Ab dem 9. Oktober 2025 wird die VoP bei SEPA-Überweisungen zur Pflicht. Was das bedeutet, worauf Verbraucher und Unternehmer achten müssen und warum Unternehmen, insbesondere Einzelunternehmer und GbRs mit dedizierten Firmenbezeichnungen, jetzt tätig werden sollten, behandele ich in diesem BLOG-Beitrag.
Ab dem 9. Oktober 2025 wird EU-weit die Verification of Payee, kurz VoP, umgesetzt werden. Dabei handelt es sich um eine sinnvolles, aber potenziell auch Probleme bereitendes Sicherheitsverfahren im Rahmen von SEPA-Überweisungen. Die technische Einführung ist bereits für den 5. Oktober 2025 geplant; also vier Tage vor Auslaufen der gesetzlichen Umsetzungsfrist.
Was heißt Verification of Payee?
Verification of Payee bedeutet Verifikation des Zahlungsempfängers. Hierbei wird der im (Online-) Überweisungsformular eingegebene Zahlungsempfänger mit dem unter der entsprechenden IBAN hinterlegten Namen des Kontoinhabers abgeglichen, bevor die Überweisung freigegeben werden kann. Ziel dessen ist es, die Sicherheit im SEPA-Zahlungsverkehr – insbesondere bei Echtzeitüberweisungen – zu erhöhen.
Das ist in meinen Augen eine durchaus sinnvolle Maßnahme. Damit lässt sich nämlich der Missbrauch eines fremden Bankkontos als Transferkonto für illegale Machenschaften wie Betrugsmaschen eindämmen. Auch versehentlich fehlerhafte Überweisungen lassen sich somit bereits besser vermeiden.
Wie oben bereits angedeutet kann dies aber auch zu praktischen Problemen führen. Dazu später mehr. Zunächst möchte ich Ihnen das VoP-System näher erläutern, bevor ich auf die Handlungsnotwendigkeit für Unternehmer eingehen werde.
Ein Beispiel für eine Online-Überweisung mit VoP
Beginnen wir zunächst mit einem Fallbeispiel, um das Prinzip der Verification of Payee zu verdeutlichen. Dabei will ich auch gleich auf den praktischen Nutzen dieses Systems eingehen.
Unternehmen U erhält eine Rechnung fünfstelliger Höhe, die angeblich von seinem Lieferanten L stammt – für das Unternehmen keine Seltenheit. In Wahrheit hat jedoch der Betrüger B diese Rechnung erstellt und auch täuschend echt gefälscht. In der falschen Rechnung wird auf eine vermeintlich neue Bankverbindung der L hingewiesen. Dieses Bankkonto, ein Girokonto, gehört aber weder B noch L, sondern dem T. B hat das Konto des T gehackt und will es als Transferkonto missbrauchen, um im Rahmen seines Betrugs des U über seine Identität zu täuschen.
Die Buchhaltung des U erkennt die Fälschung nicht, sondern hält sie zunächst für valide, und füllt also ihr Online-Banking-Überweisungsformular gemäß der erhaltenen Rechnung aus. Da die Rechnung angeblich vom Lieferanten L stammt, trägt die Buchhaltung auch „L“ als Zahlungsempfänger ein. Wie von B vorgesehen, wird jedoch die auf der Rechnung hervorgehobene IBAN des T eingetragen.
Bevor nun die Buchhaltung des U die Online-Überweisung freigeben kann, wird von der Bank zunächst geprüft, ob der eingetragene Zahlungsempfänger L dem in den Kontodaten hinterlegten Kontoinhaber B entspricht. In diesem profanen Beispiel dürfte es offensichtlich sein, dass L ungleich B ist. Eine detaillierte Betrachtung der Vergleichssystematik erfolgt weiter unten in diesem Beitrag. Für dieses Beispiel reicht es aus, dass sich der Zahlungsempfänger vom Kontoinhaber einfach unterscheidet.
Die Buchhaltung des U wird nun in ihrem Online-Banking darauf hingewiesen, dass der von ihr eingegebene Zahlungsempfänger nicht der zu dieser IBAN gehörende, eigentliche Kontoinhaber ist. Das erzeugt bei der Buchhaltung Skepsis, zumal hier offensichtlich (und auch tatsächlich) etwas buchstäblich nicht stimmt. Sie beginnt also, die erhaltene Rechnung zu hinterfragen tritt in klärende Rücksprache mit dem Lieferanten, der ihr mitteilt, dass sich seine Bankverbindung gar nicht geändert hat. Der Betrug fliegt auf.
Was genau ändert sich?
Wie eingangs bereits erklärt, müssen Banken ab dem 09.10.2025 vor Freigabe bzw. Ausführung einer SEPA-Überweisung prüfen, ob die vom Überweisenden eingegebenen Kontodaten des Zahlungsempfängers plausibel und insofern valid sind. Während also mit der alten Regelung Banken nicht dazu verpflichtet waren – erst recht nicht bereits in Echtzeit während der Aufnahme einer Online-Überweisung – , den Namen des Überweisungsempfängers zu prüfen, wird dies nun endlich umgesetzt werden. In der Praxis erfolgt das in Form eines „Ampelsystems“.
Das Ampelsystem
Die Prüfung des Zahlungsempfängers kann, abhängig von der jeweiligen Eingabe, wie bei einer Kraftverkehrsampelanlage zu drei (plus eins) verschiedenen Ergebnissen führen. Das jeweilige zahlungsausführende Geldinstitut kann hierbei übrigens selbst festlegen, nach welchen Kriterien die jeweilige Abgrenzung der drei Stufen vorgenommen wird.
Ampel grün: Übereinstimmung
Im Idealfall sind der eingegebene Zahlungsempfänger sowie der im Bankensystem hinterlegte Kontoinhaber identisch (ein so genannter „match“). Dem Überweisenden wird „eine grüne Ampel“ angezeigt und die Überweisung kann ohne Weiteres ausgeführt werden.
So wie ich das verstanden habe, kann jede Bank selbst entscheinen, ob und inwieweit über gerinfügige Flüchtigkeitsfehler hinweggesehen wird.
Ampel gelb: Übereinstimmung mit Abweichungen
Bei vergleichsweise kleinen Abweichungen wie Rechtschreibfehlern oder einer abweisenden Schreibweise („close match“) wird eine „gelbe Ampel“ angezeigt, weil wahrscheinlich der richtige Empfänger gemeint ist, er aber nicht zu 100 % mit den hinterlegten Daten übereinstimmt.
Der Überweisende wird also über das Vorliegen der Abweichung informiert und über den korrekten Kontoinhaber informiert. Er wird vor die Wahl gestellt, ob er die Überweisung trotz der Abweichung freigeben möchte oder nicht.
Ampel rot: keine Übereinstimmung
Eine rote Ampel bekommt der Überweisende zu sehen bei einer eklatanten Abweichung respektive wenn keine Übereinstimmung festgestellt wird („no match“).
In diesem Fall wird dem Überweisenden nicht der hinterlegte Kontoinhaber angezeigt (wahrscheinlich aus Datenschutzgründen). Im bleibt jedoch weiterhin die Wahl, ob er die Überweisung freigeben oder stornieren möchte. Das hat Auswirkungen auf eventuelle Haftungsansprüche bei fälschlichen Überweisungen (siehe unten).
Ampel aus: Prüfung nicht möglich
Bei technischen Problemen oder sonstigen Gründen, welche die VoP nicht ermöglichen, bleibt die Ampel aus („no response“). In dem Fall ist die Validierung des Zahlungsempfängers nicht möglich. Der Überweisende hat sie Wahl, ob die Überweisung ausgeführt werden soll oder nicht.
Die Ausnahme vom VoP-System
Bei Sammelüberweisungen darf laut Gesetzgeber die Verifikation des Zahlungsempfängers ausnahmsweise umgangen werden (so genanntes Opt-out-Verfahren, also das optionale Abwählen der Option). Das heißt, wenn mehrere Überweisungen zunächst erstellt, also gesammelt, und anschließend mit nur einer Freigabe/TAN-Eingabe gebündelt in Auftrag gegeben werden, kann auf den automatischen Vergleich der jeweiligen Zahlungsempfängerdaten verzichtet werden.
Rechtsfolgen und Haftung
Folgende rechtlichen Haftungsgrundsätze resultieren aus der hier beschriebenen Neuerung.
Grundsätzlich bleibt der Überweisende weiterhin für die von ihm eingegebenen Informationen und die daraus resultierenden Vermögensverschiebungen selbst verantwortlich. Voraussetzung hierfür ist allerdings, dass der Bank im Rahmen ihrer Empfängerprüfung ihrerseits kein ihr vorwerfbarer Fehler unterlaufen ist, der dazu geführt hat, dass der Überweisende sich über die Identität des Zahlungsempfängers irrt.
Die Bank muss also dafür Sorge tragen, dass sie die Eingabe des Überweisenden mit den korrekten Kontoinhaberdaten fehlerfrei abgleicht und bei Abweichungen oder Ungereimtheiten den Überweisenden entsprechend darauf hinweist. Andernfalls haftet sie für den daraus resultierenden Schaden.
Vereinfacht gesagt kann man sich Folgendes merken:
Die Bank haftet nur, wenn die Überweisung trotz grüner Ampel (positiver „match“) an den falschen Empfänger geht.
Handlungsbedarf für Unternehmer
Alle Unternehmer, insbesondere Einzelunternehmer und GbRs, die sich unter einem Firmennamen auf dem Markt präsentieren, sollten nun handeln! Denn nicht selten weichen Firmenname und Name(n) des/der Geschäftskontoinhaber(s) voneinander ab.
Nun ist es aber so, dass einige Unternehmer die Zahlungsinformationen für Überweisungen in ihren Rechnungen recht spärlich verfassen. Das muss sich ändern!
Zwar sind im Geschäftswesen bestimmte Überweisungsmodalitäten usus geworden, wie zum Beispiel die Angabe von Rechnungs- und/oder Kundennummer, doch die wenigsten Rechnungssteller weisen ihre Rechnungsempfänger explizit darauf hin, welchen Zahlungsempfänger sie in der Überweisung angeben müssen. Warum auch? Bisher war das für eine ordnungsgemäße Überweisung ja auch wurscht (siehe oben).
Hält man also an einer spärlichen Informationsvorgabe fest, werden Fehler vorprogrammiert sein. Viele Kunden werden aus purer Unwissenheit nur die Firmenbezeichnung verwenden, anstelle den Namen des Firmeninhabers als Zahlungsempfänger anzugeben. Und gerade bei größeren Unternehmen, deren Inhaber man nicht mal wahrgenommen hat, weil man nur mit Mitarbeitern in Kontakt kommt, dürfte das keine Seltenheit, sondern wohl eher die Regel sein!
Mit der Einführung der VoP muss sich das ändern! Denn, wie oben dargestellt, haftet die Bank grundsätzlich nur, wenn die VoP (fälschlicherweise) ergeben haben sollte, dass Zahlungsempfänger und Kontoinhaber positiv miteinander verglichen worden sind. Und wenn ein Kunde aus Unsicherheit die Zahlung einfach unterlässt, wartet man am Ende womöglich noch vergebens auf einen Zahlungseingang.
Was sollten Unternehmer jetzt also konkret tun?
Unternehmer sollten ab sofort in ihren Rechnungen auf die VoP hinweisen und entsprechend vollständige Überweisungsinformationen vorgeben. So ermöglichen sie ihren Kunden eine einfache und problemlose Überweisung. Schließlich kann die neue VoP besonders unbedarfte Überweisende zunächst abschrecken – insbesondere diejenigen, die sich sowieso mit Computern im Allgemeinen und mit Online-Banking im Besonderen schwer tun.
Man erleichtert seinen Kunden damit also nicht nur die Arbeit. Man verringert das Risiko, dass Zahlungen ausbleiben, weil sich der Zahlende aufgrund der Neuerung überfordert fühlt und zur Sicherheit die Überweisung lieber nicht freigibt. Im besten Fall sammelt man außerdem noch ein paar Sympathiepunkte und kann seine Zahlungseingänge schneller verbuchen. Win-win!
Besondere Vorsicht bei QR-Codes!
Vorsicht ist geboten, wenn man in seiner Rechnung einen SEPA-QR-Code (fachlich korrekt: EPC-QR-Code) zum einfacheren Überweisen per Online-Banking-App von Smartphone oder Tablet aus anbietet .
Bisher war die Angabe des Zahlungsempfängers keine Pflichtangabe im EPC-QR-Code. Spätestens aber mit der EPC069-12 V3.1, der aktuellen Standarddefinition für den Inhalt von EPC-QR-Codes, und mit Inkrafttreten der VoP-Pflicht am 9. Oktober 2025 ändert sich das.
Unternehmer, müssen also ihre Rechnungssoftware aktualisieren – und auch die Software-Hersteller/-Entwickler müssen sich auf diese Änderung einstellen bzw. bereits eingestellt haben. Andernfalls läuft man Gefahr, dass oben bezeichnete Fehler bei der Überweisungsauftragseingabe geschehen, weil es wieder dem Kunden überlassen bleibt, den richtigen Zahlungsempfänger zu bezeichnen.
Fazit
Sowohl Unternehmer als auch Verbraucher sollten sich auf die Verification of Payee einstellen.
Unternehmer sollten eine praktische Lösung finden, ihre Kunden zu informieren, und ihnen eine einfache und problemfreie Überweisung ermöglichen.
Verbrauchern und Unternehmern gleichermaßen möchte ich mit auf den Weg geben, grundsätzlich auf das Ampelsystem zu vertrauen und somit unstimmigen Zahlungsanweisungen kein Vertrauen zu schenken. Im Zweifel sollte man immer (!) den vermeintlichen Rechnungssteller kontaktieren und sich vergewissern, dass die Rechnung echt ist und die eingegebenen Daten korrekt sind.
Nachtrag vom 06.10.2025: Man muss wirklich akribisch genau sein!
Tja, so ist das manchmal! Da macht man sich als IT-Spezi die Mühe, recherchiert artig zum Thema VoP und schreibt extra einen Blog-Eintrag für die Allgemeinheit – und dann macht man es selbst doch falsch! Hier die Story:
Heute rief mich ein Kunde an und machte mich darauf aufmerksam, dass unter meinem Namen Rüdiger Schmitt die VoP ein no match (rote Ampel, siehe oben) zurückgibt. Ich dachte, ich hörte nicht richtig! Eine Testüberweisung mit Hilfe eines Dritten und dessen Online-Banking, das bereits die VoP implementiert hat, brachte Gewissheit: Der Kontoinhaber „Rüdiger Schmitt“ ist tatsächlich FALSCH! Wie peinlich!!!
Also prüfte ich (erneut) die in meinen Kontoeinstellungen hinterlegten Daten. Name des Kontoinhabers: Rüdiger Schmitt. Hm! Initialen des angemeldeten Benutzers: RS. Hmmmm!!!
Glücklicherweise hatte mich erst kürzlich noch ein anderer Kunde gefragt, ob man anhand des Kontoauszugs den Kontoinhaber ermitteln könne. Und diese Erinnerung ließ mich nun dann dort mal nachsehen. Und siehe da: In meinen Kontoauszügen steht mein vollständiger Name mitsamt all meinen Vornamen, und nicht nur meinem Rufnamen Rüdiger, geschrieben – also so, wie er auch in meinem Personalausweis steht, und so, wie ich ihn auch bei der Kontoeröffnung hatte angeben müssen. Wie offensichtlich!
Andererseits hatte mich ein anderer Kunde – ebenfalls Einzelunternehmer – darauf hingewiesen, dass seine Bank mehrere Namen (so genannte Aliasse) zur Vorsorge für die VoP hinterlegt hat. Das macht meine Bank leider nicht. Ärgerlich, aber nun auch nicht zu ändern.
Fazit für mich (und möglicherweise auch für den einen oder anderen Unternehmer, der mein Blog vielleicht verfolgt): Die VoP ist manchmal knallhart! Man ist also gut beraten, sich selbst mal einen Minimalstbetrag zum Testen zu überweisen (oder überweisen zu lassen), um im Vorfeld zu prüfen, ob die eigenen Angaben zum auszufüllenden Zahlungsempfänger auch die richtigen sind. Andernfalls könnte es unter Umständen peinlich werden, wenn man – wie ich – in seinen Rechnungen den falschen Zahlungsempfänger/Kontoinhaber ausweist.