WebProfessionals
Eltern
·

Kinderfotos gestohlen: Was der Portraitbox-Hack uns lehrt

Am 16. Mai 2026 wurden bei einem Hackerangriff auf den Fotodienstleister Portraitbox hunderttausende Kinderfotos gestohlen, darunter Schul- und Kindergartenbilder aus dem gesamten deutschsprachigen Raum. Besonders heikel: Die Angreifer erbeuteten auch E-Mail-Adressen, was gezielte Erpressung direkt an betroffene Eltern ermöglicht. Dieser Beitrag erklärt, was passiert ist, wer betroffen sein könnte und was du jetzt konkret tun kannst.

Author avatar Rolf Eggenberger
Ausgedrucktes Kinderfoto auf einem Tisch, im Hintergrund ein leuchtender Laptop-Bildschirm
Bild: Google Gemini / Web Professionals

Kinderfotos gestohlen: Was der Portraitbox-Hack uns lehrt

Am Wochenende des 16. und 17. Mai 2026 verschafften sich Angreifer Zugriff auf die Cloud-Infrastruktur des deutschen Fotodienstleisters Portraitbox GmbH. Sie luden sämtliche gespeicherten Daten herunter, löschten sie anschliessend und drohen seither mit Veröffentlichung, wenn kein Lösegeld bezahlt wird. Portraitbox hostet Schul- und Kindergartenfotos für rund 2000 Fotografen im gesamten deutschsprachigen Raum. Das bedeutet: Hunderttausende Kinderfotos könnten in den Händen von Kriminellen sein.

Auch Schweizer Fotografen sind betroffen.

Was macht diesen Fall so heikel? Fotos von Kindern sind keine harmlosen Bilddateien. Hochauflösende Porträtaufnahmen enthalten biometrische Merkmale, die Gesichtserkennungssysteme auswerten können. Ein gestohlenes Passwort lässt sich ändern. Ein Kindergesicht nicht. Das Risiko bleibt potenziell ein Leben lang bestehen.

Dazu kommt: Laut aktuellem Kenntnisstand wurden zusammen mit den Fotos auch E-Mail-Adressen, Namen und Lieferadressen gestohlen. Das ist mehr als ein technisches Datenleck. Kriminelle können ein Foto eines Kindes direkt mit der E-Mail-Adresse der Eltern verknüpfen und gezielte Erpressungsmails verschicken. Der Zugangscode zur Galerie wird bei Portraitbox vom System vergeben und kann von Eltern nicht geändert werden. Das einzige, was Eltern in dieser Situation tun können, ist: ruhig bleiben und nicht zahlen.

Wer trägt die Verantwortung? Portraitbox tritt datenschutzrechtlich als Auftragsverarbeiter auf. Die rechtliche Verantwortung gegenüber den Endkunden liegt beim Fotografen selbst. Das heisst: Jeder Fotograf, der Portraitbox genutzt hat, muss die zuständige Datenschutzbehörde informieren und alle betroffenen Personen benachrichtigen. Eltern, die keine solche Mitteilung erhalten haben, können beim zuständigen Fotografen direkt nachfragen.

Was kannst du als Elternteil jetzt tun?

  • Hast du eine Benachrichtigung erhalten? Lies sie genau und bewahre sie auf.
  • War dein Kind bei einem Fotografen, der Portraitbox nutzte? Frag direkt nach, ob deine Daten betroffen sind.
  • Erhältst du eine verdächtige Mail mit Fotos deines Kindes: nicht antworten, nicht zahlen, nicht auf Links klicken. Den Vorfall bei der Schweizerischen Kriminalprävention melden: skppsc.ch

Dieser Fall zeigt einmal mehr: Es reicht nicht, auf den Schutz durch Dritte zu vertrauen. Wer Bilder von Kindern in einer Cloud speichert, gibt die Kontrolle darüber ab. Das ist keine Kritik an den betroffenen Fotografen, sondern ein Hinweis auf eine strukturelle Schwäche im Umgang mit sensiblen Daten. Genau darüber sprechen wir in unseren Elternkursen in Grabs: Wo liegen eure Daten? Wer hat darauf Zugriff? Und was passiert, wenn etwas schiefläuft?