Cookie-Richtlinie
Informationen zu Cookies und ähnlichen Technologien
Stand: 1. Juli 2026 · Caelex, Julian Polleschner, Berlin · Version 3.1
Diese Richtlinie erklärt, welche Cookies und ähnliche Technologien (LocalStorage, SessionStorage, IndexedDB, Pixel) wir einsetzen, zu welchem Zweck, auf welcher Rechtsgrundlage und wie lange.
Für nicht unbedingt erforderliche Cookies gilt § 25 Abs. 1 TTDSG: wir setzen sie nur mit Ihrer ausdrücklichen, informierten, vorab erteilten Einwilligung.
Für den Datenschutz verweisen wir ergänzend auf die Datenschutzerklärung (/legal/privacy).
§ 1 Was sind Cookies?
Cookies sind kleine Textdateien, die beim Besuch einer Website in Ihrem Browser gespeichert werden. Sie enthalten Informationen, die bei späteren Besuchen oder Interaktionen zurückgelesen werden können. Wir nutzen zusätzlich browser-gespeicherte Technologien wie LocalStorage (z.B. für Atlas-Bookmarks von Gästen) und SessionStorage (z.B. für Sitzungsdaten).
§ 2 Kategorien und Rechtsgrundlage
Unsere Nutzungsstatistik ist zweistufig aufgebaut. Stufe 1 ist eine anonyme, cookielose Basis-Statistik, die für alle Besucher ohne Einwilligung läuft: Sie setzt oder liest keine Kennung in Ihrem Endgerät, speichert Ihre IP-Adresse nicht und erzeugt ausschließlich aggregierte Gesamtzahlen (z.B. wie oft ein Pfad je Produktbereich aufgerufen wurde). Sie greift damit nicht auf Informationen in Ihrem Endgerät zu (§ 25 TDDDG ist nicht einschlägig) und stützt sich für die aggregierte Auswertung auf unser berechtigtes Interesse an einer Reichweitenmessung (Art. 6 Abs. 1 lit. f DSGVO). Stufe 2 ist die weitergehende, einwilligungsbasierte Produkt-Analyse nach Absatz (3): Sie wird erst nach Ihrem Opt-in geladen, setzt dann eine Geräte-/Sitzungs-Kennung und verknüpft bei angemeldeten Nutzern die User-ID. Beide Stufen sind getrennt; die anonymen Aggregat-Zahlen der Stufe 1 lassen sich nicht mit den Ereignissen der Stufe 2 zusammenführen.
(1) Unbedingt erforderlich (§ 25 Abs. 2 TTDSG, keine Einwilligung nötig): Cookies und LocalStorage-Einträge, ohne die die Plattform nicht funktioniert. Beispiele: Session-Token für die Anmeldung, CSRF-Schutz, Sprachpräferenz, MFA-Flow-Status, Atlas-Bookmarks von Gästen.
(2) Funktional (Art. 6 Abs. 1 lit. a DSGVO, § 25 Abs. 1 TTDSG, Einwilligung): Cookies für optionale Komfortfunktionen wie UI-Präferenzen (Dark-Mode-Erinnerung jenseits des Notwendigen), Tabellen-Layouts, optionale Chat-Widgets.
(3) Analyse und Produktverbesserung. Wir setzen eine eigene, selbst-gehostete Erstanbieter-Produktanalyse ein (keine Drittanbieter-Analysedienste wie Google Analytics oder Facebook). Sie umfasst zwei Verarbeitungen mit zwei Rechtsgrundlagen: (a) Das Setzen bzw. Auslesen einer Sitzungs-/Geräte-Kennung im Browser-Speicher (sessionStorage) erfordert Ihre Einwilligung nach § 25 Abs. 1 TTDSG; Gleiches gilt für die produktübergreifende Zusammenführung Ihrer Nutzung zu einem Identitätsprofil (Art. 5 Abs. 1 lit. b DSGVO, neuer Zweck). (b) Die eigentliche, pseudonyme Nutzungs-Telemetrie (Ereignis-Zähler, genutzte Funktionen je Produkt, Verweildauer, ungefähres Herkunftsland aus der IP) verarbeiten wir auf Grundlage unseres berechtigten Interesses an der Produktverbesserung (Art. 6 Abs. 1 lit. f DSGVO); ihr können Sie jederzeit nach Art. 21 DSGVO widersprechen. Die Telemetrie ist durch eine getypte Ereignis-Struktur so gestaltet, dass keine Klartext-Eingaben, Mandats- oder Personennamen erfasst werden können. Einzelheiten zur Datenverarbeitung enthält die Datenschutzerklärung (§ 3 (3)).
(4) Marketing: wir setzen keine Marketing-Cookies von Dritten (z.B. Facebook-Pixel, LinkedIn Insight Tag, Google Ads).
§ 3 Liste der eingesetzten Cookies und Storage-Einträge
A. Unbedingt erforderlich:
- authjs.session-token — Anmeldesitzung, HTTP-only, Secure, SameSite=Lax · Dauer: bis Abmeldung bzw. 30 Tage
- authjs.csrf-token — CSRF-Schutz, HTTP-only · Dauer: Session
- authjs.callback-url — Rücksprung nach OAuth-Login · Dauer: Session
- caelex.locale — Sprachpräferenz (de, en, fr, es) · Dauer: 1 Jahr
- atlas:bookmarks:v1 (LocalStorage) — Gast-Bookmarks in Atlas · Dauer: bis Löschung durch Nutzer
- consent.v1 — Cookie-Einwilligungsstatus · Dauer: 12 Monate
B. Funktional (nur mit Einwilligung):
- caelex.ui-prefs — UI-Präferenzen, z.B. Tabellen-Layouts · Dauer: 6 Monate
C0. Anonyme Basis-Statistik (Stufe 1, ohne Einwilligung):
- Anonyme, cookielose Reichweitenmessung (kein Browser-Speicher-Eintrag, keine Kennung): Bei jedem Seitenaufruf senden wir server-seitig nur den aufgerufenen Pfad (ohne Query-Parameter), den Referrer-Host, den Produktbereich und eine grobe Viewport-Kategorie. Es wird KEINE Geräte-/Sitzungs-Kennung gesetzt oder gelesen, KEINE User-ID verknüpft und KEINE IP-Adresse gespeichert. Aus diesen Signalen entsteht nur eine tägliche Gesamtzahl je Pfad und Produktbereich. Rechtsgrundlage: berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO); da kein Zugriff auf Ihr Endgerät erfolgt, ist § 25 TDDDG nicht einschlägig und keine Einwilligung erforderlich.
C. Analyse (Stufe 2, nur mit Einwilligung, soweit aktiviert):
- caelex_session_id (SessionStorage) — Sitzungs-/Geräte-Kennung unserer eigenen, selbst-gehosteten Erstanbieter-Produktanalyse. Wird gesetzt, sobald Sie der Analyse zustimmen; daher NICHT cookielos im Sinne von „kein Geräte-Zugriff“ (§ 25 Abs. 1 TTDSG). Dauer: bis Ende der Browser-Sitzung.
- caelex-cookie-consent-session (LocalStorage) — pseudonyme Korrelations-ID für den server-seitigen Einwilligungs-Nachweis (gehasht gespeichert). Dauer: bis Löschung durch Nutzer.
- Selbst-gehostete Telemetrie (kein Browser-Speicher-Eintrag, server-seitig): Bei jedem erfassten Ereignis speichern wir auf unserer eigenen EU-Infrastruktur (Datenbank bei Neon, Region Frankfurt) den Ereignistyp, den aufgerufenen Pfad (ohne Query-Parameter), Referrer, User-Agent (nach 30 Tagen anonymisiert), das aus der IP abgeleitete Land sowie — bei angemeldeten Nutzern — Ihre User-ID und Organisations-ID. Diese Analyse ist also weder anonym noch ausschließlich Vercel-basiert. Speicherdauer der Ereignisse: 90 Tage. Erfasste Funktions-Dimensionen sind kategorisch (z.B. Atlas-Themen, Comply-Module, Trade classify→licence, Scholar-Planspiele) und enthalten keine Klartext-Eingaben oder personenbezogenen Inhalte.
- Vercel Web Analytics (optional, zusätzlich): cookielose Seitenaufruf-Statistik des öffentlichen Auftritts mit pro Sitzung neu gerolltem Hash und IP-Anonymisierung. Dies ist ein SEPARATER Dienst und NICHT die oben beschriebene Produkt-Telemetrie.
D. Drittanbieter: Stripe setzt für Checkout-Flows notwendige Cookies (z.B. __stripe_mid, __stripe_sid). Diese werden nur auf der Checkout-Seite gesetzt und unterliegen der Stripe-Datenschutzerklärung.
§ 4 Einwilligung und Widerruf
(1) Beim ersten Besuch unserer Website zeigen wir ein Cookie-Banner an. Sie können alle nicht erforderlichen Cookies ablehnen, einzeln auswählen oder insgesamt akzeptieren.
(2) Sie können Ihre Einwilligung jederzeit über den Link „Cookie-Einstellungen“ im Footer oder über Ihre Browsereinstellungen widerrufen. Der Widerruf wirkt nur für die Zukunft.
(3) Einwilligungen werden lokal in Ihrem Browser protokolliert (Zeitpunkt, Version, Auswahl je Kategorie) und zusätzlich server-seitig zur Nachweisbarkeit gespeichert (Pflicht nach Art. 7 Abs. 1 DSGVO). Bei eingeloggten Nutzern erfolgt die Zuordnung über die User-ID, bei nicht-eingeloggten Besuchern über einen pseudonymisierten Browser-Session-Hash. Einwilligungen werden nach 12 Monaten automatisch erneut abgefragt, auch wenn der Banner zwischendurch nicht aktualisiert wurde.
§ 5 Browsereinstellungen
Sie können Cookies auch in Ihrem Browser verwalten (blockieren, löschen, Benachrichtigung bei Setzen). Beachten Sie, dass ohne unbedingt erforderliche Cookies Teile der Plattform nicht funktionieren.
- Chrome: Einstellungen → Datenschutz und Sicherheit → Cookies und andere Websitedaten
- Firefox: Einstellungen → Datenschutz und Sicherheit → Cookies und Website-Daten
- Safari: Einstellungen → Datenschutz → Cookies und Website-Daten
- Edge: Einstellungen → Cookies und Websiteberechtigungen
§ 6 Änderungen
Wir aktualisieren diese Richtlinie bei Änderungen an unseren Cookies oder rechtlichen Vorgaben. Die jeweils aktuelle Fassung steht unter caelex.eu/legal/cookies.
Kontakt
CaelexInhaber: Julian PolleschnerAm Maselakepark 3713587 Berlin, DeutschlandDatenschutzanfragen:privacy@caelex.euVersion 3.1 · 1. Juli 2026