„Verification of Payee“ (VoP): Die Empfängerüberprüfung ist da

Ab 2027 greift sie dann auch für die übrigen Mitgliedstaaten der Europäischen Union, die nicht zur Eurozone gehören. Es handelt sich hierbei um eine bankaufsichtsrechtliche Verpflichtung für Zahlungsdienstleister, dem Zahler eine zusätzliche Dienstleistung zur Überprüfung des Zahlungsempfängers, an den der Zahler eine Überweisung in Auftrag geben will, anzubieten. Der angewiesene Zahlungsdienstleister überprüft hierbei per Datenabfrage bei dem empfangenden Zahlungsdienstleister, ob der vom Zahler angegebene Empfängername mit demjenigen Empfängernamen übereinstimmt, unter dem das empfangende Konto mit der angegebenen IBAN geführt wird, und übermittelt dem Zahler das Ergebnis. Der letzte Schritt, die Autorisierung einer Zahlung, liegt beim Zahler. Insofern muss er entscheiden und verantworten, ob er die betreffende Überweisung, auch wenn Abweichungen vorliegen, autorisieren möchte oder nicht. Zum Zwecke der technischen Umsetzung hat das private European Payments Council (EPC)²Der private European Payments Council (EPC) ist eine nichtkommerzielle Vereinigung von Zahlungsdienstleistern und ihren Verbänden, die 2002 gegründet wurde, um das Management des einheitlichen Euro-Zahlungsverkehrsraum (SEPA) auf der Ebene der Zahlungsdienstleister zu organisieren. ein Rulebook zu den technischen Schnittstellen (API) für die europaweite Umsetzung bereitgestellt, welche allerdings – rechtlich gesehen – keinen amtlichen Charakter hat.³European Payments Council, Verification Of Payee Scheme Rulebook, EPC 218-23/2024 Version 1.0, abgerufen unter https://www.europeanpaymentscouncil. eu/document-library/rulebooks/verification-payee-scheme-rulebook.Ab 2027 greift sie dann auch für die übrigen Mitgliedstaaten der Europäischen Union, die nicht zur Eurozone gehören. Es handelt sich hierbei um eine bankaufsichtsrechtliche Verpflichtung für Zahlungsdienstleister, dem Zahler eine zusätzliche Dienstleistung zur Überprüfung des Zahlungsempfängers, an den der Zahler eine Überweisung in Auftrag geben will, anzubieten. Der angewiesene Zahlungsdienstleister überprüft hierbei per Datenabfrage bei dem empfangenden Zahlungsdienstleister, ob der vom Zahler angegebene Empfängername mit demjenigen Empfängernamen übereinstimmt, unter dem das empfangende Konto mit der angegebenen IBAN geführt wird, und übermittelt dem Zahler das Ergebnis. Der letzte Schritt, die Autorisierung einer Zahlung, liegt beim Zahler. Insofern muss er entscheiden und verantworten, ob er die betreffende Überweisung, auch wenn Abweichungen vorliegen, autorisieren möchte oder nicht. Zum Zwecke der technischen Umsetzung hat das private European Payments Council (EPC)⁴Der private European Payments Council (EPC) ist eine nichtkommerzielle Vereinigung von Zahlungsdienstleistern und ihren Verbänden, die 2002 gegründet wurde, um das Management des einheitlichen Euro-Zahlungsverkehrsraum (SEPA) auf der Ebene der Zahlungsdienstleister zu organisieren. ein Rulebook zu den technischen Schnittstellen (API) für die europaweite Umsetzung bereitgestellt, welche allerdings – rechtlich gesehen – keinen amtlichen Charakter hat.⁵European Payments Council, Verification Of Payee Scheme Rulebook, EPC 218-23/2024 Version 1.0, abgerufen unter https://www.europeanpaymentscouncil. eu/document-library/rulebooks/verification-payee-scheme-rulebook.

II. WIE SIEHT DAS PRAKTISCH AUS: EINE HANDLUNGSEMPFEHLUNG

Das Ergebnis der Empfängerprüfung (Verification of Payee) wird dem Zahler in wenigen Sekunden angezeigt. Aus den vier denkbaren Ergebnissen leiten die Autoren dieses Beitrages vier Handlungsempfehlungen ab:

• Match/grüne Ampel: Empfängername und IBAN stimmen überein. Der Autorisierung steht nichts im Wege. Die Verantwortung für die Zahlung mit dieser Autorisierung verbleibt beim Zahler.
• Close-Match/gelbe Ampel: Es liegen kleine Abweichungen vor. Wenn es sich nur um Tippfehler oder minimale Abweichungen handelt (z.B.: „ilex Rechtsanwaelte“ statt „ilex Rechtsanwälte“), wird der richtige Name angezeigt. Hier sollte der Zahler nochmals prüfen, ob es sich tatsächlich um den vorgesehenen Zahlungsempfänger handelt.
• No-Match/rote Ampel: Deutliche Abweichungen, es liegt keine Übereinstimmung vor. Passt der Zahlungsempfänger nicht zur IBAN, erscheint ein Warnhinweis. Jetzt sollte der Zahler detailliert überprüfen, ob es sich um ein Versehen oder um einen Betrug handelt.
• Kein Ergebnis: Manchmal kann die Abfrage auch fehlschlagen, etwa durch technische Störungen oder fehlende Daten. Dann erhält der Zahler eine Mitteilung, dass keine eindeutige Prüfung möglich ist. Auch in diesem Fall sollte der Zahler erneut eigenständig kontrollieren, ob der Zahlungsempfänger und die IBAN richtig sind.

III. DIE BISHERIGE ANZEIGE DES ZAHLUNGSEMPFÄNGERS IST KEINE EMPFÄNGERPRÜFUNG

Die Empfängerprüfung (Verification of Payee) ist neu und unterscheidet sich von der bisherigen Anzeige des Zahlungsempfängers bei der Autorisierung einer Zahlungsanweisung. Schon nach der früheren Rechtslage musste der Zahlungsdienstleister dem Zahler vor der Autorisierung den Namen des Zahlungsempfängers anzeigen (vgl. § 55 Abs. 5 ZAG i. V. m. Art. 5 Abs. 1 a) Alt. 2 der Delegierten Verordnung (EU) 2018/389).⁶DelegiertenVerordnung (EU) 2018/389 der Kommission v. 27.11.2017 zur Ergänzung der Richtlinie (EU) 2015/2366 des Europäischen Parlaments und des Rates durch technische Regulierungsstandards für eine starke Kundenauthentifizierung und für sichere offene Standards für die Kommunikation. Diese Pflicht zur Anzeige des Zahlungsempfängers aus der sog. Dynamischen Verknüpfung beruht aber bislang nicht auf einen Datenabgleich mit dem empfangenden Zahlungsdienstleister, sondern bezog sich nur darauf, dass der Zahlungsdienstleister dem Zahler den von ihm selbst angegebenen Zahlungsempfänger nochmals im Rahmen der starken Kundenauthentifizierung vor der Autorisierung (§ 675j Abs. 1 BGB) zu Kontrollzwecken anzeigen musste (z.B. in einer App oder einem Freigabegerät). Eine Empfängerprüfung beim empfangenden Zahlungsdienstleister fand bislang nicht statt.

Von der Autorisierung einer Zahlungsanweisung zu unterscheiden ist die Ausführung der Zahlung durch den Zahlungsdienstleister. Hier gilt aufgrund von § 675r Abs. 1 BGB das Prinzip des „IBAN-only“. Daraus folgern Gerichte, dass Banken berechtigt sind, einen Zahlungsvorgang ausschließlich anhand der von dem Zahler angegebenen Kundenkennung (IBAN) auszuführen.⁷OLG Schleswig-Holstein v. 27.1.2012 – 5 U 4/12, juris. Das war nach früherer Rechtslage anders. Vor der Einführung der SEPA-Zahlung galt der Grundsatz der „formalen Auftragsstrenge“. Demzufolge war früher grundsätzlich allein die Empfängerbezeichnung maßgeblich. Gab es früher eine Abweichung zwischen Kontonummer und Zahlungsempfänger, wurde im Interbankenverkehr die Zahlung meist zurückgegeben, um die nicht beim Zahler liegende Haftung zu meiden. Die praktische Folge mit der Einführung der SEPA-Zahlungen und dem Prinzip des „IBAN-only“ war es, dass dem Zahler jetzt rechtlich das Risiko übertragen wurde, wenn ein Zahlendreher in die angegebene IBAN hineingeraten war; was durchaus öfters vorkommt. Argumentiert wurde, die Angabe des Zahlungsempfängers sei, auch aufgrund verschiedener Schreibweisen desselben Namens, zu fehleranfällig. Gerade in der Notariats- und Anwaltskanzlei, die ggf. Fremdgeld verwaltet, ist es deshalb von Bedeutung, Zahlendreher in der IBAN zu meiden. Organisatorisch sollte deshalb per se keine IBAN durch Mandanten am Telefon entgegengenommen werden, sondern Fremdgeld empfangende Mandanten sollten angehalten werden, Zahlungsempfänger und IBAN in Textform zu übermitteln, um so die Dokumentation des schuldbefreienden Zahlungsvorganges zu ermöglichen.

Ob die Einführung der Empfängerprüfung (Verification of Payee) nun dazu führt, dass sich die rechtliche Bewertung wieder ändert und wir zum früheren Prinzip der formalen Auftragsstrenge zurückkehren, bleibt abzuwarten. Jedenfalls ermöglicht die Empfängerprüfung (Verification of Payee) dem Zahler erstmals einen echten Datenabgleich mit dem empfangenden Zahlungsdienstleister, der sich von der bisherigen Anzeige des Zahlungsempfängers bei der Autorisierung unterscheidet.

IV. BETRUGSPRÄVENTION: DIE REALITÄT DES CYBERCRIME

Das bisherige Zahlungssystem vor der Einführung der Empfängerprüfung (Verification of Payee) war betrugsanfällig. Das hat sich in den vergangenen Jahren durch ausgefeilte Cybercrime-Angriffe deutlich verstärkt.

Bei einem ausgefeilten Cybercrime-Angriff suchen sich Täter gezielt eine schlecht geschützte IT eines Wirtschaftsunternehmens aus. Beliebte Angriffsszenarien bestehen darin, Maildatenbanken von Wirtschaftsunternehmen, die nur mit einem einfachen Passwort über das Internet abrufbar sind, auszulesen. Für versierte Täter stellt der Zugriff auf nur einfachgeschützte Maildatenbanken keine Hürde dar. Ist eine Maildatenbank einmal abgegriffen, kann man die Lieferantenbeziehungen ausforschen. Seit Jahren kennen wir das Phänomen, dass Betrüger Lieferantenrechnungen fälschen, versenden und hierbei im Vergleich zur Originalrechnung lediglich die IBAN austauschen. Die Einführung der sog. E-Rechnung (elektronische Rechnung) ab dem 1. Januar 2025, die nur noch ein strukturierter, maschinenlesbarer Datensatz im Format XML darstellt und die automatisierbare und medienbruchfreie Verarbeitung ermöglicht, war ein digitaler Fortschritt, hat aber auch ein „El Dorado“ für Betrüger geschaffen.

Dazu gesellen sich Tausende von Phishing-Angriffen, bei denen Bankkunden mittels durchaus ausgefeilten Social-Engineering-Angriffen durch Täuschungshandlungen dazu gebracht werden, Zahlungen unbeabsichtigt auf einen sogenannten „Bankdrop“ anzuweisen; also einem unter falscher Identität angelegtem Bankkonto.⁸In dem Beitrag Schulte am Hülse/Bremm/Steinsdörfer/Rößler/Kunz, Angriffe auf Online-Banking-Systeme, MMR 2025, S. 336 ff. wurden 539 Beispielfälle mit einem Gesamtschaden von 8,79 Mio. Euro und einem durchschnittlichen Schadensbetrag von 16.308 Euro pro Fall ausgewertet. Solche „Bankdrops“, wie sie im Fachjargon heißen, gibt es im Darknet ab circa 500 $ aufwärts zu kaufen.

„Die Einführung der Empfängerprüfung ist eine überfällige und notwendige Reaktion auf ausgefeilte Cybercrime-Angriffe“

Die Einführung der Empfängerprüfung (Verification of Payee) ist eine überfällige und notwendige Reaktion hierauf. Durch den Abgleich der IBAN und des Empfängernamens vor der Autorisierung soll der Zahler vor Fehlüberweisungen und Betrug geschützt werden, wie sich aus dem Erwägungsgrund 20 der EU-Verordnung 2025/886 ergibt.

V. WARUM WIRD ES ABSEHBAR „RUMPELN“?

Zahlungsanweisungen an Konzerngesellschaften können eine Herausforderung sein. Beispielsweise wäre eine Zahlung an „Daimler“ entweder an die in das Handelsregister eingetragene „Mercedes-Benz AG“ oder an eine Konzerntochter oder Konzernschwester anzuweisen, die aber auch einen ganz anderen Namen tragen kann. Bei juristischen Personen bedarf es insofern der korrekten Angabe des im Handelsregister eingetragenen Unternehmensnamens, weil die Wahrscheinlichkeit hier am höchsten ist, dass dies auch der bei dem empfangenden Zahlungsdienstleister eingetragene Name des Kontoinhabers ist. Markenbegriffe sind häufig nicht identisch mit dem Unternehmensnamen, unter dem das Konto geführt wird. Tippfehler und Abkürzungen, die gerade im Unternehmensbereich durch viele Zahlungen häufig vorkommen, führen zu sogenannten „partial matches“.

„Unternehmen können die Empfängerprüfung (Verification of Payee) zwar deaktivieren. Davon raten wir aber ab“

Bei natürlichen Personen muss als Zahlungsempfänger sowohl der Vorname als auch der Nachname korrekt angegeben werden. Namen können sich bekanntlich durch Eheschließungen ändern. Wenn Gläubiger sich eine Zahlung an das Konto des Ehepartners erbeten, wird dies, jetzt wo der Name des Zahlungsempfängers wieder eine Rolle spielt, deutlich gemacht werden müssen. Dazu kommt das Vorhandensein diakritischer Zeichen (im deutschen die Umlaute ä, ö, ü, darüber hinaus der Zirkumflex â, ê, î, der Akut é, der Gravis à, der Zirkumflex â oder die Cédille ç) und unterschiedliche Transliterationen von Namen in verschiedenen Alphabeten. Dies alles führt zu Rückmeldungen, die geprüft werden müssen und die Zahlungsprozesse verzögern. Für Rechtsanwaltskanzleien empfiehlt sich:

• Unternehmen können die Empfängerprüfung (Verification of Payee) zwar deaktivieren. Davon raten wir aber ab. Stattdessen sollte man aus der Not des zusätzlichen Aufwandes eine Tugend machen: Viele Rechtsanwälte unterliegen ohnehin gesetzlichen Geldwäschepräventionsvorschriften und müssen bei Mandatsbeginn den Mandanten identifizieren. Diese Identifikationsprüfung kann man nutzen, um die eigene Datenerfassung auf Vordermann zu bringen und um Zahlungsdaten zu erweitern. Die Pflege dieser Daten muss ohnehin kontinuierlich fortgeführt werden. Insbesondere Namensänderungen, Heirat, Promotion und gesellschaftsrechtliche Änderungen müssen beachtet und die Datenbank fortlaufend aktualisiert werden. Hierzu lohnt es sich, die kanzleieigenen Abläufe zu überdenken.
• Um den Mehraufwand durch die Einführung der Empfängerprüfung (Verification of Payee) im Zaum zu halten und zum Schutz vor Bankbetrug existieren bereits unterschiedliche Softwarelösungen, die die Empfänger-IBAN validieren und mit Hilfe von KIbasierter Software den eigenen Datenbestand auf Betrugsindikatoren automatisiert abklopfen. Solche Softwarelösungen sollten in einer guten Banking- Software ohnehin integriert sein.
• Umgekehrt sollte jede Anwaltskanzlei in ihrem eigenen Rechnungswesen den Beitrag leisten, um den Überweisungsverkehr mit der neuen Empfängerprüfung zu erleichtern. Geben Sie dazu neben der kontoführenden Bank und der IBAN explizit in Rechnungen den Namen des Zahlungsempfängers hervorgehoben und unzweifelhaft an, unter der das Konto der Kanzlei tatsächlich geführt wird. Ansonsten wird es bei Ihnen absehbar Schuldner geben, die Zahlungsanweisungen vornehmen wollen, die dann aufgrund einer Warnmeldung nicht ausgeführt werden. Dies führt dann zu unnötigen Rückfragen.

VI. IST DER BANKING-BETRUG ZUKÜNFTIG EINGEDÄMMT?

Der Betrugsanfälligkeit wird durch die Empfängerprüfung (Verification of Payee) in der nächsten Zeit gemindert, aber absehbar nicht beseitigt. Mit der Entscheidung für die Digitalisierung, die viele Vorteile bietet, ist der Geist für Cybercrime-Schadensfälle buchstäblich „aus der Flasche“ und kehrt dorthin auch nicht mehr zurück. Die zukünftige Entwicklung deutet in die Richtung, die wir seit rund 20 Jahren bei ilex Rechtsanwälte beobachten: Die Empfängerprüfung (Verification of Payee) ist für einen begrenzten Zeitraum ein sinnvolles Instrument, die die Cybercrime-Fallzahlen zurückgehen lässt. Betrugstaten, durch die Zahlungen unbeabsichtigt auf ein „Bankdrop- Konto“ fließen, können fortan in einem begrenzten Maß zukünftig verhindert werden. Nicht verhindern kann man damit aber noch intelligentere Angriffsszenarien, bei denen durch entsprechende Schadsoftware selbst die Bildschirmansicht in der Freigabe-App manipuliert wird. Wenn die Täter insofern den Datensatz manipulieren, die der Zahlungsdienstleister bei der Empfängerprüfung versendet und dem Kunden in seiner Ansicht etwas anderes angezeigt wird, geht auch die Empfängerprüfung schief. Das sind aber Angriffsszenarien, die einen gewissen Aufwand erfordern und heute noch selten sind, die aber, nach aller Erfahrung, kommen werden, sobald die Täterseite wieder nachrüstet.

Insofern sollte keine Anwaltskanzlei den Fehler machen, den Vorteil der mit der Empfängerprüfung (Verification of Payee) einhergehenden höheren Betrugsprävention und das Verhindern von Fehlüberweisungen zum Anlass zu nehmen, die Bemühungen bei der IT-Sicherheit fortan zu vernachlässigen.