Mit FiDA steht Versicherern ein tiefgreifender Umbruch bevor: Die EU will den Zugang zu Finanzdaten deutlich ausweiten. Das verspricht mehr Datenhoheit für Kunden, aber auch hohe technische und organisatorische Anforderungen für die Branche. Ob FiDA zum Innovationsmotor oder zur Compliance-Bürde wird, skizzieren André Prossner und Christian Pilgrim von der Beratungsgesellschaft Forvis Mazars.
Noch in 2025 soll die teils umstrittene EU-Verordnung über einen Rahmen für den Zugang zu Finanzdaten (Financial Data Access, kurz: FiDA) beschlossen werden. Seit April 2025 laufen die Trilog-Verhandlungen auf europäischer Ebene. FiDA ist (ähnlich wie der EU Data Act) die Antwort der EU auf die rasant zunehmende Digitalisierung des Finanzsektors und zielt auf eine moderne Datenökonomie: Wettbewerb und neue Geschäftsmodelle sollen gefördert, Verbraucher zugleich stärker in die Kontrolle über ihre Daten eingebunden werden.
Von Open Banking zu Open Insurance
Ziel der innovationsfördernden Regulierung ist es, den Zugang zu Finanzdaten über Zahlungsdienste hinaus (PSD2) auf Bereiche wie Versicherungen, Altersvorsorge, Kredite und Investments auszuweiten und europaweit zu vereinfachen. FiDA verpflichtet Versicherungsunternehmen, Kundendaten auf Wunsch über standardisierte Schnittstellen (Application Programming Interfaces, kurz: APIs) bereitzustellen. Ausgenommen sind Daten zur gesetzlichen Altersvorsorge sowie zu Kranken- und Lebensversicherungen. Dennoch fallen viele Produkte unter die Vorgaben – laut GDV potenziell rund 400 Mio. Verträge. FiDA markiert damit für Versicherer den Übergang von Open Banking zu Open Insurance. Für Verbraucher klingt dies vor allem nach mehr Datenhoheit, für Versicherer jedoch nach einem tiefgreifenden Umbruch: Wird FiDA also zum gewinnbringenden Innovationsmotor oder lediglich zu einer weiteren Mammutaufgabe in der Compliance-Landschaft?
Versicherer müssen technische Prozesse im Daten-, Schnittstellen-, Einwilligungs- und Berechtigungsmanagement anpassen, Datenschutz- und IKT-Sicherheitsvorgaben einhalten und sichere APIs einrichten. Vertrags-, Schadens- und weitere relevante Daten müssen in hoher Qualität – d. h. verfügbar, vollständig und konsistent – kostenfrei, in Echtzeit und strukturiert sowohl für Kunden als auch für autorisierte Dritte wie Makler, Vergleichsportale oder InsurTechs bereitgestellt werden. Häufig erfordert dies Modernisierungen von IKT-Infrastruktur und Datenmanagementprozessen, inklusive Harmonisierung und Bereinigung bestehender Datenbestände im Sinne der Datenqualität.
DSGVO und DORA bleiben verbindlich
Im Zuge der Datenfreigabe und -nutzung im Rahmen von FiDA gelten die Vorgaben der Datenschutz-Grundverordnung (DSGVO) sowie des Digital Operational Resilience Act (DORA) uneingeschränkt weiter. Vor der Übermittlung personenbezogener Daten über Schnittstellen müssen Versicherungsunternehmen daher ausdrücklich datenschutzrechtliche Einwilligungen der Verbraucher einholen. Den Anforderungen an Datensparsamkeit, Privacy by Design sowie an Betroffenenrechte ist zwingend nachzukommen.
Die DORA-Compliance spielt im FiDA-Kontext ebenfalls eine bedeutende Rolle: Versicherer müssen umfassende Anforderungen an das IKT-Risikomanagement und die digitale Resilienz erfüllen – darunter starke Authentifizierungsverfahren für den Zugriff auf Kundendaten, robuste Verschlüsselungs- und Monitoring-Systeme, Schwachstellen- und Patch-Management, Resilienztests sowie ein wirksames Incident Management.
Der vorliegende FiDA-Verordnungsvorschlag führt zudem für den Datenzugriff durch Dritte den neuen Erlaubnistatbestand des Finanzinformationsdienstleisters (Financial Information Service Provider, kurz: FISP) ein, um potenzielle Datenzugriffe auf regulierte Finanzunternehmen zu beschränken. Für FISP gelten die DORA-Anforderungen, so dass sowohl Dateninhaber als auch Datennutzer resiliente und sichere IKT-Infrastrukturen vorzuhalten haben, die gegen Datenmissbrauch und Datenschutzverletzungen wirken. Bei Verstößen gegen FiDA-Vorgaben drohen Versicherern ähnlich wie bei DSGVO- und DORA-Verstößen, neben Reputationsschäden empfindliche Geldstrafen: bis zu 50.000 EUR je Verstoß und bis zu 500.000 EUR pro Jahr oder zwei Prozent des jährlichen Gesamtumsatzes.
FiDA als Treiber für Digitalisierung, Datenqualität und neue Marktpotenziale
FiDA bringt für Versicherer erhebliche Implementierungsaufwände mit sich, die frühzeitig via Gap-Assessments identifiziert werden sollten. Gleichzeitig ergeben sich Vorteile für Unternehmen und Verbraucher: FiDA motiviert zu einer durchgängigen Digitalisierung der Wertschöpfungskette und ermöglicht skalierbare, effizientere Geschäftsmodelle. Versicherungsunternehmen profitieren zudem von einer zentralisierten, verbesserten Datenbasis, die durch aktuelle, vollständige und konsistente Kundendaten präzisere Risiko- und Prämienbewertungen ermöglicht. Darüber hinaus unterstützt die Verordnung die Entwicklung kundenorientierter Produkte und maßgeschneiderter Services – mit positiven Effekten auf Kundenbindung und Wettbewerbsfähigkeit – und befördert dadurch u. a. nebenbei ebenfalls datengetriebene KI-Initiativen.
Ferner entstehen durch einen offenen Datenzugang und Kooperationen mit InsurTechs, Finanzunternehmen und branchenfremden Partnern (z.B. Energieversorger, Autohersteller) neue, monetarisierbare Marktpotenziale für datenbasierte Produkte und Services. Die von FiDA-Skeptikern geäußerte Sorge, dass vom freien Zugang zu Daten vor allem Big-Tech-Unternehmen wie Amazon, Facebook, Apple & Co profitieren werden, darf an dieser Stelle nicht unerwähnt bleiben.
Zusammengefasst erfordert FiDA von Versicherungsunternehmen einen ganzheitlichen Compliance-Ansatz, der Data Governance und IKT-Sicherheit miteinander verzahnt. Bestehende Strukturen und Kontrollmechanismen für das Datenmanagement und die Datenqualität sind zu überprüfen und gemeinsam mit Branchenvertretern Standards zu entwickeln. FiDA kann ein Meilenstein auf dem Weg zu einem offenen und innovativen Versicherungsmarkt in Europa mit potenziell erheblichem Anstoß für neue Geschäftsmodelle sowie innovative Services und Produkte mit attraktiven Umsatzpotenzialen darstellen. Hierfür wird sich die Mehrzahl der Versicherer allerdings auf eine lange Implementierungsreise inklusive hohen Investitionen und teils radikalem Kulturwandel begeben müssen. Ob der Spagat zwischen regulatorischer Compliance und wirtschaftlichem Mehrwert gelingt und ob Kunden bereit sind, mehrheitlich ihre Daten für Innovationen freizugeben, wird die Zukunft zeigen. Ein wenig Zeit bleibt noch: Nach finaler Einigung auf EU-Ebene bleibt ab Inkrafttreten der Verordnung ein Umsetzungsfenster von 24 Monaten.