Open Banking: PSD3 bringt Neustart für Finanzdienste
7 Min. Lesezeit
Open Banking sollte den Finanzmarkt revolutionieren. Die Realität in Deutschland: Nur 8,7 Prozent aller Zahlungskonten werden von Drittanbietern über APIs angesprochen. Die PSD2, die 2018 den Startschuss geben sollte, hat ihr Versprechen nicht eingelöst. Jetzt kommt PSD3 – und mit ihr ein grundlegend überarbeiteter Rechtsrahmen, der die Fehler der Vorgängerin korrigiert. Die EU hat das Gesetzespaket unter dänischer Ratspräsidentschaft durchgebracht. Die Veröffentlichung wird in der ersten Hälfte 2026 erwartet. Was diesmal anders wird und warum es trotzdem bis 2028 dauert.
Das Wichtigste in Kürze
- Nur 8,7 Prozent Durchdringung: In Deutschland greift nur ein Bruchteil der autorisierten Drittanbieter tatsächlich auf Bankkonten zu. Open Banking ist in der Praxis gescheitert – PSD2 hat die Erwartungen nicht erfüllt.
- PSD3 kommt H1 2026: Die Veröffentlichung wird in der ersten Jahreshälfte 2026 erwartet. 18 Monate nationale Umsetzungsfrist bedeuten: Anwendbarkeit voraussichtlich Q2/Q3 2028.
- PSR gilt sofort: Die Payment Services Regulation (PSR) als begleitende Verordnung wird 20 Tage nach Veröffentlichung direkt anwendbar – ohne nationale Umsetzung.
- API-Parität als Pflicht: Banken müssen ihre APIs genauso stabil und funktional halten wie ihre eigenen digitalen Kanäle – keine absichtlich degradierten Schnittstellen mehr.
- Open Finance über FiDA: Parallel zu PSD3 arbeitet die EU an der Financial Data Access Regulation, die Open Banking auf Versicherungen, Pensionen und Investments ausweitet.
Warum PSD2 gescheitert ist
Die Payment Services Directive 2 trat 2018 in Kraft und sollte den Finanzmarkt für Drittanbieter öffnen. Banken wurden verpflichtet, APIs bereitzustellen, über die autorisierte Drittanbieter auf Kontodaten zugreifen und Zahlungen auslösen können. Die Idee: mehr Wettbewerb, mehr Innovation, bessere Produkte für Verbraucher.
In der Praxis lief es anders. Viele Banken implementierten APIs, die technisch funktionieren, aber praktisch unbrauchbar sind – langsam, instabil, mit unvollständigen Daten. Die Regulierung schrieb vor, dass APIs bereitgestellt werden müssen, aber nicht wie gut sie funktionieren müssen. Das Ergebnis: In Deutschland nutzen nur 8,7 Prozent aller Zahlungskonten den Open-Banking-Zugang. In anderen EU-Ländern sieht es ähnlich aus.
Die Gründe sind strukturell. Banken hatten wenig Anreiz, gute APIs zu bauen – jeder erfolgreiche Drittanbieter ist ein potenzieller Wettbewerber. Die starke Kundenauthentifizierung (SCA) wurde so umgesetzt, dass sie für Nutzer maximal umständlich war. Und die fehlende Standardisierung führte dazu, dass jede Bank andere API-Spezifikationen nutzte.
Was PSD3 anders macht
PSD3 adressiert die Schwächen der Vorgängerin systematisch. Die wichtigste Änderung: API-Parität. Banken müssen ihre APIs genauso stabil, funktional und performant halten wie ihre eigenen Online-Banking-Kanäle. Verpflichtende Quartalsberichte über API-Verfügbarkeit und Latenz machen die Qualität messbar und vergleichbar.
Weitere Neuerungen:
● Erweiterte Datenzugangsrechte: Drittanbieter bekommen Zugriff auf mehr Kontoinformationen – nicht nur Transaktionen und Salden, sondern auch Produktdaten wie Zinssätze, Gebühren und Vertragsbedingungen.
● Dashboard-Pflicht: Kunden müssen über ein zentrales Dashboard sehen können, welche Drittanbieter auf ihre Daten zugreifen – mit der Möglichkeit, Zugangsrechte jederzeit zu widerrufen.
● Haftungsklarheit: PSD3 definiert klar, wer bei Betrug haftet – ein Dauerproblem unter PSD2, bei dem sich Banken und Drittanbieter gegenseitig die Verantwortung zugeschoben haben.
● Verbesserte SCA: Die starke Kundenauthentifizierung wird nutzerfreundlicher gestaltet – weniger Reibung bei autorisierten Zugriffen, ohne das Sicherheitsniveau zu senken.
„PSD2 hat die Tür einen Spalt geöffnet. PSD3 reißt sie auf. Die API-Paritäts-Pflicht ist der entscheidende Unterschied – Banken können Drittanbietern nicht mehr technisch die Tür vor der Nase zuschlagen.“
Norton Rose Fulbright, PSD3 Policy Analysis, 2025
PSR: Die Verordnung die sofort greift
Parallel zu PSD3 (einer Richtlinie, die national umgesetzt werden muss) kommt die Payment Services Regulation (PSR) – eine Verordnung, die 20 Tage nach Veröffentlichung direkt in allen EU-Mitgliedstaaten gilt. Die PSR enthält die technischen und operativen Anforderungen: API-Standards, Authentifizierungsregeln, Berichtspflichten.
Für Unternehmen bedeutet das: Die PSR-Anforderungen kommen schneller als erwartet. Wer Payment-Dienste anbietet oder nutzt, sollte die technischen Spezifikationen frühzeitig analysieren und Implementierungsprojekte starten, bevor die Frist abläuft.
Von Open Banking zu Open Finance
PSD3 ist nur ein Teil des Puzzles. Die EU arbeitet parallel an der Financial Data Access Regulation (FiDA), die das Open-Banking-Prinzip auf den gesamten Finanzsektor ausweitet: Versicherungen, Pensionsfonds, Wertpapierdepots, Kreditverträge. Kunden sollen über alle ihre Finanzprodukte die gleiche Datensouveränität bekommen wie bei Bankkonten.
Für FinTechs und WealthTech-Anbieter ist das der eigentliche Durchbruch. Eine App, die alle Bankkonten, Depots, Versicherungspolicen und Pensionsansprüche eines Kunden aggregiert – strukturiert, in Echtzeit, über standardisierte APIs. Das ist das Versprechen von Open Finance. Ob es besser eingelöst wird als das von Open Banking, hängt davon ab, ob die EU aus den Fehlern von PSD2 gelernt hat.
Was Unternehmen jetzt tun sollten
Auch wenn PSD3 erst 2028 voll anwendbar wird, ist jetzt der richtige Zeitpunkt für Vorbereitung. Banken sollten ihre API-Infrastruktur auf Parität mit den eigenen digitalen Kanälen prüfen. FinTechs sollten die erweiterten Datenzugangsrechte in ihre Produktplanung einbeziehen. Und Unternehmen, die Payment-Dienste nutzen, sollten die PSR-Anforderungen frühzeitig verstehen.
Die Unternehmen, die am meisten profitieren werden, sind die, die jetzt in API-fähige Infrastruktur investieren und Open Banking nicht als Compliance-Pflicht verstehen, sondern als Geschäftsmodell.
Häufige Fragen
Was ist der Unterschied zwischen PSD3 und PSR?
PSD3 ist eine EU-Richtlinie, die in nationales Recht umgesetzt werden muss (18 Monate Frist). PSR ist eine EU-Verordnung, die direkt gilt – 20 Tage nach Veröffentlichung, ohne nationale Umsetzung. PSR enthält die technischen Details, PSD3 den übergeordneten Rechtsrahmen.
Wann tritt PSD3 in Kraft?
Die Veröffentlichung wird in der ersten Hälfte 2026 erwartet. Nach 18 Monaten nationaler Umsetzungsfrist wird PSD3 voraussichtlich ab Q2/Q3 2028 anwendbar sein. Die PSR greift deutlich früher – direkt nach Veröffentlichung.
Warum ist Open Banking in Deutschland bisher gescheitert?
Drei Hauptgründe: Banken hatten wenig Anreiz für gute APIs (Drittanbieter als Wettbewerber), die starke Kundenauthentifizierung war zu umständlich, und fehlende Standardisierung führte zu fragmentierten API-Landschaften. PSD3 adressiert alle drei Probleme.
Was bedeutet API-Parität?
Banken müssen ihre APIs für Drittanbieter genauso stabil, schnell und funktional halten wie ihre eigenen Online-Banking- und App-Kanäle. Quartalsberichte über Verfügbarkeit und Latenz machen die Einhaltung messbar.
Was ist Open Finance und wie unterscheidet es sich von Open Banking?
Open Banking beschränkt sich auf Bankkonten und Zahlungsdienste. Open Finance (reguliert durch FiDA) weitet das Prinzip auf den gesamten Finanzsektor aus: Versicherungen, Pensionen, Investments, Kredite. Das Ziel ist eine vollständige Datensouveränität über alle Finanzprodukte.
Weiterführende Lektüre
- Was traditionelle Banken von Neobanken lernen können
- Digitaler Staat: Deutschlands Verwaltung im 21. Jahrhundert
- Cybersec Europe 2026: Brüssels Security-Konferenz (SecurityToday)
- FinOps: Cloud-Kosten in den Griff bekommen (cloudmagazin)
Quelle Titelbild: Pexels / Monstera Production
