IoT-Daten in der Kfz-Versicherung: Compliance-Checkliste

IoT-Daten revolutionieren die Kfz-Versicherung, bringen aber strenge Datenschutzanforderungen mit sich. Versicherer nutzen Daten aus vernetzten Fahrzeugen, um Risiken besser einzuschätzen, Tarife anzupassen und Schadensfälle effizienter zu bearbeiten. Doch die Verarbeitung dieser Daten erfordert die Einhaltung der DSGVO, des Bundesdatenschutzgesetzes (BDSG) und des EU Data Act.

Wichtige Punkte auf einen Blick:

• DSGVO und BDSG: Verarbeitung nur mit rechtlicher Grundlage, z. B. Einwilligung der Fahrzeughalter.
• EU Data Act (seit 12.09.2025): Fahrzeughalter entscheiden, wie Daten geteilt werden. Ab 2026 müssen neue Fahrzeuge „Access by Design“ unterstützen.
• Sicherheitsmaßnahmen: Verschlüsselung, Zugriffskontrollen und getrennte Datenverarbeitung sind Pflicht.
• Löschpflicht: Daten müssen gelöscht werden, sobald sie nicht mehr benötigt werden.
• Compliance-Checkliste: Nutzeraufklärung, Einwilligung, Datensicherheit und regelmäßige Audits sind zentrale Maßnahmen.

IoT-Daten bieten Chancen für präzisere Unfallrekonstruktionen und individuelle Tarife, doch ohne klare Compliance-Strategie drohen hohe Bußgelder und Vertrauensverlust. Versicherer müssen Datenschutz ernst nehmen, um rechtliche und finanzielle Risiken zu minimieren.

Wichtige Vorschriften für IoT-Daten in Deutschland

DSGVO-Anforderungen für IoT-Daten

Die Verarbeitung von IoT-Daten, wie sie etwa in vernetzten Fahrzeugen anfallen, unterliegt in Deutschland den strengen Vorgaben der DSGVO. Gemäß Artikel 6 der DSGVO darf die Verarbeitung personenbezogener Daten nur erfolgen, wenn eine rechtliche Grundlage vorliegt. Das bedeutet: Entweder muss der Fahrzeughalter ausdrücklich zustimmen, oder die Verarbeitung ist notwendig, um einen Vertrag zu erfüllen. Der EU Data Act erweitert zwar den Zugang zu Daten, ersetzt jedoch nicht die rechtlichen Anforderungen aus Artikel 6.

Das Bundesdatenschutzgesetz (BDSG) konkretisiert diese Vorgaben weiter. In § 64 BDSG werden technische und organisatorische Maßnahmen (TOMs) wie Pseudonymisierung, Verschlüsselung und die getrennte Verarbeitung von Daten für unterschiedliche Zwecke verlangt. Ziel ist es, eine nicht autorisierte Mehrfachnutzung der Daten zu verhindern. Versicherungsunternehmen müssen zudem umfassend informieren: Vor Vertragsabschluss muss klar sein, welche Daten gesammelt werden, in welchem Umfang und Format dies geschieht und wie Nutzer ihre Rechte auf Datenzugriff wahrnehmen können. Bei Fahrzeugen mit mehreren Nutzern, wie etwa Firmenwagen oder Carsharing-Fahrzeugen, sind zusätzliche Maßnahmen zur Zugriffsbeschränkung erforderlich.

Im nächsten Abschnitt werden die spezifischen Regelungen für Telematik-Daten genauer beleuchtet.

Telematik-Vorschriften in Deutschland

Mit dem EU Data Act gelten ab dem 12. September 2025 neue Regeln für den Zugang zu IoT-Daten. Fahrzeughalter erhalten das Recht, ihre Fahrzeugdaten in einem strukturierten, maschinenlesbaren Format abzurufen und mit Dritten zu teilen . Ein Jahr später, ab dem 12. September 2026, tritt die sogenannte „Access by Design“-Verpflichtung in Kraft. Das bedeutet, dass vernetzte Produkte, die ab diesem Datum auf den Markt kommen, so gestaltet sein müssen, dass ihre Daten direkt abrufbar sind – sofern dies technisch möglich ist. Kleinst- und Kleinunternehmen mit weniger als 50 Mitarbeitern und einem Jahresumsatz von unter 10 Mio. € sind von dieser Pflicht ausgenommen.

Der Zugriff auf Daten, die bereits in einem Telematik-Gerät gespeichert sind, wird durch die ePrivacy-Richtlinie und das TDDDG geregelt. Ergänzend dazu geben die EDPB-Leitlinien 01/2020 Hinweise zur Verarbeitung personenbezogener Daten in vernetzten Fahrzeugen. In Deutschland ist die Bundesnetzagentur die zentrale Stelle für die Umsetzung und Überwachung des Data Act.

Anforderungen zur Datenspeicherung und -löschung

Der Data Act schreibt vor, dass IoT-Daten gelöscht werden müssen, sobald sie nicht mehr benötigt werden. Diese Löschpflicht ist zweckgebunden, was bedeutet, dass in Verträgen zwischen Nutzern und Dritten genau festgelegt werden muss, wie die Daten verwendet werden und wann sie gelöscht werden sollen.

„Dritte müssen die Daten löschen, sobald sie für den vereinbarten Zweck nicht mehr benötigt werden." – Bundesnetzagentur

Zusätzlich verlangt § 64 BDSG geeignete Maßnahmen, um unbefugte Löschung oder Veränderung personenbezogener Daten zu verhindern. Versicherer müssen sicherstellen, dass die Daten während der Aufbewahrungsfrist vor Verlust oder Zerstörung geschützt sind. Außerdem ist eine Eingabekontrolle erforderlich, um nachvollziehen zu können, wer wann welche Daten verarbeitet hat.

Vor Vertragsabschluss sollten sensible Daten und Geschäftsgeheimnisse klar gekennzeichnet werden. Dateninhaber können die Weitergabe verweigern, wenn der Empfänger keine ausreichenden technischen und organisatorischen Maßnahmen zum Schutz dieser Informationen nachweisen kann.

Diese Regelungen bilden die Grundlage für die nachfolgende Compliance-Checkliste.

Compliance-Checkliste für IoT-Daten in der Kfz-Versicherung

Hier sind konkrete Schritte, um sicherzustellen, dass alle relevanten Datenschutzanforderungen eingehalten werden.

Nutzereinwilligung korrekt einholen

Die Einwilligung der Nutzer muss freiwillig und klar sein. Versicherer sollten detaillierte Optionen anbieten, damit Fahrzeughalter individuell entscheiden können, ob ihre Daten beispielsweise für Unfallanalysen oder Tarifberechnungen verwendet werden dürfen. Es ist wichtig, die Nutzer umfassend darüber zu informieren, welche Daten (z. B. GPS-Position, Geschwindigkeit, Bremsverhalten) gesammelt werden, wie lange diese gespeichert bleiben und wer Zugriff darauf erhält.

„Personenbezogene Daten dürfen nur für festgelegte, eindeutige und rechtmäßige Zwecke verarbeitet werden. Es dürfen nur so viele Daten verarbeitet werden, wie für den jeweiligen Zweck unbedingt erforderlich sind“.

Die Einwilligung sollte dokumentiert, widerrufbar und in einer klaren Handlung wie einem Double-Opt-In-Verfahren erfolgen. Ebenso einfach muss der Widerruf der Zustimmung gestaltet sein.

Genauigkeit und Integrität der Daten sicherstellen

IoT-Daten sollten möglichst automatisiert erfasst werden, um menschliche Fehler zu minimieren. Eine gründliche Bereinigung und Kontextualisierung der Daten ist notwendig, um präzise Analysen durchführen zu können.

Ein mehrstufiger Validierungsprozess ist entscheidend, um die Integrität der Daten zu gewährleisten. Bei Unfallanalysen können Event Data Recorder (EDR) eingesetzt werden, die wichtige Informationen wie Aufprallgeschwindigkeit und G-Kräfte aufzeichnen. Versicherer sollten sicherstellen, dass sie Zugang zu den Rohdaten behalten, um nicht ausschließlich auf externe Scoring-Dienstleister angewiesen zu sein.

Sichere Speicherung von Daten gewährleisten

Nach § 64 BDSG müssen technische und organisatorische Maßnahmen (TOMs) implementiert werden. Moderne Verschlüsselungstechnologien und Zugangskontrollsysteme helfen, Vertraulichkeit, Integrität und Verfügbarkeit der Daten zu schützen.

Es ist ratsam, mehrschichtige Sicherheitsmaßnahmen einzuführen, die Hardware, Speichersysteme und Benutzerzugänge absichern. Daten sollten sowohl im Ruhezustand als auch während der Übertragung verschlüsselt werden. Zudem sollten Speichersysteme so konfiguriert sein, dass Daten für unterschiedliche Zwecke getrennt verarbeitet werden können. Um eine lückenlose Nachvollziehbarkeit zu gewährleisten, sind detaillierte Protokolle erforderlich.

Regelmäßige Audits und Überwachung der Compliance

Ältere IT-Systeme können Schwierigkeiten haben, große Mengen an Echtzeit-IoT-Daten effizient zu verarbeiten. Regelmäßige Systemaudits und Echtzeit-Analysen helfen, Abweichungen und Unregelmäßigkeiten frühzeitig zu erkennen.

Daten sollten nach Ablauf der gesetzlich vorgeschriebenen Aufbewahrungsfristen automatisch gelöscht werden. In Deutschland werden Fahrzeugdaten beispielsweise in der Regel sieben Jahre nach der Außerbetriebsetzung entfernt.

Eine offene Kommunikation mit Versicherungsnehmern über die Verarbeitung und Prüfung ihrer Daten ist essenziell, um Vertrauen aufzubauen. Alle Compliance-Maßnahmen sollten detailliert dokumentiert werden, um bei Prüfungen durch Datenschutz- oder Aufsichtsbehörden die Einhaltung der gesetzlichen Vorgaben nachweisen zu können.

Einsatzmöglichkeiten von IoT-Daten in der Kfz-Versicherung

IoT-Daten bieten in der Kfz-Versicherung weit mehr als nur die Einhaltung gesetzlicher Vorschriften. Sie ermöglichen präzisere Risikoanalysen, unterstützen bei der Unfallrekonstruktion und eröffnen neue Möglichkeiten zur individuellen Tarifgestaltung.

Unfallrekonstruktion und Schadensbewertung

Sensoren in Fahrzeugen liefern detaillierte Informationen wie Geschwindigkeit, Beschleunigung, Position und Umgebungsbedingungen. Diese Daten helfen dabei, Unfälle genau zu rekonstruieren. Zusätzlich können Versicherer über das diagnostische Protokoll (UDS) auf interne Fahrzeugdaten zugreifen, um Schäden an Komponenten zu identifizieren, die bei einer rein visuellen Inspektion übersehen werden könnten.

Ab dem 12. September 2025 erlaubt der EU Data Act Versicherern, Produkt- und Servicedaten in einem maschinenlesbaren Format von Herstellern anzufordern. Darüber hinaus liefern Cooperative Intelligent Transport Systems (C-ITS) Informationen darüber, wie ein Fahrzeug mit anderen Verkehrsteilnehmern und der Infrastruktur interagiert hat – ein umfassender Einblick in die Verkehrssituation zum Zeitpunkt eines Unfalls.

Individuelle Tarifgestaltung durch Telematik

Die Analyse von Fahrverhalten durch Telematikdaten ermöglicht es Versicherern, Tarife individuell anzupassen. Bis 2025 wird erwartet, dass 72 % der Fahrzeuge in der EU vernetzt sein werden. Diese Entwicklung fördert den Übergang von statischen Risikofaktoren hin zu verhaltensbasierten Prämien. Usage-Based Insurance (UBI) berechnet Tarife auf Basis des tatsächlichen Fahrverhaltens, was Versicherer von reinen „Risikoversicherern“ zu „Risikomanagern“ macht.

Der Markt für IoT-Lösungen in der Versicherungsbranche wächst rasant. Zwischen 2019 und 2024 wird ein Wachstum von 60 % erwartet. Ein führender Versicherer sammelte über sein Telematik-Programm Daten von über 4 Millionen Teilnehmern, die mehr als 35 Milliarden Meilen zurücklegten. Dieses Programm führte zu einer 20-Punkte-Verbesserung der Schadenquote im Vergleich zum Marktdurchschnitt.

Beschleunigte Schadenbearbeitung

Dank IoT-Daten können Kollisionen automatisch erkannt und Schadensmeldungen in Echtzeit an Versicherer übermittelt werden. Ein führendes InsurTech-Unternehmen nutzt KI und IoT-Daten, um einfache Schadensfälle in nur 3 Sekunden zu bearbeiten. Im Jahr 2024 wurden etwa 30 % der Schadensfälle vollautomatisch ohne menschliches Eingreifen abgewickelt.

„Schadensfälle, die früher Wochen dauerten – wie Autounfälle oder Gebäudeschäden – können jetzt mithilfe von IoT-Daten vernetzter Geräte sofort bearbeitet werden, wodurch Betrug reduziert und Auszahlungen beschleunigt werden."

Durch die Kombination von Telematikdaten mit visueller KI, die Fahrzeugschäden anhand von Fotos analysiert, entsteht eine nahtlose Ereigniskette zur Bewertung des Schadensumfangs. Technologien wie Multi-IMSI-eSIMs und 5G sorgen dafür, dass auch bei kritischen Ereignissen keine Daten verloren gehen.

Diese Beispiele verdeutlichen, wie IoT-Technologien die Schadenbearbeitung beschleunigen und die Effizienz in der Versicherungsbranche steigern können.

CUBEE Sachverständigen AG: Digitale Fahrzeugbegutachtung

Die CUBEE Sachverständigen AG hebt die Fahrzeugbegutachtung auf ein neues Level, indem sie digitale Prozesse mit fachlicher Expertise kombiniert. Mit einem Netzwerk von über 500 Experten bietet CUBEE schnelle und präzise Kfz-Gutachten – komplett digital und ohne die typischen Wartezeiten traditioneller Gutachterbüros. Kunden können Fahrzeugschäden direkt über die Plattform melden, was den gesamten Prozess erheblich beschleunigt.

Dank intelligenter Algorithmen werden die gemeldeten Daten automatisch geprüft und der passende Sachverständige in der jeweiligen Region zugewiesen. Die Experten nutzen eine speziell entwickelte App und Software, die den Ablauf von der Schadensdokumentation bis zum fertigen Gutachten standardisiert. Administrative Aufgaben wie Terminplanung und Abwicklung übernimmt die zentrale Verwaltung, sodass sich die Gutachter voll und ganz auf ihre technische Arbeit konzentrieren können.

„CUBEE ist ein dezentrales Netzwerk, das Mobilität und Flexibilität in den Mittelpunkt stellt. Wir bringen Aufträge direkt zu den besten Experten in der Region – digital, effizient und ohne starre Standorte." – CUBEE Sachverständigen AG

Die Begutachtung erfolgt entweder direkt vor Ort über eine mobile App oder an standardisierten Container-Standorten in Deutschland und Europa. Durch die Kombination digitaler Schadensdokumentation mit IoT-Daten können selbst schwer erkennbare Schäden zuverlässig aufgedeckt werden. Crash-Parameter wie Aufprallkraft und -richtung helfen dabei, versteckte Schäden an wichtigen Fahrzeugteilen wie dem Rahmen oder der Elektronik zu identifizieren, die bei einer rein visuellen Inspektion leicht übersehen werden könnten.

Das Angebot von CUBEE umfasst Schadensbewertungen, Wertgutachten und auch spezialisierte Oldtimer-Bewertungen. Die DSGVO-konforme digitale Infrastruktur sorgt für Vertrauen bei Versicherern und ermöglicht eine effiziente, grenzüberschreitende Schadensabwicklung – ein entscheidender Vorteil für Flottenmanager und Versicherer mit internationalen Fällen.

Fazit: Compliance-Anforderungen für IoT-Daten erfüllen

Die Einhaltung gesetzlicher Vorgaben, wie der DSGVO und deutscher Datenschutzbestimmungen, ist für Versicherer, die IoT-Daten in der Kfz-Versicherung nutzen, unerlässlich. Es geht nicht nur darum, rechtliche Pflichten zu erfüllen, sondern auch darum, technische und organisatorische Maßnahmen zu implementieren, die die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme sicherstellen. Ein zentraler Punkt ist die Trennung der Datenverarbeitungszwecke: Daten zur Prämienberechnung müssen strikt von Daten zur Unfallrekonstruktion getrennt werden. Hierbei helfen die Empfehlungen des BSI, die in die Datenarchitektur integriert werden sollten, sowie regelmäßige Audits, um mögliche Schwachstellen frühzeitig zu erkennen.

„Die Maßnahmen sollten die fortlaufende Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Verarbeitungssysteme und Dienste im Zusammenhang mit der Verarbeitung gewährleisten." – § 64 FDPA

Ein weiterer wichtiger Aspekt ist die Transparenz gegenüber den Versicherten. App-basierte Einwilligungssysteme, die eine klare Scoring-Logik bieten und jederzeit widerrufbar sind, ermöglichen es den Kunden, genau zu verstehen, welche Daten erhoben werden, wie diese genutzt werden und wie sie ihre Rechte wahrnehmen können. Diese Transparenz stärkt das Vertrauen und fördert eine positive Beziehung zwischen Versicherer und Kunden.

Darüber hinaus hat eine durchdachte Compliance-Strategie auch wirtschaftliche Vorteile. Die Nichteinhaltung kann teuer werden – von DSGVO-Bußgeldern über Schadenersatzforderungen bis hin zu Meldepflichten an Aufsichtsbehörden. Im Jahr 2024 verursachten Cyberangriffe allein in Deutschland Schäden in Höhe von 179 Milliarden Euro. Eine effektive Compliance schützt also nicht nur vor rechtlichen Konsequenzen, sondern reduziert auch finanzielle Risiken und stärkt die betriebliche Effizienz.

Die beschriebenen Maßnahmen sind der Schlüssel zu vertrauenswürdigen und zukunftssicheren Kfz-Versicherungslösungen. Versicherer, die diese Standards erfüllen, profitieren nicht nur von schnelleren und präziseren Schadensabwicklungen, sondern auch von langfristigem Kundenvertrauen.

FAQs

Wie beeinflusst der EU Data Act die Nutzung von IoT-Daten in der Kfz-Versicherung?

Der EU Data Act bringt klare Vorschriften für den Zugang zu und die Nutzung von IoT-Daten aus vernetzten Fahrzeugen. Anbieter müssen diese Daten auf Anfrage bereitstellen, was es Kfz-Versicherern ermöglicht, auf entscheidende Fahr- und Schadensdaten zuzugreifen.

Das hilft Versicherern dabei, Daten zu verwenden, ohne Datenschutz- oder Wettbewerbsregeln zu verletzen. Dadurch wird die Schadenbewertung und -regulierung transparenter und effizienter.

Wie können Versicherer sicherstellen, dass IoT-Daten in der Kfz-Versicherung DSGVO-konform verarbeitet werden?

IoT-Daten aus vernetzten Fahrzeugen, wie beispielsweise Fahrverhalten oder GPS-Positionen, werden gemäß der DSGVO als personenbezogene Daten eingestuft. Das bedeutet, dass sie strengen Datenschutzanforderungen unterliegen. Versicherer sind verpflichtet, vor der Erhebung solcher Daten eine rechtliche Grundlage festzulegen – sei es durch die Einwilligung der betroffenen Person oder durch ein berechtigtes Interesse. Zudem muss der Zweck der Datenverarbeitung klar und transparent dokumentiert werden.

Um den Datenschutz zu gewährleisten, sollten Versicherer konkrete Maßnahmen ergreifen. Dazu gehört, die Menge der erfassten Daten auf das Nötigste zu reduzieren, verständliche Datenschutzhinweise bereitzustellen und technische Sicherheitsmaßnahmen wie Verschlüsselung und Zugriffskontrollen zu implementieren. Arbeiten Versicherer mit Drittanbietern zusammen, müssen DSGVO-konforme Verträge geschlossen und deren Einhaltung regelmäßig geprüft werden. Besonders bei sensiblen Anwendungen, wie dem Echtzeit-Tracking, ist eine Datenschutz-Folgenabschätzung unerlässlich.

Die CUBEE Sachverständigen AG bietet Versicherern Unterstützung durch ein digitalisiertes Netzwerk und transparente Prozesse. So können IoT-Daten sicher und im Einklang mit der DSGVO in Gutachten integriert werden. Dies erleichtert schnelle und präzise Bewertungen von Schäden und Fahrzeugwerten.

Welche Maßnahmen gewährleisten die sichere Speicherung von IoT-Daten in vernetzten Fahrzeugen?

Um die Sicherheit von IoT-Daten in vernetzten Fahrzeugen zu gewährleisten, sind verschiedene technische und organisatorische Maßnahmen notwendig. Datenverschlüsselung, wie etwa AES-256, schützt sensible Informationen wie Telemetrie- oder Standortdaten vor unbefugtem Zugriff. Ein effektives Zugriffs- und Rollenmanagement sorgt dafür, dass ausschließlich autorisierte Personen oder Systeme Zugang erhalten, während alle Zugriffe sorgfältig protokolliert werden. Ebenso wichtig ist die Pseudonymisierung oder Anonymisierung personenbezogener Daten im Einklang mit der DSGVO, um die Privatsphäre der Fahrer zu schützen.

Darüber hinaus spielen die sichere Schlüsselverwaltung und der Einsatz von digitalen Zertifikaten eine entscheidende Rolle. Diese Technologien helfen, die Identität der Fahrzeug- und Backend-Komponenten zu verifizieren und potenzielle Angriffe abzuwehren. Unternehmen sollten außerdem auf Standards wie ISO/SAE 21434 sowie die UNECE-Regelungen R155/R156 setzen, die unter anderem Sicherheitskonzepte, regelmäßige Prüfungen und sichere Software-Updates vorschreiben.

Die CUBEE Sachverständigen AG hat diese Sicherheits- und Compliance-Vorgaben in ihre digitale Plattform integriert. Dadurch können Versicherer und Gutachter auf verschlüsselte und rechtssichere Fahrzeugdaten zugreifen, ohne Kompromisse bei Datenschutz und Sicherheit einzugehen.

Verwandte Blogbeiträge

• Checkliste: Rechtliche Anforderungen für Telematik-Versicherungen
• Checkliste: IoT-Integration für KFZ-Gutachter
• IoT-Daten in der Kfz-Versicherung: Ultimativer Leitfaden
• Wie helfen IoT-Warnungen bei Versicherungsansprüchen?