Lisa Hartmann
Rechnen wir nach: Ihre Bankdaten sind das Öl des digitalen Finanzzeitalters – aber wer hält aktuell den Zapfhahn in der Hand? Ein österreichisches FinTech namens Yaxi behauptet, die Antwort auf genau diese Frage neu zu schreiben. Open Banking war bislang oft nur hübsche Theorie; Yaxi macht daraus eine technische Architektur, bei der nicht die Plattform, sondern Sie die Kontrolle über Ihre eigenen Daten behalten. Der Haken? Den suchen wir in diesem Artikel sehr genau.
Open Banking ist kein Trend, der sich noch beweisen muss. Die EU-Zahlungsrichtlinie PSD2 verpflichtet Banken seit 2018 dazu, Drittanbietern per API Zugriff auf Kontodaten zu gewähren – vorausgesetzt, Kundinnen und Kunden geben ihre Einwilligung. Auf dem Papier klingt das nach einem echten Befreiungsschlag für Verbraucherinnen und Verbraucher. Konkret in der Praxis sah es lange anders aus. Semantisch passt dazu unser Hintergrund Open Banking: Wie Banken Daten teilen – und was du davon hast.
Warum? Weil das Modell, das sich unter dem Label Open Banking etabliert hat, einen strukturellen Geburtsfehler trägt. Drittanbieter – also FinTechs, Aggregatoren, Budgetierungs-Apps – bekamen Zugriff auf Bankdaten, speicherten diese auf ihren eigenen Servern und bauten darauf ihre Dienste auf. Der Nutzer erteilte Einwilligung, aber die Daten wanderten trotzdem in fremde Hände. Wer profitierte? Hauptsächlich die Plattformen. Wer trug das Risiko? Die Nutzerin, der Nutzer.
Zum Vergleich: In einem analogen Szenario wäre das so, als ob Sie Ihrem Hausverwalter den Haustürschlüssel geben, damit ein Handwerker ins Badezimmer kommt – und der Hausverwalter behält sich eine Kopie. Für immer. Ohne dass Sie das explizit bemerken.
Genau hier setzt das Berliner respektive österreichisch-lizenzierte FinTech Yaxi an. Die Kernthese ist so einfach wie radikal: Was nicht gespeichert wird, kann auch nicht gestohlen, missbraucht oder verkauft werden. Aber bevor wir tiefer einsteigen – rechnen wir nach, warum das überhaupt relevant ist.
Laut einer Studie des Bitkom haben bereits über 60 Prozent der deutschen Internetnutzerinnen und -nutzer mindestens eine Banking-App auf dem Smartphone. Und Stripe erklärt in seinem umfassenden Open-Banking-Überblick, dass die Technologie weltweit inzwischen Millionen von Transaktionen täglich ermöglicht. Der Markt ist riesig. Das Interesse ist da. Aber das Vertrauen? Das ist die knappste Ressource von allen.
Yaxi verbindet nach eigenen Angaben über 1.000 europäische Banken in Echtzeit. Das klingt zunächst wie jedes andere Aggregations-Tool. Der Unterschied liegt im technischen Fundament – und dort ist er fundamental.
Das Unternehmen arbeitet mit sogenanntem Confidential Computing. Konkret: Bankdaten werden in hardware-isolierten Enclaves verarbeitet – verschlüsselten Ausführungsumgebungen auf Chip-Ebene, die selbst für den Betreiber des Servers nicht zugänglich sind. Nicht für Yaxi-Mitarbeitende, nicht für den Cloud-Anbieter, nicht für neugierige Admins. Der Datenkanal zwischen Ihnen und Ihrer Bank wird kryptografisch aufgebaut und ist für keine dritte Partei lesbar.
Und das Geschäftsmodell ist zustandslos. Yaxi speichert keine Verbindungen, keine Zugangsdaten, keine Kontodaten. Jede Anfrage ist flüchtig – technisch gesprochen existiert sie nur im Moment der Verarbeitung und ist danach nicht mehr rekonstruierbar. Es gibt nichts zu löschen, weil schlicht nichts gespeichert wird.
Unter dem Strich bedeutet das: Yaxi verdient Geld durch die Nutzung des Tunnels, nicht durch den Inhalt, der durch ihn fließt. Das ist ein fundamentaler Unterschied zu Plattformen, die mit Bankdaten direkt oder indirekt Werbeprofile befüttern oder Daten an Finanzdienstleister verkaufen.
Für die regulatorische Seite nutzt Yaxi Zertifikate, die auf die DaoPay GmbH ausgestellt sind – ein österreichischer lizenzierter Zahlungsdienstleister. Auch DaoPay sieht dabei keine Zugangsdaten und erhält keine Auftragsdetails oder persönliche Informationen. Das ist kein Selbstlob, das ist technische Architekturentscheidung. Ob man ihr vertrauen mag, ist eine andere Frage – aber die Mechanik ist zumindest konsistent durchdacht.
Confidential Computing ist ein Begriff, der in der Deep-Tech-Welt kursiert, aber im Mainstream noch wenig angekommen ist. Schauen wir uns das konkret an.
Traditionelle Cloud-Verarbeitung: Daten liegen verschlüsselt auf einem Server. Für die Verarbeitung müssen sie entschlüsselt werden – in diesem Moment sind sie theoretisch zugänglich. Für den Cloud-Betreiber, für privilegierte Systemzugänge, für Angreifer, die genau diesen Moment abwarten.
Confidential Computing löst dieses Problem auf Hardware-Ebene. Sogenannte Trusted Execution Environments (TEEs) – auf Intel-Plattformen etwa als SGX bekannt, bei AMD als SEV – schaffen abgeschottete Bereiche direkt auf dem Prozessor. Dort werden Daten verarbeitet, ohne dass der Speicher außerhalb dieser Enclave zugänglich ist. Selbst root-Zugriff auf das Betriebssystem gibt keinen Einblick in das, was dort passiert.
Das entscheidende Element bei Yaxi ist die kryptografische Attestierung. Jede Verbindung wird mit einem mathematischen Beweis abgesichert, der belegt, dass die Verarbeitung tatsächlich in einer sicheren Enclave stattgefunden hat. Der Nutzer – oder genauer: die Software des Nutzers – kann diesen Beweis prüfen, bevor Daten übertragen werden. Das ist kein Versprechen, das ist verifizierbares Protokoll.
Zum Vergleich: Das klassische HTTPS-Zertifikat sagt Ihnen, dass die Verbindung zu einer Website verschlüsselt ist. Die kryptografische Attestierung bei Yaxi sagt Ihnen zusätzlich, dass der Code auf dem Server auch wirklich der ist, der er vorgibt zu sein, und dass er in einer isolierten Umgebung läuft. Das ist eine andere Qualitätsstufe.
Persönlich halte ich Confidential Computing für eine der unterschätztesten Technologien im FinTech-Bereich. Sie löst ein Problem, das viele Nutzerinnen und Nutzer gar nicht als lösbares Problem wahrnehmen – nämlich dass Datenschutzversprechen bislang fast immer auf Vertrauen und nicht auf Technik basierten.
Man kommt nicht am Thema vorbei. Open Banking in Europa ist ohne § 675f BGB, ohne die PSD2-Richtlinie (EU 2015/2366) und ohne die technischen Regulierungsstandards der EBA nicht vollständig zu verstehen. Schauen wir uns das kurz an.
Die PSD2 verpflichtet Banken zur Öffnung ihrer APIs gegenüber sogenannten TPPs – Third Party Providers. Diese unterteilen sich in AISPs (Account Information Service Providers), die Kontodaten lesen dürfen, und PISPs (Payment Initiation Service Providers), die Zahlungen auslösen können. Beide benötigen eine Lizenz der jeweils zuständigen Aufsichtsbehörde – in Deutschland die BaFin, in Österreich die FMA. Semantisch passt dazu unser Hintergrund Digitale Transformation im Finanzsektor: Neue Trends und Entwicklungen.
Der Haken an der PSD2: Sie schreibt vor, dass Banken Zugang gewähren müssen. Sie schreibt aber nicht vor, wie Drittanbieter mit den erhaltenen Daten umgehen. Genau hier entsteht das Vakuum, das Yaxi zu schließen versucht. Die Richtlinie schafft das Recht auf Datenzugang – aber nicht automatisch den technischen Schutz der Daten danach.
Die Nachfolgeregelung, PSD3, ist in Vorbereitung und soll unter anderem stärkere Anforderungen an die Datensicherheit von TPPs stellen. Aber bis PSD3 vollständig in nationales Recht überführt ist, werden noch Jahre vergehen. Technische Lösungen wie Yaxi können das regulatorische Tempo nicht abwarten.
Interessant: Yaxi operiert über den DaoPay-Mantel als lizenzierter Zahlungsdienstleister. Das ist keine Umgehung der Regulierung, sondern deren Nutzung – und gleichzeitig ein Beweis dafür, dass das Modell mit dem bestehenden Rechtsrahmen kompatibel ist. Regulatorisch sauber, technisch innovativ. Das ist keine triviale Kombination.
Databricks beschreibt in seinem Erklärungsartikel zu Open Banking sehr präzise, wie PSD2 und nationale Initiativen zusammenwirken und welche Datentypen konkret über Open-Banking-APIs ausgetauscht werden können. Wer tiefer in die technische Regulatorik einsteigen möchte, findet dort einen guten Ausgangspunkt.
Reden wir über Funktionen. Konkrete Funktionen, keine Marketinglyrik. Yaxi unterstützt nach aktueller Produktdokumentation folgende Anwendungsfälle:
Rechnen wir nach, was das für einen konkreten Anwendungsfall bedeutet. Stellen Sie sich einen Online-Händler vor, der bisher Kreditkartenzahlungen akzeptiert. Die durchschnittliche Interchange-Gebühr bei Visa/Mastercard liegt bei etwa 1,5 bis 1,8 Prozent des Transaktionswerts. Bei einem Monatsvolumen von 100.000 Euro sind das 1.500 bis 1.800 Euro monatlich – oder bis zu 21.600 Euro pro Jahr. Eine Sofortzahlung via Open Banking kostet je nach Anbieter zwischen 0,1 und 0,3 Prozent. Das spart dem Händler potenziell 15.000 Euro pro Jahr. Die Rendite einer Open-Banking-Implementierung ist in diesem Fall messbar und erheblich.
Für Endverbraucherinnen und -verbraucher ist der Nutzen subtiler, aber nicht weniger real. Wer eine Budgetierungs-App nutzt, die auf Yaxi-Basis arbeitet, weiß, dass die App lediglich den Tunnel bereitstellt – die Daten bleiben zwischen ihr, dem Nutzer und der Bank. Kein Zwischenhändler, kein Datenprofil, keine Weitergabe.
Open Banking hat ein Imageproblem. Nicht wegen fehlender Technik, sondern wegen mangelnden Vertrauens. Laut einer Umfrage des Digitalverbands Bitkom aus 2024 würden nur rund 28 Prozent der Deutschen aktiv einer Banking-App Zugriff auf ihre vollständigen Kontodaten gewähren. Die häufigsten Bedenken: Datenmissbrauch, unklare Weitergabe an Dritte, fehlende Transparenz über die Datenspeicherung.
Das ist das eigentliche Marktproblem – und genau das versucht Yaxi zu adressieren. Nicht durch Kommunikation, sondern durch Architektur. Wenn technisch nichts gespeichert wird, gibt es auch nichts zu missbrauchen. Das ist eine stärkere Aussage als jede Datenschutzerklärung.
Der Haken liegt trotzdem auf der Hand: Vertrauen in eine neue Technologie entsteht nicht über Nacht. Confidential Computing ist für die meisten Nutzerinnen und Nutzer ein vollständig abstrakter Begriff. Dass kryptografische Attestierung funktioniert, müssen sie auf Basis von Erklärungen glauben – zumindest solange keine einfach zugänglichen Audit-Reports oder zertifizierten Prüfungen für Laien existieren.
Hier liegt die eigentliche Kommunikationsaufgabe von Yaxi. Die Technik ist gut – aber Technik allein ändert kein Nutzerverhalten. Dazu braucht es nachvollziehbare Beweise, unabhängige Zertifizierungen und eine Sprache, die ohne Informatikstudium funktioniert. Payment & Banking hat das Thema in einem ausführlichen Artikel aufgearbeitet und mit Vincent Haupert einen Experten befragt, der die technischen Mechanismen verständlich einordnet – empfehlenswert für alle, die tiefer einsteigen wollen.
Zum Vergleich: Als Apple Pay 2014 in den USA an den Start ging, lautete das Kernversprechen ebenfalls: Wir sehen Ihre Kartennummer nie. Apple nutzt Tokenisierung. Das Vertrauen kam trotzdem erst nach Jahren – und erst, als genügend Nutzerinnen und Nutzer die Erfahrung gemacht hatten, dass tatsächlich nichts schief geht. Yaxi wird diesen Weg wohl auch gehen müssen.
Open Banking ist kein weißer Fleck auf der Landkarte. Es gibt etablierte Player wie Tink (jetzt Teil von Visa), Plaid (USA-dominierend, in Europa regulatorisch eingeschränkt), Finapi oder das deutsche Unternehmen finAPI. Was unterscheidet Yaxi von diesen Mitbewerbern?
Der entscheidende Unterschied ist das Datenhaltungsmodell. Tink, Plaid und Co. aggregieren Daten zentral. Sie bauen Datenpools auf, die ihren Diensten Wert verleihen – und die, wenn man ehrlich ist, auch ihre eigentliche Substanz darstellen. Das ist kein Vorwurf, sondern ein Geschäftsmodell. Aber es ist eben ein anderes als das von Yaxi.
Konkret: Wenn Plaid Ihre Kontodaten aggregiert, haben Sie als Nutzer das Problem, dass diese Daten existieren – auf Servern außerhalb Ihrer Kontrolle, in einer Jurisdiction, die möglicherweise nicht Ihrer entspricht, und möglicherweise länger als nötig. Plaid wurde 2020 von der US-Verbraucherschutzbehörde FTC wegen unzureichender Transparenz über Datenpraktiken zu einer Zahlung von 58 Millionen US-Dollar verurteilt. Das ist kein hypothetisches Risiko, das ist ein aktenkundiges Beispiel.
Unter dem Strich konkurriert Yaxi nicht primär im Funktionsumfang, sondern im Vertrauensmodell. Wer ein FinTech-Produkt bauen will und dabei keine Datenhaftung für gespeicherte Nutzerdaten eingehen möchte – weil er schlicht keine speichert –, bekommt mit Yaxi ein technisch anderes Fundament.
Die Frage, die Investorinnen und Investoren stellen werden: Wie monetarisiert man dieses Modell skalierbar? Die Antwort liegt im B2B-Bereich. Yaxi richtet sich primär an Unternehmen, die Open-Banking-Funktionen in ihre Produkte integrieren wollen – und dabei nicht in die regulatorische und reputationsbezogene Haftung für gespeicherte Bankdaten geraten möchten. Das ist ein klarer, adressierbarer Markt.
Ein Punkt, der in der Yaxi-Beschreibung auffällt und der unterschätzt wird: das Echtzeit-Prinzip. Traditionelle Open-Banking-Implementierungen arbeiten häufig mit Batch-Verarbeitung – Kontodaten werden einmal oder mehrmals täglich abgefragt und gecacht. Das spart Serverkosten, erzeugt aber ein fundamental anderes Nutzungserlebnis.
Rechnen wir nach, was das konkret bedeutet. Eine Budgetierungs-App, die auf tagesaktuellen Batch-Daten basiert, zeigt Ihnen um 14 Uhr noch nicht die Zahlung, die Sie um 10 Uhr getätigt haben. Für einfache Monatsübersichten kein Problem. Für Echtzeit-Kreditentscheidungen, für Betrugserkennungssysteme oder für Händler, die Zahlungseingänge live verfolgen müssen, ist das ein echter Nachteil.
Yaxi verbindet live bei jedem Aufruf. Das bedeutet höhere Latenz pro Anfrage – eine Datenbankabfrage auf einem lokalen Cache ist immer schneller als eine Live-API-Verbindung –, aber dafür echte Aktualität. Für Use Cases wie Kontoinhaber-Verifikation im Echtzeit-Onboarding oder Sofortzahlungsbestätigung ist das der richtige Kompromiss.
Zum Vergleich: Ein stationärer Händler, der an der Kasse den aktuellen Kontostand seines Kunden in unter zwei Sekunden abfragen kann, um eine sofortige Kreditentscheidung zu treffen – ohne Karte, ohne Netzwerk des Kartenherausgebers –, hat einen konkreten operativen Vorteil. Keine Kartennetzwerk-Latenz, keine Interchange, keine Abhängigkeit von Visa- oder Mastercard-Infrastruktur.
Die Rendite ist auch hier berechenbar. Nehmen wir einen mittelgroßen Online-Händler mit 50.000 Transaktionen pro Monat und einem durchschnittlichen Warenkorbwert von 80 Euro. Gesamtvolumen: 4 Millionen Euro. Bei 1,5 Prozent Kartenzahlungsgebühr: 60.000 Euro monatlich, 720.000 Euro jährlich. Bei 0,2 Prozent Open-Banking-Gebühr: 8.000 Euro monatlich, 96.000 Euro jährlich. Ersparnis: 624.000 Euro pro Jahr. Das ist kein akademisches Zahlenspiel, das ist ein realer Business Case.
Open Banking und DSGVO sind in der Praxis manchmal schwierige Nachbarn. Wer Bankdaten verarbeitet, braucht eine Rechtsgrundlage nach Art. 6 DSGVO – in der Regel die Einwilligung nach Abs. 1 lit. a oder die Vertragserfüllung nach lit. b. Wer Bankdaten speichert, muss Löschkonzepte vorlegen, Betroffenenrechte implementieren und Datenschutz-Folgenabschätzungen nach Art. 35 DSGVO durchführen, wenn besonders sensible Kategorien verarbeitet werden.
Der Haken bei klassischen Open-Banking-Diensten: Je mehr Daten gespeichert werden, desto komplexer wird die DSGVO-Compliance. Jede gespeicherte Transaktion ist ein datenschutzrechtlich relevantes Datum. Jede Profilerstellung aus Bankdaten fällt unter Art. 22 DSGVO, wenn sie automatisierte Entscheidungen ermöglicht. Das sind echte Compliance-Kosten.
Yaxis Ansatz löst einen großen Teil dieser Komplexität auf einer technischen Ebene, die eleganter ist als jedes rechtliche Konstrukt: Was nicht existiert, muss nicht gelöscht werden. Was nicht gespeichert wird, kann nicht Gegenstand eines Auskunftsersuchens nach Art. 15 DSGVO sein. Was in einer hardware-isolierten Enclave verarbeitet und nicht persistiert wird, hat kein Rechtssubjekt als Empfänger im Sinne von Art. 4 Nr. 9 DSGVO.
Das klingt technisch, ist aber praktisch. Für Unternehmen, die Open-Banking-Dienste in ihre Anwendungen integrieren wollen, sinkt die Datenschutz-Compliance-Last erheblich, wenn der Infrastrukturanbieter technisch sicherstellt, dass keine sensiblen Daten persistiert werden. Das ist ein echter Verkaufsargument im B2B-Bereich – und gleichzeitig ein Argument, das Rechtsabteilungen verstehen.
Meine persönliche Einschätzung: Privacy by Design ist in der DSGVO seit 2018 in Art. 25 verankert. Aber wirklich umgesetzt wird das Prinzip in der FinTech-Welt erschreckend selten. Yaxi ist eines der wenigen Beispiele, bei denen Privacy by Design nicht Marketingvokabular ist, sondern tatsächlich auf Hardware-Ebene implementiert wurde. Das verdient Anerkennung – auch wenn die Skalierungsfrage noch offen ist.
Abstrakte Technologiebeschreibungen sind das eine. Konkrete Szenarien sind das andere. Schauen wir uns drei typische Anwendungsfälle an, bei denen Yaxis Architektur einen messbaren Unterschied macht.
Ein Kredit-FinTech möchte Kreditentscheidungen auf Basis realer Kontobewegungen treffen, nicht auf Basis von Schufa-Scores allein. Klassisches Problem: Das FinTech muss Kontodaten speichern, um Muster zu analysieren. Das erzeugt Datenschutzhaftung, Speicherkosten und das Risiko von Datenpannen.
Mit Yaxi: Das FinTech ruft per API live Kontodaten ab, analysiert diese in Echtzeit in einer verschlüsselten Umgebung und trifft eine Kreditentscheidung. Danach existieren die Rohdaten nicht mehr. Das FinTech hat seine Entscheidung getroffen, aber keine Daten gespeichert, die zur Haftung führen könnten. Rendite: geringere Compliance-Kosten, schnellere Kreditentscheidungen, weniger regulatorisches Risiko.
Ein HR-Dienstleister möchte Gehaltskonten von Mitarbeitenden verifizieren, bevor er Lohnzahlungen auslöst. Bislang: manuelle IBAN-Verifikation, fehleranfällig, langsam. Mit Open Banking via Yaxi: automatisierte Kontoinhaber-Verifikation in Echtzeit. Name und IBAN werden live geprüft, ohne dass der Dienstleister die Kontodaten speichert. Kein Datenschutz-Albtraum, kein aufwändiges Löschkonzept, volle Compliance.
Eine Privatperson möchte eine Budgetierungs-App nutzen, traut aber keinem Drittanbieter ihre Zugangsdaten an. Das Dilemma ist real: Entweder man verzichtet auf die Funktion oder man gibt Daten aus der Hand. Mit Yaxi-basierter App: Die App ruft Kontodaten live ab, zeigt sie an, speichert aber weder Zugangsdaten noch Kontobewegungen auf fremden Servern. Die Daten landen nur auf dem eigenen Gerät oder in selbst gewählten Cloud-Speichern.
Konkret für die Nutzerin oder den Nutzer: Man behält die volle Kontrolle. Man kann den Datenzugriff jederzeit widerrufen – nicht nur per Klick in einer App, sondern wirklich im Backend der Bank, über die PSD2-Schnittstelle. Das ist ein anderes Niveau von Kontrolle als das, was bisher als „Konto verknüpfen“ bekannt war.
Kein Artikel über ein Startup-Versprechen wäre vollständig ohne die kritischen Fragen. Und die gibt es bei Yaxi durchaus.
Erstens: Skalierbarkeit. Confidential Computing ist technisch anspruchsvoll und derzeit noch teurer als konventionelle Cloud-Infrastruktur. Intel SGX-Enclaves haben Speicherbeschränkungen, AMD SEV-Implementierungen sind noch nicht überall verfügbar. Wenn Yaxi massenhaft skaliert, stellt sich die Frage, ob die Hardware-Kapazitäten mit dem Wachstum Schritt halten können, ohne die Kostenbasis in unattraktive Regionen zu treiben.
Zweitens: Auditierbarkeit. Yaxi verspricht, dass niemand – nicht einmal Yaxi selbst – Zugriff auf die verarbeiteten Daten hat. Das ist eine starke Behauptung. Sie lässt sich technisch verifizieren, aber nur durch unabhängige Sicherheitsaudits, die öffentlich zugänglich sind. Bisher sind solche Berichte nicht breit publiziert. Das ist nicht zwingend ein Zeichen für Probleme, aber es ist eine Lücke, die Vertrauen kostet.
Drittens: Bank-API-Qualität. Yaxi verspricht Echtzeit-Verbindungen zu über 1.000 europäischen Banken. Das stimmt nur dann vollständig, wenn die APIs der Banken tatsächlich Echtzeit-Daten liefern. Wer sich mit PSD2-Implementierungen in der Praxis beschäftigt, weiß: Die Qualität der Bank-APIs variiert erheblich. Manche Banken liefern Kontodaten mit Stunden-Verzögerung, manche haben API-Ausfallzeiten, die im Open-Banking-Ökosystem gut dokumentiert und gefürchtet sind. Yaxi ist in dieser Hinsicht von der Qualität der Upstream-Schnittstellen abhängig.
Viertens: Der Markt ist umkämpft. Visa hat Tink gekauft. Mastercard hält Beteiligungen an Open-Banking-Infrastruktur. Die großen Netzwerke werden nicht tatenlos zusehen, wie Open-Banking-Zahlungen ihre Interchange-Einnahmen erodieren. Yaxi bewegt sich in einem Markt, in dem die Gegner erheblich mehr Kapital, Regulierungsinfrastruktur und Bankbeziehungen haben.
Das ist kein Todesurteil für das Modell – aber es ist der Kontext, in dem man es bewerten muss. Der Haken bei disruptiven Fintech-Modellen ist fast immer derselbe: Technisch überlegen zu sein reicht nicht, wenn der Vertrieb, die Bankpartnerschaften und die Kapitalausstattung nicht mithalten.
Um Yaxis Position richtig einzuordnen, lohnt der Blick über den deutschen Tellerrand. Open Banking ist kein universelles Konzept, sondern ein regulatorisches und kulturelles Flickenteppich.
Im Vereinigten Königreich existiert seit 2018 die Open Banking Implementation Entity (OBIE), die technische Standards und Qualitätssicherung für Bank-APIs zentralisiert. Das Ergebnis: britische Open-Banking-APIs sind im Schnitt zuverlässiger und standardisierter als ihre europäischen Pendants unter PSD2. Yaxi könnte im UK-Markt auf einer soliden Infrastruktur aufbauen – sofern der Brexit-bedingte regulatorische Graben überbrückt wird. Semantisch passt dazu unser Hintergrund Wie Open Banking das Finanzwesen neu definiert.
In den USA existiert Open Banking in einem anderen Zustand. Der Consumer Financial Protection Bureau (CFPB) hat erst 2024 eine finale Regel verabschiedet, die Banken verpflichtet, Kundendaten auf Anfrage via API bereitzustellen – ein Jahrzehnt nach der europäischen PSD2. Plaid und Finicity dominieren den US-Markt mit aggregierenden Modellen. Das Yaxi-Modell – keine Datenspeicherung, Confidential Computing – würde in den USA auf eine andere regulatorische Grundlage treffen, aber auch auf einen Markt, der technisch weniger standardisiert ist.
Zum Vergleich: In Europa sind unter PSD2 über 500 lizenzierte TPPs aktiv. In Deutschland haben laut BaFin-Register mehrere Dutzend Unternehmen Lizenzen als AISP oder PISP. Der Markt ist fragstiert, aber aktiv. Yaxi bewegt sich in einem Feld, das voll besetzt ist – und muss sich deshalb klar differenzieren.
Unter dem Strich: Der europäische Markt ist für Yaxis Modell am besten geeignet – PSD2 schafft die regulatorische Basis, die DSGVO schafft die Nachfrage nach datenschutzfreundlichen Alternativen, und die Fragmentierung des Bankensektors schafft die Notwendigkeit für Aggregationsdienste. Das Timing ist, trotz aller Schwierigkeiten, nicht schlecht gewählt.
Schauen wir auf die technische Integrationsperspektive – denn Yaxi richtet sich ja primär an Unternehmen und Entwickler, die Open-Banking-Funktionen in ihre Produkte einbauen wollen.
Die klassische Herausforderung bei Open-Banking-Integrationen: Man braucht entweder eine eigene AISP-Lizenz, oder man nutzt einen lizenzierten Intermediär. Die eigene Lizenz kostet Zeit, Geld und regulatorischen Aufwand. Allein die BaFin-Zulassung als AISP kann, je nach Vollständigkeit der Unterlagen, sechs bis zwölf Monate dauern. Die Antragsgebühr liegt im mittleren vierstelligen Bereich, die Compliance-Infrastruktur, die danach aufgebaut werden muss, im sechsstelligen Bereich.
Yaxi als Infrastrukturanbieter nimmt diesen Schmerz weg. Entwickler nutzen eine API, die bereits regulatorisch abgesichert ist – über den DaoPay-Mantel. Sie zahlen für Nutzung, nicht für regulatorische Infrastruktur. Und sie erhalten dabei eine Architektur, die ihre eigene Datenhaftung minimiert.
Konkrete Checkliste für Entwickler, die Open Banking via Yaxi evaluieren:
Und damit kommen wir zur eigentlichen philosophischen Dimension des Themas – die aber sehr praktische Konsequenzen hat. Wem gehören Ihre Bankdaten?
Rechtlich ist die Antwort komplex. Kontodaten sind keine Eigentumsrechte in einem klassischen Sinne. Die Bank hat einen Informationsvorsprung, der aus Ihrem Vertragsverhältnis mit ihr resultiert. Die DSGVO gibt Ihnen Rechte auf Auskunft, Löschung und Portabilität – aber kein Eigentumsrecht im zivilrechtlichen Sinne. Art. 20 DSGVO, das Recht auf Datenportabilität, ist das nächste, was wir haben – aber es ist ein Verfahrensrecht, kein Eigentumsrecht.
In der Praxis haben Banken historisch davon profitiert, dass Kundendaten in ihren Systemen blieben. Aggregierte Transaktionsdaten sind wertvoll für Produktentwicklung, Risikobewertung, Kreditvergabe und – in manchen Jurisdiktionen – für kommerzielle Weitergabe an Dritte. PSD2 hat hier die erste Öffnung erzwungen. Yaxis technische Architektur geht einen Schritt weiter.
Wenn technisch verifizierbar ist, dass Daten ausschließlich zwischen Nutzer und Bank fließen und nirgendwo anders persistiert werden, dann ist der Begriff „Datensouveränität“ nicht mehr Marketingprosa. Dann ist es eine messbare technische Eigenschaft. Ob man das als Eigentumsrecht interpretiert oder als Kontrollrecht – es ist in jedem Fall mehr, als Nutzerinnen und Nutzer bisher hatten.
Stellt sich noch die Frage, die man im FinTech-Bereich selten laut stellen will: Warum machen das die Banken nicht selbst? Warum öffnen sie keine direkten, datenschutzkonformen Kanäle zu ihren Kunden, ohne Zwischenaggregatoren? Die Antwort ist ernüchternd konkret: Weil das den Banken kein direktes Geschäftsmodell eröffnet. Daten in zentralen Systemen zu halten ist strukturell vorteilhafter als sie zurückzugeben – solange kein regulatorischer Druck und kein kompetitiver Markt das ändert. PSD2 ist der erste regulatorische Druck. Yaxi ist der technische Gegenentwurf.
Yaxi ist ein interessantes Experiment mit einer klaren These: Datenschutz funktioniert am besten, wenn technisch nichts zu schützen übrig bleibt, weil nichts gespeichert wurde. Das ist elegant. Es ist konsequent. Und es trifft einen wunden Punkt im bestehenden Open-Banking-Ökosystem.
Ob das Modell skaliert, hängt von Faktoren ab, die noch nicht vollständig sichtbar sind: der Qualität der Bankpartnerschaften, der Verfügbarkeit von Confidential-Computing-Kapazitäten zu wettbewerbsfähigen Preisen, der Akzeptanz bei Entwicklern und Unternehmen, und – am Ende – dem Vertrauen der Endnutzerinnen und Endnutzer in eine Technologie, die sie nicht sehen können.
Konkret bedeutet das für Sie als Leserin oder Leser: Wenn Sie das nächste Mal eine Banking-App, eine Finanz-App oder ein Zahlungs-Tool nutzen, lohnt es sich, eine einfache Frage zu stellen: Wer speichert was – und wo? Die Antwort darauf definiert, wem Ihre Daten wirklich gehören. Open Banking kann viel sein. Es kann Ihnen Kontrolle zurückgeben oder Ihre Daten in neue Hände transferieren. Yaxi behauptet, es gehe auch anders – ohne Datentransfer, nur mit Datendurchgang.
Und die eigentliche Frage bleibt offen: Wird die FinTech-Branche diesem Ansatz folgen – oder werden die Netzwerkeffekte zentralisierender Plattformen auch dieses Mal stärker sein als das bessere technische Argument?
