Seit Oktober müssen Banken eine Empfängerüberprüfung („Verification of Payee“, VOP) bei Überweisungen durchführen. Damit ist es nicht nur leichter geworden Fehlüberweisungen zu vermeiden. Leichter ist es gewissermaßen auch, sich ohne große Mühe einen Einblick in Daten der potenziellen Geldempfänger*in zu verschaffen. Denn so wie einige Kreditinstitute diese neue Funktion in Deutschland umsetzen, bekommt man bei der bloßen Absicht, einer Überweisung zu tätigen, schon den vollständigen Passnamen der entsprechenden Person angezeigt. Dafür braucht man häufig nur die IBAN und Teile des Namens.
Mindestens bei einem der beliebtesten Kreditinstitute in Deutschland reicht dafür neben der IBAN bereits der Nachname. Die Bank übermittelt sodann den kompletten im Konto hinterlegten Namen samt aller Vornamen. Wenn ich also „Mustermensch“ eingebe, bekomme ich als Vorschlag „Robin Lou Mustermensch“ zurück.
Das ist eher eine Ausnahme, bei den meisten Banken wird das so nicht funktionieren. Dennoch offenbaren viele Institute den vollständigen Passnamen, wenn man den Anfangsbuchstaben oder Teile eines der Vornamen eingibt. Millionen von Kund*innen sind betroffen.
Sollten auf diese Weise Zweitnamen der eigenen Freund*innen ans Licht kommen, kann es amüsant sein und die Freund*innen finden es eventuell nicht weiter schlimm. Heikler wird es bei Menschen, deren IBAN man aus Rechnungen oder anderweitigen geschäftlichen Beziehungen kennt. Auch bei der monatlichen Gehaltsüberweisung durch die Arbeitgeber*in wird gegebenenfalls eine Meldung mit dem vollständigen Namen aufploppen. Die Übermittlung von geschlechtlich konnotierten Vornamen kann ebenfalls Probleme nach sich ziehen. Das betrifft etwa trans Personen, die ihren Vornamen und Personenstand nicht geändert haben und deren „Deadname“ auf diesem Weg bekannt werden kann.
Bemerkenswert dabei ist: Die betroffene Person kriegt davon nichts mit. Das ist im Hinblick auf Datenschutz und informationelle Selbstbestimmung bedenklich.
Ein wesentliches Element der Empfängerüberprüfung
Seit dem 9. Oktober ist die neue Empfängerprüfung für Standard- und Echtzeitüberweisungen im Europäischen Zahlungsraum Pflicht. Die EU-Verordnung über Sofortzahlungen aus dem Jahr 2024 schreibt vor, dass Banken innerhalb von Sekunden prüfen müssen, ob Name und IBAN der Zahlungsempfänger*innen übereinstimmen. Das soll für mehr Sicherheit im Zahlungsverkehr sorgen und Betrug verhindern, wenn beispielsweise Rechnungen mit plausiblen Namen aber manipulierten IBAN verschickt werden.
Die Prüfung funktioniert folgendermaßen: Die Bank der Zahler*in schickt die angegebenen Daten in einer Anfrage an die Bank der Empfänger*in. Diese prüft, ob die IBAN und der Name mit denen der Kontoinhaber*in identisch sind und gibt eine der drei möglichen Antworten zurück: exakte Übereinstimmung („Match“), nahezu Übereinstimmung („Close Match“) oder keine Übereinstimmung („No Match“). Bei einem Match führt die Bank die Überweisung ohne Weiteres aus. In den letzten beiden Fällen informiert das Kreditinstitut die Zahler*in, sodass diese entscheiden kann, die Eingabe noch zu ändern oder die Überweisung ohne Änderung fortzuführen. In diesen Fällen trägt die Zahler*in das Risiko einer Fehlüberweisung. Die Bank haftet nur bei der exakten Übereinstimmung. Bei einem Close Match schickt die Empfängerbank außerdem den korrekten Namen der Kontoinhaber*in mit.
Alles netzpolitisch Relevante
Drei Mal pro Woche als Newsletter in deiner Inbox.
Das Ziel des „Close Match”-Szenarios ist es also, die Benutzer*innenfreundlichkeit bei Zahlungen zu gewährleisten und zu viele unnötige „No Match”-Antworten zu vermeiden. Das Close Match mit dem Namensabgleich ist damit ein wesentliches Element der Empfängerüberprüfung.
Was die Banken als Close Match werten und ab wann sie keine Übereinstimmung mehr sehen, entscheiden sie oder ihre IT-Dienstleister selbst. In Deutschland haben Kreditinstitute verschiedene Algorithmen entwickelt, sodass die praktische Umsetzung unterschiedlich ausfällt. Eine Eingabe, die eine Bank als No Match bewertet, gibt eine andere als Close Match zurück und umgekehrt. Das führt laut dem Bundesverband der Verbraucherzentrale bei vielen Kund*innen zu Irritationen.
Der Namensabgleich bei einem Close Match
Die EU-Verordnung besagt, dass der Name der Zahlungsempfänger*innen bei einem Close Match übermittelt werden muss. Allerdings ist nicht näher festgelegt, in welchem Umfang.
Der Europäische Zahlungsverkehrsausschuss, ein Zusammenschluss von Banken und Bankenverbänden auf EU-Ebene, hat konkrete Szenarien für eine Nahezu-Übereinstimmung erarbeitet. Ein Close Match liegt demnach beispielsweise vor, wenn zwei Buchstaben im Vor- oder Nachnamen vertauscht sind. Oder wenn ein bis zwei Buchstaben durch andere mit derselben Aussprache ersetzt wurden. Auch wenn nur der Anfangsbuchstabe des Vornamens zusammen mit dem Nachnamen eingegeben wird, könnten Banken das als Nahezu-Übereinstimmung werten. Diese Szenarien sind nicht bindend, sondern lediglich Empfehlungen.
Zu dem Namensabgleich schreibt die Organisation dennoch: „Der antwortenden Bank wird dringend empfohlen, in der „Close Match“-Antwort Datenminimierung anzuwenden und nur die Namensinformationen zur Verfügung zu stellen, die in der Anfrage genannt wurden.“
Die meisten Banken oder ihre IT-Dienstleister geben auf Anfrage von netzpolitik.org an, sich bei der Überprüfung an den Empfehlungen des Europäischen Zahlungsverkehrsausschusses zu orientieren. Und trotzdem offenbaren sie mehr Daten bei einem Close Match als bei der Eingabe getätigt wurden.
Lediglich ING-Diba hält sich an dieses Prinzip. „In einem beispielhaften Szenario, in dem jemand mehrere Vornamen trägt, werden nur die Vornamen übermittelt, die in der Überweisung nahezu eingegeben wurden“, schreibt der Pressesprecher auf Anfrage.
Identitätsprüfung oder Betrugsbekämpfung?
David-Jan Janse vom niederländischen Unternehmen SurePay, dem Dienstleister der Empfängerüberprüfung für die Online-Bank Bunq, hat laut eigenen Angaben das Prinzip des „Close Match“ erfunden. Der Schutz personenbezogener Daten nach der Datenschutzgrundverordnung galt in der Fintech-Branche zuvor als Hinderungsgrund für die Empfängerüberprüfung. Zusammen mit seinem Kollegen hat er sich deshalb die Frage gestellt, wie man bei einer Überweisung einen Namen offenbaren kann, ohne ihn gleich zu offenbaren – ähnlich wie bei einem Galgenmännchen-Spiel.
So entwickelte er eine Version der Empfängerüberprüfung, die in den Niederlanden seit etwa acht Jahren implementiert ist. In dieser Umsetzung gilt „Privacy by Design“. Das bedeutet, dass die eingegebenen Daten nur korrigiert werden. Neuen Daten werden nicht offengelegt.
Wenn die Bank den Anfangsbuchstaben des Vornamens und den Nachnamen beispielsweise als Close Match einstufen möchte, wäre laut Janse eine Meldung denkbar: „Der Name ist zu kurz. Bitte geben Sie den vollständigen Namen ein“, ohne unbekannte Teile des Namens gleich zu offenbaren.
Wie die Empfängerprüfung mancherorts in Deutschland umgesetzt ist, erinnert Janse eher an eine Identitätsprüfung. Bei der Empfängerüberprüfung im Zahlungsverkehr müsse im Vordergrund stehen, dass die Überweisung nicht an die falsche Person geht. „Es sollte weniger darum gehen, ob es der korrekte Passname ist oder nicht“, sagt der Unternehmer.
Bei der praktischen Umsetzung sei die Risikobereitschaft der Banken entscheidend. Da sie für die Überweisungen haftbar gemacht werden können, wollten diese sicherstellen, dass die Zahlung an die Empfänger*in mit genau dem richtigen Namen geht, anstatt die Funktion als Instrument zur Betrugsbekämpfung zu nutzen. Auch in Frankreich tendierten Banken eher zu dieser Art von Empfängerprüfung als Identitätsprüfung.
„Die Offenlegung des Namens hat einen Nachteil“, fügt Janse hinzu. „Das hilft letztlich den Betrügern. Und ist daher keine ideale Umsetzung.“
Ist Missbrauch möglich?
Gefragt nach Mechanismen gegen Missbrauch schreiben einige Banken, dass die Geheimhaltung des Matching-Algorithmus ein solcher Mechanismus sei.
Laut dem Bundesverband der Verbraucherzentrale haben Banken Schutzmechanismen eingerichtet, die eine systematische Nutzung für Identitätsrecherchen verhindern sollen. „Wie hoch das Risiko ausfällt, ist davon abhängig, wie gut die Schutzmechanismen ausgestaltet sind und wie stark ein Name abweichen darf, damit der richtige angegeben wird. Das Risiko dürfte sich daher von Bank zu Bank unterscheiden.“
Ich muss gestehen, dass ich das Problem nicht verstehe: Was ist denn jetzt genau das Potential für Missbrauch? Dass Leute einen vollständigen Namen erhalten? Was wäre hier ein konkretes Szenario?
Alles was im Absatz ab „Sollten auf diese Weise Zweitnamen (…)“ kommt, überzeugt mich nicht so wirklich.
Bisher war der bei der Bank hinterlegte Name keine halb-öffentliche Information, sondern nur intern bekannt. Mit der Empfängerüberprüfung wird der Name zu einem abrufbaren Profilmerkmal, sobald jemand die IBAN kennt.
Damit ändert sich der Charakter der Information Klarnamen bei deiner Bank. Das schafft ein neues Risiko.
Ein ähnliches Problem hat man leider bei Wero, insb. bei Banken, die nur die Telefonnummer als Identifier zulassen. Da kommt man von der Telefonnummer auf den Klarnamen. (Hier nur von der IBAN auf den Klarnamen.)
Aber was ist das konkrete Risiko? Am Ende erfahre ich, wie jemand mit vollem Namen laut Personalausweis, Pass, etc. heißt – das ist im privaten Bereich bestenfalls lustig. Ich habe hier in den Kommentaren gelesen, dass man mit dem Namen eventuell den Namen des Ehepartners herausfinden kann. Oook, nicht mehr so lustig, aber am Ende brauche ich ja trotzdem auch erst einmal die IBAN, die ich als Privatperson nicht einfach ins Telefonbuch schreiben lasse. Das konkrete Risiko würde mich interessieren.
Wero bei der ING ist richtig übel. Kann mein Adressbuch scannen und zeigt mir zu jedem Kontakt der wero nutzt an, welcher Name hinter dem Konto steht, auch wenn der Name des Kontakts total anders ist. Nach ausführen einer Transaktion wird mir im Verlauf auch die IBAN gezeigt.
Bei der ING Deutschland ist Wero de facto verboten, wenn man das Adressbuch nicht freigibt und die eigene Telefonnummer als Identifikationsmerkmal zulässt. Andere Banken lassen beliebige E-Mail-Adressen zu, was wesentlich datensparsamer ist.
Vielleicht als Tipp, bis die Banken dort zur Besinnung kommen: Man kann die App auch auf einem zusätzlichen Endgerät installieren, auf dem keine Adressen gespeichert sind, und dann ein Adressbuch mit null Kontakten „freigeben“. Die Telefonnummer muss man dennoch verwenden.
Eine extra Burner-Nummer nur für die Bank ist mir zu viel Aufwand. .. und ich hab auch keinen Stalker oder so, also ists bei mir nicht so zentral.
Warum würde mir so jemand dann seine IBAN nennen? Wenn man sich wirklich verstecken will oder muss, dann nenne ich doch nicht fremden Menschen meine IBAN und will dann aber, dass mein voller Name verborgen bleibt?!
Das Beispiel ergibt für mich so nicht wirklich Sinn.
Ich bin so dankbar über diesen Artikel, da im Vorfeld der Empfängerüberprüfung kein Journalist diese Probleme gesehen hat und sie auch jetzt viele nicht verstehen können.
Und das hat mich stark gewundert. Die Empfängerüberprüfung ist eine Möglichkeit personenbezogene Daten auszuspähen, ohne dass der Betroffene es merkt.
Mich wundert, dass kaum jemand das durchschaut.
zb.Menschen die mit geschützter Identität leben ,unzer Polizeischutz etc
Das Beispiel mit dem Deadname stand im Text. Wie viele weitere Beispiele brauchst Du, dass Datenschutzverstöße problematisch sind?
Das Beispiel mit dem Deadname verstehe ich z. B. nicht, vielleicht bin ich zu naiv. In dem Fall bitte ich um Entschuldigung, ich will das Thema nicht banalisieren oder abwerten, ich verstehe nur die Umstände nicht:
Mein Verständnis ist, dass ein Deadname der alte, bei der Geburt zugewiesene Vorname einer trans*, nichtbinären oder intergeschlechtlichen Person ist, der nach einer Namensänderung nicht mehr verwendet werden soll. Warum wird dann der Vorname nicht auch bei der Bank geändert? Dann sieht man doch nur noch den neuen Vornamen, so wie es sein soll?
Das alles hat 2 Seiten. Ich wollte am Samstag eine Rechnung eines Konditorei Cafe bezahlen. Weder der Name des Cafes noch der Name des Inhabers führten zu einen Erfolg bei der Prüfung. Das war jetzt nicht so schlimm, der Inhaber muß eben warten, bis er mir den Namen des Kontoempfängers richtig übermittelt hat. Aber was wenn ein Zahlungstermin dranhängt? Dann wäre es schon sinnvoll, die Banl nennt mir den Kontoinhaber. So kann ich prüfen ob das i. O. ist. Ansonsten muß ich die Zahlung liegenlassen, in der Hoffnung, daß das gericht, wenn es hart auf hart kommt, mir recht gibt, wenn keine korrekter Empfänger auf der Rechnung oder sonstigen Zahlungsaufforderung angegeben ist.
Verstehe das Problem nicht ganz. Wenn du ein No Match zurückbekommst, dann schick die Überweisung halt einfach trotzdem ab, wenn du einigermaßen sicher bist, dass die IBAN die richtige ist.
Damit begibst du dich rechtlich ja nur wieder in exakt die Situation, in der wir jahrelang waren.
Genau das verstehen die meisten Nutzer leider nicht. Von der Bank kommt bei NoMatch leider ein „Wir übernehmen keine Haftung“ und schon ist der Nutzer verunsichert sogar wenn die IBAN aus einer Vertrauenswürdigen Quelle (Vertrag/Rechnung) stammt.
Die fehlende Bankhaftung bei NoMatch gibt es jetzt seit mehr als 10 Jahren – also ein uraltes Thema … Die Intention war Betrugsverhinderung, z.B. fake Rechnungen von Behörden, etc. mit korrekter Behördenangabe aber einer IBAN, die auf den Betrüger läuft ….
Die UIs sind da aber auch nicht 100% sinnvoll designt. Z.T. behaupten die, eine Korrektureoption zu bieten, tun es aber dann nicht. Da kann man schon mal in eine kleine Schleife geraten.
Ich musste vor kurzem eine Notar Eintragung bezahlen.
Auf der Rechnung der Anwaltskanzlei stand „NameXXX & NameYYY Sozietät“
Die ördliche Sparkasse im Oldenburger Land verweigerte die Überweisung weil ich das
„+“ nicht das „&“ (kaufmännische und) gewählt hatte.
Nur durch einen Anruf in der Kanzlei und viel ausprobieren ist die Überweisung rausgegangen.
Nur Aufwand für gar nichts… Und immer mehr Finanzkontrolle!
Das ist mir letztens passiert. Der Name stimmte nicht überein und ich bekam alle Vornamen und den Nachnamen zur Korrektur vorgeschlagen.
Da es sich um einen Handwerker handelt war mir nur der Nachname und die Branche bekannt.
Im Falle von Ehepaaren mit grmeinsamen Konten, reicht es bei manchen Banken (z.B. Sparkasse) den vollen Namen eines Partners zu kennen um den Vor- und Zunamen des Partners zu erfahren.
Sollte also beispielsweise jemand der verheiratet ist, etwas online privat auf kleinanzeigen verkaufen, und dazu die IBAN des gemeinsamen Kontos und seinen Namen angeben, leakt die Bank ggf. seinen Familienstand und den Namen des Partners.
Quelle: Ich hab was von jemandem online gekauft und so unabsichtlich mehr erfahren als mich angeht.
das ist nicht hilfreich und unnötige Bürokratie. ich habe niemals ein Match. Ich würde an Maurer Müller überweisen, wenn das Konto Timo Müller GmbH wäre. Solange das nicht als richtig erkannt wird werde ich immer mit einer falschen Warnung bedacht.
im Falle von Gemeinschaftskonten ist mir nicht ersichtlich, welcher Name angezeigt wird. in unserem Fall wird bspw. lediglich ein Name angezeigt. nicht beide. und es ist immer der gleiche, nie der andere Name..
Das finde ich verwirrend und nicht nachvollziehbar.
Kann man gelassen sehen. Datenschutz und Vertraulichkeit existiert im Bankenwesen praktisch nicht mehr.
Bei einigen Banken kann man auf den zu überprüfenden Aliasnamen des Kontos Einfluss nehmen .
Voraussetzung ist: Der Alias muss entweder vom Kontoinhabernamen ableitbar sein, oder im Handelsregister, Gesellschaftervertrag o.ä. hinterlegt sein.
Will den niemand hier schreiben, dass „VOP“ nur ein Teil vom großen Ungetüm „Online-Banking“ ist und Online-Banking generell zu vermeiden ist?
Ich will mir nicht ausmalen, welche anderen Lifehacks es noch gibt in Sachen Banking. Früher haben Diebe Geld aus dem Tresor geklaut, heute sind es Daten, die geklaut werden? Und alle finden das egal?
Gerade mal getestet, wenn der Empfänger bei der Deutschen Bank/Postbank ist:
• der Nachname reicht, um alle Vornamen zu bekommen
• Vorname alleine bekommt man nichts geleakt
• bei einem Firmenkonto reichte GmbH & Co. KG, um alles angezeigt zu bekommen
Ist mir exakt so passiert. Ich kenne nun den zweiten Vornamen meines Hausarztes, da mir die Bank diesen als Korrektur vorgeschlagen hat. Dieser war mir vorher unbekannt, weshalb ich dann beim Arzt also nachgefragt habe, ob er das wirklich ist. Ja, ist er, aber nun sehe ich auf Kontoauszügen nicht mehr, dass das an Dr. ABC ging, sondern an Hans Joachim ABC (Fake Name natürlich).
Das ist bei späteren Überprüfungen von Überweisungen nicht gerade hilfreich. Lustig auch bei Praxisgemeinschaften, deren Konto auf nur einen Namen läuft, und der dann gar nicht der behandelnde Arzt war.
Ganz ähnlich übrigens bei Handwerkern. Da geht nicht mehr Malermeister XY oder Malerei XY, nein bitte Vorname XY. Viele Einzelhandwerker führen ihre Geschäftskonten unter ihren Namen und nicht unter Malerei GmbH o.Ä.
Nicht jeder muss Vornamen und Zweitvornamen von jedem kennen und wenn’s nur ist, damit man nicht nach alten Kinderfotos seines Klempners, den man einmal zum Notdienst gesehen hat, googeln kann, die Tante Gerda von klein Tim Peter XY hochgeladen hat.
Umgekehrt hatte ich auch schon Handwerker, deren Konto offiziell unter „Firma Abcd GmbH mit beschränkter Haftung“ laufen, was man dann alles als Empfänger eingeben darf, weil „Firma Abcd GmbH“ nicht mehr ausreicht.
Hoffentlich kommen die Banken ihren Kunden wenigstens entgegen, wenn die einen Konto-Namen jetzt anpassen möchten.
Du musst den Vorschlag ja nicht annehmen. Wenn ich an Dr. Müller überweise und mir dann gesagt wird, dass das Konto auf Joachim Hermann Müller lautet, überweise ich trotzdem an Dr. Müller und das steht dann auch auf dem Kontoauszug.
der einzige Vorteil den ich darin sehe ist das es jetzt unmöglich gemacht wird auf Kleinanzeigen gefälschte Profile mit gestohlen Personendaten zu verwenden. weil ja spätestens bei der Überweisung auffällt das der name unterschiedlich ist oder man ggf den Klarnamen des betrügers erhält.
Gerade da wird es weiter dabei bleben, dass Zahlungen abgezweigt werden.
Dann wird es „paypalFreunde“ oder „meine Frau/Mann heißt anders als ich“
Glaube mir, das ist kein Kriterium.
Das war meine Überlegung. Aber ich bekomme gar nicht korrigierte Namen zu sehen. Z.T. funktioniert das nicht mal bei Institutionen.
Und „irgendwie Falsch“… kann man sich auch Butter an den Hut schmieren, kann keiner was mit Anfangen.
Unsausgegoren, von Anfang an, außer für die Datensauger. Nennen wir sie Insekten, die mit Butter am Hut was anfangen können.
Also spielen wir weiter Datenbingo. Statt registrierter Unternehmen mit staatlicher Public-Key-Infrastruktur dafür? Man könnte die Daten bei der Bank verbergen und z.B. Ähnlichkeit bewerten, sowie Randbedingungen setzen, wie Bundesland u.a. Bereits die Zahlungsanforderung sollte ein öffentliches Format mit breiter Systemunterstützung durch Software und Bibliotheken sein, in dem bereits einiges prüfbar wird. Und selbstverständlich gehört ein minimales Sicherheitskonzept überall implementiert. Sonst sollte man solche Projekte nicht anfassen. Das wird nie gut enden.
Das ist ja die Frage, wer womit was anfangen kann, und wem das dann nützt.