Modern glass banking building facade in European city, illustrating PSD3 regulatory framework for financial services
FinTech & Financial Services 21.04.2026

PSD3 im Mittelstand: Was Finanzchefs 2026 für Banking-APIs und Embedded Finance vorbereiten müssen

8 Min. Lesezeit · Stand: 21.04.2026

Seit dem 27.11.2025 liegt die politische Einigung zu PSD3 und der neuen Payment Services Regulation (PSR) vor. Die Veröffentlichung im EU-Amtsblatt wird zum Ende des zweiten Quartals 2026 erwartet, danach laufen 18 Monate Transposition und 21 Monate Transition. Für Mittelständler heißt das: Der operative Druck kommt nicht 2026, aber die Entscheidungen, die 2028 unter Druck stehen, werden jetzt getroffen. Wer Zahlungsflüsse, Embedded-Finance-Partnerschaften oder Treasury-APIs 2026 erneuert, arbeitet entweder sauber mit PSD3-Vorgriff oder baut Integrationsschulden auf, die nach der Anwendung teuer werden.

Das Wichtigste in Kürze

  • PSD3 kommt nicht morgen, aber die Entscheidungen heute. Veröffentlichung Q2 2026, Transposition bis Q4 2027, volle Anwendung Mitte 2028. Banking-API-Projekte mit Laufzeit über 18 Monate müssen die neuen Pflichten bereits berücksichtigen.
  • IBAN-Name-Verifikation wird Liability-Pflicht. 24 Monate nach Inkrafttreten der PSR haftet der zahlungseinleitende Dienst dafür, dass der Empfängername zur IBAN passt. Für KMU-Treasury-Prozesse mit Auslandszahlungen ist das der operativ spürbarste Eingriff.
  • Harmonisierte APIs ersetzen die bisherige PSD2-Patchwork-Welt. Banken müssen Third-Party-Providern (TPP) eine Schnittstelle liefern, die in Performance und Verfügbarkeit dem eigenen Online-Banking entspricht. Das verbessert Embedded-Finance-Integrationen deutlich, sobald die Banken umgesetzt haben.
  • FiDA als Open-Finance-Parallelbaustelle. Die Financial Data Access Regulation erweitert den Zugriff über Zahlungsdaten hinaus auf Kredit-, Versicherungs- und Investment-Daten. Für Mittelständler mit integrierten Finanz-Prozessen öffnet das neue Automatisierungen, wenn sie Datenschutz und Compliance-Governance rechtzeitig klären.

VerwandtGenerative KI im Kundenservice: Vom Piloten in den Regelbetrieb  /  Predictive Analytics im ERP: Kundenbindung messbar machen

Was ist PSD3 und was ändert sich zu PSD2

Was ist PSD3? PSD3 ist die dritte Payment Services Directive der EU. Sie löst zusammen mit der neuen Payment Services Regulation (PSR) die bisherige PSD2 ab. PSD3 als Richtlinie regelt Lizenz- und Beaufsichtigungsrahmen für Zahlungsinstitute. PSR als direkt anwendbare Verordnung regelt Nutzerrechte, Sicherheitsstandards und die konkreten Pflichten zwischen Banken, Drittanbietern und Kunden. Die politische Einigung zwischen EU-Parlament und Rat fiel am 27.11.2025, die Veröffentlichung im Amtsblatt wird im Q2 2026 erwartet. Inkrafttreten dann rund 20 Tage nach Veröffentlichung, Anwendung für die meisten Vorschriften 18 Monate danach.

Die inhaltliche Verschiebung gegenüber PSD2 ist in drei Punkten besonders relevant. Erstens wechselt die zentrale Nutzer-Rechte-Materie aus der Richtlinie in die direkt anwendbare Verordnung. Das erzwingt Harmonisierung, weil Mitgliedstaaten keine eigenen Gold-Plating-Spielräume mehr haben. Zweitens müssen Banken ihre TPP-APIs so bauen, dass sie denselben Leistungs- und Verfügbarkeits-Standard haben wie das Bank-eigene Online-Banking. Der bisherige Zustand, in dem TPP-APIs langsamer, instabiler oder weniger funktional waren als die Endkunden-Oberfläche, wird untersagt. Drittens wird die IBAN-Empfängernamen-Verifikation zur gesetzlichen Pflicht mit Haftungswechsel, 24 Monate nach Inkrafttreten.

Für Finanzchefs im Mittelstand heißt das nicht, dass PSD3 im Tagesgeschäft 2026 akut wird. Es heißt, dass Projekte mit längerer Laufzeit (Treasury-System-Migration, neue Embedded-Finance-Integrationen, Austausch von Zahlungsverkehrs-Plattformen) jetzt bereits mit der 2028er-Anforderung gedacht werden müssen. Eine Treasury-Migration, die 2026 startet und im Q3 2027 live gehen soll, erlebt ihr erstes komplettes Jahr Produktivbetrieb unter PSD3/PSR. Wer die Verifikations- und API-Pflichten erst im Nachgang integriert, zahlt doppelt.

Drei Einfallstore, an denen Mittelstand jetzt entscheidet

Die erste Baustelle ist der Treasury- und Zahlungsverkehrs-Stack. Viele Mittelständler haben in den letzten drei bis fünf Jahren auf ein Treasury-Management-System (TMS) mit SWIFT-Anbindung, SEPA-Automatisierung und teilweise Open-Banking-Integration umgestellt. Die IBAN-Empfängernamen-Prüfung ändert dort den Standardprozess. Wer heute eine Zahlung auslöst, verlässt sich darauf, dass die eingegebene IBAN an die richtige Person geht. Unter PSR haftet der initiierende Dienstleister dafür, dass IBAN und Name zusammenpassen. Technisch ist die Prüfung kein Hexenwerk, aber sie muss in die TMS-Prozesse eingebaut und zum Teil in ERP-Schnittstellen weitergereicht werden.

7.000 Mrd. USD
Schätzung von Bain für das Embedded-Finance-Transaktionsvolumen in den USA allein im Jahr 2026. Europa folgt mit etwa 18 Monaten Verzögerung, getrieben von PSD3/PSR-Harmonisierung und FiDA.
Quelle: Bain & Company 2026, FinTechtris Embedded Finance Playbook 2026

Die zweite Baustelle ist Embedded Finance. Immer mehr Mittelständler integrieren Finanz-Produkte direkt in ihre eigenen Plattformen: Automatisierte Kredit-Entscheidungen im B2B-Shop, Factoring in der Warenwirtschaft, Split-Payments in Buchungsstrecken. Unter PSD3/PSR werden die Anforderungen an die Lizenzträger dieser eingebetteten Produkte klarer. Der Mittelständler als Nutzer einer Embedded-Finance-Partnerschaft muss sich davon überzeugen, dass der Partner unter PSR-Anforderungen aufgestellt ist. Das bedeutet praktisch: ein zusätzlicher Prüfpunkt im Vendor-Assessment, ein Gespräch über API-Verfügbarkeitsgarantien und gegebenenfalls eine Vertrags-Nachverhandlung vor Ende 2027.

Die dritte Baustelle ist Open Finance über FiDA. Die Financial Data Access Regulation läuft als separate EU-Regulierung parallel zu PSD3/PSR und ist noch nicht final verabschiedet. Sie erweitert den Datenzugriff über reine Zahlungsdaten hinaus auf Kredit-, Versicherungs- und Investment-Daten. Für Mittelständler, die ihre Finanzplanung zunehmend automatisieren, öffnet FiDA neue Möglichkeiten: ein Finanz-Cockpit, das neben dem Bankkonto auch Kreditlinien, Versicherungspolicen und Anlage-Depots aggregiert, wird technisch realistischer. Die Governance-Frage bleibt allerdings, wer innerhalb des Unternehmens die Zustimmungen verwaltet und welche Daten tatsächlich geteilt werden dürfen.

Zwischen diesen drei Einfallstoren gibt es eine gemeinsame Grundfrage, die der Mittelstand selten explizit stellt: Wer innerhalb des Unternehmens ist eigentlich zuständig für die neue Finanz-Schnittstelle? In der Vergangenheit war der Zahlungsverkehr klar beim Treasury, Kredit- und Factoring-Themen beim CFO und Embedded-Finance-Pilots oft in der Produktentwicklung. Unter PSD3/PSR wächst das zu einer gemeinsamen Verantwortungszone zusammen, weil dieselben APIs, dieselben Verifikations-Standards und dieselben Governance-Vorgaben an allen Berührungspunkten gelten. Wer die Zuständigkeits-Frage nicht in den kommenden Monaten klärt, landet in drei Jahren in einer Situation, in der drei Abteilungen sich gegenseitig zuschieben, wer das PSR-Audit eigentlich vorbereitet.

Checkliste bis Herbst 2026 für Finanzchefs

Die folgende Abfolge ist kein Framework, sondern eine Sequenz von konkreten Prüfungen, die Finanzverantwortliche im zweiten und dritten Quartal 2026 durchziehen sollten. Sie ersetzt weder externe Rechtsberatung noch ein IT-Assessment, aber sie strukturiert die Gespräche mit Bank, TMS-Anbieter und Embedded-Finance-Partnern. Der Zeitrahmen ist bewusst gewählt: Wer im Herbst 2026 eine klare Bestandsaufnahme auf dem Tisch hat, kann 2027 in die operative Vorbereitung gehen und 2028 die Umsetzungen absichern.

„Die häufigste Regulierungs-Transformation, die ich in den letzten Jahren gesehen habe, scheitert nicht am Recht, sondern an der Übersetzung in die Systeme. PSD3 wird bei den Mittelständlern Erfolg haben, die schon jetzt ihre Zahlungs- und Datenprozesse so dokumentieren, dass sie überhaupt veränderbar sind.“ Eva Mickler, Senior PM Evernine

Treasury- und Banking-Seite (Q2 2026)

  1. Bestandsaufnahme: Welche Banken, TMS-Anbieter, Payment-Gateways und PSD2-APIs werden heute genutzt?
  2. Kontakt zur Hausbank: Wie wird die IBAN-Namen-Verifikation im Online-Banking und in der API bis Mitte 2028 eingebaut?
  3. Gespräch mit dem TMS-Anbieter: Wann liegt eine PSD3-/PSR-konforme Release-Planung auf dem Tisch?
  4. Interne Prozess-Dokumentation aktualisieren: Wer bestätigt Empfängernamen heute, wer wird es unter PSR tun?

Embedded-Finance- und Partner-Seite (Q3 2026)

  1. Vendor-Mapping: Welche Embedded-Finance-Dienste (Factoring, Zahlungsdienstleister, Kredit-Entscheider) sind produktiv im Einsatz?
  2. Partner-Gespräch: Welche PSD3-/PSR-Vorbereitung ist dokumentiert, welche Haftungsregelungen werden sich ändern?
  3. Vertragslage prüfen: Stehen Nachverhandlungen vor 2028 an, die man proaktiv schon jetzt ansetzen kann?
  4. IT-Integration sichten: Welche APIs sind heute an PSD2-Logik gebaut, welche müssen angepasst werden?

Was bewusst nicht in diese Sequenz gehört, ist ein internes PSD3-Projekt mit eigenem Projektteam. Die meisten Mittelständler haben keine Ressourcen für ein regulatorisches Projekt, das im operativen Sinne erst 2028 wirkt. Realistischer ist, die PSD3-Themen als Akzent in laufenden Projekten mitlaufen zu lassen: die Treasury-Migration, die ohnehin ansteht, um die IBAN-Namen-Prüfung ergänzen. Die Embedded-Finance-Ausschreibung, die sowieso aufgesetzt wird, um PSD3-Readiness als Kriterium erweitern. Das spart Ressourcen und lässt die Anforderungen dort landen, wo sie ohnehin umgesetzt werden.

Der kritische Punkt ist das Timing der Kommunikation mit der Hausbank. Banken sind in den kommenden Monaten in der Planung ihrer eigenen PSD3-Roadmap. Die Fragen der Firmenkunden fließen in die Priorisierung ein. Wer jetzt nicht fragt, bekommt im Herbst die Antwort, die ein anderer Kunde im Frühjahr eingespeist hat. Für Finanzchefs, die mehrere Banken nutzen, lohnt sich eine standardisierte Frage-Liste, die an alle geschickt wird. Die Bank, die sauber antwortet, hat ihre Hausaufgaben gemacht.

Ein zweites Argument für frühzeitige Kommunikation liegt beim Budget. PSD3-bezogene Anpassungen am TMS, an der ERP-Schnittstelle oder an der Embedded-Finance-Integration sind keine klassischen Compliance-Posten, sondern laufen meist als Erweiterung bestehender IT-Projekte. In Budget-Runden 2026 entscheiden Finanzchefs, ob diese Erweiterungen als eigenständige Zeile im Plan auftauchen oder in den normalen IT-Budgets mitschwimmen. Die zweite Variante ist operativ leichter, braucht aber eine frühe Abstimmung mit dem CIO, weil die Projektteams sonst mit gleichen Budget-Ansätzen die neuen Anforderungen nicht abdecken können.

Die letzte Überlegung betrifft den Blick auf externe Dienstleister. Mittelständler, die ihren Zahlungsverkehr und Teile der Treasury-Funktion an spezialisierte Dienstleister ausgelagert haben, tragen das Umsetzungsrisiko nicht selbst, aber sie tragen das Vertragsrisiko. Der PSR-Regimewechsel wird in den Standard-Verträgen vieler Dienstleister ab 2027 über Preisanpassungen und Service-Level-Updates abgebildet. Wer diese Vertragsveränderungen nicht verhandeln will, sondern sie nur unterschreiben, verschenkt einen Hebel, den man in einem reifen Dienstleister-Verhältnis nutzen sollte. Eine strukturierte Vertrags-Review im Herbst 2026, vor der Hauptverhandlungs-Saison der Dienstleister, ist die kostenlose Variante der Vorbereitung.

Eine häufig unterschätzte Dimension ist die interne Akzeptanz. Das Buchhaltungs-Team, das heute eine Zahlung prüft und freigibt, arbeitet mit einem stabilen Prozess, den es seit Jahren kennt. Mit der IBAN-Namen-Verifikation unter PSR ändert sich die Erwartung an die Freigabe: Wenn ein System eine Warnung ausgibt, dass Name und IBAN nicht übereinstimmen, braucht es klare Regeln, wer entscheidet und nach welchem Kriterium. Das ist keine Technik-Frage, das ist eine Prozess- und Rollen-Frage. Finanzchefs, die ihr Team auf die kommenden Änderungen vorbereiten, sparen sich ab 2028 eine Menge Reibung, weil sie in den ersten Wochen der Anwendung nicht Freigaben blockieren und in Eskalationen landen.

Häufige Fragen

Wann wird PSD3 konkret anwendbar?

Nach aktueller Planung wird die PSR 18 Monate nach Inkrafttreten anwendbar, also voraussichtlich Anfang 2028. PSD3 als Richtlinie muss bis dahin in nationales Recht umgesetzt sein. Die IBAN-Namen-Verifikation tritt erst 24 Monate nach Inkrafttreten in Kraft, also typischerweise Mitte 2028. Für Mittelständler heißt das: operative Wirkung ab 2028, Vorbereitung in den Projekten ab sofort.

Was unterscheidet PSD3 von der PSR?

PSD3 ist eine Richtlinie, die in nationales Recht umgesetzt werden muss und vor allem Lizenz- und Aufsichtsrecht für Zahlungsdienstleister regelt. Die PSR ist eine direkt anwendbare Verordnung und regelt Nutzerrechte, Sicherheitsanforderungen und operative Pflichten. Für Firmenkunden ist die PSR relevanter, weil sie die konkreten Anforderungen an APIs, Authentifizierung und Verifikation enthält.

Muss ich als Mittelständler ein eigenes PSD3-Projekt aufsetzen?

In den meisten Fällen nein. Die operative Umsetzung liegt bei Banken und Zahlungsdienstleistern. Für Firmenkunden reicht es, laufende Treasury- und Embedded-Finance-Projekte um PSD3-Anforderungen zu erweitern. Ein eigenes PSD3-Projektteam lohnt sich nur bei stark finanzdienstleistungsnahen Geschäftsmodellen, etwa bei Fintechs, Factoring-Dienstleistern oder Embedded-Finance-Anbietern.

Was ist FiDA und wie hängt sie mit PSD3 zusammen?

FiDA (Financial Data Access Regulation) ist eine eigenständige EU-Verordnung, die den Datenzugriff über Zahlungsdaten hinaus auf Kredit-, Versicherungs- und Investment-Daten erweitert. Sie läuft parallel zu PSD3/PSR mit eigener Zeitlinie. Für Mittelständler, die Finanz-Cockpits oder automatisierte Analysen planen, wird FiDA im Verlauf von 2027 bis 2029 zum Thema. Die Vorbereitung in 2026 ist Governance-Arbeit, keine technische.

Wie wirkt sich PSD3 auf grenzüberschreitende Zahlungen aus?

Für SEPA-Zahlungen ändert sich vor allem die Verifikationslogik: Empfängername und IBAN müssen geprüft werden, die Haftung bei Fehlüberweisungen verschiebt sich. Für Zahlungen außerhalb SEPA ändert PSD3 weniger, weil dort ohnehin andere Verfahren gelten. Mittelständler mit hohem Auslandszahlungs-Anteil sollten mit ihrer Hausbank klären, wie die Verifikation im Korrespondenzbanken-Netzwerk umgesetzt wird.

Mehr aus dem MBF Media Netzwerk

Quelle Titelbild: Pexels / anurag upadhyay (px:10958528)

Auch verfügbar in

Ein Magazin der evernine media GmbH