Seit Oktober müssen Banken eine Empfängerüberprüfung („Verification of Payee“, VOP) bei Überweisungen durchführen. Damit ist es nicht nur leichter geworden Fehlüberweisungen zu vermeiden. Leichter ist es gewissermaßen auch, sich ohne große Mühe einen Einblick in Daten der potenziellen Geldempfänger*in zu verschaffen. Denn so wie einige Kreditinstitute diese neue Funktion in Deutschland umsetzen, bekommt man bei der bloßen Absicht, einer Überweisung zu tätigen, schon den vollständigen Passnamen der entsprechenden Person angezeigt. Dafür braucht man häufig nur die IBAN und Teile des Namens.

Mindestens bei einem der beliebtesten Kreditinstitute in Deutschland reicht dafür neben der IBAN bereits der Nachname. Die Bank übermittelt sodann den kompletten im Konto hinterlegten Namen samt aller Vornamen. Wenn ich also „Mustermensch“ eingebe, bekomme ich als Vorschlag „Robin Lou Mustermensch“ zurück.

Das ist eher eine Ausnahme, bei den meisten Banken wird das so nicht funktionieren. Dennoch offenbaren viele Institute den vollständigen Passnamen, wenn man den Anfangsbuchstaben oder Teile eines der Vornamen eingibt. Millionen von Kund*innen sind betroffen.

Sollten auf diese Weise Zweitnamen der eigenen Freund*innen ans Licht kommen, kann es amüsant sein und die Freund*innen finden es eventuell nicht weiter schlimm. Heikler wird es bei Menschen, deren IBAN man aus Rechnungen oder anderweitigen geschäftlichen Beziehungen kennt. Auch bei der monatlichen Gehaltsüberweisung durch die Arbeitgeber*in wird gegebenenfalls eine Meldung mit dem vollständigen Namen aufploppen. Die Übermittlung von geschlechtlich konnotierten Vornamen kann ebenfalls Probleme nach sich ziehen. Das betrifft etwa trans Personen, die ihren Vornamen und Personenstand nicht geändert haben und deren „Deadname“ auf diesem Weg bekannt werden kann.

Bemerkenswert dabei ist: Die betroffene Person kriegt davon nichts mit. Das ist im Hinblick auf Datenschutz und informationelle Selbstbestimmung bedenklich.

Ein wesentliches Element der Empfängerüberprüfung

Seit dem 9. Oktober ist die neue Empfängerprüfung für Standard- und Echtzeitüberweisungen im Europäischen Zahlungsraum Pflicht. Die EU-Verordnung über Sofortzahlungen aus dem Jahr 2024 schreibt vor, dass Banken innerhalb von Sekunden prüfen müssen, ob Name und IBAN der Zahlungsempfänger*innen übereinstimmen. Das soll für mehr Sicherheit im Zahlungsverkehr sorgen und Betrug verhindern, wenn beispielsweise Rechnungen mit plausiblen Namen aber manipulierten IBAN verschickt werden.

Die Prüfung funktioniert folgendermaßen: Die Bank der Zahler*in schickt die angegebenen Daten in einer Anfrage an die Bank der Empfänger*in. Diese prüft, ob die IBAN und der Name mit denen der Kontoinhaber*in identisch sind und gibt eine der drei möglichen Antworten zurück: exakte Übereinstimmung („Match“), nahezu Übereinstimmung („Close Match“) oder keine Übereinstimmung („No Match“). Bei einem Match führt die Bank die Überweisung ohne Weiteres aus. In den letzten beiden Fällen informiert das Kreditinstitut die Zahler*in, sodass diese entscheiden kann, die Eingabe noch zu ändern oder die Überweisung ohne Änderung fortzuführen. In diesen Fällen trägt die Zahler*in das Risiko einer Fehlüberweisung. Die Bank haftet nur bei der exakten Übereinstimmung. Bei einem Close Match schickt die Empfängerbank außerdem den korrekten Namen der Kontoinhaber*in mit.

Das Ziel des „Close Match”-Szenarios ist es also, die Benutzer*innenfreundlichkeit bei Zahlungen zu gewährleisten und zu viele unnötige „No Match”-Antworten zu vermeiden. Das Close Match mit dem Namensabgleich ist damit ein wesentliches Element der Empfängerüberprüfung.

Was die Banken als Close Match werten und ab wann sie keine Übereinstimmung mehr sehen, entscheiden sie oder ihre IT-Dienstleister selbst. In Deutschland haben Kreditinstitute verschiedene Algorithmen entwickelt, sodass die praktische Umsetzung unterschiedlich ausfällt. Eine Eingabe, die eine Bank als No Match bewertet, gibt eine andere als Close Match zurück und umgekehrt. Das führt laut dem Bundesverband der Verbraucherzentrale bei vielen Kund*innen zu Irritationen.

Der Namensabgleich bei einem Close Match

Die EU-Verordnung besagt, dass der Name der Zahlungsempfänger*innen bei einem Close Match übermittelt werden muss. Allerdings ist nicht näher festgelegt, in welchem Umfang.

Der Europäische Zahlungsverkehrausschuss, ein Zusammenschluss von Banken und Bankenverbänden auf EU-Ebene, hat konkrete Szenarien für eine Nahezu-Übereinstimmung erarbeitet. Ein Close Match liegt demnach beispielsweise vor, wenn zwei Buchstaben im Vor- oder Nachnamen vertauscht sind. Oder wenn ein bis zwei Buchstaben durch andere mit derselben Aussprache ersetzt wurden. Auch wenn nur der Anfangsbuchstabe des Vornamens zusammen mit dem Nachnamen eingegeben wird, könnten Banken das als Nahezu-Übereinstimmung werten. Diese Szenarien sind nicht bindend, sondern lediglich Empfehlungen.

Zu dem Namensabgleich schreibt die Organisation dennoch: „Der antwortenden Bank wird dringend empfohlen, in der „Close Match“-Antwort Datenminimierung anzuwenden und nur die Namensinformationen zur Verfügung zu stellen, die in der Anfrage genannt wurden.“

Die meisten Banken oder ihre IT-Dienstleister geben auf Anfrage von netzpolitik.org an, sich bei der Überprüfung an den Empfehlungen des Europäischen Zahlungsverkehrsausschusses zu orientieren. Und trotzdem offenbaren sie mehr Daten bei einem Close Match als bei der Eingabe getätigt wurden.

Lediglich ING-Diba hält sich an dieses Prinzip. „In einem beispielhaften Szenario, in dem jemand mehrere Vornamen trägt, werden nur die Vornamen übermittelt, die in der Überweisung nahezu eingegeben wurden“, schreibt der Pressesprecher auf Anfrage.

Identitätsprüfung oder Betrugsbekämpfung?

David-Jan Janse vom niederländischen Unternehmen SurePay, dem Dienstleister der Empfängerüberprüfung für die Online-Bank Bunq, hat laut eigenen Angaben das Prinzip des „Close Match“ erfunden. Der Schutz personenbezogener Daten nach der Datenschutzgrundverordnung galt in der Fintech-Branche zuvor als Hinderungsgrund für die Empfängerüberprüfung. Zusammen mit seinem Kollegen hat er sich deshalb die Frage gestellt, wie man bei einer Überweisung einen Namen offenbaren kann, ohne ihn gleich zu offenbaren – ähnlich wie bei einem Galgenmännchen-Spiel.

So entwickelte er eine Version der Empfängerüberprüfung, die in den Niederlanden seit etwa acht Jahren implementiert ist. In dieser Umsetzung gilt „Privacy by Design“. Das bedeutet, dass die eingegebenen Daten nur korrigiert werden. Neuen Daten werden nicht offengelegt.

Wenn die Bank den Anfangsbuchstaben des Vornamens und den Nachnamen beispielsweise als Close Match einstufen möchte, wäre laut Janse eine Meldung denkbar: „Der Name ist zu kurz. Bitte geben Sie den vollständigen Namen ein“, ohne unbekannte Teile des Namens gleich zu offenbaren.

Wie die Empfängerprüfung mancherorts in Deutschland umgesetzt ist, erinnert Janse eher an eine Identitätsprüfung. Bei der Empfängerüberprüfung im Zahlungsverkehr müsse im Vordergrund stehen, dass die Überweisung nicht an die falsche Person geht. „Es sollte weniger darum gehen, ob es der korrekte Passname ist oder nicht“, sagt der Unternehmer.

Bei der praktischen Umsetzung sei die Risikobereitschaft der Banken entscheidend. Da sie für die Überweisungen haftbar gemacht werden können, wollten diese sicherstellen, dass die Zahlung an die Empfänger*in mit genau dem richtigen Namen geht, anstatt die Funktion als Instrument zur Betrugsbekämpfung zu nutzen. Auch in Frankreich tendierten Banken eher zu dieser Art von Empfängerprüfung als Identitätsprüfung.

„Die Offenlegung des Namens hat einen Nachteil“, fügt Janse hinzu. „Das hilft letztlich den Betrügern. Und ist daher keine ideale Umsetzung.“

Ist Missbrauch möglich?

Gefragt nach Mechanismen gegen Missbrauch schreiben einige Banken, dass die Geheimhaltung des Matching-Algorithmus ein solcher Mechanismus sei.

Laut dem Bundesverband der Verbraucherzentrale haben Banken Schutzmechanismen eingerichtet, die eine systematische Nutzung für Identitätsrecherchen verhindern sollen. „Wie hoch das Risiko ausfällt, ist davon abhängig, wie gut die Schutzmechanismen ausgestaltet sind und wie stark ein Name abweichen darf, damit der richtige angegeben wird. Das Risiko dürfte sich daher von Bank zu Bank unterscheiden.“