlung aufgrund eines technischen Fehlers der Bank hängenbleiben, sind Sie künftig besser geschützt. Ein typisches Ergebnismuster ist, dass Banken bei nachgewiesenen Systemfehlern kulanter bei Folgeschäden reagieren, um Untersuchungen durch die BaFin oder die EBA (European Banking Authority) zu vermeiden. Wichtig ist jedoch, dass Sie den Fehler sofort dokumentieren (z.B. durch einen Screenshot der Fehlermeldung mit Zeitstempel). Ohne diesen Primärbeweis ist es schwer, der Bank nachzuweisen, dass der Fehler in ihrer Sphäre lag und nicht etwa an Ihrer instabilen Internetverbindung. Die technische Überwachung der Banken wird durch PSD3 zu einem transparenten Qualitätskriterium, das direkt die Haftung bei Dienstausfällen beeinflusst.

Digitale Wallets werden unter PSD3 rechtlich präziser als bisher eingeordnet. Sie gelten oft als „SCA-Enabler“, da sie bereits biometrische Faktoren (FaceID/TouchID) zur Autorisierung nutzen. Die Richtlinie verlangt nun eine engere Kooperation zwischen den Wallet-Anbietern (Big Tech) und den kartenausgebenden Banken. Eine wichtige Änderung betrifft die Transparenz: Banken müssen künftig exakter dokumentieren, welche Sicherheitsfaktoren das Wallet im Moment der Zahlung tatsächlich geprüft hat. In Streitfällen wird oft debattiert, ob die Wallet-Sicherheit den Bankenstandard erfüllt. Ein Wendepunkt ist erreicht, wenn dargelegt werden kann, dass eine Zahlung trotz gesperrtem Telefon möglich war. Hier greift künftig eine verschärfte Produkthaftung für die Wallet-Anbieter, die eng mit den PSD3-Sorgfaltspflichten der Banken verzahnt wird.

Zudem wird der Zugang zur NFC-Schnittstelle (Near Field Communication) auf iPhones und Android-Geräten weiter für den Wettbewerb geöffnet. Dies bedeutet, dass künftig mehr Banken eigene Wallet-Lösungen anbieten können, die direkt auf die Hardware zugreifen, ohne den Umweg über Apple oder Google. Für Ihre Sicherheit bedeutet dies mehr Vielfalt, aber auch die Notwendigkeit, die individuellen Sicherheitseinstellungen jeder App zu prüfen. In der Beweislogik des Zahlungsverkehrs gilt eine biometrisch freigegebene Wallet-Zahlung als eines der sichersten Verfahren. Dennoch schützt PSD3 davor, dass Banken die Verantwortung blind an Apple oder Google delegieren. Die rechtliche Letztverantwortung für die Autorisierung verbleibt bei Ihrer kontoführenden Bank, was Ihre Position als Verbraucher in einem komplexen Ökosystem mit vielen Akteuren stärkt.

Der Datenschutz ist unter PSD3 untrennbar mit der technischen Sicherheit verknüpft. Die Richtlinie stärkt das Prinzip der „Zweckbindung“ massiv. Zahlungsdienstleister dürfen Ihre Daten nur für den expliziten Zweck der Zahlungsabwicklung oder der gesetzlichen Betrugsprävention nutzen. Jede darüber hinausgehende Nutzung (z.B. für Marketing oder Kreditscoring) erfordert eine separate, freiwillige und informierte Einwilligung nach DSGVO-Standard, die nicht in den AGB „versteckt“ sein darf. Ein wichtiger technischer Hebel ist die Anonymisierung von Daten in Open-Banking-Schnittstellen. Drittanbieter erhalten nur noch Zugriff auf jene Informationen, die für ihren spezifischen Dienst (z.B. Kontostandsabfrage) absolut notwendig sind. Die Narrativa de Justificação für den Datenzugriff muss für jeden API-Call technisch hinterlegt sein.

In der Praxis bedeutet dies eine deutliche Reduktion des „Datenspiels“ hinter den Kulissen. Wenn eine App künftig Ihre Kontobewegungen analysieren möchte, muss sie Ihnen genau erklären, welchen Mehrwert Sie daraus ziehen und wie lange diese Daten gespeichert werden. Das neue Consent-Dashboard erlaubt es Ihnen, diese Zugriffe jederzeit zu prüfen und punktuell zu entziehen. Gerichte werten Verstöße gegen diese Transparenzpflichten unter PSD3 künftig nicht mehr nur als Datenschutzverstoß, sondern als schwerwiegenden Mangel in der Governance des Zahlungsdienstleisters, was Bußgelder nach sich ziehen kann, die sich am weltweiten Umsatz orientieren. Ihr Zahlungsverhalten wird so von einem frei verfügbaren Wirtschaftsgut zu einem hochgradig geschützten Bereich Ihrer digitalen Identität, dessen Hoheit durch technische Sperren und rechtliche Sanktionen bei Ihnen verbleibt.