Transparent erklärt.
Wie wir personenbezogene Daten auf studio.pemediacorp.com verarbeiten. Strukturiert nach Art. 13 und Art. 14 DSGVO.
Stand: 16. Mai 2026
1. Verantwortlicher
Plößl & Ehrl Vertriebs UG (haftungsbeschränkt)Boschstr. 4, 82178 Puchheim, Deutschland
E-Mail: kontakt@pemediacorp.com
Vertretungsberechtigt: Luis Maximilian Plößl, Lorenz Ehrl
2. Datenschutzbeauftragter
Wir sind nicht zur Bestellung eines Datenschutzbeauftragten verpflichtet (§ 38 BDSG), da bei uns weniger als zwanzig Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Bei Fragen zum Datenschutz wende dich an kontakt@pemediacorp.com.
3. Deine Rechte
Du hast jederzeit das Recht auf:
- Auskunft über die zu deiner Person gespeicherten Daten (Art. 15 DSGVO)
- Berichtigung unrichtiger Daten (Art. 16 DSGVO)
- Löschung deiner Daten (Art. 17 DSGVO)
- Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Datenübertragbarkeit (Art. 20 DSGVO)
- Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
- Widerruf erteilter Einwilligungen (Art. 7 Abs. 3 DSGVO)
- Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO)
Zuständige Aufsichtsbehörde für unseren Sitz: Bayerisches Landesamt für Datenschutzaufsicht (BayLDA), Promenade 18, 91522 Ansbach.
3.1 Keine automatisierte Entscheidung im Einzelfall (Art. 22 DSGVO)
Wir treffen keine ausschließlich auf einer automatisierten Verarbeitung beruhenden Entscheidungen, die dir gegenüber rechtliche Wirkung entfalten oder dich in ähnlicher Weise erheblich beeinträchtigen (Art. 22 DSGVO). Eine Profilbildung im Sinne von Art. 4 Nr. 4 DSGVO findet nicht statt. Marketing-Pixel werden nur nach deiner ausdrücklichen Einwilligung für aggregierte Reichweiten- und Conversion-Messung eingesetzt und nicht zur automatisierten Entscheidung über deine Person verwendet.
4. Konkrete Verarbeitungen
4.1 Account-Erstellung und Verwaltung
Daten: E-Mail-Adresse, Passwort (Argon2id-gehasht), Zeitstempel der Registrierung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung und Erfüllung).
Empfänger: Auftragsverarbeiter Hetzner Online GmbH, Gunzenhausen (EU). Ein AV-Vertrag liegt vor.
Speicherdauer: Bis zur Kündigung des Accounts zzgl. 30 Tage Wiederherstellungsfrist. Danach Löschung, soweit keine gesetzlichen Aufbewahrungspflichten (etwa § 147 AO) entgegenstehen.
4.2 E-Mail-Verifikation (sechsstelliger Code)
Daten: E-Mail-Adresse, kurzlebiger Verifikationscode (10 Min TTL), Versandstatus.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse: Bestätigung der Email-Inhaberschaft).
Empfänger: Eigener Mail-Server auf Hetzner-Infrastruktur (EU). Codes verlassen unsere Systeme nicht.
Speicherdauer: Codes werden nach Verifikation oder Ablauf sofort gelöscht. Mail-Versand-Logs 30 Tage.
4.3 Session-Management via HttpOnly-Cookie
Daten: Opaker Session-Token im Cookie psp_session. Ohne Datenbank-Zugriff nicht personenbeziehbar.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO sowie § 25 Abs. 2 Nr. 2 TDDDG (technisch unbedingt erforderlich).
Speicherdauer: 30 Tage rolling, nach Logout sofort gelöscht.
4.4 Lizenzverwaltung der Pemediacorp-Software
Daten: Lizenz-Key, Device-ID (Hash aus Hardware-Fingerprint), letzte Aktivierungs-IP, Aktivierungs-Zeitstempel.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Empfänger: Eigener License-Server (lizenz.pemediacorp.com) auf Hetzner-Infrastruktur in der EU.
Speicherdauer: Während der Vertragslaufzeit. Nach Kündigung 30 Tage Recovery, danach anonymisiert (der Hash bleibt bestehen, um Doppelaktivierungen zu vermeiden).
4.5 Bezahlung über Stripe
Sobald wir den Bezahlvorgang aktivieren, leiten wir dich für die eigentliche Zahlung auf eine von Stripe gehostete Checkout-Seite weiter.
Daten: Name, Anschrift, E-Mail-Adresse, Zahlungsmittel-Daten (von Stripe selbst erhoben, wir sehen nur eine Maskierung), Rechnungsbetrag, sowie die Bestätigungen zu AGB und Widerrufsbelehrung mit Zeitstempel (als Metadaten der Zahlungs-Session zum Nachweis der Vertragsanbahnung).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), für die Beweissicherung zusätzlich Art. 6 Abs. 1 lit. f DSGVO i.V.m. Art. 5 Abs. 2 DSGVO (Rechenschaftspflicht).
Empfänger: Für EU-Kunden Stripe Payments Europe Ltd., Dublin, Irland. Für interne Konzern-Datenflüsse Stripe Inc., San Francisco, USA (DPF-zertifiziert).
Rolle: Stripe ist für die Zahlungsabwicklung im eigenen Verantwortungsbereich gemäß Art. 4 Nr. 7 DSGVO eigenständig Verantwortlicher (Fraud-Prevention, Geldwäsche-Compliance, eigene Customer-Records). Für die uns zugerechneten Verarbeitungen liegt eine Auftragsverarbeitung gemäß Art. 28 DSGVO vor (Stripe DPA).
Drittlandtransfer: Ja. Abgesichert über DPF und SCCs.
Speicherdauer: Rechnungsdaten 10 Jahre gemäß § 147 AO.
4.6 Konto-Profildaten (Name, Anschrift, Firma, USt-IdNr., Telefon)
Wenn du ein Konto bei uns hast, kannst du unter /account/profile und /account/billing deine Rechnungsadresse und persönlichen Daten hinterlegen.
Daten: Vorname, Nachname, ggf. Firma, ggf. USt-IdNr., Straße + Hausnummer, PLZ, Stadt, Land, ggf. Telefon, Stripe-Customer-ID zur Verknüpfung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. c DSGVO i.V.m. §§ 14, 14a UStG, § 147 AO (steuerrechtliche Aufbewahrungspflichten für Rechnungsstellung).
Empfänger: Hetzner Online GmbH (EU, Auftragsverarbeiter) für die Datenhaltung. Zusätzlich werden Name und Adresse bei Änderung an Stripe Payments Europe Ltd. (Irland) übertragen, damit deine Rechnungen korrekt ausgestellt werden können.
Speicherdauer: Während der Vertragslaufzeit, danach 10 Jahre gemäß § 147 AO für rechnungsrelevante Daten. Nicht rechnungsrelevante Profildaten werden 30 Tage nach Konto-Schließung gelöscht.
4.7 Reichweitenmessung mit Umami (analytics.pemediacorp.com)
Mit deiner Einwilligung (Cookie-Banner, Kategorie „Statistik") setzen wir unseren eigenen Umami-Server zur Reichweitenmessung ein. Umami ist Open Source (MIT-Lizenz) und läuft ausschließlich auf unserer Hetzner- Infrastruktur in der EU. Es findet keine Übertragung an Dritte statt.
Daten: Pseudonyme Besucher-ID (Umami), IP-Hash (mit täglich rotierendem Salt, der Roh-Wert wird nie gespeichert), User-Agent, Referrer, Seiten-URL, Verweildauer. Zusätzlich setzen wir nach deiner Einwilligung den Cookie studio_session_id (zufällige UUID, 30 Tage Laufzeit) zur Verknüpfung mehrerer Besuche desselben Browsers.
Custom Events: Wir messen ausgewählte Konversions- Ereignisse: tier_clicked, checkout_started, checkout_completed, signup_completed, psp_video_played. Diese helfen uns, das Produktangebot zu verbessern. Es findet keine Verknüpfung mit deiner User-ID statt.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO und § 25 Abs. 1 TDDDG (Einwilligung). Du kannst deine Einwilligung jederzeit widerrufen, ohne dass die Rechtmäßigkeit der vorherigen Verarbeitung berührt wird (Footer-Link „Cookie-Einstellungen" oder unter /account/cookies).
Empfänger: Keine. Der Umami-Server läuft auf unserer eigenen Infrastruktur.
Speicherdauer: Aggregierte Analytics-Daten 12 Monate, IP-Hash 1 Tag, Session-Cookie 30 Tage.
4.8 Cookie-Consent-Verwaltung und Nachweispflicht
Wir protokollieren deine Cookie-Wahl, um unserer Nachweispflicht aus Art. 7 Abs. 1 DSGVO gerecht zu werden.
Daten: Anonyme Browser-UUID (studio_anon_id) oder deine User-ID, falls eingeloggt; gewählte Kategorien (necessary / functional / analytics / marketing); Consent-Version; IP-Hash (täglich rotierender Salt); User-Agent; Zeitstempel.
Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO i.V.m. Art. 7 Abs. 1 DSGVO (Nachweispflicht) und § 25 TDDDG.
Empfänger: Hetzner Online GmbH (EU, Auftragsverarbeiter).
Speicherdauer: Aktive Einwilligung plus 3 Jahre zur Verteidigung gegen mögliche Bußgeld-Forderungen, danach anonymisierte Löschung.
4.9 Server-Logfiles
Daten: IP-Adresse (bereits beim Logging anonymisiert: letzter Oktet auf 0 bei IPv4, /48-Präfix bei IPv6), Zeitstempel, URL, Referrer, User-Agent, HTTP-Status.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse: IT-Sicherheit und Fehleranalyse).
Empfänger: Keine Weitergabe, rein intern.
Speicherdauer: 14 Tage rolling.
4.10 Marketing-Pixel (nur nach expliziter Einwilligung)
Mit deiner Zustimmung zur Kategorie „Marketing" laden wir Drittanbieter- Tracking-Pixel, um den Erfolg unserer Werbeanzeigen zu messen und Zielgruppen-Listen für Remarketing aufzubauen. Ohne deine Zustimmung werden weder Skripte noch Daten an diese Anbieter übertragen. Du kannst deine Wahl jederzeit unter /account/cookies oder über den Footer-Link „Cookie-Einstellungen" widerrufen.
Gemeinsame Aspekte aller vier Pixel: Rechtsgrundlage ist Art. 6 Abs. 1 lit. a DSGVO und § 25 Abs. 1 TDDDG (Einwilligung). Der Conversion-Wert (Tier-Preis in EUR) wird beim erfolgreichen Kaufabschluss übermittelt. Drittlandtransfer in die USA, abgesichert über EU-US Data Privacy Framework (alle vier Anbieter sind DPF- zertifiziert) und Standardvertragsklauseln nach Art. 46 DSGVO.
4.10.1 Google Ads (gtag.js)
Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland (EU-Datenflüsse); Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA (Konzern-Daten).
Daten: Pseudonyme Cookie-ID, IP-Adresse (Google anonymisiert das letzte Oktet), Klick-Quell-URL, Browser-/Device-Daten, Conversion-Ereignisse (Kauf inkl. Wert in EUR und Tier).
Auftragsverarbeitung: AVV nach Art. 28 DSGVO über Googles „Datenverarbeitungsbedingungen für Werbung". Speicherdauer 30 Tage bis 18 Monate je nach Kampagnen-Konfiguration.
4.10.2 Meta Pixel (Facebook + Instagram)
Anbieter: Meta Platforms Ireland Limited, 4 Grand Canal Square, Dublin 2, Irland; Meta Platforms Inc., USA.
Daten: Pseudonyme Browser-ID, IP-Adresse, Seiteninteraktionen (PageView, Purchase mit Wert in EUR und Tier-Bezeichnung). Meta verknüpft diese mit deinem Facebook- oder Instagram-Account, sofern du dort eingeloggt bist.
Rolle: Gemeinsam Verantwortliche (Art. 26 DSGVO) für die Erhebung über das Pixel. Vereinbarung ist das Meta-Controller-Addendum. Speicherdauer 180 Tage rolling (Meta-Default).
4.10.3 LinkedIn Insight Tag
Anbieter: LinkedIn Ireland Unlimited Company, Wilton Place, Dublin 2, Irland; LinkedIn Corporation, USA (Tochter von Microsoft).
Daten: Pseudonyme Cookie-ID, IP-Adresse, Seiten-URL, Zeitstempel, Browser-/Device-Daten, Conversion-Events. Bei eingeloggten LinkedIn-Nutzern Verknüpfung mit dem LinkedIn-Profil möglich.
Speicherdauer: 90 Tage Pixel-Daten, 180 Tage Matched-Audience-Listen (LinkedIn-Default).
4.10.4 Reddit Pixel
Anbieter: Reddit, Inc., 548 Market St #16093, San Francisco, CA 94104, USA. Reddit hat keinen eigenständigen EU-Betriebssitz; Datenverarbeitung erfolgt in den USA.
Daten: Pseudonyme Browser-ID, IP-Adresse, Seiten-URL, Zeitstempel, Browser-/Device-Daten, PageVisit- und Purchase-Events. Bei eingeloggten Reddit-Nutzern Verknüpfung mit dem Reddit-Profil möglich.
Speicherdauer: 180 Tage Pixel-Daten (Reddit-Default).
5. Übersicht eingesetzter Cookies und Local-Storage-Einträge
Wir setzen folgende Cookies bzw. browsereigene Speichermechanismen ein:
psp_session: HttpOnly-Session-Cookie nach Login. Technisch notwendig (§ 25 Abs. 2 Nr. 2 TDDDG). Laufzeit 30 Tage rolling.studio_consent_v1: Speicherung deiner Cookie-Wahl. Technisch notwendig (§ 25 Abs. 2 Nr. 2 TDDDG). Laufzeit 12 Monate.studio_anon_id: Anonyme Browser-UUID zur Verkettung deiner Cookie-Wahl im Audit-Log. Technisch notwendig (Art. 7 Abs. 1 DSGVO). Laufzeit 24 Monate.studio_session_id: Analytics-Session-Cookie für Umami, wird nur nach deiner Einwilligung in der Kategorie „Statistik" gesetzt. Laufzeit 30 Tage.- Stripe setzt auf der gehosteten Checkout-Domain
checkout.stripe.comeigene Cookies für die Zahlungsabwicklung und Bot-Erkennung. Diese unterliegen der Datenschutzerklärung von Stripe und gelten nicht für unsere Domain.
Du kannst deine Cookie-Wahl jederzeit ändern oder vollständig widerrufen, über den Link „Cookie-Einstellungen" in der Fußzeile oder unter /account/cookies.
6. Schriften (Self-Hosting)
Wir verwenden die Schriften Instrument Sans, Bricolage Grotesque und JetBrains Mono. Diese werden ausschließlich von unserem eigenen Server ausgeliefert (Build-Time-Bundling über Next.js). Es findet keine Verbindung zu Google Fonts statt.
7. Kontaktaufnahme per Mail
Wenn du uns per Mail kontaktierst, verarbeiten wir deine Mail-Adresse und den Inhalt zur Bearbeitung deiner Anfrage. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Kommunikation). Speicherdauer: bis zum Abschluss der Konversation, danach handelsrechtliche Aufbewahrungsfristen.
8. Änderungen dieser Erklärung
Wir passen diese Datenschutzerklärung an, wenn wir neue Funktionen einführen oder sich die Rechtslage ändert. Die jeweils aktuelle Version findest du immer hier unter /datenschutz.