Was ist der Unterschied zwischen AISP und PISP unter PSD2?

Ein Account Information Service Provider (AISP) kann mit Einwilligung des Nutzers Kontodaten von Banken abrufen — für Budgetapps, Finanzübersichten oder Kreditwürdigkeitsprüfungen. Ein Payment Initiation Service Provider (PISP) kann Zahlungen im Namen des Nutzers auslösen, ohne dass Kartendaten weitergegeben werden. Beide Rollen erfordern eine starke Kundenauthentifizierung (SCA) und eine PSD2-Registrierung bei der BaFin.

Welche DSGVO-Anforderungen sind für Fintech-Produkte besonders relevant?

Fintech-Produkte verarbeiten besonders sensible Finanzdaten, die unter Art. 9 DSGVO fallen können (z. B. Daten über religiöse Zahlungen oder Gesundheitsausgaben). Zwingend sind: Datenminimierung (nur notwendige Felder erheben), explizite Zweckbindung, Recht auf Löschung mit technischer Umsetzung, Auftragsverarbeitungsverträge mit allen Dienstleistern, Datenschutz-Folgeabschätzung (DSFA) bei Hochrisiko-Verarbeitung und ein benannter DSB ab 20 Mitarbeitern.

Fintech Entwicklung

Fintech SaaS Entwicklung: BaFin, PSD2 & DSGVO konform bauen (2026)

Q: Welche BaFin-Lizenz brauche ich für mein Fintech-Produkt?

Das hängt vom Geschäftsmodell ab. Zahlungsdienste (Überweisungen, Kartenzahlungen) benötigen eine Zahlungsinstitutszulassung nach ZAG. Wertpapierdienstleistungen erfordern eine Lizenz nach WpIG. Reine Account-Aggregation (AISP) und Zahlungsauslösung (PISP) sind durch PSD2 geregelt und erfordern eine gesonderte Registrierung. Viele Fintechs starten mit einer BaFin-Registrierung als Agent einer lizenzierten Bank oder nutzen Banking-as-a-Service-Partner (z. B. solarisBank, Railsr), um Zeit und Kapital zu sparen.

Q: Was kostet die Entwicklung einer PSD2-konformen Fintech-Plattform?

Eine PSD2-konforme Fintech-SaaS-Plattform kostet je nach Komplexität zwischen €80.000 und €300.000 für den ersten Produktionsstand. Einfache AISP-Lösungen mit einer Banking-API-Integration liegen bei €80.000–€120.000. Vollständige Zahlungsplattformen mit KYC/AML, Multi-Währung und BaFin-Compliance kosten €180.000–€300.000. Hinzu kommen laufende Compliance-Kosten (Audit, Penetrationstests, Lizenzgebühren) von €20.000–€50.000 pro Jahr.

Q: Wie lange dauert die Entwicklung eines Fintech-MVP?

Ein Fintech-MVP mit grundlegender KYC-Integration, einer Banking-API-Anbindung und DSGVO-konformer Architektur dauert bei einem erfahrenen 4-köpfigen Team typischerweise 20–28 Wochen. Die Compliance-Anforderungen treiben den Aufwand deutlich nach oben im Vergleich zu nicht-regulierten SaaS-Produkten. Projekte, die die BaFin-Lizenzierung parallel zur Entwicklung angehen, sollten 6–12 Monate für den Gesamtprozess einplanen.

Wie baut man eine regulierte Fintech-SaaS-Plattform in Deutschland 2026? BaFin-Lizenzierung, PSD2 Open Banking, KYC/AML-Architektur und DSGVO-konforme Datenminimierung — ein technischer Leitfaden für Gründer und CTOs.

Jahja Nur Zulbeari | 6. Mai 2026 | 14 Min. Lesezeit

Fintech ist die anspruchsvollste Domäne in der Softwareentwicklung — nicht wegen der technischen Komplexität allein, sondern wegen der Überschneidung von regulatorischen Anforderungen, Sicherheitsstandards und der Notwendigkeit, Vertrauen bei besonders skeptischen Nutzern aufzubauen. Wer eine Fintech-SaaS-Plattform in Deutschland oder der DACH-Region aufbauen will, bewegt sich im Spannungsfeld von BaFin, PSD2, DSGVO und einer Reihe weiterer Compliance-Layer.

Dieser Artikel richtet sich an Gründer und CTOs, die entweder ein Fintech-MVP planen oder eine bestehende Lösung regulierungskonform ausbauen wollen. Wir decken die technischen Architekturentscheidungen ab, erklären die wichtigsten regulatorischen Weichen und geben realistische Kostenrahmen für verschiedene Produkttypen.

Das regulatorische Umfeld: BaFin, PSD2 und was das technisch bedeutet

Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) reguliert in Deutschland alle Unternehmen, die Finanzdienstleistungen erbringen. Das klingt abstrakt — in der Praxis bedeutet es: Bevor Ihr Produkt live geht, muss geklärt sein, ob und welche Lizenz Sie benötigen. Diese Entscheidung beeinflusst die gesamte Systemarchitektur.

Die drei häufigsten Lizenzpfade für Fintech-Startups

Zahlungsinstitutszulassung (ZAG): Wer Zahlungen ausführt, Gelder hält oder Überweisungen auslöst, braucht eine Zulassung nach dem Zahlungsdiensteaufsichtsgesetz. Der Prozess dauert typischerweise 12–18 Monate und erfordert ein Mindestkapital von €125.000 bis €750.000 je nach Lizenzklasse.

BaFin-registrierter Agent: Der schnellere Weg für viele Startups ist die Registrierung als vertraglich gebundener Vermittler (Agent) einer bereits lizenzierten Bank oder eines Zahlungsinstituts. Anbieter wie die solarisBank, Treezor oder Railsr stellen ihre Lizenz zur Verfügung — gegen entsprechende Revenue-Share-Konditionen. Dieser Weg erlaubt schnelleren Markteintritt, schränkt aber die Produktflexibilität ein.

PSD2-Registrierung (AISP/PISP): Reine Kontodaten-Aggregation (AISP) oder Zahlungsauslösung im Namen des Nutzers (PISP) erfordern eine gesonderte Registrierung bei der BaFin — kein Kapitalmindestbetrag, aber strenge technische Anforderungen für die starke Kundenauthentifizierung (SCA).

PSD2 Open Banking: Technische Anforderungen und Integrationsarchitektur

PSD2 verpflichtet Banken, ihre Kontodaten über standardisierte APIs zugänglich zu machen. In der Praxis ist das Bild uneinheitlicher als der Gesetzgeber es sich vorgestellt hat: Jede Bank hat ihre eigene API-Implementierung, die Qualität variiert erheblich, und Aggregatoren wie Tink, Finapi oder Klarna Open Banking sind für die meisten Fintech-Produkte die pragmatischere Wahl.

Aggregator vs. Direktintegration

Eine Direktintegration mit den APIs einzelner Banken ergibt nur Sinn, wenn Sie eine sehr tiefe Integration mit wenigen spezifischen Banken benötigen — etwa für eine White-Label-Lösung für eine bestimmte Bankengruppe. Für ein Produkt, das breite Bankenabdeckung benötigt, sind Aggregatoren wie Tink (Visa), finAPI oder Klarna Open Banking die wirtschaftlichere Wahl. Die Lizenzkosten dieser Dienste liegen typischerweise bei €2.000–€8.000 pro Monat für mittelgroße Volumina.

KYC/AML-Architektur: Der unterschätzte Komplexitätstreiber

Know Your Customer (KYC) und Anti-Money Laundering (AML) sind gesetzliche Pflichten unter dem Geldwäschegesetz (GwG) — und sie sind technisch deutlich aufwendiger als die meisten Gründer initial einschätzen. Ein gut implementiertes KYC/AML-System ist nicht nur ein Compliance-Checkbox — es ist ein kritischer Teil der User-Experience und ein wichtiger Faktor für Conversion-Raten im Onboarding.

Die KYC-Architekturentscheidung

Drei Schichten müssen designed werden: Identitätsprüfung (ID-Dokument + Liveness-Check), Risikobewertung (PEP-Listen, Sanktionslisten, Adverse-Media-Screening) und laufende Transaktionsüberwachung. Für die meisten Fintechs ist ein spezialisierter KYC-Dienstleister (Onfido, IDnow, Veriff, Sumsub) die richtige Wahl — Eigenentwicklung rechnet sich erst ab sehr hohen Volumina.

Was intern entwickelt werden muss, ist die Integration dieser Dienste in den eigenen Onboarding-Flow, die Verwaltung der KYC-Statuse in der Datenbank, die Entscheidungslogik (Approve/Reject/Manual Review) und die Audit-Trail-Dokumentation, die der BaFin im Prüfungsfall vorgelegt werden muss.

DSGVO-konforme Datenarchitektur für Fintech

Fintech-Produkte erheben besonders sensible Daten — Kontostände, Transaktionshistorie, Ausgabenmuster. Unter der DSGVO gelten hier verschärfte Anforderungen, die technisch umgesetzt werden müssen, nicht nur dokumentiert.

Datenminimierung in der Datenbankarchitektur

Datenminimierung bedeutet konkret: Erheben Sie nur die Felder, die für den Verarbeitungszweck notwendig sind. Für eine Budgetapp bedeutet das, dass Sie Transaktionskategorien speichern, aber keine Klartextzwecke (die oft Rückschlüsse auf Gesundheit oder Religion erlauben). Technisch empfiehlt sich eine Trennung von PII (Personally Identifiable Information) und Finanzdaten in unterschiedliche Tabellen oder Schemas mit gesonderten Zugriffskontrollen.

Right to Erasure: Technische Umsetzung

Das Recht auf Löschung (Art. 17 DSGVO) muss technisch implementiert sein — nicht nur als Policy. In der Praxis bedeutet das: Ein Lösch-Workflow, der PII aus allen relevanten Tabellen, Caches, Backups und Drittsystemen entfernt. Bei Finanzdaten kommt die Herausforderung hinzu, dass Transaktionsdaten aus steuerrechtlichen Gründen (§ 257 HGB: 10 Jahre) aufbewahrt werden müssen — aber ohne Personenbezug, also pseudonymisiert.

Kostenübersicht: Fintech SaaS nach Produkttyp

Produkttyp	Lizenzweg	Entwicklungskosten	Laufende Compliance	Dauer bis Launch
AISP-App (Konto-Aggregation)	PSD2-Registrierung + Aggregator-API	€80.000–€130.000	€15.000–€25.000 / Jahr	5–7 Monate
Zahlungsplattform (PISP)	BaFin-Agent oder eigene ZAG-Lizenz	€140.000–€220.000	€30.000–€60.000 / Jahr	8–14 Monate
Lending / Kreditvergabe	§ 32 KWG Erlaubnis	€180.000–€300.000	€50.000–€100.000 / Jahr	12–18 Monate
Neobank / IBAN-Produkt	Banking-as-a-Service-Partner	€200.000–€350.000	€60.000–€120.000 / Jahr	10–16 Monate
B2B Treasury-/CFO-Tool	Oft keine BaFin-Pflicht	€70.000–€150.000	€10.000–€25.000 / Jahr	4–7 Monate

Warum regulierte Produkte spezialisierte Studios brauchen

Fintech-Entwicklung ist kein klassisches Web-App-Projekt mit regulatorischem Overhead. Die Architekturentscheidungen im ersten Sprint — Datenbankschema, Authentifizierungsflow, API-Design — bestimmen, ob Ihr System in 18 Monaten einer BaFin-Prüfung standhält oder nicht. Fehler, die früh gemacht werden, sind später teuer zu korrigieren.

Generalisierte Entwicklungsstudios verstehen oft die technischen Implikationen von GwG, ZAG und PSD2 nicht. Sie können sauberen Code schreiben — aber nicht einschätzen, ob das Audit-Log-Format den Anforderungen eines Compliance-Auditors entspricht, ob die KYC-Status-Machine alle regulatorisch relevanten Übergänge abdeckt oder ob das Datenbankschema eine DSFA-konforme Folgeabschätzung besteht.

Zulbera hat mehrere regulierte Fintech-Produkte für den DACH-Markt entwickelt — von AISP-Lösungen bis zu komplexen B2B-Zahlungsplattformen. Unser Team versteht sowohl die technische als auch die regulatorische Seite. Mehr zu unseren Kompetenzen finden Sie auf der SaaS-Entwicklungsseite oder in unserem englischsprachigen Artikel zur Fintech SaaS Development.

Technologie-Stack-Empfehlungen für Fintech

Es gibt keinen universell richtigen Stack für Fintech — aber es gibt Entscheidungen, die in regulierten Umgebungen besser funktionieren als andere.

Backend: Stabilität vor Trendbewusstsein

Für Fintech-Backends empfehlen wir typsichere, gut dokumentierte Sprachen: TypeScript (Node.js), Go oder Java/Kotlin. Node.js mit TypeScript ist in den meisten Fällen die pragmatischste Wahl — es gibt breite Tooling-Unterstützung für alle relevanten Integrationen (Stripe, Onfido, PSD2-Aggregatoren), und TypeScript-Typsicherheit reduziert die Fehlerrate in kritischen Datenpfaden erheblich.

Datenbank: PostgreSQL mit Row-Level Security

PostgreSQL ist für Fintech-Anwendungen fast immer die richtige Wahl. Row-Level Security (RLS) ermöglicht Multi-Tenant-Datenisolation auf Datenbankebene — ein wichtiger Defense-in-Depth-Layer. Verschlüsselung sensibler Felder (pgcrypto oder Anwendungsschicht-Verschlüsselung) sollte von Anfang an geplant sein, nicht nachträglich hinzugefügt werden.

Infrastruktur: EU-Region, HSM für Schlüsselverwaltung

Alle Fintech-Infrastruktur muss in der EU gehostet werden (DSGVO-Anforderung, oft auch vertragliche Bankenanforderung). AWS eu-central-1 (Frankfurt) oder eu-west-1 (Irland), GCP europe-west1 (Belgien) sind gängige Wahl. Für Kryptographie-Schlüssel empfehlen wir AWS KMS oder Azure Key Vault — kein selbst verwaltetes HSM für die meisten Startups.

Sicherheitsarchitektur: Was BaFin-Prüfer sehen wollen

Eine BaFin-Prüfung oder eine bankenseitige Due-Diligence konzentriert sich auf konkrete technische Controls. Die wichtigsten sind:

Audit Logs: Vollständige, nicht manipulierbare Protokollierung aller sensitiven Operationen — Geldtransfers, KYC-Statusänderungen, Admin-Zugriffe, Konfigurationsänderungen. Logs müssen mindestens 5 Jahre aufbewahrt werden.
Zugriffskontrollen: Least-Privilege-Prinzip, MFA für alle Admin-Zugänge, zeitlich begrenzte Tokens für API-Zugriffe.
Penetrationstests: Jährliche Penetrationstests durch akkreditierte Tester, Behebung kritischer Findings innerhalb definierter SLAs.
Business Continuity: RTO (Recovery Time Objective) und RPO (Recovery Point Objective) dokumentiert und getestet, keine Single Points of Failure in kritischen Zahlungspfaden.
Vendor Risk Management: Due Diligence für alle Drittanbieter, die regulierte Aktivitäten ausführen — schriftliche Verträge, Sicherheitsbewertungen, Exit-Pläne.

Checkliste: Vor dem ersten BaFin-Gespräch

Wenn Sie planen, in den nächsten 12 Monaten mit der BaFin in Kontakt zu treten, sollten diese Punkte geklärt sein:

Rechtliches Gutachten zur Lizenzpflicht (durch einen auf Finanzmarktrecht spezialisierten Anwalt)
Geschäftsplan mit Risikoanalyse nach BaFin-Anforderungen
IT-Sicherheitskonzept nach BAIT (Bankaufsichtliche Anforderungen an die IT)
Dokumentierter Onboarding-Flow mit KYC/AML-Logik
Datenschutzkonzept inkl. DSFA für Hochrisiko-Verarbeitungen
Qualifizierte Geschäftsleiter (mit Finanzmarkt-Erfahrung, BaFin-geprüft)
Eigenkapitalnachweis entsprechend der angestrebten Lizenzklasse

Fazit: Regulierung als Wettbewerbsvorteil

Fintech-Compliance ist teuer und zeitaufwendig — keine Frage. Aber sie ist auch eine Marktzutrittsbarriere, die gut kapitalisierte, professionell aufgestellte Unternehmen von schlecht vorbereiteten Wettbewerbern trennt. Wer die regulatorischen Anforderungen von Anfang an in die Architektur einbaut, spart langfristig erhebliche Nachbesserungskosten.

Der Unterschied zwischen einem Fintech-Produkt, das nach sechs Monaten von der BaFin gestoppt wird, und einem, das reibungslos läuft, liegt selten an der Business-Idee — er liegt meistens an der Qualität der technischen Umsetzung und der Compliance-Strategie von Tag eins.

Wenn Sie ein reguliertes Fintech-Produkt planen und einen Entwicklungspartner suchen, der beide Welten versteht, sprechen Sie mit Zulbera. Wir helfen Ihnen, die richtigen Architekturentscheidungen zu Beginn zu treffen — und nicht sechs Monate später teuer zu korrigieren. Weitere Informationen zu unseren Enterprise-Webanwendungen und unserer Entwicklungsmethodik finden Sie auf unserer Website.

Häufig gestellte Fragen

Welche BaFin-Lizenz brauche ich für mein Fintech-Produkt?

Das hängt vom Geschäftsmodell ab. Zahlungsdienste benötigen eine ZAG-Zulassung, Wertpapierdienstleistungen eine WpIG-Lizenz. Viele Startups starten als Agent einer lizenzierten Bank (BaaS-Partner), um Zeit und Kapital zu sparen.

Was kostet die Entwicklung einer PSD2-konformen Fintech-Plattform?

Je nach Komplexität zwischen €80.000 (einfache AISP-Lösung) und €300.000 (vollständige Zahlungsplattform). Hinzu kommen laufende Compliance-Kosten von €15.000–€50.000 pro Jahr.

Wie lange dauert die Entwicklung eines Fintech-MVP?

Bei einem erfahrenen 4-köpfigen Team 20–28 Wochen für das Produkt. Inklusive BaFin-Lizenzierungsprozess 6–12 Monate für den Gesamtprozess.

Was ist der Unterschied zwischen AISP und PISP?

Ein AISP liest Kontodaten mit Nutzereinwilligung, ein PISP löst Zahlungen aus. Beide erfordern eine PSD2-Registrierung bei der BaFin und Implementierung von Strong Customer Authentication (SCA).

Welche DSGVO-Anforderungen gelten besonders für Fintech?

Datenminimierung, explizite Zweckbindung, technisch implementiertes Löschrecht (mit Pseudonymisierung für steuerrechtlich aufbewahrungspflichtige Daten), DSFA für Hochrisiko-Verarbeitungen und Auftragsverarbeitungsverträge mit allen Dienstleistern.