Datenleck„Mein Justizpostfach“ gewährt Dritten Datenzugriff

Über das neue Justizpostfach sollen Einzelpersonen digital mit der Justiz kommunizieren können. Doch der Preis dafür ist hoch, denn deren privaten Daten gelangen in das Adress-Verzeichnis des elektronischen Rechtsverkehrs, auf das tausende Menschen aus der Justiz zugreifen können.

Marco Buschmann gestikuliert, im Hintergrund sind Aktenstapel
Marco Buschmann erklärte in einer Pressemitteilung die Vorzüge von „Mein Justizpostfach“. – Alle Rechte vorbehalten Marco Buschmann: IMAGO/MichaelxKorte; Aktenstapel: IMAGO/Shotshop; Montage: netzpolitik.org

Am 13. Oktober bewarb Marco Buschmann (FDP) vom Bundesjustizministerium das Projekt Mein Justizpostfach (MJP). Im Rahmen des Onlinezugangsgesetzes (OZG) sollen damit Einzelpersonen und Unternehmen leichter mit der Justiz kommunizieren können. „Mit dem Dienst ‚Mein Justizpostfach‘ stellen wir ihnen erstmals einen kostenfreien und einfachen Weg zur Teilnahme am elektronischen Rechtsverkehr zur Verfügung. Damit die digitale Justiz auch tatsächlich bei den Bürgerinnen und Bürgern ankommt“, so Buschmann in seinem Pressestatement.

Noch befindet sich das Angebot in der Pilotphase, doch langfristig soll es den gesamten Rechtsverkehr abwickeln und bis auf Ausnahmefälle die Briefpost ersetzen. Dabei ist das Ziel, neben Bürger:innen und Unternehmen möglichst viele Akteur:innen einzubinden: Sachverständige, Gerichtsvollzieher:innen, Dolmetscher:innen, gesetzliche Betreuer:innen, Sozialverbände und Gewerkschaften, aber auch Verbraucherzentralen und Inkassodienstleister. Laut Pressemitteilung des BMJ sollen Nutzer:innen damit „Klagen bei Gericht rechtswirksam einreichen oder Dokumente wie Mietverträge oder Bußgeldbescheide auf sichere Weise elektronisch an ihre Anwälte übermitteln“ können.

Wer das MJP nutzen will, muss sich zudem ein BundID-Konto anlegen. Das sei ein „weiterer guter Grund, um sich für die BundID zu entscheiden“, erklärte Bundesinnenministerin Nancy Faeser (SPD) in der Pressemitteilung. Für Bürger:innen und Unternehmen ist die Einrichtung beider Konten bislang freiwillig.

Vertrauen ins Justizwesen

Doch ob das MJP wirklich ein „guter Grund“ für die BundID ist, erscheint fraglich: Wollen sich Privatpersonen für das OZG-Postfach MJP registrieren, brauchen sie großes Vertrauen in die Justiz. Denn ihre personenbezogenen Daten sind nicht nur einsehbar für Behörden und Anwält:innen, mit denen sie in direktem Kontakt stehen, sondern auch für alle Teilnehmer:innen des elektronischen Rechtsverkehrs, die im Justizwesen arbeiten. Dazu zählen neben ihrem Personal rund 165.000 Rechtsanwält:innen und rund 6.700 Notar:innen. Hinzu kommen alle Behördenmitarbeiter:innen, die beim besonderen elektronischen Behördenpostfach (beBPo) angemeldet sind.

Dieses Postfach wie auch die besonderen Postfächer für Anwält:innen (beA), Notar:innen (beN) und Steuerberater:innen (beST) beruhen auf der Infrastruktur des Elektronischen Gerichts- und Verwaltungspostfaches (EGVP). Das MJP, das zunächst Elektronisches Bürger- und Organisationspostfach (eBO) hieß, baut technisch und rechtlich auf diesem System auf. Das wiederum sieht ein besonderes Online-Verzeichnis vor, in dem wie in einem Adressbuch die Daten von Rechtsanwält:innen, Notar:innen und anderen in der Justiz Tätigen neben Daten der Gerichte erfasst sind. Das sind Angaben wie Name und Anschrift, E-Mail-Adressen, die auch in städtischen Verzeichnissen öffentlich zugänglich sind.

Zocken gegen den Bullshit

Meine Daten, deine Daten

Mit Nutzung des MJP gelangen jedoch nun auch personenbezogene Daten von Privatpersonen wie deren Name und Anschrift in dieses Verzeichnis. Wenn sich Bürger:innen mit ihrem Personalausweis für Mein Justizpostfach registrieren, werden die Daten weitergegeben an die BundID. Die wiederum leitet die Daten an das Verzeichnis weiter. Sobald sie im Verzeichnis sind, sind sie im Zugriff der Justiz, das heißt, sie werden gegenüber Rechtsanwälten, Notaren und Steuerberatern offengelegt. „Für die Datenübermittlung an hunderttausende Dritte, wie hier zum Beispiel Kanzleien, ist mir keine Rechtsgrundlage bekannt“, so Markus Drenger gegenüber netzpolitik.org. Er ist IT-Sicherheitsexperte und Netzaktivist.

Die MJP-Webseite weise „allerdings an keiner Stelle darauf hin, dass Bürger:innendaten in einer so öffentlichen Datenbank stehen“. Im Gegenteil, die Seite suggeriere, dass die Nutzung des Postfachs sicher ist. Daher warnt Drenger zunächst davor, das Postfach zu benutzen.

Denn dass der Zugriff auf Daten von Privatpersonen so großzügig gewährt wird, erleichtert Datenmissbrauch, etwa durch Menschen mit rechtsradikaler politischer Einstellung. Das Risiko steigt vor allem für sensible Personengruppen, etwa Personen des öffentlichen Lebens, die Hass und Hetze ausgesetzt sind.

Zudem schließt es generell Menschen von der Nutzung dieser Lösung aus, die aus Sicherheitsgründen ein hohes Bedürfnis nach Datenschutz haben. Konkret betrifft das auch Personen, die beim Einwohnermeldeamt eine Meldesperre eingerichtet haben, weil sie beispielsweise durch Ex-Partner:innen bedroht oder aus religiösen Gründen verfolgt werden. Dazu gibt es Vorgaben im Meldegesetz und auch im Zeugenschutzgesetz. Technisch seien diese Fälle nicht abgebildet, sagt Drenger.

Sicherheitsvorfall verharmlost

Wie problematisch der Umgang mit privaten Informationen ist, zeigt sich auch darin, dass das Verzeichnis mit den personenbezogenen Daten von 13. Oktober bis 9. November öffentlich einsehbar war. Am 13. November erhielten Nutzer:innen der BundID, die sich für das MJP angemeldet hatten, eine Benachrichtigung. Darin versichern die Behörden, dass ihnen bislang keine Abrufe personenbezogener Daten bekannt seien.

Um auf das Verzeichnis von außen zugreifen zu können, „war nur eine API-Anfrage notwendig“, so Drenger, der das Leck schon früh an den Bundesdatenschutzbeauftragten sowie an das Justiz- und Innenministerium meldete. Mit Standard-Software wie „wget“ hätten Daten gefiltert nach Typ abgegriffen werden können, etwa nach Bürger:innen, Behörden oder Anwält:innen. Auf Mastodon meldete sich inzwischen auch der Bundesdatenschutzbeauftragte zu Wort: Man habe die „Arbeit zum berichteten Datenleck“ aufgenommen.

Dass private Daten ins Verzeichnis eingetragen werden, sei mit Bezug auf die Verordnung zum elektronischen Rechtsverkehr (ERVV) rechtlich sogar gewollt. Denn danach sollen auch private Nutzer:innen des MJP in „einem sicheren elektronischen Verzeichnis“ stehen. Diese Vorgabe setzten die zuständigen Behörden BMJ und BMI wie auch der IT-Dienstleister Governikus um, ohne datenethische Bedenken zu berücksichtigen.

Governikus ist ein bekannter Anbieter von IT-Lösungen für die öffentliche Verwaltung. Auf der Webseite bewirbt das Unternehmen das Postfach damit, dass es „so einfach wie E-Mail sei und dabei alle rechtlichen Anforderungen an das elektronische Bürger- und Organisationenpostfach“ erfülle.

Keine Ende-zu-Ende-Verschlüsselung

Vor einem unberechtigten Zugriff durch Dritte sind die privaten Daten auch deswegen nicht gesichert, weil die elektronische Kommunikation nicht Ende-zu-Ende-verschlüsselt verläuft. Zwar verspricht die Webseite eine verschlüsselte Kommunikation mit Behörden, Anwälten oder Notaren. Doch die Art der Verschlüsselung ist eben nicht Ende zu Ende, also nicht so verschlüsselt, dass nur die jeweiligen Kommunikationspartner eine Nachricht entschlüsseln können, wie Drenger erklärt.

Die Lösung sieht langfristig vor, dass Bürger:innen Nachrichten über das Webportal der BundID einsehen können sollen, so wie in einem E-Mail-Postfach. Zur Verschlüsselung ihrer Kommunikation mit der Justiz sollen ein persönliches Passwort und eine persönliche Schlüsseldatei dienen. Damit aber Nachrichten angezeigt werden können, muss der Server die Nachrichten lesen und entschlüsseln können.

Dass die Lösung keine Ende-zu-Ende-Verschlüsselung für Nachrichten mit sensiblem Inhalt anbietet, „steigert die Wahrscheinlichkeit von Datenlecks“, so Drenger. Umso gravierender ist das, wenn man bedenkt, dass das Postfach als zentrales Bürgerpostfach konzipiert ist. Darüber sollen Bürger:innen künftig nicht nur am elektronischen Rechtsverkehr teilnehmen, sondern auch andere Verwaltungsleistungen beantragen können.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

7 Ergänzungen

  1. Es gibt Dinge, die an nichts anderem als an sich selbst scheitern. (Franz Kafka, Das Schloss)

    Bezug zum Artikel: Ersetze Dinge im Zitat mit BundID, Justizpostfach, FDP, … etc.

  2. Ich kann nicht erkennen, warum man mal wieder mitlesen können will!
    Bei der dümmlichen DE-Mail war die Begründung, man müsse doch nach Viren scannen! Facepalm. Humbug.

    Bei den Anwälten (beA) heißt es, man müsse doch dran, wenn Anwalt krank oder tot oder so …. Humbug.

    Hier heißt es „um sie darstellen zu können“? LOL ?

  3. Danke für den Artikel.

    Da sollte, finde ich, zumindest der Bundesdatenschutzbeauftragte direkt „draufschauen“.

    Es soll übrigens auch weitere Datenbanken mit Direktzugriff geben, welche mit „wget“ ansprechbar sind.
    „wget“ nutzt übrigens die Standard-Protokolle Protokolle HTTPS, HTTP und FTP.

    Mich erinnert das übrigens an den „Skandal“ mit dem Handelsregister:
    https://www.bundestag.de/presse/hib/kurzmeldungen-924192

    1. Nur um sicher zu gehen: wget ist kein Spezialtool das irgendwelche Tricks benutzt – wenn wget auf etwas zugreifen kann, kann es auch ein normaler Webbrowser oder tausende andere Programme.

  4. „(beA), Notar:innen (beN) und Steuerberater:innen (beST) beruhen auf der Infrastruktur des Elektronischen Gerichts- und Verwaltungspostfaches (EGVP).“
    soweit richtig

    „Das MJP, das zunächst Elektronisches Bürger- und Organisationspostfach (eBO) hieß“
    ist falsch. ebo ist ebo und mjp ist mjp

    vielleicht sollte die verfasserin nicht nur mit einer person sprechen, sondern mit mehreren, um dem artikel stärke vzu verleihen? ansonsten sehe ich hier bei der angeblich fehlenden ende zu ende verschlüsselung und in anderen punkten die gleiche panikmache mit gefährlichem halbwissen, wie es seinerzeit mit der einführung des personalausweises gemacht wurde (der auch nicht geknackt wurde, wie oft behauptet). mit panik und falschangaben aufrufe generieren kenne ich sonst nur von clickbaits.

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge! Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.