Der IBAN-Name-Check wird zunächst verpflichtend bei Echtzeitüberweisungen…
Am 8. April 2024 ist die Verordnung (EU) 2024/886 des europäischen Parlaments und des Rates vom 13. März 2024 zur Änderung der Verordnungen (EU) Nr. 260/2012 und (EU) 2021/1230 und der Richtlinien 98/26/EG und (EU) 2015/2366 im Hinblick auf Echtzeitüberweisungen in Euro (Instant Payments Regulation, „IPR“) in Kraft getreten. Die IPR strebt im Kern eine Gleichstellung von Echtzeitüberweisungen mit herkömmlichen Überweisungen an und verpflichtet dazu alle Zahlungsdienstleister, die ihren Zahlungsdienstnutzern [1] die Versendung und den Empfang von herkömmlichen Überweisungen anbieten, auch an jedem Kalendertag rund um die Uhr die Versendung und den Empfang von Echtzeitüberweisungen anzubieten. Zudem müssen Echtzeitüberweisungen über alle Zahlungsauslösekanäle angeboten werden, über die auch herkömmliche Überweisungen angeboten werden.
Die Verordnung enthält jedoch eine wesentliche zusätzliche Verpflichtung für Echtzeitüberweisungen, die (bisher) nicht für herkömmliche Überweisungen gilt, nämlich die Pflicht zur Überprüfung des Zahlungsempfängers vor („Empfängerüberprüfung“, auch als IBAN-Name-Check bekannt). Diese wurde durch die IPR in Art. 5c der Verordnung (EU) Nr. 260/2012 („SEPA-Verordnung“) eingefügt.
Ein Verstoß gegen diese Pflicht soll nach dem Entwurf eines Zweiten Gesetzes zur Finanzierung von zukunftssichernden Investitionen (Zweites Zukunftsfinanzierungsgesetz – ZuFinG II) eine bußgeldbewährte Ordnungswidrigkeit nach § 56 Abs. 46 Nr. 17 KWG (zukünftige Fassung) darstellen.
…und perspektivisch bei herkömmlichen Überweisungen
Eine solche Pflicht besteht unter der Richtlinie (EU) 2015/2366 („PSD2“) derzeit nicht. Nach einer Studie aus dem Jahr 2022 gehen jedoch 65 % der Bankkunden fälschlicherweise davon aus, dass ihre Bank Online-Überweisungen daraufhin überprüft, ob IBAN (Kundenidentifikator iSd Anhang 1 Nr. 1a der SEPA-Verordnung) und Kontoinhaber zusammenpassen. Dies war in Deutschland jedoch nur bis zur Umsetzung der Richtlinie 2007/64/EG („PSD1“) der Fall. Heute ist der Zahlungsdienstleister des Zahlers lediglich nach § 675r Abs. 3 BGB zur Durchführung einer sogenannten Kohärenzprüfung verpflichtet. Bei dieser wird geprüft, ob die vom Zahler angegebene IBAN erkennbar keinem Zahlungsempfänger oder keinem Zahlungskonto zugeordnet werden kann. Ein Abgleich mit dem angegebenen Namen des Empfängers findet hingegen nicht statt.
Dies soll sich jedoch mit Inkrafttreten der Verordnung des europäischen Parlaments und des Rates über Zahlungsdienste im Binnenmarkt und zur Änderung der Verordnung (EU) Nr. 1093/2010 (Payment Service Regulation) ändern. Die Kommission veröffentlichte am 28. Juni 2023 einen Vorschlag für die Payment Service Regulation („PSR-V“) als Teil des Financial data access and payments package, der in Art. 50 eine solche Pflicht zur Empfängerüberprüfung enthält. Dieser Vorschlag wurde am 23. April 2024 vom EU-Parlament angenommen und ist nunmehr Gegenstand weiterer Trilog-Verhandlungen.
Die Überprüfung hat sowohl bei Echtzeitüberweisungen als auch bei herkömmlichen Überweisungen unentgeltlich zu erfolgen (Art. 5b Abs. 2 der SEPA-Verordnung und Art. 50 Abs. 1 PSR-V).
Während bei Echtzeitüberweisungen die Pflicht zur Empfängerüberprüfung unabhängig von dem Zahlungsauslösekanal gilt (Art. 5c SEPA-Verordnung), beschränkt die PSR-V in Art. 50 Abs. 6 den Anwendungsbereich auf Zahlungsaufträge, die über elektronische Wege der Zahlungsauslösung erteilt werden, sowie nicht-elektronische Zahlungsaufträgen, die eine Echtzeit-Interaktion zwischen dem Zahler und seinem Zahlungsdienstleister beinhalten. Der Begriff der Echtzeit-Interaktion wird zwar im PSR-V nicht definiert, dürfte aber beispielsweise die Abgabe von Zahlungsaufträgen per Post ausschließen, sodass in diesen Fällen keine Empfängerüberprüfung zu erfolgen hätte. Demnach wäre keine Empfängerüberprüfung erforderlich, wenn eine herkömmliche Überweisung per Post in Auftrag gegeben wird.
Zur Abgrenzung der beiden Regelwerke sieht Art. 50 Abs. 8 PSR-V einen Vorrang der IPR vor. Nach der Begründung des Vorschlags gelten dessen Bestimmungen nur für Überweisungen, bei denen es sich nicht um Sofortüberweisungen in Währungen der Union handelt, und für Sofortüberweisungen in anderen Währungen als dem Euro. Für Echtzeitüberweisungen sind hingegen die Regelungen der IPR abschließend.
Die Art der Überprüfung ist bei Echtzeitüberweisungen von den eingegebenen Daten abhängig
Art. 5c Abs. 1 SEPA-Verordnung sieht bei Echtzeitüberweisungen folgenden Ablauf vor:
Zunächst übermittelt der Zahler seinem Zahlungsdienstleister Informationen über den Zahlungsempfänger. Dieser stellt eine Anfrage an den Zahlungsdienstleister des Zahlungsempfängers, der einen Abgleich durchführt. Der Zahlungsdienstleister des Zahlungsempfängers teilt dem Zahlungsdienstleister des Zahlers das Ergebnis der Überprüfung mit. Erst dann erhält der Zahler die Möglichkeit zur Autorisierung seiner Überweisung.
Bei Echtzeitüberweisungen hängt die Art der Überprüfung maßgeblich von den vom Zahler übermittelten Angaben ab. Damit geht sie über die Regelungen in Art. 50 PSR-V hinaus, die nur den Abgleich zwischen IBAN und Name des Zahlungsempfänger kennt.
- In der Regel gibt der Zahler gegenüber seinem Zahlungsdienstleister die IBAN und den Namen des Zahlungsempfängers an. In diesen Fällen erfolgt der Abgleich zwischen IBAN und Namen des Zahlungsempfängers.
- Bei juristischen Personen kann der Zahler jedoch auch andere Datenelemente angeben, die eine eindeutige Identifizierung des Zahlungsempfängers ermöglichen (z.B. EUID oder LEI). Dann erfolgt der Abgleich zwischen der IBAN und dem Datenelement (sofern dieses im internen System des Zahlungsdienstleisters des Zahlungsempfängers verfügbar ist).
- Auch wenn ein Zahlungskonto im Namen mehrerer Zahlungsempfänger geführt wird, kann der Zahler weitergehende Angaben übermitteln, die eine eindeutige Identifizierung des Zahlungsempfängers ermöglichen. Dann erfolgt ein Abgleich zwischen dem angegebenen Namen des Zahlungsempfängers und den mehreren Zahlungsempfängern, in deren Namen das Zahlungskonto geführt oder gehalten wird.
- Eine Sonderkonstellation stellen insbesondere die Fälle dar, in denen der Zahler nur eine einzige Angabe zu machen braucht, sodass kein Abgleich erfolgen kann. Um auch in solchen Fällen sicherzustellen, dass der Zahlungsempfänger korrekt identifiziert wird, muss der Zahlungsdienstleister dem Zahler erlauben, vor Autorisierung der Überweisung den Zahlungsempfänger zu überprüfen. Auf welche Art und Weise das erfolgen soll, wird jedoch nicht festgelegt.
Bei fehlender Übereinstimmung erhält der Zahler einen Hinweis, teilweise kann der Zahlungsdienstleister auch eine Korrektur vorschlagen
In allen Fällen wird der Zahler über eine fehlende Übereinstimmung informiert und darauf hingewiesen, dass die Autorisierung der Überweisung dazu führen könnte, dass die Gelder auf ein Zahlungskonto überwiesen werden, dessen Inhaber nicht der vom Zahler angegebene Zahlungsempfänger ist. Es muss jedoch stets gewährleistet sein, dass der Zahler die Echtzeitüberweisung trotz fehlender Übereinstimmung genehmigen kann. Stimmen die Angaben in den Fällen von 1) „nahezu“ überein, so gibt der Zahlungsdienstleister des Zahlers diesem den Namen des Zahlungsempfängers an, der mit der IBAN verknüpft ist. Diese Möglichkeit ist in den Fällen 2) bis 4) hingegen nicht vorgesehen.
Für die Frage, wann eine Übereinstimmung „nahezu“ vorliegt, kann auf den Erwägungsgrund 21 der IPR zurückgegriffen werden. Dieser behandelt bestimmte Attribute des Namens des Zahlungsempfängers, wie das Vorhandensein diakritischer Zeichen oder unterschiedlicher möglicher Transliterationen von Namen in verschiedenen Alphabeten und Unterschiede zwischen üblicherweise verwendeten Namen und Namen, die in formalen Dokumenten angegeben sind. In solchen Fällen könnte es dazu kommen, dass der angegebene Name zwar nicht genau, aber nahezu mit dem mit der IBAN verbundenen Namen übereinstimmt. Zum Umgang mit anderen geringen Abweichungen, beispielsweise bei Tippfehlern, enthält die IPR hingegen keine Vorgaben; in diesen Fällen können und müssen Zahlungsdienstleister daher eine eigene Einschätzung vornehmen, ob die Übereinstimmung noch „nahezu“ vorliegt.
Die Empfängerüberprüfung hat datenschutzrechtliche Auswirkungen
Im Rahmen der Empfängerüberprüfung werden personenbezogene Daten verarbeitet. Dieser Tatsache wird in Erwägungsgrund 32 der IPR Rechnung getragen, der die Berücksichtigung der Verordnung (EU) 2016/679 („DSGVO“) insbesondere bei der Empfängerüberprüfung ausdrücklich vorschreibt. Der europäische Gesetzgeber geht ferner in Erwägungsgrund 32 davon aus, dass die Verarbeitung von Namen und Identifikatoren von Zahlungskonten natürlicher Personen verhältnismäßig und notwendig ist, um betrügerische Transaktionen zu verhindern und Fehler aufzudecken.
Diese Auffassung hat die Europäische Kommission in am 23 Juli 2024 veröffentlichten Q&As wiederholt. Dabei wird in Frage 91 speziell auf die Pflicht des Zahlungsdienstleister des Zahlers eingegangen, im Fall einer „nahezu“ Übereinstimmung dem Zahler den mit der IBAN verknüpften Namen anzuzeigen. Zwar sei auch hier die Einhaltung der DSGVO anwendbar, sodass die Grundsätze der Datenminimierung und der Zweckbindung im Hinblick auf Menge der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, die Dauer ihrer Speicherung und ihre Zugänglichkeit beachtet werden müssen. Die Kommission weist jedoch darauf hin, dass es sich bei Name und IBAN nicht um „sensible“ Daten im Sinne von Artikel 9 Absatz 1 DSGVO handelt, weshalb die strengen Anforderungen an die Verarbeitung von Artikel-9-Daten nicht greifen.
Auch der Europäische Datenschutzbeauftragte hat in seiner Stellungnahme vom 19. Dezember 2022 die vorgesehenen Maßnahmen zur Überprüfung der Zahlungsempfängerdaten begrüßt. Grund dafür sei die Möglichkeit der Zahler, ihre Daten mit den vom System mitgeteilten zu vergleichen und auf dieser Informationsgrundlage zu entscheiden, ob die Freigabe der Zahlung sicher ist. Die weitere Begründung vermag jedoch nicht zu überzeugen, da die angeführte Möglichkeit der Zahler, auf die Empfängerüberprüfung verzichten und so die Verarbeitung personenbezogener Daten zu verringern, sich in der endgültigen Fassung der IPR so nicht wiederfindet. Anders als noch im IPR-Vorschlag der Kommission, auf dem die Stellungnahme beruht, besteht diese Möglichkeit nach Art. 5c Abs. 6 der SEPA-Verordnung nicht für Verbraucher. Bei herkömmlichen Überweisungen hingegen können Zahler nach Art. 50 Abs. 4 der PSR-V uneingeschränkt auf die Empfängerüberprüfung verzichten.
Unabhängig von diesen Erwägungen unterliegen Zahlungsdienstleister zukünftig de jure der Verpflichtung zur Empfängerüberprüfung aus Art. 5c SEPA-Verordnung. Die Übermittlung von Kontodaten durch Zahlungsdienstleister ist damit rechtmäßig, sofern sie zur Erfüllung dieser rechtlichen Verpflichtung erforderlich ist, was auch die Kommission in ihren Q&A bestätigt hat.
Zahlungsdienstleister, die in Deutschland ansässig sind, müssen die Empfängerüberprüfung bis zum 9. Oktober 2025 anbieten
Die Instant Payment Verordnung ist bereits am 8. April 2024 in Kraft getreten, sodass die Änderung der SEPA-Verordnung zu diesem Datum Geltung erlangt haben. Die dort neu eingefügten Art. 5a bis 5d enthalten jedoch Regelungen zur schrittweisen Einführung der enthaltenen Pflichten.
In einem ersten Schritt sollten die Zahlungsdienstleister zur Entgegennahme von Echtzeitüberweisungen verpflichtet werden und erst in einem zweiten Schritt auch die Versendung von Echtzeitüberweisungen anbieten müssen, da die Versendung von Echtzeitüberweisungen die kostspieligere und komplexere der beiden Dienstleistungen sein dürfte und ihre Umsetzung daher mehr Zeit erfordert. Da die Empfängerüberprüfung erst bei der Versendung von Echtzeitüberweisungen relevant wird, sind die diesbezüglichen Pflichten erst zeitgleich mit der Pflicht zur Versendung von Echtzeitüberweisungen einzuhalten.
Zahlungsdienstleister, die in einem Mitgliedstaat ansässig sind, dessen Währung der Euro ist, müssen dem Art. 5c SEPA-Verordnung bis zum 9. Oktober 2025 nachkommen. Zahlungsdienstleister aus Mitgliedstaaten, deren Währung nicht der Euro ist, haben hierfür, (sowie für die in Art. 5a und 5b geregelten Pflichten) 2 zusätzliche Jahre Zeit.
Fazit und Ausblick
Die Verpflichtung zur Empfängerüberprüfung kann gerade bei Echtzeitüberweisungen eine Herausforderung für Zahlungsdienstleister darstellen. Zwar gibt es bereits private Anbieter, die eine Empfängerüberprüfung ermöglichen, ein Marktstandard hat sich jedoch bisher noch nicht etabliert.
Einen Lösungsansatz stellt das Verification Of Payee (VOP) System des European Payments Council dar, das eine Nachrichtenfunktion für Zahlungsdienstleister anbieten soll. Das Rulebook (EPC) zu diesem System wurde bereits konsultiert und soll im September 2024 veröffentlicht werden. Darüber hinaus hat der EPC auch im Februar 2024 Empfehlungen für die Prüfung der Übereinstimmung veröffentlicht. Darin wird empfohlen, die Schreibweise des Empfängers zunächst zu bereinigen (z.B. im Hinblick auf Groß- und Kleinschreibung, diakritische Zeichen oder Titel). Zudem enthält das Dokument Vorgaben dazu, in welchen Fällen eine Übereinstimmung bzw. „nahezu“ Übereinstimmung vorliegt. Zudem enthalten die Q&As der Kommission zur IPR auch Vorgaben zu einzelnen Fallgruppen, z.B. bei Gemeinschaftskonten.
Es ist daher zu erwarten, dass sich in den kommenden Monaten ein Marktstandard entwickeln wird. Wie sich dieser jedoch auf die Umsetzung der zukünftigen Regelungen der PSR auswirken wird, muss sich noch zeigen. Zwar sieht die PSR in ihrem aktuellen Entwurf weniger strenge und detaillierte Anforderungen zur Empfängerüberprüfung vor, als die die IPR es tut. Möglicherweise werden sich jedoch die Zahlungsdienstleister trotzdem an der bis zum Inkrafttreten der PSR bekannten und erprobten Umsetzung der IPR orientieren.
[1] Wir bei lindenpartners haben uns zu einer möglichst geschlechtersensiblen Verwendung von Sprache verpflichtet. Bei Begriffen aus gesetzlichen Vorschriften verzichten wir aber auf das Gendern.
