Datenschutz / Wirtschaftsrecht
Verify of Payee (VoP)
Welche Daten dürfen Banken weitergeben?
13. Oktober 2025
Bild:
rupixen / unsplash.com
Überweisungen nur durch Eingabe der IBAN?
Seit Oktober 2025 ist das nicht mehr möglich.
Auf Grund der sog. "Instant Payment Regulation" (= "Echtzeitüberweisungsverordnung") der EU sind Banken nunmehr verpflichtet, im Rahmen des SEPA-Überweisungsverfahrens weitere Prüfungen vor Freigabe der Überweisung vorzunehmen.
Neben der Eingabe der IBAN wird nun die Eingabe des Empfängernamens gefordert - und auf Übereinstimmung überprüft.
Full Match, Close Match oder No Match
Seit Oktober 2025 wird bei ausgehenden Überweisungen nicht mehr ausschließlich die IBAN, sondern zusätzlich die Übereinstimmung des Empfängernamens geprüft. In diesem Verfahren, dem sog. "Verify of Payee"-Verfahren, übermittelt das anweisende Kreditinstitut die eingegebenen Empfängerdaten an die Empfängerbank. Diese übermittelt sodann die ihrerseits hinterlegten Daten des Empfängers, sodass die anweisende Bank die Möglichkeit hat, die eingegebenen mit dem tatsächlich hinterlegten Daten abzugleichen. Auf Prüfung der anweisenden Bank hin, erhält der Anweisende die Rückmeldung „Full Match“, „Close Match“ oder „No Match“.
Eine exakte Übereinstimmung der Daten, der sogenannte Full Match, ermöglicht die sofortige Freigabe der Transaktion. Im Falle eines Close Match – etwa bei geringfügigen Abweichungen im Namen – wird die anweisende Person durch eine Warnmeldung informiert und erhält Kenntnis über den korrekt hinterlegten Namen. Ein No Match signalisiert eine vollständige bzw. erheblichere Unstimmigkeit, woraufhin lediglich eine Fehlermeldung erfolgt, dass keine Übereinstimmung bestehe. Im Falle des No Match werden keine Daten an die anweisende Person weitergegeben. Überdies trägt, wer bei Ausgabe von "Close Match" oder "No Match" dennoch die Überweisung ausführt, fortan das rechtliche Risiko einer Fehlüberweisung samt entsprechender Haftung selbst.
"Close Match" als rechtliches und tatsächliches Problem
Die Definition der Schwellenwerte für die Übereinstimmungsgrade "Close Match" und "No Match" liegt im Ermessen der einzelnen Kreditinstitute, was in der Praxis zu einer uneinheitlichen Handhabung führt. Während beispielsweise die Sparkasse (Stand: Oktober 2025) bei zusätzlichen Vornamen – etwa im Abgleich von „Mia Muster“ mit „Mia Mathilda Muster“ – noch von einer vollständigen Übereinstimmung (Full Match) ausgeht (1), stufen andere Institute solche Abweichungen bereits als Close Match oder gar No Match ein. Während ein No Match im Zahlungsverkehr zwar hinderlich, rechtlich jedoch meist unbedenklich ist, birgt das Close Match erhebliche datenschutzrechtliche Konflikte.
Zwar bietet die gesetzliche Verpflichtung zum Abgleichverfahren (Verification of Payee) in Verbindung mit Art. 6 Abs. 1 lit. c) DSGVO grundsätzlich eine Rechtsgrundlage für die Mitteilung des hinterlegten Namens, doch entbindet dies die Banken nicht von den Grundsätzen der Zweckbindung (Art. 5 Abs. 1 lit. b) DSGVO) und Datenminimierung (Art. 5 Abs. 1 lit. c) DSGVO). Die DSGVO gilt unbeschadet. So scheint die Übermittlung von Namensbestandteilen, die für die bloße Verifikation des Empfängers nicht zwingend erforderlich sind, unzulässig, sofern keine anderweitige Rechtsgrundlage besteht.
Da auch die Instant Payment Regulation (Art. 5c Abs. 1 IPR) lediglich normiert, dem Zahlungsdienstleister die für die Überprüfung relevanten Informationen zur Verfügung zu stellen, lässt sich die Preisgabe überschießender Informationen, bereits an die ausführende Bank, aber jedenfalls an die anweisende Person, kaum auf eine rechtliche Verpflichtung stützen.
"Der Zahlungsdienstleister des Zahlers bietet dem Zahler eine Dienstleistung zur Überprüfung des Zahlungsempfängers, an den der Zahler eine Überweisung in Auftrag geben will, an (Empfängerüberprüfung). Die Empfängerüberprüfung wird vom Zahlungsdienstleister des Zahlers unmittelbar, nachdem der Zahler die relevanten Informationen über den Zahlungsempfänger übermittelthat und bevor dem Zahler die Möglichkeit zur Autorisierung dieser Überweisung gegeben wird, durchgeführt."
– Art. 5c Abs. 1 IPR
Eine eindeutige Identifizierung kann bereits dann erfolgen, soweit nur der gebräuchlich geführte und eingetragene Name weitergegeben wird. Dies wird bei Verbrauchern regelmäßig der Rufname – nicht zwingend der erste Vorname – samt Nachname, bei Freiberuflern der Rufname oder Unternehmensbezeichnung und bei Unternehmen die Firma oder Firmenkurzbezeichnung sein.
Operative Herausforderungen und datenschutzrechtliche Risiken
Nicht nur werden persönliche Daten, die man - insbesondere im Geschäftsleben – nicht mit jedem teilen möchte, weitergegeben. Auch führen Überweisungen zu deutlichem Mehraufwand. Insbesondere Buchhaltungssysteme haben mit dem VoP-Verfahren zu kämpfen.
Ob die Gerichte und Datenschutzbehörden dieser Auffassung folgen, bleibt abzuwarten.
Die praktischen Auswirkungen dieser neuen Prüfpflichten sind vielschichtig und nicht ohne Risiko. Über die rein technische Umsetzung hinaus führt das Verfahren zur Preisgabe sensibler Informationen, die – insbesondere im professionellen Geschäftsverkehr – nicht ohne Weiteres für Dritte bestimmt sind. Flankiert wird diese datenschutzrechtliche Problematik durch einen erheblichen administrativen Mehraufwand: Vor allem automatisierte Buchhaltungssysteme und ERP-Lösungen stoßen durch die Notwendigkeit einer zusätzlichen Freigabe im VoP-Verfahren auf prozessuale Hürden. Wo früher Zahlungen nahtlos verarbeitet wurden, erzwingen Close Match und No Match-Meldungen nun manuelle Prüfschritte, was die Effizienzgewinne moderner Zahlungsverfahren, insbesondere der Echtzeitüberweisung, konterkariert. Gerade die mit der eRechnung gewonnenen Vorteile einer einheitlichen Datenstruktur, die eine automatisierte Datenverarbeitung ermöglich, werden hierdurch begrenzt. Das ohnehin schon skeptische Votum der Allgemeinheit zur eRechnungspflicht wird durch diese Regulierung nur befeuert. Zudem droht eine Verschiebung der Haftungsrisiken zulasten der Kontoinhaber, da die Banken durch die Warnhinweise ihre Aufklärungspflichten formal erfüllen und damit Regressansprüche bei Fehlüberweisungen erschweren.
Ob die Gerichte und Datenschutzaufsichtsbehörden der hier vertretenen Auffassung folgen oder pauschal der Prävention von Fehlüberweisungen – deren Effektivität auch bei einem datenschutzkonformen Datenabgleich nicht gemindert wäre – den Vorrang gewährt, bleibt abzuwarten. Klar ist jedoch, dass Unternehmen ihre internen Prozesse sowie die Stammdatenpflege ihrer Geschäftspartner bereits jetzt anpassen müssen, um Fehlermeldungen und Haftungsfallen proaktiv zu vermeiden.
Handlungsoptionen und proaktive Maßnahmen
Um der beschriebenen Problemstellung zu begegnen, stehen Betroffenen – je nach Rechtsform – verschiedene Wege offen.
Insbesondere freiberuflich tätige Personen, deren geschäftliche Identität eng mit ihrem bürgerlichen Namen verknüpft ist, können ihre Betroffenenrechte aus der DSGVO gegenüber den beteiligten Instituten geltend machen. Ein zentrales Instrument stellt hierbei das Widerspruchsrecht nach Art. 21 DSGVO dar. Da die Datenweitergabe im VoP-Verfahren auf einer rechtlichen Verpflichtung beruht, die eine Interessenabwägung erfordert, kann im Einzelfall der Übermittlung widersprochen werden. In der Praxis müssen Banken hierbei abwägen, ob die Interessen des Nutzers an der Nicht-Verarbeitung bzw. Nicht-Bekanntgabe seiner sonstigen, nicht allgemein geführten Namensbestandteile das Präventionsinteresse und den Schutzzweck des Verfahrens überwiegen. Auch wenn hier noch keine entsprechende Rechtspraxis und Rechtsprechung erkennbar ist, haben wir bereits bei einer großen deutschen Bank erfolgreich eine Löschung von Zweit- und Drittnamen erreicht.
Vergleichsweise unkomplizierter gestaltet sich die Situation für Personen- und Kapitalgesellschaften. Da diese im Rechtsverkehr unter ihrer im Handelsregister eingetragenen Firma auftreten, ist die Identifizierung in der Regel unproblematisch möglich. Um hier „Close Match“-Meldungen und damit verbundene Verzögerungen zu vermeiden, sollten Unternehmen sicherstellen, dass die bei ihrer Geschäftsbank hinterlegten Stammdaten exakt mit der Firmenbezeichnung im Register als auch auf der lesbaren Rechnung und den in der eRechnung hinterlegten Daten übereinstimmt.
Praxistipps
Stammdatenabgleich
Prüfen Sie, welche Namensbezeichnung Ihre Bank im System führt und korrigieren Sie diese gegebenenfalls auf die im Handelsregister hinterlegte Firma bzw. die im Geschäftsverkehr primär genutzten Namensbestandteile.
Kommunikation an Kunden:
Informieren Sie Ihre Geschäftspartner aktiv darüber, welcher Empfängername bei Überweisungen exakt anzugeben ist (z. B. durch einen entsprechenden Hinweis auf Ihren Rechnungen), um automatisierte Warnmeldungen bei Zahlenden vorzugreifen.
Korrektur bei „Close Match“
Geben Sie als Zahler bei einem Close Match keine Zahlungen frei. Passen Sie Empfängerdaten entsprechend der Rückmeldung Ihrer Bank an, auch wenn die Abweichung minimal scheint. Hierdurch vermeiden Sie ein zusätzliches Haftungsrisiko.
Stop bei „NoMatch"
Geben Sie trotz Warnmeldung eine Überweisung bei einem No Match frei, haften Sie im Zweifel selbst. Daher ist angeraten, in solchen Fällen mit dem Geschäftspartner Kontakt aufzunehmen und die Mitteilung der tatsächlich hinterlegten Daten zu erbeten.
(1) Die Sparkasse Allgäu nennt als Beispiel für ein Full Match bei mehreren Vornamen etwa "Max Mustermann" und "Max Maximilian Mustermann" und für ein Close Match die bloße Angabe des Nachnamens "Mustermann" statt "Max Mustermann" – https://www.sparkasse-allgaeu.de/fi/home/produkte/banking-und-software/weitere-services/gesetzliche-aenderungen-bei-ueberweisungen.html
zum autor
Alexander Graf Rachut, LL.M.
ist Gründer der Rechtsanwaltskanzlei fennec. und Lehrbeauftragter für Informationsrecht an der Carl von Ossietzky Universität Oldenburg im Modul Cybersicherheitsrecht.
Als Rechtsanwalt, Wirtschaftsmediator und Rechtsinformatiker berät und vertritt er insbesondere Startups, KMU und Unternehmen im Schnittfeld von IT- und IP-Recht.
