Überweisungen hängen fest: Die Tücken der Empfängerverifikation

Über die „Verification of Payee“ (VOP, auch Empfängerverifikation genannt) wurden wir in den vergangenen Tagen durch unsere Banken flächendeckend informiert. Was zunächst wie eine einfache zusätzliche Sicherheitsfunktion im Überweisungsprozess klingt, die Fehlüberweisungen und Irrläufer verhindern soll, entpuppt sich jedoch als deutlich komplexer – und dürfte vielen Banken und Sparkassen in den kommenden Monaten einiges an Kopfzerbrechen und zusätzliche Nachfragen bereiten.

Die Verification of Payee wurde eingeführt, um Fehlüberweisungen und Betrug zu verhindern, wenn Geld an ein falsches Konto geschickt wird. Im Euroraum geht das auf die EU-Verordnung über Sofortzahlungen (Instant Payments Regulation) von 2024 zurück. Diese verpflichtet Banken dazu, bei Überweisungen zu prüfen, ob Name und IBAN des Empfängers übereinstimmen, und den Zahler zu warnen, wenn dies nicht der Fall ist. Die Bank muss, wenn alles stimmt, für die ordnungsgemäße Übertragung des Geldbetrags haften, aber eben auch nur dann.

Namensabgleich soll Fehlbuchungen verringern

In der Vergangenheit konnte es dagegen vorkommen, dass eine IBAN zwar formal korrekt und durch die beiden Prüfziffern verifiziert war, aber dennoch nicht zum gewünschten Empfänger gehörte. Ein Abgleich zwischen Name und Nummer fand nicht statt – ein Umstand, den Betrüger regelmäßig ausnutzten. So wurden etwa gefälschte Rechnungen mit scheinbar plausiblen Empfängernamen verschickt, wodurch Unternehmen teils erhebliche Summen verloren.

Entgegen mancher Kommentare in sozialen Netzwerken handelt es sich bei der neuen Regelung übrigens nicht um ein Abschieben der Verantwortung seitens der Banken auf Kunden, sondern vielmehr um das Gegenteil: Banken übernehmen künftig mehr Haftung, weil sie die Übereinstimmung zwischen Empfängername und IBAN sicherstellen müssen. Doch die damit verbundene Stärkung des Verbraucherschutzes bringt auch unerwartete Nebenwirkungen mit sich – wie sich in den vergangenen Tagen gezeigt hat.

Die Abfrage bei der Empfängerbank läuft automatisch in Echtzeit binnen Sekundenbruchteilen ab. Die Beantwortung erfolgt in einer Art Ampelsystem, wobei die Antwort darüber informiert, ob alles seine Richtigkeit hat („Match“), es eine kleine Abweichung gibt („Close Match“) oder ob der Empfänger gänzlich anders ist („No Match“). Im Falle eines Close Match oder eines No Match bekommt der Empfänger einen entsprechenden Hinweis und kann die Zahlung dennoch freigeben. Während bei fehlender Übereinstimmung nicht offenbart wird, wem die eingegebene IBAN gehört, erfährt der Kunde dies beim Close Match durchaus.

Bank offenbart oft mehr als sie sollte

Hier gibt es gleich zwei heikle Details: Denn zum einen darf die Bank die Zahlung erst verwerfen, wenn der Kunde oder die Kundin sich nach der Warnung dazu entschließt, den Vorgang abzubrechen. Zum anderen soll die Bank nicht den tatsächlichen Kontonamen preisgeben. Doch genau das scheint aktuell nicht überall reibungslos zu funktionieren. Im Netz kursieren Screenshots, die zeigen, dass selbst bei deutlich abweichenden Eingaben der hinterlegte Kontoname teilweise offengelegt wird.

Das kann harmlose, aber auch problematische Folgen haben. In manchen Fällen erfährt der Absender lediglich, dass der Empfänger mehrere Vornamen hat – ärgerlich, aber noch verschmerzbar. In anderen Fällen werden bislang verheimlichte Nachnamensteile sichtbar, was datenschutzrechtlich bedenklich ist. Auch die Offenlegung von Vornamen mit geschlechtlicher Konnotation kann zu persönlichen Problemen führen.

Kontoinhaber können dies nur begrenzt verhindern – etwa, indem sie sicherstellen, dass ihre bei der Bank hinterlegten Daten korrekt und konsistent sind. Änderungen etwa nach einer Scheidung oder Namensänderung sollten daher immer zeitnah eingetragen werden. Die Pflicht zur korrekten Namensführung besteht ohnehin bereits im Rahmen der Identitätsprüfung nach dem Geldwäschegesetz.

Uneinheitliche Praxis bei Banken

Wie streng Banken die Übereinstimmung zwischen Name und IBAN bewerten, scheint derzeit unterschiedlich gehandhabt zu werden. Teilweise wird ein „Close Match“ sehr großzügig ausgelegt – was wiederum datenschutzrechtliche Fragen aufwirft, wenn ein doch stark anderer Name offenbart wird. Ob in diesen Fällen tatsächlich ein DSGVO-Verstoß vorliegt, ist noch unklar. Fest steht jedoch, dass es zwischen verschiedenen größeren deutschen Instituten derzeit auffällige Unterschiede gibt.

Immerhin: Ein massenweises Abgreifen von Kontoinhaberdaten dürfte auf diesem Weg kaum möglich sein. Banken erkennen automatisierte Abfragen oder häufige Versuche – auch über VPN-Verbindungen – in der Regel schnell und blockieren diese. Zudem müsste für jede Anfrage ein Überweisungsbetrag hinterlegt werden. Laut Experten schlagen die Systeme hier bereits nach einer Handvoll Versuche an, was wir nicht in allen Fällen bestätigen können (aber auch keine Kontosperrung deswegen riskieren wollen).

Probleme mit Gemeinschaftskonten und Firmenkonten

Wenn eine Zahlung korrekterweise beanstandet und kein Name dazu angegeben wird, haben Kunden somit – wie bisher auch – die Möglichkeit, diese dennoch ausführen zu lassen. Die Bank haftet in diesem Fall nicht. Solche Situationen werden künftig häufiger auftreten, insbesondere bei Geschäftskonten. Denn „Installateur Michael C. Müller“ und „Sanitär Müller“ gelten bestenfalls als „ähnlich“ – und Kombinationen mit Zusatzangaben wie Ort oder Rechtsform erschweren den Abgleich zusätzlich. Auch Gemeinschaftskonten von Eheleuten können hier problematisch sein, wobei der Algorithmus hier meist schon bei einem korrekten Vornamen einen „Close Match“ ausgibt.

Nutzer sollten in einem solchen Fall sicherheitshalber noch einmal nachfragen. In Fällen, in denen Firmen häufiger Zahlungsverzögerungen haben, raten die Banken, den entsprechend korrekten Begriff auf den Rechnungsbögen explizit anzugeben. Auch das Verwenden von Überweisungsvorlagen kann hier hilfreich sein.

Da die Empfängerprüfung ein europäischer Standard ist, werden Umlaute wie „ä“, „ö“ oder „ü“ im internationalen Zahlungsverkehr oft in Standard-Vokale umgewandelt (z. B. „ü“ wird „ue“ oder „u“). Dies kann zu Abweichungen bei der Empfängerüberprüfung führen. Bestimmte Sonderzeichen wie das kaufmännische & sollte man bei der Erfassung des Empfängers nicht verwenden.

Einen besonderen Nutzen haben in diesem Zusammenhang übrigens Fotoüberweisungen auf QR-Code-Basis, da diese die kompletten Überweisungsdaten bereits hinterlegt haben. Wenn sie also auf einer Rechnung einen solchen Code finden, können sie leicht sämtliche Daten korrekt übernehmen.

Dieser Beitrag ist zuerst auf t3n.de erschienen.

(jle)