Bank-APIs und Portfolio-Tracker: Warum die Broker-Verbindung Riskanter Ist als Gedacht
Kernpunkte
▸Portfolio-Tracker mit Bank-APIs halten dauerhafte Zugangsdaten (OAuth-Tokens oder API-Schlüssel), die jederzeit die gesamte Finanzhistorie abrufen können.
▸Lesezugriff bedeutet dennoch: die gesamte Transaktionshistorie wird dauerhaft auf einem Drittanbieter-Server gespeichert.
▸Kostenlose Apps monetarisieren häufig über Datenweitergabe an Aggregatoren, Werbetreibende oder Finanzdatenunternehmen.
▸Die meisten Anleger haben vergessene API-Verbindungen, die noch aktiv beim Broker sind — regelmäßig prüfen und widerrufen.
▸Nur eine API-freie Architektur (ausschließlich CSV-Import) ermöglicht echten Datenschutz by Design.
Jede Woche verbinden Tausende von Anlegern ihre Brokerage-Konten über Bank-APIs oder Open-Banking-Tokens mit Portfolio-Tracking-Apps. Das Versprechen klingt verlockend: Positionen synchronisieren sich automatisch, und Trades müssen nie manuell eingegeben werden. Hinter dieser Bequemlichkeit verbergen sich jedoch Datenzugangsberechtigungen, die die meisten Anleger nie gelesen haben — und die weitaus mehr preisgeben können als nur den Portfoliosaldo.
Dieser Leitfaden erklärt genau, was Bank-APIs sind, wie Portfolio-Tracker sie nutzen, auf welche Daten sie bei einer Broker-Verbindung zugreifen können und warum ein API-freier Ansatz die einzige Architektur ist, die echten Datenschutz by Design bietet.
Was Sind Bank-APIs und Wie Nutzen Sie Portfolio-Tracker?
Eine API (Application Programming Interface) ist ein standardisierter Kanal, über den ein Softwaresystem Daten von einem anderen anfordert. Im Kontext des Portfolio-Trackings ermöglicht eine Bank- oder Broker-API einer externen App — dem Tracker — die direkte Abfrage von Kontodaten vom Broker-Server, ohne dass der Nutzer etwas manuell exportieren oder hochladen muss.
Die meisten Portfolio-Tracker mit Broker-Konnektivität nutzen eine von drei Methoden:
1. Open Banking (PSD2 in Europa): Ein regulatorischer Rahmen, der Banken und Broker verpflichtet, Lese-APIs für autorisierte Dritte bereitzustellen. Der Nutzer authentifiziert sich einmalig per OAuth, und der Dritte erhält einen langlebigen Zugriffstoken, mit dem er Kontodaten regelmäßig — typischerweise alle 24 Stunden — abrufen kann.
2. Screen Scraping über Aggregatoren: Dienste wie Plaid, Salt Edge oder Yapily fungieren als Mittler. Der Nutzer übergibt seine Broker-Anmeldedaten (oder einen OAuth-Token), und der Aggregator ruft die Daten stellvertretend ab — die Verbindung wird in seiner eigenen Infrastruktur gespeichert. Der Portfolio-Tracker ruft dann die API des Aggregators auf, nicht direkt den Broker.
3. Direkte API-Schlüssel: Einige Broker (Interactive Brokers, Degiro, Alpaca) stellen Entwickler-APIs bereit. Ein Portfolio-Tracker kann den Nutzer bitten, im Broker-Konto einen API-Schlüssel zu generieren und in den Tracker einzufügen.
In allen drei Fällen ist das Ergebnis dasselbe: Ein Dritter hält eine dauerhafte Zugangsdaten — einen Token oder Schlüssel — und kann jederzeit auf die Finanzdaten des Nutzers zugreifen, solange die Verbindung aktiv bleibt.
Auf Welche Daten Kann ein Portfolio-Tracker Über die API Tatsächlich Zugreifen?
Hier werden die meisten Anleger überrascht. Sie gehen davon aus, dass der Tracker nur sieht, was er anzeigt — Positionen und Salden. Die Realität hängt vom Umfang des gewährten OAuth-Tokens oder API-Schlüssels ab, und viele Apps fordern umfangreichere Berechtigungen an als unbedingt nötig.
Häufig zugängliche Datenfelder über Broker-APIs:
— Alle aktuellen Positionen (Name, ISIN, Stückzahl, aktueller Wert)
— Vollständige Transaktionshistorie (jeder Kauf, Verkauf, jede Dividende, Gebühr seit Kontoeröffnung)
— Barguthaben auf allen Unterkonten
— Ausstehende Orders
— Persönliche Identifikationsdaten (Name, Adresse, Geburtsdatum, Steuer-ID in manchen Fällen)
— Verknüpfte Bankverbindung (IBAN für Auszahlungen)
— KYC-Dokumente bei einigen Integrationen
Die Transaktionshistorie ist das sensibelste Element. Ein vollständiges Transaktionsprotokoll offenbart nicht nur, was der Anleger heute besitzt, sondern jede finanzielle Entscheidung der vergangenen Jahre: wann in Panik verkauft wurde, wann Rückgänge zum Nachkauf genutzt wurden, wie viel nach Gehalts-, Bonus- oder Erbschaftseingang investiert wurde. Das sind Verhaltensdaten — für Werbetreibende, Datenhändler und Versicherer weitaus wertvoller als ein einfacher Kontostand.
Leserechte klingen sicher. Aber "nur lesen" bedeutet Lesezugriff auf Positionen — nicht, dass die App diese Daten nicht dauerhaft speichern, verarbeiten, verkaufen oder weitergeben kann.
Welche Datenschutzrisiken Entstehen Durch API-Zugriff auf Portfolio-Apps?
Die Risiken lassen sich in vier Kategorien unterteilen:
1. Datenhandel und Weitergabe an Dritte
Viele kostenlose Portfolio-Tracking-Apps monetarisieren über Daten. Transaktionshistorie, Positionsdaten und Verhaltensmuster werden an Werbenetzwerke, Finanzdaten-Aggregatoren oder Versicherer verkauft oder weitergegeben. Selbst Apps mit datenschutzfreundlichem Marketing können anonymisierte Daten teilen — bei Finanzdaten ist Re-Identifikation oft trivial, da die Kombination aus Assets, Beträgen und Zeitpunkten einzigartig ist.
2. Datenpannen auf Aggregator-Ebene
Wer den Broker über einen Aggregator verbunden hat (Plaid, Salt Edge usw.), dessen Zugangsdaten oder Token sind in der Aggregator-Infrastruktur gespeichert. Eine Datenpanne beim Aggregator betrifft alle Verbindungen aller Apps, die ihn nutzen. Plaid einigte sich 2022 auf einen Vergleich über 58 Millionen Dollar wegen unerlaubter Credential-Speicherung.
3. Token-Persistenz und vergessene Verbindungen
OAuth-Tokens bleiben in der Regel bis zur ausdrücklichen Widerrufung gültig. Anleger, die eine App nicht mehr nutzen, denken selten daran, den Token zu widerrufen. So kann eine eingestellte App noch Monate oder Jahre nach der letzten Nutzung gültige Zugangsdaten haben.
4. Scope-Ausweitung und erneute Berechtigungsanfragen
Manche Apps fordern Nutzer periodisch auf, sich erneut zu authentifizieren oder Berechtigungen zu erweitern. Ein Tracker mit anfänglich reinem Lesezugriff kann später Transaktionshistorie, verknüpfte Konten oder weitere Datenbereiche anfordern — präsentiert als Komfortverbesserung, nicht als Datenschutz-Kompromiss.
Wie Prüft und Widerruft Man Aktive API-Verbindungen beim Broker?
Die meisten Anleger wissen nicht, wie viele aktive API-Verbindungen sie haben. So wird das Audit durchgeführt:
Für PSD2/Open-Banking-Verbindungen:
— In den Kontoeinstellungen des Brokers oder der Bank einloggen
— Nach "Verbundene Apps", "Drittanbieter-Zugriff", "Open-Banking-Berechtigungen" oder "API-Zugang" suchen
— Nicht aktiv genutzte Verbindungen widerrufen
— Kalender-Erinnerung für eine Überprüfung alle 6 Monate setzen
Für direkte API-Schlüssel (Interactive Brokers, Degiro usw.):
— API-Verwaltungsbereich des Broker-Kontos aufrufen
— Alle aktiven Schlüssel mit Erstellungsdatum auflisten
— Schlüssel für nicht mehr genutzte Apps löschen
— Schlüssel für aktiv genutzte Apps mindestens einmal jährlich rotieren
Für aggregatorbasierte Verbindungen (Plaid, Salt Edge usw.):
— Diese sind schwerer zu prüfen, da die Verbindung in den Broker-Einstellungen möglicherweise nicht sichtbar ist
— Datenschutzeinstellungen jeder genutzten Portfolio-App prüfen
— Das eigene Portal des Aggregators (z.B. my.plaid.com) nutzen, um gespeicherte Verbindungen anzuzeigen und zu trennen
— DSGVO-Löschanfragen an nicht mehr genutzte Apps senden
Die unbequeme Wahrheit: Die meisten Anleger haben 3 bis 8 aktive Drittanbieter-Verbindungen zu ihren Finanzkonten — die meisten davon vergessen.
Warum DonkyCapital Keine API-Verbindungen Nutzt — und Was Das Bedeutet
DonkyCapital wurde von Anfang an ohne jede Broker-API-Konnektivität entwickelt. Das ist keine Einschränkung — es ist eine bewusste Architekturentscheidung für echten Datenschutz by Design statt Datenschutz by Policy.
Der Unterschied ist entscheidend: "Datenschutz by Policy" bedeutet, ein Unternehmen verspricht, Daten nicht zu missbrauchen — muss sie aber zunächst erheben. "Datenschutz by Design" bedeutet, die Daten erreichen die Server des Unternehmens gar nicht erst.
So funktioniert DonkyCapital:
— Portfolios werden per CSV-Datei (die meisten Broker exportieren in Sekunden) oder manuell importiert
— Daten liegen im Nutzerkonto bei DonkyCapital — nie jedoch verbunden mit dem Broker
— Keine API-Schlüssel, OAuth-Tokens oder Broker-Zugangsdaten werden gespeichert
— Neue Daten können ohne explizite Nutzeraktion nicht abgerufen werden
— Ein Datenleck bei DonkyCapital kann keine Broker-Zugangsdaten exponieren, da diese nie vorhanden waren
Praktische Konsequenzen:
— Das Broker-Konto ist nie einem Drittanbieter-Credential-Speicher ausgesetzt
— Kein persistenter Token überlebt die Nutzung des Dienstes
— Bei Einstellung der Nutzung gibt es nichts beim Broker zu widerrufen
— Transaktionsdaten fließen nie durch ein Aggregatornetzwerk
Der Kompromiss ist real: Bei neuen Trades muss manuell reimportiert werden. Für langfristige Anleger mit seltenen Transaktionen ist das ein 2-Minuten-Vorgang alle paar Wochen — ein kleiner Preis für eine grundlegend privatere Architektur.
Häufige Fragen zu Bank-APIs und Datenschutz bei Portfolio-Trackern
Ist Open Banking für Portfolio-Tracking sicher?
Open Banking unter PSD2 ist ein reguliertes Framework mit strengen technischen Standards — das Risiko liegt nicht in der Regulierung selbst, sondern darin, was autorisierte Dritte mit den Daten tun. Eine App kann PSD2-konform sein und trotzdem Transaktionsdaten an Werbetreibende verkaufen oder Zugangsdaten unsicher speichern.
Was ist der Unterschied zwischen reinem Lesezugriff und vollem API-Zugriff?
Lesezugriff ermöglicht dem Tracker, Kontodaten abzurufen (Positionen, Transaktionen, Salden), aber keine Orders aufzugeben oder Geld zu bewegen. Voller Zugriff kann Handels- und Auszahlungsberechtigungen umfassen. Für Portfolio-Tracker ist Lesezugriff die Norm — bedeutet aber dennoch, dass die gesamte Finanzhistorie dauerhaft auf einem Drittanbieter-Server gespeichert wird.
Kann eine Portfolio-App meine Finanzdaten verkaufen?
Ja, sofern dies nicht ausdrücklich durch Datenschutzerklärung und Nutzungsbedingungen untersagt ist. Viele kostenlose Apps monetarisieren durch Datenweitergabe an Finanzdatenunternehmen, Versicherer oder Werbenetzwerke. Lesen Sie immer den Abschnitt zur Datenweitergabe in der Datenschutzerklärung, bevor Sie Ihren Broker verbinden.
Was passiert mit meinen Daten, wenn eine Portfolio-App schließt oder übernommen wird?
Bei einer Übernahme werden Daten-Assets — einschließlich Nutzer-Finanzdaten — typischerweise an den Käufer übertragen. Aktive OAuth-Tokens bleiben beim Broker gültig, bis sie manuell widerrufen werden — die Schließung der App widerruft die Verbindung nicht automatisch.
Wie erkenne ich, ob ein Portfolio-Tracker meine Daten für Werbung nutzt?
Lesen Sie die Abschnitte "Datenweitergabe", "Dritte" und "Datennutzung" der Datenschutzerklärung — nicht die Marketing-Zusammenfassung. Suchen Sie nach Begriffen wie "Partner", "Werbetreibende", "Analyseanbieter" oder "verbundene Unternehmen". Wenn die App kostenlos ist: Fragen Sie sich, womit sie Geld verdient.
Ist CSV-Import wirklich datenschutzfreundlicher als API-Verbindung?
Ja. Ein CSV-Import bedeutet, dass eine Momentaufnahme zu einem bestimmten Zeitpunkt gesendet wird — der Tracker hält keine dauerhaften Zugangsdaten zum Broker. Bei Einstellung der Nutzung gibt es nichts zu widerrufen und keine aktive Verbindung. Das ist das Fundament von Datenschutz by Design.
Was ist das DSGVO-Recht auf Löschung und gilt es für Portfolio-Apps?
Gemäß DSGVO Artikel 17 haben EU-Bürger das Recht, die Löschung ihrer personenbezogenen Daten bei jedem Unternehmen zu verlangen, das diese verarbeitet. Das gilt für Portfolio-Tracking-Apps, die in der EU tätig sind oder sich an EU-Nutzer richten. Das Unternehmen muss innerhalb von 30 Tagen antworten.
Portfolio Tracken Ohne Broker-Verbindung
DonkyCapital bietet professionelle Portfolio-Analysen per CSV-Import — keine API-Schlüssel, keine OAuth-Tokens, keine Broker-Zugangsdaten auf unseren Servern. Ihre Daten bleiben Ihre Daten.
