Am Wochenende des 16. und 17. Mai 2026 kam es nach bisherigen Angaben zu einem unbefugten Zugriff auf die bei AWS betriebene Speicherinfrastruktur der Portraitbox GmbH. Betroffen sein sollen Schul- und Kindergartenfotos sowie zugehörige Kontakt-, Bestell- und Adressdaten. Zusätzlich steht eine Erpressung mit angedrohter Veröffentlichung der Daten im Raum.

Datenschutzrechtlich geht es damit nicht nur um einen technischen Sicherheitsvorfall. Maßgeblich ist, ob eine meldepflichtige Verletzung des Schutzes personenbezogener Daten vorliegt, und wer hierfür verantwortlich ist. Für Fotografen, Schulen und Kitas stellt sich daher die Frage, welche Pflichten nach Art. 28, 33 und 34 DSGVO bestehen und wie Eltern sachgerecht informiert werden sollten.

Der Beitrag unterscheidet drei Perspektiven: Fotografen als mögliche Verantwortliche, Schulen und Kitas als mögliche eigene oder gemeinsame Verantwortliche sowie Eltern als betroffene Personen beziehungsweise gesetzliche Vertreter betroffener Kinder.

Portraitbox-Datendiebstahl: Was bisher bekannt ist

Nach den öffentlich verfügbaren Informationen (siehe Quellen 1, 5 und 6) ereignete sich der Angriff am Wochenende 16./17. Mai 2026. Die Angreifer verschafften sich Zugang zu den AWS-Konten der Portraitbox GmbH über einen kompromittierten API-Schlüssel, luden Daten in unbekanntem Umfang herunter und löschten anschließend die Inhalte. Portraitbox informierte die Aufsichtsbehörde, schaltete eine spezialisierte IT-Forensik ein und sperrte den Angriffsweg. Die Strafverfolgungsbehörden wurden eingeschaltet.

Das mögliche Ausmaß ist datenschutzrechtlich erheblich. Portraitbox betreut nach eigenen Angaben rund 2.000 Fotografen-Kunden. Wenn jedes Studio im Durchschnitt 100 Personen fotografiert hat, könnten rechnerisch etwa 200.000 Personen betroffen sein, möglicherweise mehr. Allein in Rheinland-Pfalz sollen mindestens 50 Fotografen betroffen sein, dazu kommen Fälle in Vorarlberg, Oberösterreich und nach Bestätigung des Eidgenössischen Datenschutzbeauftragten (EDÖB) auch in der Schweiz. Diese Schätzung setzt voraus, dass die jeweiligen Fotografen ihre Aufbewahrungs- und Löschvorgaben eingehalten haben. Wo das nicht der Fall war, liegt das tatsächliche Ausmaß höher; auf diesen Aspekt geht der Abschnitt zur Speicherbegrenzung weiter unten gesondert ein.

Was bei Portraitbox kompromittiert wurde

  • Alle hochgeladenen Fotos der Galerien, darunter Schul- und Kindergartenfotos
  • Namen und E-Mail-Adressen von Fotografen und Endkunden
  • Lieferadressen aus den Bestellungen
  • Bestellhistorien
  • Galerien-Zugangscodes und Passwörter
  • Potenziell Bankdaten der Fotografen, nicht der Endkunden

Quelle: Statement der Portraitbox GmbH, ergänzt um Recherchen von Born IT-Blog und heise online. Stand: 28. Mai 2026.

Warum der Vorfall datenschutzrechtlich besonders schwer wiegt

Das Risiko ergibt sich vor allem aus drei Faktoren. Zum einen sind Kinder besonders schutzbedürftig. Erwägungsgrund 38 der DSGVO benennt sie ausdrücklich, Art. 8 der EU-Grundrechtecharta untermauert den Datenschutz allgemein.

Zum anderen wirkt die Kombination der Datenkategorien risikosteigernd. Bilddaten allein wären problematisch, Klarnamen und Lieferanschriften ebenfalls; ihre Verknüpfung jedoch ermöglicht eine unmittelbare Zuordnung zu konkreten Kindern und Familien. Diese Zuordenbarkeit ist die eigentlich schadensvergrößernde Komponente.

Hinzu kommt die konkrete Erpressungslage. Sie ist bereits eingetreten, gedroht wird mit der Veröffentlichung der abgeflossenen Daten. Sollten die Daten tatsächlich öffentlich werden, würde sich die Schadenshöhe deutlich erhöhen und die Folgen träfen Familien unmittelbar. Bei der Risikobewertung nach Art. 34 DSGVO ist diese Konstellation ein zentrales Kriterium für die Annahme eines hohen Risikos.

Datenschutzrechtliche Rollen: Wer trägt welche Verantwortung?

Die datenschutzrechtliche Rollenverteilung ist der Dreh- und Angelpunkt des Falls. Verantwortlicher ist nach Art. 4 Nr. 7 DSGVO, wer über Zwecke und Mittel der Verarbeitung entscheidet. Auftragsverarbeiter ist demgegenüber, wer personenbezogene Daten weisungsgebunden im Auftrag verarbeitet.

In vielen typischen Fotoaktionen spricht viel dafür, dass der Fotograf Verantwortlicher ist. Er entscheidet regelmäßig über Aufnahme, Auswahl, Bereitstellung und Verkauf der Bilder sowie über die eingesetzte Plattform. Portraitbox wäre in dieser Konstellation als Auftragsverarbeiter einzuordnen, also weisungsgebunden und an die Pflichten der Art. 28 und 32 DSGVO gebunden. Gleichwohl ersetzt diese Grundannahme keine Einzelfallprüfung. Entscheidend sind die tatsächlichen Abläufe und die vertraglichen Regelungen.

Schulen und Kitas können je nach Ausgestaltung ebenfalls datenschutzrechtlich verantwortlich sein. Dies gilt insbesondere, wenn sie den Fotografen auswählen, die Fotoaktion organisieren, Einwilligungen einholen oder Vorgaben zur weiteren Verarbeitung machen. In solchen Fällen kommt auch eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO in Betracht.

Setzt Portraitbox AWS im Rahmen der Leistungserbringung für die Speicherung oder Verarbeitung personenbezogener Daten ein, ist AWS aus Sicht des Verantwortlichen regelmäßig als weiterer Auftragsverarbeiter beziehungsweise Unterauftragsverarbeiter in die Verarbeitungskette einzubeziehen. Voraussetzung sind eine wirksame Autorisierung nach Art. 28 Abs. 2 DSGVO und eine vertragliche Bindung nach Art. 28 Abs. 4 DSGVO. Praktisch folgt daraus, dass die Meldung nach Art. 33 Abs. 1 DSGVO regelmäßig die Fotografen und, je nach Rollenklärung, auch die Bildungseinrichtungen trifft. Auftragsverarbeiter müssen den Verantwortlichen nach Art. 33 Abs. 2 DSGVO unverzüglich über die Verletzung informieren.

Meldung nach Art. 33 DSGVO: Vorgehen innerhalb von 72 Stunden

Art. 33 DSGVO verpflichtet jeden Verantwortlichen, eine Verletzung des Schutzes personenbezogener Daten unverzüglich und möglichst binnen 72 Stunden nach Bekanntwerden bei der zuständigen Aufsichtsbehörde zu melden. Bekanntwerden bedeutet nach Auslegung der Landesbeauftragten für Datenschutz NRW, dass ausreichende Anhaltspunkte für einen meldepflichtigen Vorfall vorliegen. Für viele betroffene Fotografen dürfte der Zeitpunkt des Bekanntwerdens mit Zugang der Anbieterinformation am 20. Mai 2026 anzusetzen sein, sofern diese Mitteilung bereits ausreichende Anhaltspunkte für eine meldepflichtige Verletzung enthielt.

Wer die Frist überschreitet, riskiert aufsichtsrechtliche Maßnahmen, einschließlich Verwarnung, Anordnung oder Bußgeld, wie der Fall der Berliner Verkehrsbetriebe zeigt (siehe weiter unten). Die zuständige Aufsichtsbehörde richtet sich nach dem Sitz des Verantwortlichen, also nach dem Bundesland des Fotografen. Die meisten Landes-Datenschutzbeauftragten stellen Online-Formulare bereit, die LDI NRW etwa unter ihrem Webformular.

Für Auftragsverarbeiter gilt parallel Art. 33 Abs. 2 DSGVO: Sie müssen den Verantwortlichen unverzüglich informieren, sobald ihnen eine Verletzung des Schutzes personenbezogener Daten bekannt wird. Für den Verantwortlichen beginnt die 72-Stunden-Frist nach Art. 33 Abs. 1 DSGVO erst, sobald ihm selbst ausreichende Anhaltspunkte für eine meldepflichtige Verletzung vorliegen.

Pflichtinhalte einer Art. 33-Meldung

  1. Beschreibung der Verletzung, einschließlich Art, Kategorien und ungefähre Zahl der betroffenen Personen und Datensätze (Art. 33 Abs. 3 lit. a)
  2. Wahrscheinliche Folgen für die betroffenen Personen, also eine erste Risikobewertung (lit. b)
  3. Ergriffene und geplante Maßnahmen zur Behebung und Schadensabmilderung (lit. c)
  4. Information der Betroffenen, also Angabe, ob die Eltern bereits oder noch informiert werden müssen, mit Begründung (lit. d)

Die Risikobewertung erfolgt entlang des Kurzpapiers Nr. 18 der Datenschutzkonferenz, das Schadenseintrittswahrscheinlichkeit und Schadenschwere kombiniert.

Was Fotografen jetzt tun sollten, Schritt für Schritt

  1. Eigene Betroffenheit feststellen. Portraitbox-Account einloggen oder die offizielle Mitteilung des Anbieters lesen. Eine Liste aller eigenen Galerien zusammenstellen, die seit Vertragsbeginn angelegt wurden, einschließlich pausierter oder abgeschlossener Aufträge.
  2. Datenbestand quantifizieren. Wie viele Personen, in welchen Jahrgängen, mit welchen Datenkategorien? Schul- und Kita-Aufträge getrennt erfassen, weil sie eine andere Auftraggeberstruktur haben.
  3. Zuständige Aufsichtsbehörde identifizieren. Landesdatenschutz des eigenen Bundeslandes ist zuständig, also dort, wo der Fotograf seinen Geschäftssitz hat. Webformular der jeweiligen LDI oder LDA aufrufen.
  4. Meldung nach Art. 33 DSGVO vorbereiten. Die Pflichtinhalte a bis d aus der vorherigen Box ausfüllen und die Meldung unverzüglich, möglichst innerhalb von 72 Stunden nach Bekanntwerden, einreichen.
  5. Auftraggeber informieren. Schulen und Kitas, für die betroffene Galerien angelegt wurden, schriftlich benachrichtigen. Eine Kopie der eigenen Aufsichtsmeldung beifügen und die Frage der gemeinsamen Verantwortlichkeit ansprechen.
  6. Betroffene Eltern informieren (Art. 34 DSGVO). Bei hohem Risiko zwingend. Klare, einfache Sprache, Verzicht auf juristisches Vokabular, Kontaktstelle für Rückfragen nennen. Wo möglich, die Information über die Bildungseinrichtung als Multiplikator versenden.
  7. Vorfall dokumentieren. Interne Akte anlegen mit Zeitpunkt des Bekanntwerdens, eigener Risikobewertung, Entwurf und Versand der Aufsichtsmeldung, Korrespondenz mit Auftraggebern und Eltern sowie eingeleiteten technischen Maßnahmen. Diese Dokumentation schützt im späteren Prüf- oder Bußgeldverfahren.
  8. Rechtsberatung einholen. Bei größerem betroffenem Personenkreis, bei Unsicherheit über Rollenverteilung oder bei drohendem Schadensersatzverfahren eine Fachanwaltskanzlei für IT- und Datenschutzrecht einschalten.

Hinweis: Die 72-Stunden-Frist nach Art. 33 Abs. 1 DSGVO beginnt mit dem eigenen Bekanntwerden, nicht mit dem Tag des Angriffs.

Benachrichtigung nach Art. 34 DSGVO: Eltern und Kinder informieren

Eine Benachrichtigung der betroffenen Personen nach Art. 34 DSGVO ist erforderlich, wenn die Verletzung voraussichtlich ein hohes Risiko für Rechte und Freiheiten natürlicher Personen zur Folge hat. Bei Bilddaten von Kindern, verknüpft mit Namen, Kontaktdaten, Lieferanschriften und einer Veröffentlichungsdrohung, spricht viel für ein solches hohes Risiko. Die konkrete Bewertung ist im Einzelfall zu dokumentieren.

Die Information muss in klarer, einfacher Sprache erfolgen. Sie sollte Art und Umfang des Vorfalls, die wahrscheinlichen Folgen, empfohlene Schutzmaßnahmen und eine Kontaktstelle für Rückfragen enthalten. Wichtig ist eines: Die Kommunikation darf weder beschwichtigen noch spekulieren. Sie muss den bekannten Sachstand transparent darstellen und offene Punkte klar benennen.

Praktisch sinnvoll ist eine abgestimmte Kommunikation zwischen Fotograf und Bildungseinrichtung. Soweit der Fotograf Verantwortlicher ist, trifft ihn die Melde- und gegebenenfalls Benachrichtigungspflicht. Bei gemeinsamer Verantwortlichkeit mit der Einrichtung ist zu klären, wer welche Informationspflicht praktisch erfüllt; gegenüber den betroffenen Personen bleibt die Verantwortlichkeit jedoch nicht beliebig delegierbar.

Was Eltern jetzt tun können

  1. Klären, ob das eigene Kind betroffen ist. Bei Schule, Kita oder Fotograf nachfragen, ob Portraitbox genutzt wurde. E-Mail-Posteingang auf eine Mitteilung des Fotografen prüfen, denn die Information nach Art. 34 DSGVO ist verpflichtend.
  2. Eigene Zugänge sichern. Falls ein Eltern-Galerie-Zugang besteht, das Passwort sofort ändern. Wo dasselbe Passwort woanders genutzt wurde, dort ebenfalls erneuern. Wenn möglich, Zwei-Faktor-Authentifizierung aktivieren.
  3. Auf Phishing achten, die nächsten Wochen. Misstrauisch sein bei E-Mails, Anrufen oder Briefen mit Bezug zu Kinderfotos, Schule oder Kita. Keine Links anklicken, keine Anhänge öffnen, keine Daten am Telefon herausgeben. Im Zweifel direkt bei Schule, Kita oder Fotograf telefonisch rückversichern.
  4. Identitätsdiebstahl-Risiko prüfen. Sofern neben Kontakt- und Adressdaten auch Zahlungs- oder vertragsbezogene Informationen betroffen sein könnten, kann eine erhöhte Aufmerksamkeit gegenüber Identitätsmissbrauch sinnvoll sein. Optional kommt eine kostenlose Selbstauskunft (z. B. nach Art. 15 DSGVO) in Betracht; ein aufmerksamerer Blick auf Kontobewegungen in den folgenden zwei bis drei Monaten bleibt jedenfalls ein einfach umsetzbarer Vorsorgeschritt.
  5. Mit Kindern altersgerecht sprechen. Wenn Bilder potenziell veröffentlicht werden könnten, das Kind nicht beunruhigen, aber wachsam machen gegenüber Fremdansprache, etwa auf dem Schulweg oder in sozialen Medien. Das pädagogische Personal informieren, damit auch dort Aufmerksamkeit besteht.
  6. Eigene Rechte gegenüber dem Fotografen wahrnehmen. Auskunftsrecht nach Art. 15 DSGVO einfordern: Welche Daten waren konkret betroffen? Schadensersatzanspruch nach Art. 82 DSGVO prüfen, möglich auch bei immateriellem Schaden. Beschwerderecht bei der Aufsichtsbehörde des eigenen Bundeslandes nach Art. 77 DSGVO.
  7. Hilfe und Beratung holen. Erste Anlaufstellen sind die Landes-Datenschutzbeauftragten für Beschwerden und Informationen sowie die Verbraucherzentrale, die in vielen Bundesländern eine kostenlose Erstberatung anbietet. Polizei nur bei konkretem Verdacht auf Identitätsdiebstahl oder eine strafrechtlich relevante Veröffentlichung.

Diese Liste ersetzt keine individuelle Rechtsberatung. Bei konkretem Schaden lohnt sich der Gang zu einer Fachanwaltskanzlei für IT- oder Datenschutzrecht.

Schulen und Kitas: Rollenklärung, Verträge und Elternkommunikation

Bildungseinrichtungen sind häufig nicht reine Vermittler, sondern Mit-Verantwortliche. Drei Fragen sollten innerhalb der nächsten Tage geklärt sein.

Erste Frage: Wer war Verantwortlicher der Foto-Aktion? Wer die Aktion in Räumen der Einrichtung durchgeführt, Termine koordiniert und Eltern-Einwilligungen eingeholt hat, ist meist Verantwortlicher oder zumindest gemeinsam Verantwortlicher mit dem Fotografen. Daraus folgt eine eigene Meldepflicht nach Art. 33 DSGVO.

Zweite Frage: Liegt ein Auftragsverarbeitungs-Vertrag mit dem Fotografen vor? Wenn der Fotograf im Auftrag der Einrichtung tätig wird, braucht es einen schriftlichen Auftragsverarbeitungs-Vertrag nach Art. 28 Abs. 3 DSGVO. Ohne diesen Vertrag liegt bereits ein eigenständiger DSGVO-Verstoß vor, unabhängig vom konkreten Vorfall.

Dritte Frage: Wer informiert die Eltern und wann? Klare Kommunikations-Kette aufsetzen, am besten gemeinsam mit dem Fotografen. Schul- oder Kita-Leitung als Multiplikator, Fotograf als rechtlich Verantwortlicher. Eine eigene Information seitens der Einrichtung schützt das Vertrauensverhältnis zu den Eltern und beugt Beschwerden vor.

Bezüge zum jeweiligen Landes-Schulgesetz oder Kindertagesförderungsgesetz sollten Einrichtungen mit ihrem Datenschutzbeauftragten oder dem behördlichen Datenschutz im Land klären, denn die Regelungen zu Foto-Aktionen unterscheiden sich zwischen den Bundesländern.

Was Schulen und Kitas jetzt prüfen sollten

  • Eigene Rolle klären. Die Einrichtung muss feststellen, ob sie nur organisatorisch unterstützt oder selbst über Zweck und Mittel der Fotoaktion entschieden hat. Maßgeblich sind insbesondere Auswahl des Fotografen, Einwilligungsmanagement, Kommunikation mit Eltern und Vorgaben zur Speicherung.
  • Auftragsverarbeitungs-Vertrag sichten. Liegt ein schriftlicher Vertrag mit dem Fotografen vor? Ist Portraitbox als Sub-Auftragsverarbeiter ausdrücklich benannt? Enthält der Vertrag Lösch-Klauseln, Aufbewahrungsfristen und Pflichten zur Meldung von Sicherheitsvorfällen?
  • Eltern-Einwilligungen prüfen. Wurde die Cloud-Speicherung bei einem externen Dienstleister in den Einwilligungserklärungen offengelegt? Sind Aufbewahrungsdauer und Löschzeitpunkt für die Eltern erkennbar formuliert?
  • Kommunikations-Kette mit dem Fotografen abstimmen. Wer informiert die Eltern, in welcher Form, mit welchem Wortlaut, und wer beantwortet Rückfragen? Eine abgestimmte gemeinsame Mitteilung wirkt verlässlicher als zwei isolierte Schreiben.
  • Eigene Meldepflicht prüfen. Bei eigener Verantwortlichkeit greift Art. 33 DSGVO unmittelbar, unabhängig von der Meldung des Fotografen. Zuständig ist der Landesdatenschutz des eigenen Bundeslandes.
  • Eltern direkt erreichen. Der bestehende Schul- oder Kita-Verteiler ist meist schneller und glaubwürdiger als eine isolierte E-Mail des Fotografen. Eine gemeinsame Information über den Verteiler bevorzugen.
  • Lehren für zukünftige Foto-Aktionen sichern. Künftig Dienstleister auf belastbare Zertifizierungen prüfen (ISO/IEC 27001 oder CISIS12), AV-Vertrag mit Lösch-Nachweis-Klausel verlangen und eine transparente Liste der eingesetzten Sub-Auftragsverarbeiter einfordern.

Hinweis: Bei landesrechtlich besonderen Regelungen (etwa Schul-Datenschutz-VO der Länder) im Zweifel den behördlichen Datenschutz des Landes einschalten.

Speicherbegrenzung: Warum Löschkonzepte entscheidend sind

Eine strukturelle Frage, die in der akuten Lage leicht übersehen wird, aber im Nachgang gegenüber der Aufsichtsbehörde noch wichtig wird: Mussten die gestohlenen Daten überhaupt noch in der Cloud liegen? Die DSGVO verlangt in Art. 5 Abs. 1 lit. e (Speicherbegrenzung) und Abs. 2 (Rechenschaftspflicht), dass personenbezogene Daten nur so lange gespeichert werden, wie es für den Zweck erforderlich ist.

Konkret heißt das: Wenn Schulfotos aus 2023 und 2024 noch in den Portraitbox-Galerien lagen, obwohl der Verkaufszeitraum längst beendet war, dann lag dort ein Datenbestand, der gar nicht hätte gespeichert sein dürfen. Der Schaden im aktuellen Vorfall wird größer, je mehr alte Galerien betroffen sind. Und für die verantwortlichen Fotografen wird die Lage gegenüber der Aufsichtsbehörde unangenehmer.

Offen bleibt damit vor allem eine Frage: Wie viele ältere Galerien lagen zum Zeitpunkt des Angriffs noch auf der Plattform? Wenn Fotografen seit mehreren Jahren Schul- und Kita-Aufträge über Portraitbox abwickeln und die Galerien dabei nicht aktiv gelöscht wurden, waren beim Angriff im Mai 2026 nicht nur die Aufnahmen der laufenden Saison betroffen, sondern Datenbestände mehrerer Jahrgänge. Die eingangs genannte Schätzung von rund 200.000 betroffenen Personen ist insofern eine Untergrenze. Bei verbreiteter Aufbewahrung mehrerer Jahrgänge wären realistisch deutlich höhere Größenordnungen denkbar, ohne dass dies bislang öffentlich bestätigt oder durch die Aufsichtsbehörden quantifiziert ist. Damit wirkt jede unterbliebene Löschung in zwei Richtungen: Sie vergrößert den Personenkreis des konkreten Vorfalls und schafft gleichzeitig einen eigenständigen DSGVO-Verstoß des jeweiligen Fotografen.

Wie unangenehm das werden kann, zeigt ein Präzedenzfall aus dem Jahr 2025. Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) sprach gegen die Berliner Verkehrsbetriebe (BVG) eine Verwarnung aus. Hintergrund: Ein Dienstleister hatte 2025 etwa 180.000 Kundendatensätze für eine Briefaktion verarbeitet, der Auftrag war im Januar abgeschlossen, aber die Daten lagerten beim Dienstleister weiter. Beim Cyber-Angriff im April 2025 waren dadurch Daten betroffen, die längst gelöscht hätten sein müssen. Die Aufsicht sah einen Verstoß gegen Art. 5 Abs. 2 in Verbindung mit Abs. 1 lit. c, e und f sowie Art. 32 DSGVO, weil die BVG sich auf vertragliche Lösch-Zusicherungen verlassen, die Löschung aber nicht nachweislich kontrolliert hatte.

Die direkten Lehren für Fotografen und Bildungseinrichtungen sind klar. Ein Vertrag, der eine Löschung nach Verkaufsende zusichert, reicht nicht. Es braucht Lösch-Bestätigungen, also Lösch-Protokolle, Lösch-Berichte oder regelmäßige Stichproben. Aufbewahrungsfristen gehören explizit in den Auftragsverarbeitungs-Vertrag, etwa als Klausel „Galerie 6 Monate verfügbar, automatische Löschung im Folgemonat". Und die Kontroll-Pflicht des Verantwortlichen ist periodisch wahrzunehmen, nicht einmalig beim Vertragsschluss. Aus dem BVG-Fall ergibt sich zusätzlich, dass auch das Verfahren für Datenschutzvorfälle im Auftragsverarbeitungs-Vertrag konkret beschrieben sein muss, sonst liegt ein eigenständiger Verstoß gegen Art. 28 Abs. 3 Satz 2 lit. f DSGVO vor.

Dienstleisterauswahl nach Art. 28 DSGVO: Mindestanforderungen an Cloud-Anbieter

Dieser Abschnitt ist der wirtschaftlich entscheidende Aspekt für die zentral betroffenen Gruppen, also kleine und mittlere Fotografen sowie Bildungseinrichtungen mit begrenzten Ressourcen für Datenschutz. Ein einzelner Vorfall in der Größenordnung von Portraitbox kann einen Einzelbetrieb existenziell treffen, und zwar nicht zuerst durch das Bußgeld, sondern durch die Kombination aus einer Vielzahl möglicher Schadensersatzforderungen, einer Auseinandersetzung über den Deckungsschutz der Cyber-Versicherung und einem Reputationsverlust.

Was ein Sicherheitsvorfall einen Einzelbetrieb kosten kann

  • Bußgeld nach Art. 83 DSGVO, Rahmen bis 20 Mio. EUR oder 4 Prozent Jahresumsatz. Für kleine Verantwortliche realistisch eine Verwarnung wie im BVG-Fall oder ein vier- bis fünfstelliges Bußgeld. Bei schwerem Verschulden, etwa wissentlich unterlassener Meldung, auch sechsstellig möglich.
  • Schadensersatz nach Art. 82 DSGVO, möglich auch für immaterielle Schäden. Die Höhe hängt vom Einzelfall, der konkreten Beeinträchtigung und der gerichtlichen Bewertung ab. Bei einer Vielzahl betroffener Personen kann bereits eine moderate Einzelhöhe zu erheblichen Gesamtrisiken führen.
  • Anwalts- und Beraterkosten, realistisch 5.000 bis 20.000 EUR für eine rechtssichere Begleitung der Meldung, der Korrespondenz mit der Aufsicht und der Eltern-Kommunikation.
  • Versicherungsfrage, eine Cyber-Versicherung kann tragen, aber Selbstbehalt, Ausschluss bei grober Fahrlässigkeit und Obliegenheits-Klauseln zur Reaktionszeit sind zu prüfen.
  • Reputationsverlust, Wegfall von Folgeaufträgen mit Schulen und Kitas, negative Google-Bewertungen, negative Weiterempfehlungen innerhalb der Branche. Bei einem Geschäft, das fast vollständig auf Empfehlung lebt, der größte Posten.
  • Auftraggeber-Sanktionen, Schulen und Kitas können Verträge kündigen, Vertragsstrafen geltend machen oder den Fotografen für die nächste Saison ausschließen.
  • Aufsichtsrechtliche Maßnahmen, die Aufsichtsbehörde kann bestimmte Verarbeitungen untersagen oder Verwarnungen, Anordnungen sowie Bußgelder verhängen, etwa keine Cloud-Speicherung von Kinderfotos ohne dokumentierte Zertifizierung des Dienstleisters. Das schränkt die Berufsausübung praktisch ein.

Konsequenz: Eine bewusste Dienstleisterauswahl ist keine bloße Compliance-Formalität, sondern Risikomanagement im engsten Sinne.

Der Rechtsrahmen ist deutlich. Art. 28 Abs. 1 DSGVO erlaubt nur die Beauftragung von Verarbeitern, die hinreichende Garantien für geeignete technische und organisatorische Maßnahmen bieten. Wer ohne Prüfung wählt, haftet selbst.

Bevor zertifizierte Dienstleister verlangt werden, lohnt eine pragmatische Mindestprüfung. Liegt ein aktueller Auftragsverarbeitungs-Vertrag mit Klausel zur Meldung von Sicherheitsvorfällen und mit Lösch-Nachweis-Klausel vor? Hostet der Anbieter in der EU oder zumindest unter sauberem Transfer Impact Assessment (TIA) und Standardvertragsklauseln (Standard Contractual Clauses, SCC)? Sind Verschlüsselung im Ruhezustand und bei der Übertragung nach Stand der Technik nachgewiesen, wie es Art. 32 DSGVO verlangt? Liegt ein Penetrationstest-Bericht aus den letzten 24 Monaten vor, mindestens als Auszug? Gibt es eine Notfall-Kontaktkette mit Reaktionszeit innerhalb von 24 Stunden?

Pragmatischer Zertifizierungs-Vergleich

ISO/IEC 27001 ist ein international etablierter Standard für Informationssicherheitsmanagementsysteme und eignet sich insbesondere als belastbarer Nachweis systematischer Sicherheitsorganisation. Externe Auditierung, branchenüblich im fünfstelligen Bereich pro Erstzertifizierung, zuzüglich jährlicher Überwachungs-Audits. Realistisch für die Plattform selbst, also für Anbieter wie Portraitbox oder vergleichbare Wettbewerber, nicht für den einzelnen Fotografen. Mehr Information unter ISO 27001-Beratung.

Für kleinere Anbieter können branchenspezifische oder mittelstandsgerechte Verfahren wie CISIS12, das schlanke Informationssicherheits-Verfahren des Bayerischen IT-Sicherheitsclusters in zwölf Schritten, eine pragmatische Alternative darstellen, sofern Umfang, Auditqualität und Geltungsbereich transparent dokumentiert sind. Es ist branchenüblich deutlich günstiger als die ISO-27001-Vollzertifizierung und kann eine vernünftige Mindestschwelle für einen Foto-Plattformanbieter mit mehr als 1.000 Kunden darstellen. Mehr Information unter CISIS12-Beratung.

BSI IT-Grundschutz ist der Standard des Bundesamts für Sicherheit in der Informationstechnik. Er gewinnt insbesondere dann an Bedeutung, wenn die Schule oder Kita selbst grundschutzorientierten Anforderungen aus Landes-Schulgesetzen, KRITIS-Regelungen oder IT-Sicherheitsrichtlinien der Länder unterliegt. Mehr Information unter BSI IT-Grundschutz-Beratung.

Faustregel für Fotografen mit Foto-Plattformanbietern: Bei einem Dienstleister mit Tausenden von Kunden ist mindestens CISIS12 ein vernünftiges Erwartungsniveau, bei Spezial-Daten wie Kinderfotos eher ISO/IEC 27001.

AV-Vertrag mit Foto-Dienstleister: Mindestklauseln

  • Sub-Auftragsverarbeitung mit Genehmigungsvorbehalt, transparente Liste der eingesetzten Sub-Verarbeiter (etwa AWS, Stripe, Mailing-Dienste)
  • Pflicht zur Meldung von Sicherheitsvorfällen innerhalb von 24 Stunden an den Verantwortlichen, mit benannten Kontaktpersonen und Eskalations-Pfaden
  • Nachweis technischer und organisatorischer Maßnahmen entweder durch ISO/IEC 27001-Zertifikat oder CISIS12-Testat, jeweils mit Gültigkeitsnachweis
  • Hosting-Region EU, dokumentiert in der Verarbeitungsvereinbarung, mit Hinweis auf eingesetzte Sub-Verarbeiter
  • Lösch- und Export-Verpflichtung bei Vertragsende oder Erreichen der Aufbewahrungsfrist, inklusive Lösch-Bestätigung an den Verantwortlichen
  • Audit-Recht für den Verantwortlichen oder einen von ihm beauftragten Dritten, mindestens alle 24 Monate

Die Meldepflicht trifft die Fotografen als Verantwortliche, nicht den Plattformbetreiber als Auftragsverarbeiter. Daran ändert auch ein Cloud-Vertrag nichts, der die Verantwortung scheinbar weitergibt.

Sinngemäß nach LDI NRW, Auslegungshilfe zu Art. 33 DSGVO

Fazit: Verantwortung lässt sich nicht auslagern

Der Portraitbox-Vorfall zeigt, dass Auftragsverarbeitung keine Verlagerung von Verantwortung bedeutet. Wer personenbezogene Daten über Dienstleister verarbeiten lässt, bleibt verpflichtet, Rollen, Verträge, Sicherheitsmaßnahmen und Löschkonzepte nachweisbar zu prüfen.

Kurzfristig stehen für Fotografen, Schulen und Kitas drei Aufgaben im Vordergrund: die Rollenklärung, die Prüfung möglicher Melde- und Benachrichtigungspflichten sowie eine abgestimmte Kommunikation gegenüber betroffenen Eltern. Mittelfristig entscheidet die Qualität der Dienstleistersteuerung darüber, ob aus einem Sicherheitsvorfall ein beherrschbarer Datenschutzprozess wird oder ein unkontrollierter Flächenbrand.

Gerade bei Bilddaten von Kindern ist Datenminimierung kein formaler Nebensatz der DSGVO, sondern ein wirksamer Schutzmechanismus. Was nicht mehr gespeichert ist, kann im Schadensfall nicht abfließen.

QUELLEN

  1. Portraitbox GmbH, Statement zum Cyber-Vorfall, abgerufen am 28.05.2026, portraitbox.com
  2. Verordnung (EU) 2016/679 (DSGVO), Art. 5, 28, 32, 33, 34, 77, 82, 83, EUR-Lex
  3. LDI NRW, Meldepflicht für Verantwortliche nach Art. 33 DSGVO, ldi.nrw.de
  4. Datenschutzkonferenz (DSK), Kurzpapier Nr. 18 — Risiko für die Rechte und Freiheiten natürlicher Personen, datenschutzkonferenz-online.de
  5. Born IT-Blog, „Cybervorfall bei Portraitbox GmbH", 21.05.2026, borncity.com
  6. heise online, „Security incident at photo provider: Is Portraitbox being blackmailed?", Mai 2026, heise.de
  7. datensicherheit.de, „DSGVO-Verstoß BVG: BlnBDI-Verwarnung", 2025, datensicherheit.de
  8. Anwalt.de, „Datenpanne bei Portraitbox: Was Fotografen jetzt in 72 Stunden tun müssen", Mai 2026 (Branchen-Sicht), anwalt.de