Politiker lobten den Online-Service Mein Justizpostfach im Herbst 2023 als neuen Königsweg für eine "digitale, rechtssichere und kostenfreie Kommunikation mit der Justiz". Bürger können diesen seit Kurzem etwa nutzen, um über ein zivilrechtliches Online-Verfahren eine Klage im Bereich der Fluggastrechte zu erstellen. Künftig sollen sich damit auch kleinere Streitwerte kostengünstig eintreiben lassen. Doch dieser Komfort geht zulasten des Datenschutzes: Persönliche Informationen von Nutzern werden in einem zentralen Verzeichnis für eine große Zahl von Beschäftigten im Justizwesen zugänglich gemacht. Das lädt zu Missbrauch ein.
BundID als Stein des Anstoßes
Stein des Anstoßes: Wer vom MJP Gebrauch machen will, benötigt nicht nur die umstrittene, bereits von Datenabflüssen betroffene BundID. User werden auch automatisch in den sogenannten SAFE-Verzeichnisdienst eingetragen. Dieses laut den Verantwortlichen "sichere" Register, das von der Justiz und verschiedenen Kammern wie der Rechtsanwalts- und Notarkammer betrieben wird, enthält Vor- und Nachnamen, Adressen und Länderkennung der Nutzer. Diese Daten müssen laut der Verordnung für den elektronischer Rechtsverkehr (ERVV) in ihrer Gesamtheit vorliegen, um Absender eindeutig zu identifizieren.
Schätzungen des IT-Sicherheitsexperten Markus Drenger zufolge haben über eine Million Personen aus dem Justizwesen und Inhaber besonderer elektronischer Postfächer Zugriff auf dieses Verzeichnis. Dazu gehören unter anderem Anwälte, Notare, Steuerberater und Behörden, wie der Fachmann gegenüber Netzpolitik.org betonte. Das Landesjustizministerium Baden-Württemberg, das für den Betrieb des MJP zuständig ist, bestätigte dem Portal, dass diese Daten abrufbar sein müssten, um den rechtlichen Anforderungen zu entsprechen. Es verwies zugleich auf Verschwiegenheitspflichten der am elektronischen Rechtsverkehr Beteiligten.
Meldesperre wird ausgehebelt
Schon im MJP-Pilotbetrieb ermöglichte es eine Fehleinstellung im System Dritten offenbar, auf Daten Fremder zuzugreifen. Das SAFE-Verzeichnis war so konfiguriert, dass die Informationen der Bürger, die eigentlich geschützt bleiben sollten, öffentlich einsehbar waren. Betroffene Nutzer wurden erstnachträglich per BundID über das Datenleck informiert.
Drenger moniert gegenüber Netzpolitik.org nun, dass es für bestimmte Personengruppen wie Stalking-Opfer, Journalisten oder Zeugen von Verbrechen extrem riskant sein kann, wenn ihre Adressdaten in einem solchen Verzeichnis einsehbar sind. Auch bei Prominenten und Politikern sieht er gute Gründe, ihre privaten Daten nicht zu veröffentlichen. Früher hätten viele Bürger ihr Recht auf Widerspruch in Anspruch genommen, "um nicht mit Namen und Telefonnummer im Telefonbuch aufzutauchen". Nun erwarte die Regierung, "dass alle Menschen mit Namen und Adresse in einem quasi-öffentlichen Verzeichnis genannt werden".
Besonders gravierend ist, dass das MJP eine Meldesperre umgeht, die Bürger beim Einwohnermeldeamt aus Sicherheitsgründen beantragen können. Auf der MJP-Website findet sich lediglich ein knapper Warnhinweis, dass personenbezogene Daten aus der BundID auch bei einer Meldedatensperre an Dritte übermittelt werden und die Nutzung für solche Personen nur bedingt geeignet sei. Erst im Zuge der Weiterentwicklung des MJP soll die Einrichtung eines Postfachs künftig voraussichtlich auch ohne Veröffentlichung der Anschrift möglich werden.
Funktion vor Datenschutz?
Das Justizministerium Baden-Württemberg will angesichts der Kritik prüfen, ob künftig weniger Daten im MJP erfasst werden können. Es unterstreicht aber, dass die "Aufrechterhaltung der nötigen rechtlich-funktionalen Anforderungen" Priorität habe. Dies deutet darauf hin, dass die Funktionalität des Dienstes derzeit über den Datenschutz gestellt wird.
Drenger vergleicht diesen Ansatz mit der Ansage an Autofahrer, sicher zu fahren, während die Hersteller gleichzeitig auf den Einbau von Gurten und Airbags verzichteten. Er beklagt, dass die verantwortlichen Behörden bewusst in Kauf nähmen, dass Menschen durch diese Praxis zu Schaden kommen könnten.
Keine Ende-zu-Ende-Verschlüsselung
Ein weiteres bekanntes Problem des MJP ist die fehlende Ende-zu-Ende-Verschlüsselung der Kommunikation. Zwar erklärt das federführende Justizressort, dass Nachrichten bis in den Webclient kryptografisch abgesichert übermittelt werden. Laut Drenger bleiben die Nachrichten für die Betreiber der Postfächer aber lesbar, ähnlich wie bei einem klassischen E-Mail-Dienstleister. Die Verschlüsselung erfolge lediglich für den Transport der Nachricht.
(nen)
English (US) ·