Empfängerverifikation – ein Lehrstück für missglückte Kommunikation von Mehrwerten

Mit der sogenannten Empfängerverifikation – oder „Verification of Payee“ (VoP) – sollten Überweisungen im europäischen Zahlungsverkehr sicherer werden. Die Funktion, eingeführt auf Basis der EU-Verordnung über Sofortzahlungen (Instant Payments Regulation, 2024), verpflichtet Banken, vor Ausführung einer Transaktion zu prüfen, ob der eingegebene Empfängername zur IBAN passt. Das Ziel ist klar: Fehlüberweisungen und Betrug sollen verhindert, der Verbraucherschutz gestärkt werden. Doch was als Fortschritt gedacht war, wird in der Praxis zum Stolperstein. Statt Vertrauen zu schaffen, erzeugt die Funktion derzeit vor allem Verunsicherung – und das, obwohl Banken damit erstmals echte Haftung übernehmen.

Viele deutsche Banken und Sparkassen haben die VoP-Implementierung vor allem als regulatorische Aufgabe behandelt. Der Fokus lag auf der Erfüllung der Compliance-Anforderung – weniger auf der Kundenerfahrung. Die Folge: Überweisungen bleiben plötzlich hängen, Warnmeldungen erscheinen ohne klare Erklärung, und teilweise werden sogar Teile des tatsächlichen Kontonamens offengelegt – ein datenschutzrechtliches Risiko, das alles andere als vertrauensbildend wirkt.

Abgesehen davon entsteht bei den Kunden der Eindruck, die Banken würden sich aus der Verantwortung stehlen, ihnen die Haftung zuschieben oder schlicht neue Hürden errichten. Dabei ist das Gegenteil richtig. Vor der Empfängerverifikation haftete die Bank bei einer Fehlüberweisung de facto nicht. Wer eine falsche IBAN eingegeben hatte, trug das Risiko allein. Mit der neuen Regelung übernehmen Banken nun Verantwortung für die Übereinstimmung von Name und Kontoverbindung – und damit erstmals eine aktive Schutzfunktion im Überweisungsprozess.

Was also als echter Fortschritt in Richtung Verbraucherschutz gedacht war, erscheint nun als Rückschritt. Diese Diskrepanz ist kein Kommunikationsdetail, sondern eine strategische Fehlleistung: Banken haben es versäumt, den Mehrwert dieser Funktion nachvollziehbar und positiv zu vermitteln.“

Tobias Weidemann, IT-Finanzmagazin

Technische Komplexität trifft Legacy-Realität

Die eigentliche Herausforderung liegt aber im Hintergrund. Der Abgleich zwischen Empfängername und IBAN erfolgt in Echtzeit über eine technische Anfrage zwischen der sendenden und der empfangenden Bank. Die Systeme gleichen den eingegebenen Namen gegen die im Core-Banking-System hinterlegten Daten ab, normalisieren dabei Schreibweisen, prüfen Sonderzeichen und liefern ein Ergebnis in Form eines Ampelstatus: „Match“, „Close Match“ oder „No Match“. Doch dieser scheinbar einfache Prozess ist in einer heterogenen IT-Landschaft kaum einheitlich zu realisieren. Banken und Sparkassen nutzen unterschiedliche Kernbankensysteme, teils jahrzehntealte Architekturen, an die neue Schnittstellen nur mit erheblichem Aufwand angedockt werden können. Hinzu kommen variierende Matching-Algorithmen, divergierende Toleranzschwellen und unterschiedliche Interpretationen dessen, was als „ähnlich genug“ gelten darf.

Ein weiteres Problem stellen nicht einheitliche Regeln dar, wie Umlaute und andere diakritische Zeichen zu behandeln sind, wann sie wie umgesetzt und damit als ähnlich eingestuft werden. Hinzu kommt die fehlende Harmonisierung auf europäischer Ebene. Umlaute, Sonderzeichen und unterschiedliche Schreibkonventionen werden von den Systemen nicht immer gleich interpretiert. „Müller“ wird zu „Mueller“ oder „Muller“, „&“ zu „und“ – Kleinigkeiten, die im technischen Matching aber den Unterschied zwischen „Match“ und „Close Match“ ausmachen können.

Unterm Strich viel Verwirrung, die nicht sein müsste und im besten Fall verunsichert, im schlimmsten Fall dazu führt, dass Zahlungen später oder gar nicht ausgeführt werden, es unnötige Rückfragen gibt und Firmen Kosten- und Zeitaufwand entsteht. Während einige Institute bereits bei kleinsten Abweichungen eine Warnmeldung ausgeben, lassen andere dieselbe Eingabe passieren.

Diese Uneinheitlichkeit führt dazu, dass das Kundenerlebnis je nach Institut völlig unterschiedlich ausfällt – ein Zustand, der dem Vertrauen in den Zahlungsverkehr als Ganzes schadet und einmal mehr all denen nutzt, die ihr regelmäßiges „nur Bares ist Wahres“ predigen wollen.“

Tobias Weidemann, IT-Finanzmagazin

Datenschutz als Kollateralschaden

Besonders heikel ist, dass manche Implementierungen unbeabsichtigt mehr preisgeben, als sie sollten. In Fällen von „Close Match“ werden teilweise tatsächliche Kontonamen oder Namensbestandteile sichtbar – entgegen der Vorgaben des Datenschutzrechts. Das kann etwa dann problematisch werden, wenn eine Person ihre zweiten Vornamen nicht offenbaren möchte (aber im Sinne der Geldwäscheprävention gemäß der Schreibweise im Personalausweis muss). In anderen Fällen werden bislang verheimlichte Nachnamensteile sichtbar, was datenschutzrechtlich bedenklich sein kann. Auch die Offenlegung von Vornamen mit geschlechtlicher Konnotation kann zu persönlichen Problemen führen. Was als Schutzmechanismus gedacht war, kann so schnell zur Quelle neuer Risiken werden.

Gerade Sparkassen und Regionalbanken, die traditionell als besonders vertrauenswürdig gelten, geraten hier in eine paradoxe Lage. Ihre Kundschaft erwartet Zuverlässigkeit und Vertraulichkeit, bekommt aber plötzlich Warnmeldungen, die Namensteile offenbaren oder Überweisungen verzögern. Damit wird der psychologische Effekt der Sicherheitsfunktion ins Gegenteil verkehrt: Aus Vertrauen wird Unsicherheit. Dass Banken diese Stolperfallen nicht klar kommunizieren, verstärkt die Irritation. Die meisten Kunden wissen weder, warum ihre Überweisung plötzlich blockiert wird, noch dass sie im Zweifel weiterhin die Möglichkeit haben, diese manuell freizugeben (und dass das vor allem genauso gut oder unsicher ist, wie es jahrelang war). Statt einer transparenten Erklärung erhalten sie eine Sicherheitswarnung, die im besten Fall unklar, im schlimmsten Fall abschreckend wirkt.

Strategisches Versäumnis: Sicherheit ohne Story

Das eigentliche Problem liegt damit weniger in der Technik als in der Strategie und der Kommunikation zum Thema. Denn die Empfängerverifikation hätte für Banken eine Chance sein können, digitale Sicherheit als Serviceleistung zu inszenieren – als Beweis dafür, dass man Kundengelder aktiv schützt, statt nur auf Regulierung zu reagieren. Doch diese Chance wurde vertan. In der Außenwahrnehmung erscheint die Funktion als bürokratische Hürde, als neuerliche europäische „Gurkenverordnung“ und als weiterer Beleg dafür, dass Banken beim Thema Digitalisierung zu langsam, zu kompliziert und zu kundenfern agieren. Statt die neue Haftung als Vertrauensversprechen zu kommunizieren, dominieren in den letzten Tagen negative Schlagzeilen über Fehlermeldungen und Datenschutzpannen.

Für viele Banken ist das doppelt ärgerlich. Sie haben investiert, ihre Systeme erweitert, Echtzeitschnittstellen implementiert – und trotzdem entsteht der Eindruck, man habe „wieder einmal“ etwas verschlimmbessert und auf dem Rücken der Kundschaft eingespart.“

Tobias Weidemann, IT-Finanzmagazin

Doch die Empfängerverifikation ist in erster Linie kein gescheitertes Projekt, sondern ein Spiegel dafür, wie Banken mit regulatorischem Wandel umgehen oder vielmehr nicht umgehen. Wenn technische Compliance Vorrang vor Kundenerlebnis hat, bleibt von der eigentlichen Innovation wenig übrig. Digitalisierung im Banking bedeutet heute nicht nur, Prozesse zu automatisieren, sondern Vertrauen in digitalen Interaktionen aktiv zu gestalten. Banken und Sparkassen stehen damit vor einer doppelten Aufgabe: Sie müssen die technische Zuverlässigkeit der VoP-Verfahren sicherstellen – insbesondere bei Schnittstellen zwischen Core-Banking, Zahlungsverkehr und Fraud-Systemen – und gleichzeitig die Kommunikation neu denken. Nur wer erklärt, was sich verändert und warum, kann Vertrauen zurückgewinnen. Und am Ende zeigt sich: Sicherheit wird nicht durch Regulierungsdruck geschaffen, sondern durch Vertrauen in die Systeme, die sie umsetzen – Vertrauen entsteht dort, wo Technologie, Transparenz und Kundenerlebnis zusammenfallen.tw