Was bedeutet PSD2-Compliance? Die wichtigsten Anforderungen für Unternehmen im Jahr 2025

Wenn Sie ein niederländisches Unternehmen betreiben, das Online-Zahlungen entgegennimmt – also Abos abwickelt, Produkte verkauft oder Dienstleistungen in Rechnung stellt – dann fallen Sie unter die PSD2-Vorschriften.

PSD2 bestimmt, wie elektronische Zahlungen in ganz Europa funktionieren – von der Zwei-Faktor-Authentifizierung, die Ihre Kunden an der Kasse vorfinden, bis zum Umgang der Zahlungsanbieter mit Transaktionsdaten. Doch viele Unternehmen tun sich mit den Details schwer.

Für welche Transaktionen ist eine Zwei-Faktor-Authentifizierung erforderlich? Wann können Sie zusätzliche Sicherheitsschritte auslassen? Wie bringen Sie gesetzliche Anforderungen und den Währungsumtausch unter einen Hut?

In diesem Guide erfahren Sie, was die PSD2-Compliance für Ihren Betrieb bedeutet, welche Anforderungen gelten und wie Sie diese umsetzen können, ohne das Kundenerlebnis zu beeinträchtigen.

Was ist PSD2 und warum ist es wichtig?

PSD2 steht für die überarbeitete Richtlinie über Zahlungsdienste – die europäische Gesetzgebung, die regelt, wie elektronische Zahlungen in der EU funktionieren. Sie wurde 2019 umgesetzt, um die ursprüngliche Richtlinie von 2007 zu aktualisieren und moderne Zahlungstechnologien und Sicherheitsbedrohungen zu berücksichtigen.

Die Richtlinie konzentriert sich auf vier Schlüsselbereiche:

• Stärkere Sicherheit

• Open Banking

• Verbesserter Schutz der Konsumenten

• Wettbewerb auf dem Markt

Für niederländische Unternehmen ist die Einhaltung der Vorschriften obligatorisch und hat praktische Auswirkungen.

PSD2 gegenüber PSD1: Was hat sich geändert?

Mit der PSD1 wurde eine zersplitterte europäische Zahlungsverkehrslandschaft durch die Schaffung eines einheitlichen Zahlungsverkehrsmarktes in der EU und die Einführung eines grundlegenden Verbraucherschutzes in Angriff genommen. Sie wurde jedoch für eine Welt konzipiert, in der Schecks noch üblich waren, mobile Zahlungen praktisch nicht existierten und die meisten Transaktionen mit Bargeld oder Karten in physischen Geschäften erfolgten.

Im Jahr 2015 hat sich die Welt des Zahlungsverkehrs dramatisch verändert. Die Verbreitung von Smartphones hat völlig neue Ökosysteme für den Zahlungsverkehr geschaffen, Fintechs haben die traditionellen Banken herausgefordert, und der Online-Betrug hat sich über den einfachen Kartendiebstahl hinaus zu ausgeklügelten Social-Engineering-Angriffen entwickelt. Der Rahmen der PSD1 war für diese neue Landschaft unzureichend, was 2018/19 zu einer umfassenden Aktualisierung führte.

Mit der PSD2 wurden drei wichtige Änderungen eingeführt, die sich direkt auf die Art und Weise auswirken, wie Unternehmen Zahlungen abwickeln:

Pflicht zur Zwei-Faktor-Authentifizierung

Die Zwei-Faktor-Authentifizierung ist für Online-Kartenzahlungen über 30 Euro verbindlich geworden. Anstatt nur die Kartendaten und ein Passwort einzugeben, müssen Kunden nun zwei unabhängige Formen der Verifizierung vornehmen.

Zugang zu Zahlungen durch Dritte

Banken müssen sichere APIs bereitstellen, die es lizenzierten Kontoinformationsdienstanbietern (AISP) und Zahlungsinitiierungsdienstanbietern (PISP) ermöglichen, auf Kundendaten zuzugreifen und Zahlungen zu verarbeiten. Neue Dienste können Kontoinformationen zusammenfassen oder Banküberweisungen direkt einleiten und dabei die traditionellen Kartennetze umgehen.

Verbesserter Schutz der Konsumenten

Zahlungsanbieter tragen nun eine größere Verantwortung für die Sicherheit. Kunden sollten innerhalb von 24 Stunden Rückerstattungen für nicht autorisierte Transaktionen erhalten, die Haftung für verlorene Karten ist auf 50 Euro begrenzt und Aufschläge auf gängige Zahlungsmethoden sind verboten.

Wer muss die PSD2 einhalten?

Ob Sie ein lokales Café in Amsterdam betreiben, das kontaktlose Zahlungen annimmt, ein SaaS-Unternehmen mit Sitz in Utrecht führen, das monatliche Abos berechnet, oder ein Einzelhändler in Rotterdam sind, der Online-Bestellungen abwickelt – PSD2 gilt für Ihr Unternehmen und Sie müssen sicherstellen, dass Ihr Zahlungsanbieter PSD2-konform arbeitet.

Hier finden Sie eine Aufschlüsselung nach Unternehmensart:

• E-Commerce- und Online-Händler müssen sicherstellen, dass ihre Kaufabwicklung eine starke Kundenauthentifizierung für Transaktionen über 30 € bietet. Das bedeutet, dass sie wissen müssen, wann Kunden mit zusätzlichen Verifizierungsschritten konfrontiert werden, und den Zahlungsfluss entsprechend optimieren müssen.

• Abonnement- und SaaS-Unternehmen stehen bei wiederkehrenden Zahlungen vor besonderen Herausforderungen, weshalb die Authentifizierungsanforderungen ein Gleichgewicht zwischen Sicherheit und Benutzerfreundlichkeit herstellen müssen. Fehlgeschlagene Authentifizierungen können zu ungewollter Abwanderung führen, wenn Kunden Zahlungen nicht abschließen können.

• Zahlungsdienstleister, darunter Banken, Zahlungsabwickler und Fintech-Unternehmen, müssen die technische Infrastruktur implementieren, die die Einhaltung der Vorschriften ermöglicht.

• Physische Einzelhändler, die Kartenzahlungen über Terminals oder kontaktlose Systeme akzeptieren, benötigen ebenfalls eine PSD2-konforme Zahlungsabwicklung. Transaktionslimits und Authentifizierungsanforderungen können sich auch auf die Erfahrungen in den Geschäften auswirken.

PSD2 gilt für alle elektronischen Zahlungen, bei denen sowohl die Bank des Kunden als auch der Zahlungsanbieter des Händlers ihren Sitz im Europäischen Wirtschaftsraum haben.

Die wichtigsten PSD2-Anforderungen für Unternehmen

Die Richtlinie schafft einen umfassenden Rahmen für die Einhaltung der Vorschriften, der alle Bereiche von der Kommunikation mit den Kunden bis zu den Sicherheitsbestimmungen umfasst.

• Zustimmung der Kunden und Kommunikationsstandards: Sie müssen die ausdrückliche Zustimmung einholen, wenn Sie Dienste Dritter nutzen, die auf Kundendaten zugreifen. Das bedeutet, dass Sie klar und deutlich erklären müssen, auf welche Daten Sie zugreifen, warum Sie sie benötigen und wie sie verwendet werden.

• Open Banking und sichere Kommunikation: Die PSD2 verpflichtet Banken dazu, sichere APIs für lizenzierte Drittanbieter bereitzustellen. Das Verständnis von Open Banking kann Ihnen dabei helfen, Zahlungslösungen zu bewerten, die Konto-zu-Konto-Überweisungen oder Aggregationsdienste nutzen.

• Anforderungen an die starke Kundenauthentifizierung (SCA): Ihre Zahlungsmethode muss die Zwei-Faktor-Authentifizierung für Transaktionen über 30 € und den Kontozugriff unterstützen. Im nächsten Abschnitt werden wir die spezifischen Anforderungen und Ausnahmen im Detail erläutern.

• Pflichten von Zahlungsanbietern: Wenn Sie als zugelassener Zahlungsanbieter tätig sind, haben Sie unmittelbare Verpflichtungen, einschließlich der unverzüglichen Meldung größerer Betriebs- oder Sicherheitsvorfälle an Ihre Zentralbank und die Aufsichtsbehörde (d.h. De Nederlandsche Bank).

Bei der Wahl einer Zahlungsinfrastruktur, die diese Compliance-Anforderungen automatisch erfüllt, vergleicht unser Guide die Anbieter von den besten Zahlungslösungen für niederländische Unternehmen.

Was ist starke Kundenauthentifizierung (SCA)?

Die starke Kundenauthentifizierung (Strong Customer Authentication, SCA) ist die Antwort von PSD2 auf den zunehmenden Betrug im Zahlungsverkehr. Anstatt sich auf leicht zu kompromittierende Passwörter zu verlassen, verlangt SCA von den Kunden, dass sie ihre Identität mit zwei unabhängigen Methoden nachweisen, wenn sie online auf Zahlungskonten zugreifen oder Transaktionen über 30 € durchführen.

Das ist so, als würde man von einem einfachen Türschloss zu einem Sicherheitssystem mit mehreren Kontrollpunkten aufrüsten. Sie können Ihren Fingerabdruck und einen an Ihr Telefon gesendeten Code verwenden oder Ihre PIN in Ihrer Mobile Banking-App eingeben.

Unternehmen können jedoch in folgenden Fällen auf die SCA verzichten:

• Transaktionen unter 30 €

• Zahlungen an vertrauenswürdige Händler auf der Whitelist

• Wiederkehrende Abos nach der Ersteinrichtung

• Transaktionen mit geringem Risiko, die von der Betrugsanalyse erkannt werden

Eine gut konzipierte SCA fühlt sich so nahtlos an wie die Touch ID von Apple Pay. Eine unzureichende Implementierung kann zu Reibungsverlusten beim Bezahlvorgang führen, die die Konversionsrate beeinträchtigen. Der Schlüssel liegt in der Auswahl eines Zahlungsanbieters, der die Authentifizierungsabläufe optimiert und Ausnahmen strategisch anwendet.

Wie sich PSD2 auf niederländische Unternehmen auswirkt

Wenn Sie ein niederländisches Unternehmen betreiben, sind Sie vielleicht in einem der PSD2-freundlichsten Umgebungen Europas tätig.

iDEAL, die in den Niederlanden vorherrschende Zahlungsmethode, war vom ersten Tag an PSD2-konform, im Gegensatz zu Kreditkarten-Systemen, die umfangreiche Nachrüstungen erforderten. Dies verschafft niederländischen Unternehmen einen erheblichen Vorteil bei der Einhaltung der Vorschriften.

Der niederländische Zahlungsverkehrsverband koordinierte eine „kontrollierte Einführung“ von SCA, bei der De Nederlandsche Bank, Aussteller, Acquirer und Unternehmensvertreter zusammenkamen, um unbeabsichtigte Folgen zu minimieren.

Häufige Herausforderungen für niederländische Unternehmen bei der Einhaltung von Vorschriften

• Ablehnungsquoten bei Zahlungen: Einige Händler berichteten, dass sich die Ablehnungsquoten bei bestimmten Banken aufgrund von Problemen bei der SCA-Implementierung in Richtung 30 bis 40 % bewegen.

• Versteckte Implementierungskosten: Unternehmen sehen sich oft mit unerwarteten Kosten konfrontiert, wie z. B. höheren Gebühren für 3D Secure-Transaktionen oder erhöhten Anforderungen an den Kundenservice.

• Komplikationen bei SaaS-Abos: Wenn sich der Umfang des Abos ändert, muss SCA in der Regel erneut angewendet werden, und eine fehlgeschlagene Authentifizierung kann zu einer ungewollten Kundenabwanderung führen.

• Technische Integrationsanforderungen: Unternehmen mit benutzerdefinierten Abrechnungslösungen benötigen möglicherweise erhebliche Entwicklerressourcen, um SCA-Authentifizierungsabläufe zu ermöglichen.

Tools und Plattformen, die bei der Einhaltung von PSD2 helfen

Die Verwaltung von PSD2-Compliance muss nicht bedeuten, dass man alles von Grund auf neu aufbauen muss. Die meisten niederländischen Unternehmen arbeiten mit Zahlungsanbietern und Plattformen für die Einhaltung der Vorschriften zusammen, die die technische Komplexität bewältigen.

Zahlungs-Gateways

• Mollie: bietet native EU-Compliance mit transparenter SCA-Abwicklung und starker lokaler Unterstützung.

• Stripe: bietet SCA-Verarbeitung über 3D Secure 2 und wird aufgrund seiner entwicklerfreundlichen Integration weithin angenommen.

• Adyen: bietet eine SCA-Implementierung auf Unternehmensebene über seine Authentication Engine.

• Airwallex: bietet automatische SCA-Optimierung und intelligentes Ausnahmemanagement.

API-Management-Plattformen

• Axway AMPLIFY: eine Plattform zur Verwaltung von APIs für die Einhaltung von PSD2 und Open Banking.

• Yenlo: ein niederländisches Unternehmen, das Plattformen für API-Management und Open Banking-Lösungen anbietet.

• Yapily: bietet eine Open Banking API-Infrastruktur mit Abdeckung in 19 Ländern.

Tools zur Identitätsverifizierung und Betrugsprävention

• Jumio: bietet eine Reihe von Tools zur Identitätsverifizierung.

• Onfido: bietet eine Identitätsverifizierung, die Dokumenten- und biometrische Prüfungen kombiniert.

• Sift: verwendet maschinelles Lernen zur Erkennung von Betrug und kann Ausnahmen für Transaktionen mit geringem Risiko unterstützen.

Wie Airwallex niederländische Unternehmen bei der Einhaltung der PSD2 unterstützt

Airwallex verarbeitet 3D Secure 2.0 mit automatischer Optimierung der Ausnahmeregelungen für alle Zahlungsarten. Wenn ein Kunde aus Rotterdam über iDEAL bezahlt, verarbeiten wir die Zahlung über lokale niederländische Kanäle. Wenn ein internationaler Kunde eine Karte verwendet, wendet die dynamische Risikobewertung geeignete SCA-Ausnahmeregelungen auf der Grundlage des Transaktionsrisikos und der Kundenhistorie an – genau die Art von intelligentem Compliance-Management, die verhindert, dass legitime Kunden unnötige Authentifizierungshürden überwinden müssen.

Airwallex löst nicht nur Ihre PSD2-Probleme, sondern bietet Ihnen auch die Infrastruktur, um international zu skalieren. Sie können Gelder in mehr als 23 Währungen annehmen und halten, mehr als 160 lokale Zahlungsmethoden in mehr als 180 Ländern akzeptieren und das globale Schatzamt von einem Dashboard aus verwalten.

Schlussfolgerung

PSD2-Compliance muss kein Wachstumshemmnis sein. Wenn Sie die Anforderungen verstehen, von der Umsetzung der SCA bis zur Kommunikation mit den Verbrauchern, sind Sie Unternehmen voraus, die noch mit Authentifizierungsproblemen und sinkenden Conversion-Rates kämpfen.

PSD3 wird für die Jahre 2026 bis 2027 erwartet. Mit einer soliden PSD2-Compliance schaffen Sie jetzt die Grundlage für künftige regulatorische Änderungen. Ihre Zahlungsinfrastruktur sollte Ihre Wachstumspläne unterstützen und nicht behindern.

Referenzen

• https://eur-lex.europa.eu/eli/dir/2015/2366/oj/eng

• https://blog.2checkout.com/eu-sca-implementation-updates/

• https://help.mollie.com/hc/en-us/articles/360035609413-What-are-PSD2-and-Strong-Customer-Authentication

• https://stripe.com/en-nl/guides/3d-secure-2

• https://www.adyen.com/knowledge-hub/psd2-simplified-with-our-new-authentication-engine

• https://www.airwallex.com/eu-nl/platform/online-payments

• https://resources.axway.com/financial-services/whitepaper-psd2-compliance

• https://www.yenlo.com/solutions/open-banking-and-psd2/

• https://www.yapily.com/product/open-banking-platform

• https://www.jumio.com/

• https://www.entrust.com/products/identity-verification

• https://sift.com/psd2/