Cyberangriff bei Portraitbox: Was Selbstständige und kleine Unternehmen daraus lernen sollten

Ein häufiger Irrtum lautet: Wenn der Dienstleister gehackt wurde, ist der Dienstleister allein verantwortlich. Datenschutzrechtlich ist es jedoch oft komplizierter. Wer als Fotograf, Selbstständiger oder kleines Unternehmen entscheidet, welche Daten zu welchem Zweck verarbeitet werden und welches Tool dafür eingesetzt wird, bleibt in der Regel Verantwortlicher. Der Anbieter kann Auftragsverarbeiter sein, doch die Auswahl, Prüfung und Einbindung dieses Anbieters liegt beim Unternehmen selbst. Genau daraus entstehen Pflichten, die viele erst nach einer Datenpanne bemerken. 

Dazu gehört zum Beispiel, dass ein Auftragsverarbeitungsvertrag vorhanden sein muss. Außerdem sollte geprüft und dokumentiert werden, welche technischen und organisatorischen Maßnahmen der Anbieter verspricht. Wer einen solchen Vertrag unterschreibt, erklärt damit nicht nur: Ich nutze dieses Tool. Er sagt auch: Ich halte die beschriebenen Schutzmaßnahmen grundsätzlich für geeignet. Kommt es später zu einem Vorfall, fragen Kunden, Behörden oder Anwälte sehr konkret nach. Dann reicht ein allgemeines „Ich dachte, der Anbieter kümmert sich darum“ nicht mehr aus. Verantwortlichkeit bedeutet nicht, jeden Angriff verhindern zu können. Sie bedeutet aber, Risiken ernst zu nehmen und nachvollziehbar vorzusorgen.

Bei Datenpannen wird oft zuerst über Technik gesprochen: Server, Schnittstellen, Passwörter, Cloudzugänge, Backups oder Verschlüsselung. Das ist wichtig, aber für betroffene Kunden fühlt sich der Schaden anders an. Eltern fragen sich, wo die Bilder ihrer Kinder landen könnten. Schulen und Kitas fragen sich, ob sie den richtigen Fotografen ausgewählt haben. Kunden wollen wissen, warum ihre Adresse, ihre Bestellung oder ihre Zugangsdaten nicht besser geschützt waren. Genau hier wird deutlich, dass Datenschutz immer auch Vertrauensschutz ist. 

Ein Fotograf kann jahrelang gute Arbeit leisten, freundlich auftreten und zuverlässig liefern. Ein einziger Vorfall bei einem genutzten Dienstleister kann trotzdem dazu führen, dass das Vertrauen massiv erschüttert wird. Besonders kleine Unternehmen haben selten große Kommunikationsabteilungen, die in solchen Situationen professionell reagieren. Sie stehen persönlich im Ort, vor Elternabenden, am Telefon oder in E-Mail-Postfächern voller Rückfragen. Deshalb ist es so wichtig, Datenschutz nicht als lästige Pflicht zu sehen. Wer seine Prozesse kennt, klar informieren kann und vorbereitet ist, wirkt auch im Krisenfall handlungsfähig. Das schützt nicht nur Daten, sondern auch den eigenen Ruf.

Der wichtigste Lernpunkt lautet: Bekanntheit ersetzt keine Prüfung. Nur weil ein Tool viele Kunden hat, modern aussieht oder speziell für eine Branche entwickelt wurde, ist die eigene Verantwortung nicht erledigt. Das gilt nicht nur für Fotografen, sondern für Coaches, Therapeuten, Handwerker, Onlineshops, Agenturen, Steuerdienstleister, Kursanbieter und fast jedes kleine Unternehmen. Überall werden externe Dienste genutzt: Terminbuchung, Newsletter, Buchhaltung, Kundenverwaltung, Cloudspeicher, Zahlungsabwicklung, Projektmanagement oder digitale Vertragsunterzeichnung. 

Sobald personenbezogene Daten verarbeitet werden, muss klar sein, welche Daten wohin fließen und wer Zugriff darauf hat. Selbstständige sollten sich deshalb regelmäßig fragen: Welche Tools nutze ich eigentlich? Welche Kundendaten liegen dort? Gibt es einen Auftragsverarbeitungsvertrag? Wie lange bleiben Daten gespeichert? Welche Zugänge bestehen noch? Wer kann im Notfall reagieren? Diese Fragen wirken im Alltag vielleicht unbequem, sind aber wesentlich einfacher zu beantworten, bevor etwas passiert. Nach einem Angriff kommen Zeitdruck, Emotionen und rechtliche Fristen hinzu. Wer dann erst anfängt, alle Systeme zu sortieren, verliert wertvolle Zeit und erhöht das Risiko weiterer Fehler.

Viele kleine Unternehmen haben irgendwann einmal einen Auftragsverarbeitungsvertrag heruntergeladen, angeklickt oder unterschrieben und das Thema danach abgehakt. Genau das ist riskant. Ein AV-Vertrag ist kein reines Ablagedokument, sondern Teil des eigenen Datenschutzkonzepts. Er sollte zeigen, welche Dienstleister personenbezogene Daten im Auftrag verarbeiten und welche Pflichten dabei gelten. Ebenso wichtig sind die technischen und organisatorischen Maßnahmen, kurz TOMs. Darin wird beschrieben, wie Daten geschützt werden sollen, etwa durch Zugriffskontrollen, Berechtigungskonzepte, Verschlüsselung, Backups oder organisatorische Sicherheitsregeln. 

Wer diese Maßnahmen nie liest oder prüft, kann später kaum erklären, warum der Dienstleister als geeignet eingeschätzt wurde. Hinzu kommt das Löschkonzept. Gerade bei Fotos, Kundenkonten, Bestellungen oder alten Projekten stellt sich die Frage, wie lange Daten wirklich benötigt werden. Werden Bilder nach Abschluss eines Auftrags gelöscht? Bleiben Galerien dauerhaft online? Gibt es eine automatische Bereinigung? Je weniger unnötige Daten gespeichert werden, desto kleiner ist das Risiko bei einem Vorfall. Datenschutz ist also nicht nur Reaktion, sondern vorausschauende Begrenzung.

Eine Datenpanne ist kein Moment, in dem man in Ruhe Grundsatzfragen klären möchte. Sobald klar wird, dass personenbezogene Daten betroffen sein könnten, müssen Verantwortliche strukturiert handeln. Zuerst geht es darum, den Vorfall zu verstehen: Welche Systeme sind betroffen? Welche Datenarten wurden möglicherweise eingesehen, kopiert, gelöscht oder veröffentlicht? Welche Personen sind betroffen? Danach folgt die Risikobewertung. Besteht ein Risiko für die Rechte und Freiheiten der Betroffenen. Meist ist eine Meldung an die zuständige Datenschutzaufsichtsbehörde erforderlich. Bei hohem Risiko müssen zusätzlich die betroffenen Personen klar und verständlich informiert werden. 

Gerade in Fällen mit Kinderfotos, Zugangsdaten oder Adressdaten ist die Sensibilität besonders hoch. Deshalb sollten Selbstständige bereits vorab einen kleinen Notfallplan haben. Darin steht, wer informiert wird, welche Dienstleister kontaktiert werden, wo Verträge liegen, welche Behörde zuständig ist und welche Textbausteine vorbereitet werden können. Auch eine Anzeige bei der Polizei kann sinnvoll sein, wenn ein krimineller Angriff im Raum steht. Entscheidend ist: Wer vorbereitet ist, kommuniziert ruhiger und macht weniger Fehler.

Ein gutes Datenschutzkonzept muss kein dicker Ordner sein, den niemand versteht. Für Solo-Selbstständige und kleine Unternehmen sollte es vor allem praktisch, verständlich und lebbar sein. Es beantwortet grundlegende Fragen: Welche Daten verarbeite ich? Warum brauche ich sie? Wo werden sie gespeichert? Wer erhält Zugriff? Welche Tools nutze ich? Welche Dienstleister arbeiten für mich? Wie informiere ich Kunden? Wann lösche ich Daten? Was passiert bei einer Auskunftsanfrage oder Datenpanne? Wenn diese Punkte geklärt sind, entsteht Sicherheit im Alltag. Unternehmer schlafen ruhiger, weil sie wissen, wo ihre Risiken liegen und welche Maßnahmen bereits umgesetzt wurden.

Gleichzeitig können sie Kunden souveräner Auskunft geben. Das ist ein echter Wettbewerbsvorteil, denn Vertrauen wird immer wichtiger. Niemand erwartet, dass kleine Unternehmen die IT-Sicherheit eines Konzerns haben. Erwartet wird aber, dass sie sorgfältig handeln, klare Entscheidungen treffen und Datenschutz nicht ignorieren. Der Portraitbox-Fall zeigt, wie schnell externe Probleme zum eigenen Thema werden können. Ein Datenschutzkonzept ist deshalb kein Bürokratieprojekt, sondern eine Schutzstrategie für Daten, Kundenbeziehungen und Unternehmenswert.

Der Cyberangriff bei Portraitbox macht deutlich, dass Datenschutz nicht erst dann wichtig wird, wenn die Datenpanne bereits da ist. Wer mit Kundendaten arbeitet, trägt Verantwortung für Prozesse, Dienstleister und Kommunikation. Das gilt besonders für Selbstständige und kleine Unternehmen, weil sie oft sehr nah am Kunden sind. Vertrauen wird persönlich aufgebaut, kann aber durch Unsicherheit schnell beschädigt werden. 

Deshalb ist jetzt ein guter Zeitpunkt, die eigenen Abläufe kritisch zu prüfen. 
Welche Cloud-Tools sind im Einsatz? Welche Daten liegen dort? Gibt es aktuelle Verträge?
Sind Informationspflichten erfüllt? Gibt es ein Löschkonzept?
Und wäre das Unternehmen morgen handlungsfähig, wenn ein wichtiger Anbieter gehackt wird oder ausfällt?

Diese Fragen sind nicht dazu da, Angst zu machen. Sie helfen, Risiken zu erkennen und zu reduzieren. Ganz ausschließen lässt sich ein Cyberangriff nie. Aber wer vorbereitet ist, kann schneller reagieren, transparenter kommunizieren und Schaden begrenzen. Genau darum geht es bei moderner DSGVO-Umsetzung: nicht um komplizierte Theorie, sondern um praktische Sicherheit für Unternehmen, Kunden und das Vertrauen, von dem jede Zusammenarbeit lebt.