Die manuelle Pflege von Kontodaten in Excel oder Planungstools kostet Zeit und ist fehleranfällig. Die Lösung: Automatische Bankdatenintegration über APIs. Dank der europäischen PSD2-Richtlinie und dem Open-Banking-Ökosystem können Unternehmen heute ihre Kontostände und Transaktionen in Echtzeit abrufen und direkt in ihre Liquiditätsplanung einspeisen. In diesem Artikel erklären wir die technischen Grundlagen, stellen die wichtigsten Anbieter vor und zeigen einen konkreten Integrations-Workflow.

PSD2 — Die regulatorische Grundlage

Die Payment Services Directive 2 (PSD2) ist eine EU-Richtlinie, die seit September 2019 in Kraft ist. Sie verpflichtet Banken, autorisierten Drittanbietern über standardisierte Schnittstellen (APIs) Zugang zu Kontodaten zu gewähren — sofern der Kontoinhaber ausdrücklich zustimmt. Für die Liquiditätsplanung ist vor allem der Account Information Service (AIS) relevant.

Was ist ein Account Information Service (AIS)?

Ein AIS ermöglicht es, Kontoinformationen von verschiedenen Banken über eine einzige Schnittstelle abzurufen. Dazu gehören:

• Kontostände: Aktueller Saldo aller verbundenen Konten.
• Transaktionen: Ein- und Ausgänge mit Datum, Betrag, Verwendungszweck und Gegenpartei.
• Kontoinformationen: IBAN, BIC, Kontotyp, Währung.

Der Vorteil: Sie benötigen keine separate Bankanbindung pro Institut, sondern nutzen einen AIS-Aggregator, der die Kommunikation mit allen Banken übernimmt.

Was ist Open Banking?

Open Banking geht über PSD2 hinaus. Während PSD2 den regulatorischen Rahmen setzt, beschreibt Open Banking die gesamte Philosophie des offenen Datenaustauchs im Finanzwesen. Banken stellen APIs bereit, über die autorisierte Drittanbieter (Fintechs, Buchhaltungssoftware, Liquiditätstools) auf Kontodaten zugreifen können. Der Kontoinhaber behält stets die Kontrolle und kann den Zugang jederzeit widerrufen.

Die wichtigsten API-Anbieter

Finapi

Finapi (Sitz in München) ist der führende Bankdaten-Aggregator im DACH-Raum. Über 500 Banken und Sparkassen sind angebunden. Finapi wird von zahlreichen Fintechs genutzt, darunter Lexoffice, sevdesk und Agicap. Die API ist REST-basiert und gut dokumentiert.

Tink (Visa)

Tink, seit 2022 Teil von Visa, ist ein europäischer Open-Banking-Anbieter mit über 3.400 angebundenen Banken in 18 Ländern. Die Stärke liegt in der europaweiten Abdeckung — ideal für Unternehmen mit internationalen Bankverbindungen.

Plaid

Plaid stammt ursprünglich aus den USA und expandiert zunehmend nach Europa. Die API ist technisch sehr ausgereift und bietet neben Kontodaten auch Kategorisierung von Transaktionen, Einkommenserkennung und Identitätsverifikation. Für rein DACH-fokussierte Unternehmen ist Finapi oder Tink meist die bessere Wahl.

Nordigen (GoCardless)

Nordigen, jetzt Teil von GoCardless, bietet eine kostenlose Open-Banking-API mit Zugang zu über 2.300 Banken in Europa. Das Freemium-Modell macht Nordigen besonders für Startups und kleine Unternehmen attraktiv, die erste Erfahrungen mit Bankdaten-Integration sammeln wollen.

Integration in eigene Tools

REST-API Grundlagen

Alle genannten Anbieter nutzen REST-APIs mit JSON-Responses. Der typische Ablauf einer Bankdaten-Abfrage:

1. Registrierung: Erstellen Sie ein Entwicklerkonto beim API-Anbieter und erhalten Sie Ihre Client-ID und Secret.
2. Authentifizierung: Nutzen Sie OAuth2, um einen Access-Token zu erhalten. Der Endnutzer autorisiert den Zugriff auf seine Bankdaten über die Oberfläche des Anbieters.
3. Konten abrufen: GET-Request an den Accounts-Endpoint liefert alle verbundenen Konten mit IBAN und Saldo.
4. Transaktionen abrufen: GET-Request an den Transactions-Endpoint liefert Buchungen eines definierten Zeitraums.

Authentifizierung mit OAuth2

OAuth2 ist der Standard für die Autorisierung bei Bankdaten-APIs. Der Ablauf: Ihre Anwendung leitet den Nutzer zur Bank weiter, wo dieser sich mit seinen Zugangsdaten authentifiziert und den Zugriff genehmigt. Danach erhält Ihre Anwendung einen Access-Token (typischerweise 90 Tage gültig) und einen Refresh-Token zur Erneuerung.

Datenabruf-Frequenz

Laut PSD2 dürfen AIS-Anbieter Kontodaten maximal vier Mal pro Tag ohne aktive Nutzerinteraktion abrufen. Für die Liquiditätsplanung reicht ein täglicher Abruf in den meisten Fällen aus. Einige Anbieter (z. B. Finapi) bieten Webhook-Benachrichtigungen, wenn neue Transaktionen verfügbar sind.

Datenschutz und Sicherheit

Der Umgang mit Bankdaten erfordert höchste Sorgfalt:

• DSGVO: Bankdaten sind personenbezogene Daten. Sie benötigen eine Rechtsgrundlage (typischerweise Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO) und müssen die Daten zweckgebunden verarbeiten.
• Verschlüsselung: Alle Daten müssen sowohl bei der Übertragung (TLS 1.2+) als auch bei der Speicherung (AES-256) verschlüsselt sein.
• Zugangssteuerung: Implementieren Sie ein Rollen- und Rechtekonzept. Nicht jeder Mitarbeiter sollte Zugang zu allen Kontodaten haben.
• Datenminimierung: Speichern Sie nur die Daten, die Sie tatsächlich für die Liquiditätsplanung benötigen. Verwendungszwecke mit sensiblen Informationen können maskiert werden.

Beispiel-Workflow: Von der Bank zum Cashflow-Tool

Ein typischer Integrations-Workflow sieht so aus:

1. Bank → API-Aggregator: Finapi ruft täglich um 6:00 Uhr die Kontostände und neuen Transaktionen aller verbundenen Konten ab.
2. API-Aggregator → Ihr Backend: Ihr Server empfängt die Daten per Webhook oder ruft sie per Cronjob ab.
3. Backend → Kategorisierung: Transaktionen werden automatisch kategorisiert (z. B. Personalkosten, Miete, Umsatz) — entweder regelbasiert oder mittels KI.
4. Backend → Cashflow-Tool: Die kategorisierten Daten fließen in Ihre Liquiditätsplanung ein. Der aktuelle Kontostand wird zum Startpunkt, die historischen Daten zur Grundlage für Prognosen.

Durch diesen automatisierten Workflow reduzieren Sie den manuellen Aufwand auf null und arbeiten stets mit tagesaktuellen Daten — die wichtigste Voraussetzung für eine verlässliche Liquiditätssteuerung.

Kosten und Aufwand einer API-Integration

Die Kosten variieren je nach Anbieter und Nutzungsumfang erheblich:

• Nordigen/GoCardless: Kostenlos für bis zu 100 Endnutzer (Freemium). Ideal zum Testen und für kleine Anwendungen.
• Finapi: Individuelle Preisgestaltung, typischerweise ab 200 €/Monat für KMU-Anwendungen. Volumenrabatte bei vielen Konten.
• Tink: Pay-per-Use-Modell mit Kosten pro API-Aufruf. Vorteilhaft bei geringem Volumen, teurer bei intensiver Nutzung.
• Plaid: Ab 500 $/Monat für europäische Märkte. Eher für größere Anwendungen mit vielen Endnutzern geeignet.

Der technische Integrationsaufwand liegt typischerweise bei 2–5 Entwicklertagen für eine Basisanbindung (Kontostände und Transaktionen abrufen). Eine vollständige Integration mit automatischer Kategorisierung, Fehlerbehandlung und Monitoring erfordert 2–4 Wochen. Alternativ können Sie auf fertige Liquiditätstools setzen, die die Bankanbindung bereits mitbringen — dann entfällt der Entwicklungsaufwand komplett.