Schadensersatzanspruch von Kunden

Portraitbox-Datenpanne: Schadensersatz abwehren, Prävention stärken

/ Allgemein, Datenschutz / Personenbezogene Daten

Wenn die ersten Anspruchsschreiben eintreffen – Fotostudios in der Haftungsfalle

Knapp zwei Wochen nach Bekanntwerden des Sicherheitsvorfalls bei der Portraitbox GmbH erreichen meine Kanzlei die ersten Anfragen von Fotografinnen und Fotografen, deren Kunden inzwischen schriftlich Schadensersatz nach Art. 82 DSGVO geltend machen. Die Forderungen reichen von dreistelligen Beträgen pro betroffener Person bis hin zu anwaltlich formulierten Sammelaufforderungen mit Fristsetzung. In einzelnen Fällen wird bereits offen mit Klage gedroht.

Damit ist eine Entwicklung eingetreten, vor der ich bereits in meinem Beitrag vom 21. Mai 2026 gewarnt hatte: Die DSGVO ordnet die Außenhaftung dem Verantwortlichen zu – und das sind Sie als Fotograf, nicht Portraitbox. Wer jetzt Post von verärgerten Kunden oder deren Anwälten erhält, sollte weder reflexhaft zahlen noch die Schreiben unbeantwortet lassen. Beides kann teuer werden.

Dieser Beitrag erklärt, wie sich Fotografen jetzt strategisch richtig verhalten, warum eine saubere Datenschutz-Compliance die wirksamste Verteidigung gegen Schadensersatzansprüche ist und welche Möglichkeiten bestehen, Portraitbox in Regress zu nehmen.

Kontakt aufnehmen
Inhaltsübersicht
  1. Wenn die ersten Anspruchsschreiben eintreffen – Fotostudios in der Haftungsfalle
  2. Das Wichtigste im Überblick
  3. Die rechtliche Ausgangslage: Art. 82 DSGVO und der immaterielle Schaden
  4. Warum vorbeugen besser ist als zahlen: Compliance als Haftungsschild
  5. Strategie im Umgang mit Forderungen: Nicht zahlen, nicht schweigen
  6. Regress gegen Portraitbox: Den Auftragsverarbeiter in die Pflicht nehmen
  7. Wie ich Sie als Fotograf konkret unterstütze
  8. Fazit: Jetzt handeln – auf zwei Ebenen
  9. Häufig gestellte Fragen 
  10. Verwandte Themen

Das Wichtigste im Überblick

  • Zahlen Sie nicht vorschnell: Ein Anspruch aus Art. 82 DSGVO setzt einen Verstoß, einen kausalen Schaden und ein Verschulden voraus. Viele Forderungsschreiben sind pauschal und rechtlich angreifbar. Eine freiwillige Zahlung kann als Anerkenntnis gewertet werden – mit Signalwirkung für weitere Kunden.
  • Ignorieren ist keine Option: Wer Forderungsschreiben unbeantwortet lässt, riskiert Mahnbescheide, Klagen und unnötige Kostenrisiken. Eine sachliche, juristisch tragfähige Reaktion innerhalb gesetzter Fristen ist Pflicht.
  • Compliance ist Ihre wirksamste Verteidigung: Die Exkulpation nach Art. 82 Abs. 3 DSGVO gelingt nur, wenn Sie nachweisen können, dass Sie Ihre eigenen Datenschutzpflichten erfüllt haben – Auswahl und Kontrolle des Auftragsverarbeiters, AVV, TOM, Verzeichnis von Verarbeitungstätigkeiten, Datenschutzerklärung.
  • Regress gegen Portraitbox ist möglich: Soweit der Auftragsverarbeiter den Vorfall zu verantworten hat, kommen Ansprüche aus Art. 82 Abs. 2 Satz 2 i. V. m. Abs. 5 DSGVO, aus dem AVV und aus § 280 BGB in Betracht – sowohl für eigene Schäden als auch für an Kunden geleistete Zahlungen.
  • Wer erst nach Klageerhebung reagiert, kommt zu spät: Die rechtliche Vorsorge und die Beweissicherung müssen jetzt erfolgen – nicht erst, wenn die Klageschrift im Briefkasten liegt.

Die rechtliche Ausgangslage: Art. 82 DSGVO und der immaterielle Schaden

Art. 82 Abs. 1 DSGVO gewährt jeder Person, der wegen eines Verstoßes gegen die Verordnung ein materieller oder immaterieller Schaden entstanden ist, einen Anspruch auf Schadensersatz gegen den Verantwortlichen. Drei Voraussetzungen müssen kumulativ vorliegen:

  • Verstoß gegen die DSGVO: Im Falle Portraitbox liegt mit dem unbefugten Datenabfluss ein Verstoß gegen Art. 5 Abs. 1 lit. f und Art. 32 DSGVO (Integrität und Vertraulichkeit) regelmäßig nahe.
  • Kausaler Schaden: Der EuGH hat in seinen Entscheidungen vom 4. Mai 2023 (Rs. C-300/21, Österreichische Post), vom 14. Dezember 2023 (Rs. C-340/21, Natsionalna agentsia za prihodite) und vom 25. Januar 2024 (Rs. C-687/21, MediaMarktSaturn) klargestellt, dass ein bloßer Verstoß nicht ausreicht – die betroffene Person muss einen konkreten immateriellen Schaden darlegen. Die bloße Befürchtung eines Missbrauchs kann ausreichen, muss aber im Einzelfall plausibel sein.
  • Verschulden / Exkulpation: Nach Art. 82 Abs. 3 DSGVO wird der Verantwortliche von der Haftung befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand verantwortlich ist, durch den der Schaden eingetreten ist.

Genau hier liegt der Hebel: Wer als Fotograf seine eigene Compliance-Hausaufgaben gemacht hat – insbesondere die sorgfältige Auswahl und Kontrolle des Auftragsverarbeiters nach Art. 28 Abs. 1 DSGVO – kann sich auf die Exkulpation berufen. Wer hingegen weder einen wirksamen AVV vorzeigen kann noch die Auswahl von Portraitbox dokumentiert hat, steht im Prozess mit leeren Händen da.

Warum vorbeugen besser ist als zahlen: Compliance als Haftungsschild

Im juristischen Alltag begegnet mir immer wieder dasselbe Missverständnis: Datenschutz wird als lästige Bürokratie wahrgenommen, deren Kosten man sich solange spart, bis „etwas passiert“. Der Portraitbox-Fall führt vor Augen, warum diese Rechnung nicht aufgeht.

Vor der Datenpanne kostet eine solide Datenschutz-Compliance einen überschaubaren, planbaren Betrag: Bestellung eines externen Datenschutzbeauftragten, Erstellung des Verzeichnisses von Verarbeitungstätigkeiten, Prüfung der AVV, Aufsetzung der Datenschutzerklärung, gelegentliche Audits. Der konkrete Aufwand hängt von Größe und Struktur des Studios ab und lässt sich im Vorgespräch verlässlich abschätzen.

Nach der Datenpanne stehen demgegenüber: anwaltliche Verteidigung gegen jede einzelne Schadensersatzforderung, mögliche Vergleichszahlungen, drohende Bußgelder der Aufsichtsbehörde, Anwaltskosten der Gegenseite im Unterliegensfall, Reputationsschaden, Zeitaufwand. Bei einer kleinen dreistelligen Zahl betroffener Kunden – realistisch für viele Studios – kann sich der wirtschaftliche Schaden schnell auf einen fünfstelligen Betrag summieren.

Ein wichtiger Hinweis vorab: Auch wer sich bislang nicht intensiv mit dem Datenschutz beschäftigt hat, ist keineswegs chancenlos. Die Praxis zeigt, dass viele kleinere Fotostudios bei diesem Thema Nachholbedarf haben – das ist Realität in einer Branche, in der Kreativität und Kundenbetreuung im Vordergrund stehen und in der die DSGVO oft als komplex und einschüchternd wahrgenommen wird. Entscheidend ist nicht, ob Ihre Datenschutz-Organisation bislang perfekt war, sondern wie Sie jetzt reagieren.

Auch eine kurzfristig aufgebaute, aber nachvollziehbar dokumentierte Datenschutz-Organisation kann im Verfahren erheblich helfen. Aufsichtsbehörden und Gerichte würdigen ein erkennbares Bemühen um Verbesserung regelmäßig positiv. Wer unmittelbar nach dem Vorfall sichtbar Konsequenzen zieht – einen Datenschutzbeauftragten bestellt, das Verzeichnis von Verarbeitungstätigkeiten aufsetzt, AVV und TOM in Ordnung bringt –, zeigt damit Verantwortungsbewusstsein und Kooperationsbereitschaft. Das wirkt im Bußgeldverfahren strafmildernd und kann auch im Zivilprozess die eigene Position spürbar verbessern.

Für die laufenden Forderungen aus dem Portraitbox-Vorfall ist eine jetzt entschlossen aufgebaute Compliance-Struktur ebenso wertvoll wie für jeden künftigen Vorfall. Und der wird kommen: Datenpannen bei Cloud-Dienstleistern sind keine Seltenheit mehr, sondern ein realistisches Berufsrisiko geworden. Die gute Nachricht: Mit professioneller Unterstützung lässt sich der nötige Aufbau in überschaubarer Zeit und mit kalkulierbarem Aufwand bewältigen.

Strategie im Umgang mit Forderungen: Nicht zahlen, nicht schweigen

Wer ein Anspruchsschreiben eines Kunden oder dessen Anwalts erhalten hat, sollte einer strukturierten Vorgehensweise folgen. Improvisation ist hier gefährlich.

Eingangsprüfung und Fristnotierung: Notieren Sie Eingangsdatum und gesetzte Frist. Reagieren Sie nicht aus dem Affekt, aber lassen Sie die Frist auch nicht verstreichen.

Inhaltliche Analyse der Forderung: Wird der Verstoß konkret bezeichnet? Wird ein konkreter Schaden dargelegt – oder lediglich eine pauschale „Sorge um die Daten“ formuliert? Wird die Forderungshöhe begründet? Viele Schreiben sind aus juristischer Sicht überzogen und unbegründet.

Beweissicherung im eigenen Haus: Stellen Sie sämtliche relevanten Unterlagen zusammen – die Portraitbox-Mitteilung vom 20. Mai 2026, Ihren AVV mit Portraitbox, Ihr Verzeichnis von Verarbeitungstätigkeiten, Ihre Datenschutzerklärung, Nachweise über die Auswahl des Anbieters, Ihre eigene Meldung nach Art. 33 DSGVO und Ihre Benachrichtigung der Betroffenen nach Art. 34 DSGVO. Diese Unterlagen sind die Grundlage Ihrer Exkulpation.

Keine voreiligen Anerkenntnisse: Vermeiden Sie schriftliche oder mündliche Äußerungen, die als Schuldanerkenntnis ausgelegt werden könnten. Auch eine „aus Kulanz“ geleistete Zahlung kann Signalwirkung haben und weitere Kunden zur Anspruchstellung motivieren.

Sachliche, juristisch tragfähige Antwort: Die Erwiderung sollte den Sachverhalt aus Ihrer Sicht darstellen, die ergriffenen Schutzmaßnahmen benennen, die Voraussetzungen des Art. 82 DSGVO substantiiert prüfen und – wo angebracht – die Exkulpation nach Art. 82 Abs. 3 DSGVO geltend machen. Eine einheitliche Sprachregelung für alle Forderungsschreiben ist sinnvoll.

Einheitliche Bearbeitungslinie: Wenn mehrere Kunden Forderungen stellen, sollten die Antworten konsistent sein. Widersprüchliche Aussagen gegenüber unterschiedlichen Forderungsstellern führen im Prozess regelmäßig zu erheblichen Beweisproblemen.

Vergleichserwägungen: In Einzelfällen kann ein wirtschaftlich vernünftiger Vergleich der streitigen Auseinandersetzung vorzuziehen sein – allerdings nur nach Prüfung der Erfolgsaussichten, nicht aus Unsicherheit oder Zeitdruck.

Regress gegen Portraitbox: Den Auftragsverarbeiter in die Pflicht nehmen

Die Außenhaftung gegenüber Betroffenen befreit Sie nicht davon, im Innenverhältnis Portraitbox in Regress zu nehmen. Folgende Anspruchsgrundlagen kommen in Betracht:

Art. 82 Abs. 2 Satz 2 i. V. m. Abs. 5 DSGVO: Hat der Auftragsverarbeiter seine spezifischen Pflichten aus der DSGVO – insbesondere aus Art. 28 und 32 DSGVO – verletzt, haftet er anteilig. Der Verantwortliche, der den vollen Schaden an den Betroffenen geleistet hat, kann den auf den Auftragsverarbeiter entfallenden Anteil zurückfordern.

Vertragliche Ansprüche aus dem AVV: Ein ordnungsgemäß formulierter Auftragsverarbeitungsvertrag enthält regelmäßig Zusicherungen zu den technisch-organisatorischen Maßnahmen sowie Haftungs- und Freistellungsklauseln. Deren Verletzung begründet Schadensersatzansprüche aus dem Vertrag.

§ 280 Abs. 1 BGB: Subsidiär kommen allgemeine schuldrechtliche Schadensersatzansprüche wegen Pflichtverletzung in Betracht.

Konkrete Anhaltspunkte für ein Verschulden des Auftragsverarbeiters bestehen nach den bisher bekannten Sachverhaltsangaben durchaus: Ein einzelner kompromittierter API-Schlüssel sollte nach dem Stand der Technik bei cloudbasierter Bildverarbeitung nicht zum vollständigen Datenabfluss und zur anschließenden Löschung führen können. Mehrstufige Zugriffskontrollen, Privilegientrennung, IP-Restriktionen, Anomalie-Erkennung, kurze Schlüssel-Rotation und ein belastbares Backup-Konzept gehören zum branchenüblichen Sicherheitsstandard.

Wichtig: Die Verjährungsfristen laufen. Regressansprüche sollten frühzeitig dem Grunde nach gegenüber Portraitbox angekündigt und – idealerweise – durch eine Verjährungsverzichtsvereinbarung gesichert werden, solange die endgültige Schadenshöhe noch nicht feststeht.

Wie ich Sie als Fotograf konkret unterstütze

Als Rechtsanwalt mit den Schwerpunkten IT-, Internet- und Datenschutzrecht sowie als externer betrieblicher Datenschutzbeauftragter zahlreicher Klein- und Kleinstunternehmen begleite ich Sie in dieser Situation vollumfänglich. Mein Leistungsangebot in der aktuellen Konstellation umfasst insbesondere:

  • Abwehr von Schadensersatzforderungen Ihrer Kunden nach Art. 82 DSGVO – außergerichtlich und, soweit erforderlich, gerichtlich. Dazu gehört die einheitliche Bearbeitung mehrerer paralleler Forderungen mit konsistenter Argumentationslinie.
  • Geltendmachung von Regressansprüchen gegen Portraitbox auf Grundlage des AVV, des Art. 82 Abs. 5 DSGVO und der allgemeinen schuldrechtlichen Vorschriften.
  • Vertretung in Verwaltungs- und Bußgeldverfahren der zuständigen Landesdatenschutzbehörde.
  • Audit und Aufbau Ihrer Datenschutz-Compliance als Grundlage Ihrer Exkulpation – VVT, AVV-Prüfung, TOM, Datenschutzerklärung, Löschkonzept, Backup-Strategie.
  • Übernahme der Funktion als externer Datenschutzbeauftragter mit einem auf Foto- und Kreativbetriebe zugeschnittenen Leistungspaket.

Eine erste Einschätzung der individuellen Lage ist regelmäßig kurzfristig in einem Telefon- oder Videotermin möglich.

Fazit: Jetzt handeln – auf zwei Ebenen

Der Portraitbox-Vorfall tritt nun in die zweite Phase ein. Während die meldepflichtigen Fristen abgelaufen und die Betroffenenbenachrichtigungen versandt sind, beginnen jetzt die zivilrechtlichen Auseinandersetzungen mit einzelnen Kunden. Wer auf dieser zweiten Ebene unvorbereitet ist, wird Lehrgeld zahlen – sei es durch unnötige Vergleiche, sei es durch verlorene Prozesse, sei es durch Bußgelder.

Die Botschaft ist unbequem, aber klar: Wer erst dann professionellen Rat einholt, wenn die Klageschrift zugestellt ist, hat den entscheidenden Zeitpunkt verpasst. Die Exkulpation nach Art. 82 Abs. 3 DSGVO erfordert Nachweise, die vor dem Vorfall existiert haben müssen. Die Abwehr unberechtigter Forderungen funktioniert nur mit einer von Beginn an konsistenten Linie. Der Regress gegen Portraitbox setzt eine frühzeitige Beweissicherung und Anspruchsankündigung voraus.

Wer hingegen jetzt strukturiert vorgeht – die Forderungen sauber prüft, die eigene Compliance dokumentiert und aufholt, die Sprachregelung gegenüber Kunden und Behörde abstimmt und parallel die Regressansprüche sichert – kann den wirtschaftlichen Schaden erheblich begrenzen.

Ich unterstütze Sie gern auf beiden Ebenen: bei der akuten Abwehr eingehender Forderungen und beim mittelfristigen Aufbau einer belastbaren Datenschutz-Organisation, die Sie vor dem nächsten Vorfall wirksam schützt.

Kontakt aufnehmen

Häufig gestellte Fragen 

Muss ich auf jedes Forderungsschreiben antworten?

Ja. Wer nicht reagiert, riskiert Mahnbescheid und Versäumnisurteil. Die Antwort sollte allerdings juristisch tragfähig sein und keine voreiligen Zugeständnisse enthalten.

Sollte ich aus Kulanz zahlen, um Frieden zu haben?

Davon ist regelmäßig abzuraten. Eine Zahlung kann als Anerkenntnis gewertet werden und motiviert weitere Kunden zur Anspruchstellung. Vergleichserwägungen sollten erst nach Prüfung der Erfolgsaussichten erfolgen.

Wie hoch sind die typischen Schadensersatzbeträge bei Datenpannen?

Die Rechtsprechung ist uneinheitlich. Die Bandbreite reicht von wenigen hundert bis zu vierstelligen Beträgen pro betroffener Person. Pauschal geforderte Summen sind häufig überzogen und im Einzelfall zu prüfen.

Reicht es, mich auf das Verschulden von Portraitbox zu berufen?

Nein. Die Exkulpation nach Art. 82 Abs. 3 DSGVO erfordert den Nachweis, dass Sie in keinerlei Hinsicht für den Schadenseintritt verantwortlich sind. Dazu müssen Sie insbesondere die sorgfältige Auswahl und Kontrolle des Auftragsverarbeiters nach Art. 28 Abs. 1 DSGVO belegen können.

Kann ich von Portraitbox die Erstattung verlangen, was ich an meine Kunden zahle?

Grundsätzlich ja, soweit Portraitbox den Vorfall zu verantworten hat. Anspruchsgrundlagen sind Art. 82 Abs. 5 DSGVO, der AVV und § 280 BGB. Die frühzeitige Anspruchsankündigung und Beweissicherung ist entscheidend.

Was ist, wenn ich keinen wirksamen AVV mit Portraitbox habe?

Dann ist Ihre Rechtsposition deutlich geschwächt – sowohl gegenüber Ihren Kunden als auch gegenüber Portraitbox. Eine fehlende AVV-Dokumentation ist ein eigenständiger Verstoß gegen Art. 28 DSGVO und kann selbständig sanktioniert werden.

Lohnt sich der Aufwand einer Datenschutz-Compliance für ein kleines Fotostudio überhaupt?

Ja. Die laufenden Kosten einer externen Datenschutzbetreuung sind überschaubar und stehen in keinem Verhältnis zu den Risiken eines unzureichend vorbereiteten Schadensfalls – wie der Portraitbox-Vorfall eindrucksvoll zeigt.

Wie schnell sollte ich anwaltlichen Rat einholen?

So früh wie möglich – idealerweise vor Abgabe der ersten Erwiderung gegenüber einem fordernden Kunden. Jede Äußerung im Vorfeld kann später gegen Sie verwendet werden.

Kontakt aufnehmen

Verwandte Themen

Nach oben scrollen