"Mein Justizpostfach" (MJP) soll Bürgerinnen und Bürgern eine digitale, rechtssichere und kostenfreie Kommunikation mit der Justiz ermöglichen. Der Dienst, der am 13.10.2023 in den Probebetrieb gestartet ist, erfordert ein digitales Bürgerkonto (BundID), in das personenbezogene Daten von Privatpersonen wie Name und Anschrift übernommen werden. Die elektronischen Identitäten der am Datenaustausch mit dem Gerichts- und Verwaltungspostfach teilnehmenden Personen sind dabei in einem SAFE-Verzeichnis hinterlegt. Während die Postfächer von Gerichten und Behörden in dem Verzeichnis öffentlich einsehbar sind, sollten die Bürgerdaten eigentlich geschützt bleiben.
Letzteres sei durch die Konfiguration aber nicht gewährleistet gewesen, da laut Justizministerium die personenbezogenen Daten von Bürgern bis zum 09.11.2023 öffentlich eingesehen werden konnten. Laut der Internetseite "netzpolitik.org", die zuerst über den Vorfall berichtet hat, haben die Verantwortlichen den Vorfall "heruntergespielt". Der IT-Sicherheitsexperte und Netzaktivist Markus Drenger, der das Datenleck an den Bundesdatenschutzbeauftragten sowie an das Justiz- und Innenministerium meldete, habe erklärte, es sei "nur eine API-Anfrage notwendig" gewesen, um die Daten einzusehen. Mit Standard-Software wie "wget" hätten Daten gefiltert nach Typ abgegriffen werden können, etwa nach Bürger, Behörden oder Anwältinnen.
Wie ein Sprecher des Innenministerium mitteilte, sei die Sicherheit der Ende-zu-Ende-Verschlüsselung der über MJP erfolgten Kommunikation und damit der Inhalt der Nachrichten durch das Datenleck im Nutzerverzeichnis nicht beeinträchtigt gewesen. Drenger argumentierte hingegen gegenüber "netzpolitik.org", dass die gerade keine Ende-zu-Ende-Verschlüsselung für Nachrichten mit sensiblem Inhalt vorgesehen sei. Dies steigere die Wahrscheinlichkeit von Datenlecks. Das sei umso gravierender, wenn man bedenke, dass das Postfach als zentrales Bürgerpostfach konzipiert sei.