Seit dem 9. Oktober gilt im EU-Zahlungsraum die neue Pflicht zur Empfängerüberprüfung („Verification of Payee“, kurz: VOP). Eigentlich soll der Abgleich nur verhindern, dass Überweisungen versehentlich an eine falsche IBAN gehen. Was kaum jemand weiß: Viele Banken geben dabei deutlich mehr persönliche Daten preis, als sie müssten, wie eine Recherche der Plattform netzpolitik.org zeigt. Wie großzügig Banken mit den Namen ihrer Kunden umgehen, unterscheidet sich stark.
Betroffene erfahren: nichts
Mindestens eine große Bank in Deutschland zeigt demnach bereits allein bei der IBAN und Anfangsbuchstaben den kompletten Klarnamen samt aller Vornamen an. Beispiel: Wer „Mustermensch“ tippt, bekommt „Robin Lou Mustermensch“ als Vorschlag. Bei anderen Instituten reicht schon ein Anfangsbuchstabe eines Vornamens, um alle weiteren offenbart zu bekommen. Millionen Kontoinhaber könnten betroffen sein.
Besonders heikel wird es, wenn:
- Arbeitgeber beim Gehalt Überweisungen auslösen
- Geschäftspartner Rechnungsdaten prüfen
- Transpersonen ihren alten – eigentlich geheimen – Vornamen („Deadname“) im System wiederfinden
Der Betroffene erfährt davon gar nichts.
Banken geben lieber zu viel Preis als zu wenig
Die EU schreibt bei einem sogenannten „Close Match“, der annähernden Übereinstimmung von IBAN und Kontoinhaber, vor, dass Banken den korrekten Namen anzeigen dürfen. Doch was die Banken als Close Match werten und was nicht entscheiden sie selbst. Wie viel ein Geldinstitut anzeigen muss, ist nicht geregelt. Ob bereits ein Anfangsbuchstabe genügt oder zwei ist Sache der Bank.
Die Empfehlungen des Europäischen Zahlungsverkehrsausschusses lauten eigentlich: Es darf nur das angezeigt werden, was der Absender bereits eingegeben hat („Datenminimierung“). In der Praxis halten sich laut der netzpolitik-Plattform jedoch kaum Banken daran.
Offenbar setzen deutsche Banken die Vorgabe also falsch um: Statt Betrug zu verhindern, wollen sie Haftungsrisiken minimieren. Deshalb liefern sie lieber zu viele Daten aus, damit der Name wirklich exakt passt. Doch das hilft laut Experten am Ende den Falschen, nämlich Betrügern. Eine Ausnahme: ING – hier werden nur die eingegebenen Namensfragmente vervollständigt.
Was Sie jetzt tun sollten: Schutzmaßnahmen für Verbraucher
Alle eigenen Bankdaten prüfen
Stimmen Vor- und Nachnamen exakt wie im Ausweis?
Fehlen Zweitnamen oder Doppelnamen?
Rechnungen genau ausfüllen
Schreibfehler oder fehlende Rechtsform (GmbH, eG, AG) lösen Warnungen aus – oder Offenlegungen.
Bei fremden IBANs vorsichtig sein
Poppt der volle Name auf, sollten Sie prüfen, ob Sie die Daten wirklich erhalten dürfen.
Besondere Vorsicht bei sensiblen Daten
Transpersonen, Personen mit Namensänderungen oder Menschen mit Schutzbedürfnis sollten ihre Bank aktiv prüfen lassen, wie deren System Namen verarbeitet.
Missbrauch? Technisch möglich und kaum begrenzt
Viele Banken nutzen den Namensabgleich hingegen wie eine versteckte Identitätsprüfung. Für Verbraucher bedeutet das: mehr Datenlecks und weniger Kontrolle.
Mehrere Experten warnen: Wer IBANs aus Rechnungen, Verträgen oder alten Mails besitzt, kann über den Namens-Abgleich gezielt Identitäten recherchieren. Banken erklären zwar, sie hätten Schutzmechanismen, aber wie diese funktionieren, bleibt meist geheim. Die Verbraucherzentralen bestätigen: Das Risiko von Identitätsabfragen unterscheidet sich von Bank zu Bank.
Die Empfängerüberprüfung sollte mehr Sicherheit bringen, aber viele Banken machen daraus ein Datenschutzrisiko mit Ansage. Bis die EU oder deutsche Aufsicht nachjustiert, bleibt für Verbraucher nur eines: eigene Daten prüfen und bei der Bank Druck machen.