Warum ich Penno niemals eine Bankanbindung gebe

2026-05-19 · 8 Minuten Lesezeit · Gründer-Essay

Bankanbindung ist die meistgewünschte Penno-Funktion. Die Mail kommt etwa einmal pro Woche: „Könntest du PSD2 oder Plaid einbauen? Spart mir 20 Minuten im Monat.\" Die ehrliche Antwort ist nein. Nicht „nein, vorerst\" — nein, Punkt.

Die meisten Entwickler:innen sagen nicht „niemals\" zu Feature-Wünschen. Die Standardhaltung ist „notiert, steht auf der Roadmap\". „Niemals\" schließt eine Tür, die ich später vielleicht offen haben will. Ich sage es trotzdem, weil die geschlossene Tür Teil des Produkts ist.

Was eine Bankanbindung verändern würde

Plaid (oder ein PSD2-Dienst) in Penno einzubauen würde Folgendes erfordern:

1. Ein Konto-System (der Aggregator muss Token+Nutzer verknüpfen; Token müssen erneuert werden)
2. Backend-Infrastruktur (die Aggregator-API darf aus Sicherheitsgründen nicht direkt aus einer Mobile-App aufgerufen werden; man braucht einen Server als Vermittler)
3. Eine laufende Aggregator-Gebühr (pro Konto und Monat — wird an die Nutzerpreise weitergegeben)
4. Eine größere Datenschutzerklärung (jetzt bin ich, wenn auch nur kurz beim Abruf, Verwalter von Buchungsdaten)
5. Compliance-Aufwand wie SOC 2 oder Äquivalent (der Umgang mit diesen Daten ist reguliert)
6. Ein anderes Geschäftsmodell (die Pro-Konto-Gebühr erzwingt Abo-Preise)

Jeder Punkt für sich ist machbar. Zusammen definieren sie das Produkt neu. Das Versprechen „Local-First, keine Server, kein Abo, kein Konto\" ist dahin — nicht weil ich ein Versprechen gebrochen hätte, sondern weil sich die Architektur geändert hat.

Die Nutzer:innen, die beides wollen

Wer mir wegen Plaid schreibt, will meist beides: den Datenschutz der reinen Lokal-Speicherung UND die Bequemlichkeit des automatischen Imports. Ich verstehe das. Ich wollte auch beides, wenn sie koexistieren könnten. Sie können nicht.

Die Buchungsdaten müssen irgendwoher kommen. Kommen sie über Plaid von deiner Bank, sieht Plaid sie. Sieht Plaid sie, stimmt die Aussage „kein Dritter sieht meine Buchungen\" nicht mehr. Es gibt keinen Weg, eine Bankanbindung einzubauen, ohne die Aussage zu brechen, denn die Aussage betrifft die Abwesenheit eines Dritten, nicht dessen Vertrauenswürdigkeit.

Wenn deine Priorität Bequemlichkeit ist, sind Copilot Money oder Monarch die Antwort. Das sind gute Produkte, ehrlich um das Bankanbindungs-Modell herum gebaut. Ich empfehle sie auf unseren Vergleichsseiten. Die Bequemlichkeit kostet etwas — Geld und Datenweitergabe — aber wenn der Tausch sich für dich lohnt, nimm ihn.

Wenn deine Priorität die Kein-Dritter-Aussage ist, ist Penno die Antwort. Der Kompromiss ist die manuelle Eingabe. Die Entscheidung liegt bei dir.

Der Markt für „keine Bankanbindung\" ist dauerhaft

Eine nennenswerte Zahl von Menschen wird die Bankanbindung in Budget-Apps immer ablehnen. Die Gründe sind verschieden:

• Datenschutzbewusste, die keinen Dritten in ihren Finanzen wollen
• Nutzer:innen in Ländern, wo die Aggregator-Abdeckung schlecht oder nicht vorhanden ist
• Menschen, die schon einmal von einem Aggregator-Ausfall ausgebremst wurden
• Alle, die bank-angebundene Apps probiert und den Datenfluss unangenehm fanden
• Nutzer:innen mit Bargeld oder Nicht-Mainstream-Banking (kleine Banken, Neobanken), wo die Abdeckung lückenhaft ist
• Leute, die die Reibung der manuellen Eingabe als verhaltensformendes Feature wollen

Das ist keine laute Minderheit — es ist eine dauerhafte Gruppe. Mint hatte zu Spitzenzeiten 25 Millionen Nutzer:innen, von denen wohl 1 bis 3 Millionen eine Option ohne Bankanbindung bevorzugt hätten, gäbe es sie. Penno braucht keine 25 Millionen. Es braucht ein paar Tausend aus der Keine-Bankanbindung-Gruppe, um als Indie-Geschäft zu tragen.

Das Argument der architektonischen Integrität

Pennos Aussage ist nicht nur „wir versprechen, deine Daten nicht zu missbrauchen\". Sie lautet „wir können deine Daten nicht missbrauchen, weil wir sie nicht haben\". Das ist eine stärkere Aussage — aber nur, weil die Architektur sie erzwingt.

In dem Moment, in dem ich einen server-vermittelten Anbindungs-Fluss einbaue, habe ich Buchungsdaten — und sei es nur kurz, im Transit. Jetzt hängt meine Datenschutz-Aussage von Richtlinien ab, nicht von Architektur. Richtlinien ändern sich. Architekturen lassen sich nicht so leicht ändern.

Ich will, dass Nutzer:innen das Binary ansehen und die Aussage unabhängig prüfen können. App-Store-Datenschutzangabe: keine erfassten Daten. Plaid-SDK: nicht im Binary. Aussagen auf Code-Ebene: belegt unter /de/claims. Eine Bankanbindung bricht jede einzelne dieser Prüfungen.

Der schiefe Abhang ist real

Würde ich eine Plaid-Integration einbauen, käme die nächste Mail prompt: „Könntest du Cloud-Sync zwischen Handy und iPad einbauen?\" Dann „Könntest du geteilte Budgets mit meiner Partnerin einbauen?\" Dann „Könntest du einen Web-Client einbauen?\"

Jede einzelne Bitte ist vernünftig. Jede braucht mehr Server-Infrastruktur. Jede schiebt Penno in Richtung der Architektur, gegen die ich gestartet bin. Sechs Iterationen weiter ist Penno ein Monarch mit schlechterem Design.

Der Weg, einen Abhang nicht hinunterzurutschen, ist, ihn gar nicht erst zu betreten. Also betrete ich ihn nicht.

Was ich stattdessen tue

Die manuelle Eingabe schneller und angenehmer machen. iOS-Kurzbefehle für Ein-Tipp-Erfassung. Bessere Widget-Integration. Schnelleres Onboarding für die Kategorien, die die meisten wirklich wollen. Texterkennung auf Belegen (vollständig auf dem Gerät, mit Apples Vision-Framework — keine Daten verlassen das Handy). Besserer CSV-Import für alle, die historische Daten aus einer anderen App mitbringen wollen.

Nichts davon berührt die architektonische Integrität. Alles davon senkt die Reibung, die der zentrale Kritikpunkt ist.

Wenn du wirklich eine Bankanbindung willst

Nutze eine andere App. Copilot Money und Monarch Money sind beide ausgezeichnet, und ich verlinke sie auf unseren Vergleichsseiten ohne Häme. Sie kosten mehr als Penno und haben die Architektur für das, was sie tun.

Was ich nicht tun werde, ist einen Frankenstein-Hybrid zu bauen, der beides verspricht und nichts liefert.

— [Gründer]