Cyberattacke bei der Plattform "Portraitbox"
Liebe Eltern,
diese Information richtet sich an alle Eltern, deren Kinder ich insbesondere im Schuljahr 2025/26 fotografiert habe.
Mein technischer Dienstleister für die Bereitstellung der Online-Galerie und des Bestellshops, die Portraitbox GmbH, wurde – wie mir am 21.05.26 mitgeteilt wurde – am Wochenende des 16./17. Mai 2026 Ziel eines Hackerangriffs. Dabei wurden gespeicherte Kundendaten heruntergeladen und anschließend auf den Servern gelöscht.
Betroffen sind personenbezogene Daten, die im Rahmen der Nutzung der Fotogalerie oder einer Bestellung gespeichert waren. Dazu gehören insbesondere Name, E-Mail-Adresse, gegebenenfalls Lieferanschrift, Bestellhistorie sowie Zugangsdaten (Passwort, so von Ihnen ein Kundenkonto angelegt wurde bzw. Zugangscodes) und die Fotos aus dem Schuljahr 25/26.
Es besteht das Risiko, dass diese Daten für betrügerische E-Mails oder andere missbräuchliche Zwecke verwendet werden. Bitte seien Sie daher in der nächsten Zeit besonders vorsichtig bei verdächtigen Nachrichten im Zusammenhang mit Fotobestellungen oder Galerien und klicken Sie nicht auf unbekannte Links.
Aktuell sind uns keine derartigen Vorfälle bekannt; sollten wir dazu neue Erkenntnisse erhalten werden wir umgehend informieren.
Der Dienstleister hat nach eigenen Angaben den Angriffsweg geschlossen, IT-Forensiker eingeschaltet sowie die Datenschutzbehörden und Strafverfolgungsbehörden informiert.
Der Sicherheitsvorfall war ein gezielter Angriff auf die Serversysteme der Portraitbox GmbH, einem deutschen Unternehmen, das in Österreich, Deutschland und der Schweiz tausende Fotografen als Kunden betreut. Wir haben uns vor vielen Jahren bewusst für einen renommierten Anbieter entschieden, da wir uns dort auch das entsprechende Knowhow und vor allem die notwendigen Sicherheitsvorkehrungen erwartet haben.
Umso mehr sind meine Mitarbeiterinnen und ich entsetzt über den Vorfall, der allem widerspricht was für mein Unternehmen im Zusammenhang mit der Kinderfotografie oberste Prämisse ist.
Wir haben umgehend einen Anbieterwechsel vollzogen und werden in Absprache mit der Innung der Fotografen rechtliche Schritte überlegen.
Selbstverständlich haben wir unsere Verpflichtungen nach der Datenschutzgrundverordnung, insbesondere die Meldung an die Datenschutzbehörde, die Information an die Schulen und Kindergärten und auch mit dieser Veröffentlichung auf unserer Website bereits wahrgenommen. Die einzelne Verständigung aller Eltern gestaltet sich unverhältnismäßig schwierig, da wir noch immer keinen vollständigen Zugriff auf den Shop der Portraitbox GmbH haben und daher auch keinen vollständigen Zugriff auf die Mailadressen.
Mit besten Grüßen,
Mathias Lenz
In den Medien: https://ooe.orf.at/stories/3355473/
Dear Parents,
This information is addressed to all parents whose children I photographed, particularly during the 2025/26 school year.
My technical service provider for the online gallery and ordering shop, Portraitbox GmbH, was the target of a cyberattack over the weekend of May 16/17, 2026—as I was informed on May 21, 2026. During this attack, stored customer data was downloaded and subsequently deleted from the servers.
This affects personal data that was stored in connection with the use of the photo gallery or an order. This includes, in particular, names, email addresses, delivery addresses (if applicable), order histories, as well as access data (passports/access codes, if a customer account was created) and the photographs from the 25/26 school year.
There is a risk that this data could be used for fraudulent emails or other malicious purposes. Therefore, please be particularly cautious in the near future regarding suspicious messages related to photo orders or galleries, and do not click on unknown links.
We are currently not aware of any such incidents; should we receive new insights regarding this, we will inform you immediately.
According to the service provider, the attack vector has been closed, IT forensics experts have been brought in, and both the data protection authorities and law enforcement agencies have been notified.
The security incident was a targeted attack on the server systems of Portraitbox GmbH, a company that serves thousands of photographers as clients across Austria, Germany, and Switzerland. Many years ago, we deliberately chose a renowned provider because we expected the appropriate expertise and, above all, the necessary security measures from them.
My staff and I are all the more appalled by this incident, which contradicts everything that is the highest priority for my company in connection with children’s photography.
We have immediately switched providers and will consider legal action in consultation with the Photographers‘ Guild.
Needless to say, we have already fulfilled our obligations under the General Data Protection Regulation (GDPR), in particular the notification to the Data Protection Authority, the information provided to schools and kindergartens, and also through this publication on our website. Notifying each parent individually proves to be disproportionately difficult, as we still do not have full access to the Portraitbox GmbH shop and therefore no full access to the email addresses.
Best regards,
Mathias Lenz