PSR-Einigung, Händler

PSR-Einigung trifft Händler: Neue Betrugsbekämpfung wird zur Datenschutzfalle

29.11.2025 - 21:51:12

PSR-Einigung trifft Händler: Neue Betrugsbekämpfung wird zur Datenschutzfalle - Foto: über boerse-global.de
PSR-Einigung trifft Händler: Neue Betrugsbekämpfung wird zur Datenschutzfalle - Foto: über boerse-global.de

Nur einen Tag nach dem „Black Friday” 2025 haben EU-Parlament und Rat die finale Fassung der neuen Zahlungsdiensteverordnung (PSR) beschlossen. Das Ziel: Verbraucher besser vor Betrug schützen. Die Kehrseite: Händler müssen künftig deutlich mehr Kundendaten verarbeiten – und bewegen sich damit auf dünnem Eis. Wer die neuen Pflichten umsetzt, ohne seinen Datenschutz anzupassen, riskiert ab 2026 empfindliche DSGVO-Bußgelder.

Die Ironie der Lage? Um Betrüger zu stoppen, werden Händler faktisch gezwungen, tiefer in die Datenverarbeitung einzusteigen. Gleichzeitig gilt weiterhin das Prinzip der Datenminimierung. Ein klassisches Dilemma: Zu wenig Daten teilen bedeutet Haftung bei Betrug, zu viel teilen kostet Bußgeld.

Die am 28. November erzielte Einigung ersetzt die bisherige PSD2-Richtlinie durch PSR und PSD3. Kernstück der Reform: Zahlungsdienstleister müssen künftig bei Unstimmigkeiten zwischen Empfängername und IBAN Transaktionen blockieren oder zumindest warnen. Für Händler bedeutet das: Ihre Kundendaten werden in Echtzeit mit Bankdaten abgeglichen – ein datenschutzrechtlich hochsensibles Verfahren.

Anzeige

Viele Händler unterschätzen, wie schnell fehlende Dokumentation zu hohen Bußgeldern führen kann. Gerade mit den neuen PSR‑Pflichten prüfen Aufsichtsbehörden jetzt explizit Verzeichnisse der Verarbeitungstätigkeiten. Unsere kostenlose, vollständig bearbeitbare Excel‑Vorlage hilft Ihnen, in unter einer Stunde ein prüfungssicheres Verarbeitungsverzeichnis nach Art. 30 DSGVO zu erstellen – inklusive Anleitung, Pflichtfeldern und Beispiel‑Einträgen für Zahlungsprozesse. Jetzt kostenlose Excel‑Vorlage herunterladen

„Die neue Verordnung zwingt Händler faktisch dazu, tiefer in die Datenverarbeitung einzugreifen, um Haftungsrisiken bei Betrugsfällen zu vermeiden”, erklärt das Institut für Finanzdienstleistungen. „Gleichzeitig bleibt die DSGVO mit ihrem Grundsatz der Datenminimierung voll in Kraft.”

Bereits seit dem 9. Oktober 2025 kämpfen Banken mit der Umsetzung der Instant Payments Regulation, die ebenfalls den obligatorischen IBAN-Namens-Check vorschreibt. Erste Berichte vom Black Friday zeigen: Die Systeme hielten stand, doch es gab zahlreiche „False Positives” – legitime Transaktionen, die aufgrund von Datendiskrepanzen abgelehnt wurden.

Handelsname auf dem Kontoauszug: Transparenz mit Nebenwirkungen

Ein oft übersehenes Detail der PSR-Einigung: Künftig müssen Händler sicherstellen, dass ihr Handelsname eindeutig auf dem Kontoauszug erscheint. Kryptische Abbuchungen durch Drittanbieter oder Mutterkonzerne sollen der Vergangenheit angehören.

Klingt verbraucherfreundlich, birgt aber Tücken. Händler müssen gewährleisten, dass die übermittelten Daten exakt mit den beim Kunden bekannten Markennamen übereinstimmen. Fehlerhafte Übermittlungen, die sensible Geschäftsbeziehungen offenlegen – etwa bei Gemeinschaftskonten – stellen laut Datenschutzexperten ein neues Risiko dar.

Die Gefahr ist real: Im Oktober 2025 verhängte die spanische Datenschutzbehörde AEPD Millionenbußgelder wegen mangelhafter technischer und organisatorischer Maßnahmen bei der Datenverarbeitung. Die PSR-Pflichten erhöhen diese Anforderungen massiv.

Bargeld ohne Kaufzwang: Der Supermarkt als Datenschutz-Risiko

Auch bei der Liberalisierung des Bargeldbezugs lauern Fallstricke. Einzelhändler dürfen künftig Auszahlungen bis 150 Euro anbieten, ohne dass Kunden etwas kaufen müssen. Jeder Supermarkt wird damit potenziell zum „Geldautomaten light” – mit entsprechenden Konsequenzen für den Datenschutz.

Die Autorisierung dieser Transaktionen (Chip-und-PIN) erzeugt Daten, die strikt von Warenwirtschaftssystemen getrennt werden müssen. „Wenn ein Händler die Daten einer reinen Bargeldabhebung nutzt, um beispielsweise das Kundenprofil in seinem Treueprogramm anzureichern, liegt ein schwerer Verstoß gegen die Zweckbindung der DSGVO vor”, warnt Dr. Elena Weber, Analystin für Zahlungsverkehrsrecht in Frankfurt.

Das Problem: Viele Kassensysteme sind derzeit nicht darauf ausgelegt, reine „Cash-out”‑Transaktionen datentechnisch sauber von Verkaufsvorgängen zu trennen. Bis zum Inkrafttreten der Verordnung 2026/2027 müssen Händler dringend ihre IT-Infrastruktur auditieren.

Die drohenden Bußgelder sind keine leere Drohung: Bis zu 4 % des Jahresumsatzes bei unrechtmäßiger Weiterverarbeitung von Finanzdaten.

Neue Datensilos: Das nächste Datenleck wartet schon

Datenschützer beobachten die Entwicklung mit Sorge. „Die massenhafte automatisierte Prüfung von Empfängerdaten, wie sie seit Oktober Pflicht ist und durch die PSR nun ausgeweitet wird, schafft riesige Datensilos”, so Weber. „Wenn diese Silos gehackt werden oder Händler die Rückmeldungen der Banken unverschlüsselt speichern, ist der nächste große DSGVO-Skandal vorprogrammiert.”

Die Frage ist nicht ob, sondern wann die ersten Hacks erfolgen. Jede automatische Identitätsprüfung, jeder abgeglichene IBAN-Name, jede Bargeldauszahlung hinterlässt digitale Spuren. Händler sammeln faktisch Bonitäts- und Identitätsdaten in einem Umfang, der vor wenigen Jahren noch undenkbar war.

Was Händler jetzt tun müssen

Die Einigung vom 28. November muss noch formal bestätigt werden – eine reine Formsache. Händler sollten die Übergangszeit nicht ungenutzt lassen.

Checkliste für die kommenden Monate:

  1. Zahlungsdienstleister-Verträge überprüfen: Wer haftet bei Datenschutzverstößen im Rahmen der neuen Verification-of-Payee-Prozesse?

  2. Kassensysteme auditieren: Können Bargeldauszahlungen ohne Kauf datentechnisch isoliert verarbeitet werden?

  3. Transparenz-Check: Welcher Name erscheint auf den Kontoauszügen Ihrer Kunden? Stimmt dieser mit Ihrer Datenschutzerklärung überein?

  4. Datenminimierung umsetzen: Speichern Sie Ergebnisse aus Bonitäts- oder Identitätsprüfungen nicht länger als absolut notwendig. Die „Vorratsspeicherung” solcher Daten zur Betrugsabwehr ist ohne striktes Löschkonzept ein direkter Weg zum Bußgeld.

Der Wind aus Brüssel bläst schärfer. Die PSR soll den digitalen Zahlungsverkehr sicherer machen – macht ihn für Händler aber auch komplexer. Datenschutz ist 2025 nicht mehr nur eine Frage der Cookie-Banner, sondern tief in der Architektur jeder einzelnen Transaktion verankert. Wer das ignoriert, zahlt – im wahrsten Sinne des Wortes.

Anzeige

PS: Sie stehen vor IBAN‑Name‑Checks und neuen Cash‑Out‑Prozessen? Diese praktische Vorlage für das Verarbeitungsverzeichnis erklärt genau, welche Datenkategorien Sie dokumentieren müssen, wie Sie Zwecke sauber abgrenzen und welche Löschfristen zu beachten sind. So weisen Sie Compliance nach, reduzieren Prüfungs- und Bußgeldrisiken und schaffen klare Nachweise gegenüber Zahlungsdienstleistern. Vorlage jetzt kostenlos herunterladen und DSGVO‑Risiken minimieren

@ boerse-global.de
Ausbildung zum erfolgreichen Börsenhändler