Symbolbild zum Datenleck beim Fotostudio Diekmann in Oldenburg

Exklusiv | Datenleck

Cyberangriff auf Fotogalerie

Familien aus Oldenburg und der Region bangen um private Kinderfotos. Ein REFLAK vorliegendes Schreiben nennt Fotos, Kontaktdaten und Zugangsdaten — und eine Drohung der Angreifer.

Hinweise geben → 6 Min. Lesezeit Öffentlich zugänglich

Vorfall

Cyberangriff

auf Server eines Galerie-Dienstleisters

Zeitpunkt

16./17. Mai 2026

laut Informationsschreiben

Betroffen

Fotos & Zugangsdaten

nach aktuellem Kenntnisstand

Risiko

Veröffentlichung

Angreifer drohen laut Schreiben damit

Von Dieter Voß·21. Mai 2026, 00:01 Uhr·Oldenburg

Oldenburg. Es beginnt mit einem Satz, wie ihn niemand lesen möchte, der einem Fotostudio persönliche Bilder anvertraut hat.

„Leider wenden wir uns heute mit einer wichtigen Information an Sie.“

Was dann folgt, ist kein gewöhnlicher Hinweis auf eine technische Störung. Es ist ein Datenschutzschreiben nach Artikel 34 DSGVO, das REFLAK vorliegt. Darin informiert das Fotostudio Diekmann seine Kundinnen und Kunden über einen Sicherheitsvorfall bei einem externen Dienstleister für Online-Fotogalerien.

Betroffen ist nach Angaben des Schreibens die Plattform der Portraitbox GmbH, die für die Bereitstellung der Online-Fotogalerie und des zugehörigen Bestellshops genutzt wurde.

Dem Schreiben zufolge verschafften sich unbekannte Angreifer am Wochenende des 16. und 17. Mai 2026 unbefugt Zugang zu Serversystemen dieses Dienstleisters. Dort gespeicherte Daten seien heruntergeladen und anschließend auf den Servern gelöscht worden.

Damit geht es nicht mehr nur um einen technischen Vorfall. Es geht um Erpressungsdruck. Und es geht um Daten, die für viele Menschen hochpersönlich sind.

Welche Daten betroffen sein können

Nach aktuellem Kenntnisstand, so heißt es in dem Schreiben, seien folgende Daten betroffen, die im Rahmen der Nutzung der Fotogalerie und bei Bestellungen gespeichert waren: Fotos, die in persönlichen Galerien bereitgestellt wurden, Name, E-Mail-Adresse, gegebenenfalls Lieferanschrift, Bestellhistorie sowie Zugangsdaten — also Passwort beziehungsweise Zugangscode zur Fotogalerie.

Besonders brisant ist der Abschnitt, der sich ausdrücklich an Eltern richtet.

„Liebe Eltern, der Schutz der Bilder und Daten Ihrer Kinder ist mir sehr wichtig.“

Damit ist klar: Hier geht es zumindest auch um Aufnahmen von Kindern. Genau das macht diesen Fall so sensibel.

Wer Kinderfotos in einer Online-Galerie bereitstellt, verwaltet keine austauschbaren Dateien. Er verwaltet Vertrauen. Vertrauen von Eltern, Familien, Schulen, Kitas und Kunden, die davon ausgehen, dass private Bilder nicht irgendwann zum Druckmittel krimineller Angreifer werden.

Der Albtraum hinter dem Behörden-Deutsch

Das Schreiben bleibt sachlich. Es erklärt Risiken, Rechte und Maßnahmen. Es verweist auf die Datenschutzaufsicht, auf Strafverfolgungsbehörden und ein spezialisiertes IT-Forensik-Unternehmen.

Formal ist das richtig. Aber hinter dieser Sprache steckt ein Vorgang, der für betroffene Familien kaum harmlos klingen kann: Fotos könnten unbefugt im Internet veröffentlicht oder anderweitig missbraucht werden. Kontaktdaten könnten für betrügerische E-Mails genutzt werden. Wer dasselbe Passwort auch für andere Dienste verwendet, muss damit rechnen, dass auch weitere Zugänge gefährdet sein könnten.

Das Fotostudio empfiehlt deshalb besondere Vorsicht bei verdächtigen E-Mails, insbesondere wenn sie sich auf Fotobestellungen, Galerien oder persönliche Daten beziehen. Links in solchen Nachrichten sollen nicht angeklickt, persönliche Daten oder Zahlungsinformationen nicht eingegeben werden.

Außerdem werden Kunden aufgefordert, Veröffentlichungen im Internet zu überwachen und sich bei unbefugter Veröffentlichung von Fotos zu melden.

Man muss diesen Satz einen Moment wirken lassen: Eltern sollen im Zweifel beobachten, ob Bilder von ihnen oder ihren Kindern irgendwo im Netz auftauchen.

Das ist keine Kleinigkeit. Das ist Kontrollverlust.

Was wir wissen

1. REFLAK liegt ein Informationsschreiben an Betroffene vor.
2. Der Angriff betrifft laut Schreiben Systeme der Portraitbox GmbH.
3. Genannt werden Fotos, Kontaktdaten, Bestellhistorie und Zugangsdaten.
4. Die Angreifer drohen laut Schreiben mit Veröffentlichung.
5. Das Schreiben enthält einen eigenen Abschnitt an Eltern.

Was wir nicht wissen

1. Wie viele Kunden insgesamt betroffen sind.
2. Welche konkreten Galerien heruntergeladen wurden.
3. Ob und wo Daten bereits veröffentlicht wurden.
4. Wie die Zugangsdaten technisch geschützt waren.
5. Welche dauerhaften Konsequenzen aus dem Vorfall folgen.

Die Verantwortung endet nicht beim Dienstleister

Nach Darstellung des Schreibens lag der Angriff bei einem externen Dienstleister. Der Angriffsweg sei inzwischen geschlossen worden, ein spezialisiertes IT-Forensik-Unternehmen untersuche den Fall, die Datenschutzaufsicht und Strafverfolgungsbehörden seien informiert, die IT-Sicherheitsmaßnahmen würden grundlegend überarbeitet.

Das sind notwendige Schritte. Aber sie beantworten noch nicht alle Fragen.

Denn aus Sicht der Betroffenen ist es zweitrangig, ob der Angriff direkt beim Fotostudio oder bei einem technischen Dienstleister erfolgt ist. Entscheidend ist: Die Daten wurden im Rahmen eines Angebots verarbeitet, dem Kunden vertraut haben.

Wer mit Fotos von Familien und Kindern Geld verdient, muss sich an einem besonders hohen Maßstab messen lassen. Dazu gehört auch die Auswahl externer Dienstleister. Gerade dort, wo sensible Bilddaten verarbeitet werden, reicht es nicht, dass Systeme praktisch, bequem und verkaufsfördernd sind. Sie müssen belastbar sicher sein.

Der Fall zeigt ein größeres Problem

Dieser Vorfall ist nicht nur ein Fall für betroffene Kunden. Er ist ein Warnsignal für die gesamte regionale Wirtschaft.

Viele Unternehmen sammeln, speichern und verarbeiten längst Daten, deren Schutz sie technisch und organisatorisch kaum noch selbst überschauen. Externe Plattformen übernehmen zentrale Aufgaben. Kunden vertrauen trotzdem dem lokalen Anbieter, dessen Namen sie kennen.

Wenn dann etwas passiert, beginnt die übliche Kette: Bedauern, Datenschutzschreiben, Forensik, Behördenmeldung, Passwortwechsel, neue Sicherheitsmaßnahmen.

Alles notwendig. Aber alles nach dem Einschlag.

Was Betroffene jetzt tun sollten

• Passwörter ändern, wenn dieselben oder ähnliche Zugangsdaten auch anderswo genutzt wurden.
• Besonders vorsichtig bei E-Mails sein, die sich auf Fotobestellungen oder Galerien beziehen.
• Keine verdächtigen Links anklicken.
• Keine persönlichen Daten oder Zahlungsinformationen per Mail preisgeben.
• Verdächtige Aktivitäten in E-Mail-, Shopping- oder anderen Online-Konten prüfen.
• Bei Hinweisen auf veröffentlichte Bilder sofort das Fotostudio, Plattformbetreiber und gegebenenfalls Behörden informieren.

REFLAK meint: Kinderfotos sind keine digitale Nebensache

Dieser Fall muss vollständig aufgeklärt werden.

Nicht irgendwann. Nicht halb. Nicht in beruhigenden Formulierungen, die vor allem den Schaden kommunikativ begrenzen sollen.

Die entscheidenden Fragen liegen auf dem Tisch: Welche Galerien waren konkret betroffen? Wie viele Kunden wurden informiert? Welche Daten wurden tatsächlich heruntergeladen? Waren Kinderfotos betroffen — und in welchem Umfang? Wie waren die Zugangsdaten geschützt? Welche Sicherheitsprüfung gab es beim Dienstleister? Wann wurden Studio und Kunden informiert? Welche Konsequenzen folgen daraus dauerhaft?

REFLAK veröffentlicht diesen Artikel bewusst frei zugänglich. Nicht, weil jeder Cyberangriff automatisch ein öffentlicher Pranger sein sollte. Sondern weil dieser Fall zeigt, worum es bei unabhängiger lokaler Berichterstattung geht: Dokumente prüfen, Zusammenhänge offenlegen, Verantwortlichkeiten benennen und dort nachfragen, wo andere lieber schweigen.

Kinderfotos sind keine digitale Nebensache. Sie sind keine Verhandlungsmasse für Kriminelle. Und sie dürfen auch nicht zum Kollateralschaden einer bequemen Online-Galerie werden.

In eigener Sache

Gefällt dir investigativer Journalismus ohne Maulkorb?

REFLAK schaut hin, wo andere weggucken. Wir finanzieren uns ausschließlich durch Menschen, die den Mut zum Klartext unterstützen. Wenn du willst, dass wir weiterhin den Mächtigen und Nachlässigen in der Region auf die Füße treten, werde jetzt Teil der Bewegung.

Paket „Stimme“

24 €

pro Jahr / 2 € im Monat

Paket „Leser“

48 €

pro Jahr inkl. Hinweis-Kanal

Paket „Mitstreiter“

96 €

pro Jahr als Premium-Förderer

Jetzt Unterstützer werden und REFLAK stärken