Ein Kontoinformationsdienst (AISP) darf mit deiner expliziten Zustimmung Salden und Transaktionen deiner Zahlungskonten abrufen. Der Zugriff ist auf die notwendigen Daten beschränkt und erfordert starke Kundenauthentifizierung. Eigenmächtige Überweisungen sind einem AISP nicht erlaubt - das ist ausschließlich Zahlungsauslösediensten (PISP) vorbehalten.
PSD2: Was die Richtlinie Finanz-Apps konkret erlaubt - und wo sie aufhört
PSD2 regelt den Zugriff von Finanz-Apps auf Bankkonten - nicht aber, was danach mit den abgerufenen Daten passiert. Was die Richtlinie konkret autorisiert, wo ihre Grenzen liegen und was Widerruf wirklich bedeutet.
Was ist PSD2 - und wer braucht eine Lizenz?
PSD2 steht für die Zweite Zahlungsdiensterichtlinie der EU (Richtlinie (EU) 2015/2366). In Deutschland trat sie im Januar 2018 in Kraft, die vollständigen Kontozugriffspflichten (XS2A) galten ab September 2019. Ziel: mehr Wettbewerb im Zahlungsverkehr, sichere Drittanbieterzugriffe und stärkere Verbraucherrechte. Eine ausführliche Übersicht mit Glossar bietet die Bundesbank.
PSD2 kennt zwei Lizenztypen für Drittanbieter. AISP (Kontoinformationsdienst): darf Salden und Transaktionen abrufen - rein lesend. PISP (Zahlungsauslösedienst): darf Überweisungen im Namen des Nutzers auslösen. Beide Typen benötigen eine BaFin-Registrierung oder -Erlaubnis und eine Berufshaftpflichtversicherung.
Finanzguru betreibt seit 2019 einen AISP und seit 2024 auch einen PISP. Outbank hingegen nutzt eine andere Architektur und betont, abgerufene Kontodaten lokal auf dem Gerät des Nutzers zu speichern - der Anbieter selbst habe keinen zentralen Zugriff auf Transaktionsdaten.
Wie PSD2-Zugriff technisch funktioniert
Der Ablauf bei einem AISP ist standardisiert. Du gibst deine Zustimmung, authentifizierst dich mit starker Kundenauthentifizierung (SCA) - zwei unabhängige Faktoren wie PIN und TAN - und die Bank stellt der App einen Zugriffstoken aus. Über die XS2A-Schnittstelle ruft die App dann Salden und Transaktionen ab, häufig bis zu 90 Tage rückwirkend.
Für laufende Dienste kann der Token bis zu 90 Tage gültig bleiben. Danach ist eine erneute SCA-Authentifizierung nötig. Die App hat also keinen dauerhaften, unkontrollierten Zugriff - aber während der Gültigkeitsdauer kann sie regelmäßig Daten abrufen.
SCA schützt den Moment der Autorisierung - nicht die Nutzung der bereits kopierten Daten danach. Dieser Unterschied geht im öffentlichen Diskurs über PSD2-Sicherheit oft unter.
Was PSD2 nicht regelt
PSD2 reguliert den Abruf - nicht das, was danach passiert. Sobald deine Transaktionsdaten beim Anbieter angekommen sind, greift nicht mehr PSD2, sondern die DSGVO.
Eine vollständige Transaktionshistorie erlaubt weitgehende Schlüsse: Ausgabenmuster, Einkommensniveau, Konsumgewohnheiten, Lebensstil - bis hin zu Kreditwürdigkeitssignalen und Verhaltensprofilierung. Was ein Anbieter mit diesen Daten konkret macht - ob für interne Produktentwicklung, Scoring-Modelle oder Weitergabe an Drittpartner - steht nicht in der PSD2, sondern in seiner Datenschutzerklärung und seinen AGB.
PSD2 macht Finanz-Apps nicht automatisch datenschutzkonform. Es macht sie kontrolliert zugangsberechtigt. Wer wissen will, was ein Anbieter mit seinen Finanzdaten macht, muss die Datenschutzerklärung lesen - und dem Anbieter beim Wort nehmen.
Widerruf: Was du steuern kannst - und was nicht
PSD2 verpflichtet Banken, ein Zugriffsprotokoll bereitzustellen. Im Online-Banking findest du unter "Drittanbieter" oder "Zugriffe" eine Liste aller autorisierten Apps. Dort kannst du den Zugriff einzelner Anbieter jederzeit widerrufen.
Was der Widerruf stoppt: zukünftige Datenabrufe. Was er nicht bewirkt: die Löschung bereits abgerufener und gespeicherter Transaktionen. Die liegen auf den Servern des Anbieters und bleiben dort, bis du aktiv eine Löschung nach Art. 17 DSGVO anforderst - oder die App sie nach ihrer eigenen Richtlinie löscht.
Bei einem Unternehmensverkauf gehen diese Daten mit über - an den neuen Eigentümer, mit potenziell neuen Datenschutzbedingungen. Das Recht auf Widerruf schützt dich vor zukünftigem Zugriff, nicht vor dem, was bereits kopiert wurde.
Kein PSD2. Kein Token. Kein Kontozugriff.
CashCat nutzt keine PSD2-Schnittstelle. Kontoauszüge kommen als CSV aus dem Online-Banking - du gibst keinen Kontozugriff.
Dein Bankkonto bleibt dein Bankkonto
Apps wie Finanzguru bekommen dauerhaften Zugriff auf dein Konto - sobald du einmal zustimmst. CashCat bekommt nichts davon: du importierst deinen Kontoauszug selbst.
Einmal kaufen. Für immer nutzen.
YNAB kostet über 5 Jahre rund 900 €. CashCat ist ein Einmalkauf - kein Abo, keine Preiserhöhung, keine Kündigung.
Deine Finanzdaten sieht niemand außer dir
Was du importierst, verlässt dein Gerät nie. Kein Anbieter sieht deine Ausgaben, kein Server speichert dein Finanzprofil.
Alle deine Bankkonten zusammen im Blick
Sparkasse, ING, VR-Bank, N26, DKB - egal. CashCat importiert Kontoauszüge von jeder Bank und bringt sie unkompliziert in ein Dashboard.
Finanz-Apps ohne PSD2 - und was PSD3 ändert
Apps, die kein PSD2 nutzen, erhalten keinen Token, stellen keine XS2A-Anfragen und rufen keine Daten über Bankschnittstellen ab. CashCat gehört in diese Kategorie: Transaktionsdaten kommen ausschließlich über CSV-Exporte, die du selbst aus dem Online-Banking herunterlädst und importierst. Kein Dritter erhält dabei direkten Kontozugriff - es gibt keinen Token, der im Hintergrund weiterläuft.
Statt dauerhaftem Kontozugriff investierst du einmal im Monat zwei Minuten: CSV-Export aus dem Online-Banking, Import in CashCat. Wer tägliche Echtzeit-Updates oder vollautomatische Multi-Konto-Aggregation braucht, ist mit einer PSD2-App besser bedient.
PSD3 befindet sich seit 2025 in der politischen Einigung und wird voraussichtlich ab 2026 mit einer 18-monatigen Übergangsfrist umgesetzt. Geplante Änderungen: stärkere Nutzerkontrolle über aktive Zugriffe, bessere Transparenz-Dashboards bei Banken und verbesserte Regelungen zu Betrugsschutz. Was PSD3 nicht grundlegend ändert: die strukturelle Lücke zwischen Zugriffsregulierung und Datennachnutzung.
Häufige Fragen zu PSD2
Für laufende Kontoinformationsdienste gilt die Zustimmung typischerweise bis zu 90 Tage - danach ist eine erneute Authentifizierung nötig. Du kannst die Erlaubnis jederzeit im Bankportal widerrufen, unabhängig von der Laufzeit.
Nein. PSD2 regelt den sicheren Abruf, nicht was danach passiert. Vollständige Transaktionsdaten erlauben Anbietern weitgehende Analysen: Ausgabenmuster, Verhaltensprofilierung, Kreditwürdigkeitssignale. Was konkret damit geschieht - Speicherdauer, interne Nutzung, Weitergabe an Dritte - steht ausschließlich in der Datenschutzerklärung und den AGB des Anbieters, nicht in der PSD2.
Widerruf im Bankportal stoppt zukünftigen Datenabruf sofort. Bereits abgerufene und beim Anbieter gespeicherte Transaktionsdaten bleiben dort, bis der Anbieter sie gemäß seiner Datenschutzrichtlinie löscht. Für vollständige Datenlöschung musst du eine aktive Anfrage direkt beim Anbieter stellen - das Recht dazu ergibt sich aus Art. 17 DSGVO.
Apps ohne PSD2-Verbindung bieten kein automatisches Sync und keine vollautomatische Multi-Konto-Aggregation. Statt dauerhaftem Kontozugriff lädst du einmal im Monat einen CSV-Export herunter und importierst ihn. Dafür erhält kein Dritter jemals direkten API-Zugriff auf dein Konto.