Bankgeheimnis? - Welche Daten bei Überweisungen offenliegen

Der IBAN-Check soll Überweisungen sicherer machen - doch manche Banken legen dabei mehr Daten offen als nötig. Warum vollständige Namen sichtbar werden können, welche Risiken das birgt und wie man sich schützen kann, zeigt dieser Überblick.
Warum der neue IBAN-Check überhaupt existiert
Wenn heute eine Überweisung ausgelöst wird, passiert im Hintergrund deutlich mehr als früher. Bevor eine Zahlung ausgeführt wird, prüfen Banken inzwischen, ob der angegebene Name tatsächlich zur eingegebenen IBAN passt. Diese Empfängerprüfung - oft als "Verification of Payee" bezeichnet - soll Fehlüberweisungen reduzieren und Manipulationen bei Kontodaten erschweren. Netzpolitik.org beschreibt, dass der Abgleich automatisiert und unmittelbar vor der Ausführung einer Zahlung stattfindet.
Der technische Ablauf folgt einem klaren Schema: Die Bank der zahlenden Person übermittelt den eingegebenen Namen gemeinsam mit der IBAN an die Bank der empfangenden Person. Diese prüft die Kombination und stuft das Ergebnis als "Match", "Close Match" oder "No Match" ein. Die Rückmeldung bestimmt, ob die Zahlung ohne Hinweis ausgeführt wird oder ob der Absender eine Warnung erhält. Der Europäische Zahlungsverkehrsausschuss (EPC) empfiehlt dabei eine standardisierte Bereinigung von Namensdaten, um alltägliche Eingabefehler besser abzufangen. Rechtlich besonders relevant ist die Haftung: Nur bei einem eindeutigen "Match" trägt das Kreditinstitut die Verantwortung für eine korrekte Zuordnung; in allen anderen Fällen liegt das Risiko weiterhin beim Absender, wie netzpolitik.org erläutert.
Gleichzeitig zeigen die EPC-Empfehlungen, dass die Regeln zwar technisch orientieren, aber nicht verpflichtend sind. Banken können innerhalb dieses Rahmens eigene Prüfmechanismen festlegen - ein Gestaltungsspielraum, der laut Chip dazu führt, dass der IBAN-Check in der Praxis von Institut zu Institut unterschiedlich ausfällt.
Welche Daten Banken bei Überweisungen tatsächlich offenlegen
Recherchen zeigen, dass Banken sehr unterschiedlich entscheiden, wie viele Informationen sie im Rahmen der Empfängerprüfung preisgeben. Chip beschreibt, dass manche Institute bereits bei der Kombination aus IBAN und Nachname - und teilweise sogar bei IBAN plus Initial - den vollständigen, amtlich hinterlegten Namen der empfangenden Person anzeigen.
Netzpolitik.org nennt ein Beispiel, in dem bei einem großen Kreditinstitut schon die Eingabe von IBAN und Nachname genügte, um den kompletten Namen sichtbar zu machen. Bei anderen Banken reicht laut Chip sogar der erste Buchstabe des Vornamens, um sämtliche gespeicherten Namen offenzulegen. Problematisch ist dabei, dass Kontoinhaber nicht darüber informiert werden, wenn ihre vollständigen Namen auf diese Weise abrufbar sind. Besonders kritisch kann dies sein, wenn wenig genutzte Zweitnamen oder frühere amtliche Namen ungewollt sichtbar werden.
"Close Match": das Kernproblem der Datenoffenlegung
Der sogenannte Close Match soll eigentlich nur kleine Abweichungen ausgleichen, damit Überweisungen nicht wegen minimaler Tippfehler abgebrochen werden. Netzpolitik.org beschreibt, dass hierzu etwa vertauschte Buchstaben, geringfügige Schreibvarianten oder Initialen gehören. Der EPC betont ausdrücklich, dass Banken bei einem Close Match nur die Daten zurückgeben sollen, die zuvor eingegeben wurden - also keine zusätzlichen Vornamen oder weitere Kontoinhaber.
In der Praxis weichen viele Banken jedoch von dieser Empfehlung ab und geben mehr Informationen preis, als notwendig wäre. Dadurch ähnelt die Empfängerprüfung teilweise einer Identitätsauskunft. Kritik kommt sogar vom Entwickler des Close-Match-Prinzips bei SurePay, der darauf hinweist, dass die Offenlegung vollständiger Namen ein zusätzliches Sicherheitsrisiko schaffen kann und dem Gedanken einer datenschutzfreundlichen "Privacy by Design"-Umsetzung widerspricht.
Datenschutz, Bankgeheimnis & Handlungsmöglichkeiten für Kunden
Das Bankgeheimnis verpflichtet Banken grundsätzlich zur Vertraulichkeit, lässt jedoch bestimmte Ausnahmen zu - etwa bei gesetzlichen Ermittlungs- oder Auskunftspflichten oder durch schriftliche Einwilligung des Kunden. Netzpolitik.org beschreibt, dass die Empfängerprüfung ein Spannungsfeld zwischen Sicherheitsanforderungen und Datenschutz erzeugt, weil Banken selbst entscheiden, wie viele Informationen sie preisgeben.
Der EPC empfiehlt zwar eine sparsame Rückmeldung, überlässt die konkrete Umsetzung aber den Instituten. Kunden können jedoch selbst aktiv werden und ihre hinterlegten Daten prüfen - etwa durch eine Testüberweisung mit leicht veränderten Angaben, durch eine Selbstauskunft oder durch direkte Rücksprache mit der eigenen Bank. Fehlerhafte oder unnötige Namensbestandteile lassen sich korrigieren. Wie Netzpolitik.org betont, hängt das Risiko möglicher Datenoffenlegung letztlich davon ab, wie sorgfältig die jeweilige Bank den IBAN-Check umgesetzt hat.
Jonas Vogt, Redaktion finanzen.net
Weitere News
Bildquellen: SFIO CRACHO / Shutterstock.com