Pay as you drive (PAYD): Erläuterungen zum Einsatz von Black Boxes in Motorfahrzeugen

Unter dem Namen «Pay as you drive» (PAYD) evaluieren immer mehr Motorfahrzeugversicherungen ereignisunabhängige Verhaltensdaten ihrer Kundinnen und Kunden (wie das tägliche Fahrverhalten), um ihnen individualisierte Versicherungen mit risikogerechten Prämien anzubieten. Aus Datenschutzsicht birgt diese Entwicklung verschiedene Risiken.

Bisher haben Versicherer zur Risikoeinschätzung vorwiegend Informationen erhoben, die auf bestimmten Zustandsdaten (Fahrzeugtyp, PS, etc.) und ereignisbezogenen Verhaltensdaten (wie Schadensfälle oder Administrativmassnahmen) basierten. Heute finden zunehmend auch ereignisunabhängige, personenspezifische Daten Eingang in die Berechnung moderner Versicherungstarife.

Die technischen Lösungen zur Erhebung der gewünschten Daten reichen von einer einfachen Erfassung der gefahrenen Kilometer (Milage Monitoring) mittels einer Tankkarte e bis hin zu einem vollautomatischen und kommunikationsfähigen Datenaufzeichnungsgerät (Black Box/Drive Recorder), welches sämtliche Fahrzeugbewegungen und Reaktionen des Lenkers aufzeichnet und an das Versicherungsunternehmen weiterleitet.

Die wichtigsten PAYD-Lösungen sind:

  • Milage Monitoring: Servicekarte, die regelmässig (z.B. beim Tanken) den Kilometerstand des Fahrzeuges an den Versicherer übermittelt, der den Tarif entsprechend anpasst.

  • Journey Monitoring: Neben den gefahrenen Kilometern werden (per GPS oder auf Autobahnen via Mautsystem) zusätzlich Route und Tageszeit erfasst. Entsprechend der Risikoeinschätzung der gewählten Route und Tageszeit wird der Versicherungstarif angepasst.

  • Passive Black Box: im Fahrzeug installiertes Aufzeichnungsgerät, welches zusätzlich das Fahrverhalten (abruptes Bremsen, Beschleunigen, etc.) aufzeichnet und speichert. Je nach Selektion der Daten kann ein individueller Versicherungstarif berechnet werden.

  • Aktive Black Box: verfügt zusätzlich über eine Kommunikationseinheit und übermittelt der Versicherung laufend Daten. Durch Verbindung des Autos über eine SIM-Karte im Armaturenbrett mit dem Internet können die gesammelten Fahrerdaten weiterverarbeitet werden.

  • Schliesslich werden vermehrt auch Geräte eingesetzt, die sämtliches Fahrverhalten aufzeichnen und mit einem Bewegungssensor sowie einem Unfalldatenspeicher ausgestattet sind. Zielpublikum sind Junglenker, denen bei umsichtigem Fahren ein Prämienrabatt gewährt wird.

Da durch diese neuen technischen Möglichkeiten nahezu beliebig viele Daten über das Bewegungsverhalten der betroffenen Personen erhoben werden können, stellen sich besondere datenschutzrechtliche Fragen. Der EDÖB macht auf denkbare Risiken beim Einsatz von PAYD-Tarifen aufmerksam und zeigt auf, wie damit umgegangen werden sollte.

Risiken für Versicherungsnehmer

Mit der Einführung von PAYD-Modellen könnte es zu tief greifenden Veränderungen im Versicherungsmarkt für Motorfahrzeuge kommen. Es stellt sich die Frage, in wieweit sich künftig ein Kunde überhaupt einer PAYD-Lösung entziehen kann. Die in Aussicht gestellten Preisvorteile könnten Versicherungsnehmer mit geringem Risiko dazu veranlassen, eine PAYD-Police zu wählen (Effekt der «adversen Selektion»). Bei den herkömmlichen Tarifen verblieben lediglich die risikoreichen teuren Versicherten und solche, denen die PAYD-Datenbearbeitungen zu weit gehen, was zu einem signifikanten Anstieg ihrer Prämien führen könnte. Je nachdem wie stark ein solcher Preisanstieg wäre, könnten sich Versicherte gezwungen fühlen, mangels gleichwertiger Alternative auf PAYD-Modelle zu wechseln, um keine übermässigen finanziellen Nachteile zu erleiden. Das würde bedeuten, dass sich Versicherte faktisch nicht mehr gegen die Erstellung eines auf ihrer Fahrweise beruhenden Persönlichkeitsprofils wehren könnten.

Ein so erstelltes Risiko- bzw. Persönlichkeitsprofil könnte über die Motorfahrzeugversicherung hinaus für weitere Versicherungen (oder andere Zwecke) verwendet werden. Es könnte insbesondere Eingang finden in die Risikoberechnung bei Lebens-, Invaliditäts- und Unfallversicherungen, und im schlimmsten Fall dazu führen, dass der Versicherungsgeber es ablehnt, die betroffene Person aufzunehmen; diese hätte dann keine Möglichkeit mehr, sich gegen entsprechende Risiken zu versichern. Dies ist schwerwiegend, weil zur Erstellung eines Risikoprofils die Datenerhebung über eine gewisse Zeit hinweg notwendig ist (vgl. Personentracking).

Die stärkere Segmentierung der Tarifmodelle könnte zudem dazu führen, dass sich die Schere zwischen hohen und niedrigen Beiträgen weiter öffnet.

Risiken für Versicherer

Bei Versicherungen, die (noch) keine PAYD-Lösung anbieten, könnte es zu einer systematischen Abwanderung von Versicherten kommen, was sich negativ auf die Risikostrukturen auswirken und schliesslich zu einer Prämienerhöhung führen könnte. Hierdurch würden weitere Versicherungsnehmer animiert, zu Anbietern mit PAYD-Tarifen zu wechseln. Das Resultat wäre eine ungleiche Risikoverteilung, da diejenigen Versicherungen, welche PAYD anbieten, sowohl einen Informationsvorsprung hätten als auch vermehrt Kunden mit geringerem Risiko anzögen. Kunden mit einem höheren Risikoprofil verblieben vermehrt bei Versicherungen mit traditionellen Tarifen.

Massnahmen

Grundsätzlich dürfen personenbezogene Daten, welche mittels eines PAYD-Systems erhoben werden, immer nur mit dem Einverständnis des Versicherungsnehmers bearbeitet werden. Das bedeutet, dass die versicherte Person vorgängig detailliert über die Art und den Umfang der über sie zu bearbeitenden Daten informiert werden muss. Insbesondere muss sie wissen, welche Daten wann, wie und in welcher Häufigkeit erhoben, gespeichert oder ausgewertet werden, sei es mittels einer Black Box oder auf andere Weise.

Die Einwilligung des Versicherungsnehmers muss zudem freiwillig erfolgen. Freiwilligkeit ist gegeben, solange vergleichbare Alternativen existieren. Ab dem Moment, wo jede Versicherung ein PAYD-Modell mit attraktiven Prämien auf dem Schweizer Markt anbietet, ist dies nicht mehr gegeben, da von einem wirtschaftlichen Zwang auszugehen ist.

Die Erfahrung hat gezeigt, dass neue Möglichkeiten der Datenerhebung, sobald sie einmal eingeführt sind, schnell neue Begehrlichkeiten wecken. Daher ist es notwendig, klare gesetzliche Regelungen zu schaffen, wer unter welchen Umständen Zugriff auf die in einer solchen Black Box gespeicherten Daten haben sollen. Die EU will bspw. künftig allen Autoherstellern verbindliche Vorgaben für ein einheitliches Notrufsystem namens eCall machen, das bei einem Unfall automatisch die Rettungsdienste alarmiert. Die Daten könnten aber auch für kommerzielle Interessen zweckentfremdet werden.

Empfehlungen des EDÖB

Bei der Sammlung von ereignisunabhängigen personenbezogenen Nutzungsdaten, welche über das Fahrverhalten Aufschluss geben, müssen die Datenschutzgrundsätze beachtet werden. Hierbei gilt es, von vorne herein festzulegen, zu welchem Zweck die Daten verwendet werden, und eine entsprechende Selektion der unbedingt notwendigen Daten vorzunehmen. Dies soll verhindern, dass alle möglichen Informationen auf Vorrat gesammelt werden.

Zudem darf die Sammlung ereignisunabhängiger Verhaltensdaten nicht zu einem «gläsernen Fahrer» führen, über dessen Fahrverhalten ein detailliertes Bewegungs- und Persönlichkeitsprofil erhoben wird. Um exzessive personenbezogene Auswertungen zu vermeiden und das Risiko von unbefugten Zugriffen auf die Daten zu verringern, sollte auf eine zentrale Datenspeicherung verzichtet werden.

Aufgrund noch fehlender Standards bei PAYD dürfte das Versicherungsangebot mittelfristig sehr heterogen ausfallen, sodass die herkömmlichen Tarifmodelle erhalten bleiben, bei denen lediglich ereignisbezogene Tarifelemente, welche Rückschlüsse auf das Fahrverhalten zulassen (wie Führerausweisentzüge, Unfälle etc.), in die Versicherungsprämie einfliessen. Solange für den Versicherungsnehmer kein (finanzieller) Zwang besteht, eine weitergehende PAYD-basierte Versicherungsprämie zu wählen, welche das Fahrverhalten unabhängig von bestimmten Ereignissen analysiert, ist die Situation aus Datenschutzsicht nicht problematisch.

Da für Aussenstehende oft nicht nachvollziehbar ist, was beispielsweise in einer Black Box aufgezeichnet wird, ist es sowohl für den Versicherer wie auch für den Versicherten eine Vertrauensfrage, wie mit diesen sensiblen Personendaten umgegangen wird.

Beschränkung der Abrufbarkeit von Daten (Vorauswertung)

Da ereignisunabhängige Fahrverhaltensdaten meist über ein Aufzeichnungsgerät mit eigenständiger Recheneinheit  (wie z.B. eine Black Box) erhoben werden, könnte bereits innerhalb dieser Recheneinheit eine erste Auswertung vorgenommen werden. Anstatt der Primärdaten würden dann nur noch die auf diese Art berechneten Sekundärdaten, die für die Ausgestaltung des PAYD-Tarifs erforderlich sind, an den Versicherer übermittelt. Dies hätte den Vorteil, dass die Auswertung dezentral erfolgte und der Versicherer nur noch aggregierte Daten abrufen könnte. Aus solchen wäre es dem Versicherer im Gegensatz zu Primärdaten dann kaum noch möglich, mit geänderten Auswertungsalgorithmen weitergehende und eventuell zweckfremde Auswertungen vorzunehmen.

Beschränkter Zugriff auf die in der Black Box gespeicherten Daten

Eine im Fahrzeug installierte Black Box muss vor Missbrauch und vor externen Zugriffen geschützt sein. Da sie personenbezogene Daten speichert, sollte neben dem Dateninhaber (hier die Versicherung) lediglich der Benutzer des Fahrzeugs über diese Daten verfügen können. So muss eine Black Box, welche über eine Kommunikationseinheit verfügt, dahingehend geschützt sein, dass kein unberechtigter Dritter Daten über diese Kommunikationseinheit abrufen kann.

(zuletzt aktualisiert: Dezember 2015)

https://www.edoeb.admin.ch/content/edoeb/de/home/datenschutz/versicherungen/fahrzeugversicherungen/pay-as-you-drive--payd---erlaeuterungen-zum-einsatz-von-black-bo.html