Ist Finanzguru sicher? BaFin, PSD2 und Datenschutz erklärt

BaFin-Registrierung: Was bedeutet das konkret?

Hinter Finanzguru steht die dwins GmbH mit Sitz in Frankfurt am Main. Das Unternehmen ist bei der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) unter der Registernummer ID 152148 als Zahlungsinstitut nach dem Zahlungsdiensteaufsichtsgesetz (ZAG) registriert.

Was heißt das in der Praxis? Die BaFin prüft, ob ein Unternehmen die technischen, organisatorischen und finanziellen Voraussetzungen erfüllt, um mit Bankdaten arbeiten zu dürfen. Ohne diese Zulassung dürfte Finanzguru überhaupt nicht auf deine Konten zugreifen. Deutsche Banken sind gesetzlich verpflichtet, BaFin-registrierten Dienstleistern den Zugang über die PSD2-Schnittstelle zu gewähren.

Finanzguru hält zwei separate Erlaubnisse:

AISP (Kontoinformationsdienst) — seit 15. Mai 2019. Damit darf die App Kontostände und Transaktionen abrufen. Reiner Lesezugriff, keine Möglichkeit, Geld zu bewegen.

PISP (Zahlungsauslösedienst) — seit 9. August 2024. Das ist neu: Finanzguru darf jetzt auch Überweisungen auslösen. Wichtig dabei: Jede Überweisung erfordert eine separate 2FA-Bestätigung durch dich — die App kann nicht eigenmächtig Geld von deinem Konto abbuchen.

So funktioniert PSD2: Warum deine Bank Finanzguru Zugriff gibt

Die PSD2 (Payment Services Directive 2) ist eine EU-Richtlinie, die seit September 2019 den Zugriff auf Bankkonten durch Drittanbieter regelt. Das Kernstück ist die sogenannte XS2A-Schnittstelle — Access to Account.

Vor PSD2 nutzten Multibanking-Apps sogenanntes Screen-Scraping: Die App loggte sich mit deinen Bankzugangsdaten direkt im Online-Banking ein und las die Bildschirminhalte aus. Das war fehleranfällig und ein Sicherheitsrisiko, weil du dein Passwort an einen Drittanbieter weitergeben musstest.

XS2A funktioniert anders. Deine Bank stellt eine standardisierte technische Schnittstelle (API) bereit. Finanzguru greift über diese Schnittstelle auf deine Kontodaten zu, ohne dein Online-Banking-Passwort zu kennen. Die Authentifizierung läuft direkt zwischen dir und deiner Bank ab — per TAN, per Push-Freigabe oder per biometrischer Bestätigung.

Kontoinformationsdienstleister dürfen ausschließlich Lesezugriff auf Zahlungskonten nehmen. Zahlungsauslösedienstleister dürfen Zahlungen nur mit ausdrücklicher Zustimmung des Kontoinhabers initiieren.

BaFin PSD2-Informationsseite

Die 90-Tage-Reauthentifizierung, die viele Nutzer als lästig empfinden, ist eine gesetzliche Pflicht. Alle 90 Tage musst du den Zugriff per TAN erneut bestätigen. Das betrifft nicht nur Finanzguru, sondern jede Multibanking-App, die über PSD2 arbeitet — also auch Outbank, Finanzblick und alle anderen.

AISP vs. PISP — der Unterschied: Ein Kontoinformationsdienst (AISP) darf nur lesen: Kontostände, Transaktionshistorie, Umsätze. Ein Zahlungsauslösedienst (PISP) darf darüber hinaus Überweisungen anstoßen — aber nur mit deiner expliziten Freigabe per 2FA. Finanzguru hat seit August 2024 beide Erlaubnisse. Die PISP-Lizenz bedeutet nicht, dass die App unkontrolliert Geld bewegen kann. Jede Transaktion erfordert deine aktive Zustimmung.

Verschlüsselung, Server und Zertifizierungen

Finanzguru speichert Kontodaten in deutschen Rechenzentren in Frankfurt. Die Daten werden mit AES-Verschlüsselung geschützt, wobei jeder Nutzer einen individuellen Schlüssel erhält. Selbst bei einem hypothetischen Servereinbruch wären die Daten ohne den jeweiligen Schlüssel nicht lesbar.

Die technische Infrastruktur ist mehrfach zertifiziert:

PCI-DSS: Der internationale Sicherheitsstandard für die Verarbeitung von Zahlungskartendaten. Wird von Visa und Mastercard vorgeschrieben und jährlich geprüft.

C5 (Cloud Computing Compliance Criteria Catalogue): Ein Prüfstandard des Bundesamts für Sicherheit in der Informationstechnik (BSI). C5 definiert Mindestanforderungen an sicheres Cloud Computing und wird von Bundesbehörden als Referenz genutzt.

ISO 27018: Ein internationaler Standard für den Schutz personenbezogener Daten in der Cloud. Regelt unter anderem, dass Kundendaten nicht für Werbezwecke verwendet werden dürfen.

Zusätzlich setzt Finanzguru auf SSL/TLS-Verschlüsselung für die Datenübertragung, OAuth2 für die Authentifizierung und Certificate Pinning gegen Man-in-the-Middle-Angriffe. Die App unterstützt biometrische Entsperrung per Face ID und Fingerabdruck. Jährliche Penetrationstests sollen Schwachstellen aufdecken, bevor sie ausgenutzt werden können.

Zum Thema Datenzugriff durch Mitarbeiter: Finanzguru arbeitet nach dem Need-to-know-Prinzip. Mitarbeiter haben laut Unternehmensangaben keinen Zugriff auf individuelle Kontodaten. Bei Kontolöschung werden die Daten entfernt; nach 12 Monaten Inaktivität erfolgt eine automatische Löschung.

Datenschutz: Tracking-Kritik und aktuelle Lage

Die technische Sicherheit ist das eine, der Umgang mit Nutzerdaten das andere. Und hier hat Finanzguru eine Vorgeschichte.

2018 analysierte der IT-Sicherheitsforscher Mike Kuketz die App und stellte fest: Finanzguru übermittelte Nutzungsdaten an Google Firebase und den Tracking-Dienst Adjust — ohne vorherige Einwilligung und ohne diese Dienste in der Datenschutzerklärung zu erwähnen. Für eine App, die Zugriff auf sämtliche Bankkonten hat, war das ein erhebliches Vertrauensproblem.

Die Reaktion kam spät, aber sie kam: 2020 implementierte Finanzguru eine Opt-out-Möglichkeit für Tracking. Die Datenschutzerklärung wurde aktualisiert und führt Adjust jetzt als eingesetzten Dienst auf. Das Unternehmen betont, keine Nutzerdaten an Dritte zu verkaufen.

Trotzdem bleibt ein Unterschied zu Konkurrenten: Weder Outbank noch Finanzblick noch MoneyMoney sind bisher durch vergleichbare Tracking-Vorfälle aufgefallen. Finanzguru hat das Problem adressiert, aber der Vertrauensvorschuss musste erst wieder aufgebaut werden.

Deutsche Bank, PayPal Ventures und was Investoren über Seriosität aussagen

Die Deutsche Bank hält rund 20 Prozent an Finanzguru, aufgebaut über mehrere Finanzierungsrunden über ihren Digi-Venture-Fonds. 2023 folgte eine Growth-Runde über 13 Millionen Euro mit PayPal Ventures und SCOR Ventures.

Was sagt das über die Sicherheit? Direkt: wenig. Indirekt: einiges. Institutionelle Investoren wie die Deutsche Bank und PayPal Ventures führen vor einer Beteiligung umfangreiche Due-Diligence-Prüfungen durch. Dazu gehört eine Bewertung der technischen Sicherheitsarchitektur, der regulatorischen Compliance und des Datenschutzes. Eine Bank, die selbst der BaFin-Aufsicht unterliegt, würde sich kaum an einem Unternehmen beteiligen, das gravierende Sicherheitsmängel aufweist.

Das bedeutet nicht, dass Investorenbeteiligung eine Sicherheitsgarantie ist. Aber es ist ein zusätzliches Signal. Finanzguru hat mittlerweile über drei Millionen registrierte Nutzer und einen achtstelligen Jahresumsatz — das Unternehmen ist kein Startup mehr, das nebenbei Bankdaten sammelt, sondern ein regulierter Finanzdienstleister mit substanzieller Infrastruktur.

Finanzguru vs. Alternativen: Wer schützt deine Daten am besten?

Die Sicherheitsarchitektur von Finanzguru ist solide, aber nicht die einzige Option. Je nach Priorität gibt es Alternativen mit anderen Stärken.

Der zentrale Unterschied liegt in der Datenspeicherung. Finanzguru und Finanzblick speichern Daten in der Cloud — verschlüsselt und auf deutschen Servern, aber eben auf Servern des Anbieters. Outbank und MoneyMoney speichern alles lokal auf deinem Gerät. Kein Server, kein Anbieter-Zugriff, kein theoretisches Datenleck-Risiko auf Serverseite.

Dafür hat Finanzguru die breiteste Zertifizierungslandschaft (C5, ISO 27018, PCI-DSS) und ist der einzige Anbieter mit sowohl AISP- als auch PISP-Lizenz. Wem maximale Privatsphäre wichtig ist, fährt mit Outbank oder MoneyMoney besser. Wem regulatorische Absicherung und Zertifizierungen wichtiger sind, findet bei Finanzguru das vollständigste Paket.

Einen ausführlichen Vergleich der besten Multibanking-Apps findest du in unserem separaten Ratgeber.

Häufige Fragen zur Sicherheit von Finanzguru

Den vollständigen Finanzguru Test findest du in unserem Finanzguru Testbericht 2026.