Skip to content
Innopulse Consulting
Navigate
Get in touch
Contact
info@innopulse.io+41 79 508 28 06
Gotthardstrasse 30, 6300 Zug
Privacy & DSGVO

Open Banking und Datenschutz in der Schweiz: bLink, PSD2 und Finanzdaten

Open Banking trifft auf Bankgeheimnis und DSGVO. Der Schweizer Weg mit SIX bLink, die PSD2-Logik in der EU und wie Finanzdaten rechtssicher verarbeitet werden.

Leutrim Miftaraj
Leutrim Miftaraj
Founder & CEO
·5 min read
In this article
  1. What it comes down to
  2. Der rechtliche Rahmen
  3. The concrete requirements
  4. Implementation in practice
  5. Common mistakes
  6. The DACH context
  7. Next steps

Open Banking verspricht, dass Drittanbieter mit Einwilligung auf Bankdaten zugreifen können — in der EU über die PSD2 erzwungen, in der Schweiz über den marktgetriebenen Standard SIX bLink. Für eine Finanz-App entsteht damit eine heikle Datenkategorie: Kontobewegungen sind hochsensibel und erlauben Rückschlüsse auf Gesundheit, Religion und Lebensführung. Wer Finanzdaten verarbeitet, braucht eine saubere Einwilligungslogik und strikte Datenminimierung.

This guide covers Open Banking und Finanzdatenschutz im DACH-Raum across seven sections: context, the engineering reality, the concrete requirements, implementation, common mistakes, the DACH context, and next steps.

We write from practice. Innopulse Consulting advises DACH businesses and operates its own SaaS portfolio under the same conditions we recommend — the patterns here are ones our own products depend on.

What it comes down to

Open Banking verspricht, dass Drittanbieter mit Einwilligung auf Bankdaten zugreifen können — in der EU über die PSD2 erzwungen, in der Schweiz über den marktgetriebenen Standard SIX bLink. Für eine Finanz-App entsteht damit eine heikle Datenkategorie: Kontobewegungen sind hochsensibel und erlauben Rückschlüsse auf Gesundheit, Religion und Lebensführung. Wer Finanzdaten verarbeitet, braucht eine saubere Einwilligungslogik und strikte Datenminimierung. The practical question is what this means for a real team or product. The core fits into a few points:

  • PSD2 erzwingt Open Banking in der EU, bLink ist der Schweizer Weg
  • Kontobewegungen erlauben sensible Rückschlüsse
  • Einwilligung und Zweckbindung sind zentral
  • CSV-Import als datensparsame Alternative zur Direktanbindung

Der rechtliche Rahmen

Die DSGVO gilt seit Mai 2018, in der Schweiz ergänzt das revDSG seit September 2023, und für KI- und Gesundheitsanwendungen kommen weitere Regime hinzu — der EU AI Act, die MDR für Medizinprodukte, sektorspezifisches Recht. Für sensible Datenkategorien wie Gesundheits- oder Finanzdaten gelten besonders strenge Anforderungen. Wir bauen Produkte unter genau diesen Vorgaben — Penday verarbeitet Gesundheitsdaten, BudgetHub Finanzdaten — und die Compliance ist keine nachträgliche Schicht, sondern Architektur-Entscheidung ab der ersten Tabelle.

The concrete requirements

At the centre of Open Banking und Finanzdatenschutz im DACH-Raum sit the following points. Each carries direct consequences for architecture, process, or cost:

  • PSD2 erzwingt Open Banking in der EU, bLink ist der Schweizer Weg
  • Kontobewegungen erlauben sensible Rückschlüsse
  • Einwilligung und Zweckbindung sind zentral
  • CSV-Import als datensparsame Alternative zur Direktanbindung
  • Bankgeheimnis und DSGVO gelten parallel
  • Datenminimierung: nur verarbeiten, was die Funktion braucht

Implementation in practice

Moving from theory to practice follows a clear path. For Open Banking und Finanzdatenschutz im DACH-Raum, a three-phase approach works:

  1. Assessment (1-2 weeks): map the current state, identify stakeholders, name the biggest gaps or risks honestly.
  2. Design (2-4 weeks): define the target state, assign ownership, specify the technical and organisational measures.
  3. Implementation and operation (ongoing): build, measure, adjust. Most initiatives fail not at the start but in the absence of phase three.

Common mistakes

The same mistakes recur in practice:

  • treating Open Banking und Finanzdatenschutz im DACH-Raum as a one-time project rather than an ongoing discipline
  • choosing tools before understanding the process
  • ignoring the DACH context and copying US templates unchanged
  • deferring documentation until it has to be produced under pressure
  • measuring success by activity rather than outcome

The DACH context

Switzerland, Germany, and Austria differ in law and market reality. Switzerland often sits outside the EU regimes but is bound in practice through market access and data flows; Germany implements most strictly; Austria follows EU standards closely. A business operating in all three builds to the strictest common denominator and adapts regional details deliberately rather than by accident.

Next steps

The pragmatic entry into Open Banking und Finanzdatenschutz im DACH-Raum is an honest assessment: where are we, where do we want to be, and what are the three highest-impact next steps? Innopulse Consulting works with DACH businesses on exactly these questions — from analysis through design to implementation. Reach us at info@innopulse.io. The first thirty minutes are free.

About the author
Leutrim Miftaraj
Leutrim Miftaraj
Founder & CEO · Innopulse Consulting

Founder and principal engineer of Innopulse Consulting. MSc Innovation Management (FFHS). Author of "Identity Over Discipline".

Topics
open banking schweizsix blinkpsd2finanzdaten datenschutz
Keep reading

Related insights.

Privacy & DSGVO

Gesundheitsdaten unter der DSGVO: Artikel 9 in der Praxis

Gesundheitsdaten sind die sensibelste Datenkategorie. Artikel 9 DSGVO, die Ausnahmetatbestände, Einwilligung im Gesundheitskontext und technische Schutzmassnahmen.

Leutrim·5 min
SaaS Building

FinTech-Architektur: Geld, Genauigkeit und Vertrauen im Code

Finanz-Software verzeiht keine Rundungsfehler. Dezimalarithmetik, doppelte Buchführung im Datenmodell, Idempotenz bei Zahlungen, Audit-Trails und CHF-Korrektheit.

Leutrim·5 min
Privacy & DSGVO

International Data Transfers nach Schrems II: EU-SCC, TIA, Data Privacy Framework

Datentransfers aus der EU: Schrems II, die neuen EU-SCCs 2021, Transfer Impact Assessments und der Status des EU-US Data Privacy Framework 2024.

Leutrim·5 min
Working on something similar?

Let's talk.

If this article maps to a problem you're actively working on, send us a short description — we'll respond with a practical next step.

Get in touch