GoCardless für SEPA-Mandate

Frau Berger, Sachbearbeiterin in einer Verwaltung mit 240 Einheiten, hält am Dienstagmorgen einen Brief in der Hand: Rücklastschrift, R-Code AC04, Konto unbekannt. Der neu eingezogene Mieter hatte sein SEPA-Mandat zwei Wochen zuvor auf dem Papier-Formular unterschrieben. Eine Stelle in der IBAN ist falsch abgelesen, aus DE89 wurde DE98. Die erste Lastschrift kommt zurück, die Bank berechnet 3,50 Euro Rücklastschriftgebühr. Frau Berger schickt eine erste Mahnung. Drei Tage später ruft der Mieter empört an: Er habe doch ordnungsgemäß unterschrieben, das Geld sei selbstverständlich auf dem Konto. Erst eine vergleichende Sichtprüfung der eingescannten Unterschriftsseite mit dem Online-Banking-Konto klärt den Tippfehler. Die zweite Lastschrift wird fünf Wochen nach Fälligkeit gezogen. In dieser Zeit hat die WEG den Hausgeldbetrag aus der Liquiditätsreserve vorgestreckt, der Mieter denkt über einen Wohnungswechsel nach, die Verwaltung hat zwei Stunden Sachbearbeitung versenkt. Diese Geschichte erzählt jede Hausverwaltung. Die Ursache ist nicht der Mieter und nicht die Verwaltung, sondern das Papier-Mandat.

Warum Papier-Mandate die Hausverwaltung blockieren

Das klassische SEPA-Mandat auf Papier hat vier strukturelle Schwächen, die in der Verwaltungspraxis zuverlässig zu Reibung führen. Erstens: die IBAN-Erfassung ist fehleranfällig. Wer eine 22-stellige IBAN handschriftlich auf ein Formular schreibt und anschließend eine Sachbearbeiterin diese in das Verwaltungssystem abtippt, produziert nach Erhebungen der Deutschen Bundesbank in rund einem Prozent der Fälle einen Erfassungsfehler. Der Fehler fällt erst beim ersten Einzug auf, weil die IBAN-Prüfziffer mathematisch zwar plausibel sein kann, das Konto aber zu einer anderen Person gehört oder gar nicht existiert.

Zweitens: der manuelle Datenabgleich. Ein Papier-Mandat enthält Name, Anschrift, IBAN, BIC, Mandatsreferenz, Datum und Unterschrift. Jedes dieser Felder muss aus dem Original in die Software übertragen werden. Die Mandatsreferenz wird in der Praxis häufig nachträglich vergeben, sodass auf dem Papier eine Leerstelle bleibt — und im Streitfall die Frage offen ist, ob die Referenz vor oder nach der Unterzeichnung eingetragen wurde.

Drittens: die fehlende Mandatsreferenz im Bankrücklauf. Liefert die Bank des Schuldners ein R-Transaction-Aviso mit Code MD07 (nicht autorisierte Lastschrift), muss die Verwaltung das Originalmandat innerhalb weniger Tage vorlegen. Papier-Mandate liegen häufig in Ordnern, nicht digital. Die Suche kostet Zeit, der Beweis verzögert sich.

Viertens: die juristische Beweisführung. Ein Streit um die Autorisierung eines Einzugs endet in der Praxis vor dem Amtsgericht. Die Verwaltung muss nachweisen, dass der Schuldner den konkreten Einzug autorisiert hat. Eine eingescannte Papierunterschrift ohne Zeitstempel, ohne Identitätsprüfung und ohne kryptografischen Hash erfüllt diese Beweislast nur unzureichend. Das Bundesgerichtshof-Urteil VIII ZR 247/16 zur Anscheinsbeweis-Wirkung bei Online-Bestätigungen zeigt, dass eine sauber dokumentierte digitale Autorisierung in der Beweiskette deutlich tragfähiger ist als eine nachträglich eingescannte Unterschrift.

Das SEPA-Mandat als juristisches Konstrukt

Bevor sich die digitale Mandatserteilung sinnvoll bewerten lässt, lohnt der Blick auf den Rechtsrahmen. Das SEPA-Direct-Debit-Core-Verfahren (SDD CORE) ist im SEPA-Rulebook des European Payments Council geregelt. Aktueller Stand ist das EPC-Rulebook Version 1.0 (EPC129-08, Pre-Authorised SDD), das seit dem 19. November 2025 verbindlich für alle Einreichungen im SEPA-Raum gilt. Daneben kennt das Rulebook die SEPA Direct Debit Business-to-Business (SDD B2B), die ein höheres Sicherheitsniveau verlangt und in der Wohnungsverwaltung praktisch keine Rolle spielt — Mieter und Eigentümer treten nicht als Unternehmen auf, der CORE-Pfad ist der einzig relevante.

Im deutschen Recht stützt sich die Lastschrift auf § 675f BGB (Zahlungsdienstevertrag), § 675g BGB (Anpassung des Zahlungsdiensterahmenvertrags) und insbesondere § 675j BGB (Autorisierung von Zahlungsvorgängen). Letzterer verlangt, dass der Zahler den konkreten Zahlungsvorgang vorab autorisiert hat. Die Autorisierung erfolgt im SEPA-Verfahren durch das Mandat plus die Pre-Notification.

Die Pre-Notification-Pflicht ist ein häufig unterschätztes Element. Nach Ziffer 4.2 des SDD-CORE-Rulebooks muss der Gläubiger den Schuldner mindestens 14 Kalendertage vor dem Einzug über Betrag, Fälligkeitsdatum und Mandatsreferenz informieren. Die Frist kann vertraglich auf einen Bankarbeitstag verkürzt werden — bei monatlichen Hausgeldern oder Mieten reicht in der Regel ein Hinweis im Wirtschaftsplan, der die wiederkehrenden Einzüge dem Grunde nach ankündigt.

Eindeutig identifiziert wird jede Lastschrift durch zwei Klammern: die Mandatsreferenz (frei vergeben, maximal 35 Zeichen) und die Creditor-Identifier (18-stellig, in Deutschland von der Deutschen Bundesbank vergeben). Beide Felder sind in jeder pain.008-Nachricht enthalten und bilden die Grundlage für jede Reklamation.

Die Erstattungsrechte des Schuldners sind im Rulebook ebenfalls präzise gefasst. Innerhalb von acht Wochen nach Belastung kann der Schuldner ohne Angabe von Gründen die Rückbuchung verlangen (Refund, R-Code MD06, § 675x Abs. 4 BGB). Bei nicht autorisierten Lastschriften — also bei fehlendem oder widerrufenem Mandat — beträgt die Frist 13 Monate (R-Code MD07, § 676b BGB). In diesem Fall trägt die Verwaltung das wirtschaftliche Risiko der Rückbuchung plus die Rücklastschriftgebühr. Die rechtssichere Dokumentation der Mandatserteilung ist deshalb keine Formalie, sondern die zentrale Verteidigungslinie gegen die 13-Monats-Erstattung.

Wie ImmoGenio mit GoCardless arbeitet

GoCardless ist ein in London ansässiger Zahlungsdienstleister mit Lizenz nach dem britischen Payment Services Regulations und einer Niederlassung in Frankreich, die als E-Geld-Institut der ACPR (Autorité de Contrôle Prudentiel et de Résolution) unterliegt. Für den deutschen Markt ist die GoCardless SAS in Paris zuständig. Die Plattform stellt einen sogenannten Billing-Request-Flow bereit, der die SEPA-Mandatserteilung vollständig in einem Browser abbildet — ohne Papier, ohne Scan, ohne manuellen Datenabgleich.

Der Ablauf gliedert sich in vier Schritte, die in ImmoGenio sauber gegen die bestehende sepa_mandate-Tabelle aus den Migrationen 049 und 050 verdrahtet sind. Im ersten Schritt startet der Verwalter den Flow über POST /api/sepa-mandate/digital-flow. Der Aufruf erfordert die Berechtigung SEPA: CREATE und einen Mieter im Scope des Mandanten. Die API legt einen Eintrag in der Tabelle gocardless_redirect_flows an, ruft die GoCardless-API mit den Mieterdaten auf und erhält eine Redirect-URL zurück. Diese URL führt den Mieter auf eine von GoCardless gehostete Seite (Hosted Payment Page), die in der Browser-Adresse pay.gocardless.com trägt und mit gültigem EV-Zertifikat ausgeliefert wird.

Im zweiten Schritt bestätigt der Mieter auf dieser Seite seine IBAN und das Mandat. GoCardless validiert die IBAN gegen die EBA-IBAN-Registry und prüft, ob das Schuldnerkonto SDD-CORE-fähig ist. Die Mandatserteilung erfolgt mit Zeitstempel, IP-Adresse und User-Agent, GoCardless erzeugt eine eigene Mandatsreferenz und gibt sie an ImmoGenio zurück.

Im dritten Schritt ruft das Portal POST /api/sepa-mandate/digital-flow/complete auf. Der Endpunkt holt aus GoCardless den finalen Mandatsstatus, schreibt das Mandat in sepa_mandate und setzt das Feld external_provider_status auf den Wert, den GoCardless gemeldet hat (typischerweise pending_submission oder direkt active). Die Mandatsreferenz wird im Format des Anbieters übernommen, sodass jeder spätere Einzug eindeutig zugeordnet werden kann.

Im vierten Schritt übernimmt der Webhook-Endpunkt die laufende Statuspflege. GoCardless sendet bei jedem Statuswechsel — Mandat aktiviert, Mandat ausgesetzt, Mandat erloschen, Erstattung gebucht — eine Nachricht an POST /api/webhooks/gocardless. Der Endpunkt verifiziert die Signatur per HMAC-SHA-256 mit einem timing-safe-Vergleich nach crypto.timingSafeEqual, verhindert also Timing-Angriffe gegen das geteilte Geheimnis. Jede Nachricht trägt einen eindeutigen event_id, der in der Tabelle webhook_events als Primärschlüssel hinterlegt ist. Trifft dieselbe event_id doppelt ein — was bei Netzfehlern und Retry-Schleifen von GoCardless die Norm ist — wird die zweite Verarbeitung idempotent verworfen, kein Statuswechsel doppelt geschrieben.

Der zentrale Sicherheitsmechanismus gegen den Doppel-Einzug greift im Sammellauf-Generator. Sobald external_provider_status für ein Mandat den Wert active trägt, schließt die Funktion sepa-export.preview.ts das Mandat aus dem internen pain.008-Lauf aus. Der Einzug erfolgt dann ausschließlich über GoCardless. Diese Mechanik ist im Beitrag zum internen pain.008-Sammellauf als Pfad „Mandat aktiv über externen Provider“ angelegt und wird durch den GoCardless-Connector bedient.

Praxis-Workflow: Mandat in zwölf Minuten

In der Sachbearbeitung läuft der Flow geradlinig ab. Eine neue Mietverhältnis-Akte ist angelegt, der Mietvertrag hochgeladen, die Mieterdaten liegen vor. Die Sachbearbeiterin öffnet die Mieter-Akte, klickt auf „Mandat digital anfordern“ und füllt das Formular: Betrag (Hausgeld oder Miete), Frequenz (monatlich) und Beginn (in der Regel der erste des Folgemonats). Das System erzeugt einen Redirect-Link und versendet eine E-Mail an den Mieter, in der Regel mit dem Betreff „Bitte richten Sie Ihre SEPA-Lastschrift ein“.

Der Mieter erhält die E-Mail in der Regel innerhalb weniger Minuten, klickt auf den Link und landet auf der GoCardless-Hosted-Page. Er gibt seine IBAN ein, bestätigt das Mandat und schließt den Vorgang ab. GoCardless meldet binnen weniger Sekunden den Status pending_submission zurück, ImmoGenio aktualisiert die Mieter-Akte. Wenige Minuten später trifft der Webhook mandates.active ein, der Status wechselt auf active, das Mandat ist einzugsfähig.

Der typische Durchlauf vom Versand der E-Mail bis zum Status active beträgt in der Pilot-Phase zwischen vier und zwölf Minuten, sofern der Mieter zeitnah reagiert. Wer den Vorgang innerhalb von sieben Tagen nicht abschließt, erhält automatisch eine Erinnerungs-E-Mail. Nach 30 Tagen verfällt der Flow, das gocardless_redirect_flows-Tupel wird auf den Status expired gesetzt, der Sammellauf bleibt unverändert auf interner Lastschrift oder Überweisung.

Doppel-Einzug verhindern: die Filter-Mechanik

Ein realer Fehlerfall in der Migrationsphase ist der Doppel-Einzug. Verwaltungen führen GoCardless für Neumandate ein, während Bestandsmandate weiter als interne Lastschrift gepflegt werden. Wird ein Bestandsmieter auf das digitale Verfahren umgestellt, existieren für einen Übergangszeitraum zwei Mandate parallel: das alte interne Mandat in sepa_mandate mit external_provider = NULL und das neue Mandat mit external_provider = 'gocardless' und external_provider_status = 'active'.

Ohne Schutzmechanik würde der monatliche pain.008-Sammellauf das alte Mandat ziehen, gleichzeitig würde GoCardless das neue Mandat einreichen — der Mieter sieht zwei Buchungen, reklamiert, erhält von GoCardless eine Erstattung nach R-Code MD06 (acht Wochen ohne Begründung), die WEG verliert den Einzug und zahlt zusätzlich eine Rücklastschriftgebühr.

Die Filter-Logik in sepa-export.preview.ts greift an genau dieser Stelle. Beim Erzeugen des Sammler-Entwurfs werden alle offenen Sollstellungen geladen. Für jede Sollstellung prüft die Funktion, ob für den Schuldner ein aktives GoCardless-Mandat vorliegt. Konkret: existiert in sepa_mandate ein Datensatz mit tenant_id = $tenant, debtor_id = $debtor, external_provider = 'gocardless' und external_provider_status = 'active', wird die Sollstellung nicht in den internen Sammler übernommen. Die Funktion schreibt stattdessen einen Hinweis in das Vorschau-Protokoll: „Mandat XYZ wird über GoCardless eingezogen, kein interner Einzug.“

Das hat zwei Konsequenzen. Erstens: der Sammellauf-Generator zeigt im Entwurfsstatus transparent, welche Sollstellungen nicht enthalten sind und aus welchem Grund. Die Sachbearbeitung kann den Übergang nachvollziehen, ohne den Lauf manuell zu filtern. Zweitens: die Filter-Logik ist die letzte Verteidigungslinie. Selbst wenn die GoCardless-Integration deaktiviert wird, bleibt das external_provider_status-Feld auf dem letzten bekannten Wert stehen — der interne Lauf zieht erst wieder, wenn das Feld aktiv auf cancelled, expired oder NULL gesetzt wird.

Compliance-Anker

Sechs normative Bezugspunkte sind für den produktiven Einsatz relevant.

Erstens das SEPA-Rulebook v12 (EPC129-08, Pre-Authorised SDD Core), verbindlich seit dem 19. November 2025. Es definiert die Pre-Notification-Pflicht, die Sequence-Types, die Vorlauffristen und die R-Transaction-Codes. GoCardless folgt diesem Rulebook lückenlos, weil ohne Konformität die Einreichung bei den deutschen Banken scheitert.

Zweitens § 675f BGB (Zahlungsdienstevertrag) und § 675j BGB (Autorisierung von Zahlungsvorgängen). Die Autorisierung des Schuldners ist die rechtliche Grundvoraussetzung jeder Lastschrift. Das digitale Mandat über GoCardless erfüllt diese Voraussetzung, weil der Mieter die Mandatserteilung aktiv und nachweisbar im Browser bestätigt.

Drittens § 675x BGB für den Erstattungsanspruch innerhalb von acht Wochen ohne Begründung. Diese Frist gilt unabhängig vom Erteilungsweg des Mandats und ist Teil der Mandatsbeziehung, nicht der Verwalter-Mieter-Beziehung.

Viertens § 676b BGB für die 13-monatige Frist bei nicht autorisierten Lastschriften. Diese Frist macht die saubere Dokumentation der Mandatserteilung unverzichtbar — das digitale Mandat liefert hier Zeitstempel, IP-Adresse, User-Agent und kryptografischen Bestätigungsnachweis.

Fünftens die Pre-Notification-Pflicht nach Ziffer 4.2 SDD-CORE-Rulebook, mindestens 14 Kalendertage vor Einzug, vertraglich verkürzbar auf einen Bankarbeitstag. ImmoGenio bedient diese Pflicht über die Hausgeld-Ankündigung im Wirtschaftsplan respektive über eine generische Notification beim ersten Einzug eines neuen Mandats.

Sechstens Art. 5 Abs. 1 lit. e DSGVO (Speicherbegrenzung) und Art. 32 DSGVO (Sicherheit der Verarbeitung). Mandate sind mindestens 14 Monate über den letzten Einzug hinaus aufzubewahren — wegen der 13-Monats-Erstattungsfrist plus Bearbeitungspuffer. In der Praxis ergibt sich aus § 257 HGB und § 147 AO eine zehnjährige Aufbewahrung, weil das Mandat Bestandteil der Buchhaltungsunterlagen ist.

Grenzen der Version 1

Drei Funktionen sind in der ersten produktiven Ausbaustufe bewusst ausgespart. Erstens: GoCardless-Mandate werden in der aktuellen Implementierung ausschließlich für Mieter-SEPA verwendet, nicht für Eigentümer-Hausgeld. Hintergrund ist die unterschiedliche Mandatsbasis — bei der WEG-Verwaltung erteilen die einzelnen Eigentümer Mandate, die Mandatsverwaltung ist enger an den Wirtschaftsplan nach § 28 WEG gekoppelt. Eine Erweiterung auf Eigentümer-Mandate ist vorbereitet, aber noch nicht freigegeben.

Zweitens: keine Multi-Provider-Strategie. Stripe-SEPA, Mollie-SEPA und vergleichbare Anbieter sind nicht angebunden. Die Abstraktionsschicht in sepa_mandate.external_provider ist offen für weitere Provider, aktuell ist aber nur der GoCardless-Connector implementiert. Eine Multi-Provider-Pflege pro Mandant wäre architektonisch möglich, schafft aber zusätzliche Komplexität in der Filter-Logik des Sammelaufs.

Drittens: keine automatische Refund-Verarbeitung über GoCardless. Erstattungen nach R-Code MD06 oder MD07 werden zwar per Webhook gemeldet und im Audit-Log eingetragen, die Folgereaktion — Mahnung, Sperre, juristische Prüfung — bleibt manuell. Die dreistufige Mahnlogik nach § 288 BGB wird angestoßen, aber nicht ohne Sachbearbeiter-Bestätigung ausgelöst.

Häufige Fragen

Was kostet ein GoCardless-Mandat?

GoCardless rechnet pro Transaktion ab, nicht pro Mandat. Für SEPA-Lastschriften in Deutschland liegt der Listenpreis bei einem Prozent pro Transaktion, gedeckelt bei zwei Euro pro Einzug. Bei einer Hausgeldbeziehung von 350 Euro im Monat sind das 2,00 Euro pro Lastschrift, also 24 Euro im Jahr. Die Mandatserteilung selbst ist kostenfrei. Die Konditionen sind tarifabhängig und werden individuell zwischen Verwaltung und GoCardless verhandelt.

Wie lange dauert die erste Lastschrift nach Mandatsunterzeichnung?

Nach Aktivierung des Mandats (Status active) gilt die SDD-CORE-Vorlauffrist von einem Bankarbeitstag (D-1) für den ersten Einzug. GoCardless reicht in der Regel mit zwei Bankarbeitstagen Vorlauf ein, um Plausibilisierungsfehler zu vermeiden. Die Pre-Notification-Pflicht von 14 Kalendertagen nach SDD-CORE-Rulebook bleibt unabhängig vom Provider bestehen und wird durch die Hausgeld-Ankündigung beziehungsweise die Vertragsklausel im Mietvertrag bedient. In der Praxis vergehen zwischen Mandatserteilung und erster Belastung des Schuldnerkontos rund fünf bis acht Bankarbeitstage.

Was passiert, wenn der Mieter den Browser schließt, ohne zu bestätigen?

Der Redirect-Flow bleibt in der Tabelle gocardless_redirect_flows 30 Tage lang im Status pending. Die Mieter-Akte zeigt den Status „Mandat angefordert, nicht abgeschlossen“. Nach sieben Tagen ohne Abschluss wird automatisch eine Erinnerungs-E-Mail versandt. Nach 30 Tagen wird der Flow als expired markiert und kann ohne Datenverlust neu gestartet werden. Der Sammellauf zieht in diesem Zeitfenster wie bisher über Überweisung oder ein vorhandenes internes Mandat.

Ist das digitale Mandat rechtssicher?

Das digitale Mandat nach GoCardless-Standard erfüllt die Anforderungen des § 675j BGB an die Autorisierung. Die Hosted Payment Page protokolliert Zeitstempel, IP-Adresse und User-Agent, die Mandatserteilung wird als PDF mit kryptografischem Hash hinterlegt. Im Streitfall genügt die Beweisführung den Anforderungen der ständigen Rechtsprechung des Bundesgerichtshofs zur Anscheinsbeweis-Wirkung digital protokollierter Autorisierungen (vgl. BGH VIII ZR 247/16). Eine qualifizierte elektronische Signatur nach eIDAS ist für SDD-CORE-Mandate nicht erforderlich — die Schriftform-Anforderung ist im SEPA-Rulebook bewusst weit gefasst.

Können wir die Mandatsdokumentation für die Bankprüfung exportieren?

Ja. Für jedes GoCardless-Mandat lässt sich aus der Mieter-Akte ein Mandats-PDF erzeugen, das Mandatsreferenz, Creditor-ID, IBAN (maskiert), Erteilungsdatum, Zeitstempel der Bestätigung und IP-Adresse enthält. Der Export ist Teil des GoBD-konformen ZIP-Daten-Exports und enthält zusätzlich den Webhook-Verlauf, der den Statuswechsel von pending_submission zu active belegt. Diese Dokumentation wird von Bankprüfern und Wirtschaftsprüfern in der Praxis als ausreichend anerkannt.

Wie verhält sich der Doppel-Einzug-Schutz bei Mandatswechsel?

Wechselt ein Mieter von einem internen Mandat auf ein GoCardless-Mandat, läuft die Umstellung in zwei Schritten. Erstens: das neue Mandat wird über den Billing-Request-Flow eingerichtet, der Status wechselt auf external_provider_status = 'active'. Ab diesem Moment wird der Mieter aus dem internen Sammler ausgeschlossen. Zweitens: das alte interne Mandat bleibt im Status aktiv, wird aber nicht mehr gezogen, weil die Filter-Logik den Schuldner als „extern aktiv“ erkennt. Empfohlen ist, das alte Mandat im Anschluss manuell auf gekuendigt zu setzen, um den Datenstand sauber zu halten. Bei Rückwechsel — etwa weil GoCardless im konkreten Fall scheitert — wird external_provider_status auf cancelled gesetzt und das interne Mandat reaktiviert.

Wo wir stehen

Die GoCardless-Integration ist seit Anfang 2026 mit drei Pilotkunden produktiv im Einsatz. Die Webhook-Idempotenz über die webhook_events-Tabelle und der timing-safe HMAC-Vergleich laufen seit dem ersten Quartal 2026 stabil. Der Doppel-Einzug-Schutz in sepa-export.preview.ts wurde mit zwei Migrations-Szenarien produktiv getestet, in denen Bestandsmandate und neue GoCardless-Mandate parallel existierten — in beiden Szenarien hat die Filter-Logik den internen Sammler korrekt entlastet.

Offen sind die Erweiterungen auf Eigentümer-Hausgeld-Mandate, die Anbindung weiterer SEPA-Provider und die teilautomatisierte Refund-Verarbeitung. Diese Punkte stehen auf der Roadmap, ohne den produktiven Einsatz der bestehenden Implementierung zu blockieren.

Kontakt

Fragen, Rückmeldungen oder eigene Erfahrungen mit digitalen SEPA-Mandaten in der Hausverwaltung nehmen wir gerne entgegen unter kontakt@immogenio.de.

GoCardless für SEPA-Mandate: Digitale Unterzeichnung im Browser und der Doppel-Einzug-Schutz im pain.008-Sammellauf