Bedeutung der PSD3 für Plattformen und Marktplätze

Ein Ausblick auf die aktualisierte europäische Verordnung über die Regulierung von Zahlungsdiensten

Letzte Aktualisierung: 16. Januar 2024

  1. Einführung
  2. Überblick: Was ändert sich mit der PSD3?
  3. Wie wird sich die PSD3 auf Plattformen und Marktplätze auswirken?
    1. Zahlungen für Plattformen und Marktplätze nach den aktuellen PSD2-Regeln
    2. Strengere Regeln unter der PSD3 für Plattformen und Marktplätze
  4. So unterstützt Stripe Plattformen und Marktplätze bei der Erfüllung der neuen Anforderungen
    1. Plattformzahlungen mit Connect
  5. Wie lauten die neuen Regeln für SCA?
    1. Die Rolle von SCA bei der Betrugsbekämpfung
    2. Weitere Maßnahmen zur Betrugsprävention und zum Schutz der Verbraucher/innen
  6. So hilft Stripe Ihnen, die SCA-Anforderungen zu erfüllen
    1. Ablauf der SCA-Authentifizierung
  7. Wie geht es weiter?

Die Zweite Zahlungsdiensterichtlinie (PSD2) hat die Funktionsweise von Zahlungen für Plattformen und Marktplätze in Europa grundlegend verändert. Die Richtlinie änderte außerdem den Zugang von externen Zahlungsdienstleistern zu Bankkonten sowie die Abwicklung von Zahlungen. Darüber hinaus wurde die starke Kundenauthentifizierung (SCA) eingeführt, um Zahlungen sicherer zu machen.

Die Europäische Kommission hat nun den aktuellen Rahmen überarbeitet und Vorschläge für eine Zahlungsdiensterichtlinie 3 und eine Verordnung über Zahlungsdienste vorgelegt. Die neuen Regeln für den Zahlungsverkehr sollen eine stärkere Harmonisierung der Vorschriften in der EU gewährleisten, gleiche Wettbewerbsbedingungen für Zahlungsdienstleister schaffen sowie den Schutz von Kundinnen und Kunden sowie den Betrugsschutz verbessern.

Die Verhandlungen zwischen dem Europäischen Parlament und den EU-Mitgliedstaaten sind noch nicht abgeschlossen. Zwar wird erwartet, dass die endgültigen Regeln nicht vor 2026 in Kraft treten, aber es gibt einige wichtige Änderungen, die Plattformen und Marktplätze (insbesondere) kennen sollten und auf die sie sich schon heute vorbereiten können. In diesem Leitfaden finden Sie eine Übersicht über diese Änderungen, damit Sie sich adäquat auf die neuen europäischen Zahlungsvorschriften vorbereiten können.

Die Europäische Bankenaufsichtsbehörde (EBA) wird von der Europäischen Kommission beauftragt, ergänzende technische Regulierungsstandards (RTS) festzulegen sowie detaillierte Vorschriften für wichtige Bestandteile der PSD3/PSR – wie z. B. die Starke Kundenauthentifizierung – zu erlassen, um Unternehmen bei deren Umsetzung zu unterstützen.

Überblick: Was ändert sich mit der PSD3?

PSD3/PSR – die wichtigsten Änderungen
Direkt anwendbare Vorschriften für die gesamte EU
Die neue Zahlungsdiensterichtlinie (Payment Services Regulation, PSR) umfasst den Großteil der bereits unter der PSD2 geltenden Vorschriften, etwa zu Themen wie Betrug und Haftung, Transparenz, Open Banking und starke Kundenauthentifizierung (SCA). Nun sind diese Vorschriften aber in allen Mitgliedsstaaten direkt anwendbar. Es gibt also weniger Spielraum für eine unterschiedliche Auslegung der Vorschriften in den einzelnen EU-Mitgliedsstaaten. Dies ermöglicht die einheitlichere Anwendung der Zahlungsvorschriften in der gesamten EU. Entsprechend können Unternehmen die Vorschriften einfacher implementieren.
Zahlungsinstitute sind zur E-Geld-Ausgabe berechtigt
Die PSD3 schafft einen einheitlichen Rechtsrahmen für E-Geld-Institute und Zahlungsinstitute. Gemäß der PSD3 werden E-Geld-Institute künftig als Zahlungsinstitute lizenziert. Zahlungsinstitute sind zur Ausgabe von E-Geld berechtigt und die E-Geld-Richtlinie (EMD2) wird aufgehoben.
Weitere Verschärfung der Bedingungen für die Ausnahmeregelung für Handelsvertreter/innen
Die neuen Vorschriften verschärfen die Anforderungen für Plattformen und Marktplätze, die von der Ausnahmeregelung für Handelsvertreter/innen Gebrauch machen möchten. So werden die Fälle, unter denen sie die Ausnahme für Zahlungen nutzen können, eingeschränkt.
Maßnahmen zur Optimierung von Open-Banking-Zahlungen
Es werden neue Benchmarks eingeführt, um die Leistung von Open-Banking-APIs zu verbessern und die Hürden zu beseitigen, die Drittanbieter derzeit daran hindern, auf Kundenbankkonten zuzugreifen. Dies soll die Funktionsweise von Open Banking verbessern und dessen Nutzung fördern.
Umfassendere Haftung bei Betrug
Zahlungsdienstleister können in einem breiteren Spektrum von Fällen haftbar gemacht werden und sind dazu verpflichtet, zusätzliche Maßnahmen zur Betrugsbekämpfung zu ergreifen (z. B. indem sie Kundinnen und Kunden über die Risiken aufklären oder relevante Informationen mit anderen Finanzinstituten teilen).
Neue Vorschriften für die starke Kundenauthentifizierung (SCA) und die Überwachung von Transaktionen
Die Vorschriften zur Anwendung der starken Kundenauthentifizierung (SCA) werden präzisiert (z. B. in Bezug auf von Händlerinnen und Händlern initiierte Transaktionen (MITs) sowie bei Versand-/Telefonbezahlung (Mail Order/Telephone Order, MOTO)). Neue technische Regulierungsstandards der europäischen Bankenaufsicht werden voraussichtlich zu geänderten Anforderungen an die Transaktionsüberwachung sowie zu SCA-Ausnahmen führen.

Wie wird sich die PSD3 auf Plattformen und Marktplätze auswirken?

Zahlungen für Plattformen und Marktplätze nach den aktuellen PSD2-Regeln

Die PSD regelt Zahlungen für Plattformen und Marktplätze. Wenn eine Plattform beispielsweise in den Besitz von Geldbeträgen gelangt oder die Kontrolle über Geldbeträge erhält, die ein/e Käufer/in schuldet, und diese Geldmittel an die/den Verkäufer/in auszahlt, dann gilt die Plattform als Erbringer von regulierten Zahlungsdiensten (wie z. B. das Führen eines Zahlungskontos, die Ausführung von Zahlungstransaktionen oder die Durchführung von Geldüberweisungen). Es gibt eine wichtige Ausnahme von dieser Regel – die Ausnahmeregelung für Handelsvertreter/innen –, auf die sich Plattformen in der Vergangenheit oft berufen haben, um die Notwendigkeit einer Lizenz zu vermeiden.

Die PSD2 hat die Ausnahmeregelung für Handelsvertreter/innen dahingehend verschärft, dass sie nur in Fällen gilt, in denen eine Plattform oder ein Marktplatz ausschließlich im Namen der zahlenden Person oder der Zahlungsempfängerin bzw. des Zahlungsempfängers handelt, aber nicht für beide. Wenn eine Plattform für beide handelt, kann sie nur dann eine Lizenzierungspflicht vermeiden, wenn sie nicht über Geldmittel verfügt oder diese nicht kontrolliert (d. h. wenn sie auf einen lizenzierten Zahlungsdienstleister angewiesen ist). Damit soll das Kreditrisiko von Plattformen und Marktplätzen gemindert werden, indem die Handhabung der Geldmittel auf ein reguliertes Unternehmen beschränkt wird, das die lokalen Sicherheitsanforderungen erfüllen muss.

Im Rahmen der Ausnahmeregelung für Handelsvertreter/innen können Parteien ohne Lizenz Zahlungsdienste erbringen, wenn sie als Handelsvertreter/innen im Auftrag einer zahlenden Person oder einer Zahlungsempfängerin bzw. eines Zahlungsempfängers handeln.

Strengere Regeln unter der PSD3 für Plattformen und Marktplätze

Die PSD3 schlägt vor, die Anforderungen für Plattformen und Marktplätze, die die Ausnahmeregelung für Handelsvertreter/innen nutzen, weiter zu verschärfen. Infolgedessen wird die Ausnahmeregelung für Handelsvertreter/innen für Plattformen und Marktplätze wahrscheinlich nur unter sehr eingeschränkten Bedingungen verfügbar sein. Wenn Sie eine Plattform oder ein Unternehmen betreiben, das sich derzeit auf die Ausnahmeregelung für Handelsvertreter/innen beruft, sollten Sie die Auswirkungen der PSD3 gründlich prüfen.

Die neuen Vorschriften führen weitere Bedingungen ein, die für die Anwendung der Ausnahmeregelung für Handelsvertreter/innen zu erfüllen sind: So muss der/die Handelsvertreter/in von der zahlenden Person oder von der/dem Zahlungsempfänger/in ermächtigt werden, in ihrem/seinem Namen Transaktionen auszuhandeln/durchzuführen. Außerdem muss sie/er der zahlenden Person oder der/dem Zahlungsempfänger/in einen tatsächlichen Spielraum für Verhandlungen mit der/dem Handelsvertreter/in einräumen. In der Präambel der PSD3 wird darauf hingewiesen, dass E-Commerce-Plattformen, die als Vertreter im Namen von Käuferinnen/Käufern und Verkäuferinnen/Verkäufern auftreten, keine Handelsvertreter sind und daher ohne Lizenz keine Zahlungsdienstleistungen erbringen dürfen.

Die PSD3 autorisiert die Europäische Bankenaufsichtsbehörde außerdem für den Erlass spezifischer Leitlinien, die für mehr Klarheit sorgen und die Angleichung zwischen den EU-Mitgliedstaaten fördern sollen, inklusive einer Liste von Anwendungsfällen, die unter die Ausnahmeregelung fallen.

So unterstützt Stripe Plattformen und Marktplätze bei der Erfüllung der neuen Anforderungen

Stripe hat stets das Ziel verfolgt, Produkte zu entwickeln, die den regulatorischen Aufwand für unsere Nutzer/innen minimieren. Wir haben Plattformen von der Arbeitsbelastung durch die PSD2 befreit, indem wir Connect entwickelt haben: Mit diesem Tool verfügen Plattformen über eine technische Lösung für die regulatorischen Anforderungen. Connect bietet Plattformen und Marktplätzen im Rahmen der PSD3 denselben Vorteil, da es ihnen eine Zahlungslösung zur Verfügung stellt, für die sie keine Zahlungslizenz erwerben müssen.

Da Stripe den regulierten Service bereitstellt, können sich die Plattformen auf ihre Stärken konzentrieren: den Aufbau großartiger Marktplätze für ihre Nutzer/innen. Zahlreiche Plattformen mit Verkäuferinnen und Verkäufern in ganz Europa haben sich bereits für Connect entschieden, anstatt selbst eine Lizenz für den Zahlungsverkehr zu beantragen oder den Nachweis zu erbringen, dass sie unter die Ausnahmeregelungen fallen.

Plattformzahlungen mit Connect

Falls Sie Fragen zu Stripe Connect haben, beantworten wir diese gerne.

Wie lauten die neuen Regeln für SCA?

Die Rolle von SCA bei der Betrugsbekämpfung

Die starke Kundenauthentifizierung wurde mit der PSD2 in Europa eingeführt, um Betrug zu reduzieren sowie online und kontaktlos durchgeführte Zahlungen sicherer zu machen. SCA erfordert eine Zwei-Faktor-Authentifizierung. Weitere Informationen über die SCA finden Sie in unserem Leitfaden zur Starken Kundenauthentifizierung.

Die Europäische Kommission kam in ihrer Bewertung der PSD2 zu dem Schluss, dass SCA bei der Betrugsbekämpfung erfolgreich gewesen ist. Die PSD3/PSR soll auf SCA aufbauen und dieses Verfahren noch verbessern. Hierfür sollen wichtige Definitionen geklärt, Ausnahmen für Transaktionen mit geringem Risiko weiter spezifiziert und weiterhin ein Gleichgewicht zwischen Sicherheit und der Entwicklung von nutzerfreundlichen, innovativen und zugänglichen Zahlungsmitteln hergestellt werden.

Unserer Einschätzung nach verbessern die neuen Vorschriften weiter die Erfahrungen von Kundinnen und Kunden beim Bezahlvorgang. Sie geben den Finanzinstituten, Kartennetzwerken und Zahlungsdienstleistern mehr Klarheit, um SCA-Ausnahmen für Transaktionen mit geringerem Risiko oder für wiederkehrende Transaktionen anzuwenden. Längerfristig könnte sich mit den neuen Regeln auch die Möglichkeit für weitere Ausnahmen ergeben, je nach Transaktionsrisiko und entsprechend den technologischen Verbesserungen. Unternehmen sollten ihre SCA-Engine unter den neuen Regeln weiterentwickeln, um bestmögliche Authentifizierungsergebnisse zu erzielen.

Präzisierungen in Bezug auf die Anwendung der SCA
MITs
Bei von Händlerinnen und Händlern initiierten Transaktionen (MITs) muss die starke Kundenauthentifizierung (SCA) nur bei der Einrichtung des Mandats angewendet werden, nicht aber bei anschließenden MITs. Für MITs wird zudem ein achtwöchiges Recht auf Rückerstattung ohne Vorbedingung eingeführt, ähnlich wie bei SEPA-Lastschriften.
Versand-/Telefonbezahlung
Bei Transaktionen auf Basis einer Versand-/Telefonbezahlung (Mail Order/Telephone Order, MOTO) muss lediglich die Zahlungstransaktion auf nicht digitale Weise initiiert werden, damit die Transaktion von der starken Kundenauthentifizierung (SCA) befreit ist.
Dynamische Verknüpfung
Im Falle von elektronischen Zahlungstransaktionen, bei denen die Zahlung mithilfe von Technologien zur Näheermittlung (z. B. Near-Field Communication, NFC) über das Gerät der zahlenden Person erfolgt und die starke Kundenauthentifizierung (SCA) die Nutzung des Internets auf dem Gerät der zahlenden Person erfordert, müssen Elemente der SCA verwendet werden, mit denen die Transaktion dynamisch mit einem bestimmten Betrag und einer Zahlungsempfängerin oder einem Zahlungsempfänger verknüpft wird.
Kontoinformationsdienste
Bei Zahlungsdienstleistern, die im Rahmen von Open Banking Kontoinformationsdienste bereitstellen, ist die starke Kundenauthentifizierung (SCA) nur beim ersten Zugriff auf die Daten erforderlich. Die SCA muss jedoch angewendet werden, wenn Kundinnen und Kunden in der Domäne des Zahlungsdienstleisters auf aggregierte Kontodaten zugreifen, und zwar mindestens alle 180 Tage.
Tokenisierung
Tokenisierung erfordert die Anwendung der starken Kundenauthentifizierung (SCA), wenn der/die Karteninhaber/in aktiv an der Tokenisierung beteiligt ist (z. B. wenn eine im Wallet oder in einer anderen Lösung hinterlegte Karte registriert oder ausgetauscht wird).
Zwei-Faktor-Authentifizierung und Ausnahmen von der starken Kundenauthentifizierung (SCA)
Transaktionsüberwachung
Die europäische Bankenaufsicht wird technische Regulierungsstandards hinsichtlich der Transaktionsüberwachung durch Zahlungsdienstleister festlegen, auch mithilfe umgebungs- und verhaltensspezifischer Merkmale (z. B. Kundenstandort oder Ausgabeverhalten). Dies unterstützt die Inanspruchnahme von SCA-Ausnahmen für Transaktionen, die ein niedriges Risiko darstellen (z. B. Ausnahmen bei Transaktionsrisikoanalysen).
Ausnahmen von der starken Kundenauthentifizierung (SCA)
Die europäische Bankenaufsicht ist außerdem angehalten, weitere technische Regulierungsstandards zu SCA-Anforderungen und -Ausnahmen zu entwickeln, und zwar unter Anwendung eines risikobasierten Ansatzes und Nutzung von Technologien.
Zwei-Faktor-Authentifizierung
Den neuen Vorschriften zufolge müssen die Kriterien, die bei der starken Kundenauthentifizierung (SCA) für die Zwei-Faktor-Authentifizierung gelten, nicht zu unterschiedlichen Kategorien gehören, solange sie unabhängig voneinander gelten. Kundinnen und Kunden können sich also bei Bedarf mit zwei Passwörtern oder per Fingerabdruck und Gesichtserkennung authentifizieren.
Verfügbarkeit
Zahlungsdienstleister müssen unterschiedliche Möglichkeiten zur Durchführung der SCA anbieten, die kein Smart-Gerät voraussetzen, z. B. die Authentifizierung per SMS.
Outsourcing und Haftungsvoraussetzungen
Haftung von Anbietern technischer Dienstleistungen
Wenn die Anwendung der starken Kundenauthentifizierung (SCA) nicht unterstützt wird, haften die Anbieter technischer Dienstleistungen (Technical Service Providers, TSPs) und die Betreiber von Zahlungssystemen. Dadurch soll die Zusammenarbeit zwischen allen an der Durchführung der SCA beteiligten Akteuren verstärkt werden.
Outsourcing
Zahlungsdienstleister, die TSPs zur Bereitstellung und Verifizierung von SCA-Elementen nutzen, müssen mit diesen TSPs Outsourcing-Vereinbarungen treffen. Die Anforderungen für diese Outsourcing-Vereinbarungen werden von der europäischen Bankenaufsicht definiert.

Weitere Maßnahmen zur Betrugsprävention und zum Schutz der Verbraucher/innen

Neben den aktualisierten SCA-Anforderungen führen die neuen Regeln weitere Maßnahmen ein, um den Verbraucherschutz zu stärken und Zahlungsdienstleister dazu zu bewegen, zusätzliche Maßnahmen zur Betrugsprävention zu ergreifen. Dazu gehört die Anforderung an Zahlungsdienstleister, Kundinnen und Kunden über Betrugstendenzen aufzuklären, regelmäßige interne Schulungsprogramme durchzuführen, mit Anbietern elektronischer Kommunikationsdienste zusammenzuarbeiten und Informationen mit anderen Finanzinstituten zu teilen. Außerdem verpflichten sie die Zahlungsdienstleister, Nutzerinnen und Nutzern von Zahlungsdiensten bei Identitätsbetrug die Kosten für betrügerische Transaktionen zu erstatten.

So hilft Stripe Ihnen, die SCA-Anforderungen zu erfüllen

Die Einführung von SCA in der PSD2 hat den Internethandel in Europa stark beeinflusst. Um einen reibungslosen Übergang zu den neuen Regeln zu gewährleisten, arbeitete Stripe mit betroffenen Unternehmen und Partnern zusammen, um die neuen Anforderungen umzusetzen und die Auswirkungen auf die Konversionsraten zu steuern. Dazu gehörte die Unterstützung von Authentifizierungsmethoden wie 3D Secure 2 und die Entwicklung neuer Methoden der Zwei-Faktor-Authentifizierung, um eine reibungslose Authentifizierung für Unternehmen sowie deren Kundinnen und Kunden zu gewährleisten.

Unsere Produkte, einschließlich Stripe Checkout und Billing, basieren auf unserer Zahlungs-API, die mithilfe der SCA-Logik von Stripe bei Bedarf 3D Secure auslöst. Unsere SCA-Lösung umfasst die erfolgreiche Handhabung von Ausnahmen als Schlüsselkomponente für die Schaffung einer erstklassigen Zahlungserfahrung, die Reibungsverluste minimiert und gleichzeitig optimale Sicherheit bietet. Wir optimieren die Anwendung von SCA für verschiedene Vorschriften, Banken und Kartennetzwerke und wenden relevante Ausnahmeregelungen an – z. B. für Zahlungen mit geringem Risiko oder sichere Unternehmenszahlungen –, um 3D Secure und/oder die Zwei-Faktor-Authentifizierung nur bei Bedarf auszulösen.

Ablauf der SCA-Authentifizierung

Die Authentifizierungs-Engine von Stripe arbeitet außerdem mit Modellen des maschinellen Lernens, die Risiken in Echtzeit erkennen und Unternehmen die Möglichkeit geben, ihren Kundinnen und Kunden eine erstklassige Erfahrung zu bieten und gleichzeitig die Einhaltung der SCA-Bestimmungen zu gewährleisten.

Wir werden die anstehenden Änderungen an SCA weiterhin aufmerksam verfolgen. Unsere aktualisierte SCA-Lösung kann Sie bei der Anwendung von SCA unterstützen und Ihnen helfen, die Erfolgsquote bei der Authentifizierung zu steigern und die Konversionsraten zu verbessern – und das alles bei gleichzeitiger Einhaltung der SCA-Regeln und Minimierung von Betrug. Erfahren Sie mehr darüber, wie Sie mit Stripe Ihre Einnahmen durch höhere Autorisierungsquoten steigern können.

Wie geht es weiter?

PSD3 und PSR stellen eine bedeutende Aktualisierung der europäischen Zahlungsregeln dar. Mit Blick auf die überarbeiteten Vorschriften müssen Plattformen und Marktplätze die Nutzung von Ausnahmen wie der kommerziellen Ausnahmeregelung überprüfen, falls diese anwendbar ist, oder sich weiterhin auf regulierte Zahlungsdienstleister verlassen, um Zahlungslösungen anzubieten.

Vor dem Hintergrund der PSD3/PSR und der kommenden EBA-Richtlinien müssen Unternehmen auch die Anforderungen für SCA laufend überprüfen. Zahlungsdienstleister, die SCA-Updates in ihre Authentifizierungs-Engine eingebaut haben, können dazu beitragen, die Anzahl der SCA-pflichtigen Zahlungen zu optimieren und die Erfolgsquote der Zwei-Faktor-Authentifizierung zu maximieren sowie gleichzeitig den Betrug zu minimieren.

Im Laufe der Jahre 2024 und 2025 werden die Europäische Kommission, das Europäische Parlament und die EU-Mitgliedstaaten die neuen Regeln endgültig festlegen. Die PSD3 muss anschließend von den EU-Mitgliedstaaten in nationales Recht umgesetzt werden. Zwar gibt es zum jetzigen Zeitpunkt keine klaren Zeitvorgaben für die Verhandlungen und die Umsetzungsphase, jedoch dürften die Regelungen nicht vor 2026 in Kraft treten.

In Gesprächen mit relevanten politischen Entscheidungsträgern vermittelt Stripe seine Erkenntnisse darüber, wie die künftigen europäischen Zahlungsregeln für Unternehmen und deren Kundinnen und Kunden am besten gestaltet werden können. Wir werden diese Seite aktualisieren, sobald weitere Informationen verfügbar sind.

Wenn Sie mehr darüber erfahren möchten, wie Stripe Sie bei der Vorbereitung auf die überarbeiteten Regeln unterstützen kann, oder wenn Sie uns Ihre Gedanken mitteilen möchten, wenden Sie sich an Ihr Stripe-Team oder senden Sie eine E-Mail an unser PSD3-Team unter psd3@stripe.com.

Antworten auf häufig gestellte Fragen zum aufsichtsrechtlichen Status von Stripe Connect in Europa finden Sie auf dieser FAQ-Seite.