Wenn ChatGPT zur neuen Bank-App wird: Warum Europa jetzt entscheiden muss, wer das Finanz-Frontend baut

Seit dem 15. Mai 2026 können zahlende ChatGPT-Pro-Nutzer in den USA ihre Bankkonten, Brokerage-Depots und Kreditkarten direkt in den Chatbot einbinden. Möglich wird das durch eine Kooperation mit Plaid, dem US-Marktführer für Bankdaten-Aggregation, vergleichbar mit dem, was wealthAPI in Deutschland tut.

Plaid verbindet OpenAI – und damit ChatGPT – mit über 12.000 Instituten, darunter JPMorgan Chase, Schwab, Fidelity, Robinhood und American Express. Kontostände, Transaktionen, Abonnements und Verbindlichkeiten laufen direkt in ein Dashboard im Chatfenster. Auf Knopfdruck.

Für unsere Branche ist das mehr als ein deutliches Signal. Es ist eine Zäsur. Denn die Schnittstelle zwischen Mensch und Geld verschiebt sich grundlegend, weg von der App der Hausbank, hinein in eine KI-Schicht, die darüber liegt. Wenn das stabil wird, verlieren Banken zwar nicht ihre Funktion, aber dafür die Kundenschnittstelle.

Dass KI jetzt auch im Bereich Personal Finance mitmischt, ist erst einmal weder gut noch schlecht. Vielmehr war es angesichts der rasanten Entwicklung nur eine Frage der Zeit. Für Europa ergibt sich daraus eine strategische Frage, die wir nicht länger aufschieben können: Unter welchen Regeln wird diese Veränderung hier stattfinden?

Was OpenAI und Plaid wirklich verändert haben

Was hier wirklich passiert, lässt sich an einer einzelnen Zahl ablesen: Mehr als 200 Millionen Menschen stellen ChatGPT bereits monatlich Fragen zu ihrem Geld. Es geht um Budgets, Kredittilgungen, Aktienkäufe, Steuerwirkung, Was-wäre-wenn-Szenarien. Bisher taten sie das blind, mit allgemeinen Antworten, die nicht auf ihre Lage zugeschnitten waren. Diese Lücke schließt OpenAI mit ChatGPT Finance jetzt – und genau hier kippt die Architektur.

Der entscheidende Punkt ist nicht, dass ChatGPT jetzt Salden anzeigen kann. Aggregatoren machen das seit Jahren. Der entscheidende Punkt ist, dass sich der Ort verschiebt, an dem Menschen mit ihrem Geld interagieren. Nicht mehr die App der Hausbank oder das Online-Banking-Portal. Es ist das KI-Chatfenster, in dem ohnehin alles andere passiert: Reisebuchung, Steuererklärung, Recherche, Schreibarbeit.

Dass das kein Nischenphänomen ist, zeigen zwei aktuelle Studien. In den USA ist laut einer Erhebung der TD Bank der Anteil der Amerikaner, die KI für die Verwaltung ihrer Finanzen nutzen, innerhalb eines Jahres von 10 Prozent auf 55 Prozent gestiegen. In Großbritannien sind es laut Consumer Digital Index der Lloyds Banking Group bereits rund 28,8 Millionen Erwachsene, also 56 Prozent der erwachsenen Bevölkerung. Personal Finance ist damit in beiden Ländern die häufigste KI-Anwendung überhaupt.

Für Banken heißt das: Die Kundenschnittstelle, die Banken über zwanzig Jahre aufgebaut und optimiert haben, verschiebt sich gerade in ein Chatfenster, das ihnen nicht gehört.

Funktioniert das auch in Europa?

Die kurze Antwort: rechtlich ja. Operativ nicht ohne Weiteres.

PSD2 hat seit 2018 die regulatorische Grundlage geschaffen, dass Drittanbieter mit ausdrücklicher Einwilligung des Kunden auf Zahlungskonten zugreifen dürfen. Wer das tut, braucht eine Lizenz als Kontoinformationsdienst (KID) bei der BaFin oder bei einer entsprechenden Aufsichtsbehörde im EU-Mitgliedstaat. OpenAI könnte sich also theoretisch mit einem in Europa lizenzierten Aggregator zusammentun und ein vergleichbares Modell hier aufsetzen – ein europäischer KID könnte die Rolle übernehmen, die Plaid in den USA spielt.

In der Praxis stößt das Modell hier aber auf mehrere strukturelle Hürden gleichzeitig.

Da ist zunächst die Marktfragmentierung. Plaid funktioniert in den USA, weil das Unternehmen über Jahre bilaterale Vereinbarungen mit Tausenden von Banken verhandelt hat. In Europa gibt es diesen Hebel nicht: 27 Mitgliedstaaten, dutzende Großbanken pro Land, hunderte kleinere Institute, dazu Versicherungen, Bausparkassen, Brokerage, Pensionskassen. Es existiert kein einziger Aggregator mit gesamteuropäischer Reichweite. Jede proprietäre Anbindung bedeutet Verhandlungs- und Zertifizierungsarbeit.

Hinzu kommt die Strong Customer Authentication. Die SCA-Anforderungen unter PSD2 schreiben vor, dass Kontodaten in regelmäßigen Abständen durch eine starke Kundenauthentifizierung neu freigegeben werden müssen. Ursprünglich alle 90 Tage, inzwischen in vielen Fällen alle 180 Tage. Klingt nicht nach viel, ist aber strukturell etwas anderes als das US-Modell. Plaid kann in den USA Verbindungen weitgehend kontinuierlich aufrechterhalten. In Europa muss der Nutzer den Zugriff alle paar Monate aktiv durch eine TAN- oder Push-Bestätigung freigeben. Das ist eine bewusste Entscheidung des europäischen Gesetzgebers zugunsten der Sicherheit. Sie hat aber zur Folge, dass ein KI-Assistent, der unauffällig im Hintergrund auf Konten zugreift und sich entweder nie wieder meldet oder regelmäßig proaktiv Empfehlungen sendet, im europäischen Regelwerk schlicht nicht vorgesehen ist. Das US-Produkterlebnis lässt sich hier nicht 1:1 übertragen.

Die dritte und wahrscheinlich größte Hürde liegt im Umfang der verfügbaren Daten. PSD2 endet beim Zahlungskonto. Vermögen liegt aber zu großen Teilen woanders, etwa in Depots, Lebensversicherungen, Riester-Verträgen, Bausparern, Immobilien oder Krypto-Wallets. Genau diese Lücke soll die kommende FiDA-Regulierung schließen. Sie weitet den regulierten Datenzugang auf nahezu alle Finanzprodukte aus. Aus Sicht eines KID ist FiDA damit ein klarer Vorteil. Die strategische Pointe liegt allerdings darin, dass die Regulierung auch festlegt, wer unter welchen Bedingungen auf diese Daten zugreifen darf.

Warum FiDA strategisch viel wichtiger ist, als viele glauben

Die EU-Kommission hat FiDA im Juni 2023 vorgeschlagen. Zwischenzeitlich kursierten sogar Gerüchte, dass die Kommission die Verordnung vollständig zurückziehen wolle. Im 2025 veröffentlichten Arbeitsprogramm wurde FiDA dann als „pending proposal“ gelistet. Der Wille ist also da, doch wann es zur Finalisierung oder gar zum Inkrafttreten kommt, ist offen. Selbst bei zügiger Verabschiedung läge die volle Anwendbarkeit zwei Jahre nach Inkrafttreten, also frühestens 2028. In phasenweiser Anwendung rechnen Brancheneinschätzungen sogar mit einem Zeitraum bis 2030.

Entsprechend offen ist auch, ob FiDA als „soft“ oder als „hard“ Variante kommt. In der weichen Lesart erhalten auch Nicht-EU-Anbieter unter überschaubaren Auflagen Zugang zu europäischen Finanzdaten. In der harten Lesart gibt es echte Souveränitätsgrenzen, etwa stärkere Gatekeeper-Auflagen für die ganz großen Plattformen und engere Vorgaben dazu, wo Daten verarbeitet werden dürfen. Das ist juristisch trockene Materie, aber sie entscheidet im Kern darüber, ob in fünf Jahren das KI-Frontend zu europäischen Finanzdaten in Brüssel reguliert oder in Kalifornien gebaut wird.

Solange FiDA nicht da ist, gibt es in Europa keinen standardisierten, regulierten Zugang zu Daten über Zahlungskonten hinaus. Wer ein KI-gestütztes Vermögens-Frontend bauen will, muss Markt für Markt, Institut für Institut, Produkt für Produkt verhandeln oder screenscrapen. Das skaliert nicht. Was OpenAI in den USA an einem Freitag launcht, würde in der EU ohne regulatorische Grundlage ein Jahrzehnt bilateraler Verhandlungen brauchen oder Instabilität in der technischen Umsetzung bedeuten. Der Zugriff ist mit Kundenzustimmung für jeden möglich, aber eben weder im Datenumfang noch in Form einer dedizierten Schnittstelle standardisiert.

Was Banken und Vermögensverwalter jetzt tun sollten

Ich arbeite seit über fünfzehn Jahren im Fintech-Sektor und habe selbst ein Personal-Finance-Startup gegründet. Heute verantworte ich als Chief Growth Officer bei wealthAPI die Themen Wachstum und europäische Expansion. Vielleicht ist mein Blick auf das, was OpenAI mit ChatGPT Finance vorhat, gerade deshalb ein praktischer: Ich kenne diese Art von Produkt von innen. Mein Eindruck nach mehr als einem Jahrzehnt in der Branche ist klar:  Die meisten Häuser unterschätzen nach wie vor, wie schnell sich die Kundenoberfläche verschiebt.

Ein zentraler Hebel liegt in der Regulierung. FiDA muss aktiv mitgestaltet, nicht abgewartet werden. Jeder Monat, in dem in Brüssel weiter verhandelt wird, ist ein Monat, in dem amerikanische Player mit Plaid-artigen Modellen einen Vorsprung aufbauen. Die Botschaft an Kommission, Rat und Parlament muss klar sein: Eine standardisierte API-Pflicht über alle Finanzprodukte hinweg, und ein Rechtsrahmen, der darüber entscheidet, wer Zugang erhält, ist die Voraussetzung dafür, dass KI-gestützte Finanzdienste in Europa unter europäischen Regeln stattfinden.

Regulierung allein reicht aber nicht. Sie schafft die Bühne, nicht das Produkt. Seit zwei Jahren höre ich von Banken den Satz „Wir bauen unseren eigenen KI-Assistenten.“ Das ist schön und gut, aber die meisten tun es zu langsam und zu isoliert. Ein KI-Assistent, der nur auf die Daten der eigenen Bank schaut, ist kein Assistent. Er ist ein neuer Filter über bestehende Daten. Der Kunde hat aber nicht nur Konten bei einer Bank. Er hat ein Depot, eine Lebensversicherung, vielleicht Krypto, eine Immobilie, einen Bausparvertrag. Wenn der KI-Layer nur einen Ausschnitt sieht, verliert er gegen den, der das ganze Bild hat. Die Konsequenz ist klar: Banken müssen mit Datenaggregatoren arbeiten, ob es ihnen schmeckt oder nicht.

Und doch bin ich an einem Punkt optimistischer als viele meiner Kollegen. Banken besitzen etwas, das OpenAI nicht hat: institutionelles Vertrauen, das über Generationen gewachsen ist. Laut einer Umfrage des Digitalverbands Bitkom kommt für 49 Prozent der Deutschen die Nutzung von KI im Bereich Finanzen nicht in Frage. Wer als Bank die reale Kundenbeziehung aufgibt, nur um kurzfristig Plattformabhängigkeiten zu vermeiden, wirft genau das Wertvollste über Bord, was er hat.

Die Strategie, die ich empfehle, ist deshalb zweigleisig. Banken müssen eigene KI-gestützte Erlebnisse für ihre Kunden bauen, die noch in der eigenen App ankommen. Und sie müssen gleichzeitig dort präsent sein, wo der Kunde ohnehin nach Rat fragt. Wer nur das erste tut, hat in fünf Jahren eine App, die niemand mehr öffnet. Wer nur das zweite tut, gibt die Kundenbeziehung an die Plattform ab.

KI schafft eine völlig neue Angriffsfläche

Bei aller Euphorie über ChatGPT Finance wird ein Punkt zu leise diskutiert: Eine KI, die Zugriff auf Finanzdaten hat, schafft eine neue Angriffsfläche, die wir bisher nicht hatten. Der deutsche Sicherheitsforscher Vincent Haupert hat in den letzten Jahren wiederholt vorgeführt, wie verwundbar selbst sicher geglaubte 2FA-Verfahren im deutschen Online-Banking sein können. Die Lehre daraus ist nicht „Banking-Apps sind unsicher“, sondern: Jede neue Schicht zwischen Nutzer und Bank ist ein neues Angriffsziel. Und sie muss von Anfang an als solches gedacht werden.

Tritt eine generative KI als Schicht zwischen Nutzer und Konto, wird sie selbst zum Ziel. Prompt Injection – das gezielte Einschleusen manipulativer Anweisungen über vermeintlich harmlose Eingaben, Links, Anhänge oder sogar Transaktionsbeschreibungen – ist im KI-Kontext der direkte Nachfolger klassischer Social-Engineering-Angriffe. Solange die KI nur Informationen liefert, ist der Schaden begrenzt. Sobald Transaktionen oder Empfehlungen mit finanzieller Konsequenz im Spiel sind, wird die Trennung zwischen „die KI darf sehen“ und „die KI darf handeln“ zur Kernarchitekturfrage.

Das ist die nächste Klasse von Sicherheitsproblemen, mit der die Branche jetzt umgehen muss. KI braucht denselben regulatorischen Rahmen, der schon für Banken und KIDs gilt: nachweisbare Audits, definierte Sicherheitsstandards, Aufsicht.

Warum europäische Infrastruktur plötzlich strategisch wird

Während in Brüssel über FiDA verhandelt wird und in den USA OpenAI mit Plaid Schlagzeilen macht, gibt es in Europa eine Realität, die in der öffentlichen Diskussion oft fehlt: Die Infrastruktur für KI-gestützte Vermögensübersichten ist längst da. BaFin-regulierte Kontoinformationsdienste binden Banken und Broker an und aggregieren über PSD2 hinaus auch Wertpapierdaten, Krypto, Immobilien, Versicherungs- und Steuerdaten.

Wir bei wealthAPI sind selbst ein solcher BaFin-lizenzierter Kontoinformationsdienst. Wir arbeiten täglich mit Brokern oder Plattformen wie extraETF oder onvista, die ihren Nutzern genau die personalisierten Vermögensübersichten ermöglichen, die jetzt im US-Markt mit großem PR-Trommelwirbel ausgerollt werden. Das ist noch nicht in jeder Hinsicht vergleichbar mit dem, was OpenAI jetzt in den USA ausrollt. Aber die Infrastruktur dafür existiert – und sie existiert unter Rahmenbedingungen, die zu einem strategischen Vorteil werden, sobald man die Aussage „Big Tech sieht jetzt mein Konto“ zu Ende denkt.

Finanzdaten sind hochgradig schützenswert. Wer weiß, was ein Mensch verdient, wofür er Geld ausgibt, welche Krankenversicherung er hat, welche Schulden er trägt, der weiß mehr über diesen Menschen als die meisten Familienmitglieder. Diese Daten gehören nicht in eine Black Box auf einem Server in Kalifornien. Sie gehören in eine Infrastruktur, die unter europäischer Aufsicht steht, deren Sicherheitsstandards von BaFin und BSI geprüft werden, deren Server in Deutschland oder zumindest in der EU stehen, und für die im Streitfall nicht amerikanische Gerichte zuständig sind.

Datenaggregatoren sind die infrastrukturelle Voraussetzung dafür, dass KI-Modelle in Europa überhaupt aussagekräftig auf Vermögensdaten zugreifen können. Als europäischer Datenaggregator sind wir dafür, dass KI auf Daten zugreift, die in regulierter, geprüfter, europäischer Infrastruktur leben. Nicht auf einem Tech-Stack, dessen Datenschutz- und Sicherheitspraxis primär am Wettbewerb in Silicon Valley ausgerichtet ist.

Die eigentliche Entscheidung beginnt jetzt

Ich habe diesen Beitrag mit der Bemerkung begonnen, dass die OpenAI-Plaid-Integration weder eindeutig gut noch eindeutig schlecht ist. Das gilt weiterhin. Was sie unbestreitbar ist: ein Signal, dass die Schnittstelle zwischen Mensch und Geld in den nächsten Jahren grundlegend neu gebaut wird. Und ein Signal, dass diese Verschiebung gerade nicht in Frankfurt, Berlin oder Brüssel entschieden wird, sondern im Code von Plaid, in der Sidebar von ChatGPT und im Headquarter von OpenAI in San Francisco.

Europa hat die Infrastruktur in Teilen. Es hat eine Datenschutz-Tradition, die für KI-gestützte Finanzdienste auf Dauer ein Wettbewerbsvorteil sein wird, kein Nachteil. Es hat mit FiDA die regulatorische Antwort schon entworfen. Was fehlt, ist die politische Bereitschaft, diese Antwort zügig zu finalisieren – und das strategische Selbstbewusstsein der europäischen Finanzbranche, sich darin zu positionieren, statt sie nur zu kommentieren.

Die Frage ist nicht mehr, ob KI zur zentralen Schnittstelle für Finanzdienstleistungen wird.  Die Frage ist vielmehr, wer sie baut – und unter welchen Regeln. Wer in der europäischen Finanzbranche jetzt nicht entscheidet, wo er in dieser Architektur stehen möchte, der wird die Entscheidung in zwei Jahren von jemand anderem getroffen vorfinden.

wealthAPI Blog

In eigener Sache: wealthAPI Website in neuem Design

Wir haben die Positionierung von wealthAPI geschärft - und dann entschieden, die Website selbst neu…

Die größte Schwachstelle im Finanzsystem ist ihr Ökosystem

Banken investieren Milliarden in ihre IT-Sicherheit. Firewalls werden gehärtet, Systeme…

wealthAPI Logo

Erstklassige Wealth-Daten für die KI-Ära: wealthAPI schärft seine Positionierung

KI-gestützte Finanzprodukte stehen und fallen mit der Qualität der Daten, auf denen sie aufbauen.…

Privacy Preference Center