MyVault
← Back to Blog

Ist es sicher, Kontoauszüge in KI-Apps hochzuladen? Eine ehrliche Antwort

Was tatsächlich mit Ihren Daten geschieht, wenn Sie einen Kontoauszug in eine KI-Finanzen-App hochladen, worauf Sie in einer Datenschutzerklärung achten sollten, und wie Sie das tatsächliche Risiko gegenüber den Alternativen bewerten.

9 min readTimur Shagiakhmetovprivacy · security · ai

Jede KI-Finanz-App wird schließlich von einem vorsichtigen Benutzer mit der gleichen Frage konfrontiert: Ist das sicher? Es ist das größte Einwand in der Kategorie, und ein berechtigter – Kontoauszüge enthalten genug Informationen, um die Person, der sie gehören, nachzuahmen, zu profilieren oder sie zu manipulieren. Die ehrliche Antwort ist "das hängt davon ab, und hier ist genau, worauf Sie achten sollten."

Wir machen MyVault, eine KI-App, die hochgeladene Kontoauszüge verarbeitet. Dies ist die Antwort, die wir Freunden und Familie geben, die fragen, geschrieben so direkt wie wir können.

Was ist tatsächlich in einem Kontoauszug

Ein typischer Auszug enthält:

  • Ihren Namen und Ihre Postanschrift.
  • Eine Kontonummer, oft teilweise verborgen (letzte vier Ziffern oder letzte sechs).
  • Die Bankleitzahl der Bank, normalerweise vollständig gedruckt.
  • Eine zeilenweise Transaktionshistorie mit Daten, Händlerangaben und Beträgen.
  • Eröffnungs- und Schlusssalden.
  • Möglicherweise Scheckscanbilder, wenn Sie diese scannen und sie Teil des PDFs sind.

Sensibilitätstechnisch ist das moderat sensibel — mehr als Ihre Einkaufshistorie, weniger als ein Passscan. Die maskierte Kontonummer allein kann in der Regel nicht verwendet werden, um auf Ihr Konto zuzugreifen, aber in Kombination mit persönlichen Informationen aus anderen Quellen kann sie sozialen Engineering-Versuchen Vorschub leisten. Behandeln Sie Kontoauszüge mit derselben Sorgfalt, mit der Sie auch eine Steuererklärung behandeln.

Was eine KI-Finanz-App tatsächlich mit der Datei macht

Technisch gesehen umfasst die Verarbeitung eines Kontoauszugs vier Schritte:

  1. Upload — die Datei wandert von Ihrem Browser zum Server der App, idealerweise über HTTPS mit TLS 1.2 oder höher. Das ist dieselbe Verschlüsselung, die Ihre Bank für Online-Banking verwendet.
  2. Parsing — der Server extrahiert Text aus dem PDF. Dieser Schritt nutzt möglicherweise eine lokale PDF-Bibliothek, einen OCR-Dienst eines Drittanbieters oder ein LLM. Die Wahl ist wichtig für die Privatsphäre: Eine lokale Bibliothek hält die Daten auf dem Server der App; ein OCR eines Drittanbieters sendet die Datei an einen anderen Anbieter.
  3. Kategorisierung — die extrahierten Transaktionszeilen werden an ein KI-Modell gesendet, das Kategoriebezeichnungen zurückgibt. Einige Apps führen das Modell auf eigener Infrastruktur aus; die meisten nutzen OpenAI, Anthropic oder Google. Der exakte Datenfluss ist entscheidend: Manche Apps senden nur die Händlerbeschreibung (geringes Risiko); manche senden die vollständige Transaktion einschließlich Beträgen (mittleres Risiko); manche senden die gesamte Auszugsdatei (höheres Risiko).
  4. Speicherung — die geparsten Transaktionen werden in der Datenbank der App gespeichert. Das ursprüngliche PDF wird entweder gelöscht, für einen bestimmten Zeitraum aufbewahrt oder je nach Richtlinie der App dauerhaft gespeichert.

Worauf Sie vor dem Upload achten sollten

1. HTTPS mit gültigem Zertifikat

In der Browser-Adresszeile sollte ein gültiges Zertifikat angezeigt werden. Wenn Sie während des Uploads eine Warnung sehen, stoppen Sie. Das ist das absolute Minimum.

2. Eine klare, gut lesbare Datenschutzrichtlinie

Achten Sie auf explizite Antworten auf diese Fragen:

  • Wo werden meine Daten gespeichert und in welcher Rechtsordnung?
  • Wird mein hochgeladener Kontoauszug aufbewahrt, und wenn ja, wie lange?
  • Werden Transaktionen oder irgendein Dokumenteninhalt an KI-Anbieter von Drittanbietern gesendet?
  • Werden meine Daten jemals dazu verwendet, KI-Modelle zu trainieren?
  • Was passiert mit meinen Daten, wenn ich mein Konto lösche?

Eine vage Antwort auf irgendeine dieser Fragen ist ein Warnsignal. Eine Datenschutzrichtlinie, die sagt „wir dürfen Daten mit Partnern für jeden Zweck teilen“, ist ein klares Nein.

3. Verschlüsselung „at rest“

Die Datenbank der App sollte Ihre Daten „at rest“ verschlüsseln. Die meisten verwalteten Datenbanken (AWS RDS, Google Cloud SQL, entsprechendes) machen das standardmäßig; die Frage ist, ob die Anwendungsschicht es nutzt.

4. Zwei-Faktor-Authentifizierung

Jedes Konto, das Ihre Transaktionshistorie verwaltet, sollte 2FA unterstützen, idealerweise mit einer Authenticator-App statt SMS. Nutzen Sie es.

5. Kontolöschung, die tatsächlich löscht

Eine Löschoption, die Ihre Daten nur versteckt, ohne sie zu entfernen, ist keine Löschung. In der Datenschutzrichtlinie sollte ausdrücklich stehen, dass das Löschen des Kontos die hochgeladenen Dateien und Datenbankzeilen entfernt — nicht nur den Kontodatensatz.

So schneiden KI-Apps im Vergleich zu Alternativen ab

Es liegt nahe, „ist das sicher?“ absolut zu bewerten — aber der richtige Vergleich sind die Alternativen: Denn nichts zu tun ist ebenfalls eine Entscheidung mit Risiko.

Plaid-basierte Aggregatoren

Apps wie Mint (historisch), Monarch, Copilot und YNAB nutzen Plaid oder einen ähnlichen Aggregator, um Ihre Bankdaten zu lesen. Dafür geben Sie Plaid Ihre Bankanmeldung. Plaid speichert diese Zugangsdaten und nutzt sie, um Ihre Konten in regelmäßigen Abständen auszulesen. Aggregatoren haben zwar starke Sicherheitsaufzeichnungen, aber das Bedrohungsmodell unterscheidet sich von apps mit Upload: Ein Plaid-Leak legt Ihre Bankzugangsdaten offen; ein Leak bei einer App mit Kontoauszugs-Upload legt Auszugsdaten ohne die Zugangsdaten offen.

Tabellenkalkulationen und E-Mail

Viele speichern Kontoauszugs-PDFs dauerhaft in ihrem E-Mail-Postfach oder fügen Transaktionsdaten in Google Sheets ein und vergessen sie danach. Das ist nicht sicherer als eine gut geführte KI-App — möglicherweise sogar weniger sicher, da E-Mail- und Consumer-Cloud-Speicher-Leaks häufig vorkommen.

Nichts tun

Die häufigste Alternative zur Nutzung einer Finanz-App ist ein völlig fehlendes System — was seinen eigenen Preis hat: Übersehene betrügerische Abbuchungen, vergessene Abonnements und nicht überwachte Ausgaben. Über ein paar Jahre hinweg übersteigt der finanzielle Nachteil, die Ausgaben nicht zu tracken, oft die schlimmste Worst-Case-Privatsphäre-Kostenersparnis durch die Nutzung eines seriösen Trackers.

Was MyVault konkret macht

Wir schreiben auf, was wir tun, damit Sie es mit anderen Apps vergleichen können, die Sie gerade prüfen:

  • Wir fragen niemals nach Ihren Bankzugangsdaten. In unserem Ablauf gibt es kein Plaid. Die Datei, die Sie hochladen, ist dieselbe Datei, die Sie auch für die Steuererstellung herunterladen würden.
  • Hochgeladene Kontoauszüge werden einmal verarbeitet, um Transaktionen zu extrahieren. Wir behalten die geparsten Transaktionen; die Originaldatei löschen wir nach der Verarbeitung, es sei denn, Sie entscheiden sich dafür, sie zu behalten (einige Nutzer möchten Kontoauszüge als durchsuchbare Archive speichern).
  • Transaktionsbeschreibungen und -beträge werden an ein großes Sprachmodell zur Kategorisierung gesendet. Wir senden niemals Ihren Namen, Ihre Adresse oder Ihre Kontonummer an das Modell. Der Anbieter des Modells speichert die Eingaben nicht zur Trainingszwecken.
  • Das Löschen des Kontos entfernt Ihre hochgeladenen Dateien, geparsten Transaktionen und den Kontodatensatz aus unseren Systemen (vorbehaltlich kurzer gesetzlicher Aufbewahrungsfristen).
  • Wir unterstützen 2FA. Wir empfehlen dringend, es zu aktivieren.

Praktische Ratschläge

Wenn Sie noch unentschlossen sind:

  • Beginnen Sie damit, einen einzelnen aktuellen Kontoauszug hochzuladen — nicht Ihre gesamte Historie. Sehen Sie, wie es funktioniert, bevor Sie sich festlegen.
  • Verwenden Sie ein eindeutiges, starkes Passwort und aktivieren Sie 2FA, sobald Sie das Konto erstellen.
  • Lesen Sie die Datenschutzrichtlinie tatsächlich. Sie sind normalerweise kurz.
  • Wenn sich irgendetwas falsch anfühlt — unklare Richtlinie, keine Kontolöschung, unseriöses Hosting — wählen Sie eine andere App.

Wenn es mit Bedacht gemacht wird, ist das Hochladen von Kontoauszügen in eine seriöse KI-Finanz-App ein beherrschbares Risiko, das echte Klarheit über Ihre Ausgaben schafft. Die falsche Frage ist „ist es zu 100% sicher?“ (nichts ist). Die richtige Frage ist „ist das Risiko kleiner als der Wert — und kleiner als die Alternativen?“

Lesen Sie die Datenschutzrichtlinie von MyVault, bevor Sie irgendetwas hochladen. Wenn etwas unklar ist, fragen Sie uns direkt — wir antworten. MyVault’s privacy policy. Lesen Sie die Datenschutzrichtlinie von MyVault, bevor Sie irgendetwas hochladen. Wenn etwas unklar ist, fragen Sie uns direkt — wir antworten. ask us directly — we answer.