Wichtige Information zu einem Sicherheitsvorfall bei einem externen Galerie-Plattformdienstleister
Aktueller Stand
Wir informieren Sie als Verantwortliche im Sinne der Datenschutz-Grundverordnung (DS-GVO) über einen erheblichen Sicherheitsvorfall bei einem externen technischen Plattformdienstleister. Diesen Dienstleister setzen wir im Rahmen der Bereitstellung von Online-Fotogalerien und der Abwicklung von Fotobestellungen ein. Die Verarbeitung personenbezogener Daten durch den Dienstleister erfolgt auf Grundlage eines mit uns bestehenden Auftragsverarbeitungsvertrags nach Art. 28 DS-GVO. Der Sicherheitsvorfall betrifft nach derzeitiger Kenntnis die technische Infrastruktur dieses Dienstleisters.
Was ist passiert?
Nach Mitteilung des Dienstleisters kam es am Wochenende des 16./17.05.2026 zu einem unbefugten Zugriff auf die Cloud-Infrastruktur des Plattformanbieters (sog. „Hack“). Nach aktuellem Kenntnisstand kann nicht ausgeschlossen werden, dass dabei auch personenbezogene Daten von Kunden betroffen sind, die im Zusammenhang mit der Nutzung von Online-Fotogalerien in unserem Auftrag verarbeitet wurden.
* Bilddateien aus Online-Galerien,
* Gruppen- und Portraitaufnahmen,
* Bestellinformationen,
* E-Mail-Adressen,
* Rechnungs- und Lieferdaten,
* Galerie-Zugangsdaten.
Nach Mitteilung des Dienstleisters könnten Daten durch den Angreifer extrahiert worden sein. Zudem wurde uns mitgeteilt, dass der Angreifer mit einer Veröffentlichung von Daten droht. Konkrete gesicherte Erkenntnisse über eine tatsächliche Veröffentlichung liegen uns derzeit nicht vor.
Der Dienstleister hat darüber informiert, dass die Angreifer nach aktuellem Kenntnisstand Daten extrahiert haben könnten und mit einer Veröffentlichung drohen. Die Untersuchungen des Dienstleisters, einschließlich einer IT-forensischen Analyse, dauern nach dessen Angaben weiterhin an.
Wir stehen mit dem Dienstleister in Kontakt und werden diese Information aktualisieren, sobald uns weitere gesicherte Erkenntnisse vorliegen.
Welche Daten können betroffen sein?
Die Nutzung der Online-Galerien erfolgte grundsätzlich über individuelle Zugangsdaten bzw. Zugangscodes. Nach aktuellem Kenntnisstand wurden innerhalb der Bildarchive keine Klarnamen der abgebildeten Kinder gespeichert. Eine öffentliche Indexierung der Galerien war nach unserem Kenntnisstand nicht vorgesehen. Gleichwohl kann insbesondere bei Gruppenaufnahmen oder Bildern mit Bezug zu Schulen, Kindertageseinrichtungen, Gruppen oder Veranstaltungen eine Identifizierung einzelner Personen nicht vollständig ausgeschlossen werden.
Im Zusammenhang mit Bestellungen können insbesondere folgende personenbezogene Daten betroffen sein:
Name,
Anschrift,
E-Mail-Adresse,
Bestellinformationen,
Rechnungs- und Lieferdaten
sowie ggf. Zahlungsdaten.
Ob und in welchem Umfang derartige Informationen betroffen sind, ist derzeit Gegenstand der laufenden Prüfung.
Folgende Risiken können infolge des Vorfalls bestehen:
* unbefugte Kenntnisnahme oder Veröffentlichung von Bilddateien,
* Identifizierbarkeit einzelner Personen, insbesondere bei Gruppen- oder Einrichtungskontext,
* missbräuchliche Nutzung von Kontaktdaten oder Zugangsdaten, z. B. durch Hacks, wie betrügerische E-Mails oder Phishing-Versuche,
* Kontaktaufnahme durch unbefugte Dritte unter Bezugnahme auf Fotobestellungen oder Galerien.
Wir rufen Sie daher dazu auf, bei verdächtigen Kontaktaufnahmeversuchen besonders vorsichtig zu sein, keine Links oder Anhänge zu öffnen (Hacker arbeiten hier oft mit täuschend echten Absender-Imitationen) und Nachrichten, die sich auf Fotobestellungen, Galeriezugänge, Zahlungen oder Rückerstattungen beziehen, besonders sorgfältig zu prüfen.
Bitte beachten Sie:
Wir werden Sie nicht per E-Mail zur Eingabe sensibler Daten, Passwörter oder Zahlungsinformationen auffordern.
Ändern Sie zudem vorsorglich identische oder ähnliche Passwörter bei anderen Diensten.
Melden Sie uns verdächtige Veröffentlichungen von Bildmaterial oder verdächtige Kontaktaufnahmen im Zusammenhang mit Fotobestellungen oder Galeriezugängen.
Folgende Maßnahmen haben wir eingeleitet:
*Vorbereitung und Durchführung der Information betroffener Personen,
* fortlaufende Abstimmung mit dem Dienstleister sowie Einrichtung zentraler Kommunikations- und Datenschutzkanäle,
* Prüfung der bei uns vorhandenen Informationen und Datenbestände,
* Änderung von Zugangsdaten, Beendigung etwaiger Passwort- oder Zugangsdatenwiederverwendung,
* Meldung des Vorfalls an die zuständige Datenschutzaufsichtsbehörde.
Diese Maßnahmen erfolgen auf Grundlage des derzeitigen Kenntnisstands und werden bei neuen, gesicherten Informationen angepasst.
Was können Betroffene tun?
Wir empfehlen vorsorglich:
* erhöhte Aufmerksamkeit bei verdächtigen Anrufen, E-Mails oder Nachrichten,
* keine Eingabe persönlicher Daten über unbekannte Links,
* vorsichtigen Umgang mit Nachrichten im Zusammenhang mit Fotobestellungen oder Galeriezugängen,
* keine Wiederverwendung identischer Passwörter bei anderen Diensten bzw. Änderung identischer tatsächlich bei anderen Diensten verwendeter Passwörter.
Bitte beachten Sie:
Wir werden Sie niemals per E-Mail zur Eingabe sensibler Daten oder zu Zahlungen auffordern.
Über den Dienstleister
Bei dem betroffenen Plattformdienstleister handelt es sich um die Portraitbox GmbH mit Sitz in Paderborn, Deutschland.
Nach eigenen Angaben wird die Plattform von mehr als 2.000 Fotografen / Fotostudios deutschlandweit genutzt.
Sie zählt somit zu den führenden Anbietern von Vermarktungsplattformen für Studio-, Event-, Schul- und Kitafotografie in Deutschland.
Nach aktuellem Kenntnisstand handelt es sich daher nicht um einen isolierten Einzelfall, sondern um einen Sicherheitsvorfall mit potentiell großflächiger Betroffenheit innerhalb der Branche.
Häufige Fragen
Sind alle Daten betroffen?
Die Untersuchungen dauern derzeit an. Nach aktuellem Kenntnisstand kann ein Zugriff auf bestimmte Datenbestände nicht ausgeschlossen werden. Der konkrete Umfang kann je nach Nutzung der Galerie und Bestellung unterschiedlich sein.
Sind alle Online-Galerien betroffen?
Nach Mitteilung des Dienstleisters können Fotodateien betroffen sein, die zum Zeitpunkt des Vorfalls am Wochenende des 16./17. Mai 2026 in der Online-Galerie hochgeladen waren. Dies kann auch gesperrte Galerien betreffen, sofern diese noch Fotodateien enthielten. Nach Angaben des Dienstleisters sollen Fotos, die bereits vor dem 14. Mai 2026 gelöscht wurden, nicht betroffen sein.
Sind Bestelldaten betroffen?
Nach Mitteilung des Dienstleisters können auch Bestelldaten betroffen sein, sofern diese zum Zeitpunkt des Vorfalls noch im System vorhanden waren.
Sind Zahlungsdaten betroffen?
Nach aktuellem Kenntnisstand wurden Zahlungen über externe Zahlungsdienstleister abgewickelt. Ob darüber hinaus Zahlungsinformationen betroffen sind, wird derzeit geprüft.
Sind Kinder direkt identifizierbar gespeichert worden?
Nach aktuellem Kenntnisstand wurden innerhalb der Bildarchive keine Klarnamen der abgebildeten Kinder gespeichert. Eine Identifizierbarkeit kann jedoch insbesondere bei Gruppenaufnahmen, Portraitaufnahmen oder einem Bezug zu Schulen, Kindertageseinrichtungen oder Veranstaltungen nicht vollständig ausgeschlossen werden.
Wurde die Datenschutzaufsichtsbehörde informiert?
Ja. Die zuständige Datenschutzaufsichtsbehörde wurde entsprechend der gesetzlichen Vorgaben informiert.
Muss ich etwas unternehmen?
Eine zwingende Handlungspflicht für Betroffene besteht nach unserem derzeitigen Kenntnisstand nicht. Wir empfehlen jedoch vorsorglich erhöhte Aufmerksamkeit gegenüber verdächtigen Nachrichten, Links, Zahlungsaufforderungen oder Kontaktaufnahmen.
Kontakt
Bei Fragen zum Vorfall erreichen Sie uns unter:
Bitte haben Sie Verständnis, dass die Bearbeitung aufgrund der Vielzahl möglicher Anfragen etwas Zeit in Anspruch nehmen kann.
Aktualisierungen
Diese Informationsseite wird fortlaufend aktualisiert, sobald neue gesicherte Erkenntnisse vorliegen.
ASMUS Foto + Video GmbH
Gröpern 43
38350 Helmstedt
Stand: 28.05.2026, 12:35