Noch eine Meldung für Leser, die Kinder in Schulen oder Kindergärten haben. Die Portraitbox GmbH ist gehackt worden bzw. hatte einen Cybervorfall, bei dem Daten abgeflossen sind. Könnte einige Fotografen treffen, die Fotos von Kunden aus Kindergärten oder Schulen oder anderen Sessions dort gehostet hatten.
Die Portraitbox GmbH, Dienstleister für Fotografen
Die Portraitbox GmbH residiert in Paderborn und tritt seit 2015 als Dienstleister für Fotografen auf, wie ich NorthData entnommen habe. Die hatten 2024 eine Bilanzsumme von etwas über eine Million Euro.
Der Dienstleister bietet Fotografen das Hosting ihrer Bilder (Webspace) sowie ein Shop-System zum Verkauf der Bilder an Kunden an. Für den Fotografen heißt das: Paket buchen, dann hat man bereits Speicherplatz und einen vom Anbieter gehosteten eigenen Online-Shop und weitere Dienstleistungen, die hier einsehbar sind.
Anschließend Kunden (z.B. Hochzeiten, Kindergärten, Grundschulen) suchen, Aufnahmen anfertigen, auf Portraitbox hochladen und Kunden dann einen Link zum eigenen Portraitbox Online-Shop schicken, wo diese die Fotos ansehen und Abzüge der Fotos bestellen können. Bei der Bilanzsumme und den Preisen (beginnt bei 9,99 Euro/Monat und reicht bis 699 Euro/Monat) dürften eine Menge Fotografen als Kunden betroffen sein.
Der Cybervorfall bei der Portraitbox GmbH
Mir ist der Vorfall bereits von zwei Lesern per direkter Nachricht berichtet worden (da wohl betroffen) – danke dafür. Ein Leser hatte die Information über den Anbieter draussen-gluecklich[.]de erhalten, der seit 2022 KiTa- und Grundschulfotografie in Viernheim, Weinheim, Mannheim und Umgebung anbietet. Der Anbieter setzt auf die Portraitbox GmbH als technischen Dienstleister, um Fotogalerien und den zugehörigen Bestellshop bereitzustellen.
Bei der Portraitbox GmbH hat es am Wochenende vom 16./17. Mai 2026 einen Sicherheitsvorfall gegeben. Laut Mitteilung der Portraitbox GmbH gemäß Art. 34 der Datenschutz-Grundverordnung (DSGVO) an Fotografen, die mir vorliegt, wurden Daten unbefugt heruntergeladen. Laut aktueller Information können davon auch Kundendaten und Fotodateien betroffen sein.
Am besagten Datum haben sich unbekannte Angreifer unbefugt Zugang zu den Serversystemen von Portraitbox GmbH verschafft. Die Angreifer haben dort gespeicherte Daten heruntergeladen und anschließend auf den Servern gelöscht. Laut Dienstleister sind nach aktuellem Kenntnisstand folgende Daten, die im Rahmen der Nutzung der Fotogalerie und Bestellungen gespeichert waren, betroffen:
Ihre Fotos, die in Ihrer persönlichen Galerie bereitgestellt wurden. Darüber hinaus Ihr Name, Ihre E-Mail-Adresse und gegebenenfalls Ihre Lieferanschrift, Ihre Bestellhistorie sowie die Zugangsdaten (Passwort bzw. Zugangscode) zu Ihrer Fotogalerie.
Das betrifft meinem Verständnis noch Daten und Fotos von Endkunden, die Fotos bei einem Fotografen geordert hatten und über den Online-Shop erfasst waren. Die Portraitbox GmbH schreibt zum "Risiko, was durch den Sicherheitsvorfall entstanden ist", dass man die Betroffenen informieren müsse, dass die Angreifer damit drohen, die heruntergeladenen Daten zu veröffentlichen.
Ich interpretiere dies so, dass es sich um einen klassischen Ransomware-Angriff handelt, bei dem die Daten vor dem Löschen auf die Server der Angreifer abgeflossen sind. Der Dienstleister warnt,
- dass Fotos unbefugt im Internet veröffentlicht oder anderweitig missbraucht werden könnten.
- Kontaktdaten könnten für betrügerische E-Mails (sog. Phishing) verwendet werden,
Beispielsweise könnte es gefälschte Nachrichten geben, die sich auf Fotobestellung en beziehen und Opfer zur Eingabe von Daten oder zur Zahlung auffordern. Falls Betroffene für Ihre Fotogalerie dasselbe Passwort verwenden wie für andere Dienste (z.B. E-Mail-Konto, Online-Shopping), könnten auch diese Zugänge gefährdet sein.
Es gibt noch Hinweise zum eigenen Schutz, wie Vorsicht bei verdächtigen E-Mails walten lassen, speziell, wenn diese sich auf Fotobestellungen, Galerien oder persönliche Daten beziehen. Nicht auf Links in verdächtigen E-Mails klicken und keine persönlichen Daten oder Zahlungsinformationen eingeben.
Zudem sollten Betroffene Veröffentlichungen überwachen: Wer feststellt, dass Fotos unbefugt im Internet veröffentlicht wurden, soll sich an die Portraitbox GmbH wenden. Man will Betroffene bei der Meldung an Plattformbetreiber und bei weiteren Schritten unterstützen.
Was unternimmt Portraitbox noch?
Folgende Maßnahmen wurden bereits eingeleitet: Der Angriffsweg wurde sofort geschlossen, sodass kein weiterer unbefugter Zugriff möglich ist. Ein spezialisiertes IT-Forensik-Unternehmen untersucht den Vorfall. Die zuständige Datenschutz-Aufsichtsbehörde wurde informiert. Die Strafverfolgungsbehörden wurden eingeschaltet. Die IT-Sicherheitsmaßnahmen werden grundlegend überarbeitet.
Wir werden Sie informieren, sobald uns wesentliche neue Erkenntnisse vorliegen, insbesondere zum genauen Umfang der betroffenen Daten und zu den Ergebnissen der forensischen Untersuchung.
Was Fotografen machen müssen
Fotografen, die Kunden von Portraitbox GmbH sind, sollten eine DSGVO-Meldung bei der zuständigen Datenschutz-Aufsichtsbehörde machen. Denn die Portraitbox GmbH ist in diesem Fall aus meiner Sicht "Auftragsdatenverarbeiter". Die DSGVO-Meldung bei der zuständigen Datenschutz-Aufsichtsbehörde ist "binnen 72 Stunden nach Kenntnisnahme des Vorfalls" abzugeben.
Ergänzung: Eine Datenschutzexpertin hat sich im Nachgang noch bei mir gemeldet und folgende Empfehlung für Fotografen abgegeben. Fotografen müssen nicht nur die Meldung an die Behörde innerhalb von 72 Stunden nach Information über den Vorfall abgeben. Sie müssen auch ihre eigenen Kunden informieren. In der Benachrichtigung "Benachrichtigung gem. Art. 34 DSGVO" an Kunden sollte der Fotograf folgende Informationen einfließen lassen:
- Name und Kontaktdaten Fotograf unter dem Punkt "Verantwortlicher"
- Kontaktdaten des Datenschutzbeauftragten (falls vorhanden)
- Die Informationen seitens der Portraitbox GmbH
- Eine ergänzende Information über die Rechte, die der Kunde hat
- Gegebenenfalls Tipps für die Kunden (z.B. Passwortänderung)
Vielleicht hilft es ja dem einen oder anderen Fotografen (mein Dank an die Datenschutzexpertin für die Hinweise. Dieser Artikel auf anwalt.de hält ebenfalls solche Hinweise für Fotografen bereit. Nachfolgend habe ich von einem Leser die Benachrichtigung eines Fotografen an Eltern erhalten.
Liebe Eltern,
Sie erhalten diese Information, weil ich in den vergangenen Jahren Kita- oder Schulfotos in der Einrichtung bzw. Schule Ihres Kindes erstellt habe und hierfür eine Online-Fotogalerie genutzt wurde.
Mein technischer Dienstleister für die Bereitstellung der Online-Galerie und des Bestellshops, die Portraitbox GmbH, wurde am Wochenende des 16./17. Mai 2026 Ziel eines Hackerangriffs. Dabei wurden gespeicherte Kundendaten heruntergeladen und anschließend auf den Servern gelöscht.
Die Bilder selbst wurden auf einem deutschen Server gespeichert. Nach aktuellem Stand sind keine Fotos betroffen, die vor 2026 entstanden sind. Betroffen sind jedoch personenbezogene Daten, die im Rahmen der Nutzung der Fotogalerie oder einer Bestellung gespeichert waren. Dazu gehören insbesondere Name, E-Mail-Adresse, gegebenenfalls Lieferanschrift, Bestellhistorie sowie Zugangsdaten (Passwort bzw. Zugangscode).
Es besteht das Risiko, dass diese Daten für betrügerische E-Mails oder andere missbräuchliche Zwecke verwendet werden. Bitte seien Sie daher in den kommenden Wochen besonders vorsichtig bei verdächtigen Nachrichten im Zusammenhang mit Fotobestellungen oder Galerien und klicken Sie nicht auf unbekannte Links.
Der Dienstleister hat nach eigenen Angaben den Angriffsweg geschlossen, IT-Forensiker eingeschaltet sowie die Datenschutzbehörden und Strafverfolgungsbehörden informiert.
Ich bin selbst sehr betroffen darüber, was passiert ist. Gerade weil mir der Schutz der Kinder besonders wichtig ist, arbeite ich seit vielen Jahren mit diesem Unternehmen zusammen, nutze den Weg der Vorabanmeldungen und fotografiere keine Kinder ohne ausdrückliche Zustimmung der Eltern.
Bei dem Vorfall handelt es sich um einen gezielten Hackerangriff auf die Serversysteme des technischen Dienstleisters für die Online-Galerie. Der Angriff richtete sich nicht gegen mich persönlich.
Ich verstehe gut, dass diese Nachricht verunsichert, und bedaure die Situation sehr. Gleichzeitig möchte ich betonen, dass Datenschutz und ein verantwortungsvoller Umgang mit den Bildern für mich immer höchste Priorität haben.
Herzliche Grüße,
Technische Informationen zum Hack
Ergänzung 2: Ich habe die Hintergründe des Hacks nicht weiter verfolgt, aber gemäß diesem Artikel auf anwalt.de verschafften sich die Angreifer zum 16./17. Mai 2026 Zugriff auf AWS-Konten der Portraitbox GmbH (auf welchem Weg ist offen). Dann luden sie Fotos und Daten von Kunden herunter, löschten den Inhalt der AWS-Konten und drohten der Portraitbox GmbH mit Veröffentlichung, wenn kein Lösegeld gezahlt werde. Bei heise finden sich inzwischen hier ebenfalls entsprechende Informationen.
Ein Blog-Leser hat im Diskussionsbereich einen Link auf den NDR-Bericht Hackerangriff: Tausende Kinderfotos möglicherweise gestohlen hinterlassen. Dort wird die Portraitbox GmbH aus Paderborn nicht namentlich erwähnt, sondern es ist von einem IT-Dienstleister aus Nordrhein-Westfalen die Rede, der Opfer eines Ransomware-Angriffs wurde.
MVP: 2013 – 2016
Hallo,
danke für die Meldung. Vor allem kritisch da es sich höchstwahrscheinlich um Bilder von Schulklassen, Kindergärten etc. handelt.
LG
Das mit den Kindern ist in meinen Augen erstmal nur eine Vermutung, ob man am Ende Klassenfotos wirklich als "kritisch" einstufen muss stelle ich auch mal in den Raum. Wahrscheinlich sind die eh schon auf den eigenen Sozial Media Plattformen zu sehen, ebenso Hochzeits- oder Partyfotos.
Kritischer wird es in meinen Augen wenn persönliche und sensible Akt Fotografien öffentlich werden.
Ist genau so spekulativ. Sei dir versichert, die Leser, die mich kontaktiert haben, haben Kinder – und die werden oft auch einzeln, mit Name etc. fotografiert. Dazu noch die persönlichen Daten der Eltern, die die Bilder gekauft haben samt weiteren Daten – nicht wirklich schön.
Aber was soll daran konkret kritisch wegen den Kindern sein?
Sind die Kindern nun in irgendeiner Form gefährdeter als vorher?
Die Gewichtung des Vorfalls hat doch nichts damit zu tun ob da Kinderfotos bei sind, der Vorfall selber ist das Problem.
Verstehst du es nicht oder kannst es nicht verstehen? Die Gewichtung des Vorfalls hat sehr wohl damit zu tun, das da Fotos, gerade von besonders Schutzbedürftigen, dabei sind. Wölltest du Fotos deiner Kinder so ungewollt im Netz sehen? Wahrscheinlich nicht. Und wenn es dir doch nichts ausmachen sollte, dann kann man nur hoffen, das deine Kinder es irgendwann besser machen.
Wahrscheinlich will er es nicht verstehen. Ich bin Betroffene Mutter. Das Foto meiner Tochter könnte nebst Schule, Klasse, Name, Anschrift usw. Im Internet kursieren. In Zeiten von Darknet, KI generierten Bildern/ Videos und ziemlich vielen ekelhaften Menschen, ist das sehr wohl kritisch zu sehen!
Wirf einfach einen Blick in die DSGVO und recherchiere nach "Besonderer Schutz der Daten von Kindern" – Erwägungsgrund 38
https://dsgvo-gesetz.de/erwaegungsgruende/nr-38/
Kinderbild + konkrete Namen + Adressdaten + Einrichtung.
Da kann man schon auf Ideen kommen. Damit hat man nicht nur einen Hebel gegen den schludrigen Dienstleister sondern gegen die Familien direkt.
So fürchterlich viel Phantasie braucht man doch nun wirklich nicht!
Well the photos are high-res and can be used for biometric data. And they know what the children look like where they live and where they go to school.
let me Google that 4 you:
https://www.malwarebytes.com/blog/family-and-parenting/2026/05/deepfake-sextortion-forces-schools-to-remove-student-photos-from-websites
und anschließend darüber nachdenken wo es "kritisch" wird.
Nein. In unserem Fall handelt es sich um zwei Kinder im Schulalter, die weder selbst auf Social Media zu sehen sind, noch für die es für die Schule die Erlaubnis gibt, dass diese auf Insta zu sehen sind. Und es sind eben nicht nur Klassenfotos, sondern auch Portraitfotos betroffen. Das in Kombination mit den Adressen finde ich höchst alarmierend.
Zitat: "Folgende Maßnahmen wurden bereits eingeleitet: Der Angriffsweg wurde sofort geschlossen, sodass kein weiterer unbefugter Zugriff möglich ist. Ein spezialisiertes IT-Forensik-Unternehmen untersucht den Vorfall. Die zuständige Datenschutz-Aufsichtsbehörde wurde informiert. Die Strafverfolgungsbehörden wurden eingeschaltet. Die IT-Sicherheitsmaßnahmen werden grundlegend überarbeitet."
Schön, dass man das jetzt umgesetzt hat, nachdem das Kind in den Brunnen gefallen ist *hust*
Was mir noch fehlt: Entschuldigung, das tut uns leid, wirklich!!1!
Wahrscheinlich genauso schlecht in Sachen IT aufgestellt wie viele Klicki-Bunti-Buden da draußen. Ausbaden müssen es nur die Anderen, vor allem wenn da persönlichste Daten abhanden gekommen sind (Fotos!). Gruselig.
Hallo,
inwiefern müssen Fotografen ihre Kunden informiert haben, dass die Fotos über diese Plattform erworben werden. Müsste da nicht eine Einverständniserklärung mit Unterschrift geleistet sein, bevor man Fotos von Schülern / Kindern / wem auch immer als Fotograf an die Plattform weitergibt?
War auch mein Gedanke.
Es steht wahrscheinlich irgendwo im Kleingedruckten der AGB des Fotografen, die niemand liest und nach denen niemand fragt …
Nein – Fotografin hier, die diese Shop Systeme nutzt. Seriöse Kita- und Schulfotografen holen sich IMMER per Anmeldezettel schriftliche Einverständnis der Eltern ein, in dem auch deutlich und nicht versteckt im Kleingedruckten auf die DSGVO etc. hingewiesen wird.
Ich finde es positiv, dass betroffene Fotografen sich melden. Ein Versuch zu vermitteln: @Visitator,@Bernd – es geht nicht alleinig um die Existenz kleingeschriebener AGB. Nach meiner Einschätzung reicht zB hier die informierte (eingeholte oder nachweisbare) Zustimmmung.
Im Gegenzug geht es jedoch nicht nur alleinig um diese Zustimmung zB im Sinne der Datenverarbeitung oder DSGVO. Den im gleichen Zug werden konkrete (gesetzlich verankerte, technisch ableitbare oder nachzuweisende) Pflichten für jeden Fotografen wirksam (Nennen wir es einmal "Data Governance").
Dies ist ein heeres Ziel für Selbstständige. Es steht oft im Gegensatz zur "Marketingsprüchen einer Softwarelösung" oder zugehöriger Erwartungshaltung. Es erfordert viele weitere Aspekte – von Aufsichtspflicht des Fotografen bis zur ADV-Vereinbarung. Von Management bis zu Löschpflichten. Setzt man diese Aufwände konsequent um ist ganzheitlich betrachtet mE Papier, Druck oder Datenträger oft immer noch eine gute und Datensparsame Lösung.
Sprich: Der reale organisatorische, rechtliche oder digitale Aufwand frisst den augenscheinlichen Mehrwert auf. Die Abhängigkeiten sind stärker, die mögliche Skalierung von Incidents (Risiko Impact) ist dabei oft interdependent mit den Vorteilen der Softwarelösung selber.
Ich bin vor mittlerweile zwei Jahren von der Portraitbox weg. Für mich hatte das immer ein Geschmäckle das der Speicher standardmäßig auf 1MB aufgerundet wird und die QR-Codes relativ kurz sind. Leider muss man als Fotograf gewissermaßen auf die Software und die dahinterliegenden Systeme vertrauen. Aktuell sind wir bei *** und da sehr zufrieden. Der Gründer kommt wohl aus dem Rüstungsumfeld, immerhin die Daten sollten da dann sicher sein.😀
—
GB: Den Anbieter habe ich rausgefiltert ;-)
Was ist mit SCHADENSERSATZ für betroffene Accountinhaber bei Portraitbox?
Wende dich vertrauensvoll an einen entsprechend bewanderten Medienanwalt. Sollte hier nicht diskutiert werden. Danke.
Richtig.
Aber angesichts des Multiplikators in Form von Tausenden Geschädigten, wird am Ende kaum mehr was zu holen sein.
– Portraitbox GmbH: pleite.
– Persönlicher Durchgriff auf Inhaber denkbar, der ist dann im Zweifel auch pleite.
– Gilt alles für die automatisch mithaftenden Fotografen entsprechend, nur mit etwas kleinerem Multiplikator.
Dann bleibt man am Ende auch noch auf den eigenen Anwaltskosten sitzen.
Am Ende ist so der Kunde der Dumme, wenn die Kette an Dienstleistern versagt hat.
News: Betroffen sein sollen "Alle Galerien, die Fotostudios und freie Fotografen für ihre Kundenbilder anlegt haben". Dazu die oben bereits genannten Daten. Die Cloud ist involviert:
Will man mit diesem Anbieter wieder zusammenarbeiten? Das ist doch komplett verbrannte Erde.
News vom @SWR hier deuten durch genannte Aussage der Datenschutzbehörde erneut auf Ransomware, ggf. in Verbindung mit einem Wiper (Wiki). Nach bisherigen Infos und unserer Erfahrung war dies eh zu vermuten. Einen Claim recherchierten wir dennoch noch nicht, damit kennen wir bisher keine publizierbare & nachvollziehbare Quelle der "Hackererpressung".
Eventuell kennen SWR und Datenschutzbehörde mehr Hintergründe als Heise oder NDR. Genannt sind 50 Meldungen von Fotografen (oder Regionen) nur in RLP:
Bad Kreuznach, Bobenheim Roxheim und Dudenhofen, Fell, Freinsheim, Grünstadt, Haßloch, Heiligenmoschel, Holzhausen, Kaiserslautern, Koblenz, Kottweiler-SchwandenKuhardt, Landstuhl, Mainz, Mörschied, Neuwied, Niedermohr, Schifferstadt, Speyer, Sprendlingen, Trier, Urbach, Weisenheim am Berg.
Entgegen der Meldung vom NDR – welche von Anonym hier im Blog im Diskussionsbereich a> genannt wurde, ist dies (genauso wie der Hack bei unimed hier natürlich kein "Länderspezifisch abzugrenzendes Ereignis" (falls der Eindruck entsteht). Das betrifft uns – ALLE und LÄNGER, ohne Abschätzung aller Konsequenzen.
—
GB: Link zum Kommentar im Diskussionsbereich entfernt, da oben nachgetragen und im Diskussionsbereich gelöscht.
Ne Idee wie schwierig es geworden ist an Schulen überhaupt Fotos machen zu dürfen?
Anträge, Unterschriften, Erlaubnis der Eltern einholen. Zum Glück!
Und dann erstellen Leute einen Cloud Account bei amazon und lassen dann sämtliche (Schul)fotografen all Ihre Kinderfotos gegen Gebühr dort hochladen?
Finde den Fehler…ach ja, hat ja leider schon jemand gefunden.