Datenpanne beim Dienstleister für Fotografen

Datenpanne bei Portraitbox: Was Fotografen jetzt tun müssen

/ Allgemein, Datenschutz / Personenbezogene Daten

Sicherheitsvorfall mit Erpressungsdrohung – Fotostudios stehen in der Verantwortung

Am 20. Mai 2026 hat die Portraitbox GmbH (Paderborn) ihre gewerblichen Kunden – überwiegend Fotostudios und selbstständige Fotografen – über einen schwerwiegenden Sicherheitsvorfall informiert. Nach Angaben des Anbieters hat sich am Wochenende des 16./17. Mai 2026 ein unbekannter Angreifer über einen kompromittierten API-Zugangsschlüssel Zugriff auf die bei Amazon Web Services gehosteten Speichersysteme verschafft, sämtliche Foto- und Kundendaten heruntergeladen und anschließend gelöscht. Der Angreifer droht konkret mit der Veröffentlichung der erbeuteten Daten.

Betroffen sind nach derzeitigem Kenntnisstand alle über die Plattform bereitgestellten Galerien sowie die personenbezogenen Daten der Endkunden – darunter Namen, E-Mail-Adressen, Lieferadressen, Bestellhistorien und Galerie-Zugangsdaten. Ob Zahlungsdaten betroffen sind, wird derzeit noch geprüft.

Für Fotografinnen und Fotografen, die Portraitbox als Plattform einsetzen, ist die Lage rechtlich eindeutig: Sie sind datenschutzrechtlich Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO. Portraitbox ist lediglich Auftragsverarbeiter. Damit treffen die kurzen Fristen und die persönliche Haftung Sie – nicht den Plattformbetreiber.

Kontakt aufnehmen
Inhaltsübersicht
  1. Sicherheitsvorfall mit Erpressungsdrohung – Fotostudios stehen in der Verantwortung
  2. Das Wichtigste im Überblick
  3. Der Vorfall im Detail: Was bisher bekannt ist
  4. Ihre Rolle als Verantwortlicher: Warum die Pflichten bei Ihnen liegen
  5. Meldepflicht nach Art. 33 DSGVO: Die 72 Stunden-Frist läuft
  6. Benachrichtigung der Betroffenen nach Art. 34 DSGVO: Hohes Risiko und Minderjährige
  7. Ansprüche gegen Portraitbox als Auftragsverarbeiter prüfen
  8. Vorsorge für die Zukunft: Eigene Datenschutz-Organisation überprüfen
  9. Wie ich Sie als Fotograf konkret unterstütze
  10. Datenpanne professionell begleiten – Haftungsrisiken begrenzen
  11. Häufig gestellte Fragen 
  12. Verwandte Themen

Das Wichtigste im Überblick

  • Sie sind verantwortlich, nicht Portraitbox: Auch wenn die Sicherheitslücke beim Auftragsverarbeiter entstanden ist, treffen die Melde- und Benachrichtigungspflichten nach Art. 33 und 34 DSGVO ausschließlich Sie als verantwortliches Fotostudio.
  • 72-Stunden-Frist läuft ab Kenntnisnahme: Die Frist zur Meldung an die zuständige Landesdatenschutzbehörde beginnt mit Zugang der Mitteilung von Portraitbox. Eine vorläufige Meldung mit späterer Ergänzung (Art. 33 Abs. 4 DSGVO) ist zulässig und allemal besser als gar keine Meldung.
  • Benachrichtigung der Endkunden ist regelmäßig geboten: Aufgrund der konkreten Veröffentlichungsdrohung und der häufigen Betroffenheit von Bildern Minderjähriger ist von einem hohen Risiko im Sinne des Art. 34 DSGVO auszugehen. Die Benachrichtigung sollte sorgfältig formuliert und dokumentiert werden.
  • Haftungs- und Regressfragen jetzt sichern: Prüfen Sie unverzüglich Ihren Auftragsverarbeitungsvertrag mit Portraitbox, sichern Sie sämtliche Korrespondenz und dokumentieren Sie Ihr eigenes Handeln lückenlos. Beides ist entscheidend für die Abwehr eigener Haftung und für mögliche Regressansprüche.

Der Vorfall im Detail: Was bisher bekannt ist

Portraitbox informiert seine Geschäftskunden mit E-Mail vom 20. Mai 2026, 10:57 Uhr, über folgende Eckpunkte:

  • Zeitpunkt des Angriffs: Wochenende vom 16./17. Mai 2026.
  • Entdeckung: Montag, 18. Mai 2026, gegen 08:00 Uhr.
  • Angriffsvektor: Kompromittierter API-Zugangsschlüssel zur AWS-Cloud-Infrastruktur.
  • Folge: Vollständiger Download und anschließende Löschung sämtlicher Foto- und Kundendaten durch den Angreifer.
  • Erpressung: Konkrete Drohung mit Veröffentlichung der erbeuteten Daten.
  • Reaktion Portraitbox: Sperrung des Schlüssels, Beauftragung einer IT-Forensik, Meldung an die LDI NRW, Strafanzeige, Neuaufbau der Sicherheitsarchitektur.

Diese Sachverhaltsdarstellung müssen Sie der eigenen Meldung zugrunde legen – verbunden mit dem deutlichen Hinweis, dass es sich um Angaben des Auftragsverarbeiters handelt, deren Belastbarkeit Sie nicht abschließend beurteilen können.

Ihre Rolle als Verantwortlicher: Warum die Pflichten bei Ihnen liegen

Die DSGVO ordnet die Verantwortlichkeit eindeutig dem zu, der über Zwecke und Mittel der Verarbeitung entscheidet. Wer als Fotograf seinen Kunden Galerien über Portraitbox bereitstellt und auf dieser Grundlage Bestellungen abwickelt, ist Verantwortlicher nach Art. 4 Nr. 7 DSGVO. Portraitbox handelt im Auftrag und ist Auftragsverarbeiter nach Art. 28 DSGVO.

Daraus folgt: Die in Art. 33 und 34 DSGVO geregelten Melde- und Benachrichtigungspflichten richten sich an Sie. Portraitbox erfüllt mit seiner E-Mail vom 20. Mai 2026 lediglich die eigene Informationspflicht aus Art. 33 Abs. 2 DSGVO gegenüber dem Verantwortlichen. Das ersetzt Ihre Meldung an die Aufsichtsbehörde nicht.

Auch die Bußgeld- und Schadensersatzrisiken treffen primär Sie. Art. 82 DSGVO eröffnet betroffenen Personen einen unmittelbaren Anspruch auf materiellen und immateriellen Schadensersatz – und dieser richtet sich in erster Linie gegen den Verantwortlichen. Eine spätere Regressmöglichkeit gegen den Auftragsverarbeiter besteht, ändert an der Außenhaftung aber nichts.

Meldepflicht nach Art. 33 DSGVO: Die 72 Stunden-Frist läuft

Nach Art. 33 Abs. 1 DSGVO ist eine Verletzung des Schutzes personenbezogener Daten der zuständigen Aufsichtsbehörde unverzüglich, spätestens binnen 72 Stunden nach Kenntnisnahme, zu melden. Maßgeblich ist der Zugang der Portraitbox-E-Mail vom 20. Mai 2026. Wer die Mitteilung also am Vormittag des 20. Mai gelesen hat, muss bis spätestens 23. Mai 2026, 10:57 Uhr, gemeldet haben.

Zuständig ist die Landesdatenschutzbehörde des Bundeslandes, in dem Sie Ihren Geschäftssitz haben. Eine Übersicht stellt der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit bereit. Die meisten Aufsichtsbehörden bieten ein Online-Meldeformular an, das die Mindestangaben nach Art. 33 Abs. 3 DSGVO strukturiert abfragt:

  • Beschreibung der Art der Verletzung, Kategorien und ungefähre Zahl betroffener Personen und Datensätze
  • Name und Kontaktdaten des Datenschutzbeauftragten oder einer anderen Anlaufstelle
  • Wahrscheinliche Folgen der Verletzung
  • Ergriffene und vorgeschlagene Maßnahmen zur Behebung und Risikoabschwächung

Wichtig: Sind nicht alle Informationen innerhalb der Frist zusammenstellbar – was bei diesem Vorfall regelmäßig der Fall sein wird –, ist eine vorläufige Meldung mit Nachreichungsvorbehalt nach Art. 33 Abs. 4 DSGVO ausdrücklich vorgesehen. Eine fristgerechte unvollständige Meldung ist deutlich besser zu bewerten als eine verspätete vollständige.

Benachrichtigung der Betroffenen nach Art. 34 DSGVO: Hohes Risiko und Minderjährige

Art. 34 DSGVO verpflichtet den Verantwortlichen, betroffene Personen unverzüglich zu benachrichtigen, wenn die Datenpanne voraussichtlich ein hohes Risiko für deren Rechte und Freiheiten zur Folge hat. Im konkreten Fall sprechen mehrere Umstände nachdrücklich für ein hohes Risiko:

  • Die Erpresser drohen offen mit der Veröffentlichung der erbeuteten Daten.
  • Betroffen sind Bildaufnahmen, die regelmäßig Persönlichkeitsrechte in besonderem Maße berühren – insbesondere Hochzeits-, Familien-, Babybauch-, Newborn- und Kinderfotografie.
  • Mit hoher Wahrscheinlichkeit sind Daten Minderjähriger betroffen, die nach Erwägungsgrund 38 DSGVO ein besonders schützenswertes Gut darstellen.
  • Galerie-Zugangsdaten in Verbindung mit E-Mail-Adressen ermöglichen Folgemissbrauch (Phishing, Credential-Stuffing bei Drittdiensten).

In dieser Konstellation wird sich die Benachrichtigung der Betroffenen nach Art. 34 DSGVO kaum vermeiden lassen. Die Ausnahmen des Art. 34 Abs. 3 DSGVO – insbesondere eine wirksame Verschlüsselung der Daten – greifen hier ersichtlich nicht.

Die Benachrichtigung muss in klarer und einfacher Sprache erfolgen und mindestens die Angaben nach Art. 34 Abs. 2 DSGVO enthalten: Art der Verletzung, Kontaktstelle, wahrscheinliche Folgen und ergriffene oder vorgeschlagene Maßnahmen. Aus anwaltlicher Sicht ist besondere Sorgfalt geboten: Ein zu beschönigender Text kann als Verstoß gegen das Transparenzgebot ausgelegt werden; ein zu alarmierender Text kann unnötige Schadensersatzklagen auslösen und das Vertrauensverhältnis zu Ihren Kunden nachhaltig beschädigen.

Ansprüche gegen Portraitbox als Auftragsverarbeiter prüfen

Parallel zur Bewältigung der eigenen Pflichten sollten Sie Ihre Rechtsposition gegenüber Portraitbox sichern. Folgende Fragen sind im Detail zu prüfen:

  • Auftragsverarbeitungsvertrag (Art. 28 DSGVO): Liegt ein wirksamer AVV vor? Welche technisch-organisatorischen Maßnahmen wurden vertraglich zugesichert? Wurden diese tatsächlich eingehalten?
  • Schlüsselmanagement und Stand der Technik: Ein einzelner kompromittierter API-Schlüssel hätte den vollständigen Datenabfluss nicht ermöglichen dürfen. Mehrstufige Zugriffskontrollen, Privilegientrennung, IP-Restriktionen, Anomalie-Erkennung und kurze Schlüssel-Rotation gehören zum Stand der Technik bei cloudbasierter Bildverarbeitung.
  • Backup- und Wiederherstellungskonzept: Dass der Angreifer die Daten zusätzlich löschen konnte, deutet auf ein unzureichendes Backup-Konzept des Auftragsverarbeiters hin.
  • Regress- und Schadensersatzansprüche: Für Schäden, die Ihnen oder Ihren Kunden entstehen, kommen Ansprüche aus dem AVV, aus § 280 BGB sowie aus Art. 82 Abs. 2 Satz 2 DSGVO in Betracht.

Sichern Sie unbedingt sämtliche Korrespondenz, Logfiles, Verträge, Nachweise und Screenshots. Die Beweislast für die Einhaltung der eigenen Pflichten trägt im Streitfall jede Partei selbst.

Vorsorge für die Zukunft: Eigene Datenschutz-Organisation überprüfen

Der aktuelle Vorfall ist Anlass, die eigene Datenschutz-Organisation grundsätzlich auf den Prüfstand zu stellen. Eine Aufsichtsbehörde, die eine Datenpanne untersucht, prüft regelmäßig auch das übrige Compliance-Niveau des Verantwortlichen. Schwachstellen treten dabei zuverlässig zutage.

Folgende Punkte sollten Sie zeitnah überprüfen:

  • Auswahl und Kontrolle von Auftragsverarbeitern (Art. 28 Abs. 1 DSGVO): Wie haben Sie Portraitbox und andere Dienstleister ausgewählt? Liegen dokumentierte Sicherheitsnachweise vor (z. B. ISO 27001, C5-Testat, AVV mit konkreten TOM)?
  • Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO): Ist die Plattformnutzung dort sauber erfasst, inklusive Datenkategorien, Empfängern, Löschfristen und Übermittlungen in Drittländer (AWS-Regionen)?
  • Technisch-organisatorische Maßnahmen (Art. 32 DSGVO): Eigene Endgeräte verschlüsselt? Zwei-Faktor-Authentisierung für Plattform-Zugänge aktiviert? Passwort-Hygiene?
  • Backup-Strategie für Ihre eigenen Daten: Halten Sie unabhängige, lokale Sicherungen der ausgelieferten Fotostrecken vor, oder verlassen Sie sich ausschließlich auf die Plattform?
  • Datenschutzerklärung und Einwilligungen: Wird Portraitbox als Empfänger korrekt benannt? Liegen für besonders sensible Aufnahmen (z. B. Boudoir, Aktfotografie, Kinder) tragfähige Einwilligungen vor?
  • Schulung und Sensibilisierung: Wissen Sie und gegebenenfalls Ihre Mitarbeiter, wie ein Datenschutzvorfall im Studio zu erkennen, zu eskalieren und zu dokumentieren ist?

Wer diese Punkte sauber dokumentiert hat, ist im Verfahren mit der Aufsichtsbehörde deutlich besser positioniert – auch dann, wenn die Ursache des Vorfalls beim Dienstleister lag.

Wie ich Sie als Fotograf konkret unterstütze

Als Rechtsanwalt mit den Schwerpunkten IT-, Internet- und Datenschutzrecht sowie als externer betrieblicher Datenschutzbeauftragter zahlreicher Klein- und Kleinstunternehmen begleite ich Sie in diesem Vorfall vollumfänglich. Mein Leistungsangebot umfasst insbesondere:

  • Prüfung der Meldepflicht und Erstellung der Meldung nach Art. 33 DSGVO an die für Sie zuständige Landesdatenschutzbehörde – einschließlich vorläufiger Meldung mit Nachreichung.
  • Risikoabwägung und Formulierung der Betroffenenbenachrichtigung nach Art. 34 DSGVO – juristisch tragfähig, transparent und kundenorientiert.
  • Prüfung des Auftragsverarbeitungsvertrags mit Portraitbox und Geltendmachung etwaiger Ansprüche gegenüber dem Auftragsverarbeiter.
  • Audit Ihrer eigenen Datenschutz-Organisation (TOM, Verzeichnis von Verarbeitungstätigkeiten, Auswahl und Kontrolle von Auftragsverarbeitern, Löschkonzept, Backup-Strategie).
  • Übernahme der Funktion als externer Datenschutzbeauftragter – auf Wunsch dauerhaft, mit einem auf Foto- und Kreativbetriebe zugeschnittenen Leistungspaket.
  • Abwehr von Schadensersatzansprüchen Betroffener nach Art. 82 DSGVO sowie Begleitung in Verwaltungs- und Bußgeldverfahren der Aufsichtsbehörde.

Gerade in den ersten Tagen nach Bekanntwerden eines solchen Vorfalls zählt jede Stunde. Eine kurzfristige Einschätzung der individuellen Lage ist regelmäßig in einem ersten Telefon- oder Videotermin möglich.

Datenpanne professionell begleiten – Haftungsrisiken begrenzen

Der Vorfall bei Portraitbox zeigt mit unangenehmer Deutlichkeit, wie verletzlich auch etablierte Cloud-Plattformen sind und wie schnell Fotografinnen und Fotografen in eine Rolle geraten, die sie in ihrem unternehmerischen Alltag selten einüben: die der DSGVO-Verantwortlichen mit kurzer Reaktionsfrist, persönlicher Haftung und sensibler Außenkommunikation.

Die gute Nachricht: Mit einem strukturierten Vorgehen lässt sich der Schaden wirksam begrenzen. Eine fristgerechte, sorgfältig formulierte Meldung an die Aufsichtsbehörde, eine professionelle Benachrichtigung der Betroffenen, eine lückenlose Dokumentation des eigenen Handelns und eine ehrliche Bestandsaufnahme der eigenen Datenschutz-Organisation sind die vier Bausteine, die jetzt zählen.

Wenn Sie Mandant eines externen Datenschutzbeauftragten sind, sollten Sie unverzüglich Kontakt aufnehmen. Wenn nicht, ist der jetzige Vorfall ein guter Anlass, diese Frage grundsätzlich neu zu beantworten. Ich unterstütze Sie gern – sowohl bei der akuten Bewältigung des Portraitbox-Vorfalls als auch bei der mittelfristigen Absicherung Ihrer Studio-Compliance.

Kontakt aufnehmen

Häufig gestellte Fragen 

Muss ich den Vorfall melden, obwohl Portraitbox dies bereits für sich getan hat?

Ja. Die Meldung von Portraitbox an die LDI NRW betrifft den Auftragsverarbeiter. Ihre Meldepflicht als Verantwortlicher nach Art. 33 DSGVO besteht davon unabhängig und ist von Ihnen selbst zu erfüllen.

Ab wann läuft die 72-Stunden-Frist?

Die Frist beginnt mit Ihrer Kenntnisnahme von der Datenpanne. Maßgeblich ist regelmäßig der Zugang der Portraitbox-E-Mail vom 20. Mai 2026 in Ihrem Postfach – nicht der Zeitpunkt, zu dem Sie sie tatsächlich gelesen haben.

Was passiert, wenn ich die Frist verpasse?

Eine Fristüberschreitung ist ein eigenständiger Verstoß gegen Art. 33 DSGVO und kann mit Bußgeld geahndet werden. Auch eine verspätete Meldung sollte aber in jedem Fall nachgeholt werden – verbunden mit einer plausiblen Begründung für die Verzögerung.

Muss ich wirklich jeden einzelnen meiner Kunden anschreiben?

Wenn ein hohes Risiko vorliegt – wovon hier auszugehen ist –, sieht Art. 34 DSGVO die individuelle Benachrichtigung der betroffenen Personen vor. Eine öffentliche Bekanntmachung (z. B. auf der eigenen Website) kommt nur ausnahmsweise als gleichwertige Maßnahme in Betracht, etwa wenn die individuelle Benachrichtigung mit unverhältnismäßigem Aufwand verbunden wäre.

Hafte ich auch dann, wenn Portraitbox den Fehler gemacht hat?

Im Außenverhältnis ja. Betroffene können sich nach Art. 82 DSGVO grundsätzlich an Sie als Verantwortlichen halten. Im Innenverhältnis bestehen Regressmöglichkeiten gegen den Auftragsverarbeiter, soweit ihm das Verschulden zuzurechnen ist.

Wer ist meine zuständige Aufsichtsbehörde?

Maßgeblich ist das Bundesland Ihres Geschäftssitzes – nicht Ihr Wohnort und nicht der Sitz von Portraitbox. Die Übersicht des BfDI führt zu allen Landesdatenschutzbehörden. https://www.bfdi.bund.de/DE/Service/Anschriften/Laender/Laender-node.html

Sollte ich meine Endkunden auch dann benachrichtigen, wenn ich rechtlich nicht dazu verpflichtet bin?

Eine offene, frühzeitige Kommunikation ist regelmäßig im wohlverstandenen eigenen Interesse. Sie stärkt das Vertrauensverhältnis und reduziert das Risiko späterer Vorwürfe der Vertuschung. Form und Inhalt sollten dennoch sorgfältig abgestimmt werden.

Welche Unterlagen sollte ich jetzt zusammenstellen?

Die Portraitbox-E-Mail, den Auftragsverarbeitungsvertrag, Ihr Verzeichnis von Verarbeitungstätigkeiten, Ihre Datenschutzerklärung, eine grobe Schätzung der betroffenen Personen sowie eine Liste der betroffenen Datenkategorien. Mit diesen Unterlagen lässt sich die Meldung effizient erstellen.

Kontakt aufnehmen

Verwandte Themen

Nach oben scrollen