Günzburg. Ein Sicherheitsvorfall bei einem technischen Dienstleister für Online-Fotogalerien sorgt derzeit bundesweit für Besorgnis. Nach Informationen, die betroffenen Eltern unter anderem durch ein Günzburger Fotostudio mitgeteilt wurden, soll es bei dem Fotoanbieter Portraitbox zu einem unbefugten Zugriff auf gespeicherte Foto- und Kundendaten gekommen sein. Portraitbox bietet professionellen Fotografen ein Shop- und Galeriesystem, über das Kundinnen und Kunden digitale Fotogalerien einsehen und Bilder bestellen können. Solche Systeme werden häufig auch für Kindergarten- und Schulfotografie eingesetzt. Die Galerien des Anbieters sind nach dem Vorfall derzeit offline. Mehrere Fotostudios sollen ihre Kundinnen und Kunden bereits über den Sicherheitsvorfall informiert haben.
Nach vorliegenden Informationen sollen sich Angreifer am Wochenende des 16. und 17. Mai 2026 Zugriff auf die AWS-Infrastruktur des Anbieters verschafft haben. Laut bisher bekannten Angaben wurden dort gespeicherte Fotos und Kundendaten heruntergeladen und anschließend gelöscht. Zudem soll mit einer Veröffentlichung der Daten gedroht worden sein. Wer hinter dem Angriff steckt und ob ein Lösegeld gefordert wird, ist derzeit nicht abschließend bekannt. Betroffen sein könnten nach aktuellem Stand sämtliche Galerien, die Fotostudios und freie Fotografen über die Plattform für ihre Kunden angelegt haben. Dazu zählen möglicherweise bereitgestellte Fotos, Namen, E-Mail-Adressen, Lieferanschriften, Bestellhistorien sowie Galerie-Zugangsdaten bzw. automatisch generierte Zugangscodes.
Besonders heikel ist der Vorfall, weil über solche Plattformen auch Fotos von Kindern verarbeitet werden. Gerade Kindergarten- und Schulfotos betreffen Minderjährige und damit eine besonders schutzwürdige Personengruppe. Wenn tatsächlich Bilder und Kundendaten abgeflossen sind und mit einer Veröffentlichung gedroht wird, handelt es sich aus Sicht vieler Betroffener nicht um eine gewöhnliche technische Störung, sondern um einen schwerwiegenden Datenschutzvorfall. Ein Günzburger Fotostudio, das betroffene Eltern informierte, teilte mit, dass über die Online-Galerien grundsätzlich keine hochauflösenden Bilddateien bereitgestellt worden seien, sondern nur Bilder in begrenzter Auflösung. Dennoch bleibt die Sorge groß, denn auch niedrig aufgelöste oder leicht verschwommene Bilder können heutzutage mithilfe moderner KI-Tools teilweise deutlich verbessert, geschärft oder rekonstruiert werden. Gerade bei Kinderfotos reicht der Hinweis auf reduzierte Auflösung daher nicht aus, um die Risiken vollständig zu entkräften.
Nach Angaben aus den Mitteilungen sollen IT-Forensiker eingeschaltet, die zuständigen Datenschutzbehörden informiert und strafrechtliche Schritte eingeleitet worden sein. Datenschutzrechtlich ist dabei entscheidend, wer gegenüber den betroffenen Personen verantwortlich ist. Wenn ein Dienstleister wie Portraitbox als Auftragsverarbeiter tätig ist, bleiben in der Regel die jeweiligen Fotostudios bzw. Fotografen die Verantwortlichen für die Verarbeitung der Daten. Sie müssen prüfen, ob eine Meldung an die zuständige Datenschutzaufsichtsbehörde erforderlich ist und ob betroffene Personen direkt informiert werden müssen. Gerade wenn eine Veröffentlichung der Daten angedroht wird und Bilder von Minderjährigen betroffen sein könnten, spricht vieles für ein erhöhtes Risiko für die Rechte und Freiheiten der betroffenen Personen.
Der Vorfall zeigt, wie sensibel digitale Fotogalerien im Bereich Kindergarten- und Schulfotografie sind. Anbieter, Dienstleister und Fotostudios tragen hier eine besondere Verantwortung. Es geht nicht nur um technische Abläufe, sondern um Vertrauen, Datenschutz und den Schutz von Kindern. Eltern müssen nachvollziehen können, welche Daten betroffen sein könnten, welche Risiken bestehen und welche Maßnahmen zum Schutz der Kinder ergriffen werden. Künftig sollten digitale Galerie-Systeme regelmäßig sicherheitstechnisch überprüft werden. Daten sollten nur so lange gespeichert werden, wie es tatsächlich notwendig ist. Zudem sollten Eltern und Einrichtungen die Möglichkeit haben, sich bewusst für vollständig offline organisierte Bestellwege zu entscheiden – etwa per Bestellschein und Indexausdruck, ohne Online-Galerie.
(Katharina Zerr, Redaktion)
