Sind Budget-Apps sicher? Was sie wirklich über dich wissen
Das Kurzfazit: Bank-verknüpfte Budget-Apps sind technisch sicher in dem Sinne, dass sie SSL-Verschlüsselung und ähnliche Standardmaßnahmen einsetzen. Das eigentliche Risiko liegt woanders: Aggregatoren wie Plaid und Yodlee speichern deine Finanzdaten auf ihren Servern — und mehrere davon wurden dabei erwischt, diese Daten ohne ausreichende Nutzereinwilligung weiterzuverkaufen. Ein lokaler Budget-Tracker ohne Bankverbindung hat dieses Problem schlicht nicht, weil deine Daten das Gerät nie verlassen.
Wenn du eine Budget-App öffnest, die sich mit deiner Bank verbindet, passiert mehr im Hintergrund, als dir die App zeigt. Zwischen deiner Bank und der App sitzt in der Regel ein Drittanbieter — ein sogenannter Finanzdaten-Aggregator. Dieser Aggregator ist oft unsichtbar, aber er ist derjenige, der deine Kontodaten tatsächlich hält, verarbeitet und manchmal auch weitergibt.
Was ist Plaid — und warum wurde dagegen geklagt?
Plaid ist der bekannteste Finanzdaten-Aggregator in den USA. Wenn Mint, YNAB, Copilot oder Rocket Money dein Bankkonto verknüpfen wollen, läuft das meistens über Plaid oder einen ähnlichen Dienst wie Yodlee oder MX.
Im Jahr 2022 wurde ein Vergleich über 58 Millionen Dollar in einer Sammelklage gegen Plaid rechtskräftig genehmigt. Die Klage warf Plaid vor, Bankzugangsdaten und Transaktionshistorien von rund 98 Millionen Menschen ohne hinreichende Einwilligung gesammelt zu haben. Plaid bestritt die Vorwürfe, stimmte aber dem Vergleich zu.
Das ist keine Randnotiz. Es ist ein konkreter Hinweis darauf, welche Daten Aggregatoren über dich halten — und wie lange.
Yodlee und der Verkauf von Transaktionsdaten
Yodlee, heute Teil von Envestnet, ist ein weiterer großer Aggregator. Ein Investigativbericht von Motherboard legte nahe, dass Yodlee Transaktionsdaten an Dritte weitergegeben hat — angeblich auf eine Art und Weise, die für die betroffenen Nutzer nicht ausreichend transparent war.
Die Senators Ron Wyden und Sherrod Brown sowie Repräsentantin Anna Eshoo schrieben im Januar 2020 einen Brief an die FTC und wiesen auf das Problem der Datenweitergabe durch Finanzdaten-Broker hin. Im Februar 2020 stellte die FTC einem Datenbroker einen Civil Investigative Demand (CID) aus — ein formales Ermittlungsinstrument.
Die CFPB-Regel und ihr aktueller Stand
Im Oktober 2024 verabschiedete das Consumer Financial Protection Bureau (CFPB) eine Regel zu Verbraucherrechten bei Finanzdaten (Personal Financial Data Rights Rule). Sie sollte Verbrauchern mehr Kontrolle über ihre eigenen Finanzdaten geben — einschließlich des Rechts, den Datenzugriff durch Apps zu widerrufen. Die Regel wurde jedoch durch gerichtliche Anfechtungen ausgesetzt und wird Mitte 2026 neu geschrieben. Was dabei herauskommt, ist zum Zeitpunkt der Veröffentlichung dieses Artikels offen.
Die drei Risikostufen — und warum "sicher" relativ ist
Risiko 1: Aggregator-Sicherheitslücke
Deine Bankdaten liegen auf den Servern von Plaid, Yodlee oder MX — nicht nur auf denen deiner Bank oder der App, die du siehst. Wenn einer dieser Aggregatoren gehackt wird, sind deine Daten betroffen, auch wenn du die App längst gelöscht hast.
Risiko 2: Datenweitergabe und Monetarisierung
Finanzdaten haben für Werbetreibende, Versicherungen und Kreditanbieter einen Marktwert. Transaktionen zeigen Kaufgewohnheiten, Abonnements, medizinische Ausgaben, politische Spenden und vieles mehr. Aggregatoren, die diese Daten "anonymisiert" verkaufen, können einen Geschäftsmodell-Anreiz haben, der deinen Interessen widerspricht.
Risiko 3: Unternehmensübernahmen ändern die Datenschutzrichtlinien
Was heute gilt, gilt morgen möglicherweise nicht mehr. Eine App, die du vor zwei Jahren eingerichtet hast, könnte seitdem aufgekauft worden sein — und die neuen Eigentümer haben andere Interessen. Deine Daten liegen noch dort, und die neue Datenschutzrichtlinie erlaubt womöglich mehr.
Die lokale Alternative: Daten, die das Gerät nie verlassen
Die sicherste Budget-App ist eine, die gar keine Verbindung zur Bank herstellt. Ein lokaler Budget-Tracker wie Penno speichert alles ausschließlich auf deinem Gerät — keine Kontoregistrierung, kein Aggregator, kein Server, der deine Transaktionen hält.
Der "Nachteil": Du tippst jede Ausgabe selbst ein. Das dauert zehn Sekunden und schärft nebenbei das Bewusstsein dafür, was gerade passiert — ein Effekt, den automatisiertes Tracking nicht hat.
Weitere Hintergründe dazu, wie Budget-Apps Daten monetarisieren, findest du im Artikel „Wie Budget-Apps deine Daten weiterverkaufen". Wer nach dem Wechsel verstehen will, welche Apps noch Zugriff auf seine Bankdaten haben, sollte außerdem vergessene Abonnements überprüfen und kündigen. Und was passiert, wenn die Finanz-App, der du vertraust, einfach abgeschaltet wird — wie es Mint passiert ist — erklärt dieser Leitfaden.
Budgetieren ohne Bankdaten preiszugeben
Penno speichert alles lokal auf deinem Gerät. Kein Konto, keine Bankverbindung, kein Aggregator.
Penno im App Store →Häufige Fragen
Sind Budget-Apps wie Mint oder YNAB sicher?
Technisch gesehen ja — diese Apps verwenden SSL-Verschlüsselung und Standardsicherheitsmaßnahmen. Das eigentliche Risiko liegt jedoch bei den Aggregatoren im Hintergrund. Dienste wie Plaid oder Yodlee sammeln deine Kontodaten auf ihren Servern, und mehrere von ihnen wurden dafür kritisiert oder verklagt, diese Daten ohne ausreichende Nutzereinwilligung weiterzuverkaufen. Ein lokaler Budget-Tracker wie Penno umgeht dieses Problem vollständig.
Was ist Plaid und warum ist es umstritten?
Plaid ist ein Finanzdaten-Aggregator, der als Mittelsmann zwischen Budget-Apps und Banken fungiert. Im Jahr 2022 wurde ein Vergleich über 58 Millionen Dollar in einer Sammelklage gegen Plaid genehmigt, die Vorwürfe enthielt, dass das Unternehmen Bankzugangsdaten von rund 98 Millionen Nutzern ohne ausreichende Einwilligung gesammelt habe.
Werden meine Bankdaten von Budget-Apps verkauft?
Einige Aggregatoren tun genau das. Yodlee/Envestnet wurde von Motherboard mit einem Untersuchungsbericht konfrontiert, der Belege dafür enthielt, dass Transaktionsdaten an Dritte weitergegeben wurden. Ob eine bestimmte App das macht, hängt von deren Datenschutzrichtlinien und den beteiligten Aggregatoren ab. Der sicherste Weg: Eine App nutzen, die gar keine Bankverbindung herstellt.
Wie kann ich budgetieren, ohne meine Bankdaten preiszugeben?
Manuelles Budgetieren mit einer lokalen App ist die zuverlässigste Methode. Penno speichert alle Daten ausschließlich auf deinem Gerät — keine Bankverbindung, kein Konto, kein Datenaustausch mit Dritten. Du tippst jede Ausgabe selbst ein, was nebenbei dein Bewusstsein für Ausgaben schärft.
Weiterlesen
Eine Untersuchung darüber, wie Transaktionsdaten still und heimlich monetarisiert werden.
Wie du herausfindest, welche Apps noch auf deine Bankdaten zugreifen.
Was passiert, wenn die Finanz-App, der du vertraust, abgeschaltet wird.