Ein Cyberangriff auf die Portraitbox GmbH aus Paderborn hat bundesweit Eltern, Fotografen und Bildungseinrichtungen aufgeschreckt. Der Dienstleister betreibt eine Hosting-Plattform für Schul- und Kitafotografen und wird nach eigenen Angaben von über 2.000 Fotografen deutschlandweit genutzt. Die Staatsanwaltschaft Köln ermittelt.

Was ist passiert?

Am Wochenende vom 16. auf den 17. Mai 2026 verschafften sich unbekannte Angreifer unbefugten Zugang zu den Serversystemen der Portraitbox GmbH. Die Angreifer luden dort gespeicherte Daten herunter und löschten sie anschließend von den Servern. Das Vorgehen entspricht dem klassischen Muster eines Ransomware-Angriffs mit Datenexfiltration: Daten werden gestohlen, dann vernichtet, und anschließend drohen die Täter mit einer Veröffentlichung.
Laut der DSGVO-Pflichtmitteilung, die Portraitbox GmbH nach Art. 34 DSGVO an betroffene Fotografen verschickt hat, könnten folgende Daten abgeflossen sein:

• Fotos aus persönlichen Fotogalerien der Kunden
• Namen und E-Mail-Adressen
• Lieferadressen
• Bestellhistorien
• Zugangsdaten (Passwörter oder Zugangscodes) zur jeweiligen Fotogalerie

Warum ist dieser Fall besonders heikel?

Portraitbox positioniert sich als technischer Dienstleister speziell für Kita- und Schulfotografen. Fotografen buchen dort Speicherplatz und ein Shop-System, laden Aufnahmen aus Kindergärten und Schulen hoch und schicken Eltern einen Link, über den diese die Bilder ihrer Kinder ansehen und bestellen können. Die gestohlenen Fotos sind also nicht irgendwelche Bilder, sondern in vielen Fällen individuell zuordenbare Aufnahmen von Kindern, teils mit Namen, Schul- oder Kitazugehörigkeit in den Metadaten oder Bestellinformationen.
Hinzu kommt die Erpressungskomponente: Portraitbox warnt in seiner Mitteilung ausdrücklich, dass die Angreifer damit drohen, die heruntergeladenen Daten zu veröffentlichen. Das bedeutet, die Bilder könnten im schlimmsten Fall im Netz landen, wo sie für Deepfakes, Missbrauchsmaterial oder gezielte Ansprache von Kindern verwendet werden könnten.

Geografische Reichweite

Portraitbox GmbH hat nach eigenen Angaben folgende Schritte eingeleitet:

• Der Angriffsweg wurde geschlossen
• Ein IT-Forensik-Unternehmen untersucht den Vorfall
• Die zuständige Datenschutz-Aufsichtsbehörde wurde informiert
• Strafverfolgungsbehörden wurden eingeschaltet
• Die IT-Sicherheitsmaßnahmen werden überarbeitet

Die Staatsanwaltschaft Köln ermittelt über die Zentral- und Ansprechstelle Cybercrime Nordrhein-Westfalen (ZAC NRW) gegen Unbekannt. Das Verfahren befindet sich noch im frühen Stadium.

Fotografen, die Portraitbox als Dienstleister eingesetzt haben, sind als datenschutzrechtlich Verantwortliche in der Pflicht. Konkret bedeutet das:

• Unverzügliche Meldung des Vorfalls bei der zuständigen Landesdatenschutzbehörde (Frist: 72 Stunden nach Kenntnisnahme, gemäß Art. 33 DSGVO)
• Aktive Information aller betroffenen Personen, also der Eltern und Kunden, deren Daten auf der Plattform verarbeitet wurden (gemäß Art. 34 DSGVO)
• Dokumentation aller ergriffenen Maßnahmen

Einordnung

Der Fall zeigt ein strukturelles Problem: Viele kleine Dienstleister, die sensible Daten von Kindern verarbeiten, sind technisch und organisatorisch nicht ausreichend abgesichert. DSGVO-Erwägungsgrund 38 schreibt explizit einen besonderen Schutz für Daten von Kindern vor. Gleichzeitig vertrauen Fotografen auf die Infrastruktur ihres Dienstleisters, ohne dessen Sicherheitsstandards prüfen zu können. Für Eltern bleibt letztlich nur die Hoffnung, dass die Fotografen, denen sie ihre Kinder anvertrauen, auch bei der Wahl ihrer IT-Partner sorgfältig vorgehen.