Cookies.

Cookies erzählen selten die ganze Geschichte. Sie stehen neben Server-Logs, Local-Storage-Schlüsseln, Sitzungstoken zur Authentifizierungszeit, CDN-Konfiguration und Anwendungstelemetrie, die nicht immer klassisch als Cookie gespeichert wird. Unsere Datenschutzerklärung bleibt maßgeblich für personenbezogene Daten, Rechtsgrundlagen, Aufbewahrung, internationale Übermittlungen und Ihre Rechte. Dieser Cookie-Hinweis vertieft Browser-Speicher und clientseitige Kennungen, damit Sie Browser, Consent-Tools und interne Wikis präzise konfigurieren können. Mit „wir“ meinen wir Holdstill wie in der Datenschutzerklärung beschrieben. Wenn Sie Kundengalerien veröffentlichen, können zusätzliche Pflichten für Besucher entstehen; Ihre eigenen Hinweise sollten die unseren ergänzen, wenn Sie unabhängiger Verantwortlicher sind.

HTTP-Cookies sind kleine Name-Wert-Paare, die der Browser speichert und an die setzende Origin zurücksendet — begrenzt durch Host, Pfad sowie Attribute wie Secure, HttpOnly und SameSite. Ähnliche Technologien umfassen Local Storage und Session Storage, IndexedDB für offlinefähige Funktionen, Service-Worker-Caches und Authentifizierungstoken im Arbeitsspeicher während einer Sitzung. Wir setzen auch kurzlebige Kennungen für Missbrauchsprävention und Rate-Limiting ein, die nach einem Neustart verschwinden können. Manche Analyseprodukte nutzen First-Party-Cookies oder Local Storage, um Ereignisse zu deduplizieren, ohne Ihr Verhalten über unzusammenhängende Websites zu verknüpfen. Fingerabdruckbildung als Produktfeature lehnen wir ab: messen wir Leistung oder Adoption, streben wir aggregierte oder pseudonyme Verfahren an, die nicht auf verdeckte Cross-Site-Verknüpfung setzen.

Die nachfolgenden Praktiken gelten für Seiten und Anwendungen auf unseren primären Marketing- und App-Domains, einschließlich Authentifizierung, ggf. Abrechnungsportalen, Dokumentation, Statusseiten in der Fußzeile und interaktiven Demos, die wir selbst hosten. Drittfotografen können Galerien auf Custom Domains einbetten; dort gelten Ihre im Studio konfigurierten Sicherheits- und Zugriffsregeln, während sich konkrete Speichertechnologien durch Integrationen oder CDNs unterscheiden können. Im Zweifel prüfen Sie die Domain in der Adresszeile: Hinweise auf holdstill.app und dokumentierten Subdomains folgen diesem Dokument. Links zu sozialen Netzwerken, Zahlungsdienstleistern oder Kalenderwerkzeugen unterliegen deren Richtlinien, sobald Sie unsere Origin verlassen.

Manche Speicher sind für Sicherheit und Grundfunktion unverzichtbar. Dazu zählen Sitzungs-Cookies nach passwortloser Anmeldung, Anti-Forgery-Token gegen Cross-Site-Request-Forgery bei Formularübermittlungen, kurzlebige State-Cookies für sichere OAuth-ähnliche Weiterleitungen und ggf. Affinitäts-Cookies von Load-Balancern, die WebSockets oder Upload-Streams während einer Sitzung konsistent routen. Ohne diese Technologien entstünden Anmeldeschleifen, fehlgeschlagene Uploads oder sporadische Fehler, die wie Produktbugs wirken, aber fehlende Sitzungskontinuität sind. Diese Kategorie können Sie in unserer Oberfläche nicht abschalten — das Studio wäre unzuverlässig und wir würden nicht so tun, als sei das unterstützt. Sie können sie im Browser löschen; dann müssen Sie sich erneut authentifizieren.

Wir merken uns Marketing-Sprache, optional das Theme und bestimmte Anzeigeoptionen im Galerie-Workspace, damit Sie sie nicht bei jedem Besuch neu setzen müssen. Je nach Implementierung liegen Werte in Cookies, Local Storage oder nach Anmeldung im serverseitigen Profil. Präferenzspeicher dient nicht dem Verkauf von Werbesegmenten. Nutzen Sie mehrere Browser oder Geräte, synchronisieren sich Einstellungen nicht automatisch, sofern die Funktion nicht ausdrücklich etwas anderes verspricht — moderne Privatmodelle isolieren Speicher je Umgebung. Löschen von Website-Daten entfernt diese Erinnerungen, nicht Ihr Konto: die Oberfläche kehrt zu sinnvollen Standardwerten zurück, bis Sie neu konfigurieren.

Wir nutzen datenschutzorientierte Analysen, um zu verstehen, welche Produktteile wirklich helfen, wo Fotografen beim Onboarding hängen bleiben und ob Performanceänderungen mit Support korrelieren. Implementierungen können First-Party-Erfassung in der EU umfassen, ohne Werbe-IDs Dritter und mit begrenzter Rohdatenaufbewahrung. Ist Google Analytics o. Ä. für ein Deployment aktiv, dient es aggregierter Messung statt verhaltensbasierter Werbung; Banner-Entscheidungen respektieren wir, soweit erkennbar. Wir kaufen keine „Identity Graphs“ bei Brokern und versuchen nicht, Galeriebesucher über unverbundene Studios hinweg wiederzuerkennen. Wenn Sie nicht notwendige Kategorien im Cookie-Banner ablehnen, unterbinden wir nach Möglichkeit optionale Marketing-Analyseaufrufe auf unterstützten Seiten; wesentliche Server-Logs können weiterlaufen, weil sie nicht immer als Browser-Cookie ausgedrückt werden.

Wir schalten keine Display-Werbung in der authentifizierten Studioerfahrung, versteigern keine Aufmerksamkeit in programmatischen Auktionen und verkaufen keine aus Kundengalereien abgeleiteten Zielgruppen. Wir setzen keine tückischen Evercookies ein, um gelöschten Speicher wiederzubeleben, und fördern keine Dark-Pattern-Zustimmungsdialoge, die Ablehnungen verstecken. Sollte je eine optionale Funktion die Tracking-Fläche spürbar vergrößern — etwa eine eng gefasste A/B-Testplattform — aktualisieren wir diesen Hinweis, heben das Revisionsdatum an und bieten ehrliches Opt-in, wo das Gesetz es verlangt. Skepsis ist gesund: Vertrauen zeigt sich im Verhalten über die Zeit, nicht nur im Text.

Wie jedes moderne SaaS nutzen wir Infrastrukturpartner für Hosting, E-Mail, Zahlungen, Fehlerberichte und gelegentlich Support-Tools. Diese Partner können eigene Cookies setzen oder lesen, wenn Sie direkt mit deren Domains interagieren — etwa bei Kartenzahlung in einem eingebetteten Feld des Zahlungsdienstleisters. Wir führen eine für Datenschutzreviews geeignete Unterauftragsverarbeiter-Übersicht; sie ergänzt, ersetzt aber nicht diesen Hinweis. Ist ein Dritt-Skript für eine von Ihnen begonnene Transaktion zwingend, gelten die Partnerdokumente, sobald Sie deren Origin betreten. Wir minimieren eingebettete Dritt-Skripte auf Marketingseiten, um überraschenden Speicher zu vermeiden.

Sitzungs-Cookies enden oft mit dem Schließen des Browsers oder nach einem gleitenden Timeout, das Komfort und Risiko geteilter Geräte abwägt. „Angemeldet bleiben“ — falls angeboten — nutzt längerlebige Token mit zusätzlichen Schutzmaßnahmen und ist typischerweise in den Kontosicherheitseinstellungen widerrufbar. Analysekennungen rotieren oder werden gekürzt gemäß interner Aufbewahrungsrichtlinie, damit keine unendlichen Feinverläufe entstehen. Löschen Sie Ihr Konto, kann clientseitiger Speicher bestehen, bis Sie Website-Daten leeren; serverseitige Verknüpfungen folgen den Löschfristen der Datenschutzerklärung vorbehaltlich gesetzlicher Pflichten oder Backup-Immutability.

Wo wir ein Cookie-Banner auf Marketingflächen zeigen, können Sie alle optionalen Kategorien akzeptieren, nicht notwendige ablehnen oder diese Seite für Details öffnen. Browser erlauben das Blockieren Drittanbieter-Cookies, das Löschen beim Beenden oder Container-Tabs zur Trennung. Signale wie Global Privacy Control werden uneinheitlich ausgelegt; ausdrückliche Produkt- und Kontoeinstellungen behandeln wir bei Konflikt mit vagen Defaults als klarere Anweisung. Betroffenenrechte nach DSGVO — Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch, Portabilität und Beschwerde bei einer Aufsichtsbehörde — bleiben in der Datenschutzerklärung geregelt und werden durch diesen Hinweis nicht ersetzt. Als Galeriebesucher ist oft der Kontakt zum Fotografen am schnellsten; wir helfen dennoch, wenn wir für die zugrunde liegende Verarbeitung verantwortlich sind.

Holdstill richtet sich an professionelle Fotografen, deren Auftraggeber Familien und Minderjährige in rechtmäßigen Galerien umfassen können. Wir richten wissentlich keine verhaltensbasierte Werbung über Cookies an Kinder und verfolgen Minderjährige nicht cookiebasiert quer durchs Web. Schulen, Kirchen und öffentliche Stellen sollten diesen Hinweis mit DPA und Sicherheitsüberblick kombinieren: Ziel ist vorhersehbarer, minimal notwendiger Speicher statt maximaler Überwachung, die als Analytik verkauft wird.

Wir aktualisieren diesen Cookie-Hinweis, wenn sich Technologien oder regulatorische Leitlinien ändern. Wesentliche Änderungen erkennen Sie am „Zuletzt aktualisiert“-Datum oben und ggf. an zusätzlichen Hinweisen per E-Mail oder In-App-Banner. Die Nutzung nach Inkrafttreten gilt als Akzeptanz des aktualisierten Hinweises, sofern nicht strengere Einwilligungsregeln gelten. Fragen speziell zu Cookies oder ähnlichem Speicher: privacy@holdstill.app; operative Nicht-Privacy-Fragen: hello@holdstill.app. Danke fürs sorgfältige Lesen — das hilft uns, das Produkt ehrlich zu halten.