Datenschutzlücken bei „Mein Justizpostfach“

Es ist ja so: Der digitale Fortschritt soll unser Leben einfacher machen und im Idealfall sogar besser. Doch was bei „Mein Justizpostfach“ (MJP) passiert, klingt eher nach digitalem Super-GAU als nach moderner Verwaltungsinnovation.

Stellen Sie sich vor, Sie wollen eine Fluggesellschaft verklagen, weil der Rückflug aus Malle mal wieder zur Geduldsprobe wurde. Das geht seit Kurzem sogar online! Ganz bequem von der Couch aus. Klingt entspannt, oder? Wird aber ziemlich unentspannt, wenn man näher hinschaut. Denn wer das MJP nutzt, wird automatisch Mitglied in einem exklusiven Club, von dem man nie wusste, dass man dazugehören möchte: dem sogenannten SAFE-Verzeichnis. Der Name suggeriert Sicherheit, hält dieses Versprechen aber nicht. Dieses zentrale Register enthält Ihren Namen, Ihre Adresse und Ihre Länderkennung – und ist für über eine Million Menschen aus dem Justizapparat einsehbar. Richter, Staatsanwälte, Anwälte, Notare, Behörden und wahrscheinlich auch für den Typen, der in der Justizkantine die Erbsensuppe umrührt.

Besonders pikant: Ohne BundID, das bereits wegen Datenlecks in den Schlagzeilen war, geht beim MJP gar nichts. Und mit der Anmeldung sind Sie nicht nur drin, sondern gleich nackt im digitalen Schaufenster. Eine Meldesperre beim Einwohnermeldeamt? Wird einfach ignoriert. Auf der Website des MJP steht dazu nur ein kleiner Hinweis: Dieser Dienst sei für bestimmte Personen nur „bedingt geeignet“. Aha.

Markus Drenger, IT-Sicherheitsexperte und Datenschutzdetektiv, bringt es auf den Punkt: Für gefährdete Gruppen wie Stalkingopfer, Zeugen, Journalisten oder Promis ist dieses System ein Sicherheitsrisiko mit Ansage. Früher konnte man noch sagen: „Ich will nicht im Telefonbuch stehen.“ Heute wird man ohne Rückfrage gleich ins digitale Adressverzeichnis der Republik geworfen.
Und das ist noch nicht alles: Die Kommunikation im MJP ist zwar irgendwie verschlüsselt, aber eben nur auf dem Transportweg. Sobald die Nachricht im Postfach landet, ist sie für Personen mit Admin-Rechten so lesbar wie eine Postkarte.

Das Justizministerium verweist zwar auf rechtliche Vorgaben und Verschwiegenheitspflichten, doch mal ehrlich: Würden Sie Ihrem Friseur Ihre Kontodaten anvertrauen, nur weil er gesetzlich zur Diskretion verpflichtet ist? Datenschutz sollte nicht auf Vertrauen beruhen, sondern auf Technik, die Vertrauen überflüssig macht.

Kurz gesagt: Das MJP ist ein bisschen wie ein Elektroauto ohne Bremsen. Es fährt zwar, aber sicher ist das nicht. Wenn der digitale Staat wirklich Vertrauen schaffen will, muss er nicht nur schneller werden, sondern auch sicherer. Denn wer Bürger zur Digitalisierung zwingt, ohne sie zu schützen, fährt volle Knäcke gegen die Wand.