News
Mehr anzeigen Schließen
Praxismanagement 08.10.2025

Ab 9. Oktober: Die neue Empfängerüberprüfung VoP und ihr Einsatz in der Arzt- und Zahnarztpraxis

Macht die VoP den Zahlungsverkehr sicherer? Beim Massenverkehr Zahlungsanweisungen wird es im Oktober 2025 absehbar ein klein wenig „rumpeln“. Alle Zahlungsverkehrsteilnehmer werden sich an die neue Regelung der Empfängerprüfung (Verification of Payee) oder kurz VoP gewöhnen müssen. Im Unternehmensverkehr kann die Empfängerprüfung ausgeschaltet werden. Doch ob das eine gute Idee ist, was Empfängerprüfung überhaupt bedeutet und welche praktischen Tipps es für die Heilberufe zu bedenken gibt, beantwortet dieser Gastbeitrag, erschienen im Kanzlei Newsletter von lennmed.

Ab 9. Oktober: Die neue Empfängerüberprüfung VoP und ihr Einsatz in der Arzt- und Zahnarztpraxis

Foto: keBu.Medien – stock.adobe.com

Was ist der Inhalt der Neuregelung?

Ab dem 09.10.2025 wird durch die EU-Verordnung 2024/886 (Instant Payments-Verordnung)[1], die unmittelbar in jedem Mitgliedsstaat gilt, die Empfängerprüfung (Verification of Payee) zunächst für die Eurozone eingeführt. Ab 2027 greift sie dann auch für die übrigen Mitgliedsstaaten der Europäischen Union, die nicht zur Eurozone gehören. Es handelt sich hierbei um eine bankaufsichtsrechtliche Verpflichtung für Zahlungsdienstleister, dem Bankkunden eine zusätzliche Dienstleistung zur Überprüfung des Zahlungsempfängers anzubieten. Die eigene Bank überprüft hierbei per Datenabfrage bei der das Geld empfangenden Bank, ob der vom Zahler angegebene Empfängername mit demjenigen Empfängernamen übereinstimmt, unter dem das empfangende Konto mit der angegebenen IBAN geführt wird und übermittelt dem Zahler das Ergebnis. Der letzte Schritt, die Autorisierung einer Zahlung, liegt beim Zahler. Insofern muss er entscheiden und verantworten, ob er die betreffende Überweisung, auch wenn Abweichungen vorliegen, autorisieren möchte oder nicht.

Wie sieht das in der Praxis aus?

Die Empfängerprüfung (Verification of Payee) ist tatsächlich neu und beruht erstmals auf einem echten Datenabgleich bei der das Geld empfangenden Bank. Das Ergebnis wird dem Zahler in wenigen Sekunden angezeigt. Aus den vier denkbaren Ergebnissen kann man bestimmte Handlungsempfehlungen ableiten: 

  • Match/grüne Ampel: Empfängername und IBAN stimmen überein. Der Autorisierung steht nichts im Wege. Die Verantwortung für die Zahlung mit dieser Autorisierung verbleibt beim Zahler.
  • Close-Match/gelbe Ampel: Es liegen kleine Abweichungen vor. Wenn es sich nur um Tippfehler oder minimale Abweichungen handelt (zum Beispiel: „ilex Rechtsanwaelte“ statt „ilex Rechtsanwälte“), wird der richtige Name angezeigt. Hier sollte der Zahler nochmals prüfen, ob es sich tatsächlich um den vorgesehenen Zahlungsempfänger handelt.
  • No-Match/rote Ampel: Deutliche Abweichungen, es liegt keine Übereinstimmung vor. Passt der Zahlungsempfänger nicht zur IBAN, erscheint ein Warnhinweis. Jetzt sollte der Zahler detailliert überprüfen, ob es sich um ein Versehen oder um einen Betrug handelt.
  • Kein Ergebnis: Manchmal kann die Abfrage auch fehlschlagen, etwa durch technische Störungen oder fehlende Daten. Dann erhält der Zahler eine Mitteilung, dass keine eindeutige Prüfung möglich ist. Auch in diesem Fall sollte der Zahler erneut eigenständig kontrollieren, ob der Zahlungsempfänger und die IBAN richtig sind.

Und wozu das Ganze? Die Realität des Cybercrime

Das bisherige Zahlungssystem ist betrugsanfällig. Das hat sich in den vergangenen Jahren durch ausgefeilte Cybercrime-Angriffe deutlich verstärkt. Bei einem ausgefeilten Cybercrime-Angriff suchen sich Täter gezielt eine schlecht geschützte IT eines Wirtschaftsunternehmens. Beliebte Angriffsszenarien bestehen darin Maildatenbanken von Wirtschaftsunternehmen, die nur mit einem einfachen Passwort über das Internet abrufbar sind, auszulesen. Für versierte Täter stellt der Zugriff auf nur einfachgeschützte Maildatenbanken keine Hürde dar. Ist eine Maildatenbank einmal abgegriffen, kann man die Lieferantenbeziehungen ausforschen. Seit Jahren kennen wir das Phänomen, dass Betrüger Lieferantenrechnungen fälschen und hierbei im Vergleich zur Originalrechnung lediglich die IBAN austauschen. Die Einführung der sog. E-Rechnung (elektronische Rechnung) ab dem 01.01.2025, die nur noch ein strukturierter, maschinenlesbarer Datensatz im Format XML darstellt und die automatisierbare und medienbruchfreie Verarbeitung ermöglicht, war ein digitaler Fortschritt, hat aber auch ein „El Dorado“ für Betrüger geschaffen. Dazu gesellen sich Phishing-Angriffe, bei denen Bankkunden mittels ausgefeilten social-Engineering-Angriffen durch Täuschungshandlungen dazu gebracht werden, Zahlungen unbeabsichtigt auf einen sogenannten „Bankdrop“ anzuweisen; also einem unter falscher Identität angelegtem Bankkonto.[2] Solche „Bankdrops“, wie sie im Fachjargon heißen, gibt es im Darknet ab circa 500 $ aufwärts zu kaufen. Die Einführung der Empfängerprüfung (Verification of Payee) ist überfällig. Durch den Abgleich der IBAN und des Empfängernamens vor der Autorisierung soll der Zahler vor Fehlüberweisungen und Betrug geschützt werden.

Warum wird es „rumpeln“?

Bereits Zahlungsanweisungen an juristische Personen können eine Herausforderung sein, denn es bedarf zukünftig der korrekten Angabe des im Handelsregister eingetragenen Unternehmensnamens, weil die Wahrscheinlichkeit hier am höchsten ist, dass dies auch der bei dem empfangenden Zahlungsdienstleister eingetragene Name des Kontoinhabers ist. Beispielsweise eine Zahlung an „Daimler“ wäre jetzt nicht mehr an „Daimler“, sondern an die in das Handelsregister eingetragene „Mercedes-Benz AG“ oder an eine Konzerntochter oder Konzernschwester anzuweisen, die aber auch einen ganz anderen Namen tragen kann. Früher, als nur die Korrektheit der IBAN der alleinige Maßstab war, rutsche der fehlerhafte Empfängername durch.

Auch Markenbegriffe sind häufig nicht identisch mit dem Unternehmensnamen, unter dem das Konto geführt wird. Tippfehler und Abkürzungen, die gerade im Unternehmensbereich durch viele Zahlungen häufig vorkommen, führen zu sogenannten „partial Matches“.

Bei natürlichen Personen muss als Zahlungsempfänger sowohl der Vorname, als auch der Nachname korrekt angegeben werden. Namen können sich bekanntlich durch Eheschließungen ändern. Wenn Gläubiger sich eine Zahlung an das Konto des Ehepartners erbeten, wird dies, jetzt wo der Name des Zahlungsempfängers wieder eine Rolle spielt, deutlich gemacht werden müssen. Dazu kommt das Vorhandensein diakritischer Zeichen (im deutschen die Umlaute ä, ö, ü, darüber hinaus der Zirkumflex â, ê, î, der Akut é, der Gravis à, der Zirkumflex â oder die Cédille ç) und unterschiedliche Transliterationen von Namen in verschiedenen Alphabeten. Dies alles führt zu Rückmeldungen, die geprüft werden müssen und die Zahlungsprozesse verzögern. Für Arztpraxen empfiehlt sich: 

  • Unternehmen können die Empfängerprüfung (Verification of Payee) zwar deaktivieren. Davon rate ich aber ab, da man dann auch die Vorteile der Empfängerprüfung deaktiviert. Stattdessen sollte man aus der Not des zusätzlichen Aufwandes eine Tugend machen: Arztpraxen können die Empfängerprüfung nutzen, um die eigene Datenerfassung der eigenen Lieferanten auf Vordermann zu bringen. Die Pflege dieser Daten muss ohnehin kontinuierlich fortgeführt werden. Insbesondere Namensänderungen, Heirat, Promotion und gesellschaftsrechtliche Änderungen müssen beachtet und die Datenbank fortlaufend aktualisiert werden. Hierzu lohnt es sich die eigenen Abläufe zu überdenken.
  • Um den Mehraufwand durch die Einführung der Empfängerprüfung (Verification of Payee) im Zaun zu halten und zum Schutz vor Bankbetrug existieren bereits unterschiedliche Softwarelösungen, die die Empfänger-IBAN validieren und mit Hilfe von KI-basierter Software den eigenen Datenbestand auf Betrugsindikatoren automatisiert abklopfen. Solche Softwarelösungen sollten in einer guten Banking-Software ohnehin integriert sein.
  • Umgekehrt sollte jede Arztpraxis in ihrem eigenen Rechnungswesen den Beitrag leisten, um den Überweisungsverkehr mit der neuen Empfängerprüfung zu erleichtern. Geben Sie dazu neben der kontoführenden Bank und der IBAN explizit in Rechnungen den Namen des Zahlungsempfängers hervorgehoben und unzweifelhaft an, unter der das Konto Ihrer Praxis tatsächlich geführt wird. Ansonsten wird es bei Ihnen absehbar Schuldner geben, die Zahlungsanweisungen vornehmen wollen, die dann aufgrund einer Warnmeldung nicht ausgeführt werden. Dies führt dann zu unnötigen Rückfragen.

Ist der Cybercrime Betrug zukünftig eingedämmt? 

Nein, aber die Betrugsanfälligkeit wird durch die Empfängerprüfung (Verification of Payee) in der nächsten Zeit gemindert. Mit der Entscheidung für die Digitalisierung, die viele Vorteile bietet, ist der Geist für Cybercrime Schadensfälle buchstäblich „aus der Flasche“ und kehrt dorthin auch nicht mehr zurück. Die zukünftige Entwicklung deutet in die Richtung, die wir seit rund 20 Jahren bei ilex Rechtsanwälte beobachten: Die Empfängerprüfung (Verification of Payee) ist für einen begrenzten Zeitraum ein sinnvolles Instrument, die die Cybercrime-Fallzahlen zurückgehen lässt. Betrugstaten, durch die Zahlungen unbeabsichtigt auf ein „Bankdrop-Konto“ fließen, können fortan in einem begrenzten Maß verhindert werden. Nicht verhindern kann man damit aber noch intelligentere Angriffsszenarien, bei denen durch entsprechende Schadsoftware selbst die Bildschirmansicht in der Freigabe-App manipuliert wird. Wenn die Täter insofern den Datensatz manipulieren, die der Zahlungsdienstleister bei der Empfängerprüfung versendet und dem Kunden in seiner Ansicht etwas anderes angezeigt wird, geht auch die Empfängerprüfung schief. Das sind aber Angriffsszenarien, die einen gewissen Aufwand erfordern und heute noch selten sind, die aber, nach aller Erfahrung, kommen werden, sobald die Täterseite wieder nachrüstet. Vernachlässigen Sie deshalb weiterhin nicht die Bemühungen bei der IT-Sicherheit. 

Zum Autor Dr. Ulrich Schulte am Hülse

Dr. Ulrich Schulte am Hülse ist Fachanwalt für Bank- und Kapitalmarktrecht und für Informationstechnologierecht und Gründer von ilex Rechtsanwälte Berlin & Potsdam. Er beschäftigt sich seit 2007 mit Rechtsfragen rund um Hacking-Angriffe auf Online-Plattformen mit dem Anspruch, die Fälle wissenschaftlich auszuwerten, um Schadensszenarien zukünftig einzudämmen. 

[1] VO (EU) 2024/886 des Europäischen Parlaments und des Rates vom 13.03.2024 zur Änderung der Verordnungen (EU) Nr. 260/2012 und (EU) 2021/1230 und der Richtlinien 98/26/EG und (EU) 2015/2366 im Hinblick auf Echtzeitüberweisungen in Euro, ABl. L vom 19.03.2024.

Quelle: lennmed.de

Mehr
Mehr News aus Praxismanagement

ePaper

ZWP Zahnarzt Wirtschaft Praxis 10/25 ZWP Zahnarzt Wirtschaft Praxis 10/25 ZWP spezial 10/25 ZWP spezial 10/25 ZT Zahntechnik Zeitung 10/25 ZT Zahntechnik Zeitung 10/25 BZB Plus 10/25 BZB Plus 10/25 Der Freie Zahnarzt 10/25 Der Freie Zahnarzt 10/25 Dentalzeitung today 01/25 Dentalzeitung today 01/25 Alle ePaper