Hadmut Danisch
Ansichten eines Informatikers

Die haarsträubenden Fehler des „Justizpostfachs“

Hadmut
10.6.2025 16:00
Uncategorized

Wenn Deutschland „digitalisiert“.

Ich hatte ja schon einige Male über meine Erlebnisse mit dem Justizpostfach berichtet.

Versteht mich nicht falsch: Ich halte es grundsätzlich für eine gute Idee und einen Schritt in die richtige Richtung. Da ich ja von Blogs wegen einige Rechtsstreitigkeiten am Hals habe, und dieses Justizpostfach – als eine Art Bürger-Analogie zum Anwaltspostfach – einem erlaubt, kostenlos (zumindest, wenn man die offizielle, behördliche Version verwendet) und digital mit Gerichten und manchen Behörden zu kommunizieren und Dateien (wie PDF, aber wohl auch andere, nur noch nicht ausprobiert) zu Übermitteln, ist das nicht nur von Vorteil, sondern auch weit angenehmer als Fax.

Ich weiß gar nicht mehr genau, wann ich mein letztes physisches Faxgerät hatte. In der Wohnung in Karlsruhe hatte ich noch eines, aber in München nicht mehr, das war so um 2009 herum. Weil man es aber in Deutschland ständig noch brauchte, war ich seither bei Fax-Dienstleistern mit einem Account. Eine Zeit lang habe ich auch ein Modem verwendet. Ja, ich weiß, die Fritzbox kann auch Faxe senden und empfangen – aber nicht richtig gut, keine langen Faxe, und man muss die Datei vorher wandeln und so weiter. Langer Rede kurzer Sinn, das Zeitalter des Faxes ist einfach vorbei, und der Fax-Account wurde auch immer teurer, und mir dann auch viel zu teuer, denn das läppert sich ja auch. Und technisch ist das ja auch ein Witz. Es ging aber nun mal nicht anders mit Gerichten und Behörden, und jetzt endlich haben sie da eine Alternative. Also habe ich dann vor einigen Monaten schlussendlich auch meinen Fax-Account gekündigt, weil das „Justizpostfach“ eigentlich alles abdeckt, wozu ich das Fax überhaupt noch gebraucht habe.

Das Problem: Es ist nicht gut umgesetzt.

Es ist sogar ziemlich schlecht umgesetzt.

Ich hatte einige Punkte früher schon angesprochen:

  • Es gibt keinerlei Versand- oder Empfangsnachweis. Einen Brief kann ich per Einschreiben verschicken. Ein Fax habe ich zumindest auf der Telefonrechnung oder bekam beim Faxdienstleister eine Bestätigung mit Datum, Empfängernummer und einer verkleinerten Version der ersten Seite. Man hat da zumindest eine Art „Zeuge“, einen Dritten, der einem das bestätigt.

    Nicht beim Justizpostfach. Die Webseite zeigt einem zwar an, dass man etwas verschickt hat oder wann man etwas bekommen hat – mehr als einen Screenshot davon kann man aber nicht machen, und der ist beweistechnisch eigentlich wertlos.

    Ich hätte erwartet, dass man für Empfang und vor allem für Versand eine signierte und damit beweisfähige Bestätigung bekommt, mit der man dann zusammen mit der versandten Datei einen Nachweis hat. Aber das gibt es da nicht.

  • Das Ding ist überaus kompliziert. Es bedarf eines langen, komplizierten und verwirrenden Ablaufs, um sich einzuloggen. Und dafür noch einen speziellen Kartenleser und den Personalausweis.
  • Anfangs hat man gar nicht erfahren, wenn man etwas erhalten hatte, und musste alle paar Tage in die Mailbox schauen.

    Seit einigen Monaten ist das anders, man bekommt dann eine Nachricht auf Bund-ID. Was voraussetzt, dass man überhaupt mal verstanden hat, dass es zwei verschiedene Mailboxen gibt, nämlich die der Bund-ID, die sich auf den Dienst selbst bezieht, und dann die vom Justizpostfach, die diesen Dienst nutzt.

    Man bekommt inzwischen also eine Nachricht per E-Mail, dass man eine Nachricht in Bund-ID hat. Dort loggt man sich umständlich ein, um dort diese Nachricht zu lesen, in der dann steht, dass man eine Nachricht im Justizpostfach hat, wo man sich – umständlich – einloggen möge.

  • Wie man an seine Nachrichten kommt, wenn der Personalausweis weg ist oder – wie bei meinem ersten elektronischen – der Chip kaputt ist, und es in Berlin Wochen und Monate dauert, um überhaupt irgendwie an einen Termin zu kommen, ist ungeklärt.
  • Die Nachrichten sind zusätzlich noch mit einem PKCS-Schlüssel verschlüsselt, den man aufbewahren muss, und das Passwort dazu auch nochmal.

    Mir ist mal ein Versehen passiert. Ich hatte mal versehentlich per Copy-Paste das Passwort für diesen Schlüssel in die Suchmaschine eingegeben, weil ich dachte, etwas anderes im Paste-Buffer zu haben. Nicht wirklich schlimm, weil ein Angreifer ja auch noch die Schlüsseldatei selbst und den Personalausweis haben müsste, und man das Passwort der Schlüsseldatei auch ändern kann (PKCS12), aber formal ist er kompromittiert, denn wozu sollte das Passwort gut sein, wenn es nicht kompromittiert wäre, wenn man es versehentlich offenlegt? Wenn das unschädlich wäre, dann wäre das Passwort ja auch überflüssig.

    Also habe ich das zum Anlass genommen, mal nachzufragen, was eigentlich die offizielle Vorgehensweise ist, wenn dieser Datensverschlüsselungsschlüssel a) kompromittiert und b) verloren ist, wie also Key Recovery oder Schlüsseltausch ablaufen. Ich habe nie eine Antwort bekommen. Das ist anscheinend nicht vorgesehen.

Das Ding hat nicht nur spezifisch eine Reihe von Macken und ungeklärter Fragen, es ist generell ein Problem des ePerso, dass es ein Widerspruch in sich ist, dass man einerseits so wichtige und rechtsrelevante Funktionen auf den ePerso aufbaut, während es gleichzeitig zum Chaos wird, wenn man einen neuen Personalausweis braucht. Wenn er abläuft, weiß man das vorher und kann sich rechtzeitig darum kümmern (meinen Reisepass habe ich gerade deshalb neulich schon ein dreiviertel Jahr vor Ablauf erneuert, weil ich da dem Laden nicht mehr traue), aber wenn er verloren geht, oder defekt ist (wie bei meinem ersten), wird man davon ja überrascht.

Das Problem ist wohl nicht nur nicht gelöst – es interessiert anscheinend einfach niemanden. Ich habe den Eindruck, dass man schon die Frage nicht versteht, weil das im Behörden- und Beamtenweltbild nicht vorkommt.

Das neue Problem

Ich habe einige Streitigkeiten laufen, bei denen ich über das Justizpostfach kommuniziere, und das sind gerade zweie, nämlich mit dem Verwaltungsgericht Wiesbaden und dem Amtsgericht Berlin, beides in Sachen Kontoabfrage.

Obwohl man theoretisch auch nur mit Handy (falls mit NFC-Kartenleser, aber das haben heute fast alle) und ePerso drauf kann, bracht man faktisch Notebook und Kartenleser, denn es ist grauslich, das auf dem Mini-Bildschirm und mit Handy-Tastatur zu machen, da wird man wahnsinnig, vor allem beim Eintippen von Passwörtern und dem Übertragen der Schlüsseldatei.

Deshalb hatte ich in Japan gerade auch einen Kartenleser dabei.

Am letzten Tag meines Japan-Aufenthalts ging es los. Es kam eine Mail von Bund-ID, es gäbe eine Nachricht für mich. War klar, das läuft (siehe oben) auf Justizpostfach hinaus, aber ich war gerade schon dabei, die Koffer für die Rückreise zu packen und hatte den Kartenleser schon tief drinnen verpackt, und dachte mir, nee, den suche ich jetzt nicht nochmal raus, das muss jetzt 2 Tage warten können, bis ich wieder in Berlin bin.

An dem Tag kamen dann aber – über 5 Stunden verteilt – insgesamt 8 solcher Mitteilungen.

Prima, dachte ich, das ist ein gutes Zeichen. Das heißt, dass da irgendwer Akten übermittelt, mir eine Gegenseite Akteneinsicht verschafft. Denn irgendwelche ablehnenden Entscheidungen kommen nicht in 8 Teilen über 5 Stunden.

Als ich dann aber wieder in Berlin war und in das Postfach reingeschaut habe, habe ich blöd geguckt: Denn obwohl ich acht Nachrichten bekommen hatte, dass ich acht Nachrichten in Bund-ID hatte, die allesamt zum Inhalt hatten, dass ich neue Nachrichten im Justizpostfach habe, war dort nur eine einzige neue Nachricht (und ich kann nicht mal beweisen, dass ich nur eine und nicht acht bekommen habe):

Unklar, ob es da um Datenschutz geht, oder ob ihnen einfach der Speicherplatz ausgeht.

Aber: Es ist völlig untragbar.

Denn mit dem Löschen der Sendungen nach 90 Tagen verliert man jeglichen Nachweis, jegliche Überprüfungsmethode, dass und ob man etwas versendet hat. Beispiel: Auf meinen Antrag an das Amtsgericht habe ich bisher noch keine Reaktion erhalten, und die Hälfte dieser 90 Tage ist schon rum. Das wird dann gelöscht, und ich habe nicht den geringsten Nachweis, das versandt zu haben. Genauso geht es mit einem Schreiben an eine Staatsanwaltschaft, die sich auch sehr viel Zeit lässt.

Und auch auf so eine Nachricht kann man nicht rechtzeitig reagieren. Laut BVerfG gilt es als normal und hinzunehmen, dass man bis zu 6 Wochen in Urlaub gehen kann. Wenn man das also im oder kurz vor seinem Urlaub als Warnhinweis bekommt und bisher gar nicht wusste, dass man etwas in der Mailbox hat, kann man das nicht mehr abfragen, wenn man beispielsweise keinen Kartenleser dabei hat – oder keinen Personalausweis, denn normalerweise verwendet man ja im Ausland nur den Reisepass.

Und was, wenn man so schnell keinen neuen Personalausweis auftreiben kann?

Und das Ding soll dann offiziell „rechtssicher“ sein und den Rechtsverkehr per Fax und auf Papier ersetzen.

Das ist völlig vermurkst.

Ich frage mich, wer sich so etwas ausdenkt. Und ich habe bisher nicht herausgefunden, wer sich das eigentlich ausgedacht hat. Muss jemand von der Sorte gewesen sein, dass Digitalisierung ist, wenn irgendwas mit Computern passiert, und Sicherheit, wenn irgendwo drinnen Verschlüsselung vorkommt.

Wir sind nicht mal mehr in der Lage, elementar Sicherheitsanforderungen zu erfüllen, tröten aber laut, dass wir in Sachen Digitalisierung ganz vorne mit dabei sein wollen.

Nachtrag: Es steht nicht einmal im Rechtssinne greifbar drin, von wem dieses Schreiben stammt, von welcher Behörde, von welcher Rechtsperson, wo man bei welchem Verwaltungsgericht dagegen klagen könnte. Oder wer das überhaupt entschieden hat.

Nachtrag 2: Es hat nicht einmal ein Datum.

Update: Ah, der MX record für justiz.de zeigt auf relay7m.it.nrw.de, der Mist wird also in NRW verzapft. Warum landet sowas immer beim linkesten und unfähigsten Bundesland?

Ist das ganze Ding am Ende eine Spionageaktion des Verfassungsschutzes?