Wie Budget-Apps still und heimlich deine Transaktionsdaten verkaufen

2026-05-19 · 12 Minuten Lesezeit · Recherche

Die Lieferkette

Wenn eine Budget-App mit Bankanbindung wirbt, sitzen meist drei Firmen zwischen dir und der App:

• Der Aggregator, der mit deiner Bank spricht (Plaid dominiert in den USA; MX, Yodlee, Finicity konkurrieren; in Europa kommen PSD2-Dienstleister hinzu)
• Die Budget-App selbst
• Nachgelagerte Datenkäufer — Finanzinstitute, Hedgefonds mit „Alternative-Data\"-Research, Fintech-Startups, die Modelle trainieren, Affiliate-Partner für Kreditprodukte

Der Datenfluss ist simpel: deine Bank → Aggregator → App → nachgelagerte Käufer. Jeder Schritt steht in einer Datenschutzerklärung, die du nicht gelesen hast. Die Erklärung des Aggregators sagt, er dürfe anonymisierte Daten mit der App teilen. Die der App sagt, sie dürfe anonymisierte Daten mit Partnern teilen. Was danach kommt, ist schwerer zu verfolgen.

Was „anonymisiert\" in der Praxis bedeutet

Datenschutzerklärungen versprechen routinemäßig, geteilte Daten seien „anonymisiert\" — Name und Kontonummer entfernt. Aber Daten auf Buchungsebene mit Zeitstempeln, Beträgen und Händlernamen sind notorisch schwer wirklich zu anonymisieren. Eine MIT-Studie von 2015 zeigte, dass vier beliebige Kreditkartenbuchungen genügen, um 90 % der Personen in einem Datensatz aus Millionen eindeutig zu identifizieren — selbst nach Entfernen der Namen.

Die Daten müssen gar nicht mit dir konkret verknüpft sein, um wertvoll zu sein. Aggregierte Buchungsdaten zeigen, dass Restaurantausgaben in dieser Stadt diesen Quartals um 12 % steigen; dass die Abo-Kündigungen bei einem Streamingdienst zunehmen; dass ein bestimmter Verbrauchertyp eher einen Kredit nicht bedient. Keine dieser Erkenntnisse braucht deinen Namen — aber alle brauchen deine Buchungen.

Wie „kostenlose\" Budget-Apps kostenlos blieben

Mint zeigte in seiner Blütezeit Werbung neben diesem Datenverkauf an. Beides stand offen in der Datenschutzerklärung. Der unausgesprochene Deal: Du bekommst einen kostenlosen Budget-Tracker, die App bekommt deine Buchungsdaten und eine Werbefläche zum Verkaufen. 14 Jahre lang funktionierte das für beide Seiten — bis Intuit konsolidierte und die Rechnung sich verschob.

Die Nach-Mint-Nachfolger teilten das Modell auf. Manche behielten den Datenfluss und legten ein Abo obendrauf (Monarch, Copilot, Empower). Andere lehnten den Datenfluss ab und verlangten ein klares Abo (YNAB). Wenige lehnten die ganze Architektur ab und verlangten einen Einmalpreis (Penno, Buddy, Actual Budget).

Der Aggregator ist das tragende Teil

Die folgenreichste Entscheidung einer Budget-App ist, ob sie Plaid (oder ein Äquivalent) integriert. Einmal integriert, fließen deine Buchungsdaten bei jeder Aktualisierung durch die Infrastruktur des Aggregators. Plaids Datenschutzerklärung ist weit gefasst: Es dürfe die verarbeiteten Daten nutzen, um „seine Dienste zu verbessern\" — was laut Erklärung die Entwicklung von Finanzprodukten und Forschung einschließen kann.

Plaid ist heute ein Unternehmen mit Milliardenbewertung. Diese Bewertung rechtfertigt sich nicht durch die Gebühren des Aggregator-Dienstes — sondern durch den Datenfluss. Plaid ist nach manchen Maßstäben der größte Verwalter von US-Verbraucher-Buchungsdaten außerhalb der großen Banken selbst.

Was du tatsächlich überprüfen kannst

Wenn das Marketing einer Budget-App „wir verkaufen deine Daten nicht\" behauptet, prüfe drei Dinge:

1. Die Datenschutzerklärung. Achte auf Formulierungen wie „Dienstleister\", „aggregierte Erkenntnisse\", „Partner-Research\". Das sind keine Lügen — es sind Offenlegungen des tatsächlichen Flusses.
2. Die Erklärung des Aggregators. Nutzt die App Plaid, fließen deine Daten durch Plaids Bedingungen, egal was die App-Erklärung sagt.
3. Apples App-Store-Datenschutzangabe. Apple verlangt, dass Apps offenlegen, welche Daten sie erfassen und mit der Identität verknüpfen. Der Eintrag einer typischen bank-angebundenen Budget-App zeigt: Buchungsdaten werden erfasst und können mit der Identität verknüpft werden.

Die architektonische Alternative

Der einzige Weg, sicher zu sein, dass nichts davon passiert, ist eine App ohne jede Aggregator-Integration. Das ist die Design-Entscheidung hinter Penno: Im Binary steckt kein Plaid-SDK, kein MX, kein Yodlee, kein Finicity. Es gibt keine Infrastruktur, die Buchungsdaten übertragen könnte, selbst wenn wir wollten. Der Datenpfad existiert nicht.

Der Kompromiss ist real: Du trägst jede Buchung selbst ein. Die Bequemlichkeit ist weg. Was du zurückbekommst, ist die Gewissheit, dass die Architektur zum Marketing passt.

Was du konkret tun kannst

Willst du weiter eine bank-angebundene Budget-App nutzen — kein Problem, Millionen tun es, und das Datenverkaufs-Risiko ist real, für Einzelne aber nicht katastrophal. Du kannst es abmildern:

• Lies die Datenschutzerklärungen sowohl der App als auch des Aggregators
• Begrenze, welche Konten du verknüpfst (verknüpfe keine Anlagekonten, wenn du nur das Girokonto budgetierst)
• Widerrufe den Zugriff auf Bankebene (die meisten Banken lassen dich Aggregator-Verbindungen in den Sicherheitseinstellungen sehen und widerrufen)
• Lösche das App-Konto, wenn du aufhörst — und prüfe das in den Datenlösch-Einstellungen der App, nicht nur durch Deinstallieren

Hast du entschieden, dass der Kompromiss es nicht wert ist, gibt es die Manuell-Optionen. Sie sind langsamer pro Buchung, beseitigen den Datenfluss aber vollständig.

Eine Anmerkung zu diesem Beitrag

Ich (der Entwickler von Penno) habe ein offensichtliches Interesse an diesem Argument. Ich habe versucht, sachlich zu bleiben — jede Aussage oben ist gegen die Datenschutzerklärungen der genannten Firmen überprüfbar. Liest sich etwas überzogen oder unfair, schreib mir, und ich korrigiere es.