Datenschutz in der KFZ-Versicherung hat durch digitale Technologien wie Telematik-Tarife an Bedeutung gewonnen. Diese Tarife sammeln Fahrdaten wie Geschwindigkeit und Bremsverhalten, um Prämien individuell anzupassen – sicheres Fahren kann bis zu 30 % Rabatt bringen. Doch der Umgang mit sensiblen Daten birgt Herausforderungen, insbesondere bei der Einhaltung der DSGVO.
Wichtige Punkte:
- DSGVO-Grundsätze wie Datensparsamkeit und Zweckbindung sind zentral. Telematik-Daten dürfen nur für konkrete Zwecke genutzt werden.
- Internationale Datenübertragungen (z. B. in die USA) erfordern Standardvertragsklauseln oder Angemessenheitsbeschlüsse.
- EU Data Act (seit 2025): Fahrzeughalter können die Weitergabe von Fahrzeugdaten anfordern – ein neuer Schritt in Richtung Datenkontrolle.
- Technische Maßnahmen wie Verschlüsselung und Pseudonymisierung schützen Daten bei der Übertragung.
Fazit: Versicherer müssen klare Prozesse, transparente Kommunikation und sichere IT-Systeme etablieren, um Datenschutzvorgaben einzuhalten und das Vertrauen der Kunden zu stärken.
Wichtige internationale Datenschutzrahmen
Internationale Datenschutzrahmen für KFZ-Versicherungen im Überblick
Die Datenschutz-Grundverordnung (DSGVO)
Die DSGVO ist das zentrale Regelwerk für den Datenschutz in der KFZ-Versicherung innerhalb der EU. Sie regelt, wie personenbezogene Daten verarbeitet werden dürfen, und schützt die Rechte der Versicherungsnehmer.
KFZ-Versicherer nutzen bei der Datenverarbeitung drei rechtliche Grundlagen: Vertragserfüllung, Einwilligung und berechtigtes Interesse. Jede Grundlage muss dabei zum jeweiligen Zweck passen und dokumentiert werden.
Die folgende Tabelle zeigt, wie die Kernprinzipien der DSGVO in der KFZ-Versicherung angewendet werden:
| Grundsatz | Anwendung in der KFZ-Versicherung |
|---|---|
| Datensparsamkeit | Begrenzung der Telematik-Daten auf wesentliche Fahrmetriken, keine Erstellung vollständiger Bewegungsprofile |
| Zweckbindung | Nutzung von Gesundheitsdaten ausschließlich zur Personenschadensregulierung, nicht für allgemeines Marketing |
| Transparenz | Bereitstellung klarer Datenschutzhinweise, insbesondere bei Online-Angeboten |
| Rechenschaftspflicht | Dokumentation technischer und organisatorischer Maßnahmen (TOMs) und Ernennung eines Datenschutzbeauftragten |
Diese Prinzipien bilden die Grundlage für nationale und internationale Datenschutzregelungen.
Wie Deutschland die DSGVO national umsetzt
In Deutschland ergänzen das Bundesdatenschutzgesetz (BDSG) und das Versicherungsvertragsgesetz (VVG) die DSGVO. Das VVG fordert, dass Tarifgestaltungen transparent und nachvollziehbar sind – ein besonders wichtiger Punkt bei Telematik-Tarifen, die das Fahrverhalten direkt in die Prämienberechnung einfließen lassen.
Ein Beispiel hierfür: Die Allianz löscht persönliche Telematik-Daten exakt 3 Jahre nach Vertragsende, um den DSGVO-Grundsatz der Speicherbegrenzung einzuhalten. Außerdem müssen Versicherer in Deutschland – wie in der gesamten EU – auf Anfrage innerhalb von 15 Tagen einen Schadenverlauf der letzten fünf Jahre vorlegen.
„Versicherer dürfen die Daten nur zweckgebunden für den Telematik-Tarif nutzen und nicht an Dritte wie die Polizei weitergeben." – Dr. Christian Gerd Kotz, Rechtsanwalt und Fachanwalt für Versicherungsrecht
Datenschutzgesetze außerhalb der EU
Für grenzüberschreitend tätige KFZ-Versicherer ist es wichtig, die unterschiedlichen Datenschutzgesetze zu berücksichtigen. Das UK GDPR ähnelt inhaltlich der EU-DSGVO, ist jedoch seit dem Brexit eigenständig. Die Schweiz hat ihr Datenschutzgesetz mit dem revidierten revDSG (seit September 2023 in Kraft) modernisiert und stärker an europäische Standards angepasst.
In den USA gibt es kein einheitliches Datenschutzgesetz auf Bundesebene. Stattdessen gelten Gesetze auf Staatsebene, wie der California Consumer Privacy Act (CCPA). Für den Datenaustausch zwischen der EU und den USA ist seit Juli 2023 das EU-US Data Privacy Framework (DPF) maßgeblich. Im September 2025 bestätigte das Europäische Gericht (EuG) dessen Gültigkeit, nachdem eine Klage des französischen Abgeordneten Philippe Latombe abgewiesen wurde. Europäische Versicherer können Daten an DPF-zertifizierte US-Unternehmen wie Microsoft oder Google übermitteln. Fehlt diese Zertifizierung, sind Standardvertragsklauseln und ein Transfer Impact Assessment erforderlich.
sbb-itb-d35113a
Datenverarbeitung in der KFZ-Versicherung: Wichtige Anwendungsfälle
Tarifierung und Risikoprüfung
Bei der Tarifgestaltung greifen KFZ-Versicherer heute auf weit mehr Daten zurück als nur Fahrzeugtyp und Schadenhistorie. Telematik-Tarife sind ein gutes Beispiel: Sie sammeln Informationen wie Geschwindigkeit, Bremsverhalten und Beschleunigung. Diese Daten fließen direkt in die Prämienberechnung ein und ermöglichen „Pay-how-you-drive“-Modelle. Das Prinzip ist einfach: Wer vorsichtig fährt, zahlt weniger.
Ein weiterer Meilenstein ist der EU Data Act und die KFZ-Schadenbewertung, der seit dem 12. September 2025 in Kraft ist. Fahrzeughalter können nun verlangen, dass Hersteller Fahrzeugdaten direkt an Dritte weiterleiten. Doch es gibt noch Herausforderungen, insbesondere bei der Festlegung einheitlicher Standards und Preismodelle für den Datenzugang.
„The EU Data Act changes the rules of the game in motor insurance: vehicle data is becoming a competitive factor." – Meyerthole Siems Kohlruss (MSK)
Die Verarbeitung dieser Daten muss dabei stets den rechtlichen Vorgaben entsprechen. DSGVO Art. 6 und das VVG fordern eine sichere Ende-zu-Ende-Übertragung der Daten – vom Fahrzeug bis zum Server.
Auch im Schadensfall spielt der Datenschutz eine zentrale Rolle.
Schadenregulierung und Fahrzeugbegutachtung
Im Falle eines Unfalls werden zahlreiche Daten verarbeitet, darunter Unfalldetails, Gesundheitsinformationen und technische Fahrzeugdaten. Der Europäische Unfallbericht bietet hier eine standardisierte und DSGVO-konforme Möglichkeit, alle relevanten Informationen direkt am Unfallort zu erfassen.
Externe Dienstleister wie die CUBEE Sachverständigen AG übernehmen oft die Schadensbewertung. Dabei gilt der Grundsatz der Zweckbindung: Die gesammelten Daten dürfen ausschließlich zur Bewertung des Schadens verwendet werden. CUBEE beispielsweise nutzt ein Netzwerk an Standorten in Deutschland und Europa, um Gutachten digitalisiert und effizient zu erstellen. Wichtig ist, dass personenbezogene Daten nur so lange gespeichert werden, wie es für die Bearbeitung des Schadensfalls notwendig ist. Werden die Daten an internationale Cloud-Dienste übertragen, sind entweder eine DPF-Zertifizierung oder Standardvertragsklauseln (SCCs) zwingend erforderlich.
Neben der Schadenbewertung spielt auch die Betrugserkennung eine entscheidende Rolle.
Betrugserkennung und -prävention
Versicherer setzen immer häufiger automatisierte Systeme ein, um Betrugsfälle aufzudecken. Diese Systeme nutzen Daten aus der Tarifierung und Schadenregulierung, um verdächtige Muster zu identifizieren. Doch der Einsatz solcher Technologien birgt Risiken, insbesondere wenn dadurch unzulässige Bewegungsprofile erstellt werden. Hier sind hohe technische Sicherheitsstandards und strenge rechtliche Vorgaben erforderlich. Die Nutzung solcher Systeme muss verhältnismäßig sein, und es müssen klare Regeln für die Speicherdauer der Daten gelten.
Grenzüberschreitender Datenaustausch und Übertragungsmechanismen
Der grenzüberschreitende Datenaustausch stellt für Unternehmen, insbesondere in der Versicherungsbranche, eine große Herausforderung dar. Sobald personenbezogene Daten die EU verlassen, muss das hohe Schutzniveau der DSGVO gewährleistet bleiben. Nach Art. 44 ff. DSGVO dürfen diese Standards auch im Ausland nicht unterschritten werden. Versicherer, die mit internationalen Cloud-Diensten, Rückversicherern oder globalen Netzwerken zusammenarbeiten, stehen hier vor einer komplexen Aufgabe.
Rechtliche Instrumente für internationale Datenübermittlungen
Ein zentrales Werkzeug für den Datentransfer in sogenannte Drittländer sind die Standardvertragsklauseln (SCCs). Seit dem 27. Dezember 2022 sind ausschließlich die überarbeiteten SCCs aus dem Jahr 2021 gültig. Diese modular aufgebauten Klauseln decken verschiedene Szenarien ab, wie etwa die Weitergabe an einen Mitversicherer im Ausland (Controller-to-Controller) oder die Nutzung eines US-amerikanischen Cloud-Dienstes (Controller-to-Processor).
„Standardvertragsklauseln (SCCs) bieten einen rechtlichen Rahmen für die Datenübermittlung in Drittländer." – Niklas Hanitsch, Compliance-Experte, SECJUR
Für Länder wie das Vereinigte Königreich, die Schweiz oder Japan existieren Angemessenheitsbeschlüsse der EU-Kommission. Diese ermöglichen Transfers ohne zusätzliche Verträge. In allen anderen Fällen sind SCCs erforderlich. Diese rechtlichen Vorgaben müssen jedoch durch technische und organisatorische Maßnahmen ergänzt werden, um den Schutz der Daten zu gewährleisten.
Governance und Kontrollen für sicheren Datenaustausch
Alle Datenflüsse müssen streng überwacht werden, da rechtliche Maßnahmen allein nicht ausreichen. Technische Schutzmaßnahmen spielen eine entscheidende Rolle, insbesondere starke Verschlüsselung mit Schlüsselhaltung in der EU und die Pseudonymisierung von Daten, bevor diese den Europäischen Wirtschaftsraum verlassen. Zudem müssen Verträge sicherstellen, dass Datenimporteure keine unzulässigen Zugriffe ermöglichen.
Ein wichtiges Werkzeug für die Steuerung ist das Verzeichnis von Verarbeitungstätigkeiten (VVT) nach Art. 30 DSGVO. Dieses Verzeichnis dokumentiert sämtliche Datenflüsse, einschließlich grenzüberschreitender Übermittlungen, und bildet die Grundlage für den „Know your transfers"-Ansatz. Ein unvollständiges oder fehlendes Verzeichnis kann zu Bußgeldern von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes führen.
Überwachung und Reporting für grenzüberschreitende Compliance
Kontinuierliche Überwachung ist essenziell, da sich die rechtliche Lage in Drittländern schnell ändern kann. Unternehmen müssen die Situation regelmäßig bewerten und bei einem unzureichenden Schutzniveau die Übermittlung sofort stoppen.
„Wenn das Unternehmen zu dem Schluss kommt, dass das angemessene Schutzniveau nicht mehr gewährleistet ist, muss es die Übermittlung sofort aussetzen oder beenden." – Niklas Hanitsch, Compliance-Experte, SECJUR
Versicherungsnehmer müssen gemäß Art. 13 ff. DSGVO über Datenübermittlungen informiert werden. Mit dem EU Data Act, der ab dem 12. September 2025 gilt, wird diese Pflicht erweitert. Fahrzeughalter können dann den direkten Datentransfer anfordern. Unternehmen benötigen hierfür klare Prozesse und Zuständigkeiten, die idealerweise durch einen Datenschutzbeauftragten (DSB) organisiert werden.
Best Practices für den Datenschutz in der KFZ-Versicherung
Datenschutz in digitale Workflows integrieren
Datenschutz sollte von Anfang an ein fester Bestandteil aller Prozesse sein. Bei Telematik-Produkten und mobilen Apps bedeutet das: Es dürfen nur die Daten erhoben werden, die für die Berechnung der Prämie notwendig sind. Detaillierte Bewegungsprofile sind problematisch, da sie gegen das DSGVO-Prinzip der Datensparsamkeit verstoßen können. Auch bei digitalisierten Begutachtungsprozessen, wie sie beispielsweise bei der CUBEE Sachverständigen AG zum Einsatz kommen, gilt: Fahrzeugdaten müssen pseudonymisiert werden und dürfen nur für einen begrenzten Zeitraum gespeichert werden. Automatisierte Löschfristen und deren Dokumentation sind hier unerlässlich.
Transparenz und Betroffenenrechte
Nachdem Datenschutz in digitale Workflows integriert wurde, ist es wichtig, Transparenz zu gewährleisten und die Rechte der Betroffenen zu schützen. Versicherungsnehmer haben Anspruch darauf, zu erfahren, welche Daten gesammelt werden und wie diese die Prämiengestaltung beeinflussen. Versicherungsbedingungen sollten klar und verständlich darlegen, welche Daten – wie GPS-Koordinaten oder Beschleunigungswerte – erfasst werden und welche Auswirkungen dies auf den Tarif hat. Diese Transparenz ist ein wesentlicher Bestandteil der DSGVO.
Mit dem EU Data Act, der ab dem 12. September 2025 gilt, erhalten Fahrzeughalter das Recht, ihre Fahrzeugdaten an Dritte weiterzugeben. Versicherer müssen dafür einfache und klare Prozesse schaffen, damit Kunden ihre Rechte problemlos wahrnehmen können. Ein benannter Datenschutzbeauftragter (DSB) ist dabei verpflichtend.
„Der EU Data Act markiert einen Wendepunkt: Erstmals haben Fahrzeughalter einen einklagbaren Anspruch darauf, die von ihren vernetzten Autos erzeugten Daten an Dritte, wie ihren Versicherer, weiterzugeben." – Meyerthole Siems Kohlruss (MSK)
Rechenschaftspflicht und Dokumentation
Neben einer transparenten Datenverarbeitung müssen alle Maßnahmen umfassend dokumentiert werden. Datenverarbeiter sind verpflichtet, ihre Prozesse vollständig zu dokumentieren. Das Verzeichnis von Verarbeitungstätigkeiten (VVT) gemäß Art. 30 DSGVO ist hierbei ein zentrales Werkzeug. Es hält fest, welche Daten verarbeitet werden, auf welcher Rechtsgrundlage und zu welchem Zweck. Zusätzlich sind Datenschutz-Folgenabschätzungen (DSFA) erforderlich, wenn neue Technologien oder Datenquellen genutzt werden. Dies ist besonders relevant für Telematik-Tarife und Schadensbewertungen.
„Die Verarbeitung dieser für die Versicherungsbranche größtenteils neuartigen Datentypen ist herausfordernd, und KFZ-Versicherer sollten darüber nachdenken, wie sie diese neuen Datenschätze effizient nutzen können." – Dennis Heinig, Lead Consultant und Kfz-Versicherungsexperte, Meyerthole Siems Kohlruss (MSK)
Auch die technische Absicherung der Datenübertragung – von der Telematik-Box oder App bis zum Server – muss dokumentiert werden. Eine Ende-zu-Ende-Verschlüsselung ist dabei unverzichtbar, um unbefugten Zugriff zu verhindern.
Fazit
Internationale Datenschutzstandards spielen eine entscheidende Rolle für eine rechtssichere und grenzüberschreitende KFZ-Versicherungsbranche. Die konsequente Anwendung von Regelwerken wie der DSGVO, dem EU Data Act und den beschriebenen Compliance- und Überwachungsmechanismen schafft nicht nur rechtliche Sicherheit, sondern stärkt auch das Vertrauen der Versicherungsnehmer.
Der EU Data Act, der seit dem 12. September 2025 in Kraft ist, verändert dabei die Nutzung von Fahrzeugdaten grundlegend: Fahrzeughalter haben nun die Kontrolle darüber, wer Zugriff auf ihre Daten erhält. Für Versicherer bedeutet das, dass Investitionen in transparente Prozesse und flexible IT-Systeme unverzichtbar sind. Unternehmen, die frühzeitig handeln, sichern sich nicht nur einen Wettbewerbsvorteil, sondern stärken auch das Vertrauen ihrer Kunden.
"Motor insurers who want to be successful in the future must courageously invest in a flexible IT that can process all available data." – Larissa Klick, Motor Branch Manager at Deutsche Rück
Doch Technologie allein reicht nicht aus. Die Akzeptanz der Kunden bleibt ein entscheidender Faktor. Studien zeigen, dass in einigen Ländern nur 6 % der Verbraucher darauf vertrauen, dass Versicherer verantwortungsvoll mit Mobilitätsdaten umgehen. Transparenz und klare Kommunikation sind daher essenziell, um dieses Vertrauen zu gewinnen.
Effizienz und Compliance gehen Hand in Hand. Standardisierte Datenprozesse beschleunigen die Schadensabwicklung, ermöglichen gerechte Telematik-Tarife und reduzieren den administrativen Aufwand bei internationalen Schadensfällen. Zusammen bilden die DSGVO, der EU Data Act, IT-Investitionen und das Vertrauen der Kunden ein starkes Fundament für die Zukunft der KFZ-Versicherungsbranche.
FAQs
Welche Telematik-Daten dürfen Versicherer erheben?
Versicherer dürfen ausschließlich solche Daten sammeln, die direkt für die Risikobewertung und Prämiengestaltung relevant sind. Dazu gehören beispielsweise:
- Fahrverhalten: Daten wie Geschwindigkeit, Bremsverhalten oder die Dauer und Zeit der Fahrten.
- Standortdaten: Informationen über die Position des Fahrzeugs.
Sensible Daten, wie etwa Gesundheitsinformationen oder private Details ohne direkten Bezug zum Fahrverhalten, sind von der Datenerhebung ausgeschlossen.
DSGVO-Konformität ist Pflicht
Die Erhebung und Verarbeitung der Daten muss den Vorgaben der Datenschutz-Grundverordnung (DSGVO) entsprechen. Das bedeutet:
- Betroffene müssen transparent informiert werden.
- Die Daten müssen sicher gespeichert werden.
- Eine Nutzung der Daten darf ausschließlich zweckgebunden erfolgen.
Datenschutz und Sicherheit stehen hier also klar im Vordergrund.
Wie kann ich prüfen, ob meine Daten in die USA übermittelt werden?
Um festzustellen, ob Ihre Daten in die USA übertragen werden, sollten Sie sich mit den geltenden rechtlichen Rahmenbedingungen vertraut machen. Ein zentraler Punkt ist der EU-Angemessenheitsbeschluss, auch bekannt als Data Privacy Framework. Dieser Beschluss bewertet, ob Unternehmen in den USA ein ausreichendes Datenschutzniveau bieten.
Ein wichtiger Schritt ist, nach Zertifizierungen und offiziellen Vorgaben zu suchen, die den Schutz Ihrer Daten sicherstellen. Unternehmen, die sich an diese Standards halten, können ein höheres Maß an Datenschutz gewährleisten.
Welche konkreten Änderungen bringt der EU Data Act für Fahrzeughalter?
Seit September 2025 gibt der EU Data Act Fahrzeughaltern in Deutschland deutlich mehr Kontrolle über die Daten, die von ihren vernetzten Fahrzeugen generiert werden.
Das bedeutet, dass Fahrzeugbesitzer nun die Möglichkeit haben, diese Daten einfacher einzusehen und – falls gewünscht – an Dritte weiterzugeben. Das könnte beispielsweise Versicherungsunternehmen oder Werkstätten betreffen. Besonders praktisch wird das bei Situationen wie Schadensbewertungen oder der Erstellung von Gutachten.
Hersteller sind dabei gesetzlich verpflichtet, den Zugang zu diesen Daten zu ermöglichen. Das schafft mehr Transparenz und vereinfacht Prozesse, die bisher oft durch eingeschränkten Datenzugang kompliziert waren.
Verwandte Blogbeiträge
- Checkliste: Rechtliche Anforderungen für Telematik-Versicherungen
- IoT-Daten in der Kfz-Versicherung: Ultimativer Leitfaden
- IoT-Daten in der Kfz-Versicherung: Compliance-Checkliste
- Regulierungen für IoT-Daten in KFZ-Versicherungen: Überblick 2026