Die Nutzung von IoT-Daten in der KFZ-Versicherung verändert die Branche grundlegend. Telematik-Tarife ermöglichen es, Versicherungsprämien auf Basis des Fahrverhaltens zu berechnen. Doch der Umgang mit sensiblen Daten wie Geschwindigkeit oder Standort erfordert strenge gesetzliche Vorgaben.
Wichtige Punkte:
- IoT-Daten in KFZ-Versicherungen: Sensoren und Apps erfassen Fahrdaten, um individuelle Prämien zu berechnen.
- DSGVO-Anforderungen: Transparenz, Zweckbindung, Datensparsamkeit und Schutz der Daten sind Pflicht.
- EU Data Act (ab 2025): Fahrzeughalter können ihre Daten an Versicherer ihrer Wahl weiterleiten lassen.
- Neue deutsche Regelungen (2026): § 37a BDSG regelt automatisierte Prämienanpassungen mit strengen Transparenzvorgaben.
- Sicherheitsstandards: NIS2-Richtlinie fordert Maßnahmen wie Verschlüsselung und Multi-Faktor-Authentifizierung.
IoT-Daten bieten Chancen, stellen aber auch hohe Anforderungen an Datenschutz und technische Sicherheit. Versicherer müssen klare Strukturen und transparente Prozesse etablieren, um Vertrauen zu schaffen und rechtlichen Vorgaben zu entsprechen.
DSGVO-Anforderungen für IoT-Daten in der Versicherung
Die DSGVO setzt klare Regeln für den Umgang mit Telematik-Daten in der KFZ-Versicherung. Da Fahrzeugsensoren sensible Informationen wie Standort, Geschwindigkeit und Bremsverhalten erfassen, gelten hier besonders strenge Datenschutzvorgaben.
Grundprinzipien der DSGVO für IoT-Daten
Vier Kernprinzipien der DSGVO sind für Telematik-Versicherungen besonders bedeutsam:
| DSGVO-Prinzip | Anwendung in der IoT-KFZ-Versicherung |
|---|---|
| Transparenz | Versicherer müssen klar darlegen, wie Telematik-Daten (z. B. Geschwindigkeit, Standort, Bremsverhalten) die Prämienberechnung beeinflussen. |
| Zweckbindung | Daten, die für „Sicherheitsrabatte“ erhoben wurden, dürfen nicht ohne ausdrückliche Zustimmung zu Marketingzwecken genutzt werden. |
| Datensparsamkeit | Nur die für die Risikobewertung und Fahrzeugbewertungen notwendigen Sensordaten dürfen erhoben werden – vollständige Fahrzeugprotokolle sind unzulässig. |
| Integrität & Vertraulichkeit | Sensible Daten wie Standort- und Verhaltensinformationen müssen durch Verschlüsselung und Zero-Trust-Architekturen geschützt werden. |
Ein wichtiger Aspekt ist das Prinzip „Privacy-by-Design“. Datenschutzanforderungen müssen bereits in der Entwicklungsphase von Telematik-Plattformen und Apps berücksichtigt werden. Unternehmen, die moderne Data-Governance-Frameworks nutzen, berichten von einer 45 % geringeren Rate an datenschutzbezogenen Compliance-Verstößen.
Diese Prinzipien bilden die Grundlage für die Rechte der Versicherten, die im nächsten Abschnitt näher erläutert werden.
Betroffenenrechte in der Versicherung
Die DSGVO garantiert Versicherten diverse Rechte, die sie gegenüber ihrem Anbieter geltend machen können. Das Auskunftsrecht erlaubt es, Einblick in gespeicherte Fahrprofildaten und die zugrunde liegende Scoring-Logik zu erhalten. Das Recht auf Löschung verpflichtet Versicherer, Telematik-Daten nach Vertragsende zu entfernen. Beispielsweise löscht Allianz persönliche Telematik-Daten exakt drei Jahre nach Vertragsende, um den DSGVO-Vorgaben zur Speicherbegrenzung zu entsprechen.
Besonders wichtig ist Artikel 22 der DSGVO, der sich auf automatisierte Entscheidungsfindung bezieht. Ein EuGH-Urteil aus dem Jahr 2023 stellt klar, dass die automatische Erstellung eines Wahrscheinlichkeitswertes als „automatisierte Entscheidung“ gilt, wenn sie die Vertragsbedingungen maßgeblich beeinflusst. Versicherer sind daher verpflichtet, menschliche Eingriffsmöglichkeiten zu gewährleisten und die Berechnungslogik verständlich zu erklären.
„The Data Act strengthens the rights of users... owners of a connected car can request the manufacturer to forward certain vehicle data to a service provider of their choice." – GDV
Der EU Data Act, der ab dem 12. September 2025 in Kraft tritt, erweitert die Datenzugriffsrechte erheblich: Fahrzeughalter können dann direkt den Hersteller anweisen, ihre Fahrzeugdaten an einen Versicherer ihrer Wahl weiterzuleiten. Ab dem 12. September 2026 müssen vernetzte Fahrzeuge zudem technisch so gestaltet sein, dass Nutzerdaten standardmäßig zugänglich sind.
sbb-itb-d35113a
Nationale Regeln: BDSG und deutsche DSGVO-Erweiterungen
Die DSGVO bildet den europäischen Rahmen für den Datenschutz. In Deutschland werden diese Regelungen durch zusätzliche nationale Vorgaben ergänzt, die besonders für Versicherer im Bereich Telematik von Bedeutung sind. Diese Ergänzungen präzisieren die Datenschutz- und Transparenzanforderungen und gehen in einigen Punkten über die DSGVO hinaus.
Das Bundesdatenschutzgesetz (BDSG) enthält spezifische Vorgaben für Deutschland. So müssen Unternehmen mit mindestens 20 Mitarbeitern, die personenbezogene Daten verarbeiten, einen Datenschutzbeauftragten benennen. Darüber hinaus verknüpft das deutsche Recht die DSGVO mit dem Versicherungsvertragsgesetz (VVG). Dieses Gesetz schreibt klare Transparenzpflichten für telematikbasierte Tarife vor, was insbesondere nationale Anforderungen betrifft, die über den europäischen Rahmen hinausgehen. Im Folgenden werden die Vorgaben der BaFin sowie die Regelungen zur automatisierten Entscheidungsfindung näher erläutert, die auch bei KI-Tools für die KFZ-Schadensbewertung eine zentrale Rolle spielen.
BaFin-Vorgaben zu Telematik-Daten
Die BaFin überwacht in Deutschland etwa 313 Versicherungsunternehmen, 34 Pensionsfonds und 122 Pensionskassen. Als Aufsichtsbehörde fordert sie von Versicherern, die IoT-Daten für Risikobewertungen und Prämienberechnungen nutzen, klare Governance-Strukturen. Das bedeutet, dass die Scoring-Logik transparent dokumentiert und für Versicherungsnehmer verständlich erklärt werden muss, insbesondere beim Vergleich von Telematik vs. traditioneller Schadensbewertung.
Ein zentraler Punkt ist die Datensparsamkeit: Es dürfen nur die Sensordaten erhoben werden, die für die Risikobewertung notwendig sind. Das Erstellen umfassender Bewegungsprofile ohne konkreten Bezug zur Versicherung ist unzulässig. Ebenso ist die Weitergabe von Telematik-Daten an Dritte, wie Strafverfolgungsbehörden, ohne ausdrückliche Rechtsgrundlage oder Zustimmung des Nutzers verboten.
Neben diesen allgemeinen Vorgaben legt der Gesetzgeber besonderen Wert auf die Regulierung automatisierter Entscheidungsprozesse.
Automatisierte Entscheidungsfindung in der Versicherung
Ab 2026 wird eine wichtige Ergänzung des BDSG in Kraft treten: der neue § 37a BDSG, der automatisierte Scoring- und Bewertungsverfahren regelt. Dieser Paragraph schafft die rechtliche Grundlage für automatisierte Prämienanpassungen, allerdings nur unter strikten Anforderungen an Transparenz, Nachvollziehbarkeit und die Auswahl der Daten.
Versicherer sollten ihre automatisierten Scoring-Modelle frühzeitig überprüfen, um den Vorgaben von § 37a BDSG zu entsprechen. Algorithmen, die beispielsweise Fahrverhalten wie Bremsen, Kurvenfahrten oder Geschwindigkeit in Prämienänderungen einfließen lassen, müssen so dokumentiert sein, dass Versicherungsnehmer die Berechnungslogik nachvollziehen können. Wer diese Überprüfung hinauszögert, könnte später gezwungen sein, umfassende Nachbesserungen vorzunehmen, sobald die Regelung in Kraft tritt.
Branchenspezifische IoT-Regulierungen für Versicherungen
Neben den allgemeinen Datenschutzvorgaben gibt es spezifische Regelungen, die den Umgang mit IoT-Daten im Versicherungssektor präzisieren. Ziel ist es, Risiken zu minimieren und den Einsatz neuer Technologien sicher zu gestalten. Besonders wichtig sind dabei die EIOPA-Leitlinien zur Nutzung von Big-Data-Analysen sowie die Anforderungen aus Solvency II in Bezug auf Datensicherheit.
EIOPA-Leitlinien zu Big-Data-Analysen
Die EIOPA-Leitlinien legen klare Regeln für den Einsatz von Big-Data-Analysen in der Versicherungsbranche fest. Transparenz und Fairness stehen dabei im Vordergrund. Versicherer dürfen IoT-Daten nur dann für die Berechnung von Prämien heranziehen, wenn die zugrunde liegende Scoring-Logik für Versicherungsnehmer nachvollziehbar ist und keine unzulässige Benachteiligung bestimmter Gruppen erfolgt.
Ein Beispiel: Algorithmen, die Fahrdaten auswerten, dürfen keine indirekte Diskriminierung verursachen – etwa durch Berücksichtigung von Alter, Herkunft oder Wohnort. Das ist besonders relevant für deutsche Kfz-Versicherer, da telematikbasierte Tarife immer stärker auf detaillierte Fahrverhaltensanalysen setzen. Dank der Regelungen des EU Data Act können Versicherer inzwischen standardisiert auf relevante Daten zugreifen, was speziell auf die Anforderungen der Branche zugeschnitten ist.
Während die EIOPA-Leitlinien die Transparenz und Fairness bei der Datenverarbeitung sicherstellen, konzentrieren sich die Anforderungen von Solvency II stärker auf technische Sicherheit und Risikomanagement.
Datensicherheitsstandards und Solvency II
Solvency II, ein Rahmenwerk zur finanziellen Stabilität von Versicherungsunternehmen, hat auch direkte Auswirkungen auf den Umgang mit IoT-Daten. Versicherer sind verpflichtet, operationelle Risiken systematisch zu managen. IoT-Systeme, die Daten wie Fahrverhalten erheben und übertragen, werden dabei als potenzielle Schwachstellen betrachtet.
„Versicherer müssen sicherstellen, dass die erhobenen Daten nicht an Dritte weitergegeben werden. Dies setzt jedoch eine absolut sicherere Datenübermittlung von der Smartphone-App des Versicherungsnehmers respektive der Telematik-Box voraus." – Dr. Christian Gerd Kotz, Fachanwalt für Versicherungsrecht
Eine zentrale Anforderung ist die Pseudonymisierung der Telematik-Daten, um den direkten Bezug zu Personen zu vermeiden. Ein gutes Beispiel für die Umsetzung dieser Vorgaben liefert die Allianz: Hier werden personenbezogene Telematik-Daten genau drei Jahre nach Vertragsende gelöscht. Damit erfüllt das Unternehmen die Prinzipien der Datensparsamkeit und Speicherbegrenzung. Versicherer sind verpflichtet, klare Löschzyklen zu etablieren, um den Datenschutz konsequent umzusetzen.
Cybersicherheitsstandards für IoT-Geräte in der Versicherungsbranche
Mit den bestehenden Vorgaben zu Datenschutz und Risikomanagement wird nun verstärkt auf die technische Absicherung der IoT-Infrastruktur geschaut. Datenschutz und technische Sicherheit gehen Hand in Hand. Während Solvency II und die DSGVO den Umgang mit Daten regeln, gibt die NIS2-Richtlinie vor, wie IoT-Systeme technisch abgesichert sein müssen – und wer die Verantwortung trägt, wenn etwas schiefgeht.
Die NIS2-Richtlinie und IoT-Gerätesicherheit
Kfz-Versicherer werden in der NIS2-Richtlinie als „wesentliche Einrichtungen“ (Essential Entities) eingestuft. Das bedeutet, dass sie besonders strenge Aufsichts- und Durchsetzungsanforderungen erfüllen müssen. Artikel 21 der Richtlinie schreibt Maßnahmen wie Multi-Faktor-Authentifizierung, Ende-zu-Ende-Verschlüsselung und ein strukturiertes Schwachstellenmanagement vor.
Ein zentraler Punkt ist die Sicherheit in der Lieferkette. Versicherer sind rechtlich dafür verantwortlich, dass ihre Telematik- und IoT-Hardwarelieferanten die erforderlichen Cybersicherheitsstandards einhalten. Verträge mit Sensorherstellern müssen daher sichere Entwicklungsprozesse gemäß Artikel 21 vorschreiben. Sicherheitsvorfälle müssen in einem gestaffelten Verfahren gemeldet werden:
| Meldestufe | Frist | Inhalt |
|---|---|---|
| Frühwarnung | 24 Stunden | Erste Meldung eines erheblichen Vorfalls |
| Vorfallsmeldung | 72 Stunden | Detaillierter Bericht mit ersten Gegenmaßnahmen |
| Abschlussbericht | 1 Monat | Vollständige Darstellung der Wiederherstellung und langfristiger Maßnahmen |
Die Nichteinhaltung dieser Vorgaben kann teuer werden: Es drohen Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Bei grober Fahrlässigkeit können Aufsichtsbehörden sogar Tätigkeitsverbote für Führungskräfte verhängen.
„NIS2 hebt das gemeinsame EU-Ambitionsniveau im Bereich der Cybersicherheit durch einen erweiterten Anwendungsbereich, klarere Regeln und stärkere Aufsichtsinstrumente an." – Europäische Kommission
Diese Maßnahmen schaffen die Basis für klare Haftungsregelungen, selbst bei technischen Problemen von IoT-Geräten.
Haftung bei fehlerhaften IoT-Sensoren
Die technische Sicherheit hat direkten Einfluss darauf, wie Haftungsfragen im Schadensfall geregelt werden. Was passiert beispielsweise, wenn ein Telematik-Sensor falsche Daten liefert und ein Versicherer daraufhin eine Leistung verweigert oder eine Prämie falsch berechnet?
Hier zeigt sich eine regulatorische Grauzone, besonders bei der Nutzung von IoT-Daten in Schadenfällen. Einige Versicherer nutzen Daten wie „starkes Bremsen“ oder „Geschwindigkeitsüberschreitungen“ aus möglicherweise fehlerhaften Datenbanken, um die Haftung auf den Fahrer zu schieben. Solche Praktiken sind rechtlich riskant und dürften mit zunehmenden Regulierungen schwerer durchsetzbar werden.
Wie bereits im Abschnitt zu DSGVO und BDSG erwähnt, ist es entscheidend, die Integrität und Validität der Daten sicherzustellen. Ein moderner Ansatz hierfür sind digitale Zwillinge (Digital Twins). Diese virtuellen Rekonstruktionen von Unfallgeschehen basieren auf Daten von Fahrzeugsensoren, GPS und Verkehrskameras und ermöglichen eine präzisere Klärung von Haftungsfragen. Unternehmen, die IoT-Daten zur Schadenbewertung nutzen, müssen gewährleisten, dass diese Daten unabhängig geprüft und technisch einwandfrei sind. Andernfalls drohen nicht nur Rechtsstreitigkeiten, sondern auch erhebliche Reputationsschäden.
Zukunftstrends und Compliance-Schritte
IoT-Regulierungen in der KFZ-Versicherung: Wichtige Fristen 2025–2026
Die technischen und regulatorischen Anforderungen an IoT-Systeme in der Kfz-Versicherung werden in den nächsten Jahren deutlich komplexer. Unternehmen, die frühzeitig handeln, können regulatorische Risiken besser beherrschen. Hier ein Überblick über wichtige Trends und notwendige Compliance-Maßnahmen.
IoT in der Versicherung: Wichtige Trends von 2026 bis 2030
Die kommenden Jahre bringen tiefgreifende Veränderungen im Markt mit sich. Der AIoT-Markt wird bis 2030 ein Volumen von 81 Milliarden US-Dollar erreichen, mit einem jährlichen Wachstum von 26 %. Parallel dazu wird der Markt für digitale Zwillinge auf 154 Milliarden US-Dollar geschätzt. Diese Technologien treiben den Wandel vom reaktiven Schadensausgleich hin zu einem proaktiven Risikomanagement voran.
Studien belegen, dass Echtzeit-Risikowarnungen die Schadensfälle um bis zu 25 % verringern können. Gleichzeitig nehmen die Anforderungen an die Verantwortlichkeit zu. Regulierungsbehörden prüfen nicht nur, ob KI-Systeme korrekt arbeiten, sondern auch, wer für deren Versagen haftet.
"Regulatoren fragen nicht, ob Ihre KI funktioniert – sie fragen, welcher namentlich genannte Mensch verantwortlich war, als sie es nicht tat. Wenn es keinen gibt, könnte die verantwortliche Person Sie selbst sein." – Paul Carroll
Ein weiteres Problemfeld ist die zunehmende regulatorische Fragmentierung innerhalb der EU. Versicherer, die in mehreren Ländern tätig sind, müssen sich auf unterschiedliche nationale Umsetzungen von EU-Richtlinien einstellen. Daher werden länderspezifische Compliance-Handbücher für Datenmanagement und Produktzulassungen unverzichtbar.
Best Practices für regulatorische Compliance
Einige Fristen setzen Versicherer zunehmend unter Druck. Ab dem 12. September 2026 müssen vernetzte Fahrzeuge und Geräte standardmäßig direkten Datenzugang für Nutzer ermöglichen . Ab Dezember 2026 tritt die überarbeitete Produkthaftungsrichtlinie in Kraft, die Hersteller auch für Softwarefehler und fehlende Sicherheitsupdates haftbar macht.
| Maßnahme | Begründung |
|---|---|
| DPIAs für IoT-Systeme durchführen | Erforderlich bei automatisierten Entscheidungen und sensiblen Daten |
| Datenschutzbeauftragten (DSB) benennen | In Deutschland Pflicht ab 20 Mitarbeitenden mit Datenzugriff |
| Vertragsrahmen aktualisieren | FRAND-Bedingungen für Datenweitergabe gemäß Data Act |
| Software-Governance stärken | Absicherung gegen Haftungsrisiken durch die neue Produkthaftungsrichtlinie |
| Nutzerportale einrichten | Sicherstellung der Datenzugangs- und Portabilitätsrechte |
Eine Zero-Trust-Architektur sowie eine lückenlose Dokumentation der Datenherkunft sind essenziell, um den verschärften regulatorischen Anforderungen gerecht zu werden .
"Sicherheit ist kein einmaliges Feature; es ist eine Denkweise." – Sam Bocetta
Fazit
Die Nutzung von IoT-Daten in der Kfz-Versicherung betrifft weit mehr als nur technische Aspekte – sie erfordert vor allem Vertrauen. Wie zuvor beschrieben, ist eine solide Datenschutzstrategie entscheidend, um telematikbasierte Tarife langfristig akzeptabel und erfolgreich zu machen.
„Transparenz seitens der Versicherer und ein sensibler Umgang mit den Daten sind Grundvoraussetzungen für die Akzeptanz solcher Tarife." – Dr. Christian Gerd Kotz, Rechtsanwalt und Fachanwalt für Versicherungsrecht
Regulatorische Vorgaben setzen dabei klare Spielregeln. Wer Fahrdaten ausschließlich zur Prämienberechnung nutzt, diese pseudonymisiert und nur mit ausdrücklicher Zustimmung weitergibt, handelt nicht nur rechtskonform, sondern stärkt auch das Vertrauen der Kunden. Besonders Flottenversicherer müssen darauf achten, IoT-Daten nicht zur Überwachung von Mitarbeitenden einzusetzen. Hier sind die Einbindung des Betriebsrats und verbindliche Betriebsvereinbarungen gemäß § 87 Abs. 1 Nr. 6 BetrVG unerlässlich.
Der technologische Fortschritt führt zudem zu einem Wandel: Vom reinen Schadensausgleich hin zu einem Predict and Prevent-Ansatz, der aktiv Risiken minimiert. Eine konsequente Einhaltung von Compliance-Richtlinien bleibt dabei der Schlüssel, um Vertrauen zu sichern und wettbewerbsfähig zu bleiben – und um die Herausforderungen der Zukunft mit Weitblick zu meistern.
FAQs
Welche Telematik-Daten darf mein Versicherer wirklich erheben?
In Deutschland ist es Versicherern gestattet, Telematik-Daten zu erfassen, die direkt mit der Bewertung des Fahrverhaltens und der Risikoeinschätzung zusammenhängen. Dazu gehören Informationen wie Geschwindigkeit, Bremsverhalten, Kurvenfahrten und Fahrzeiten. Die Verarbeitung dieser Daten darf jedoch ausschließlich mit Ihrer ausdrücklichen Zustimmung erfolgen. Zudem müssen die Daten gemäß der Datenschutz-Grundverordnung (DSGVO) zweckgebunden, transparent und auf das notwendige Minimum beschränkt sein.
Wie kann ich meine Fahrzeugdaten ab 2025/2026 an einen anderen Versicherer übertragen lassen?
Der EU Data Act bringt ab 2025/2026 eine bedeutende Neuerung für Fahrzeughalter: Sie erhalten das Recht, ihre Fahrzeugdaten an Dritte weiterzugeben – beispielsweise an einen neuen Versicherer. Das Ziel? Mehr Transparenz und eine unkomplizierte Datenübertragung.
Was bedeutet das für Sie? Hersteller sind verpflichtet, sicherzustellen, dass diese Daten sowohl zugänglich als auch leicht übertragbar sind. Das erleichtert es Ihnen, bei einem Versicherungswechsel die benötigten Informationen bereitzustellen.
Um den Prozess reibungslos zu gestalten, sollten Sie frühzeitig mit Ihrem neuen Versicherer klären, welche spezifischen Daten benötigt werden und wie die Übertragung im Detail abläuft. Dank klarer rechtlicher Vorgaben wird dabei gewährleistet, dass die Daten sicher und transparent übermittelt werden. Das macht den Wechsel nicht nur einfacher, sondern auch sicherer.
Was kann ich tun, wenn ein Telematik-Score oder eine automatische Prämienanpassung unfair erscheint?
Wenn Ihnen ein Telematik-Score oder eine automatische Anpassung Ihrer Versicherungsprämie unfair erscheint, sollten Sie die geltenden Vorschriften und rechtlichen Rahmenbedingungen genauer prüfen. Diese bestimmen, wie die Bewertungen durchgeführt werden dürfen. Es ist wichtig, sich über Ihre Rechte zu informieren. Falls nötig, können Sie sich an Ihre Versicherung wenden, um die Situation zu klären, oder rechtlichen Rat bei einer Beratungsstelle einholen, um mögliche Schritte zu besprechen.
Verwandte Blogbeiträge
- KFZ-Datenverarbeitung in China: Branchenrichtlinien
- IoT-Daten in der Kfz-Versicherung: Ultimativer Leitfaden
- IoT-Daten in der Kfz-Versicherung: Compliance-Checkliste
- Wer besitzt die Daten vernetzter Fahrzeuge?