Dieser Artikel richtet sich an Fotografinnen, Fotografen und Fotostudios, die den angegriffenen Fotodienstleister genutzt haben. Informationen für Kundinnen und Kunden der betreffenden Fotografen sind hier zu finden:
Cyberangriff auf Fotodienstleister: Informationen für Kundinnen und Kunden
Ein Dienstleister für Fotografinnen, Fotografen und Fotostudios ist Opfer eines Cyberangriffs geworden. Von dem Cyberangriff sind auch in Hessen ansässige Fotografinnen und Fotografen sowie Fotostudios und deren Kundinnen und Kunden betroffen. Viele Betroffene stellen sich und dem HBDI daher die Frage, wie sie auf den Vorfall reagieren sollen.
Was müssen hessische Fotografinnen, Fotografen und Fotostudios beim Cyberangriff auf ihren Dienstleister beachten?
Wichtig ist, dass alle hessischen Fotografinnen, Fotografen und Fotostudios, die diesen Dienstleister nutzen oder genutzt haben, datenschutzrechtlich verantwortlich sind und daher jetzt selbst aktiv werden müssen!
- Der Vorfall muss dem Hessischen Beauftragten für Datenschutz und Informationsfreiheit (HBDI) gemeldet werden.
- Aufgrund der Sensibilität der betroffenen Daten sind die von dem Vorfall betroffenen Kundinnen und Kunden in der Regel zu benachrichtigen.
- Der Vorfall, die eigenen Bewertungen, Entscheidungen und unternommen Aktivitäten sollten dokumentiert werden.
Welcher Datenschutzaufsichtsbehörde muss der Vorfall gemeldet werden?
Fotografinnen, Fotografen und Fotostudios, die ihren Sitz in Hessen haben, müssen den Vorfall dem HBDI melden. Das HBDI-Meldeformular nach Art. 33 DS-GVO und Hinweise für die Meldung finden sich hier. Auch das vom Dienstleister bereitgestellte Musterformular für die Meldung nach Art. 33 DS-GVO enthält die Informationen, die für eine Bearbeitung durch den HBDI erforderlich sind und kann daher für die Meldung an den HBDI verwendet werden. Hierbei muss sichergestellt werden, dass die enthaltenen Felder mit den Informationen zur betroffenen Fotografin bzw. zum Fotograf oder Fotostudio ergänzt bzw. ausgefüllt werden.
Wer muss benachrichtigt werden?
Fotografinnen, Fotografen und Fotostudios müssen in aller Regel die Kundinnen und Kunden benachrichtigen, deren personenbezogene Daten (Bilder, Anmeldedaten, etc.) zum Zeitpunkt des Vorfalls auf der Plattform des Dienstleisters gespeichert waren.
Wenn Fotografinnen, Fotografen und Fotostudios keine Kontaktdaten der betroffenen Kundinnen und Kunden (mehr) haben, um diese direkt zu benachrichtigen, sollten alternative Wege genutzt werden: Sie sollten sich hierzu an ihre Auftraggeber wie Schulen oder Kitas wenden und diese bitten, die Benachrichtigung im Namen der jeweiligen Fotografinnen und Fotografen oder Fotostudios an die betroffenen Kundinnen oder Kunden weiterzuleiten. Eine öffentliche Bekanntmachung (z. B. auf der Homepage oder Social Media-Kanälen) ist auch denkbar, sofern eine individuelle Benachrichtigung mit einem unverhältnismäßigen Aufwand verbunden wäre.
Wie muss benachrichtigt werden?
Die Muster-Benachrichtigung nach Art. 34 DS-GVO, die der Dienstleister Fotografinnen, Fotografen und Fotostudios zur Verfügung gestellt hat, enthält alle relevanten Informationen und kann verwendet werden.
Was haben Fotografinnen, Fotografen oder Fotostudios darüber hinaus zu erwarten?
Nach der Meldung des Vorfalls bei der zuständigen Aufsichtsbehörde, der erfolgten Benachrichtigung der betroffenen Personen und der Dokumentation sind die Fotografinnen, Fotografen und Fotostudios zunächst ihren datenschutzrechtlichen Pflichten nachgekommen. Die weitere Behandlung, Untersuchung und Aufbereitung obliegt dem Dienstleister, dessen Systeme angegriffen wurden. Die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) steht mit diesem im Kontakt. Fotografinnen, Fotografen und Fotostudios sollten auf neue Informationen, die sie vom Dienstleister erhalten, achten und hierauf reagieren.
Diese Seite wird bei Bedarf fortlaufend aktualisiert. Stand: 22.05.2026, 12:00 Uhr