ChatGPT Finanzen: Die Architektur-Frage kommt vor der Vertrauensfrage
OpenAI startet ChatGPT Personal Finance mit Plaid. Warum aggregierte Kontodaten Art. 9 DSGVO erreichen und vier Fragen, die Mittelständler jetzt prüfen sollten.
Am 15. Mai 2026, Nachmittag Pacific Time, veröffentlicht OpenAI “Finances in ChatGPT” für Pro-Abonnenten in den USA. Über Plaid lassen sich Konten bei mehr als 12.000 Instituten verknüpfen, darunter Bank of America, Chase, Robinhood, Schwab und Fidelity. Lesezugriff, keine Aktionen, schreibgeschützte API, optionale Multi-Faktor-Authentifizierung. Greg Brockman feiert das Feature auf X, OpenAI selbst nennt eine Zahl: mehr als 200 Millionen Nutzer stellen monatlich finanzielle Fragen an ChatGPT. Ein paar Stunden später schreibt Rachel Tobac, CEO der Sicherheitsfirma SocialProof Security in San Francisco, auf LinkedIn: “Please don’t make it easy for me to steal your life savings.”
Zwei Tage zuvor, am 13. Mai 2026, war im Southern District of California eine Class Action gegen OpenAI eingereicht worden. Vorwurf: ChatGPT-Konversationsdaten seien per Meta-Pixel und Google Analytics ohne Einwilligung an Werbeplattformen geleitet worden. Die Klage betrifft alle US-Nutzer, ist nicht entschieden und sitzt in derselben Woche wie der Finanz-Launch.
In dieser Konstellation lohnt es, vor der Vertrauensfrage über die Architektur zu reden.
Was OpenAI angekündigt hat
Das Feature läuft aktuell als Vorschau für Pro-Abonnenten in den USA, mit angekündigter Ausweitung auf Plus-Nutzer. Wer “Get started” in der Finances-Option der Seitenleiste klickt oder “@Finances, connect my accounts” in einer ChatGPT-Konversation schreibt, wird durch den Plaid-Flow geführt. Nach der Verknüpfung erscheint ein Dashboard: Portfolio-Performance, Ausgaben, Abonnements, anstehende Zahlungen.
ChatGPT liest Salden, Transaktionen, Investments und Verbindlichkeiten, sieht aber keine vollständigen Kontonummern und kann keine Überweisungen auslösen. Beim Trennen einer Verbindung werden die synchronisierten Daten laut OpenAI binnen 30 Tagen aus dem System entfernt. Bestehende Chat-Verläufe, die auf diese Daten verweisen, werden nicht automatisch gelöscht, das muss der Nutzer manuell pro Chat erledigen.
Im Hintergrund läuft GPT-5.5 mit verbesserten Reasoning-Fähigkeiten für komplexe, kontextabhängige Fragen. Nutzer können zusätzlich Ziele und Lebensumstände teilen, etwa eine Hypothek, ein Sparziel oder einen geplanten Autokauf. ChatGPT speichert das in den “Financial Memories” für zukünftige Konversationen. Eine Intuit-Integration wurde angekündigt; sie würde unter anderem Steuerschätzungen und Kreditkartenanträge direkt aus ChatGPT erlauben.
Wichtig: OpenAI ist nicht der Erste in der Kategorie. Perplexity hat seinen Bank-Linking-Flow am 9. April 2026 gestartet, ebenfalls über Plaid. Beide Anbieter zielen auf denselben Markt.
Warum “schreibgeschützt” eine unvollständige Antwort ist
Die Standardberuhigung lautet: Es ist nur Lesezugriff, niemand kann von eurem Konto Geld bewegen. Das stimmt für die Bank-API-Schicht, aber nicht für die Folgewirkungen.
Erstens: Plaid selbst hat 2022 ein 58-Millionen-Dollar-Settlement gezahlt, namentlich In re Plaid Inc. Privacy Litigation, Az. 4:20cv3056 vor dem U.S. District Court for the Northern District of California, finale Approval am 20. Juli 2022 durch Judge Donna M. Ryu. Die geschätzte Klasse umfasste 98 Millionen US-Bürger. Vorwurf: Plaid habe mehr Finanzdaten gesammelt als die jeweilige App brauchte, und habe Bank-Login-Credentials über das Plaid-Link-Interface verarbeitet, ohne dass Nutzer den Aggregationsumfang kannten. Die Settlement-Auflagen forderten Datenlöschung, Aufklärungspflichten und das Plaid-Portal für Verbindungs-Management. Plaid arbeitet heute compliance-tauglicher. Die Architekturfrage von damals ist aber nicht weg, sie ist nur in eine andere Pipeline verlagert.
Zweitens: Read-Only schützt vor Überweisungen, nicht vor Phishing-Vorlagen. Rachel Tobac hat im CNN-Interview vom 13. Mai 2026 den Folgevektor sauber benannt: “Wenn ein KI-Tool versehentlich Ihre Kreditkartenabrechnung leakt, kann ein Angreifer eine Phishing-Nachricht eines beliebigen Händlers basteln, bei dem Sie gekauft haben, und sie ist glaubwürdig, weil er Kaufdatum, Händlername und Betrag kennt.” Read-Only auf der Bank-Seite ist nicht read-only auf der Konsequenzen-Seite.
Drittens: ChatGPT ist nicht end-to-end-verschlüsselt. Jeder OpenAI-Mitarbeiter mit entsprechenden Rechten kann Konversationen lesen. Gang Wang, Associate Professor für Computer Science an der University of Illinois Grainger College of Engineering, hat die Trainings-Frage in derselben CNN-Berichterstattung benannt: Wenn Dokumente Teil der Trainingsdaten werden, können bestimmte Informationen über gezielte Prompts wieder herausgekitzelt werden. Die Opt-in-Einstellung “Improve the model for everyone” greift auch für finanzielle Konversationen. Wer die Modell-Training-Option schon vorher deaktiviert hat, behält diese Einstellung, ja. Aber die Default-Architektur ist offen.
Viertens, und das ist der Kern: ChatGPT hat keine treuhänderische Pflicht. Tobac formuliert es scharf: “Menschen vertrauen KI-Tools wie einem treuen Verwalter. Ein treuer Verwalter ist gesetzlich verpflichtet, in Ihrem besten finanziellen Interesse zu handeln. Ein großer cloud-basierter KI-Anbieter formuliert seine Richtlinien oft auf Basis seiner eigenen besten Interessen, nicht der Ihren.” OpenAI selbst weist im Onboarding darauf hin, kein lizenzierter Finanzberater zu sein. Der Hinweis steht. Das Verhalten der Nutzer wird ihn überlesen.
Aggregation als Verhaltensprofil und der EuGH-Punkt
Die juristische Schwergewichtsfrage ist nicht, was in der Datenbank-Spalte “Buchungstext” steht. Sie ist, was sich aus dem Muster ableiten lässt.
Eine Buchung “Apotheke Marien 28,40 €” ist für sich genommen ein Zahlungsvorgang. Drei Buchungen pro Monat bei derselben Apotheke, jeweils zu Beginn der Woche, in Kombination mit “Praxis Dr. Müller 60,00 €” einmal im Quartal, sind ein Hinweis auf eine chronische Erkrankung. Die Daten selbst sind weiterhin Zahlungsdaten. Das abgeleitete Profil ist ein Gesundheitsdatum.
Genau diese Logik hat der Europäische Gerichtshof am 1. August 2022 zementiert. Im Urteil C-184/20 (OT gegen Vyriausioji tarnybinės etikos komisija) hat der EuGH entschieden: Daten, aus denen besondere Kategorien im Sinne von Art. 9 DSGVO durch gedankliche Kombination oder Ableitung erschlossen werden können, fallen ebenfalls unter den Schutz von Art. 9. Die ursprünglichen Daten müssen nicht selbst Gesundheits- oder Religionsdaten sein. Es reicht, wenn die Ableitung möglich ist.
Aggregierte Bankdaten erfüllen dieses Kriterium fast immer. Aus Spenden an Religionsgemeinschaften wird ein religiöses Profil. Bei Gewerkschaftsbeiträgen liegt die Verbindung zur Gewerkschaftsmitgliedschaft offen. Apothekenbuchungen, Beiträge an Suchthilfe-Vereine, Spenden an politische Parteien und Mitgliedschaften in Selbsthilfegruppen lassen sich gleichermaßen über Buchungstexte erschließen. Der EuGH macht aus solchen ableitbaren Profilen Art.-9-Daten: Verarbeitungs-Grundverbot, Ausnahmen sehr eng, Datenschutz-Folgenabschätzung verpflichtend bei umfangreicher Verarbeitung.
Für ein US-amerikanisches Feature ist die DSGVO erstmal nicht zuständig. Sobald OpenAI das Feature in die EU bringt, und das wurde angekündigt, werden diese Anforderungen relevant. Die deutschen Datenschutzbehörden werden nicht warten, bis ein Schaden eintritt. Sie werden den Architektur-Aufbau prüfen.
Die Architektur-Frage konkret
Bank-Apps verarbeiten Bankdaten in einer Domäne. Der Kontostand wird mir angezeigt, ich kann Kategorien filtern, vielleicht eine Spar-Empfehlung sehen, fertig. Die Daten bleiben in der App-Architektur, sie werden nicht mit anderen Kontextschichten verknüpft.
Eine LLM-Architektur tut das Gegenteil. Sie verknüpft. Sie speichert Memory. Sie nutzt Reasoning über den gesamten Konversationsverlauf. “Kann ich mir diesen Kauf leisten?” wird beantwortet im Kontext aller bisherigen Chats, auch der Therapie-Frage von letzter Woche und der Karriere-Frage von vor drei Wochen. Genau das ist das Feature, nicht ein Bug.
Die Folge ist eine Aggregationsschicht, die in einer Bank-App nicht entstehen kann. Aus “Konto-Daten” plus “alles, was ich ChatGPT je erzählt habe” wird ein Profil, das dichter ist als jeder Bonitätsscore und tiefer als jede CRM-Datei. Memory-Speicher ist aktiviert, das Modell-Training-Opt-in ist es per Default. Dazu kommt die offene Frage, ob ChatGPT-Inhalte über Werbe-Tracker an Drittplattformen flossen.
Wer als Geschäftsführer im Mittelstand mit dieser Architektur arbeiten will, muss zwei Klassen sauber trennen: die Klasse der Konversationen (Chat-Verläufe, Code-Snippets, Recherchen, Therapie-Fragen) und die Klasse der Finanzdaten (Konto-Bewegungen, Spesen-Belege, Lieferantenrechnungen, Kreditkarten-Abrechnungen). Die EU-AI-Act-Anforderungen ab 2. August 2026 verschärfen das, weil sie Transparenzpflichten und Risikoklassifizierung verlangen. Mitarbeiter, die unkontrolliert Unternehmensdaten in KI-Systeme füttern, produzieren genau diese Klassen-Vermischung, nur dass jetzt Bankdaten dazukommen können.
Was Mittelständler jetzt prüfen müssen
Vier Fragen, die in der nächsten Geschäftsführung-Sitzung auf dem Tisch liegen sollten. Save-tauglich, keine Theorie.
| # | Frage | Was zu prüfen ist |
|---|---|---|
| 1 | Erlauben unsere IT-Richtlinien Mitarbeitern, ChatGPT Pro mit Firmen-Bank- oder Karten-Daten zu verbinden? | Acceptable Use Policy und DSGVO-Verarbeitungsverzeichnis aktualisieren |
| 2 | Haben wir eine Datenklassen-Trennung zwischen persönlichen Memory-Tools und Finanz-Daten? | Architektur-Review: wo läuft welche Klasse durch welche Pipeline? |
| 3 | Wer trägt die Verantwortung, wenn eine ChatGPT-Halluzination zu einer falschen Buchungs- oder Spesen-Auswertung führt? | Haftungs-Klärung, da OpenAI keinen Fiduciary-Schutz bietet |
| 4 | Haben wir einen Plan für den EU-Launch des Features, der das EuGH-Urteil C-184/20 berücksichtigt? | Datenschutz-Folgenabschätzung vor breiter Mitarbeiter-Nutzung |
Diese Fragen sind keine Verbots-Liste. Sie sind eine Sortier-Übung. Wer Frage 1 mit “ja, machen wir nicht aktiv aus” beantwortet, hat eine Lücke. Bei Frage 2 mit der Antwort “ist halt ChatGPT, alles in einem” liegt ein architektonisches Problem auf dem Tisch. Wer Frage 3 nicht klar einer Rolle zuordnen kann, etwa IT-Leiter, Compliance oder Geschäftsführung, wird im Schadensfall lange suchen.
Was die Pro-Linie nicht sagt
Wer das Feature toll findet, hat einen Komfortpunkt verstanden: ChatGPT kann jetzt eine Bank-App-Auswertung machen, ohne dass ich die App wechseln muss. Das ist real. Das ist nicht nichts.
Was die Pro-Linie aber überspringt: Eine Bank-App ist nicht eine generative KI-Pipeline mit Memory, Training-Opt-in und offener Klage zu Werbe-Tracker-Integration. Die Analogie “ist doch wie Plaid bei Venmo” ist nicht falsch im Detail, sondern falsch im Aggregat. Plaid bei Venmo schickt Daten zu Venmo. Plaid bei ChatGPT schickt Daten zu einer Architektur, deren Memory-Schicht der Punkt ist, warum man sie nutzt.
Der zweite Counter, der in den nächsten Wochen kommen wird: “Aber die Nutzer entscheiden sich freiwillig.” Stimmt. Es ist trotzdem eine gesellschaftliche Frage, ob diese Datenklasse in diese Architektur gehört. Freiwilligkeit löst die Aggregations-Frage nicht. Sie verschiebt sie auf den einzelnen Nutzer, der in 95 Prozent der Fälle die Datenschutzhinweise nicht liest. Das ist nicht naiv. Das ist das gemessene Verhalten.
Die EuGH-Doktrin, das Plaid-Settlement, die Couture-Klage und das Tobac-CNN-Statement sind keine Bedenkenträgerei. Sie sind datierte Belege, dass die Architektur-Frage schon mehrfach kommerziell und juristisch beantwortet werden musste. Wer sie für 2026 als “zu vorsichtig” abtut, hat die Vorgängerfälle nicht gelesen.
Häufige Fragen zu ChatGPT Finanzen und Kontodaten
Ist das Feature in der EU schon verfügbar?
Aktuell nicht. OpenAI hat den Launch am 15. Mai 2026 auf Pro-Abonnenten in den USA beschränkt, mit angekündigter Ausweitung auf Plus-Nutzer und weitere Märkte. Für EU-Nutzer bedeutet das: Das Feature kommt, und es wird mit DSGVO-Anforderungen kollidieren, insbesondere mit der Ableitungs-Doktrin des EuGH (Az. C-184/20 vom 01.08.2022). Die regulatorische Vorbereitung beginnt jetzt, nicht nach dem EU-Launch.
Plaid ist doch seriös, was ist das eigentliche Problem?
Plaid hat im Juli 2022 ein 58-Millionen-Dollar-Settlement gezahlt (In re Plaid Inc. Privacy Litigation, Az. 4:20cv3056 NDCal). Der Vorwurf: Überaggregation und Nutzung von Bank-Login-Credentials ohne klare Zweckbindung. Die geschätzte Klasse umfasste 98 Millionen US-Bürger. Plaid arbeitet heute compliance-tauglicher, das ist unstrittig. Die Frage ist aber nicht Plaid allein. Die Frage ist, welche Datenklasse über Plaid in welche nachgelagerte Architektur fließt. ChatGPT mit Memory und Training-Opt-in ist eine andere Architektur als Venmo.
Was sagt Art. 9 DSGVO konkret zu Bankdaten?
Art. 9 listet zehn Datenkategorien mit Verarbeitungs-Grundverbot: Gesundheit, Religion, ethnische Herkunft, politische Meinungen, Gewerkschaftszugehörigkeit, genetische Daten, biometrische Daten, sexuelle Orientierung und mehr. Bankdaten stehen dort nicht direkt. Aber der EuGH hat am 1. August 2022 (C-184/20) entschieden: Daten, aus denen besondere Kategorien per gedanklicher Kombination oder Ableitung erschlossen werden können, fallen ebenfalls unter Art. 9. Aggregierte Transaktionen mit Apotheken-, Therapie- oder Spenden-Buchungen erfüllen dieses Kriterium.
Reicht die Read-Only-Beschränkung nicht?
Read-Only schützt das Bankkonto vor Überweisungen aus der LLM-Pipeline. Es schützt nicht vor Datenleaks, die Phishing-Vorlagen liefern. Rachel Tobac, CEO SocialProof Security, hat im CNN-Interview vom 13. Mai 2026 den Vektor benannt: Mit Händler, Datum und Betrag aus einem geleakten Transaktionsdatensatz wird Phishing personalisiert und damit deutlich glaubwürdiger. Read-Only auf der Bank-Seite ist nicht risk-free auf der Folgewirkungs-Seite.
Was bedeutet das für mein Unternehmen, wenn Mitarbeiter ChatGPT Pro nutzen?
Wenn Mitarbeiter mit privaten Pro-Accounts ihre Konten verknüpfen, ist das deren Privatentscheidung. Problematisch wird es, wenn dieselben Mitarbeiter auch Firmen-Kreditkarten-Abrechnungen, Reisespesen oder Lieferantenrechnungen in dieselben Chats laden. Das passiert bei einer Frage wie “Hilf mir, das Spesenmuster zu erklären” schnell. Das ist Shadow AI mit Bank-Daten als Aggregationsschicht. IT-Richtlinien sollten das vor dem EU-Launch klären, nicht nachträglich reparieren.
Welche Alternative gibt es für KI-gestützte Finanz-Übersicht?
Für persönliche Übersicht: bestehende Apps mit Bank-Lizenz und Fiduciary-Pflicht wie Outbank, Finanzguru oder FinTS-Aggregatoren im DACH-Raum. Für KI-gestützte Analyse ohne Cloud-Aggregation: lokale LLMs auf einem Mini-PC mit Ollama, die Bank-CSV-Exporte verarbeiten und nichts an externe Endpunkte senden. Diese Architektur habe ich für Personal AI Assistants durchgespielt. Für Unternehmen: klare Trennung der Datenklassen, kein Cloud-LLM für Finanzdaten ohne dedizierten Auftragsverarbeitungs-Vertrag mit DSGVO-konformen Garantien.
Nächster Schritt
Welche Datenklassen laufen bei Ihnen durch welche KI-Pipeline?
Wenn Sie diese Frage in zehn Minuten am Whiteboard nicht klar beantworten können, lohnt ein Sparring. Ich bin solo unterwegs, kein Tool-Verkauf, und das Gespräch ist kostenfrei und dauert sechzig Minuten.
→ Erstgespräch vereinbaren, kostenfrei
→ Oder zuerst mehr lesen: KI & Automatisierung · Compliance- und Pflicht-Themen
Quellen und Links: OpenAI Personal Finance Launch · TechCrunch zum Launch · American Banker Plaid-Statement · CNN-Interview Rachel Tobac · TechTimes zur Couture-Klage · Lieff Cabraser Plaid-Settlement · EuGH C-184/20 · Art. 9 DSGVO
Weiter lesen auf pfisterer.xyz: Shadow AI: wenn Mitarbeiter eigene KI-Agenten bauen · EU AI Act 2026 und der Mittelstand · Personal AI Assistant: was Unternehmer wissen sollten
Interesse geweckt?
Lassen Sie uns in einem kurzen Gespräch klären, ob und wie ich helfen kann.