Preise
Sprache

29-11-2025

PSD3 & PSR: Die neue Realität für AML- und Sanktionsüberwachung

Wie das PSD3/PSR-Paket der EU die Sanktionskontrolle, VoP-Datenintegrität und den Austausch von Betrugsinformationen für Compliance-Verantwortliche neu ausrichtet.

Teilen

PSD3 & PSR: Die neue Realität für AML- und Sanktionsüberwachung

1. Einleitung: Die Konvergenz von Geschwindigkeit und Sicherheit

Im November 2025 steht der europäische Finanzdienstleistungssektor vor einer grundlegenden regulatorischen Neuordnung. Für Compliance-Verantwortliche bedeutet diese Phase mehr als ein Update bestehender Verfahren: Die Compliance-Funktion erhält eine neue Rolle im Zahlungsökosystem. Die dritte Zahlungsdiensterichtlinie (PSD3), die Zahlungsdiensteverordnung (PSR) und die aktive Durchsetzung der Instant-Payments-Verordnung (IPR) schaffen zusammen eine komplexe Pflichtmatrix, die sofortige Aufmerksamkeit verlangt.

2. Die gesetzgeberische Architektur: PSD3 und PSR

2.1 Die Entwicklung vom Richtlinien- zum Verordnungsrahmen

Um die konkreten Pflichten der Unternehmen Ende 2025 zu verstehen, muss zunächst die strukturelle Verschiebung im europäischen Zahlungsrecht betrachtet werden. Der Übergang von der zweiten Zahlungsdiensterichtlinie (PSD2) zu einem Doppelrahmen aus Richtlinie (PSD3) und Verordnung (PSR) soll regulatorische Arbitrage verringern. Unter PSD2 führte die Umsetzung in nationales Recht zu erheblicher Fragmentierung; ein Phänomen des „Gold-Plating“, bei dem Mitgliedstaaten wie Frankreich, Deutschland und die Niederlande unterschiedliche Standards für Strong Customer Authentication (SCA) und Lizenzierung anwenden.

Indem die wesentlichen Verhaltensregeln – einschließlich Transparenz, Haftung und Open-Banking-Standards – in die PSR verlagert werden, stellt die EU sicher, dass diese Regeln direkt und einheitlich in allen 27 Mitgliedstaaten gelten, ohne nationale Umsetzung. Für Compliance-Verantwortliche bedeutet dies das Ende der Ära, in der 27 verschiedene Interpretationen derselben Vorschrift verfolgt werden mussten. PSD3 bleibt jedoch eine Richtlinie, die sich auf die Zulassung und Aufsicht von Zahlungsinstituten (PIs) konzentriert. Diese Zweiteilung bedeutet: Während die Verhaltensregeln der PSR streng und harmonisiert sind, bindet die Zulassung unter PSD3 weiterhin die nationalen zuständigen Behörden (NCAs) ein.

2.2 Vereinheitlichung des Zulassungsregimes

Eine wesentliche Entwicklung für Compliance-Teams in nicht bankbasierten Finanzinstituten ist die Zusammenführung der E-Geld-Richtlinie (EMD2) mit PSD3. Historisch operierten E-Geld-Institute (EMIs) und Zahlungsinstitute (PIs) unter getrennten Regimen mit unterschiedlichen Kapital- und Sicherungsanforderungen. PSD3 schafft diese Unterscheidung ab und formt eine einzige Kategorie von Zahlungsdienstleistern (PSPs). Diese Konsolidierung vereinfacht das regulatorische Umfeld, führt jedoch zu einer großen Neuzulassungswelle. Bestehende EMIs und PIs befinden sich derzeit in einer Übergangsphase, in der sie nachweisen müssen, dass sie die neuen, einheitlichen Standards erfüllen, um ihre Lizenzen zu behalten. Für Compliance-Verantwortliche in diesen Organisationen steht 2025 vor allem die Gap-Analyse im Mittelpunkt, damit Kapitalausstattung und Governance-Strukturen den erhöhten PSD3-Anforderungen entsprechen.

2.3 Der Haftungswechsel und die Betrugsprävention

Das wohl operativ bedeutendste Element des PSD3/PSR-Pakets ist das ausgeweitete Haftungssystem für Betrug. Der Regulator nimmt eine strengere Haltung gegenüber „Spoofing“ (Identitätsbetrug) ein und verlagert die Haftung in Fällen, in denen der PSP keine geeigneten Betrugspräventionsmechanismen anbietet, vom Verbraucher auf den PSP. Das macht die Einführung von Verification-of-Payee-Systemen (VoP) erforderlich und verlangt eine engere Verzahnung zwischen Compliance und Betrugsbekämpfung als je zuvor. Die Nachweislast für „grobe Fahrlässigkeit“ des Verbrauchers wurde angehoben. Banken müssen damit mehr Verluste tragen, wenn sie nicht belegen können, dass eine wirksame Betrugserkennung vorhanden war und vom Nutzer ignoriert wurde.

Tabelle 1: Struktureller Vergleich der Regulierungsrahmen

MerkmalPSD2 (2015)PSD3 & PSR (Stand 2025)
RechtsinstrumentRichtlinie (erfordert nationale Umsetzung)Richtlinie (Lizenzierung) + Verordnung (Verhaltensregeln)
AnwendungsbereichPIs und KreditinstitutePIs, Kreditinstitute und EMIs (fusioniert)
Open BankingGrundlegender Kontenzugang (XS2A)Erweiterte Schnittstellen & dedizierte Datenzugangsdashboards
BetrugshaftungEingeschränkter VerbraucherschutzAusgeweitete Haftung bei Identitätsbetrug
NichtbankzugangIndirekter Zugang zur AbwicklungDirekter Zugang zu Zahlungssystemen erlaubt

3. Die Verordnung über Instant Payments (IPR): Die operative Realität

Während PSD3 und PSR den mittelfristigen Horizont darstellen (mit Durchsetzung ab 2027), ist die Verordnung über Instant Payments (IPR) (Verordnung (EU) 2024/886) die unmittelbare operative Grundlage für Compliance-Verantwortliche im November 2025. Diese Verordnung verändert grundlegend die Mechanik des einheitlichen Euro-Zahlungsraums (SEPA), indem sie Instant Credit Transfers (SCT Inst) nicht als Zusatzfunktion, sondern als neuen Normalfall definiert.

Die IPR schreibt vor, dass PSPs im Euroraum ab dem 9. Januar 2025 Instant-Zahlungen empfangen und ab dem 9. Oktober 2025 absenden können müssen. Damit ist der Übergang bis November 2025 für Institute in der Eurozone theoretisch abgeschlossen. Die aktuellen Reibungspunkte sind keine theoretischen Konstruktionen mehr, sondern reale operative Probleme, die aus der Pflicht entstehen, Zahlungen innerhalb von zehn Sekunden rund um die Uhr abzuwickeln.

Dieses Geschwindigkeitserfordernis verändert die Logik der Sanktionsprüfung. Der europäische Gesetzgeber hat erkannt, dass der primäre Engpass in der Verarbeitungsgeschwindigkeit nicht das Kernbankensystem ist, sondern die Financial-Crime-Compliance-Schicht, insbesondere Transaktionsfilter, die Zahlungen anhalten, um sie auf Sanktionsübereinstimmungen zu prüfen. Deshalb führt die IPR ein gesetzliches Verbot ein, das eine grundlegende Neugestaltung der AML-Abläufe erzwingt.

4. Der Wandel der Sanktionsprüfung

Die Sanktionsprüfung ist der unsicherste operative Bereich. Das traditionelle „Stop-and-Scan“-Modell, bei dem jede Transaktion gestoppt wird, um Absender, Empfänger und Verwendungszweck gegen Sanktionslisten zu prüfen, ist mit der 10-Sekunden-Anforderung der IPR unvereinbar.

4.1 Das Verbot transaktionsbasierter Prüfungen

Das disruptive Element des neuen Regimes ist Artikel 5d der IPR. Damit Instant-Zahlungen nicht durch Fehlalarme verzögert werden, verbietet die Verordnung PSPs, transaktionsbasierte Prüfungen für EU-Sanktionslisten bei einzelnen Instant Credit Transfers durchzuführen.

Die regulatorische Logik lautet: Wenn Bank A (die Bank des Zahlers) ihre Kundenbasis täglich prüft und Bank B (die Bank des Begünstigten) dasselbe tut, sind beide Seiten der Transaktion theoretisch „sauber“. Daher ist es redundant und verursacht unnötige Reibung, die Transaktion dazwischen erneut zu prüfen. Dies verbietet praktisch die Prüfung der Zahlungsnachricht selbst auf EU-Sanktionsübereinstimmungen für innereuropäische Instant-Zahlungen.

Einblick für Compliance-Verantwortliche: Dieses Verbot ist spezifisch. Es gilt für Instant Credit Transfers und EU-Sanktionslisten. Es verbietet nicht ausdrücklich Prüfungen auf Geldwäsche oder Betrug (die weiterhin gefördert werden) und auch keine Prüfungen für Nicht-EU-Listen (z. B. OFAC). Die operativen Beschränkungen durch das Zehn-Sekunden-Timeout machen jedoch jede transaktionsbasierte Prüfung sehr risikoreich.

4.2 Das neue Mandat: tägliche Bestandsprüfungen

Anstelle transaktionsbasierter Prüfungen verlangt der Regulator ein strenges, periodisches Verifizierungsregime. Die Verschiebung geht vom „Prüfen des Flusses“ zum „Prüfen des Bestands“.

Frequenz: PSPs müssen ihre gesamte Zahlungskundendatenbank mindestens einmal täglich gegen die EU-Sanktionslisten prüfen.

Auslöseereignisse: Die Prüfung muss außerdem unmittelbar nach Inkrafttreten neuer oder geänderter restriktiver Maßnahmen erfolgen.

Die Definition von „unmittelbar“ ist operativ zentral. Sie bedeutet, dass Compliance-Teams Datenpipelines benötigen, die eine Aktualisierung des Amtsblatts der EU empfangen, analysieren und innerhalb von Stunden, wenn nicht Minuten, einen vollständigen Datenbankabgleich ausführen können. Die tägliche Anforderung ist ein Mindestmaß, kein Höchstmaß. In der Praxis führen besonders anspruchsvolle Institute im November 2025 diese Batch-Prüfungen mehrmals am Tag durch, um das Risikofenster zu minimieren.

4.3 Operative Fragen zur Sanktionsprüfung

Frage: „Gibt es dort etwas Neues [Konsolidierte Liste der EU]?“
Analyse: Die Liste bleibt die maßgebliche Quelle, aber die Anwendung hat sich umgekehrt. Sie wird nicht mehr auf den Zahlungsfluss angewendet, sondern auf die Kundendatenbank. Neu ist das gesetzliche Verbot, diese Liste zur Verhinderung von Instant-Zahlungen zu nutzen.

Frage: „Müssen sie häufig prüfen?“
Analyse: Ja, die Frequenz hat zugenommen und wurde strenger. Früher konnten Institute ihre Datenbank wöchentlich oder monatlich prüfen und auf Transaktionsfilter setzen, um übrige Risiken zu erfassen. Jetzt ist die tägliche Prüfung der gesamten Kundenbasis eine verbindliche rechtliche Anforderung. Zusätzlich erfordert die „unmittelbare“ Prüfung nach neuen Designationen eine 24/7-Betriebsbereitschaft für Datenmanagement.

Frage: „Muss ich in jeder Transaktion Namen prüfen?“
Analyse:
• Für EU-Sanktionen: Nein. Im Gegenteil, Namen dürfen nicht in der Transaktion geprüft werden, wenn dies zu einer Verzögerung oder Ablehnung führt. Die Verordnung verbietet dies ausdrücklich, um Fehlalarme zu vermeiden, die das Instant-Payment-Versprechen brechen. • Für Nicht-EU-Sanktionen (OFAC/UK): Das ist der Graubereich. Die EU-Verordnung regelt die OFAC-Compliance nicht. Wenn jedoch OFAC-Namen in jeder Transaktion geprüft werden und dies zu einer Verzögerung von mehr als zehn Sekunden führt, können die Zeitregeln der IPR verletzt werden. Daher haben viele EU-Banken Ende 2025 die transaktionsbasierte Prüfung für innereuropäische Zahlungen deaktiviert, weil sie von einem geringen OFAC-Risiko ausgehen oder das Restrisiko akzeptieren.

Frage: „Ist API- oder Batch-Prüfung nützlich?“ Analyse: Diese Frage trifft den Kern der Architekturveränderung.
• Batch-Prüfungen sind essenziell: Für das IPR-Erfordernis (Artikel 5d) ist die Batch-Prüfung das Hauptinstrument. Millionen von Kundendatensätzen müssen alle 24 Stunden gegen die EU-Liste abgeglichen werden. API-Prüfungen sind für dieses Volumen ungeeignet. • API-Prüfungen sind zentral für die Kundenaufnahme: Da eine sanktionierte Person nicht mehr während der Transaktion abgefangen werden kann, muss sie bereits am Eingang erkannt werden. API-basierte Prüfungen bieten Echtzeit-Kontrolle, bevor ein Kunde aufgenommen oder ein neuer Begünstigter zu einer Vorlage hinzugefügt wird. Wird auf das nächtliche Batch gewartet, könnte eine sanktionierte Partei bis zu 12 Stunden operieren. Daher sind API-Prüfungen in der Kundenaufnahme und Begünstigtenverwaltung notwendig, auch wenn die tägliche Pflege durch Batch-Abgleiche erfolgt.

Frage: „Während der Kundenaufnahme?“ Analyse: Ja. Die Kundenaufnahme ist jetzt der wichtigste Kontrollpunkt. Unter dem alten Modell hätte ein Transaktionsfilter eine sanktionierte Partei bei der ersten Zahlung gestoppt. Unter dem IPR-Modell gibt es keinen Transaktionsfilter mehr für EU-Listen. Wird eine sanktionierte Partei aufgenommen, kann sie sofort Instant-Zahlungen senden und empfangen, bis das nächste tägliche Batch sie identifiziert. Daher muss die Prüfung bei der Kundenaufnahme besonders streng sein.

4.4 Klärende Fragen der Kommission (Aktualisierung November 2025)

Um die operativen Grenzen des IPR weiter zu klären, wurden die folgenden Fragen und Antworten aus der Umsetzungshilfe der Europäischen Kommission (DG FISMA) zusammengeführt. Sie behandeln typische Grenzfälle.

F1: Gilt das Verbot der Transaktionsprüfung für „nicht zeitkritische“ (NTC) Zahlungen oder Batch-Dateien? Klarstellung: Entspricht eine Zahlung nicht der Definition eines Instant Credit Transfer (z. B. eine Standard-SEPA-Zahlung oder eine Batch-Datei, die über Nacht verarbeitet wird), greift das Verbot des Artikels 5d(2) nicht. Diese Zahlungen dürfen wie gewohnt geprüft werden. Bietet die Institution jedoch Instant Payments an, muss weiterhin die tägliche Datenbankprüfung für alle Kunden erfolgen, unabhängig davon, welche Zahlungswege genutzt werden.

F2: Was bedeutet „unmittelbar“ im Hinblick auf die tägliche Verifizierungsanforderung genau?
Klarstellung: Die Kommission hat klargestellt, dass „unmittelbar durchgeführt“ sowohl den Beginn als auch den Abschluss des Verifizierungsverfahrens umfasst. Es reicht nicht, eine Batch-Prüfung an einem Tag zu starten und die manuelle Bewertung der Hinweise am nächsten Geschäftstag abzuschließen. Der gesamte Prozess - Prüfung und Trefferbearbeitung - muss abgeschlossen sein, damit die Datenbank sauber ist.

F3: Dürfen Transaktionen für nationale Sanktionslisten (z. B. französische oder deutsche Listen) geprüft werden? Klarstellung: Ja. Artikel 5d(2) verbietet nur die Transaktionsprüfung gegen die EU-weit konsolidierte Liste. Nationale Listen, die von Mitgliedstaaten erstellt werden (z. B. Listen benannter oder kontrollierter Parteien), dürfen weiterhin geprüft werden, sofern der zehnsekündige Abwicklungszeitraum eingehalten wird.

F4: Müssen Zahlungsauslösediensteanbieter (PISP) diese tägliche Prüfung durchführen? Klarstellung: Nein. PISP, die keine Gelder verwalten (d. h. sie lösen nur den Zahlungsvorgang aus, führen das Geld aber nicht selbst), unterliegen Artikel 5d nicht. Die allgemeinen EU-Maßnahmen zu Sanktionen und AML/CFT gelten weiterhin, aber das spezifische IPR-Mandat der täglichen Prüfung gilt nicht, da PISP nicht die ausführende Instanz sind.

F5: Zählt die Nutzung der UN-Sanktionsliste als „EU-Liste“?
Klarstellung: Ja. Die UN-Sanktionen werden in der EU über Verordnungen des Rates umgesetzt. Sobald eine UN-Designierung in den EU-Rahmen übernommen wird, ist sie Teil der EU-weit geltenden Liste. Daher ist die Transaktionsprüfung für diese UN-Parteien ab dem Zeitpunkt ihrer Aufnahme in die EU-Liste durch Artikel 5d verboten.

Tabelle 2: Der Wandel der Sanktionsprüfungsmethoden

MethodikStandardmodell vor 2025IPR-Modell nach 2025 (Nov 2025)
Primäre KontrolleTransaktionsfilter (Echtzeit)Kundendatenbankprüfung (periodisch)
PrüfauslöserJede ZahlungsanweisungTäglicher Kalender / Listenaktualisierung
FehlalarmbehandlungManuelle Prüfung (Zahlung gehalten)Trefferprüfung (Konto eingefroren nach Treffer)
Zeitliche BegrenzungFlexibel (Stunden/Tage)Keine (Prüfungen erfolgen offline)
TechnologieIntegration in Payment EngineData Lake / Batchverarbeitung
Risikofokus„Stop the Money“„Identify the Party“

5. Das operative Dilemma: EU- vs. globale Sanktionslisten

Eine zentrale operative Schwierigkeit für Compliance-Verantwortliche im November 2025 ist die Spannung zwischen EU-Recht und globalen Sanktionsregimen, insbesondere aus den USA und dem Vereinigten Königreich.

Das IPR-Verbot der Transaktionsprüfung gilt strikt für EU-Sanktionslisten. Es verbietet rechtlich nicht die Prüfung gegen OFAC- oder britische Listen. Die operative Realität des zehnsekündigen Abwicklungsmandats schafft jedoch faktisch ein Verbot.

Wenn eine europäische Bank eine Transaktion mit einer US-sanktionierten Partei bearbeitet, die jedoch nicht EU-sanktioniert ist, und sie die Prüfung deaktiviert hat, um die IPR einzuhalten, riskiert sie Verstöße gegen US-Sekundärsanktionen. Wenn sie hingegen den Filter aktiviert lässt und ein Fehlalarm den Zahlungsvorgang über zehn Sekunden verzögert, verletzt sie die EU-IPR.

Im November 2025 hat sich der Branchendiskurs weitgehend zu einem risikobasierten Ansatz (RBA) verlagert. Für rein nationale oder intra-EWR-Zahlungen haben viele Institute die Transaktionsfilter komplett entfernt und nehmen das theoretische Risiko einer OFAC-Verletzung in Kauf, um die IPR zu erfüllen. Sie begründen dies mit der strengen täglichen Prüfung ihrer eigenen Kunden und der Kunden der Korrespondenzbank (ebenfalls IPR-unterworfen). Für grenzüberschreitende Zahlungen außerhalb der SEPA-Zone oder Transaktionen mit Hochrisikoregionen bleibt die Echtzeit-Transaktionsprüfung häufig aktiv und nutzt Hochgeschwindigkeits-API-Aufrufe, um Latenz zu minimieren.

6. Politisch exponierte Personen (PEPs) und das Single Rulebook

Während sich die Sanktionsprüfung operativ stark verändert hat, entwickelt sich die Behandlung politisch exponierter Personen (PEPs) eher begrifflich weiter. Gesteuert wird diese Entwicklung vom „Single Rulebook“ – der Kombination aus der sechsten EU-Richtlinie zur Geldwäschebekämpfung (AMLD6) und der Anti-Money-Laundering-Verordnung (AMLR).

6.1 Die Harmonisierung der PEP-Definitionen

Im November 2025 ist die neue Anti-Money-Laundering-Behörde (AMLA) aktiv und treibt eine harmonisierte Interpretation des PEP-Status in der gesamten EU voran. Zuvor variierten Definitionen für „enge Vertraute“ oder „prominente öffentliche Funktionen“ leicht zwischen Mitgliedstaaten. Die AMLR liefert nun eine einheitliche Definition und reduziert so die Komplexität der grenzüberschreitenden Compliance-Praxis.

6.2 Die Nuance der leitenden Führungskraft (SMO)

Ein spezieller regulatorischer Fokus im Jahr 2025 liegt auf dem Umgang mit Senior Managing Officials (SMOs) in Unternehmensstrukturen, in denen kein wirtschaftlich Berechtigter identifiziert werden kann. Die Klarstellung: Aktuelle Leitlinien stellen klar, dass SMOs zwar für Kunden-Due-Diligence (CDD) identifiziert werden müssen, jedoch nicht automatisch als wirtschaftlich Berechtigte im Rahmen des PEP-Screenings gelten. Operative Auswirkung: Compliance-Verantwortliche müssen nicht für jeden CEO eines Firmenkunden eine umfassende verstärkte Sorgfaltspflicht (EDD) und PEP-Prüfung durchführen, sofern kein spezifischer Risikofaktor vorliegt. Diese Unterscheidung reduziert das „Rauschen“ in PEP-Programmen.

6.3 Die funktionale EU-PEP-Liste

Zur Unterstützung der Compliance-Teams veröffentlicht die EU-Kommission mittlerweile eine konsolidierte funktionale PEP-Liste. Charakter der Liste: Diese Liste enthält keine Namen wie „Olaf Scholz“ oder „Emmanuel Macron“, sondern die Funktionen (z. B. „Bundeskanzler“, „Finanzminister“, „Richter des Bundesverfassungsgerichts“), die als PEP-Positionen in jedem Mitgliedstaat qualifizieren. Operative Anforderung: Compliance-Verantwortliche können nicht einfach die EU-Liste herunterladen und damit ihre Prüfung durchführen. Weiterhin nötig sind kommerzielle Datenanbieter (z. B. LSEG World-Check, Dow Jones, Moody’s), die diese funktionalen Titel den realen Amtsträgern zuordnen. Die EU-Liste dient als rechtliche Validierungsebene für diese kommerziellen Datenbanken.

7. Verification of Payee (VoP): Die neue Betrugskontrolle

Verifikation des Begünstigten (VoP) ist formal ein Betrugspräventionsmechanismus, den das IPR zur Bekämpfung von Authorized Push Payment (APP)-Betrug verlangt. Die Einführung bringt jedoch erhebliche Nebenwirkungen für die Qualität der Sanktionskontrollen und Compliance-Daten mit sich.

7.1 Der Mechanismus

VoP verlangt vom PSP des Zahlers, die Übereinstimmung zwischen dem Begünstigtennamen und der Kontonummer (IBAN) zu verifizieren, bevor der Zahlungsvorgang autorisiert wird. Bei Abweichungen (z. B. wenn der Nutzer „Tesla Motors“ eingibt, der IBAN aber „John Doe“ gehört) muss das System den Zahler warnen.

7.2 Integration in die Compliance

Für Compliance-Verantwortliche ist VoP ein wirksames Instrument zur Datenhygiene. Weniger Fehlalarme: Wenn der Name in der Zahlungsanweisung vor Versand mit dem legalen Namen auf dem Konto abgeglichen wird, sinkt der Anteil ungenauer Zahlungsdaten. Sauberere Daten führen zu weniger Fehlalarmen bei eventuellen Sanktionsprüfungen (z. B. bei grenzüberschreitenden Zahlungsströmen). Verhinderung von Sanktionsumgehung: VoP erschwert es böswilligen Akteuren, Zahlungen unter falschen Angaben anzufordern (z. B. indem sie die IBAN einer sanktionierten Partei nennen, aber einen generischen Firmennamen angeben). Die VoP-Prüfung identifiziert die Diskrepanz und kann so Zahlungen auf sanktionierte Konten verhindern.

8. Geschäftliche Auswirkungen: Wer ist betroffen?

Das PSD3/PSR/IPR-Paket reicht weit und betrifft die gesamte Finanzwertschöpfungskette.

8.1 Kreditinstitute (Banken)

Banken tragen die größte Last. Sie müssen ältere Mainframe-Systeme modernisieren, damit der 24/7-Instantbetrieb funktioniert. Der Wegfall der Transaktionsprüfung erfordert eine grundlegende Neugestaltung ihrer Kontrollen gegen Finanzkriminalität. Sie sind die primären Adressaten der IPR-Pflichten für Senden und Empfangen.

8.2 Zahlungsinstitute (PIs) und E-Geld-Institute (EMIs)

Diese Unternehmen werden von zwei Kräften gleichermaßen getroffen:
Neuzulassung: PSD3 verlangt, dass sie ihre Lizenzen unter dem neuen zusammengeführten Regime neu beantragen oder validieren. IPR-Compliance: PIs und EMIs fallen vollständig unter die Instant Payments Regulation. Sie müssen Instant Payments anbieten und dieselben Prüfverbote wie Banken befolgen. Für viele kleinere Fintechs, die bislang auf Batch-Verarbeitung oder Partnerbanken gesetzt haben, bedeutet das einen erheblichen technologischen Sprung.

8.3 Drittanbieter (TPPs)

Payment Initiation Service Provider (PISPs) und Account Information Service Provider (AISPs) profitieren von den verbesserten Open-Banking-APIs unter PSD3, müssen jedoch strengere Betrugsreporting- und Haftungsregeln einhalten. Insbesondere PISPs müssen sich in die VoP-Systeme der Banken integrieren, aus denen sie Zahlungen initiieren.

8.4 Konzerne und Händler

Obwohl sie nicht direkt als PSPs reguliert sind, sind große Konzerne operativ betroffen. Treasury-Management-Systeme (TMS) und ERP-Systeme müssen auf Instant-Payment-Formate (ISO 20022) aktualisiert und für VoP-Anfragen vorbereitet werden. Unternehmen profitieren zwar von besseren Zahlungsströmen, stehen jedoch vor strengeren Anforderungen an die Datenqualität ihrer Zahlungsdateien.

9. Fazit: Compliance als Datenkontrolle

Die im November 2025 abgeschlossene Umstellung markiert das Ende der „Compliance als Türsteher“-Haltung und den Beginn einer stärker datenbasierten Compliance-Rolle. Das regulatorische Paket aus PSD3, PSR und IPR trifft eine eindeutige Wertentscheidung: Geschwindigkeit und Liquidität haben Priorität, und die Reibung traditioneller Transaktionsüberwachung wird im Euroraum nicht mehr akzeptiert.

Für Compliance-Verantwortliche bedeutet das einen strategischen Schwenk. Das Sicherheitsnetz aus Transaktionsfiltern wurde bei Instant-Zahlungen entfernt. Sicherheit hängt nun vollständig von der Integrität der Kundendatenbank ab. Enthält sie eine sanktionierte Partei, stoppen Systeme die Transaktion nicht – erst die tägliche Batch-Prüfung findet sie, möglicherweise Stunden später. Daher bilden eine strenge Kundenaufnahme mit Echtzeit-API-Prüfung und eine saubere Kundendatenbasis mit täglichen Batch-Prüfungen die neuen Verteidigungslinien. Die „Stop-and-Scan“-Ära ist vorbei; das „Know-Your-Data“-Zeitalter hat begonnen.

Detaillierte Compliance-Checkliste für November 2025

BereichMaßnahmeStatus/Frist
SanktionenDeaktivieren der transaktionsbasierten Prüfung für intra-EU-SCT-Inst-Ströme gemäß Art. 5d IPR.Sofort (muss jetzt aktiv sein)
SanktionenTägliche Batch-Prüfung der gesamten Kundendatenbank gegen EU-Listen umsetzen.Aktiv (tägliche Verpflichtung)
SanktionenFähigkeit zur sofortigen Neuprüfung nach Listenupdates (Amtsblatt) etablieren.Aktiv
PEPsPEP-Richtlinien gemäß SMO-Leitlinien (risikobasiert vs. obligatorisch) aktualisieren.Laufend
KundenaufnahmeAPIs für Echtzeitprüfung aller neuen Kunden (Sanktionen + PEPs) einführen.Kritisch (Hauptkontrolle)
BetrugSicherstellen, dass VoP für ausgehende Zahlungen aktiviert ist.Aktiv (Frist Oktober 2025 erfüllt)
GovernancePSD3-Gap-Analyse in Bezug auf Neuzulassung (für PI/EMI) durchführen.Priorität Q4 2025
BetriebÜberprüfen, dass IT-Systeme die 10-Sekunden-Abwicklung 24/7/365 ohne Timeouts beherrschen.Aktiv

Weiterlesen: AML-Batch-Prüfung

Teilen
Blog

Fußzeile

PSD3 & PSR: Die neue Realität für AML