Mit Inkrafttreten der neuen EU-Verordnung 2024/886 beginnt für Banken im Euroraum ein neues Kapitel im Zahlungsverkehr. Eine Kontrolle der International Bank Account Number (IBAN) und dem Empfänger fand bisher nicht statt. Ab Oktober wird nun aber der Namensabgleich mit der IBAN verpflichtend. Insofern müssen Banken vor Ausführung einer Überweisung prüfen, ob Name und IBAN des Zahlungsempfängers zusammenpassen. Ziel ist es, Zahlungsvorgänge sicherer zu gestalten und Betrugsversuchen entgegenzuwirken.
Hintergrund der Reform
Bisher erfolgte die Ausführung von Überweisungen allein auf Basis der angegebenen IBAN. Der Name des Empfängers wurde von Banken ignoriert. Das hat zur Folge, dass Kunden häufig auf gut Glück überweisen, in der Hoffnung, dass die Angaben, die sie zuvor übermittelt bekommen haben, korrekt sind.
Der ab dem 09.10.2025 verpflichtende „Verification of Payee“ (VOP) soll diese Sicherheitslücke schließen. Das gilt sowohl für eurpäische Online-Überweisungen als auch für die Abgabe von entsprechenden Überweisungsbelegen am Schalter. Banken müssen ihren Kunden unmittelbar nach Eingabe von Namen und IBAN rückmelden, ob die Daten übereinstimmen. Bei Abweichungen wird ein Warnhinweis angezeigt. Die Entscheidung über die tatsächliche Ausführung verbleibt aber beim Zahlenden. Dieser Service soll laut den EU-Vorgaben kostenlos sein.
Erforderlichkeit eines neuen Rechtsrahmens
Der neue Abgleich gehört zu einer umfassenderen Initiative der EU zur Bekämpfung von Zahlungsbetrug aus der Verordnung EU 2024/886 über Echtzeitüberweisungen in Euro. Die gesamten Vorgaben gelten ab dem 09.07.2027. Bereits mit der PSD2-Richtlinie wurden wichtige Anforderungen wie Zwei-Faktor-Authentifizierung eingeführt. Hauptzielrichtung war damals allerdings noch, zu verhindern, dass mit gestohlenen Online-Zugangsdaten, Schäden eintraten.
Doch Betrugsstrategien haben sich mittlerweile angepasst. Kriminelle nutzen zunehmend sogenannte Social-Engineering-Techniken, um Opfer psychologisch zu manipulieren und zu Echtzeitüberweisungen zu verleiten. Dann fallen regelmäßig der angegebene angebliche Empfänger und der tatsächliche Inhaber des Bankkontos auseinander. Täter bauen regelmäßig gezielt emotionalen und zeitlichen Druck auf, beispielsweise durch angebliche Strafandrohungen, Notlagen von Angehörigen oder betrügerische Hinweise vermeintlicher Bankmitarbeitender.
Rechtliche Bewertung und datenschutzrechtliche Einordnung
Mit dem verpflichtenden Abgleich zwischen Namen und IBAN werden zusätzliche personenbezogene Informationen im Rahmen des Zahlungsverkehrs verarbeitet. Diese unterliegen ebenso wie alle Datenverarbeitungsvorgänge bei Zahlungsdiensten den Vorgaben der Datenschutzgrundverordnung (DSGVO). Aus datenschutzrechtlicher Sicht ist die Empfängerüberprüfung grundsätzlich zulässig, sofern sie auf einer klaren gesetzlichen Grundlage beruht und keine weitergehende Datenverarbeitung stattfindet, als zur Erfüllung des Verordnungsziels erforderlich.
Da der Abgleich ausschließlich zwischen den an der Zahlung beteiligten Banken erfolgt und keine Daten an unbeteiligte Dritte gelangen, ist von einem vertretbaren datenschutzrechtlichen Risiko auszugehen. Wichtig ist jedoch, dass Banken ihre Kunden transparent über die neue Prüfung informieren und den Hinweistext so gestalten, dass auch unerfahrene Nutzer die Bedeutung verstehen.
Grenzen der Schutzwirkung
So begrüßenswert die neue Vorschrift ist, kann der IBAN-Namensabgleich Betrug nicht vollständig verhindern. Täter, die ihre Opfer bereits emotional unter Druck gesetzt haben, können diese auch dazu bringen, einen Warnhinweis zu ignorieren. Insbesondere dann, wenn Täter eine plausible Erklärung dafür abliefern können, weshalb Zahlungsempfänger und etwa die entsprechende Organisation abweicht.
Denn trotz Warnhinweis soll die finale Entscheidung weiterhin beim Kunden liegt. Das gilt insbesondere, da es legitime Fälle gibt, in denen Name und Kontoinhaber nicht übereinstimmen. Beispielsweise, wenn ein Kunde den ihm bekannten Namen eines Unternehmens eingibt, dieses aber offiziell bei der Bank unter einer abweichenden Bezeichnung geführt wird.
Örtlicher Geltungsbereich
Grundsätzlich gehören zur Single Euro Payment Area (SEPA) 36 Staaten. Neben den 27 EU-Mitgliedstaaten zählen hierzu Großbritannien, Norwegen, Liechtenstein, Island, die Schweiz, Monaco, Andorra, Vatikanstadt und San Marino. Allerdings können bezogen auf die Empfängerüberprüfung Norwegen, Lichtenstein und Island selbst bestimmen, ob sie die Vorgaben umsetzen wollen. Für die Schweiz und Großbritannien ist eine Übernahme der Vorgaben nicht vorgesehen.
Fazit
Der Namensabgleich mit der IBAN wird ab Oktober verpflichtend, wobei es sich um einen längst überfälligen Schritt hin zu mehr Transparenz und Sicherheit im Zahlungsverkehr. Unternehmen wie Verbraucher erhalten damit ein zusätzliches Werkzeug, um Überweisungsfehler und gezielte Betrugsversuche zu vermeiden. Dennoch gilt: Die Maßnahme ersetzt keine Wachsamkeit. Besonders bei emotional aufgeladenen Situationen, in denen schnelle Entscheidungen gefordert sind, bleibt Aufklärung entscheidend.
