AISP-Registrierung 2026: Open-Banking-Leitfaden für den DACH-Raum
Der 2026-Leitfaden zur Registrierung als Kontoinformationsdienstleister (AISP) im DACH-Raum: BaFin-Registrierung nach ZAG, keine Anfangskapitalanforderung, zwingende PII-Versicherung, XS2A Open-Banking-Berlin-Group, EU-Pass und PSD3.
Was ein AISP im DACH-Raum tut
Ein Account Information Service Provider (AISP, deutsch Kontoinformationsdienst) ist ein Unternehmen, das mit ausdrücklicher Einwilligung des Kunden Kontodaten über Open-Banking-APIs aus Banken und anderen Zahlungsdienstleistern abruft und konsolidiert darstellt oder für einen regulierten Folgedienst nutzt. In Deutschland ist dies ein nach ZAG regulierter Zahlungsdienst, die Registrierung erfolgt bei der BaFin.
Das AISP-Regime ist die leichteste lizenzrechtliche Kategorie im PSD2-Kanon: keine Mindestanfangskapitalanforderung, reduzierte Berichtspflichten und ein schneller Antragsweg. Es existiert, weil Pre-PSD2-Screen-Scraping unreguliert und unsicher war. PSD2-Artikel 67 gab den Kunden das Recht, Dritten Zugriff auf ihre Zahlungskontodaten zu erteilen.
Lassen Sie uns Ihr Projekt besprechen und herausfinden, wie wir Ihr Projekt auf den Weg bringen können. Open-Banking-AISP-Produkt zusammen
Demo anfordernDeutsche Open-Banking-Landschaft: Berlin Group und XS2A
DACH-Banken haben sich früh auf einen gemeinsamen technischen Standard festgelegt: NextGenPSD2 XS2A (Access to Account), entwickelt von der Berlin Group, einer von deutschen und österreichischen Banken geführten Standardisierungsinitiative. Über 3.000 europäische Banken nutzen den Standard; fast alle deutschen und österreichischen Banken sind Mitglied.
Das vereinfacht die AISP-Integration im DACH-Raum erheblich: eine einheitliche API-Spezifikation, klare Testumgebungen und standardisierte eIDAS-QWAC-Zertifikate. Österreich (FMA) folgt demselben Muster, die Schweiz liegt außerhalb von PSD2, nutzt aber einen Common-API-Standard durch SIX.
Kapital, PII und Antrag
- Anfangskapital. Keine Pflicht. Der Finanzpuffer ist die gesetzlich vorgeschriebene Berufshaftpflichtversicherung (PII) oder eine gleichwertige Garantie.
- Deckungssumme. Abgeleitet aus EBA-Leitlinien: Risiko-, Tätigkeits- und Größenprofil. Für junge AISP beginnt die realistische Police bei ca. EUR 5.000 bis EUR 30.000 jährlicher Prämie bei Deckungssumme EUR 250.000 bis EUR 1 Mio.
- Anbieter. Deutsche und EU-Fintech-Spezialisten: Howden, Hiscox, Beazley, Marsh, Munich Re.
- Antragsunterlagen. Programm der Tätigkeit, Governance, Sicherheitskonzept, AML-Handbuch (GwG), DSGVO-Datenschutzkonzept, PII-Nachweis, Fit-and-Proper-Unterlagen.
- Antragsverfahren. BaFin-Registrierung in 4 bis 8 Monaten. Sprache: Deutsch.
DSGVO-Schichtung: die unterschätzte operationelle Hürde
PSD2 ist die regulatorische Zugangsvoraussetzung. Die Datenschutz-Grundverordnung (DSGVO) ist die tägliche operationelle Hürde. Jeder deutsche AISP führt einen zweischichtigen Compliance-Stack.
- Einwilligung nach PSD2. Ausdrücklich, informiert, widerrufbar, alle 180 Tage zu erneuern (PSD3 verlängert auf 365 Tage).
- Rechtsgrundlage nach DSGVO. Meist Vertrag (Art. 6 Abs. 1 lit. b) oder berechtigtes Interesse, bei Downstream-Verarbeitung ausdrückliche Einwilligung.
- Datenminimierung. Nur notwendige Datenkategorien abrufen. BaFin und LDI (Landesbeauftragte für Datenschutz) sanktionieren "Alle-Konten-alle-Zeit"-Anfragen.
- Aufbewahrung. Rohdaten üblicherweise 90 bis 180 Tage, abgeleitete Analytik länger nach DSGVO-Zweckbindung.
- Betroffenenrechte. Auskunft, Berichtigung, Löschung, Datenübertragbarkeit, Widerspruch müssen Produkt-ab-Werk eingebaut werden.
Use Cases im DACH-Raum
Vier Produktkategorien dominieren den deutschen AISP-Markt:
- Multibanking-Apps. Finanzguru, Outbank, N26 View-Other-Accounts. Aggregation von Salden und Umsätzen über mehrere Institute.
- Kreditwürdigkeitsprüfung. SCHUFA-ergänzende Echtzeit-Einkommensprüfung; nutzt Transaktionsdaten für eine schnellere und genauere Bonitätsbewertung als statische Gehaltsnachweise.
- Buchhaltung und Steuern. DATEV-, Lexoffice-, Buchhaltungsbutler-Integrationen für deutsche Mittelständler. Automatisiert Kontoauszugsimport.
- KYC und Source-of-Funds. Reguliertes Nutzen von Kontodaten für AML-Onboarding in Banken, EMIs und PIs.
Upgrade-Pfade
- PISP (Pay-by-Bank). Zahlungsauslösung benötigt eine volle ZAG-PI-Erlaubnis (PSD2-Dienst 7, Kapital EUR 50.000).
- Safeguarding. Kundengeldverwaltung erfordert EMI-Registrierung.
- Kartenausgabe. Erfordert Voll-EMI oder Voll-PI mit BIN-Sponsor.
- FIDA. Die geplante Financial Data Access Verordnung erweitert Open-Banking-Zugriff auf Anlagen, Renten, Versicherungen und Hypotheken. Natürlicher Erweiterungspfad für deutsche AISP ab 2029-2030.
Starten Sie Ihr AISP-Produkt mit Crassula
Crassula liefert den Open-Banking-Stack vorintegriert für den DACH-Raum: Berlin-Group XS2A API-Flotte, eIDAS-Zertifikatsverwaltung, Transaktionsanreicherung, DSGVO-konforme Einwilligungsverwaltung und Upgrade-Pfad zur PISP, PI oder EMI.
FAQ
Ein nach PSD2/ZAG registriertes Unternehmen, das mit Einwilligung des Kunden Kontodaten von Banken abruft und für einen regulierten Folgedienst nutzt, ohne Kundengelder zu halten.
Die BaFin. Registrierung nach ZAG. Verfahren auf Deutsch.
Kein Anfangskapital. Stattdessen zwingend Berufshaftpflichtversicherung (PII) mit risikobasierter Deckungssumme.
Eine von deutschen und österreichischen Banken geführte Standardisierungsinitiative. Der NextGenPSD2 XS2A Standard wird von über 3.000 europäischen Banken genutzt und ist der DACH-Standard für AISP/PISP-Integration.
4 bis 8 Monate bei vollständiger BaFin-Akte.
Einwilligungszyklus verlängert sich von 180 auf 365 Tage, verpflichtende dedizierte APIs ohne Fallback, Datenzugriffsparität mit ASPSP-Eigenkanälen, harmonisierte Streitbeilegung.
Crassula liefert den Open-Banking-Stack mit Berlin-Group XS2A API-Flotte, eIDAS-Zertifikaten, Datenanreicherung, DSGVO-Einwilligung und Upgrade-Pfad zur PISP/PI/EMI.
Other Guides
Erstellen Sie eine digitale Bank in nur wenigen Tagen
Demo anfordern