Bei der Portraitbox GmbH (Paderborn) kam es am 16./17. Mai 2026 zu einem Datenschutzvorfall: 
Über einen kompromittierten API‑Schlüssel soll ein unbefugter Zugriff auf die AWS‑Infrastruktur erfolgt sein. Dabei wurden nach aktuellem Stand Foto- und Kundendaten heruntergeladen und anschließend gelöscht; zudem gibt es eine Drohung mit Veröffentlichung der Daten.

Möglicherweise betroffen: Galerien und Fotos sowie Namen, E‑Mail‑Adressen, Lieferadressen, Bestellhistorien und Galerie‑Zugangsdaten – ggf. auch Aufnahmen Minderjähriger.

Dringend für Fotografenbetriebe: Sie gelten datenschutzrechtlich als Verantwortliche und müssen ggf. innerhalb von 72 Stunden bei der zuständigen Datenschutzaufsicht melden (Art. 33 DSGVO) und – bei hohem Risiko – Betroffene informieren (Art. 34 DSGVO).