Der Cyberangriff auf den Fotodienstleister Portraitbox betrifft ein besonders sensibles Thema: Fotos von Kindern, Bestelldaten und möglicherweise weitere personenbezogene Informationen aus Online-Galerien für Kita-, Kindergarten- und Schulfotografie. Nach Angaben mehrerer Berichte und Datenschutzstellen kam es Mitte Mai 2026 zu einem Sicherheitsvorfall bei Portraitbox. Der Anbieter wird von vielen Fotografen und Fotostudios genutzt, unter anderem für Online-Galerien und Bestellshops.
Für Eltern ist die entscheidende Frage jetzt nicht nur: Wurde Portraitbox genutzt? Sondern auch: Hat mich jemand informiert – und was kann ich selbst tun, wenn keine Information kommt?
Wichtig: Dieser Beitrag ersetzt keine Rechtsberatung. Er soll helfen, die Lage praktisch einzuordnen und die richtigen Fragen zu stellen.
Was ist passiert?
Nach aktuellem Stand wurde Portraitbox im Mai 2026 Ziel eines Cyberangriffs. Laut Berichten verschafften sich unbekannte Angreifer Zugriff auf die Cloud-Infrastruktur des Dienstleisters. Betroffen sein können demnach Fotodateien, Galerien, Bestellungen sowie personenbezogene Daten von Endkundinnen und Endkunden. Ob und in welchem Umfang einzelne Familien betroffen sind, hängt davon ab, ob der jeweilige Fotograf oder das Fotostudio Portraitbox eingesetzt hat und welche Daten dort gespeichert waren.
Besonders brisant ist der Fall, weil Portraitbox offenbar auch im Umfeld von Kita-, Kindergarten- und Schulfotografie genutzt wird. Genau dort geht es nicht um irgendeinen Datensatz, sondern um Kinderfotos, Namen, Kontaktdaten, Bestellinformationen und möglicherweise Adressdaten. Das macht den Vorfall für Familien deutlich sensibler als eine normale Shop-Panne.
Warum Eltern nicht einfach abwarten sollten
Viele Eltern erfahren von solchen Vorfällen nicht direkt über den technischen Dienstleister, sondern über Fotografen, Kitas, Schulen oder Medienberichte. In Diskussionen von Betroffenen zeigt sich genau dieses Problem: Manche Familien berichten von schnellen und ausführlichen Informationen, andere fühlen sich komplett im Dunkeln gelassen. Der von dir gelieferte Reddit-Thread zeigt vor allem diese Unsicherheit: Eltern fragen sich, ob ihr Fotograf Portraitbox genutzt hat, ob ihre Daten betroffen sein könnten und warum keine klare Information kommt.
Das ist der Punkt, an dem ein guter Service-Artikel ansetzt: Nicht spekulieren, nicht anklagen, sondern eine klare Prüfliste liefern.
Checkliste: Das können Eltern jetzt konkret tun
1. Prüfen, ob Portraitbox überhaupt genutzt wurde
Schauen Sie nach alten E-Mails, Bestellbestätigungen, Zugangscodes oder Links zur Fotogalerie. Hinweise können Domainnamen, Shop-Links oder Begriffe wie „Portraitbox“, „Online-Galerie“, „Fotocode“ oder der Name des Fotostudios sein.
Wenn Sie keinen Link mehr finden: Fragen Sie direkt beim Fotografen, bei der Kita oder bei der Schule nach, welcher Anbieter für die Online-Galerie genutzt wurde.
2. Nicht nur „Sind wir betroffen?“ fragen
Die bessere Frage lautet konkreter:
Wurden im Zusammenhang mit unserem Fotoauftrag Daten über Portraitbox verarbeitet oder gespeichert?
Denn manchmal kann ein Fotograf sagen: „Wir wissen noch nicht sicher, ob genau Ihre Galerie betroffen ist.“ Trotzdem ist relevant, ob Ihre Daten überhaupt auf dem betroffenen System lagen.
3. Passwort ändern, falls ein Kundenkonto genutzt wurde
Falls Sie für die Galerie ein Passwort oder Kundenkonto genutzt haben, ändern Sie dieses Passwort sofort – besonders dann, wenn Sie es auch an anderer Stelle verwendet haben. Das ist banal, aber wichtig.
Wenn dasselbe Passwort bei E-Mail, Shopping, Cloud, Schul-App oder anderen Diensten verwendet wurde: auch dort ändern. Nicht schön, aber besser als später fluchen.
4. Auf verdächtige E-Mails achten
Wenn Namen, E-Mail-Adressen, Bestellinformationen oder Adressdaten betroffen sein könnten, steigt das Risiko für Phishing. Achten Sie deshalb in den nächsten Wochen besonders auf Mails, die sich auf Fotobestellungen, Kita, Schule, Paketversand, Zahlungen oder angebliche Sicherheitsprüfungen beziehen.
Keine Links anklicken, keine Anhänge öffnen, keine Zugangsdaten eingeben, wenn die Mail nicht eindeutig verifizierbar ist.
5. Beim Fotografen eine sachliche Auskunft anfordern
Eltern sollten nicht mit Wutmail starten, sondern mit einer sauberen Anfrage. Das erhöht die Chance auf eine verwertbare Antwort.
Mustertext:
Guten Tag,
im Zusammenhang mit dem bekannten Sicherheitsvorfall bei Portraitbox möchten wir wissen, ob bei unserem Fotoauftrag personenbezogene Daten über Portraitbox verarbeitet oder gespeichert wurden.
Bitte teilen Sie uns mit, ob unsere Familie betroffen sein könnte, welche Datenarten betroffen sein können und welche Maßnahmen bereits ergriffen wurden.
Falls eine Meldung an die zuständige Datenschutzaufsicht oder eine Information betroffener Personen erfolgt ist, bitten wir um entsprechende Einordnung.
Mit freundlichen Grüßen
Das ist nüchtern, klar und schwer wegzulächeln.
Was Fotografen und Fotostudios beachten müssen
Für Fotografen ist die Lage unangenehm, aber Wegducken ist keine Lösung. Nach Art. 33 DSGVO müssen Datenschutzverletzungen unter bestimmten Voraussetzungen binnen 72 Stunden an die zuständige Aufsichtsbehörde gemeldet werden. Wenn voraussichtlich ein hohes Risiko für die Rechte und Freiheiten betroffener Personen besteht, kommt zusätzlich eine Benachrichtigung der betroffenen Personen nach Art. 34 DSGVO in Betracht.
Die Datenschutzbehörde Mecklenburg-Vorpommern rät betroffenen Fotografinnen und Fotografen ausdrücklich, den Vorfall unverzüglich zu melden und Familien zu erhöhter Wachsamkeit. Für Eltern ist daran wichtig: Die Kommunikation sollte nicht nur aus einem knappen „Wir prüfen das“ bestehen. Es braucht verständliche Informationen dazu, ob Daten verarbeitet wurden, welche Datenarten betroffen sein können und welche Schutzmaßnahmen empfohlen werden.
Wann eine Beschwerde sinnvoll sein kann
Wenn ein Fotograf oder eine Einrichtung trotz Nachfrage gar nicht reagiert, kann eine Beschwerde bei der zuständigen Datenschutzaufsicht sinnvoll sein. Das gilt besonders dann, wenn konkrete Hinweise bestehen, dass Portraitbox genutzt wurde, aber keine Information erfolgt.
Dabei sollte man nicht wild formulieren, sondern sauber dokumentieren:
Wann wurden die Fotos gemacht?
Welcher Fotograf war beteiligt?
Gab es einen Online-Shop oder Zugangscode?
Welche E-Mails oder Bestellbestätigungen liegen vor?
Wann wurde beim Fotografen oder bei der Einrichtung nachgefragt?
Kam eine Antwort?
Das ist für eine Behörde deutlich hilfreicher als ein wütender Dreizeiler.
Was Eltern künftig vor Kita- und Schulfotos fragen sollten
Der Fall zeigt ein grundsätzliches Problem: Eltern unterschreiben häufig Einwilligungen oder bekommen Zugangscodes, wissen aber kaum, wo die Bilder technisch landen. Deshalb lohnt sich künftig vor dem Fototermin eine kurze Nachfrage:
Welche Plattform wird genutzt?
Wie lange bleiben die Fotos online gespeichert?
Wann werden nicht bestellte Bilder gelöscht?
Wer hat Zugriff auf Gruppenfotos?
Werden Bilder in Deutschland oder der EU gespeichert?
Gibt es eine Alternative ohne Online-Galerie?
Was passiert mit den Daten nach Abschluss der Bestellung?
Das wirkt vielleicht etwas bürokratisch. Aber bei Kinderfotos ist „wird schon passen“ keine besonders starke Sicherheitsstrategie.
Fazit: Keine Panik, aber auch kein Schweigen akzeptieren
Der Portraitbox-Hack ist kein Grund für blinde Panik. Aber er ist ein guter Grund, genauer hinzusehen. Gerade bei Kinderfotos reicht es nicht, wenn Eltern erst zufällig über Medien oder Foren erfahren, dass ein Dienstleister betroffen sein könnte.
Der praktische Weg ist klar: prüfen, ob Portraitbox genutzt wurde; beim Fotografen oder der Einrichtung sachlich nachfragen; Passwörter ändern; auf Phishing achten; bei ausbleibender Kommunikation dokumentieren und gegebenenfalls die Datenschutzaufsicht einschalten.
Der größere Lerneffekt bleibt: Kita- und Schulfotos sind nicht nur schöne Erinnerungen. Sie sind digitale Daten über Kinder. Und genau so sollten sie behandelt werden.
