PSD3 & PSR: Die neue Realität für AML- und Sanktionsüberwachung
1. Einleitung: Die Konvergenz von Geschwindigkeit und Sicherheit
Im November 2025 befindet sich der europäische Finanzdienstleistungssektor an einem entscheidenden Punkt und navigiert durch die Turbulenzen einer grundlegenden regulatorischen Umstrukturierung. Für den Compliance-Beauftragten bedeutet diese Phase nicht bloß eine Aktualisierung bestehender Protokolle, sondern eine vollständige Neuinterpretation der Rolle der Compliance-Funktion im Zahlungsökosystem. Die gleichzeitige Reifung der dritten Zahlungsdiensterichtlinie (PSD3) und der Zahlungsdiensteverordnung (PSR) in Kombination mit der aktiven Durchsetzung der Verordnung über Instant Payments (IPR) hat eine komplexe Verpflichtungsmatrix geschaffen, die sofortige Aufmerksamkeit verlangt.
2. Die gesetzgeberische Architektur: PSD3 und PSR
2.1 Die Entwicklung vom Richtlinien- zum Verordnungsrahmen
Um die spezifischen Pflichten der Unternehmen Ende 2025 zu verstehen, muss man zunächst die strukturelle Verschiebung betrachten, wie die Europäische Union Zahlungsrecht gestaltet. Der Übergang von der zweiten Zahlungsdiensterichtlinie (PSD2) zu einem Doppelrahmen aus Richtlinie (PSD3) und Verordnung (PSR) ist eine strategische Maßnahme zur Eliminierung regulatorischen Arbitrage. Unter PSD2 führte die Umsetzung der Richtlinien in nationales Recht zu erheblicher Fragmentierung; ein Phänomen der „Gold-Plating“, bei dem Mitgliedstaaten wie Frankreich, Deutschland und die Niederlande unterschiedliche Standards für Strong Customer Authentication (SCA) und Lizenzierung anwenden.
Indem die substantiellen Verhaltensregeln – einschließlich Transparenz, Haftung und Open-Banking-Standards – in die PSR verlagert werden, stellt die EU sicher, dass diese Regeln direkt und einheitlich in allen 27 Mitgliedstaaten gelten, ohne nationale Umsetzung. Für den Compliance-Beauftragten bedeutet dies das Ende der Ära, in der 27 verschiedene „Interpretationen“ derselben Vorschrift verfolgt werden mussten. PSD3 bleibt jedoch eine Richtlinie, die sich auf die Zulassung und Aufsicht von Zahlungsinstituten (PIs) konzentriert. Diese Zweiteilung bedeutet, dass während die „Straßenverkehrsregeln“ (PSR) streng und harmonisiert sind, die „Fahrerlaubnis“ (PSD3) weiterhin die nationalen zuständigen Behörden (NCAs) einbindet.
2.2 Vereinheitlichung des Zulassungsregimes
Eine wesentliche Entwicklung für Compliance-Teams in nicht bankbasierten Finanzinstituten ist die Fusion der E-Geld-Richtlinie (EMD2) mit PSD3. Historisch operierten E-Geld-Institute (EMIs) und Zahlungsinstitute (PIs) unter getrennten Regimen mit unterschiedlichen Kapital- und Sicherungsanforderungen. PSD3 schafft diese Unterscheidung ab und formt eine einzige Kategorie von Zahlungsdienstleistern (PSPs). Diese Konsolidierung vereinfacht das regulatorische Umfeld, führt jedoch zu einer gewaltigen Re-Autorisierungswelle. Bestehende EMIs und PIs befinden sich derzeit in einer Übergangsphase, in der sie nachweisen müssen, dass sie die neuen, einheitlichen Standards erfüllen, um ihre Lizenzen zu behalten. Für Compliance-Verantwortliche in diesen Organisationen dominiert das Jahr 2025 die Durchführung von Gap-Analysen, um sicherzustellen, dass Kapitalausstattung und Governance-Strukturen den erhöhten PSD3-Anforderungen entsprechen.
2.3 Der Haftungswechsel und die Betrugsprävention
Das wohl operativ bedeutendste Element des PSD3/PSR-Pakets ist das ausgeweitete Haftungssystem für Betrug. Der Regulator hat eine sanktionierende Haltung gegenüber „Spoofing“ (Identitätsbetrug) eingenommen und die Haftung in Fällen, in denen der PSP keine geeigneten Betrugspräventionsmechanismen anbietet, vom Verbraucher auf den PSP verlagert. Das verpflichtet zur Implementierung von Verification of Payee (VoP)-Systemen und erfordert eine engere Verzahnung zwischen Compliance und Fraud-Operations als je zuvor. Die Nachweislast für „grobe Fahrlässigkeit“ des Verbrauchers wurde angehoben, womit die Banken mehr Verluste tragen müssen, wenn sie nicht belegen können, dass eine ausgefeilte Betrugserkennung vorhanden war und vom Nutzer ignoriert wurde.
Tabelle 1: Struktureller Vergleich der Regulierungsrahmen
| Merkmal | PSD2 (2015) | PSD3 & PSR (Stand 2025) |
|---|---|---|
| Rechtsinstrument | Richtlinie (erfordert nationale Umsetzung) | Richtlinie (Lizenzierung) + Verordnung (Verhaltensregeln) |
| Anwendungsbereich | PIs und Kreditinstitute | PIs, Kreditinstitute und EMIs (fusioniert) |
| Open Banking | Grundlegender Kontenzugang (XS2A) | Erweiterte Schnittstellen & dedizierte Datenzugangsdashboards |
| Betrugshaftung | Eingeschränkter Verbraucherschutz | Ausgeweitete Haftung bei Identitätsbetrug |
| Nichtbankzugang | Indirekter Zugang zur Abwicklung | Direkter Zugang zu Zahlungssystemen erlaubt |
3. Die Verordnung über Instant Payments (IPR): Die operative Realität
Während PSD3 und PSR den mittelfristigen Horizont darstellen (mit vollständiger Durchsetzung ab 2027), ist die Verordnung über Instant Payments (IPR) (Verordnung (EU) 2024/886) die unmittelbare, akute Plattform für Compliance-Verantwortliche im November 2025. Diese Verordnung verändert grundlegend die Mechanik des einheitlichen Euro-Zahlungsraums (SEPA), indem sie Instant Credit Transfers (SCT Inst) nicht als Premium-Feature, sondern als neuen Normalfall definiert.
Die IPR schreibt vor, dass PSPs im Euroraum ab dem 9. Januar 2025 in der Lage sein müssen, Instant-Zahlungen zu empfangen und ab dem 9. Oktober 2025 abzusenden. Somit ist der Übergang bis November 2025 für die Eurozonen-Institute theoretisch abgeschlossen. Die aktuellen Reibungspunkte sind keine theoretischen Konstruktionen mehr, sondern reale operative Probleme, die aus der Forderung resultieren, Zahlungen innerhalb von zehn Sekunden rund um die Uhr abwickeln zu müssen.
Dieses Geschwindigkeitserfordernis ist der Architekt des neuen Sanktions-Screening-Paradigmas. Der europäische Regulator hat korrekt erkannt, dass der primäre Engpass in der Verarbeitungsgeschwindigkeit nicht das Kernbankensystem ist, sondern die Financial Crime-Compliance-Schicht – insbesondere die Transaktionsfilter, die Zahlungen anhalten, um auf Sanktionsübereinstimmungen zu prüfen. Um dies zu lösen, führt die IPR ein gesetzliches Verbot ein, das einen vollständigen Redesign der AML-Workflows erzwingt.
4. Die Revolution des Sanktions-Screenings
Die Benutzeranfrage identifiziert zu Recht das Sanktions-Screening als den unsichersten Bereich. Das traditionelle „Stop-and-Scan“-Modell, bei dem jede Transaktion gestoppt wird, um Absender, Empfänger und Verwendungszweck gegen Sanktionslisten zu prüfen, ist mit dem 10-Sekunden-Forderung der IPR unvereinbar.
4.1 Das Verbot transaktionsbasierter Prüfungen
Das disruptive Element des neuen Regimes ist Artikel 5d der IPR. Um sicherzustellen, dass Instant-Zahlungen nicht durch Fehlalarme verzögert werden, verbietet die Verordnung PSPs, transaktionsbasierte Prüfungen für EU-Sanktionslisten bei einzelnen Instant Credit Transfers durchzuführen.
Die regulatorische Logik lautet: Wenn Bank A (die Bank des Zahlers) ihre Kundenbasis täglich prüft und Bank B (die Bank des Begünstigten) dasselbe tut, sind beide Seiten der Transaktion theoretisch „sauber“. Daher ist es redundant und verursach unnötige Reibung, die Transaktion dazwischen erneut zu prüfen. Dies verbietet praktisch die Durchsuchung der Zahlungsnachricht selbst auf EU-Sanktionsübereinstimmungen für inner-europäische Instant-Zahlungen.
Einblick für den Compliance-Beauftragten: Dieses Verbot ist spezifisch. Es gilt für Instant Credit Transfers und EU-Sanktionslisten. Es verbietet nicht explizit Prüfungen auf Geldwäsche oder Betrug (die weiterhin gefördert werden) und auch keine Prüfungen für Nicht-EU-Listen (z. B. OFAC). Die operativen Beschränkungen durch das Zehn-Sekunden-Timeout machen jedoch jede transaktionsbasierte Prüfung sehr risikoreich.
4.2 Das neue Mandat: tägliche stückweise Prüfungen
Anstelle transaktionsbasierter Prüfungen verpflichtet der Regulator ein rigoroses, periodisches Verifizierungsregime. Die Verschiebung geht vom „Prüfen des Flusses“ zum „Prüfen des Bestands“.
Frequenz: PSPs müssen ihre gesamte Zahlungskundendatenbank mindestens einmal täglich gegen die EU-Sanktionslisten prüfen.
Auslöseereignisse: Das Screening muss außerdem unmittelbar nach Inkrafttreten neuer oder geänderter restriktiver Maßnahmen erfolgen.
Die Definition von „unmittelbar“ ist eine kritische operative Kennzahl. Sie impliziert, dass Compliance-Teams über Datenpipelines verfügen müssen, die eine Aktualisierung des Amtsblatts der EU empfangen, analysieren und innerhalb von Stunden, wenn nicht Minuten, einen vollständigen Datenbankabgleich ausführen können. Die tägliche Anforderung ist ein Mindestmaß, kein Höchstmaß. In der Praxis führen die anspruchsvollsten Institute im November 2025 diese Batch-Checks mehrmals am Tag durch, um das Risikofenster zu minimieren.
4.3 Antworten auf die Fragen des Nutzers zum Sanktions-Screening
Frage: „Gibt es dort etwas Neues [Konsolidierte Liste der EU]?“
Analyse: Die Liste bleibt die Quelle der Wahrheit, aber die Anwendung hat sich umgekehrt. Sie wird nicht mehr auf den Zahlungsfluss angewendet, sondern auf die Kundendatenbank. Das „Neue“ ist das gesetzliche Verbot, diese Liste zur Verhinderung von Instant-Zahlungen zu nutzen.
Frage: „Müssen sie häufig prüfen?“
Analyse: Ja, die Frequenz hat zugenommen und wurde strenger. Früher könnten Institute ihre Datenbank wöchentlich oder monatlich gescreent haben und auf Transaktionsfilter gesetzt haben, um übrige Risiken zu erfassen. Jetzt ist das tägliche Screening der gesamten Kundenbasis eine verbindliche rechtliche Anforderung. Zusätzlich erfordert das „unmittelbare“ Screening nach neuen Designationen eine 24/7-Betriebsbereitschaft für Datenmanagement.
Frage: „Muss ich in jeder Transaktion Namen prüfen?“
Analyse:
• Für EU-Sanktionen: Nein. Im Gegenteil, Namen dürfen nicht in der Transaktion gescreent werden, wenn dies zu einer Verzögerung oder Ablehnung führt. Die Verordnung verbietet dies ausdrücklich, um Fehlalarme zu vermeiden, die das Instant-Payment-Versprechen brechen.
• Für Nicht-EU-Sanktionen (OFAC/UK): Das ist der Graubereich. Die EU-Verordnung regelt die OFAC-Compliance nicht. Wenn jedoch OFAC-Namen in jeder Transaktion geprüft werden und dies zu einer Verzögerung von mehr als zehn Sekunden führt, verstößt man gegen die Zeitregeln der IPR. Daher haben viele EU-Banken Ende 2025 das transaktionsbasierte Screening für intra-europäische Zahlungen deaktiviert, indem sie davon ausgehen, dass intra-europäische Zahlungen ein geringes OFAC-Risiko bergen oder das Restrisiko akzeptieren.
Frage: „Ist API- oder Batch-Screening nützlich?“
Analyse: Diese Frage trifft den Kern der Architekturveränderung.
• Batch-Screenings sind essenziell: Für den IPR-Erfordernis (Artikel 5d) ist das Batch-Screening das Hauptinstrument. Millionen von Kundendatensätzen müssen alle 24 Stunden gegen die EU-Liste abgeglichen werden. API-Screening ist für dieses Volumen ineffizient.
• API-Screenings sind kritisch für das Onboarding: Da man eine sanktionierte Person nicht mehr während der Transaktion abfangen kann, muss man sie bereits am Eingang erfassen. API-basierte Prüfungen ermöglichen eine Echtzeit-Kontrolle, bevor ein Kunde aufgenommen oder ein neuer Begünstigter zu einer Vorlage hinzugefügt wird. Wartet man auf das nächtliche Batch, könnte eine sanktionierte Entität bis zu 12 Stunden operieren. Daher ist API-Screening in der Onboarding- und Begünstigtenverwaltung notwendig, auch wenn die tägliche Pflege durch Batch-Abgleiche erfolgt.
Frage: „Während des Onboardings?“
Analyse: Ja. Onboarding ist jetzt der kritischste Kontrollpunkt. Unter dem alten Modell hätte ein Transaktionsfilter eine sanktionierte Entität bei der ersten Zahlung gestoppt. Unter dem IPR-Modell gibt es keinen Transaktionsfilter mehr für EU-Listen. Wird eine sanktionierte Entität onboarded, kann sie sofort Instant-Zahlungen senden und empfangen, bis das nächste tägliche Batch sie identifiziert. Daher muss das Onboarding-Screening absolut rigoros sein.
4.4 Klärende Fragen der Kommission (Aktualisierung November 2025)
Um die operativen Grenzen des IPR weiter zu klären, wurden die folgenden Fragen und Antworten direkt aus der Umsetzungshilfe der Europäischen Kommission (DG FISMA) synthetisiert. Sie behandeln gängige „Edge Cases“.
F1: Gilt das Verbot des Transaktionsscreenings für „nicht zeitkritische“ (NTC) Zahlungen oder Batch-Dateien?
Klarstellung: Entspricht eine Zahlung nicht der Definition einer Instant Credit Transfer (z. B. eine Standard-SEPA-Zahlung oder eine Batch-Datei, die über Nacht verarbeitet wird), greift das Verbot des Artikels 5d(2) nicht. Diese Zahlungen dürfen wie gewohnt gescreent werden. Bietet die Institution jedoch Instant Payments an, muss weiterhin das tägliche Datenbank-Screening für alle Kunden erfolgen, unabhängig davon, welche Zahlungswege genutzt werden.
F2: Was bedeutet „unmittelbar“ im Hinblick auf die tägliche Verifizierungsanforderung genau?
Klarstellung: Die Kommission hat klargestellt, dass „unmittelbar durchgeführt“ sowohl den Beginn als auch den Abschluss des Verifizierungsverfahrens umfasst. Es reicht nicht, ein Batch-Screening an einem Tag zu starten und die manuelle Bewertung der Alarme am nächsten Geschäftstag abzuschließen. Der gesamte Prozess – Screening und Alert-Dispositions – muss abgeschlossen sein, um sicherzustellen, dass die Datenbank sauber ist.
F3: Dürfen wir Transaktionen für nationale Sanktionslisten (z. B. französische oder deutsche Listen) prüfen?
Klarstellung: Ja. Artikel 5d(2) verbietet nur das Transaktionsscreening für die EU-weit konsolidierte Liste. Nationale Listen, die von Mitgliedstaaten erstellt werden (z. B. Listen von unterzeichneten oder kontrollierten Entitäten), dürfen weiterhin geprüft werden, sofern der zehnsekündige Abwicklungszeitraum eingehalten wird.
F4: Müssen Zahlungsauslösediensteanbieter (PISP) dieses tägliche Screening durchführen?
Klarstellung: Nein. PISP, die keine Gelder verwalten (d. h. sie lösen nur den Zahlungsvorgang aus, führen das Geld aber nicht selbst), unterliegen Artikel 5d nicht. Sie müssen weiterhin die allgemeinen EU-Maßnahmen zu Sanktionen und AML/CFT einhalten, aber das spezifische IPR-Mandat „tägliches Screening“ gilt nicht, da sie nicht die ausführende Instanz sind.
F5: Zählt die Nutzung der UN-Sanktionsliste als „EU-Liste“?
Klarstellung: Ja. Die UN-Sanktionen werden in der EU über Verordnungen des Rates umgesetzt. Sobald eine UN-Designierung in den EU-Rahmen übernommen wird, ist sie Teil der „EU-weit reichenden Liste“. Daher ist das Transaktionsscreening für diese UN-Entitäten ab dem Zeitpunkt ihrer Aufnahme in die EU-Liste durch Artikel 5d verboten.
Tabelle 2: Der Wandel der Sanktions-Screening-Methoden
| Methodik | Standardmodell vor 2025 | IPR-Modell nach 2025 (Nov 2025) |
|---|---|---|
| Primäre Kontrolle | Transaktionsfilter (Echtzeit) | Kundendatenbank-Screening (periodisch) |
| Screening-Auslöser | Jede Zahlungsanweisung | Täglicher Kalender / Listenaktualisierung |
| Fehlalarmbehandlung | Manuelle Prüfung (Zahlung gehalten) | Alert-Untersuchung (Konto eingefroren nach Treffer) |
| Zeitliche Begrenzung | Flexibel (Stunden/Tage) | Keine (Screenings erfolgen offline) |
| Technologie | Integration in Payment Engine | Data Lake / Batchverarbeitung |
| Risikofokus | „Stop the Money“ | „Identify the Entity“ |
5. Das operative Dilemma: EU- vs. globale Sanktionslisten
Eine tiefgreifende Herausforderung für den Compliance-Beauftragten im November 2025 ist die „Zwischen-Hammer und Amboss“-Situation, die durch die Divergenz zwischen EU-Recht und globalen (US/UK) Sanktionsregimen entsteht.
Das IPR-Verbot des Transaktionsscreenings gilt strikt für EU-Sanktionslisten. Es verbietet nicht rechtlich das Screening für OFAC- (USA) oder britische Listen. Die operative Realität des zehnsekündigen Abwicklungsmandats schafft jedoch faktisch ein Verbot.
Wenn eine europäische Bank eine Transaktion mit einer US-sanktionierten Entität bearbeitet, die jedoch nicht EU-sanktioniert ist, und sie das Screening deaktiviert hat, um das IPR einzuhalten, riskiert sie Verstöße gegen US-Sekundärsanktionen. Wenn sie hingegen den Filter aktiviert lässt und ein Fehlalarm den Zahlungsvorgang über zehn Sekunden verzögert, verletzt sie die EU-IPR.
Im November 2025 hat sich der Branchendiskurs weitgehend zu einem risikobasierten Ansatz (RBA) verlagert. Für rein nationale oder intra-EEA-Zahlungen haben viele Institute die Transaktionsfilter komplett entfernt und nehmen das theoretische Risiko einer OFAC-Verletzung in Kauf, um das IPR zu erfüllen. Sie begründen dies mit dem rigorosen täglichen Screening ihrer eigenen Kunden und der Kunden der Korrespondenzbank (ebenfalls IPR-unterworfen). Für grenzüberschreitende Zahlungen außerhalb der SEPA-Zone oder Transaktionen mit Hochrisikoregionen bleibt das Echtzeit-Transaktionsscreening häufig aktiv und nutzt Hochgeschwindigkeits-API-Aufrufe, um Latenz zu minimieren.
6. Politisch exponierte Personen (PEPs) und das Single Rulebook
Während das Sanktions-Screening eine mechanische Revolution vollzogen hat, erlebt die Behandlung politisch exponierter Personen (PEPs) eine begriffliche Evolution, die vom „Single Rulebook“ – der Kombination aus der sechsten EU-Richtlinie zur Geldwäschebekämpfung (AMLD6) und der Anti-Money-Laundering-Verordnung (AMLR) – gesteuert wird.
6.1 Die Harmonisierung der PEP-Definitionen
Im November 2025 ist die neue Anti-Money-Laundering-Behörde (AMLA) aktiv und treibt eine harmonisierte Interpretation des PEP-Status in der gesamten EU voran. Zuvor variierten Definitionen für „enge Vertraute“ oder „prominente öffentliche Funktionen“ leicht zwischen Mitgliedstaaten. Die AMLR liefert nun eine einheitliche Definition und reduziert so die Komplexität des grenzüberschreitenden Compliance-Handlings.
6.2 Die Nuance der leitenden Führungskraft (SMO)
Ein spezieller regulatorischer Fokus im Jahr 2025 liegt auf dem Umgang mit Senior Managing Officials (SMOs) in Unternehmensstrukturen, in denen kein wirtschaftlich Berechtigter identifiziert werden kann. Die Klarstellung: Aktuelle Leitlinien stellen klar, dass SMOs zwar für Customer Due Diligence (CDD) identifiziert werden müssen, jedoch nicht automatisch als wirtschaftlich Berechtigte im Rahmen des PEP-Screenings gelten. Operativer Einfluss: Compliance-Beauftragte müssen nicht für jeden CEO eines Firmenkunden eine vollständige Enhanced Due Diligence (EDD) und PEP-Prüfung durchführen, sofern kein spezifischer Risikofaktor vorliegt. Diese Unterscheidung ist entscheidend, um das „Rauschen“ in PEP-Programmen zu reduzieren.
6.3 Die funktionale EU-PEP-Liste
Zur Unterstützung der Compliance-Teams veröffentlicht die EU-Kommission mittlerweile eine konsolidierte funktionale PEP-Liste. Charakter der Liste: Diese Liste enthält keine Namen wie „Olaf Scholz“ oder „Emmanuel Macron“, sondern die Funktionen (z. B. „Bundeskanzler“, „Finanzminister“, „Richter des Bundesverfassungsgerichts“), die als PEP-Positionen in jedem Mitgliedstaat qualifizieren. Operative Anforderung: Compliance-Verantwortliche können nicht einfach die EU-Liste herunterladen und damit ihr Screening durchführen. Sie müssen weiterhin kommerzielle Datenanbieter (z. B. LSEG World-Check, Dow Jones, Moody’s) beauftragen, die diese funktionalen Titel den realen Amtsträgern zuordnen. Die EU-Liste dient als rechtliche Validierungsebene für diese kommerziellen Datenbanken.
7. Verification of Payee (VoP): Die neue Betrugskontrolle
Verifikation des Begünstigten (VoP) ist formal ein Betrugspräventionsmechanismus, den das IPR zur Bekämpfung von Authorized Push Payment (APP)-Betrug verlangt. Ihre Implementierung bringt jedoch erhebliche Nebenwirkungen für die Qualität der Sanktionskontrollen und Compliance-Daten mit sich.
7.1 Der Mechanismus
VoP verlangt vom PSP des Zahlers, die Übereinstimmung zwischen dem Begünstigtennamen und der Kontonummer (IBAN) zu verifizieren, bevor der Zahlungsvorgang autorisiert wird. Bei Abweichungen (z. B. wenn der Nutzer „Tesla Motors“ eingibt, der IBAN aber „John Doe“ gehört) muss das System den Zahler warnen.
7.2 Integration in die Compliance
Für den Compliance-Beauftragten ist VoP ein mächtiges Instrument zur Datenhygiene. Weniger Fehlalarme: Wenn der Name in der Zahlungsanweisung vor Versand mit dem legalen Namen auf dem Konto abgeglichen wird, reduzieren sich „Fehldaten“. Sauberere Daten führen zu weniger Fehlalarmen bei eventuellen Sanktionsprüfungen (z. B. bei grenzüberschreitenden Flows). Verhinderung von Sanktionsumgehung: VoP erschwert es böswilligen Akteuren, Zahlungen unter falschen Angaben anzufordern (z. B. indem sie die IBAN einer sanktionierten Entität nennen, aber einen generischen Firmennamen angeben). Der VoP-Check identifiziert die Diskrepanz und kann so den Fluss an sanktionierte Konten verhindern.
8. Geschäftliche Auswirkungen: Wer ist betroffen?
Das PSD3/PSR/IPR-Paket hat eine umfassende Reichweite und betrifft die gesamte Finanzwertschöpfungskette.
8.1 Kreditinstitute (Banken)
Banken tragen die größte Last. Sie müssen ihre Legacy-Mainframes modernisieren, um den 24/7-Instantbetrieb zu ermöglichen. Das Entfernen des Transaktionsscreenings erfordert eine grundlegende Re-Engineering ihrer Financial-Crime-Kontrollen. Sie sind die primären Adressaten der „Senden-und-Empfangen“-Mandate der IPR.
8.2 Zahlungsinstitute (PIs) und E-Geld-Institute (EMIs)
Diese Unternehmen werden von zwei Kräften gleichermaßen getroffen:
Re-Autorisierung: PSD3 verlangt, dass sie ihre Lizenzen unter dem neuen fusionierten Regime neu beantragen oder validieren.
IPR-Compliance: PIs und EMIs fallen vollständig unter die Instant Payments Regulation. Sie müssen Instant Payments anbieten und dieselben Screeningverbote wie Banken befolgen. Das bedeutet für viele kleinere Fintechs, die bislang auf Batch-Verarbeitung oder Partnerbanken gesetzt haben, einen erheblichen technologischen Sprung.
8.3 Drittanbieter (TPPs)
Payment Initiation Service Provider (PISPs) und Account Information Service Provider (AISPs) profitieren von den verbesserten Open-Banking-APIs unter PSD3, müssen jedoch strengere Betrugsreporting- und Haftungsregeln einhalten. Insbesondere PISPs müssen sich in die VoP-Systeme der Banken integrieren, aus denen sie Zahlungen initiieren.
8.4 Konzerne und Händler
Obwohl sie nicht direkt als PSPs reguliert sind, werden große Konzerne operativ beeinflusst. Ihre Treasury-Management-Systeme (TMS) und ERP-Systeme müssen auf Instant-Payment-Formate (ISO 20022) aktualisiert und für VoP-Anfragen vorbereitet werden. Sie profitieren zwar von besseren Cashflows, stehen jedoch vor strengeren Anforderungen an die Datenqualität ihrer Zahlungsdateien.
9. Fazit: Der Compliance-Beauftragte als Datenwächter
Die im November 2025 abgeschlossene Transition markiert das Ende der „Compliance als Türsteher“-Haltung und den Beginn der „Compliance als Datenwächter“-Rolle. Das regulatorische Paket aus PSD3, PSR und IPR trifft eine eindeutige Wertentscheidung: Geschwindigkeit und Liquidität haben Priorität, und die Reibung traditioneller Transaktionsüberwachung ist im Euroraum nicht mehr akzeptabel.
Für den Compliance-Beauftragten bedeutet das einen strategischen Schwenk. Das Sicherheitsnetz aus Transaktionsfiltern wurde bei Instant-Zahlungen entfernt. Sicherheit basiert nun vollständig auf der Integrität der Kundendatenbank. Enthält sie eine sanktionierte Entität, stoppen Systeme die Transaktion nicht – erst das tägliche Batch-Screening findet sie, möglicherweise Stunden später. Daher sind ein rigoroser Onboarding-Prozess (mit Echtzeit-API-Screening) und eine saubere Kundendatenbasis (tägliche Batch-Prüfungen) die neuen Verteidigungslinien. Die „Stop-and-Scan“-Ära ist vorbei; das „Know-Your-Data“-Zeitalter hat begonnen.
Detaillierte Compliance-Checkliste für November 2025
| Bereich | Maßnahme | Status/Frist |
|---|---|---|
| Sanktionen | Deaktivieren des transaktionsbasierten Screenings für intra-EU-SCT-Inst-Ströme gemäß Art. 5d IPR. | Sofort (muss jetzt aktiv sein) |
| Sanktionen | Tägliches Batch-Screening der gesamten Kundendatenbank gegen EU-Listen implementieren. | Aktiv (tägliche Verpflichtung) |
| Sanktionen | Fähigkeit zum „sofortigen“ Re-Screening nach Listenupdates (Amtsblatt) etablieren. | Aktiv |
| PEPs | PEP-Policies gemäß SMO-Leitlinien (Risikobasiert vs. obligatorisch) aktualisieren. | Laufend |
| Onboarding | APIs für Echtzeit-Screening aller neuen Kunden (Sanktionen + PEPs) einführen. | Kritisch (Hauptkontrolle) |
| Betrug | Sicherstellen, dass VoP für ausgehende Zahlungen aktiviert ist. | Aktiv (Frist Oktober 2025 erfüllt) |
| Governance | PSD3-Gap-Analyse in Bezug auf Re-Autorisierung (für PI/EMI) durchführen. | Priorität Q4 2025 |
| Betrieb | Überprüfen, dass IT-Systeme 10-Sekunden-Liquidationen 24/7/365 ohne Timeouts beherrschen. | Aktiv |
Weiterlesen: AML Batch Screening