Vadim Shchepin
Gründer KinderAlbum · Über den Autor
Nach öffentlichen Berichten sollen Angreifer am Wochenende des 16./17. Mai 2026 Zugriff auf Systeme des Foto-Galerieanbieters Portraitbox erhalten, Daten heruntergeladen und Daten anschließend gelöscht haben. Mehrere Quellen berichten zudem von einer Drohung, Daten zu veröffentlichen. Welche technischen Details abschließend bestätigt sind, lässt sich heute noch nicht sauber trennen. Sicher ist aber: Der Fall betrifft nicht nur einen Anbieter, sondern eine ganze Branche.
Dieser Artikel ist keine Anschuldigung gegen Portraitbox. Kein Anbieter kann einen Cyberangriff vollständig ausschließen. Die wichtige Frage lautet nicht, ob eine Online-Galerie bequem ist, sondern ob sie Kinderfotos mit der Sicherheitsarchitektur behandelt, die diese Daten verdienen.
Was beim Portraitbox-Vorfall öffentlich bekannt ist
Die folgende Timeline trennt belastbar Berichtetes von Hypothesen. Der zentrale Zeitraum 16./17. Mai 2026 wird in mehreren Quellen genannt. Der genaue technische Angriffspfad, etwa ein kompromittierter API-Schlüssel oder ein AWS-Zugang, ist öffentlich nicht abschließend bewiesen und wird hier nur als berichtet markiert.
| Datum | Ereignis | Quellen- und Claim-Status |
|---|---|---|
| 16./17. Mai 2026 | Berichteter unbefugter Zugriff auf Portraitbox-Systeme. Daten sollen heruntergeladen und anschließend gelöscht worden sein. | Heise, HWK Lübeck, ProfiFoto. Technischer Angriffspfad nicht abschließend bewiesen. |
| 20. Mai 2026 | Portraitbox soll Kunden und Fotografen über den Vorfall informiert haben. | Heise, Portraitbox-Statement. |
| 21./22. Mai 2026 | Erste größere Berichte in Fach- und IT-Medien. | Heise, ProfiFoto, Borncity. |
| 22. Mai 2026 | Regionale Medien berichten über möglicherweise betroffene Schul- und Kitafotos. | SWR/Tagesschau, NDR. |
| 27. Mai 2026 | Handwerkskammer Lübeck veröffentlicht Handlungsaufruf für Fotografenbetriebe mit Hinweis auf Art. 33 und Art. 34 DSGVO. | HWK Lübeck. |
| Ende Mai 2026 | Regionale Berichte nennen eine steigende Zahl von Meldungen bei Datenschutzaufsichten. | Gmünder Tagespost u. a. Zahlen nur mit Datum und Quelle. |
Vorsicht bei Zahlen
Heise rechnet beispielhaft mit rund 2.000 Fotografen und etwa 100 fotografierten Personen je Fotograf, also etwa 200.000 potenziell Betroffenen. Das ist eine Plausibilitätsrechnung, keine bestätigte Endzahl. Eine verlässliche Gesamtzahl der Betroffenen lag bei Veröffentlichung dieses Artikels nicht vor.
Welche Daten betroffen sein können
Mehrere Quellen nennen dieselben Datenkategorien. Gefährlich ist nicht ein einzelnes Feld, sondern die Verknüpfung. Erst die Kombination aus Foto, Name und Kontaktdaten erlaubt glaubwürdiges Phishing und Identitätsmissbrauch.
Fotos und Galerien
Aufnahmen aus Schul- und Kindergartenfotografie, teils von Minderjährigen.
Namen
Klar- und Familiennamen, teils mit Klassen- oder Gruppenzuordnung.
E-Mail-Adressen
Kontaktdaten der Eltern und Fotografen.
Liefer- und Bestelldaten
Adressen und Bestellhistorien aus dem Shop-Teil.
Galerie-Zugangsdaten
Codes, die Rückschlüsse auf einzelne Familien erlauben können.
Fotos sind nicht automatisch besondere Kategorien nach Art. 9 DSGVO. Trotzdem können sie hochsensibel sein. Bei Kindern wiegt das Risiko besonders schwer, weil ein einmal geleaktes Bild sich nicht zurückholen lässt.
Warum Schul- und Kitafotos besonders sensibel sind
Schul- und Kitafotos verbinden mehrere Risikofaktoren in einem Datensatz: Abbildungen von Kindern, Namen, Zuordnung zu Schule oder Kita und Bestelldaten der Familie. Die folgenden Risiken treffen unterschiedliche Beteiligte.
Eltern und Kinder
- Kontrollverlust über private Bilder.
- Phishing mit echten Kontextdaten.
- Missbrauch für Fake-Profile oder KI-Manipulation.
- Psychische Belastung durch Unsicherheit.
Fotografen
- Meldepflicht nach Art. 33 DSGVO.
- Benachrichtigungspflicht nach Art. 34 DSGVO.
- Reputationsschaden im lokalen Markt.
- Mögliche Ansprüche nach Art. 82 DSGVO.
Schulen und Kitas
- Elternfragen und Druck aus dem Elternbeirat.
- Prüfpflichten bei der Anbieterauswahl.
- Dokumentation von Einwilligung, AVV und TOMs.
- Vertrauensverlust, auch ohne eigene Schuld.
Was Fotografen nach DSGVO beachten müssen
Wer eine Plattform für Online-Galerien nutzt, ist als Fotograf in der Regel Verantwortlicher. Die Plattform ist regelmäßig Auftragsverarbeiter. Aus dieser Rollenverteilung folgen vier Pflichten, die der Vorfall konkret macht. Jede ist hier mit ihrer Rechtsgrundlage und der relevanten Frist definiert.
Art. 28 DSGVO: Auftragsverarbeitung
Verlangt einen schriftlichen Vertrag, die Auftragsverarbeitungsvereinbarung (AVV), zwischen Verantwortlichem und Auftragsverarbeiter. Der Verantwortliche muss einen geeigneten Dienstleister auswählen und die technischen und organisatorischen Maßnahmen (TOMs) dokumentieren.
Art. 33 DSGVO: Meldung an die Aufsichtsbehörde
Bei einer Datenschutzverletzung mit Risiko für Betroffene muss der Verantwortliche die Aufsichtsbehörde grundsätzlich innerhalb von 72 Stunden informieren. Bei Kinderfotos samt Namen und Zugangscodes ist eine Risikoannahme naheliegend.
Art. 34 DSGVO: Benachrichtigung der Betroffenen
Bei voraussichtlich hohem Risiko müssen betroffene Personen klar und verständlich informiert werden. Bei Kindern und einer berichteten Veröffentlichungsdrohung ist die Schwelle für hohes Risiko schnell erreicht.
Art. 82 DSGVO: Schadensersatz
Betroffene können materielle und immaterielle Schäden geltend machen. Für Fotografen wird deshalb die Nachweisbarkeit wichtig: dokumentierte Anbieterauswahl, Schutzmaßnahmen und Reaktion.
Die EDPB Guidelines 01/2021 zur Data Breach Notification ordnen Exfiltration ohne sichere Backups als schweren Fall ein. Dokumentierte Incident-Prozesse, Logging und Wiederherstellung sind dort nicht optional, sondern Kern der Risikobewertung. Dieser Abschnitt ist allgemeine Information und keine Rechtsberatung.
Was Schulen und Kitas aus dem Vorfall lernen sollten
Schulen und Kitas sind in der Regel nicht selbst angegriffen worden. Trotzdem stehen sie in der Verantwortung, ihre Dienstleister sorgfältig auszuwählen und diese Auswahl zu dokumentieren. Der praktische Lerneffekt: Anbieter nicht nur nach Galerie-Design, Shop-Funktionen und Preis bewerten, sondern nach der Frage, was bei einem kompromittierten Zugang passiert.
Viele klassische Online-Galerien wurden ursprünglich für Auswahl, Bestellung und Verkauf gebaut. Für Schul- und Kitafotos braucht es zusätzliche Schutzschichten: Einwilligung pro Kind, Rollen, Mandantentrennung, Audit-Logs, Backups und klare Incident-Prozesse.
Die eigentliche Frage: Was passiert, wenn ein Zugang kompromittiert wird?
Wenn ein kompromittierter API-Schlüssel oder Cloud-Zugang tatsächlich der Einstieg war, zeigt der Fall, warum langlebige, weitreichende Zugangsdaten, fehlende Segmentierung und unzureichend geschützte Backups besonders gefährlich sind. Gute Architektur sorgt dafür, dass ein einzelner Fehler nicht zum maximalen Schaden führt. Die folgenden zehn Kontrollen begrenzen den Schaden.
- 1Least Privilege für alle internen und externen Zugangsdaten.
- 2Keine direkt aus dem Internet erreichbaren Datenbank-, Storage- oder Admin-Ports.
- 3Kurzlebige oder eng begrenzte Zugriffstokens.
- 4Trennung zwischen Produktivsystem und Backup- und Recovery-Ebene.
- 5Immutable oder versionierte Backups, getrennt vom Produktivsystem.
- 6Alarmierung für Massen-Download, Massen-Löschung und ungewöhnliche Admin-Operationen.
- 7Mandantentrennung: keine fremden Datenbereiche über IDs oder Galeriecodes.
- 8Dokumentierte Incident Response: Wer entscheidet, meldet, informiert und prüft forensisch?
- 9Vorbereitete Kommunikationsvorlagen für Eltern, Schulen, Kitas und Fotografen.
- 10Cyberversicherung mit Soforthilfe, Forensik, Rechtsberatung und Benachrichtigungskosten.
Wie KinderAlbum Sicherheit anders denkt
KinderAlbum wurde für genau diese Risikoklasse gebaut. Absolute Sicherheit versprechen wir nicht. Wir nennen prüfbare Eigenschaften. Sie sind der Unterschied zwischen einer Galerie, die nur online steht, und einer Plattform, die Kinderfotos von Grund auf sicher verarbeitet.
Deutsche Infrastruktur in Nürnberg
Hetzner Deutschland, selbst gehostete Supabase-Umgebung
Fotos werden auf deutscher Infrastruktur in Nürnberg gespeichert. Datenbank, Storage und interne Dienste laufen so, dass sie nicht als frei erreichbare Standard-Cloud-Bausteine im Internet stehen. Der S3-kompatible Storage liegt ebenfalls bei Hetzner und ist privat angebunden. Traffic läuft über Reverse Proxy und definierte Routen.
Serverseitige Zugriffskontrolle
Rollen, Row-Level Security, Mandantentrennung
Sichtbarkeit wird nicht nur im Frontend versteckt. KinderAlbum prüft Berechtigungen serverseitig und datenbanknah über Row-Level Security (RLS). Rolle, Schule, Klasse, Kind-Zuordnung, Albumstatus und Einwilligung gehören zum Zugriffskonzept. Eltern sehen nur Fotos, für die ein gültiger Zugriff besteht. Einwilligungen werden versioniert, nicht überschrieben.
Backups und bewusste Löschung
Versioniert und gegen Veränderung geschützt
Für den laufenden Betrieb sind Löschungen bewusst endgültig. Für Sicherheits- und Ausfallszenarien setzen wir auf versionierte, gegen Veränderung geschützte Backups, damit ein Angriff auf Produktivdaten nicht automatisch auch die Wiederherstellungsbasis zerstört.
Audit-Logs und mehrschichtige Architektur
Netzwerk, Auth, Page Guards, RLS, serverseitige Validierung
Sensible Operationen werden protokolliert. Die Sicherheitsarchitektur arbeitet in mehreren Schichten: Netzwerkisolation, Authentifizierung, rollenbasierte Page Guards, Datenbank-Sicherheit über RLS und serverseitige Validierung. Kein Konto sieht alles.
Versicherung, Incident Response und Nachweisbarkeit
Sicherheit endet nicht beim Code. KinderAlbum setzt zusätzlich zur Sicherheitsarchitektur auf eine Cyberversicherung bei Hiscox. Die Deckung umfasst nach den Bedingungen unter anderem Soforthilfe im Notfall, IT-Forensik, Rechtsberatung, Krisenmanagement, Wiederherstellungskosten, Benachrichtigungskosten und Kosten für behördliche Meldeverfahren.
Versicherung ersetzt keine Sicherheitsarchitektur. Sie ist die zweite Linie für den Ernstfall: schnelle Expertenhilfe, strukturierte Reaktion und finanzielle Absicherung definierter Kosten.
Wir prüfen die Plattform kontinuierlich mit statischen Sicherheitsanalysen, Code-Reviews und gezielten Angriffssimulationen. Zusätzlich bauen wir einen dokumentierten Incident-Response-Prozess aus, damit im Ernstfall technische, rechtliche und kommunikative Schritte nicht improvisiert werden müssen.
Checkliste: 15 Fragen an jeden Schulfoto-Anbieter
Nutzen Sie diese 15 Fragen, um eine Plattform für Schul- und Kitafotos zu bewerten. Eine gute Antwort ist konkret und prüfbar, keine allgemeine Beruhigung.
Wo werden Fotos gespeichert?
Gute Antwort: Deutschland oder EU, mit klar benannter Infrastruktur.
Sind Datenbank und Storage direkt aus dem Internet erreichbar?
Gute Antwort: Nein, Zugriff nur über definierte App- und Proxy-Schichten.
Gibt es einen AVV nach Art. 28 DSGVO?
Gute Antwort: Ja, aktuell, mit TOMs und benannten Subprozessoren.
Wer ist Verantwortlicher, wer Auftragsverarbeiter?
Gute Antwort: Klare, schriftliche Rollenverteilung.
Gibt es Rollen für Lehrer, Eltern, Fotografen und Admins?
Gute Antwort: Rollenbasierte Rechte nach dem Least-Privilege-Prinzip.
Wird Sichtbarkeit serverseitig geprüft?
Gute Antwort: Ja, datenbanknah über RLS oder ein gleichwertiges Verfahren.
Gibt es Einwilligungen pro Kind?
Gute Antwort: Ja, versioniert und auditierbar.
Gibt es Audit-Logs?
Gute Antwort: Ja, für sensible Aktionen und Zugriffe.
Sind Backups versioniert oder immutable?
Gute Antwort: Ja, getrennt vom Produktivsystem und gegen Veränderung geschützt.
Werden Restore-Prozesse getestet?
Gute Antwort: Ja, dokumentiert mit Datum und Ergebnis.
Gibt es Alarmierung für Massen-Downloads und Massen-Löschungen?
Gute Antwort: Ja oder mit klarer Roadmap geplant.
Gibt es einen Incident-Response-Plan?
Gute Antwort: Ja, mit Rollen, Kontaktketten und Vorlagen.
Gibt es eine Cyberversicherung?
Gute Antwort: Ja, inklusive Forensik, Rechtsberatung und Meldekosten.
Gibt es regelmäßige Sicherheitsanalysen?
Gute Antwort: Scans und Reviews, idealerweise ergänzt durch externe Tests.
Wie schnell und vollständig werden Daten gelöscht?
Gute Antwort: Dokumentiertes Löschkonzept mit klaren Fristen.
Häufig gestellte Fragen
Was ist beim Portraitbox-Hack passiert?
Nach öffentlichen Berichten (Heise, ProfiFoto, Handwerkskammer Lübeck) erhielten Angreifer am Wochenende des 16./17. Mai 2026 unbefugten Zugriff auf Systeme des Foto-Galerieanbieters Portraitbox. Daten sollen heruntergeladen und anschließend gelöscht worden sein. Mehrere Quellen berichten zusätzlich von einer Drohung, Daten zu veröffentlichen.
Sind beim Portraitbox-Vorfall Kinderfotos betroffen?
Möglicherweise ja. Portraitbox wurde auch in der Schul- und Kindergartenfotografie eingesetzt. Regionale Medien wie SWR/Tagesschau und NDR berichten, dass Aufnahmen Minderjähriger betroffen sein können. Eine bestätigte Endzahl der betroffenen Personen liegt nicht vor.
Wer muss einen Datenschutzvorfall melden: Portraitbox oder der Fotograf?
In dieser Konstellation ist der Fotograf in der Regel Verantwortlicher und Portraitbox Auftragsverarbeiter nach Art. 28 DSGVO. Die Meldung an die Aufsichtsbehörde nach Art. 33 DSGVO trifft daher meist den Fotografen. Der Auftragsverarbeiter muss dabei unterstützen und informieren.
Wann müssen Eltern nach Art. 34 DSGVO informiert werden?
Wenn voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der Betroffenen besteht. Bei Kinderfotos zusammen mit Namen, Adressen und einer berichteten Veröffentlichungsdrohung ist diese Schwelle schnell erreicht. Die konkrete Bewertung erfolgt im Einzelfall.
Welche Daten sind bei Schulfoto-Galerien besonders kritisch?
Kritisch ist die Kombination: Abbildungen von Kindern, Namen, Klassen- oder Gruppenzuordnung, Bestell- und Lieferdaten der Eltern sowie Galeriecodes. Erst diese Verknüpfung macht aus einem Foto einen klaren Personenbezug, der für Phishing oder Identitätsmissbrauch nutzbar ist.
Warum reichen passwortgeschützte Galerien nicht aus?
Ein Galerie-Passwort schützt die Ansicht im Browser. Es schützt nicht vor kompromittierten Zugangsdaten, fehlender Mandantentrennung oder ungeschützten Backups. Sicherheit für Kinderfotos braucht mehrere Schichten: Rollen, serverseitige Zugriffskontrolle, getrennte Backups und ein klares Reaktionskonzept.
Was sollte eine sichere Schulfoto-Plattform technisch können?
Least-Privilege-Zugriff, keine direkt aus dem Internet erreichbaren Datenbank- und Storage-Ports, serverseitige Sichtbarkeitsprüfung, Mandantentrennung pro Schule, versionierte Backups getrennt vom Produktivsystem, Audit-Logs und ein dokumentierter Incident-Response-Prozess. Diese Kontrollen begrenzen den Schaden, wenn ein einzelner Zugang ausfällt.
Wie speichert KinderAlbum Schul- und Kitafotos?
KinderAlbum speichert Fotos auf deutscher Infrastruktur in Nürnberg bei Hetzner. Datenbank und Storage laufen in einer selbst gehosteten, intern angebundenen Umgebung und stehen nicht als frei erreichbare Standard-Cloud-Bausteine im Internet. Der Zugriff läuft über definierte App- und Proxy-Schichten.
Hat KinderAlbum eine Cyberversicherung?
Ja. KinderAlbum setzt zusätzlich zur Sicherheitsarchitektur auf eine Cyberversicherung bei Hiscox. Die Deckung umfasst nach den Bedingungen unter anderem Soforthilfe, IT-Forensik, Rechtsberatung, Krisenmanagement, Benachrichtigungskosten und Kosten für behördliche Meldeverfahren. Versicherung ersetzt keine Sicherheitsarchitektur, sondern ist die zweite Linie für den Ernstfall.
Kann ein Cyberangriff bei KinderAlbum ausgeschlossen werden?
Nein. Kein seriöser Anbieter sollte das versprechen. KinderAlbum setzt stattdessen auf Defense-in-Depth, deutsche Infrastruktur, rollenbasierte Zugriffskontrolle, auditierbare Prozesse, Backups und Versicherung, um Eintrittswahrscheinlichkeit und Schaden zu reduzieren.
Sichere Foto-Workflows für Schulen, Kitas und Fotografen
KinderAlbum behandelt Kinderfotos nicht wie beliebige Shop-Produkte: deutsche Infrastruktur, klare Rollen, digitale Einwilligungen, serverseitige Zugriffskontrolle und Audit-Logs. Prüfen Sie die Plattform an Ihren eigenen Kriterien.
Quellen und weiterführende Gesetzestexte
- →Heise, Sicherheitsvorfall bei Fotoanbieter: Wird Portraitbox erpresst? (21./22. Mai 2026)
- →Handwerkskammer Lübeck, Dringender Handlungsbedarf für Fotografenbetriebe (27. Mai 2026)
- →ProfiFoto, Datenpanne bei Portraitbox (22. Mai 2026)
- →SWR/Tagesschau, Kinderbilder von Plattform gestohlen: Das ist bekannt
- →NDR, Hackerangriff: Tausende Kinderfotos möglicherweise gestohlen
- →Portraitbox, Incident- und FAQ-Seite des Anbieters
- →DSGVO, Volltext (EUR-Lex)
- →EDPB Guidelines 01/2021 zu Data Breach Notification (Beispiele)