Sicherheit & Datenschutz

Deine Bilder. Dein Speicher. Dein Recht.

Was Frames sieht — und was nicht.

Wo deine Bilder leben

Frames hostet nie selbst.

Du verbindest dein Google Drive, Dropbox, S3, WebDAV, pCloud, iCloud, OneDrive oder Box. Frames liest deine Bilder über deinen Token — read-only, auf Abruf. Komponiert daraus deine Galerie und liefert sie aus.

Frames speichert nur Metadaten — Galerie-Namen, Slugs, Sektionen, Voting-Status, Kommentare, Print-Bestellungen. Die Original-Bilder verbleiben in deinem Drive, Dropbox, S3 oder iCloud-Account. Kein Doppel-Upload, kein Lock-in.

  Dein Speicher                       Frames                       Galerie-Besucher
  ─────────────                       ──────                       ─────────────────
  Drive · Dropbox · S3                Frankfurt                    Brautpaar · Studio-Kunden
  iCloud · WebDAV · pCloud   ────►    (Metadaten,        ────►     Magic-Link · PIN
  OneDrive · Box                       Voting,
                                       Print-Logik)
            ▲                              │
            │                              │
            └──── Read-Only OAuth ─────────┘
                  Signierte URL ≤ 24h
Bilder fließen nur on-demand durch Frames hindurch — Original liegt bei dir, Besucher sehen eine kurzlebige signierte URL.
Wo Frames sitzt

Frankfurt, TLS 1.3, tägliche Backups.

Standort
Hostinger-Server in Frankfurt am Main, Deutschland. Alle Frames-Daten (Metadaten, Datenbank, Logs) bleiben in der EU.
Verschlüsselung
TLS 1.3 in transit. AES-256 at rest auf den Datenbank-Volumes. OAuth-Tokens deiner Storage-Verbindungen liegen AES-256-GCM-verschlüsselt mit pro-User-Schlüssel.
Backups
Tägliche Postgres-Snapshots, 30 Tage Retention, an einem zweiten Frankfurter Standort gespiegelt.
Recovery
Recovery Point Objective < 24 h. Recovery Time Objective < 4 h. Geübt vierteljährlich.
Wer sieht was

Drei Rollen, klar getrennt.

  • Du als Fotograf:in. Deine eigenen Galerien, dein connectedes Storage, deine Print-Bestellungen. Mit 2FA absicherbar.
  • Deine Kunden. Sehen nur die Galerie, für die sie Link, Magic-Link oder PIN haben. Kein Account-Zwang fürs Brautpaar. Passwort-geschützte Galerien zeigen in Social-Previews kein echtes Bild — nur ein neutrales Branding.
  • Frames-Team. Kann Support-Tickets einsehen, die du selbst öffnest. Wir browsen nicht systematisch in deinen Galerien. Admin-Zugriffe sind protokolliert, 2FA für Plattform-Admins ist Pflicht.

Unsere Auftragsverarbeiter

Frames selbst hat eine knappe Subprozessoren-Liste:

  • Hostinger — Hosting der App und Datenbank, Frankfurt.
  • Stripe — Zahlungs-Abwicklung, Irland (sobald Live).
  • ALL-INKL.COM — Plattform-SMTP für Transaktions-Mails, Görlitz (DE).

Kein Google Analytics. Kein Meta-Pixel. Kein Hotjar. Die vollständige Liste mit Sitz-Land und Verarbeitungs-Zweck steht in der Datenschutz-Erklärung.

DSGVO im Klartext

AVV inklusive. Export jederzeit. Löschung per Klick.

  • Auftragsverarbeitungs-Vertrag (Art. 28 DSGVO). Beim Onboarding zur Signatur, ohne Aufpreis. Vorab anfragen per hi@frames.photo.
  • Datenschutz-Erklärung. Vollständig öffentlich unter /datenschutz — Auftragsverarbeiter, Speicherfristen, Betroffenenrechte.
  • Datenexport. Jederzeit, ohne Begründung. JSON-Export aller Galerie-Metadaten und Kunden-Picks aus dem Admin. Lightroom-Export-Format eingebaut.
  • Datenlöschung. Klick im Admin reicht. Frames löscht alle Metadaten innerhalb von 30 Tagen — deine Bilder im Drive/Dropbox/S3 bleiben unangetastet.
  • Provider-AVV bei deinem Speicher. Den schließt du als Verantwortliche:r direkt mit Google/Dropbox/Backblaze etc. ab — Frames ist nur dein Werkzeug, nicht der Vertragspartner gegenüber dem Provider.
Was wenn …

Die ehrlichen Krisen-Antworten.

… Frames pleitegeht?

Deine Bilder liegen in deinem Drive, Dropbox oder S3 — wir hatten sie nie. Du exportierst die Metadaten als JSON und ziehst um. Keine Migration von Terabytes, keine Lock-in-Schmerzen.

… ich kündige?

Deine Galerien werden auf Read-Only gestellt. 30 Tage später hard delete der Metadaten in unserer Datenbank. Bilder in deinem Storage bleiben unangetastet — Frames hat sie nie gehabt.

… ein Sicherheitsvorfall passiert?

72-Stunden-Meldepflicht nach Art. 33 DSGVO. Du bekommst Mail mit Umfang, betroffenen Daten und Maßnahmen. Parallel Eintrag auf der Status-Page.

… meine Kundin löscht ihre Galerie versehentlich?

30-Tage-Restore-Window auf Anfrage. Schreib uns kurz an hi@frames.photo, wir stellen den Galerie-Stand mit Picks und Kommentaren wieder her. Die Bilder selbst waren ohnehin nie weg.

… Frames meine Bilder versehentlich öffentlich macht?

Wird strukturell nicht passieren, weil wir die Bilder nie selbst hosten. Frames signiert kurzlebige URLs (maximal 24 h gültig) gegen deinen Storage. Die Original-Permissions in deinem Drive/Dropbox/S3 sind die Wahrheit — wir können sie nicht überschreiben.