Auf einen Blick: OpenAI hat am 15. Mai 2026 Personal Finance Tools in ChatGPT Pro freigeschaltet, vorerst nur für US-Subscriber. Ein direkter DACH-Rollout ist nach derzeitiger Rechtslage nicht ohne Weiteres zulässig: Bankgeheimnis, PSD2-Lizenzpflicht und DSGVO-Drittlandtransfer setzen klare Grenzen. Unternehmen sollten KI-Tools mit Finanzdaten aktuell nur über dedizierte Auftragsverarbeitungsverträge und EU-Datenresidenz steuern.
Am 15. Mai 2026 hat OpenAI eine Funktion in ChatGPT Pro freigeschaltet, die für US-Subscriber als Preview verfügbar ist: die direkte Verbindung mit Bankkonten. Nutzer können ihre Ausgaben analysieren lassen, Fragen zur Finanzplanung stellen und Spending-Patterns vom Modell auswerten lassen. Quelle: OpenAI-Blog, 15. Mai 2026. Für deutsche, österreichische und Schweizer Unternehmen stellt sich sofort die Frage, was davon hier rechtlich möglich wäre, falls OpenAI den Dienst nach Europa bringt.
Die Antwort ist nicht einfach. Sie hängt am Zusammenspiel aus PSD2 beziehungsweise dem PSD3-Entwurf, dem Bankgeheimnis als zivilrechtlicher Vertragspflicht, der DSGVO und einzelnen Transparenz-Pflichten aus dem EU AI Act. Jeder dieser Punkte hat eigene Anforderungen. Wer das übersieht, baut Compliance-Risiko auf, das später teuer wird.
Diese Darstellung ersetzt keine Rechtsberatung. Bei konkreten Vorhaben mit Finanzdaten-Zugriff sollte ein Anwalt mit Schwerpunkt Bank- und Datenschutzrecht eingeschaltet werden.
Was OpenAI in den USA tatsächlich gestartet hat
Die Personal Finance Tools sind in ChatGPT Pro für 200 US-Dollar pro Monat verfügbar, vorerst als Preview. Drei Kernfunktionen sind dokumentiert: Bankkonto-Verbindung über bestehende US-Open-Banking-Schnittstellen, automatisierte Ausgaben-Analyse mit Kategorisierung und beantwortbare Fragen zur künftigen Finanzplanung (Was wäre wenn-Szenarien, Sparziel-Modellierung, Vergleich Monat zu Monat).
Rechtsgrundlage in den USA ist die Regulation E des Consumer Financial Protection Bureau in Kombination mit Plaid-ähnlichen Open-Banking-Aggregatoren. Diese Architektur kennt Europa so nicht. In den USA gibt es weder ein flächendeckendes Bankgeheimnis im deutschen Sinne noch eine zentrale Datenschutzaufsicht. Open Banking läuft dort über Vertragsverhältnisse zwischen Bank, Aggregator und Endnutzer, nicht über eine staatliche Lizenz.
Für die EU ist das nicht direkt übertragbar. Wer Kontodaten in der EU verarbeitet, fällt in einen anderen Rechtsrahmen.
PSD2, PSD3 und die Rolle der AISP-Lizenz
Open Banking in der EU ist seit 2018 durch die Zweite Zahlungsdiensterichtlinie geregelt. Konkret: Wer auf Kontoinformationen Dritter zugreifen will, braucht eine Lizenz als Account Information Service Provider, kurz AISP. In Deutschland ist die BaFin zuständig.
Der PSD3-Entwurf, der seit 2023 im EU-Gesetzgebungsverfahren ist, verschärft das Bild. Er bringt strengere Anforderungen an Authentifizierung, klare Haftungsregeln bei Datenverlust und eine erweiterte Definition der Datenkategorien, die unter Open Banking fallen. Stand Mai 2026 ist PSD3 noch nicht in Kraft, der Trilog läuft, aber die Richtung ist klar: mehr Aufsicht, nicht weniger.
OpenAI ist nach öffentlich verfügbaren Informationen kein BaFin-lizenzierter AISP. Ohne diese Lizenz darf OpenAI in Deutschland nicht direkt auf Bankkonten zugreifen, weder als Anbieter noch als Verarbeiter im Auftrag.
Der einzige Weg, den die EU-Architektur kennt, geht über zwei Stufen. Stufe eins: Ein lizenzierter AISP (zum Beispiel Tink, Fintecture, Klarna Kosma, finAPI) holt die Kontodaten beim Bankkunden ein. Stufe zwei: Dieser AISP übergibt die Daten an einen weiteren Verarbeiter, hier OpenAI, der dann analysiert. Diese Konstruktion ist möglich, aber sie verlagert die Compliance-Last komplett auf den lizenzierten AISP, der wiederum eigene Verträge mit OpenAI vorhalten müsste.
Mit anderen Worten: Ein direkter ChatGPT-Bank-Connector im OpenAI-Stil ist in Deutschland ohne Aufsichtslizenz nicht im selben rechtlichen Korridor möglich wie in den USA.
Das Bankgeheimnis als zusätzliche Hürde
Im deutschen Recht ist das Bankgeheimnis keine kodifizierte Norm, sondern eine Vertragspflicht aus den Allgemeinen Geschäftsbedingungen der Banken (AGB-Banken Nr. 2). Es verpflichtet das Kreditinstitut zur Verschwiegenheit über alle kundenbezogenen Tatsachen und Wertungen, die ihm aus der Geschäftsbeziehung bekannt geworden sind.
Praktisch heißt das: Auch wenn ein Bankkunde formal in den Datenabruf einwilligt, bleibt die Bank zur Prüfung verpflichtet, ob die Weitergabe an einen Dritten rechtmäßig ist. Bei einem nicht-lizenzierten Empfänger im Drittland wäre das ein Vertragsbruch, der die Bank gegenüber dem Kunden haftbar macht.
In Österreich gilt das Bankgeheimnis sogar als Strafrechtsnorm (§ 38 BWG). Wer dort Bankdaten an Dritte weitergibt ohne ausreichende rechtliche Grundlage, riskiert nicht nur Schadensersatz, sondern auch Geldstrafen. Die Schweiz kennt das Bankgeheimnis als Strafnorm in Art. 47 BankG.
Drei Rechtsräume, drei verschiedene Schärfegrade, ein gemeinsames Muster: Die Übermittlung von Kontodaten an einen unlizenzierten Drittanbieter ist nicht trivial freigegeben, auch nicht mit Kundenwilligung.
DSGVO und der Drittlandtransfer in die USA
Selbst wenn die PSD2- und Bankgeheimnis-Hürden geklärt wären, bleibt die DSGVO. Kontodaten sind personenbezogen, ihre Verarbeitung braucht eine Rechtsgrundlage nach Art. 6 DSGVO und gegebenenfalls Art. 9 DSGVO (besondere Datenkategorien, falls aus Buchungen Rückschlüsse auf Gesundheit, religiöse Praxis oder politische Einstellung möglich sind).
OpenAI verarbeitet in der Regel in den USA. Der Drittlandtransfer ist seit Juli 2023 durch den EU-US Data Privacy Framework gedeckt, sofern der jeweilige Anbieter zertifiziert ist. OpenAI ist nach öffentlich zugänglichen Quellen DPF-zertifiziert. Das löst die formale Hürde nach Art. 44 ff. DSGVO, aber es macht die übrigen Anforderungen nicht weniger streng.
Erforderlich bleiben:
- Auftragsverarbeitungsvertrag nach Art. 28 DSGVO mit OpenAI
- Informationspflichten an die Betroffenen nach Art. 13, 14 DSGVO
- Dokumentation im Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO
- Bei automatisierter Einzelfallentscheidung (zum Beispiel Kreditwürdigkeitsbewertung) zusätzlich Art. 22 DSGVO
- Risikofolgenabschätzung nach Art. 35 DSGVO, weil Finanzdaten in der Regel die Schwelle für hohe Risiken überschreiten
Wer das nicht sauber aufsetzt, riskiert nach Art. 83 Abs. 5 DSGVO Bußgelder bis 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes. Die Höchstgrenze gilt theoretisch auch für Selbstständige, in der Praxis orientiert sich die Aufsicht am Schadensausmaß.
Der EU AI Act greift indirekt mit
Personal Finance Tools sind nach derzeitiger Auslegung nicht als Hochrisiko-KI-System eingestuft. Die kreditrelevanten Anwendungen aus Anhang III Punkt 5 (KI zur Bewertung der Kreditwürdigkeit natürlicher Personen) treffen das ChatGPT-Feature nicht, weil OpenAI keine Bonität bewertet, sondern Spending-Muster analysiert.
Trotzdem greift Art. 50 KI-VO. Diese Norm verlangt Transparenz, wenn Nutzer mit einem KI-System interagieren. Das ist bei ChatGPT ohnehin offensichtlich, aber bei Finance-Auswertungen kommen zusätzliche Pflichten dazu, etwa die Kennzeichnung von KI-generierten Inhalten und der Hinweis, wenn das Modell Empfehlungen gibt, die nicht als individuelle Beratung gelten.
Wer das Personal-Finance-Feature in einem Unternehmen einsetzt (zum Beispiel als Add-on für Buchhaltung oder Liquiditätsanalyse), wäre dann Betreiber eines KI-Systems im Sinne der Verordnung. Das bringt die Schulungspflicht aus Art. 4 KI-VO ins Spiel, die seit 2. Februar 2025 in Kraft ist. Mitarbeiter, die das Tool bedienen, müssen nachweislich ausreichende KI-Kompetenz haben. Für Inhalte und Pflichten dazu lohnt ein Blick auf unsere Pillar-Seite zur KI-Kompetenzpflicht, die das vollständig durchgeht.
Praxis-Beispiel: Hartmann Steuerberatung in Bayreuth
Hartmann Steuerberatung in Bayreuth, sieben Mitarbeiter, Mandantenstamm aus Mittelstand und Freiberuflern. Inhaberin Sabine Hartmann erfährt am 16. Mai 2026 von der ChatGPT-Personal-Finance-Funktion und überlegt, ob sie ihren Mandanten so etwas in Aussicht stellen könnte. Die Idee: Mandanten verbinden ihr Geschäftskonto, ChatGPT macht eine Vorab-Analyse, Hartmann nutzt die Auswertung als Grundlage für das nächste Beratungsgespräch.
Die Kanzlei holt sich eine Einschätzung von ihrem IT-Datenschutzberater. Drei Punkte fallen auf:
Erstens: Selbst wenn die Mandanten formal einwilligen, dürften die Banken die Daten nicht an OpenAI weitergeben, weil OpenAI kein BaFin-lizenzierter AISP ist. Ein Workaround wäre, dass die Mandanten ihre Kontoumsätze als CSV-Export selbst hochladen. Damit umgeht die Kanzlei das PSD2-Problem, schiebt aber die DSGVO-Last komplett auf den Mandanten beziehungsweise auf die Kanzlei als Verantwortliche.
Zweitens: Bei der Verarbeitung von Mandantendaten greift zusätzlich § 203 StGB (Verschwiegenheitspflicht für Berufsgeheimnisträger). Steuerberater dürfen Mandantendaten nicht ohne Einwilligung an Dritte weitergeben, und auch mit Einwilligung gelten strenge Anforderungen. Eine Übermittlung an OpenAI in den USA wäre nur über einen Auftragsverarbeitungsvertrag mit ausführlichen technischen und organisatorischen Maßnahmen denkbar.
Drittens: Die Bundessteuerberaterkammer hat in einer Hinweisbekanntmachung von 2024 klargestellt, dass der Einsatz von KI-Tools mit Mandantendaten besonders sorgfältig dokumentiert werden muss. Eine bloße Einwilligungserklärung reicht nicht.
Hartmann verschiebt das Projekt. Sie installiert stattdessen ein lokales Tool, das CSV-Dateien auf der Kanzleiseite mit einem Open-Source-Modell auswertet, ohne dass Mandantendaten die Kanzlei verlassen. Das ist langsamer, aber rechtlich tragfähig.
Was ein DACH-Rollout praktisch braucht
OpenAI hat Stand Mai 2026 keine offizielle Roadmap für einen EU-Launch der Personal Finance Tools veröffentlicht. Wenn er kommt, müsste OpenAI mehrere Dinge gleichzeitig leisten:
| Anforderung | Status Mai 2026 |
|---|---|
| AISP-Lizenz oder Kooperation mit lizenziertem Anbieter (DE/EU) | offen |
| AVV nach Art. 28 DSGVO als Standardvertrag | teilweise vorhanden (Enterprise-Kunden) |
| EU-Datenresidenz für Finance-Workloads | nicht angekündigt |
| Auftragsverarbeitung mit zusätzlichen TOMs für Banking-Daten | nicht spezifiziert |
| Vertragsanpassungen für Bankgeheimnis-konforme Weiterverarbeitung | nicht erkennbar |
| Klarstellung zu Art. 50 KI-VO Transparenz-Pflichten | rudimentär in den AGB |
Wahrscheinlicher als ein direkter Rollout ist, dass OpenAI mit einem lizenzierten europäischen Open-Banking-Anbieter kooperiert. Damit würde die Funktion in der EU verfügbar, die Compliance-Last läge aber beim Partner, und der Datenfluss bliebe innerhalb des AISP-Rahmens.
In der Praxis sehen wir bei unseren Beratungsmandanten regelmäßig, dass solche Feature-Ankündigungen aus den USA im Mittelstand für hohe Erwartungen sorgen, die sich dann an der EU-Realität brechen. Wer KI-Tools mit Finanzdaten einsetzen will, fährt aktuell besser, wenn er nicht auf den nächsten OpenAI-Release wartet, sondern eine konkrete, EU-konforme Architektur baut.
Empfehlung für DACH-Unternehmen heute
Wer KI mit Finanzdaten einsetzen will, sollte aktuell nicht auf einen ChatGPT-Banking-Connector warten. Vier Bausteine sind in der Praxis tragfähig:
-
Auftragsverarbeitungsvertrag mit klaren Datenflüssen. Für ChatGPT Team oder ChatGPT Enterprise existieren AVV-Vorlagen, die für allgemeine Geschäftsdaten genügen. Für Banking-Daten reichen sie nicht aus, dort braucht es zusätzliche TOMs (technische und organisatorische Maßnahmen) und in der Regel einen Custom-Vertrag.
-
EU-Datenresidenz wo möglich. Microsoft Azure OpenAI Service bietet Datenverarbeitung in EU-Regionen, OpenAI direkt nicht. Wer Finance-Use-Cases plant, sollte den Azure-Weg ernsthaft prüfen, weil er die Drittlandtransfer-Diskussion entschärft.
-
Lokale Vorverarbeitung mit Pseudonymisierung. Kontoumsätze lassen sich vor der Übergabe an einen KI-Anbieter pseudonymisieren (IBANs maskieren, Kontoinhaber-Namen ersetzen, Beträge runden). Damit fällt der Rechtsrahmen oft milder aus, weil keine direkt zuordenbaren Personendaten mehr übermittelt werden.
-
Mitarbeiter-Schulung nach Art. 4 KI-VO. Mitarbeiter, die KI-Tools mit Finanzdaten bedienen, müssen Grundlagen verstehen: Datenschutz, Halluzinations-Risiko, Bias-Probleme, Dokumentationspflichten. Wer hier spart, baut Haftungsrisiken auf. Eine strukturierte Übersicht über die Pflichtfelder steht in unserer KI-Datenschutz-Checkliste für Unternehmen.
Für Unternehmen, die noch keine eigene Compliance-Architektur haben, ist der pragmatische Einstieg: zuerst die Mitarbeiter qualifizieren, dann die Tool-Auswahl machen. Wer es umgekehrt versucht (zuerst Tool kaufen, dann schauen wer das bedient), läuft regelmäßig in den Compliance-Engpass.
Häufige Fragen
Kann ich ChatGPT Pro mit Personal Finance Tools schon aus Deutschland nutzen, wenn ich einen US-Account anlege?
Technisch wäre das möglich, rechtlich problematisch. OpenAIs Nutzungsbedingungen verlangen, dass der Wohnsitz mit dem Account übereinstimmt. Ein Konstrukt mit US-Adresse und VPN verletzt diese Bedingung und kann zur Sperrung führen. Hinzu kommt: Selbst wenn die Funktion funktioniert, wäre die Verarbeitung deiner deutschen Bankdaten in den USA ohne ordentliche Rechtsgrundlage nach DSGVO Art. 44 ff. unzulässig, mit allen Bußgeld-Risiken aus Art. 83 DSGVO.
Reicht eine Einwilligung des Bankkunden, damit die Bank Daten an OpenAI weitergibt?
Nein. Eine Einwilligung des Kunden hebt das Bankgeheimnis als Vertragspflicht zwar grundsätzlich auf, aber sie ändert nichts am PSD2-Rahmen. Die Bank darf Kontoinformationen über die zweite Zahlungsdiensterichtlinie nur an lizenzierte AISP weitergeben, nicht direkt an OpenAI. Ohne BaFin-Lizenz auf OpenAI-Seite oder ohne dazwischengeschalteten AISP kommt der Datenfluss rechtmäßig nicht zustande.
Ist die Verarbeitung pseudonymisierter Kontoumsätze in ChatGPT erlaubt?
Pseudonymisierung senkt das DSGVO-Risiko, hebt es aber nicht auf. Solange noch ein Personenbezug rekonstruierbar ist (zum Beispiel über zeitliche Muster oder Beträge), bleibt die Datenkategorie personenbezogen. Wer Buchungstexte, Beträge und Daten in einem Konto-Auszug an ChatGPT übergibt, sollte sich klar machen, dass die Pseudonymisierung die Daten nicht in Anonyme verwandelt. Eine vollständige Anonymisierung (im Sinne von Art. 4 Nr. 5 DSGVO, irreversibel) ist bei Kontodaten praktisch kaum erreichbar.
Was unterscheidet ChatGPT Team von ChatGPT Pro im Banking-Kontext?
ChatGPT Team und ChatGPT Enterprise bieten erweiterte Datenschutz-Garantien (keine Nutzung der Daten für Modell-Training, Workspace-isolierte Verarbeitung, DPA verfügbar). Für allgemeine Geschäftsdaten ist das oft ausreichend. Für Bankdaten reichen die Standard-Konditionen aber nicht, dort braucht es zusätzliche vertragliche Anpassungen, in der Regel über Enterprise-Verträge mit Custom-Klauseln. Der Wechsel von Pro zu Team oder Enterprise löst also nicht automatisch die Banking-Frage.
Hat OpenAI für die EU einen konkreten Launch-Termin angekündigt?
Nach Stand 22. Mai 2026 nein. OpenAI hat im Blog-Post vom 15. Mai 2026 ausdrücklich auf den US-Markt verwiesen und keine EU-Roadmap erwähnt. Frühere OpenAI-Releases (etwa Voice Mode oder Sora) sind nach drei bis neun Monaten in der EU angekommen, mit teils eingeschränktem Funktionsumfang. Eine seriöse Schätzung für Personal Finance: frühestens Anfang 2027, falls OpenAI einen lizenzierten EU-Partner findet, sonst deutlich später oder gar nicht in dieser Form.
Über den Autor
Dr. Jens Aichinger ist promovierter Wirtschaftspädagoge, Erwachsenenbildner und Geschäftsführer von SkillSprinters by Dr. Aichinger. Er bildet seit über 15 Jahren Berufstätige, Fachkräfte und Quereinsteiger weiter, hat über 70 Fachbücher zu Prüfungsvorbereitung und Karrierethemen veröffentlicht und betreibt mit SkillSprinters einen der digital am stärksten wachsenden Bildungsträger im DACH-Raum.
Bereit für den nächsten Schritt? Wenn dein Unternehmen KI-Tools mit sensiblen Daten einsetzen will, lohnt sich eine strukturierte Mitarbeiter-Qualifikation. Unser Digitalisierungsmanager deckt DSGVO, EU AI Act und praktische Tool-Auswahl ab und ist über Bildungsgutschein oder QCG förderfähig.
Zuletzt geprüft am 22. Mai 2026. Quellen: OpenAI-Blog (15. Mai 2026), gesetze-im-internet.de (BWG, BankG, AGB-Banken), EUR-Lex (PSD2, PSD3-Entwurf, KI-VO), BaFin (AISP-Lizenzregister), Bundessteuerberaterkammer (Hinweisbekanntmachung KI 2024).
Bereit für deinen nächsten Karriereschritt?
Lass dich kostenlos beraten. Wir finden die passende Weiterbildung und Förderung für dich.