Richtlinie (EU) 2015/2366 über Zahlungsdienste im Binnenmar

Erfüllt mein Zahlungsdienst die PSD2-Anforderungen an starke Kundenauthentifizierung und offene Schnittstellen — und was riskiere ich, wenn nicht?

Wer Zahlungsdienste in der EU erbringt, muss seit 14. September 2019 starke Kundenauthentifizierung (SCA) und sichere Kontenzugangsschnittstellen (XS2A) betreiben — bei Verstoß drohen wirksame, abschreckende Sanktionen durch die nationale Aufsichtsbehörde bis hin zum Entzug der Zulassung [Art. 11, Art. 103].

Kurzantwort

Die PSD2 verpflichtet Zahlungsdienstleister zu einer starken Kundenauthentifizierung bei Online-Kontozugriff, elektronischen Zahlungen und risikoreichen Fernzugriffen [Art. 97 Abs. 1]. Drittanbieter — Zahlungsauslösedienstleister und Kontoinformationsdienstleister — erhalten über sichere Schnittstellen Zugang zu Zahlungskonten [Art. 66, Art. 67]. Der kontoführende Zahlungsdienstleister haftet bei nicht autorisierten Zahlungsvorgängen ohne SCA für den vollen Schaden; der Zahler trägt maximal 50 EUR Selbstbeteiligung bei autorisiertem Missbrauch [Art. 73, Art. 74 Abs. 1]. Schwere Betriebs- und Sicherheitsvorfälle sind unverzüglich der zuständigen Behörde zu melden [Art. 96 Abs. 1].

Betroffen

Alle Zahlungsdienstleister im Sinne von Art. 1 Abs. 1: Kreditinstitute, E-Geld-Institute, Zahlungsinstitute, Postscheckämter sowie — neu — Zahlungsauslösedienstleister (PISP, Anhang I Nr. 7) und Kontoinformationsdienstleister (AISP, Anhang I Nr. 8). Zahlungsinstitute benötigen ein Anfangskapital von 20.000 EUR (Finanztransfer), 50.000 EUR (Zahlungsauslösung) bzw. 125.000 EUR (sonstige Zahlungsdienste) [Art. 7]. Ausgenommen sind u. a. begrenzte Netze, Telekommunikationsausnahmen und Handelsagenten [Art. 3].

Frist

Laufend durchsetzbar. Die PSD2 ist seit 13. Januar 2018 vollständig umzusetzen [Art. 115 Abs. 1]. Die SCA- und XS2A-Pflichten gelten seit 14. September 2019 (18 Monate nach Inkrafttreten der RTS gemäß Art. 98) [Art. 115 Abs. 4]. Die Richtlinie wird voraussichtlich durch die PSD3/PSR (Verordnung (EU) 2024/886 und Richtlinienentwurf) abgelöst, bis dahin gelten alle Pflichten unverändert.

Risiko

Die Mitgliedstaaten legen wirksame, angemessene und abschreckende Sanktionen fest [Art. 103 Abs. 1]. In Deutschland kann die BaFin gemäß ZAG Bußgelder bis 5 Mio. EUR oder 10 % des Jahresumsatzes verhängen, die Zulassung entziehen oder Geschäftsleiter abberufen. Zusätzlich haftet der Zahlungsdienstleister zivilrechtlich für den vollen Schaden bei fehlendem SCA-Einsatz [Art. 74 Abs. 2]. Verwaltungssanktionen können öffentlich bekanntgemacht werden [Art. 103 Abs. 2].

Belege

Rechtsstand

• In Kraft
• Stand 2026-04-18
• Konsolidierte Fassung vom 17.01.2025

Primärquellen

• EUR-Lex — Volltext
• BaFin — Zahlungsverkehr — Nationale DE-Aufsicht

Was jetzt zu tun ist

Legal / DPO

•Prüfen, ob alle Vertragsbeziehungen mit Drittanbietern (PISP/AISP) die Haftungsverteilung nach Art. 73 und Art. 74 korrekt abbilden — insbesondere die Regressregelung bei fehlender SCA [Art. 74 Abs. 2].
•Sicherstellen, dass Rahmenverträge mit Zahlungsdienstnutzern die vollständigen Informationspflichten nach Art. 52 erfüllen und Änderungen zwei Monate vor Inkrafttreten mitgeteilt werden [Art. 54 Abs. 1].
•Vertragliche Absicherung gegenüber kontoführenden Zahlungsdienstleistern, dass der XS2A-Zugang nicht blockiert oder behindert wird [Art. 36 Abs. 1, Art. 115 Abs. 6].

Compliance

•Jährliche Risikobewertung der operationellen und sicherheitsrelevanten Risiken an die zuständige Behörde übermitteln [Art. 95 Abs. 2].
•Meldeprozess für schwere Betriebs- und Sicherheitsvorfälle etablieren mit unverzüglicher Erstmeldung an die zuständige Behörde und ggf. Information der Zahlungsdienstnutzer [Art. 96 Abs. 1].
•Eigenmittel und Sicherungsanforderungen laufend überwachen — Eigenmittel dürfen nie unter Anfangskapital oder berechneten Betrag sinken [Art. 8 Abs. 1, Art. 10].

IT / Security

•Starke Kundenauthentifizierung (SCA) mit mindestens zwei unabhängigen Faktoren aus Wissen, Besitz und Inhärenz für alle Online-Kontozugriffe und elektronischen Zahlungen implementieren [Art. 97 Abs. 1].
•Sichere Kommunikationsschnittstellen für Zahlungsauslöse- und Kontoinformationsdienstleister gemäß den RTS nach Art. 98 bereitstellen — inklusive Identifizierung und dynamischer Verknüpfung bei Fernzahlungen [Art. 97 Abs. 2].
•Vertraulichkeit und Integrität der personalisierten Sicherheitsmerkmale der Nutzer durch angemessene Sicherheitsvorkehrungen schützen [Art. 97 Abs. 3].

Product / Engineering

•Kontenzugangsschnittstelle (XS2A-API) bereitstellen, die Drittanbietern den Zugriff auf Zahlungskonten unter SCA-Bedingungen ermöglicht — Blockierung oder Behinderung ist unzulässig [Art. 66, Art. 67].
•Nutzer-Onboarding so gestalten, dass die Zustimmung zum Zugriff durch Drittanbieter explizit eingeholt und jederzeit widerrufbar ist [Art. 64 Abs. 2, Art. 94 Abs. 2].
•Erstattungsprozess implementieren: bei nicht autorisierten Zahlungen muss der Betrag spätestens bis Ende des folgenden Geschäftstags erstattet werden [Art. 73 Abs. 1].

Wichtige Begriffe

Starke Kundenauthentifizierung (SCA): Authentifizierung unter Heranziehung von mindestens zwei unabhängigen Elementen aus den Kategorien Wissen, Besitz oder Inhärenz, die die Vertraulichkeit der Authentifizierungsdaten schützt [Art. 4 Nr. 30].
Zahlungsauslösedienstleister (PISP): Zahlungsdienstleister, der auf Antrag des Nutzers einen Zahlungsauftrag in Bezug auf ein bei einem anderen Zahlungsdienstleister geführtes Konto auslöst [Art. 4 Nr. 15, Nr. 18].
Kontoinformationsdienstleister (AISP): Zahlungsdienstleister, der konsolidierte Informationen über Zahlungskonten bereitstellt, die ein Nutzer bei einem oder mehreren anderen Zahlungsdienstleistern hält [Art. 4 Nr. 16, Nr. 19].
Zahlungsinstitut: Juristische Person, die nach Titel II der PSD2 zugelassen wurde und gewerbsmäßig Zahlungsdienste erbringt — im Gegensatz zu Kreditinstituten oder E-Geld-Instituten ein eigenständiger Institutstyp [Art. 1 Abs. 1 Buchstabe d].
Personalisierte Sicherheitsmerkmale: Vom Zahlungsdienstleister bereitgestellte personalisierte Merkmale, die der Nutzer zur Authentifizierung verwendet, etwa PINs, Passwörter oder biometrische Daten [Art. 4 Nr. 31].
Zahlungskonto: Ein auf den Namen eines oder mehrerer Zahlungsdienstnutzer lautendes Konto, das für die Ausführung von Zahlungsvorgängen genutzt wird [Art. 4 Nr. 12].
Kontoführender Zahlungsdienstleister (ASPSP): Zahlungsdienstleister, der für einen Zahler ein Zahlungskonto bereitstellt und führt — zentrale Gegenpartei im Open-Banking-Modell der PSD2 [Art. 4 Nr. 17].

Häufige Fragen

Was ist starke Kundenauthentifizierung (SCA) nach PSD2?

SCA ist eine Authentifizierung unter Heranziehung von mindestens zwei voneinander unabhängigen Elementen aus den Kategorien Wissen (z. B. PIN), Besitz (z. B. Smartphone) und Inhärenz (z. B. Fingerabdruck) [Art. 4 Nr. 30]. Sie ist bei Online-Kontozugriff, elektronischen Zahlungen und risikobehafteten Fernzugriffen zwingend [Art. 97 Abs. 1].

Welche Drittanbieter erhalten unter PSD2 Zugang zu Zahlungskonten?

Zahlungsauslösedienstleister (PISP) dürfen mit Zustimmung des Kontoinhabers Zahlungen über dessen Konto auslösen [Art. 66]. Kontoinformationsdienstleister (AISP) dürfen konsolidierte Kontoinformationen abrufen [Art. 67]. Beide müssen bei der zuständigen Behörde registriert sein und sich gegenüber dem kontoführenden Zahlungsdienstleister identifizieren [Art. 98 Abs. 1 Buchstabe d].

Wie hoch ist die Haftung des Zahlers bei nicht autorisierten Zahlungen?

Der Zahler haftet maximal mit 50 EUR bei Verlust oder Diebstahl eines Zahlungsinstruments, sofern er nicht vorsätzlich oder grob fahrlässig gehandelt hat [Art. 74 Abs. 1]. Hat der Zahlungsdienstleister keine SCA verlangt, trägt der Zahler nur bei betrügerischer Absicht einen Verlust [Art. 74 Abs. 2].

Welche Meldepflichten bestehen bei Sicherheitsvorfällen?

Bei einem schwerwiegenden Betriebs- oder Sicherheitsvorfall muss der Zahlungsdienstleister unverzüglich die zuständige Behörde im Herkunftsmitgliedstaat unterrichten [Art. 96 Abs. 1]. Kann der Vorfall die finanziellen Interessen der Nutzer beeinträchtigen, sind auch diese unverzüglich zu informieren [Art. 96 Abs. 1 Unterabsatz 3].

Welches Anfangskapital braucht ein Zahlungsinstitut?

Das Anfangskapital richtet sich nach der Art des Zahlungsdienstes: 20.000 EUR für Finanztransfer (Anhang I Nr. 6), 50.000 EUR für Zahlungsauslösedienste (Anhang I Nr. 7) und 125.000 EUR für die übrigen Zahlungsdienste (Anhang I Nr. 1-5) [Art. 7].

Gilt die PSD2 auch für Zahlungen außerhalb der EU?

Die Transparenz- und Haftungsregeln der Titel III und IV gelten vollständig nur, wenn beide Zahlungsdienstleister in der EU ansässig sind [Art. 2 Abs. 2]. Ist nur ein Zahlungsdienstleister in der EU ansässig, gelten Teile der Vorschriften für die in der EU getätigten Bestandteile des Zahlungsvorgangs [Art. 2 Abs. 4].

Was passiert mit der PSD2 nach Inkrafttreten der PSD3/PSR?

Die Verordnung (EU) 2024/886 über Sofortzahlungen hat die PSD2 bereits punktuell geändert. Der Kommissionsentwurf für eine Payment Services Regulation (PSR) und eine PSD3 soll die PSD2 perspektivisch ablösen. Bis zum Inkrafttreten der neuen Regeln gelten alle PSD2-Pflichten unverändert weiter.

Werkzeuge & Vorlagen

KI-generierte Compliance-Hilfen

Vorschau

Gap-Checks

SOPs

Vorlagen

Entscheidungen

1. Gap-Analyse Checkliste

Erbringen Sie gewerbsmäßig einen oder mehrere der in Anhang I der PSD2 definierten Zahlungsdienste, ohne über die erforderliche Zulassung als Zahlungsinstitut, Kreditinstitut oder E-Geld-Institut zu verfügen?

Art. 11 Abs. 1, Art. 37 Abs. 1|Zulassung und Anwendungsbereich

Wenden Sie eine starke Kundenauthentifizierung (SCA) an, wenn ein Zahler online auf sein Zahlungskonto zugreift, einen elektronischen Zahlungsvorgang auslöst oder eine andere Handlung vornimmt, die ein Betrugsrisiko birgt?

Art. 97 Abs. 1|Sicherheit und Authentifizierung

Haben Sie einen Prozess zur unverzüglichen Meldung schwerwiegender Betriebs- oder Sicherheitsvorfälle an die zuständige Aufsichtsbehörde etabliert?

Art. 96 Abs. 1|Risikomanagement und Meldewesen

2. SOP-Vorlagen

SOP: Meldung eines schwerwiegenden Betriebs- oder SicherheitsvorfallsArt. 96

Zweck: Sicherstellung der unverzüglichen und korrekten Meldung von schwerwiegenden Betriebs- oder Sicherheitsvorfällen an die zuständige nationale Aufsichtsbehörde (z.B. BaFin) und die EZB/EBA sowie der Information betroffener Kunden.

Geltungsbereich: Dieser Prozess gilt für alle Mitarbeiter und Systeme, die an der Erbringung von Zahlungsdiensten beteiligt sind.

Schritte:

1
Identifizierung & Klassifizierung: Ein potenzieller Vorfall (z.B. Systemausfall, Datenleck, erfolgreicher Phishing-Angriff) wird durch Monitoring-Systeme oder Mitarbeiter entdeckt. Das Incident-Response-Team klassifiziert den Vorfall anhand der EBA-Leitlinien als 'schwerwiegend'.
Verantwortlich: Incident-Response-Team / CISO | Output: Klassifizierungsentscheidung und Erstellung eines internen Vorfall-Tickets.
2
Unverzügliche Erstmeldung: Ausfüllen des offiziellen Meldeformulars der Aufsichtsbehörde mit den initial verfügbaren Informationen. Absenden der Meldung an die Behörde innerhalb der vorgegebenen, sehr kurzen Frist (z.B. innerhalb von 4 Stunden nach Klassifizierung).
Verantwortlich: Compliance Officer / CISO | Output: Versandbestätigung der Erstmeldung an die Aufsichtsbehörde.
3
Kundeninformation: Prüfung, ob der Vorfall die finanziellen Interessen von Zahlungsdienstnutzern beeinträchtigt oder beeinträchtigen könnte. Falls ja, unverzügliche Benachrichtigung der betroffenen Nutzer über den Vorfall und mögliche Schutzmaßnahmen.
Verantwortlich: Krisenkommunikationsteam / Customer Service Leitung | Output: Veröffentlichte Kundeninformation (z.B. per E-Mail, Website-Banner).
4
Zwischenmeldung(en): Sobald wesentliche neue Informationen zum Vorfall vorliegen (z.B. über Ursache, Ausmaß, ergriffene Maßnahmen), wird eine aktualisierte Zwischenmeldung an die Aufsichtsbehörde übermittelt.
Verantwortlich: Compliance Officer / CISO | Output: Versandbestätigung der Zwischenmeldung.
5
Abschlussmeldung: Nach vollständiger Analyse und Behebung des Vorfalls wird eine finale Abschlussmeldung mit einer Ursachenanalyse (Root Cause Analysis) und den ergriffenen Abhilfemaßnahmen an die Aufsichtsbehörde gesendet.
Verantwortlich: Compliance Officer / CISO | Output: Versandbestätigung der Abschlussmeldung.

Prüffrequenz: Jährlich und nach jedem meldepflichtigen Vorfall

3. Textbausteine

Vertragsklausel: Haftung des Nutzers bei nicht autorisierten ZahlungenArt. 73, Art. 74

Anwendungsfall: Zur Aufnahme in die Allgemeinen Geschäftsbedingungen (AGB) für Zahlungsdienstnutzer (Verbraucher).

§ Haftung bei nicht autorisierten Zahlungsvorgängen 1. Im Falle eines nicht autorisierten Zahlungsvorgangs haben Sie Anspruch auf unverzügliche Erstattung des Zahlungsbetrags. 2. Abweichend von Absatz 1 haften Sie für den Schaden, der durch die Nutzung eines verlorenen, gestohlenen oder sonst missbräuchlich verwendeten Zahlungsinstruments (z.B. Ihrer Karte oder Ihres Smartphones) entstanden ist, bis zu einem Betrag von maximal 50,00 EUR. 3. Die Haftung nach Absatz 2 entfällt, wenn: a) der Verlust, Diebstahl oder die missbräuchliche Verwendung für Sie nicht bemerkbar war, bevor der Zahlungsvorgang ausgeführt wurde (es sei denn, Sie haben betrügerisch gehandelt), oder b) der Verlust durch ein Handeln oder Unterlassen eines unserer Mitarbeiter oder Dienstleister verursacht wurde. 4. Sie haften unbegrenzt für alle Schäden, die aus einem nicht autorisierten Zahlungsvorgang entstehen, wenn Sie diese in betrügerischer Absicht herbeigeführt haben oder wenn Sie Ihre Sorgfaltspflichten zur sicheren Aufbewahrung Ihrer personalisierten Sicherheitsmerkmale (z.B. PIN, Passwort) vorsätzlich oder grob fahrlässig verletzt haben. 5. Sobald Sie uns den Verlust, Diebstahl oder die missbräuchliche Verwendung Ihres Zahlungsinstruments gemäß § [Verweis auf Anzeigepflicht-Klausel] gemeldet haben, haften Sie nicht mehr für danach entstehende Schäden, es sei denn, Sie haben betrügerisch gehandelt.

Platzhalter: [Verweis auf Anzeigepflicht-Klausel]

+8 Gap-Checks, 1 SOPs, 2 Vorlagen warten auf Sie

7 Tage kostenlos testen

KI-generierte Compliance-Hilfen. Keine Rechtsberatung. Bitte mit Rechtsabteilung abstimmen.