Zurück zur Startseite

Datenschutzerklärung

1. Verantwortlicher

Charles Imilkowski
Stubbenweg 29
DE-27753 Delmenhorst
E-Mail: support@peppertools.de
USt-IdNr.: DE316844774

Es ist kein Datenschutzbeauftragter bestellt, da dies gesetzlich nicht erforderlich ist.

2. Übersicht der Verarbeitung

Wir betreiben den Dienst „PlaylistEditor" (Website: playlisteditor.com, App: playlisteditor.com, API: api.playlisteditor.com), einen webbasierten M3U-Playlist-Editor als Software-as-a-Service (SaaS). Im Rahmen der Bereitstellung dieses Dienstes verarbeiten wir personenbezogene Daten unserer Nutzer.

3. Rechtsgrundlagen

Die Verarbeitung personenbezogener Daten erfolgt auf Basis folgender Rechtsgrundlagen der DSGVO:

  • Art. 6 Abs. 1 lit. a — Einwilligung (z. B. E-Mail-Bestätigung)
  • Art. 6 Abs. 1 lit. b — Vertragserfüllung (z. B. Bereitstellung des Dienstes, Zahlungsabwicklung, Hosting von Playlists)
  • Art. 6 Abs. 1 lit. c — Rechtliche Verpflichtung (z. B. Aufbewahrung von Zahlungsdaten)
  • Art. 6 Abs. 1 lit. f — Berechtigtes Interesse (z. B. IT-Sicherheit, Missbrauchserkennung, Server-Logging)

4. Datenerhebung beim Besuch der Website (Landingpage)

Beim Aufruf unserer Website werden durch den Webserver automatisch folgende Daten erhoben:

  • IP-Adresse des anfragenden Rechners
  • Datum und Uhrzeit des Zugriffs
  • Aufgerufene Seite / URL
  • Verwendeter Browser und Betriebssystem (User-Agent)
  • Referrer-URL

Diese Daten werden in Server-Logfiles gespeichert und nach 30 Tagen automatisch gelöscht. Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit und Stabilität des Webauftritts).

Darüber hinaus setzen wir Google Analytics ein (siehe Abschnitt 4a).

4a. Google Analytics

Wir nutzen auf der Landingpage und in der App Google Analytics 4 (GA4), einen Webanalysedienst der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland („Google").

4a.1 Umfang der Verarbeitung

Google Analytics verwendet Cookies und ähnliche Technologien, um Ihr Nutzungsverhalten pseudonymisiert zu analysieren. Dabei werden folgende Daten erhoben:

  • Besuchte Seiten und Verweildauer
  • Gerätetyp, Betriebssystem, Bildschirmauflösung
  • Browser-Typ und -Version
  • Ungefährer Standort (auf Stadt-Ebene, basierend auf anonymisierter IP)
  • Referrer (woher Sie auf unsere Seite gekommen sind)
  • Interaktionen (Klicks, Scrolltiefe, Events)

4a.2 IP-Anonymisierung

Wir setzen Google Analytics mit der IP-Anonymisierung ein. Ihre IP-Adresse wird von Google innerhalb der EU/des EWR gekürzt, bevor sie an Google-Server in den USA übertragen wird. Nur in Ausnahmefällen wird die volle IP-Adresse an einen Server von Google in den USA übertragen und dort gekürzt.

4a.3 Zweck der Verarbeitung

Die Analyse der Nutzungsdaten dient der bedarfsgerechten Gestaltung und fortlaufenden Optimierung unserer Website und App. Die erhobenen Daten werden nicht dazu verwendet, Sie persönlich zu identifizieren.

4a.4 Rechtsgrundlage

Die Verarbeitung erfolgt auf Grundlage Ihrer Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz). Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, indem Sie die Cookie-Einstellungen auf unserer Website anpassen.

4a.5 Empfänger und Drittlandübermittlung

Google kann die erhobenen Daten in die USA übertragen. Google ist unter dem EU-U.S. Data Privacy Framework zertifiziert, sodass ein angemessenes Datenschutzniveau gewährleistet ist.

Weitere Informationen:

4a.6 Speicherdauer

Die von Google Analytics gesetzten Cookies haben eine Laufzeit von bis zu 14 Monaten. Die Löschung der Daten auf Ebene der Berichte erfolgt automatisch nach 26 Monaten.

4a.7 Widerspruch / Opt-Out

Sie können die Erfassung durch Google Analytics verhindern, indem Sie:

  1. Ihre Einwilligung im Cookie-Consent-Banner verweigern oder widerrufen
  2. Das Browser-Add-on zur Deaktivierung von Google Analytics installieren: https://tools.google.com/dlpage/gaoptout
  3. Cookies in Ihrem Browser deaktivieren

5. Registrierung und Benutzerkonto

5.1 Pflichtangaben bei der Registrierung

  • E-Mail-Adresse
  • Passwort (wird ausschließlich als BCrypt-Hash gespeichert, das Klartext-Passwort wird nie gespeichert)

5.2 Optionale Profilangaben

Folgende Angaben können freiwillig im Benutzerprofil hinterlegt werden:

  • Anzeigename
  • Vorname, Nachname
  • Firma
  • Straße, PLZ, Stadt, Land
  • Telefonnummer
  • Bevorzugte Sprache

5.3 E-Mail-Bestätigung

Nach der Registrierung wird eine Bestätigungs-E-Mail an die angegebene Adresse gesendet. Der Bestätigungstoken ist 48 Stunden gültig.

5.4 Rechtsgrundlage und Speicherdauer

Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Die Daten werden bis zur Löschung des Benutzerkontos gespeichert.

6. Authentifizierung und Sicherheit

6.1 Token-basierte Authentifizierung

Zur sicheren Authentifizierung verwenden wir ein tokenbasiertes System:

  • Access-Token (JWT): Gültigkeit 15 Minuten, wird nur im Arbeitsspeicher des Browsers gehalten
  • Refresh-Token: Gültigkeit 30 Tage, wird im localStorage des Browsers sowie als HttpOnly-Cookie gespeichert

6.2 Erhebung von IP-Adresse und Geräteinformationen

Bei jedem Login und jeder Token-Erneuerung speichern wir:

  • IP-Adresse des Nutzers
  • User-Agent (Browser-/Gerätekennung)

Diese Daten werden gemeinsam mit dem Refresh-Token in unserer Datenbank gespeichert. Zweck: Erkennung von Missbrauch und unbefugtem Zugriff. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit der Nutzerkonten). Speicherdauer: Refresh-Tokens und zugehörige Daten werden nach Ablauf (30 Tage) oder bei Widerruf gelöscht.

6.3 Geräteerfassung (App-Logins)

Bei der Nutzung unserer Android-/TV-App werden bei jedem Login folgende Gerätedaten erfasst und in unserer Datenbank gespeichert:

  • Geräte-ID (Android-ID): Einmalige, gerätegebundene Kennung zur Wiedererkennung des Geräts
  • Gerätename (Hersteller und Modell, z. B. „Samsung Galaxy S24")
  • MAC-Adresse der aktiven Netzwerkschnittstelle (sofern verfügbar)
  • IP-Adresse zum Zeitpunkt des Logins
  • User-Agent (Betriebssystem- und App-Kennung)

Pro Gerät wird genau ein Eintrag gespeichert (identifiziert über Benutzer-ID + Geräte-ID). Bei erneutem Login desselben Geräts wird der bestehende Eintrag aktualisiert (Zeitstempel, IP-Adresse etc.), nicht dupliziert.

Zweck: Übersicht über genutzte Geräte für den Nutzer und den technischen Support, Erkennung unbefugter Zugriffe.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit der Nutzerkonten).
Speicherdauer: Bis zur Löschung des Benutzerkontos (CASCADE-Löschung).

7. Zwei-Faktor-Authentifizierung (2FA)

Nutzer können optional eine Zwei-Faktor-Authentifizierung per TOTP (Time-based One-Time Password) aktivieren. Dabei werden folgende Daten verarbeitet:

  • TOTP-Secret (zur Generierung der Einmalcodes)
  • Recovery-Codes (10 Einmal-Wiederherstellungscodes)
  • Device-Token (HttpOnly-Cookie, 90 Tage Gültigkeit) — ermöglicht das Überspringen der 2FA auf vertrauenswürdigen Geräten

Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Kontosicherheit).

8. Cookies und localStorage

Wir verwenden technisch notwendige Cookies und localStorage-Einträge sowie – mit Ihrer Einwilligung – Analyse-Cookies (Google Analytics). Ein Cookie-Consent-Banner wird beim ersten Besuch angezeigt.

8.1 Technisch notwendige Cookies

CookieZweckLaufzeitTyp
refreshTokenAuthentifizierung30 TageHttpOnly, Secure, SameSite=Strict
deviceToken2FA-Geräteerkennung90 TageHttpOnly, Secure, SameSite=Strict
cookie_consentSpeichert Ihre Cookie-Einstellungen12 MonateTechnisch notwendig

8.2 Analyse-Cookies (nur mit Einwilligung)

CookieZweckLaufzeitAnbieter
_gaUnterscheidung von Nutzern14 MonateGoogle
_ga_<ID>Sitzungsstatus14 MonateGoogle

8.3 localStorage

SchlüsselZweckInhalt
m3u_refresh_tokenAuthentifizierungRefresh-Token
m3u_user_cacheOffline-VerfügbarkeitBenutzer-ID, E-Mail, Anzeigename, Rolle, Sprache

Diese Daten werden beim Logout gelöscht.

9. Zahlungsabwicklung über PayPal

Für die Abwicklung von Premium-Abonnements nutzen wir den Zahlungsdienst PayPal.

Anbieter: PayPal (Europe) S.à r.l. et Cie, S.C.A., 22-24 Boulevard Royal, L-2449 Luxembourg

9.1 Ablauf der Zahlung

Bei einer Zahlung werden Sie zu PayPal weitergeleitet. Die Zahlungsabwicklung erfolgt direkt bei PayPal. Wir erhalten nach Abschluss der Zahlung folgende Daten von PayPal:

  • PayPal-Bestell-ID (Order-ID)
  • E-Mail-Adresse des PayPal-Kontos
  • Vorname und Nachname
  • Land
  • Lieferadresse (sofern bei PayPal hinterlegt)
  • Zahlungsbetrag und Währung

9.2 Speicherung

Diese Daten werden in unserer Datenbank gespeichert und dem Benutzerkonto zugeordnet. Sofern im Benutzerprofil noch keine Adressdaten hinterlegt sind, werden die von PayPal übermittelten Adressdaten automatisch in das Profil übernommen.

9.3 Rechtsgrundlage und Speicherdauer

  • Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
  • Speicherdauer: Zahlungsdaten werden gemäß den gesetzlichen Aufbewahrungsfristen für 10 Jahre aufbewahrt (§ 147 AO, § 257 HGB)

Datenschutzerklärung von PayPal: https://www.paypal.com/de/webapps/mpp/ua/privacy-full

10. Playlist-Verwaltung und Hosting

10.1 Speicherung von Playlists

Vom Nutzer erstellte oder importierte Playlists werden als Dateien auf unserem Server gespeichert. Diese enthalten:

  • Playlist-Metadaten (Name, Beschreibung, Gruppen)
  • Kanaleinträge (Name, URL, Logo-URL, Gruppenname)

10.2 Öffentliches Hosting (Premium-Funktion)

Premium-Nutzer können Playlists öffentlich hosten. Dabei werden statische Dateien generiert, die über öffentliche URLs ohne Authentifizierung abrufbar sind. Wir erfassen bei jedem Abruf einen Download-Zähler (ohne personenbezogene Daten der Abrufenden).

10.3 Rechtsgrundlage und Speicherdauer

  • Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
  • Speicherdauer: Bis zur Löschung der Playlist oder des Benutzerkontos

11. Stream-Check und Auto-Sync

11.1 Stream-Check

Nutzer können die Erreichbarkeit ihrer Streams prüfen lassen. Dabei sendet unser Server HTTP-Anfragen an die vom Nutzer konfigurierten Stream-URLs. Es werden lediglich die HTTP-Header gelesen, kein Inhalt heruntergeladen.

11.2 Auto-Sync

Nutzer können externe M3U-Quellen konfigurieren, die automatisch synchronisiert werden (täglich um 03:00 UTC). Unser Server ruft dabei die vom Nutzer hinterlegten URLs ab.

11.3 Xtream API

Bei Playlists mit Xtream-API-Unterstützung werden automatisch Account-Informationen (Ablaufdatum, Status, maximale Verbindungen) vom Xtream-Server abgerufen.

Hinweis: Bei Stream-Check, Auto-Sync und Xtream-API werden die vom Nutzer konfigurierten URLs kontaktiert. Wir haben keinen Einfluss auf die Datenverarbeitung durch diese Drittserver.

12. EPG-Daten (Elektronische Programmführer)

Unser Dienst ruft automatisch EPG-Daten von folgenden öffentlichen Quellen ab:

  • iptv-org (via GitHub)
  • epg.pw

Diese Abrufe erfolgen zweimal täglich (06:00 und 18:00 UTC) und enthalten keine personenbezogenen Daten unserer Nutzer. Die EPG-Daten dienen ausschließlich der Anzeige von TV-Programminformationen.

13. E-Mail-Versand

Wir versenden E-Mails ausschließlich für folgende Zwecke:

  • Bestätigung der E-Mail-Adresse bei Registrierung
  • Bestätigung bei Änderung der E-Mail-Adresse
  • Passwort-Zurücksetzung
  • Bestätigung des Premium-Zugangs (Vertragsbestätigung)
  • Kündigungsbestätigung
  • Entscheidung über außerordentliche Kündigung

Der E-Mail-Versand erfolgt über unseren eigenen SMTP-Server (s14.peppertools.de). Es werden keine E-Mail-Marketing-Dienste oder Newsletter-Anbieter eingesetzt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

14. Server-Logging

Unser API-Server protokolliert technische Ereignisse mittels Serilog in Logdateien. Protokolliert werden unter anderem:

  • Registrierungen und Login-Versuche (E-Mail-Adresse, kein Passwort)
  • Token-Erneuerungen
  • E-Mail-Versand (Empfänger, Betreff)
  • Zahlungsvorgänge (Benutzer-ID, Plantyp, Bestell-ID)
  • Stream-Check- und Sync-Operationen
  • Fehlermeldungen und Exceptions

Speicherdauer: Logdateien werden automatisch nach 30 Tagen gelöscht (Rolling File).
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Fehlerbehebung und Sicherheit)

15. Admin-Zugriff (Impersonation)

Zu Zwecken des technischen Supports kann der Administrator sich in ein Benutzerkonto einloggen (Impersonation). Dieser Zugriff wird im System protokolliert:

  • Im JWT-Token wird der Claim impersonated_by gesetzt
  • Der User-Agent wird als admin-impersonate:{adminId} markiert

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effektivem technischen Support)

16. Empfänger und Drittstaatentransfer

16.1 Hosting-Anbieter (Auftragsverarbeiter)

Unser Server wird gehostet bei:

WIIT AG
Joachim-Erwin-Platz 3
40212 Düsseldorf

Mit der WIIT AG besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO. Der Server steht in Deutschland.

16.2 PayPal

Zur Zahlungsabwicklung werden Daten an PayPal übermittelt (siehe Abschnitt 9). PayPal verarbeitet Daten ggf. auch in den USA. Die Übermittlung erfolgt auf Grundlage von Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO).

16.3 Keine weiteren Empfänger

Darüber hinaus werden personenbezogene Daten nicht an Dritte weitergegeben, es sei denn, wir sind gesetzlich dazu verpflichtet (z. B. auf Anfrage von Strafverfolgungsbehörden).

17. Speicherdauer im Überblick

DatenkategorieSpeicherdauer
Benutzerkonto und ProfildatenBis zur Kontolöschung
Passwort-HashBis zur Kontolöschung
Refresh-Tokens (inkl. IP, User-Agent)30 Tage bzw. bei Widerruf
Gerätedaten (App-Logins)Bis zur Kontolöschung
Device-Tokens (2FA)90 Tage
TOTP-Secret und Recovery CodesBis zur Deaktivierung der 2FA oder Kontolöschung
Zahlungsdaten / Abo-Historie10 Jahre (gesetzliche Aufbewahrungspflicht)
Playlists und DateienBis zur Löschung durch den Nutzer oder Kontolöschung
Server-Logfiles30 Tage (Rolling)
Cookies (refreshToken)30 Tage
Cookies (deviceToken)90 Tage
localStorageBis zum Logout oder manueller Löschung

18. Ihre Rechte als betroffene Person

Sie haben gemäß DSGVO folgende Rechte:

18.1 Auskunftsrecht (Art. 15 DSGVO)

Sie haben das Recht, Auskunft über Ihre bei uns gespeicherten personenbezogenen Daten zu verlangen.

18.2 Recht auf Berichtigung (Art. 16 DSGVO)

Sie haben das Recht, unrichtige personenbezogene Daten berichtigen zu lassen.

18.3 Recht auf Löschung (Art. 17 DSGVO)

Sie haben das Recht, die Löschung Ihrer personenbezogenen Daten zu verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Kontolöschung

Sie können Ihr Benutzerkonto jederzeit selbstständig über die Kontoeinstellungen in der App löschen. Der Löschvorgang umfasst folgende Schritte:

  1. Identitätsprüfung: Eingabe Ihres Passworts sowie ggf. Ihres 2FA-Codes
  2. Bestätigungs-E-Mail: Nach erfolgreicher Prüfung erhalten Sie eine E-Mail mit einem Bestätigungslink (24 Stunden gültig)
  3. Endgültige Löschung: Durch Klick auf den Link wird Ihr Konto unwiderruflich gelöscht

Bei der Löschung werden folgende Daten entfernt:

  • Benutzerprofil (E-Mail, Name, Adresse, Telefon, Passwort-Hash)
  • Alle Playlists und zugehörige Dateien auf dem Server
  • Authentifizierungs-Tokens (Refresh-Tokens, Device-Tokens)
  • Registrierte Geräte (Geräte-ID, Gerätename, MAC-Adresse, IP-Adresse)
  • 2FA-Daten (TOTP-Secret, Recovery Codes)
  • Synchronisationsquellen und -protokolle
  • EPG-Favoriten und benutzerdefinierte Kanallisten
  • Gehostete Playlists und EPG-Dateien

Nicht gelöscht werden (gesetzliche Aufbewahrungspflicht):

  • Zahlungsdaten und Abonnement-Historie (10 Jahre gemäß § 147 AO / § 257 HGB). Diese Daten werden anonymisiert und sind Ihrem gelöschten Konto nicht mehr zuordenbar.

Hinweis zu Premium-Abonnements: Bei Löschung eines Kontos mit aktivem Premium-Abonnement verfällt die verbleibende Laufzeit ersatzlos. Eine Erstattung oder Übertragung auf ein anderes Konto ist nicht möglich.

18.4 Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

Sie haben das Recht, die Einschränkung der Verarbeitung Ihrer Daten zu verlangen.

18.5 Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Sie haben das Recht, Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten.

18.6 Widerspruchsrecht (Art. 21 DSGVO)

Sie haben das Recht, der Verarbeitung Ihrer personenbezogenen Daten zu widersprechen, soweit die Verarbeitung auf Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) beruht.

18.7 Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO)

Soweit die Verarbeitung auf einer Einwilligung beruht, können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen.

18.8 Beschwerderecht bei einer Aufsichtsbehörde (Art. 77 DSGVO)

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Die für uns zuständige Aufsichtsbehörde ist:

Die Landesbeauftragte für den Datenschutz Niedersachsen
Prinzenstraße 5
30159 Hannover
Telefon: 0511 120-4500
E-Mail: poststelle@lfd.niedersachsen.de
Website: https://www.lfd.niedersachsen.de

19. Pflicht zur Bereitstellung von Daten

Die Bereitstellung der E-Mail-Adresse und eines Passworts ist für die Registrierung und Nutzung des Dienstes erforderlich. Ohne diese Daten kann kein Benutzerkonto erstellt werden.

Alle weiteren Profilangaben (Name, Adresse, Telefon etc.) sind freiwillig und für die Nutzung des Dienstes nicht zwingend erforderlich.

Bei einer Zahlung über PayPal ist die Bereitstellung der Zahlungsdaten erforderlich für die Vertragserfüllung (Premium-Abonnement).

20. Keine automatisierte Entscheidungsfindung

Es findet keine automatisierte Entscheidungsfindung oder Profiling im Sinne von Art. 22 DSGVO statt.

21. Aktualität und Änderung dieser Datenschutzerklärung

Diese Datenschutzerklärung ist aktuell gültig und hat den Stand März 2026.

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder bei Änderungen des Dienstes oder der Datenverarbeitung anzupassen. Die jeweils aktuelle Fassung ist stets unter der URL der Datenschutzerklärung auf unserer Website abrufbar.

Bei Fragen zur Verarbeitung Ihrer personenbezogenen Daten wenden Sie sich bitte an: support@peppertools.de