Verification of Payee – ein Erfahrungsbericht

Verification of Payee

Seit Oktober 2025 sind Banken dazu verpflichtet, ihren Kunden eine kostenfreie Möglichkeit anzubieten, vor der Freigabe einer Zahlung zu prüfen, ob der eingegebene Empfängername mit dem bei der Empfängerbank hinterlegten Namen übereinstimmt.

Dabei muss die Empfängerbank innerhalb weniger Sekunden zurückmelden, ob der Name vollständig, nahezu oder überhaupt nicht übereinstimmt. Hierfür haben sich die Schlagworte Match, Close Match und No Match  mittlerweile etabliert.

Im Fall eines Close Match übermittelt die Empfängerbank zusätzlich die korrekt hinterlegte Schreibweise des Zahlungsempfängers. Diese Information leitet die Auftraggeberbank an ihren Kunden weiter, sodass dieser eine bewusste Entscheidung über die Ausführung der Zahlung treffen kann.

Während bei Auftraggebern, die Verbraucher sind, die Nutzung von Verification of Payee (VoP) verpflichtend ist, wurde Nicht-Verbrauchern ein Opt-out eingeräumt. Sie können somit auf Wunsch auf die Durchführung des VoP-Prozesses verzichten.

Die Anforderungen an Verification of Payee sind in der Instant-Payment-Verordnung, konkret in Artikel 5c¹, geregelt. Wichtig dabei ist: Obwohl VoP durch die Instant-Payment-Regulierung eingeführt wurde, gelten die VoP-Regelungen nicht nur für die Echtzeitzahlungen, sondern auch für  klassische SEPA-Zahlungen.

Insgesamt ließ der Regulierungstext Raum für Interpretationen. Dies führt sowohl vor aber auch nach der Implementierung im Oktober 2025 zu Unsicherheiten. Zum Beispiel ist die Definition von Close Match, und wie dieses „berechnet“ werden soll, nicht vorgeschrieben.

Der folgende Text ist ein subjektiver Erfahrungsbericht aus dem privaten beziehungsweise geschäftlichen Umfeld:

Die Perspektive des Privatkunden als Zahlender

Für Privatkunden – beziehungsweise rechtlich ausgedrückt: Konsumenten – ist Verification of Payee in der Praxis einfach und übersichtlich ausgestaltet.

Die meisten Bankkunden dürften die Funktion inzwischen aus dem Online-Banking oder der Banking App auf dem Mobiltelefon kennen. Dort ist VoP nahtlos in den Zahlungsprozess implementiert.

Entweder nach Eingabe der IBAN und des Empfängernamens, spätestens jedoch vor der finalen Freigabe wird der Zahler kurz angehalten und über das Ergebnis der Namensprüfung informiert.

Die Instant Payment Regulierung wurde maßgeblich mit Blick auf den Verbraucherschutz und mit Fokus auf Privatkunden entwickelt. Entsprechend lässt sie in diesem Bereich weniger Spielraum als in anderen Fällen, die im weiteren Verlauf noch betrachtet werden.

Mittels Internetanwendung oder App-Banking überwiegen grundsätzlich Einzelzahlungen. Zudem ist ein Opt-Out auch nicht vorgesehen.

Die Perspektive des Privatkunden als Zahlungsempfänger

Auch auf Empfängerseite ist die Umsetzung für Privatkunden weitgehend einheitlich. Stimmen Vor- und Nachname in korrekter oder vertauschter Reihenfolge überein, wird dies üblicherweise als „Match“ gewertet. Die Verwendung von Initialen oder ausschließlich des Nachnamens führt zumindest zu einem „Close Match“.

Komplexer wird es bei Kaufleuten und Gewerbetreibenden, deren Konto formal auf den Namen des Inhabers lautet. So kann auf einer Rechnung zwar „Reifenservice Müller“ prominent ausgewiesen sein, ein VoP-Match erhält der Zahler aber nur, wenn er an den Inhaber „Michael Müller“ überweist. Bei „Reifenservice Müller“ bekommt der Zahler standardmäßig ein „No Match“.

Allerdings möchte ich hier noch auf die Möglichkeit des „Alias“ hinweisen. Dabei hinterlegt die Empfängerbank zusätzlich einen offensichtlichen Alternativ-Namen. Damit kann der „Reifenservice Müller“ als Empfängernamen ein Match zurückliefern.

Die Perspektive des Firmenkunden als Zahler

Deutlich anders stellt sich die Situation bei Firmenkunden dar. Diese erstellen regelmäßig Dateien mit mehreren Zahlungen. Dabei nutzen sie in der Regel keine Internet-Banking oder Mobiltelefon-App, sondern spezialisierte Programme, die EBICS als Bankkommunikation nutzen. EBICS lässt hingegen keinen echten Dialog zu, weil die Verbindung sofort wieder getrennt wird, wenn der Kunde die Datei übertragen hat.

Vor diesem Hintergrund hat die EU eine Ausnahme vorgesehen: Nicht-Verbraucher dürfen auf die Durchführung von Verification of Payee verzichten, wenn sie mehrere Zahlungsaufträge gebündelt einreichen. Dieser sogenannte Opt-Out Prozess entspricht dem normalen Zahlungsprozess, wie er vor dem 05.10.2025 üblich war: Übermittlung der Zahlung an die Bank und anschließende unmittelbare Ausführung. Diese Ausnahme ist in der IP-Regulierung in Artikel 5C (6)  genannt und gleichzeitig eingeschränkt:

(6)   Die Zahlungsdienstleister ermöglichen Zahlungsdienstnutzern, bei denen es sich nicht um Verbraucher handelt, auf die Empfängerüberprüfung zu verzichten, wenn sie mehrere Zahlungsaufträge als Bündel einreichen.

Der Opt-out bezieht sich somit ausschließlich auf Zahldateien mit mindestens zwei Transaktionen.

Analysen zeigen, dass zwischen 30 und 50 Prozent aller Datei-Einreichungen bei deutschen Banken lediglich eine einzelne Transaktion enthalten. Diese Fälle würden folglich unter die VoP-Pflicht fallen.

Damit hing ein sehr scharfes Damoklesschwert über Firmenkunden und Banken, denn viele Bankkommunikations-Systemhäuser und somit Firmenkunden wären nicht rechtzeitig mit der Umstellung fertig geworden.

Erst im August 2025 hatte die BaFin dann ein Einsehen und eine Duldung ausgesprochen: Banken, die ihren Firmenkunden weiterhin ermöglichen, auch Einzelzahlungen ohne VoP-Prüfung einzureichen, werden bis auf weiteres nicht sanktioniert, obwohl dies strenggenommen gegen den Wortlaut der IPR verstößt. Damit können deutsche Banken ihren Firmenkunden die bisherigen Prozesse weiterhin ohne verpflichtende VoP-Prüfung anbieten.²

Technisch musste insbesondere für EBICS-Kunden – also die Mehrzahl der deutschen Firmenkunden – eine tragfähige Lösung her. Diese wurde im Standard der „Verteilten elektronische Unterschrift (VEU)“ gefunden. Die Datei mit den Überweisungsaufträgen wird zeitlich getrennt von der/den elektronischen Unterschrift(en) versendet. Das ermöglicht folgenden Prozess:

1. Versand der Zahldatei mit einer speziellen EBICS-Auftragsart (CTV für SEPA-Zahlungen, CIV für Echtzeitzahlungen).
2. Die Datei kann ohne Unterschrift eingereicht werden. Wird sie dennoch unterschrieben, ignoriert die Bank diese zunächst.
3. Die Bank „parkt“ die Datei und führt für sämtliche enthaltenen Transaktionen die VoP-Anfragen bei den Empfängerbanken durch.
4. Die aggregierten VoP-Rückmeldungen – basierend auf den Antworten der jeweiligen Empfängerbanken – werden in einer pain.002-Datei bereitgestellt.
5. Der Auftraggeber kann diese Datei über die Auftragsart VPZ abrufen und analysieren.

Anschließend muss der Firmenkunde entscheiden, ob er die gesamte Zahldatei freigibt oder nicht. Die Freigabe erfolgt durch die nachträgliche elektronische Unterschrift (Auftragsart HVE beziehungsweise HVS).

Wesentlich ist dabei: Die Freigabe kann nur für die gesamte Datei erfolgen. Eine partielle Freigabe – etwa nur für „Match“ und „Close Match“, nicht jedoch für „No Match“ – ist derzeit nicht vorgesehen. Der Auftraggeber steht somit nach jeder Analyse der pain.002-Datei vor einer binären Entscheidung: vollständige Freigabe oder vollständige Ablehnung. Eine Freigabe ist technisch selbst dann möglich, wenn sämtliche Transaktionen ein „No Match“ aufweisen. Im Detail habe ich diesen Prozess bereits hier einmal beschrieben.

Für Firmenkunden bedeutet eine freiwillige Nutzung von VoP erhebliche Anpassungen in Prozessen und Software. Viele Firmenkunden haben deshalb das VoP-Konzept noch nicht implementiert.

Hinzu kommt die fehlenden Schärfe in der Trennung zwischen Konsumenten und Nicht-Konsumenten: relevant ist dabei der Kontoinhaber und nicht derjenige, der eine Zahlung in Auftrag gibt.

Ein besonders praxisrelevantes Beispiel sind Immobilienverwalter. Diese verwalten oft auch die Wohnungseigentümergesellschafts-Konten, und diese WEG-Konten sind als Konsumenten-Konten klassifiziert. Für sie besteht somit keine Opt-Out Möglichkeit.

Obwohl also der Immobilienverwalter selbst zum Beispiel als GmbH ein Firmenkunde ist, zahlt er über Konten, die als Privatkonten definiert sind. Und somit gilt die Pflicht zu Verification of Payee mit allen Konsequenzen: Umstellung beziehungsweise Einrichtung der Software und VEU-Freigaben.

Die Perspektive des Firmenkunden als Zahlungsempfänger

Insbesondere die Hinweise im Falle eines „No Match“ können bei weniger erfahrenen Zahlern Verunsicherung auslösen. Aus Sorge vor einer Fehlüberweisung wird die Zahlung im Zweifel nicht freigegeben. Für den Firmenkunden hat dies unmittelbare Konsequenzen: ausbleibende Geldeingänge, zusätzlicher Abstimmungsaufwand und eine unnötige Bindung interner Ressourcen durch Rückfragen.

Unternehmen sollten daher dringend prüfen, ob ihre Rechnungen exakt den Empfängernamen ausweisen, der bei der Hausbank hinterlegt ist. Alternativ kann die Vereinbarung von Alias-Namen mit der Bank sinnvoll sein. Allerdings bieten nicht alle Institute diesen – teilweise kostenpflichtigen – Service an.

Kundenorientierte Banken gehen noch einen Schritt weiter und führen Alias-Analysen durch. Dabei werten sie aus, welche Empfängernamen Zahler tatsächlich verwenden, und stellen diese Informationen ihren Firmenkunden zur Verfügung. Auch eine Analyse eigener Kontoumsatzdaten (zum Beispiel aus camt.053-Dateien) kann wertvolle Hinweise liefern.

Wie wird das Close Match definiert?

Oben habe ich bereits auf die fehlende genaue Definition des „Close Match“ verwiesen. Einige Banken nutzen die sogenannte Levenshtein-Distanz, bei der jede Buchstaben-Abweichung gezählt wird. Während manche Banken maximal zwei Abweichungen zulassen, erlauben andere drei. Wieder andere verwenden alternative Methoden, bis hin zu KI-Modellen.

Auch bei der Behandlung von Firmennamen zeigen sich Unterschiede: Manche Banken verlangen die exakte Wortreihenfolge entsprechend dem Handelsregistereintrag. Andere betrachten die Reihenfolge als irrelevant und wenden die Levenshtein-Distanz auf jedes einzelne Wort an.

Umsetzung des VoP in Österreich

Ein Blick nach Österreich zeigt ein leicht abweichendes Bild. Einige Banken bieten Verification of Payee (und auch Instant Payments) nur in der EBICS-Version 3.0 an. Bei EBICS 2.5 wird VoP nicht angeboten, aber Kunden können genau das nutzen, um die VoP-Pflicht bei einer Transaktion zu umgehen. Die BaFin-Duldung gilt natürlich nicht für Österreich.

Fazit

msg for banking hat den VoP-Prozess bereits bei mehreren Kunden implementiert. Dabei handelt es sich vor allem um Corporates, mit einem größeren Anteil an wechselnden beziehungsweise neu hinzukommenden Zahlungsempfängern. Der Großteil unserer Kunden hat bislang jedoch auf die Implementierung verzichtet. Angesichts der unklaren Dauer der BaFin-Duldung nehmen wir derzeit keine weiteren Implementierungen vor.

Für Kunden, die Verification of Payee verpflichtend nutzen müssen oder sich freiwillig dafür entscheiden, ist der Prozess – insbesondere im Zusammenspiel mit der Verteilten Elektronischen Unterschrift (VEU) im EBICS-Umfeld – vergleichsweise komplex. Die bisherige Übersichtlichkeit des Zahlungsprozesses nimmt ab. Freigabeverantwortliche müssen zeitlich versetzt erneut aktiv werden, um nach Auswertung der VoP-Rückmeldungen die finale Genehmigung zu erteilen.

Hinzu kommt, dass aktuell noch keine automatisierte Auswertung und Aufbereitung von Close-Match-Rückmeldungen erfolgt. Ein systematischer Aktualisierungsprozess der Kreditoren- oder Debitorenstammdaten – der mittel- bis langfristig die Datenqualität deutlich verbessern könnte – ist häufig noch nicht etabliert.

VoP ist damit nicht nur ein regulatorisches Thema, sondern auch ein Impulsgeber für Prozessqualität und Stammdaten-Governance. Wer die Einführung strategisch nutzt, kann über die reine Compliance hinaus einen nachhaltigen Mehrwert erzielen.