Datenpannen bei LegalTech: Gefahr für RSV

Veröffentlicht von DAHAG am

LegalTech-Anbieter treten gern als moderne, effiziente Schnittstelle zwischen
Kundinnen und Kunden, Kanzleien und Versicherern auf. Gerade deshalb wiegen Sicherheitsmängel in diesem Umfeld besonders schwer. Eine aktuelle Veröffentlichung des Chaos Computer Club (CCC) zeigt erneut, wie empfindlich die Kombination aus digitalem Rechtsservice, sensiblen Mandatsdaten und unzureichender Informationssicherheit ist: Die Legal-Tech-Plattform advocado hatte einen Wartungsmodus versehentlich öffentlich verfügbar gemacht. Darüber konnte auf hochgeladene Beratungs-Dokumente und Gesprächsaufzeichnungen zugegriffen werden. https://www.ccc.de/de/updates/2026/debug-modus-bei-legal-tech-plattform-advocado-legt-sensible-daten-offen

Bereits 2025 hatte der CCC gravierende Datenlecks bei myRight und EUflight offengelegt, von denen nach Angaben des Clubs rund 325.000 Nutzerinnen und Nutzer betroffen waren. https://www.ccc.de/de/updates/2025/ccc-deckt-datenlecks-bei-legal-tech-plattformen-auf

Informationen über den Autor

Dennis Schmolk – Informationssicherheitsbeauftragter der DAHAG Rechtsservices AG
Rückfragen, Feedback und Anmerkungen zum Artikel sind immer willkommen!
Schreiben Sie an dennis.schmolk@dahag.de

Sicherheitsvorfälle schlagen aber nicht nur bei Startup-LegalTechs zu, sondern auch bei etablierteren Anbietern, wie im April der Fall RA-Micro zeigte – der es damit sogar in den SPIEGEL schaffte. https://www.spiegel.de/panorama/justiz/kanzleisoftware-ra-micro-130-kanzleien-von-sicherheitsluecken-betroffen-a-44d3e854-63e7-4746-b09a-85a0259c4136

Gefahr für RSV

Warum betrifft das auch Rechtsschutzversicherungen? Weil sie zunehmend LegalTech-Plattformen kleiner Startups in ihre Prozesse einbinden. Das spart in vielen Fällen Aufwand und Kosten, stellt Innovationsfähigkeit unter Beweis und bietet Versicherungsnehmern oft eine bessere User Experience als „hauseigene“ Systeme. Aber Befunde wie die des CCC sollten Rechtsschutzversicherer alarmieren.

Denn betroffen sind nicht bloß „irgendwelche Daten“, sondern typischerweise hochsensible Informationen aus konkreten Rechtsfällen: Ausweisdokumente, Vollmachten, Verträge, Inkasso-Schreiben, Unterlagen zu Gerichts- und Kanzleirechnungen oder Tonaufzeichnungen aus Beratungsgesprächen.

Die Hausaufgaben nicht gemacht

Aus unserer Sicht als Dienstleister für Rechtsschutzversicherungen bestätigt das einen Eindruck, der sich in der Praxis immer wieder aufdrängt: Bei manchen LegalTechs ist das Bewusstsein für Informationssicherheit, Vertraulichkeit und Mandantengeheimnis noch immer nicht auf dem Niveau, das der Sensibilität der verarbeiteten Daten angemessen wäre. Klar: Konkurrenzdruck und technologische Schnelllebigkeit erschweren es, nachhaltig hohe Sicherheitsstandards zu halten.

In den geschilderten Fällen aber ging es um grundsätzlich „vergessene Hausaufgaben“. Im Zentrum standen jeweils keine hochkomplexen Angriffe, sondern eher vermeidbare, „technisch langweilige“ Schwachstellen: offen zugängliche Verzeichnislisten, frei erreichbarer Quellcode, ungeschützte Debug-Schnittstellen, schwache Passwörter oder im Klartext abrufbare Zugangsdaten. Gerade das macht die Fälle so problematisch. Nicht die Raffinesse des Angriffs steht im Vordergrund, sondern fehlende „Basishygiene“.

Drittdienstleister, Lieferketten und Co.

Für Rechtsschutzversicherer ist das ein handfestes Drittparteien- und Lieferkettenrisiko. Wer externe digitale Rechtsdienstleister einbindet, verlagert operative Risiken nicht einfach nach außen. Vielmehr entstehen zusätzliche Abhängigkeiten: von Plattformarchitekturen, Cloud-Speichern, Entwicklungsprozessen, Berechtigungskonzepten und Incident-Handling beim Partner. Genau hier setzen die europäischen Regulierungsrahmen an. Die zielt auf ein hohes gemeinsames Cybersicherheitsniveau in der EU und umfasst ausdrücklich Risikomanagementmaßnahmen rund um Cybersecurity; dazu gehören nach den einschlägigen Umsetzungsstandards auch Aspekte der Lieferkettensicherheit. Noch unmittelbarer ist der Bezug zu DORA für den Finanzsektor. Die EU-Verordnung zur digitalen operationalen Resilienz verlangt von Finanzunternehmen ein belastbares IKT-Risikomanagement und adressiert ausdrücklich das Management von IKT-Drittparteienrisiken.

Wer als Versicherer mit externen digitalen Rechtsdienstleistern zusammenarbeitet, muss deren Sicherheitsniveau, Kontrollumgebung und Datenverarbeitung sehr viel genauer betrachten als früher. Denn ein Vorfall beim Dienstleister kann unmittelbar auf den Auftraggeber zurückschlagen — regulatorisch, operativ und kommunikativ. Die Frage lautet dann nicht mehr nur, ob ein Fall effizient digital bearbeitet wurde, sondern ob der Versicherer seine Sorgfaltspflichten gegenüber ausgelagerten oder eingebundenen Dienstleistern ausreichend wahrgenommen hat.

Reputationsrisiken

Aber es drohen nicht nur Bußgelder und Sanktionen aufgrund von NIS-2 und DORA, sondern vor allem ein Image-Schaden bei Versicherungsnehmern. Diese nehmen eine Datenpanne, die beim „Drittdienstleister“ entsteht, möglicherweise auch als Versagen ihres Versicherers wahr – ohne diesen wären sie schließlich gar nicht beim LegalTech gelandet. Und spätestens an dieser Stelle wird neben dem Vertraulichkeitsproblem „geleakter“ Personen- und Falldaten auch noch ein Verfügbarkeitsproblem sichtbar: Wenn die Infrastruktur, auf der das LegalTech-System läuft, ausfällt, leidet darunter auch das Service-Level des Versicherers. Im schlimmsten Fall können in den ARB vereinbarte Leistungen über einen längeren Zeitraum nicht erbracht werden.

Deshalb sollten Rechtsschutzversicherer die aktuellen Findings des CCC als Warnsignal verstehen. Nötig sind aus unserer Sicht eine deutlich kritischere Due Diligence bei der Auswahl von LegalTech-Partnern, klare vertragliche Sicherheitsanforderungen, belastbare Nachweise zu Berechtigungen, Verschlüsselung, Logging, Schwachstellenmanagement, Meldewesen und Incident Response.

Informationssicherheit ist keine Kür

Die Lehre aus den Fällen myRight, EUflight und advocado ist damit klar: LegalTech kann Prozesse beschleunigen und Zugänge zum Recht vereinfachen. Aber wo digitale Rechtsdienstleistungen mit schwacher Sicherheitskultur zusammentreffen, entsteht ein Risiko, das weit über den einzelnen Anbieter hinausreicht. Es betrifft die gesamte Wertschöpfungskette — und damit auch die Rechtsschutzversicherer, die solche Angebote beauftragen, integrieren oder mit ihnen kooperieren. Wer LegalTech als Partner einsetzt, muss Informationssicherheit und Mandatsvertraulichkeit deshalb nicht als technisches Nebenthema behandeln, sondern als zentrale Governance-Frage.

Die DAHAG nimmt Informationssicherheit und Datenschutz seit jeher sehr ernst – in ihren eigenen Systemen, aber natürlich auch bei den Entwicklungen für ihre Kunden. Daher werden wir den nächsten Rechtsschutzreport ganz dem Thema Informationssicherheit widmen: Im Sommer erscheint eine Sonderausgabe rund um DORA, technische Sicherheit, Kriterien für die Auswahl geeigneter Dienstleister und Co. Bis dahin: Bleiben Sie sicher!

Kategorien: Rechtsschutz

Ähnliche Beiträge

Rechtsschutz

KI ist jetzt voll da – was bedeutet das für Rechtsschutz?

KI ist mittlerweile auch für große Teile der Bevölkerung im täglichen Alltag angekommen. Also auch bei den RSV-Versicherungsnehmern. Bis vor einem Jahr haben die Telefonanwälte noch regelmäßig zu hören bekommen „Das habe ich gegoogelt.“ Seit Weiterlesen

Rechtsschutz

5 Thesen: Was GPT über den Einfluss von KI auf den Rechtsmarkt denkt

Vor rund 2 Jahren – etwa ein Jahr nach Launch von ChatGPT – haben wir an dieser Stelle schon einmal einige Thesen zum Einfluss von KI auf den Rechtsmarkt aufgestellt und über halluzinierende Bots, datenschutzrechtliche Weiterlesen

DAHAG Intern

KI – Totengräber oder Erlöser des Rechtsschutzes?

Natürlich beschäftigt das Thema KI auch den DAHAG Vorstand bereits seit geraumer Zeit. Nachdem die Euphorie mit Launch von ChatGPT zunächst groß war, kristallisierten sich nach und nach auch einige Risiken heraus. Was Johannes Goth Weiterlesen