IT-Infrastruktur und Services für Banken: Volle Datenhoheit bei höchster Sicherheit und Verfügbarkeit. noris network
STRATEGIE19. Mai 2026

PSR 2026: Das ändert sich für die Zahlungs-IT – verdoppelte Prüfpflicht im Payment-Stack

Dr. Felix Strassmair-Reinshagen, Abteilung Cyberrisiken und Technologie im Finanzsektor bei Bafin, thematisiert die Auswirkungen der PSR-Verordnung auf die Zahlungs-IT. Die neuen Anforderungen erfordern Anpassungen in der Authentifizierung und Sicherheitsarchitektur.
Dr. Felix Strassmair-Reinshagen, Abteilung Cyberrisiken und Technologie im Finanzsektor, Bafin Bafin

Die Zahlungs­dienste­verordnung PSR – neue Anforderungen an die IT im Zahlungsverkehr: Vor knapp drei Jahren hat die Europäische Kommission ihren Vorschlag zur Überarbeitung der Zahlungs­dienster­ichtlinie PSD2 vorgelegt. Danach sollen die Vorgaben, die für alle Zahlungsdienstleister gelten – also insbesondere für Kreditinstitute und Zahlungsinstitute –, zukünftig in einer EU-weit unmittelbar anwendbaren Zahlungs­dienste­verordnung (Payment Services Regulation, kurz PSR) enthalten sein. Dagegen soll das spezielle Aufsichtsrecht der Zahlungsinstitute weiterhin nur als Richtlinie (PSD3) gelten, die in das nationale Recht zu überführen ist.

von Dr. Felix Strassmair-Reinshagen, Abteilung Cyberrisiken und Technologie im Finanzsektor, Bafin

Inzwischen ist die PSR auf der Zielgeraden. Rat und Europäisches Parlament haben sich auf eine Fassung geeinigt, die jetzt noch redaktionell überarbeitet und in alle Amtssprachen übersetzt werden muss. Der finale Text wird wahrscheinlich im Herbst 2026 in Kraft treten. Danach gibt es für die meisten Vorgaben eine Übergangsfrist von 21 Monaten, in der die betroffenen Unternehmen ihre Prozesse anpassen können. Es ist zu erwarten, dass die Bafin die zuständige Behörde für den aufsichtsrechtlichen Teil der PSR sein wird.

Nachfolgend werden kurz einige Neuerungen der PSR gegenüber der PSD2 vorgestellt, die für die IT-Verantwortlichen der Zahlungsdienstleister von besonderer Bedeutung sein werden. Dabei ist zu beachten, dass verbindliche Aussagen erst nach Veröffentlichung des finalen Texts möglich sein werden.

Pflicht zur starken Kundenauthentifizierung (SKA)

Wie die PSD2 sieht auch die PSR eine Pflicht zur starken Kundenauthentifizierung (SKA) bei bestimmten Geschäftsvorfällen vor, insbesondere bei Erteilung eines Zahlungsauftrags. Eine SKA besteht bekanntlich aus zwei Elementen, die aus den Kategorien Besitz, Wissen und Inhärenz (Biometrie) stammen müssen. Die Aufsichtspraxis unter der PSD2 verlangt, dass beide Elemente aus verschiedenen Kategorien kommen.

Nach der PSR soll es ausnahmsweise reichen, wenn beide Elemente zur Inhärenz gehören – allerdings nur bei ausdrücklicher Freigabe einer solchen Lösung durch die Aufsicht.

Gleichzeitig wird klargestellt, dass der Begriff Inhärenz nicht beliebig ausgedehnt werden darf. Das Kaufverhalten, die Geräteadressen oder der Standort des Nutzers gehören danach nicht zur Kategorie Inhärenz.

Gleichzeitig will die PSR die starke Kundenauthentifizierung zugänglicher machen, insbesondere für Personen, die weniger digitalaffin sind. Zudem soll eine SKA auch ohne Smartphone möglich sein, es sei denn, das konkrete Kontomodell kann nur mit Smartphone genutzt werden.

Autor Dr. Felix Strassmair-Reinshagen, Bafin
Dr. Felix Strassmair-Reinshagen, Mitarbeiter der Bafin, ist auf die besonderen aufsichtsrechtlichen Anforderungen im Zahlungsverkehr spezialisiert. Die PSR-Verordnung beeinflusst maßgeblich die Sicherheitsstandards in der Zahlungs-IT.Dr. Felix Strassmair-Reinshagen ist bei der Finanzaufsicht Bafin (Webseite) in der Abteilung Cyberrisiken und Technologie im Finanzsektor tätig. Sein Schwerpunkt sind die besonderen aufsichtlichen Anforderungen für den Zahlungsverkehr, insbesondere die zukünftige Zahlungs­dienste­verordnung (PSR). Er begann seine Berufstätigkeit als wissenschaftlicher Mitarbeiter der Monopolkommission; nach dem Einstieg bei der Bafin war er zuerst u. a. in der Investmentaufsicht eingesetzt. Er ist Volljurist und hat an der LMU München in Volkswirtschaftslehre promoviert.

Neue Kategorie von Zahlungen

Außerdem soll es eine neue Kategorie von Zahlungen geben, die von der SKA befreit sind. Es handelt sich dabei um Überweisungen, die von der Zahlerbank auf Anfrage eines Händlers ausgelöst werden. Dieser muss vorher mit dem Kunden eine Vereinbarung geschlossen haben, die die ausgelösten Zahlungen legitimiert. Die Vereinbarung muss zudem durch eine SKA gegenüber der Zahlerbank bestätigt worden sein. Diese SKA-Befreiung wird ohne Übergangsfrist unmittelbar mit Inkrafttreten der PSR wirksam werden, also voraussichtlich im Herbst 2026. Damit will die PSR neue Bezahlmodelle auf Basis europäischer Infrastrukturen erleichtern.

Weitere Maßnahmen zur Betrugsprävention

Neben der SKA sieht die PSR weitere Maßnahmen zur Betrugsprävention vor. So besteht für alle Zahlungsdienstleister die Pflicht, Zahlungen vor der Ausführung automatisch auf Betrugsverdacht zu prüfen und eventuell eine Zahlung aufzuhalten, um die Legitimität des Auftrags zu klären. Diese Überprüfungspflicht gilt übrigens auch für alle eingehenden Zahlungen. Zudem wird eine Rechtsgrundlage für einen organisierten Informationsaustausch zwischen Zahlungsdienstleistern im Falle eines Betrugsverdachts geschaffen.

Nach einer Kontoübernahme durch Betrüger versuchen diese oft als Erstes, ein bestehendes Transaktionslimit zu erhöhen. Deshalb darf die Erhöhung eines solchen Limits unter der PSR erst nach vier Stunden wirksam werden. Der Kunde kann zwar vorab generell auf diese Warteperiode verzichten, aber dieser Verzicht darf ebenfalls erst nach vier Stunden wirksam werden.

Änderungen beim Open Banking

Auch in Bezug auf Open Banking sind Änderungen vorgesehen. Während Konto­informations­dienstleister weiterhin mit Zustimmung des Kunden auf Kontodaten zugreifen dürfen, wird die spezielle Zugangsmöglichkeit für kartenausgebende Zahlungsdienstleister abgeschafft, da sie nach Erkenntnissen der Kommission im Markt nicht genutzt wurde.

In Zukunft müssen Zahlungen, die dem Girokonto noch nicht belastet wurden, aber im Online-Banking schon informatorisch angezeigt werden, auch den Konto­informations­dienstleistern zur Verfügung gestellt werden. Diese Änderung könnte zum Beispiel bestimmte Kreditkartenangebote betreffen. Zudem soll der Bankkunde auf einem Dashboard im Online-Banking sehen können, welchen Konto­informations­dienstleistern er die Zustimmung zum Datenzugriff erteilt hat. Gleichzeitig soll der Nutzer die Möglichkeit haben, diese Zustimmung im Rahmen des Dashboards zu widerrufen.

Diese kurze Auswahl an Themen sollte verdeutlicht haben, dass die frühzeitige Beschäftigung mit der PSR für Personen, die Verantwortung im Zahlungsverkehr haben, essenziell ist. Dr. Felix Strassmair-Reinshagen, Bafin/dk

 
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/244415

 

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert