Rechtlich verbindlich ist die französische Fassung dieses Dokuments. Diese deutsche Fassung ist eine Übersetzung als Service.
Zuletzt aktualisiert: 2026-07-07
Datenschutzerklärung — Tivera
Version: 2.1 — ENTWURF vor Play Store v1.0 (Modell Free + Premium) Datum des Inkrafttretens: 2026-07-07 Referenzsprache: Französisch — Gerichtsbarkeit des Verantwortlichen: Marokko (Gesetz 09-08, Aufsichtsbehörde CNDP; die DSGVO gilt extraterritorial — Art. 3.2 — für Nutzer mit Wohnsitz in der EU/EWR/UK) Herausgeber: Mitchou, natürliche Person nach marokkanischem Recht (unabhängiger Herausgeber). Anschrift: Tralles, rue Essanaouabar, Casablanca, Marokko.
⚠️ Entwurf, der vor der endgültigen Veröffentlichung von einem Anwalt zu prüfen ist (Datenschutz: Gesetz 09-08 / CNDP + DSGVO/ePrivacy). Maßgeblich ist die französische Fassung; die anderen Sprachen sind Übersetzungen aus Gefälligkeit.
TL;DR
Tivera ist ein IPTV-Player nach dem BYOC-Prinzip (Bring Your Own Content) für Android (Mobil + TV). Du importierst deine eigenen Streams (M3U / Xtream Codes / EPG XMLTV); wir hosten keinerlei Inhalte.
- Zu kommerziellen Zwecken erhobene personenbezogene Daten: keine. Kein Weiterverkauf, kein Datenhandel.
- Diagnose-Telemetrie (Absturzberichte + anonymisierte Nutzungsstatistiken + Leistungsprotokoll): wird ausschließlich an unseren eigenen selbstgehosteten Server (
api.tivera.tv) gesendet, niemals an Dritte. Firebase Crashlytics und Firebase Analytics wurden entfernt — es werden keine Absturz- oder Analysedaten mehr an Google gesendet. Außerhalb der EU/des EWR/UK ist dieser Kanal standardmäßig aktiv (berechtigtes Interesse) und jederzeit deaktivierbar (Einstellungen → Datenschutz → Diagnosedaten). In der EU/im EWR/UK bleibt er deaktiviert, bis du ausdrücklich einwilligst. - Weitergabe an Dritte: ausschließlich Google AdMob (Free-Modus: Werbung, Werbe-ID AAID) und Google Play Billing (Premium-Modus: Zahlung des Abonnements). Die Premium-Cloud-Synchronisierung (Profile/Favoriten/Verlauf) geht an unseren selbstgehosteten Server, nicht an Dritte.
- Verschlüsselte lokale Speicherung: SQLCipher AES-256 + Google Tink AEAD (Xtream-Zugangsdaten).
- Kein Konto erforderlich, um deine Streams anzusehen. Ein Konto ist nur für Premium / die Cloud-Synchronisierung / die Geräteverwaltung erforderlich.
1. Verantwortlicher für die Verarbeitung (DSGVO Art. 13.1.a)
| Feld | Wert |
|---|---|
| Herausgeber | Mitchou (natürliche Person nach marokkanischem Recht, unabhängiger Herausgeber) |
| Handelsname der App | Tivera |
| Android-Paket | com.mitchou.tivera |
| E-Mail allgemeiner Kontakt | contact@tivera.tv |
| E-Mail Datenschutz | privacy@tivera.tv |
| E-Mail DMCA | dmca@tivera.tv (vgl. DMCA-Richtlinie) |
| Postanschrift | Tralles, rue Essanaouabar, Casablanca, Marokko |
| Förmlicher DSB | Nicht erforderlich (DSGVO Art. 37: unabhängiger Herausgeber, < 250 Beschäftigte, keine umfangreiche Verarbeitung sensibler Daten) |
| EU-Vertreter (DSGVO Art. 27) | Wird derzeit benannt vor der allgemeinen Einführung in der EU. In der Zwischenzeit üben die Einwohner der EU/des EWR alle ihre Rechte unmittelbar beim Herausgeber unter privacy@tivera.tv aus; die Kontaktdaten des Vertreters werden hier und in der App veröffentlicht, sobald er benannt ist. |
| Anwendbare Gerichtsbarkeit | Marokko — Gesetz 09-08 über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, unter der Aufsicht der CNDP. Die DSGVO (EU 2016/679) gilt extraterritorial (Art. 3.2) für Nutzer aus der EU/dem EWR/UK. |
Zugesagte Antwortfrist auf jede DSGVO-/CCPA-Anfrage: 30 Tage (DSGVO Art. 12.3) / 45 Tage (CCPA).
2. Art der Anwendung (DSGVO Art. 13.1.c)
Tivera ist ein generischer IPTV-Player nach dem BYOC-Prinzip, der über den Google Play Store (und den direkten Download der APK) vertrieben wird.
2.1 Was Tivera IST
- Ein Player für Multimedia-Streams (Video / Audio), die du selbst mitbringst.
- Ein lokaler Organisator deiner Quellen (M3U-URL, Xtream-Codes-API-Zugangsdaten, EPG-XMLTV-URL).
- Ein lokales Diagnosewerkzeug (Quality Scanner) + ein lokaler Rekorder (DVR) auf deine Anforderung hin.
- Verfügbar in zwei Stufen: Free (mit Werbung) oder Premium (per Abonnement, ohne Werbung, mit zusätzlichen Funktionen).
2.2 Was Tivera NICHT IST
- Kein Dienst zur Inhaltsverbreitung (keine vorinstallierten Sender, kein Katalog).
- Kein algorithmischer Empfehlungsdienst.
- Kein Dienst zur Speicherung von Inhalten. Die Premium-Cloud-Synchronisierung (Profile, Favoriten, Verlauf, ausgewählte Einstellungen) nutzt unseren eigenen selbstgehosteten Server
api.tivera.tvund synchronisiert nur leichtgewichtige Metadaten (Profilbezeichnung, Avatar, Kinder-Kennzeichen, verschlüsselte PIN, opake Inhaltskennungen) — niemals deine Streams oder die Zugangsdaten deiner Quellen. - Kein technischer Vermittler: Du kommunizierst direkt mit dem von dir gewählten Server.
Du allein bist verantwortlich für die Streams, die du importierst, und für deren Übereinstimmung mit dem geltenden Urheberrecht (vgl. Nutzungsbedingungen + DMCA-Richtlinie).
2.3 Unterschiede Free vs. Premium bei den Daten
| Aspekt | Free | Premium |
|---|---|---|
| Standardmäßig erhobene Daten | Keine | Keine |
| AdMob-Werbung (Banner + Native + Rewarded) | Ja (Geschäftsmodell) | Nein |
| AAID (Android-Werbe-ID) von AdMob/Google gelesen | Ja (durch Google Play Services verwaltet) | Nein |
| UMP-SDK (Werbeeinwilligung EU/DSGVO) | Ja (beim 1. Start in der EU) | Nicht anwendbar |
Selbstgehostete Diagnose-Telemetrie (api.tivera.tv) | Außerhalb der EU: standardmäßig aktiv (Opt-out) · EU/EWR/UK: Opt-in | Identisch |
| Firebase Analytics / Crashlytics | Entfernt (nicht mehr verwendet) | Entfernt |
| Play Billing (Kauftoken) | Nicht anwendbar | Ja |
3. Verarbeitete Daten
3.1 Vom Nutzer eingegebene Daten — ausschließlich lokal gespeichert
Alle diese Daten verbleiben auf deinem Gerät. Keine davon wird bei normaler Nutzung an Mitchou oder an Dritte übermittelt.
- M3U-URL / Playlist: SQLCipher AES-256. Wiedergabe deiner Streams. Rechtsgrundlage DSGVO 6.1.b (Vertragserfüllung). Dauer: bis zur manuellen Löschung / Deinstallation.
- Xtream-Codes-Zugangsdaten (Host, User, Passwort): Google Tink AEAD (Hauptschlüssel Android Keystore TEE/StrongBox) zusätzlich zu SQLCipher, AAD an die Quelle gebunden (Schutz vor cell-swap). Verbindung zu deinem Panel. Rechtsgrundlage DSGVO 6.1.b.
- EPG-XMLTV-URL + Zuordnungen zu Sendern: SQLCipher AES-256 (Tink AEAD, falls Basic Auth in der URL). Programmführer. Rechtsgrundlage DSGVO 6.1.b.
- Wiedergabeverlauf (Fortsetzungsposition): SQLCipher AES-256. „Continue Watching". Rechtsgrundlage DSGVO 6.1.b.
- Favoriten: SQLCipher AES-256. UI-Personalisierung. Rechtsgrundlage DSGVO 6.1.b.
- DVR-Aufnahmen (
.ts) + Offline-VOD-Downloads (Premium): Scoped Storage, unverschlüsselt. Zeitversetztes/Offline-Ansehen auf deine Anforderung hin. Rechtsgrundlage DSGVO 6.1.b. - 4-stellige Kinder-PIN: Tink AEAD (AAD
parental-pin-v1). Sperrung von Erwachseneninhalten. Rechtsgrundlage DSGVO 6.1.b. - UI-Präferenzen (Sprache, Design, Qualität): DataStore Proto, nicht sensibel. Rechtsgrundlage DSGVO 6.1.f (berechtigtes Interesse).
3.2 Von der Anwendung automatisch erhobene Daten
- AAID (Android-Werbe-ID): Free = ja, von Google Play Services bei einer AdMob-Einblendung gelesen. Premium = nein.
- IP-Adresse: Die Telemetrie-Nutzlast enthält deine IP-Adresse nicht als Datum. Sie bleibt auf Transportebene für jeden Server sichtbar, der die Anfrage empfängt: (a) der von dir konfigurierte Xtream-/EPG-Server, (b) Google, wenn AdMob im Free-Modus ausgelöst wird, (c) unser Server
api.tivera.tv(+ Cloudflare im Transit), wenn die Telemetrie aktiv ist oder wenn du dein Konto nutzt. Serverseitig gegebenenfalls protokollierte IPs werden nur so lange wie unbedingt nötig zu Sicherheits- und Diagnosezwecken gespeichert und danach gelöscht. - Genaue Standortbestimmung: nein. Ungefähre (aus der IP abgeleitet): nicht durch Tivera (AdMob kann das Land im Free-Modus über die IP ableiten).
- Kontakte / SMS / Anrufe: nein (Berechtigungen nicht deklariert). Mikrofon / Kamera: nein (die Kamera wird nur zum Scannen eines Kopplungs-QR-Codes verwendet, 100 % auf dem Gerät, kein Bild wird übermittelt). IMEI / Seriennummer / MAC: nein.
- Android ID (
Settings.Secure.ANDROID_ID): wird nur gelesen, wenn die Diagnose-Telemetrie aktiv ist (vgl. 3.4), niemals im Klartext übermittelt. Sie dient dazu, durch ein einweg-app-eigenes SHA-256-Hashing eine pseudonyme technische Gerätekennung abzuleiten — pro Gerät stabil: sie übersteht die Neuinstallation der App und das Löschen ihrer Daten (sie wird nur beim Factory-Reset zurückgesetzt), und es ist keine Hardware-Kennung (eine softwareseitige, app-scope Kennung).
3.3 Technische Daten, die zwangsläufig an die von dir konfigurierten Server übermittelt werden
Wenn du ein Xtream-Panel oder eine M3U-/EPG-URL importierst, verlassen deine Anfragen dein Gerät in Richtung des Servers, den du gewählt hast (weder Mitchou noch Tivera). Dieser Server empfängt zwangsläufig deine IP, deine Xtream-Zugangsdaten und deinen User-Agent. Wir haben keinerlei Kontrolle über dessen Datenschutzrichtlinie — sieh sie dir an, bevor du ihm deine Zugangsdaten anvertraust.
3.4 Selbstgehostete Diagnose-Telemetrie (api.tivera.tv)
Zur Behebung von Fehlern und zur Verbesserung der Stabilität erhebt Tivera eine technische Diagnose-Telemetrie, die ausschließlich an unseren selbstgehosteten Server api.tivera.tv gesendet wird (PocketBase, Infrastruktur des Herausgebers, Marokko / CNDP) — niemals an Dritte.
Drei Kanäle: (1) Absturzberichte (crash_reports): Stacktrace + Auszug aus dem technischen Protokoll zum Zeitpunkt des Absturzes; (2) Anonymisierte Nutzungsstatistiken (app_events): Bildschirmaufruf (Route), Sitzungsbeginn, Wiedergabestart — keine URL, kein Sendername; (3) Tägliches Leistungsprotokoll (≤ 125 KB/24 h): interne Messungen (z. B. Kaltstartzeit) + Geräteklasse (Build.MANUFACTURER + MODEL, z. B. „Samsung SM-S911B" — eine Geräteklasse, kein personenbezogenes Datum) + App-/Android-Version + Plattform.
Kennung: Jede Übermittlung ist mit der pseudonymen technischen Gerätekennung verknüpft (vgl. 3.2) — pro Gerät stabil, sie übersteht die Neuinstallation der App und das Löschen der Daten. Das ist nicht deine Identität.
Einwilligungsmodell (geografisch bedingt):
| Region | Standardzustand | Rechtsgrundlage | Wie widerrufen |
|---|---|---|---|
| Außerhalb EU / EWR / UK | Standardmäßig aktiv (Opt-out) | Berechtigtes Interesse (DSGVO Art. 6(1)(f)): interne, minimierte, selbstgehostete Diagnose | Widerspruchsrecht (Art. 21): Einstellungen → Datenschutz → Diagnosedaten: OFF (sofortige Wirkung) |
| EU / EWR / UK | Standardmäßig deaktiviert | Einwilligung (DSGVO Art. 6(1)(a)) — erforderlich, da das Auslesen der ANDROID_ID unter Art. 5(3) der ePrivacy-Richtlinie 2002/58/EG (und deren nationale Umsetzungen) fällt | Ablehnen oder widerrufen (Art. 7(3)) über denselben Schalter |
Der Kanal ist niemals vor dem Age-Gate aktiv (Bestätigung 13+, vgl. § 7). Der Widerruf (Schalter OFF) löscht sofort die ausstehenden, noch nicht übermittelten Sendungen.
Minimierung: Sämtliche Inhalte durchlaufen die Filter SecretRedactor + UrlRedactor clientseitig, vor jeder Übermittlung (URLs, Zugangsdaten, Bearer-Token, IBAN, lange hexadezimale Zeichenketten ≥ 32 Zeichen werden entfernt), die Sender-Kennungen werden gehasht/gekürzt, und die Nutzlast ist auf 125 KB begrenzt.
Niemals übermittelt: kein Name / keine E-Mail / keine Telefonnummer; keine deiner Quellen, Sender oder dein Verlauf; keine AAID; keine Werbung, kein Weiterverkauf.
Auftragsverarbeiter: keiner — api.tivera.tv ist der selbstgehostete Server des Herausgebers, kein Dritter im Sinne von Datenverarbeitung. Cloudflare stellt lediglich den Netzwerktransit + TLS bereit (keine Speicherung). Verschlüsselt bei der Übertragung (HTTPS). Aufbewahrung: 90 Tage (automatische serverseitige Löschung). Dieser Server befindet sich in Marokko (vgl. § 9).
3.5 Firebase Crashlytics / Analytics + GlitchTip/Sentry — ENTFERNT
Firebase Crashlytics, Firebase Analytics und der Kanal GlitchTip/Sentry werden von der App nicht mehr verwendet. Sie werden beim Start in allen Builds zwangsweise abgeschaltet (Debug / Release / Beta). Es werden keine Absturzberichte oder Nutzungsstatistiken mehr zu diesen Zwecken an Google oder an Dritte übermittelt. Die Diagnosefunktion wird nunmehr vollständig durch den in 3.4 beschriebenen selbstgehosteten Kanal wahrgenommen.
Hinweis: Google AdMob (Free — § 3.6) und Google Play Billing (Premium — § 3.7) sind eigenständige Google-Dienste, die von dieser Entfernung nicht betroffen sind; sie bleiben deklariert.
3.6 Google AdMob (nur im Free-Modus)
In der Free-Stufe zeigt die App Werbung über das Google-Mobile-Ads-SDK (AdMob) an. Formate: adaptives Banner 320×50 dp am unteren Bildschirmrand, Native im Browse-Rail, Rewarded (Opt-in) für einen zusätzlichen Scan des Quality Scanner. Keine Werbung auf Android TV / Leanback.
An Google durch das AdMob-SDK übermittelte Daten — im personalisierten Modus (EU-Einwilligung erteilt): AAID, IP, User-Agent, Gerätemodell, Paket + Version, Ad Unit ID, Verlauf der gesehenen Werbung (Häufigkeit), abgeleitete Interessen, frühere Interaktionen. Im nicht personalisierten Modus (Einwilligung verweigert): anonymisierte AAID, IP (grobe Länderausrichtung), User-Agent, Modell, Paket + Version, Ad Unit ID — kein Verlauf, keine Kohorten, keine früheren Interaktionen.
UMP-SDK: Beim 1. in der EU erkannten Start erfasst ein Google-UMP-Dialog deine Einwilligung in personalisierte Werbung (annehmen = personalisiert; ablehnen = nicht personalisiert). Vollständige Deaktivierung von AdMob: Wechsel zu Premium. Kein granularer AdMob-Schalter im Free-Modus (Geschäftsmodell).
Auftragsverarbeiter: Google LLC. Aufbewahrung: gemäß der Google-Richtlinie (typischerweise ~14 Monate für Werbekohorten).
3.7 Google Play Billing (nur im Premium-Modus)
Wenn du die Premium-Stufe abonnierst (Monatsabo 3,99 USD / Jahresabo 24,99 USD mit 7-tägiger kostenloser Testphase beim Jahresabo). Es wird kein endgültiger „lebenslanger" Kauf angeboten.
- Von Google Play verwaltete Daten (Tivera nie einsehbar): Zahlungsmittel (Karte, PayPal, Google Pay, Mobilfunkanbieter), Rechnungsadresse.
- Von Tivera empfangene Daten: Kauftoken (Purchase Token, opaker Nachweis) + Abonnementstatus (aktiv / gekündigt / Grace Period) über BillingClient.
- Lokal von Tivera gespeichert: Premium-Status (Boolean, DataStore) + Purchase Token (Tink AEAD, AAD
play-billing-v1) zur periodischen erneuten Validierung.
Keine Zahlungsdaten (Kartennummer, CVV, Ablaufdatum) werden jemals von Tivera verarbeitet, eingesehen oder gespeichert. Kündigung: Google Play Store → Abonnements → Tivera → Kündigen. Erstattungen: Google-Play-Standardrichtlinie (48 h für Abonnements) — Anfrage über Google Play, nicht über Tivera.
3.8 Nutzerprofile + Premium-Cloud-Synchronisierung (profiles)
Tivera ermöglicht es, mehrere Profile in einem Konto zu erstellen (Favoriten und Verlauf pro Profil, optionales eingeschränktes Profil). Die Profile werden lokal gespeichert (Room SQLCipher AES-256) und, nur wenn du Premium-Abonnent bist und die Cloud-Synchronisierung aktivierst, über die Sammlung profiles mit unserem selbstgehosteten Server synchronisiert (api.tivera.tv).
Pro Profil synchronisierte Daten (nur Premium + aktive Synchronisierung): name (Bezeichnung — potenziell personenbezogen, wenn du einen echten Vornamen einträgst; Empfehlung: verwende ein Pseudonym, insbesondere für ein Kinderprofil), avatarId (Index einer neutralen Illustration), isKids (Filter-Kennzeichen, das der Inhaber wählt, KEINE Altersangabe), pinCiphertext (mit Google Tink AES-256-GCM verschlüsselte PIN, serverseitig nie entschlüsselt). Es wird kein Geburtsdatum erhoben. Favoriten und Verlauf sind nunmehr pro Profil; kein Stream, kein Sender-/Film-/Serienname, keine Xtream-Kennung gelangt zu api.tivera.tv (Inhaltsidentität = opaker SHA-256). Auftragsverarbeiter: keiner; Synchronisierung Opt-in (Premium, in den Einstellungen aktivierbar/deaktivierbar).
3.9 Tivera-Konto (E-Mail-Adresse + OTP-Code)
Das Konto ist optional. Für die Nutzung der App im Free-Modus ist kein Konto erforderlich (Import deiner Quellen, Wiedergabe deiner Streams, Scannen deiner Sender). Du erstellst nur dann ein Konto, um Premium freizuschalten, die Cloud-Synchronisierung zu aktivieren, deine Geräte zu verwalten oder einen Promo-Code einzugeben.
- E-Mail-Adresse: von dir bereitgestellt; Anmeldung per Einmalcode (OTP) (kein Passwort). Wird an unseren selbstgehosteten Server
api.tivera.tv(Marokko / CNDP) übermittelt und dort gespeichert, um dein Konto zu identifizieren (Premium-Entitlement, Geräteliste, Promo-Codes). Rechtsgrundlage: DSGVO 6.1.b (Vertragserfüllung). Auftragsverarbeiter: keiner; verschlüsselt bei der Übertragung. Aufbewahrung: bis zur Löschung deines Kontos (vgl. § 5 + § 10). Deine E-Mail wird niemals für Werbung verwendet, niemals weiterverkauft, niemals an Datenhändler weitergegeben.
4. Empfänger der Daten (DSGVO Art. 13.1.e)
| Empfänger | Betroffene Daten | Zweck | Standort |
|---|---|---|---|
| Du selbst (auf deinem Gerät) | 100 % der eingegebenen Daten | Nutzung der App | Lokal |
| Von dir konfigurierte IPTV-/EPG-Server | Xtream-Zugangsdaten + IP + User-Agent | Authentifizierung + Wiedergabe | Variabel (deine Wahl) |
Selbstgehosteter Server api.tivera.tv — Konto (Herausgeber, kein Dritter) | Konto-E-Mail (OTP) — optional | Kontoverwaltung / Entitlement / Sync / Geräte / Promo-Codes | Marokko / CNDP |
Selbstgehosteter Server api.tivera.tv — Telemetrie (Herausgeber, kein Dritter) | Stacktraces + Nutzungsstatistiken (Bildschirm-Routen) + Leistungsprotokoll + Geräteklasse + pseudonyme Kennung | Diagnose / Stabilität | Marokko / CNDP |
| ENTFERNT — keine Übermittlung mehr an Google zu diesen Zwecken (vgl. 3.5) | — | — | |
| Google AdMob (Free) | AAID + IP + Gerät + Ad Unit ID + Kohorten (bei personalisiert) | Werbeanzeige | USA + EU (SCC + DPF) |
| Google Play Billing (Premium) | Purchase Token (keine Bankdaten) | Abonnementvalidierung | Google (global) |
Selbstgehosteter Server api.tivera.tv — Cloud-Sync (Herausgeber, kein Dritter) | Profile (Bezeichnung, Avatar, Kinder-Kennzeichen, verschlüsselte PIN) + Favoriten + Verlauf pro Profil (Inhaltsidentität opaker SHA-256) | Geräteübergreifende Synchronisierung | Marokko / CNDP |
| Cloudflare | Netzwerktransit (CDN + Tunnel + WAF) — sieht IP/Header, speichert keine personenbezogenen Daten | Weiterleitung + Netzwerksicherheit | Multinational (DPA) |
Kein Verkauf von Daten an Datenhändler oder Aggregatoren. Keine Weitergabe zu Werbezwecken außer Google AdMob (nur Free).
5. Deine Rechte (DSGVO Art. 13.2.b + Art. 15 bis 22 + CCPA/CPRA)
5.1 DSGVO-Rechte (Einwohner EU / EWR / UK)
- Auskunft (Art. 15): Deine lokalen Daten liegen auf deinem Gerät (Einstellungen → Quellen / Darstellung…). Kontodaten: maschinenlesbarer Export (E-Mail, Entitlement, Geräte, Rechnungen, Profile, Favoriten + Verlauf pro Profil, dich betreffende Protokolle) — auf Anfrage an
privacy@tivera.tv. - Berichtigung (Art. 16): direkt in der App (Einstellungen → Quellen → Bearbeiten); Konto-E-Mail änderbar oder Anfrage an
privacy@tivera.tv. - Einschränkung (Art. 18): Deaktiviere die Telemetrie (Schalter „Diagnosedaten", Einstellungen → Datenschutz).
- Datenübertragbarkeit (Art. 20): Einstellungen → Hilfe → Diagnosebericht senden (lesbares ZIP); Kontoexport auf Anfrage an
privacy@tivera.tv. - Widerspruch (Art. 21): Außerhalb der EU/des EWR/UK beruht die Telemetrie auf dem berechtigten Interesse → du kannst ihr jederzeit widersprechen über den Schalter „Diagnosedaten", ohne Verschlechterung des Dienstes. In der EU/im EWR/UK ist dieser Kanal ohnehin bis zu deiner Einwilligung deaktiviert.
- Automatisierte Entscheidung (Art. 22): kein Profiling, keine automatisierte Entscheidung. Die Recovery-/Scanner-Engines verwenden technische Heuristiken — kein Machine Learning / keine KI im Sinne der EU-Verordnung 2024/1689 (EU AI Act).
Kontolöschung und Löschung deiner Daten (Art. 17)
- Lokale Daten: Einstellungen → Cache leeren löscht Sender/EPG/Aufnahmen/Downloads (die Xtream-Zugangsdaten bleiben für die erneute Verbindung erhalten); die Deinstallation der App löscht alles (
/data/data/com.mitchou.tivera/). - Diagnose-Telemetrie: Das Deaktivieren des Schalters „Diagnosedaten" löscht sofort die ausstehenden Sendungen; für die Löschung bereits an
api.tivera.tvübermittelter Daten schreibe anprivacy@tivera.tvunter Angabe deiner technischen Gerätekennung (Einstellungen → Hilfe) — Löschung innerhalb von 30 Tagen (und automatische Löschung nach 90 Tagen). - Synchronisierte Profile: Das Löschen eines Profils in der App löst ein Soft-Delete aus (sofortige Ausblendung, serverseitige Löschung innerhalb von 30 Tagen).
- Kontolöschung (Kaskade): über die App oder auf Anfrage an
privacy@tivera.tv. Die Kontolöschung löscht kaskadierend serverseitig beiapi.tivera.tvalle deine Profile (einschließlich der KinderprofileisKids), deine Favoriten und deinen Verlauf pro Profil, deine synchronisierten Einstellungen und Quellen, dein Premium-Entitlement, deine registrierten Geräte und deine Kopplungs-Token und anonymisiert deine Zeilen im Audit-Protokoll. Deine Rechnungen werden ebenfalls gelöscht. Du kannst sie vorab exportieren (vgl. § 5.1), und der Zahlungsdienstleister behält seine eigene Kopie (vgl. § 10). - Premium: Kündige das Abonnement über Google Play, deinstalliere dann die App.
5.2 CCPA-/CPRA-Rechte (Einwohner Kaliforniens)
Tivera verkauft keine Daten. Right to Know — erhobene Kategorien (letzte 12 Monate): Identifiers (AAID im Free-Modus; pseudonyme technische Gerätekennung für die Telemetrie; E-Mail bei Konto); Commercial information (Abonnementstatus); Internet/Network Activity (AdMob-Interaktionen; Bildschirm-Routen der Telemetrie); Geolocation (ungefähres Land, von AdMob im Free-Modus aus der IP abgeleitet). Quellen: du + dein Gerät. Geschäftliche Zwecke: Werbung (Free), Bereitstellung des Dienstes, Diagnose. Geteilt/„verkauft": ausschließlich AAID + Netzwerkaktivität über Google AdMob (Free) — ein „Sharing" im Sinne von CPRA, ablehnbar über UMP; die Telemetrie geht an unseren selbstgehosteten Server (kein Dritter — außerhalb des Anwendungsbereichs eines „Sharing"/„Sale" nach CCPA). Right to Delete / Correct: vgl. § 5.1. Opt-Out of Sale/Sharing: Die AdMob-Weitergabe (bei personalisiert) ist über die UMP-Einwilligung ablehnbar (und automatisch nicht personalisiert für von Google erkannte CCPA-Nutzer). Limit Use of Sensitive PI: keine sensiblen Daten erhoben. Non-Discrimination + Authorized Agent anwendbar. Frist 45 Tage — privacy@tivera.tv.
5.3 Beschwerde
- CNDP (Marokko): https://www.cndp.ma
- Einwohner EU/EWR: die Aufsichtsbehörde deines Wohnsitzes (z. B. CNIL in Frankreich: https://www.cnil.fr/fr/plaintes). Liste: https://edpb.europa.eu/about-edpb/about-edpb/members_en.
- California AG: https://oag.ca.gov
6. Datensicherheit (DSGVO Art. 32)
6.1 Verschlüsselung im Ruhezustand
- SQLCipher AES-256 für die lokale Datenbank (Sender, EPG, Quellen, Verlauf, Downloads).
- Google Tink AEAD (Hauptschlüssel Android Keystore TEE/StrongBox) als zusätzliche Schicht für: Xtream-Zugangsdaten (AAD an die Quelle gebunden, Schutz vor cell-swap), EPG-Zugangsdaten, Kinder-PIN (AAD
parental-pin-v1), Purchase Token Play Billing (AADplay-billing-v1). - Aufnahmen / VOD-Downloads: unverschlüsselte
.ts-Dateien im Scoped Storage, bei der Deinstallation gelöscht.
6.2 Verschlüsselung bei der Übertragung
- Striktes HTTPS zu den First-Party-Domains (Google Play Services / AdMob) + zu unserem Backend
api.tivera.tv. - Klartext-HTTP wird ausschließlich toleriert zu den IPTV-/EPG-Servern, die du konfigurierst (die meisten Xtream-Panels liefern noch über HTTP aus — dies abzulehnen würde die BYOC-Nutzung unterbinden).
6.3 Defensive Architektur
- Minimale Android-Berechtigungen; CAMERA ausschließlich zum Scannen eines Kopplungs-QR-Codes (100 % lokale Verarbeitung). Von den Google-SDKs hinzugefügte Berechtigungen (veröffentlichte Version):
com.android.vending.BILLING(Premium),AD_ID+ACCESS_ADSERVICES_*(AdMob, nur Free),BIND_GET_INSTALL_REFERRER_SERVICE(Installationszuordnung),READ_EPG_DATA(Rail „Continue Watching" des Android-TV-Launchers). Keine gefährliche Runtime-Berechtigung außer CAMERA. - R8/ProGuard im Release; restriktive Backup-Regeln (schließen die verschlüsselten Xtream-Zugangsdaten vom Google-Drive-Backup aus);
SecretRedactor+UrlRedactorfür jedes Protokoll UND jede Telemetrie-Nutzlast vor der Übermittlung.
6.4 Meldung von Verletzungen (DSGVO Art. 33-34)
Im Fall einer Verletzung, die deine Rechte beeinträchtigt, benachrichtigt Mitchou die zuständige Aufsichtsbehörde (CNDP in Marokko; CNIL oder die EU-Behörde des betroffenen Nutzers) innerhalb von 72 Stunden und dich direkt, wenn das Risiko hoch ist.
7. Minderjährige (COPPA US + DSGVO Art. 8)
Tivera richtet sich an Personen ab 13 Jahren. Deklaratives Age-Gate beim 1. Start („Ich bin 13 Jahre alt" + Annahme des Disclaimers). Keine absichtliche Erhebung von Daten Minderjähriger unter 13 Jahren. Die Diagnose-Telemetrie ist durch das Age-Gate gesichert: Vor der Bestätigung 13+ wird keine persistente Kennung übermittelt. 4-stellige Kinder-PIN + eingeschränkte Profile (isKids) = Best-Effort-Kindersicherung, optional, kein Geburtsdatum abgefragt, keine auf ein Kinderprofil bezogene Analyse oder gezielte Werbung. Eltern/Erziehungsberechtigte: privacy@tivera.tv.
Werbung und Minderjährige (EU): In der EU/im EWR variiert das Alter der digitalen Einwilligung (DSGVO Art. 8) je nach Mitgliedstaat zwischen 13 und 16 Jahren. Zum Schutz von Nutzern, die möglicherweise minderjährig sind, wird personalisierte Werbung niemals ohne gültige Einwilligung aktiviert, die über das Google-UMP-SDK eingeholt wird; andernfalls (oder im Fall einer Ablehnung) werden ausschließlich nicht personalisierte Werbeanzeigen (NPA — ohne Profiling und ohne verhaltensbezogene Ausrichtung) ausgeliefert. Die Premium-Stufe entfernt jegliche Werbung.
8. Cookies / Tracker von Drittanbietern
Tivera ist eine native mobile App (keine Website). Keine eigenen HTTP-Cookies; etwaige Server-Cookies von Drittanbietern (z. B. __cf_bm eines Panels) werden im Arbeitsspeicher verwaltet (InMemoryCookieJar), niemals dauerhaft gespeichert. Kein proprietäres Pixel/Beacon. Die Website tivera.tv: keine Drittanbieter-Cookies, kein Analyse-/Werbeskript von Drittanbietern, kein externes CDN zur Laufzeit (interne Regel R-NA-1) — die Aufrufe gehen ausschließlich an unser Backend (api.tivera.tv) auf Nutzeraktion hin.
9. Internationale Übermittlungen (DSGVO Art. 44 bis 50)
| Übermittlung | Rechtsrahmen |
|---|---|
| Dein Gerät → von dir konfigurierte IPTV-/EPG-Server | Keine von Mitchou orchestrierte Übermittlung (du wählst den Empfänger). |
| Telemetrie + Premium-Cloud-Sync → selbstgehosteter Server (Marokko) | Marokko unterliegt keinem EU-Angemessenheitsbeschluss (Art. 45). Für Nutzer aus der EU/dem EWR herangezogene Übermittlungsgrundlagen: (a) Diagnose-Telemetrie — ausdrückliche Einwilligung (Ausnahme nach Art. 49(1)(a)), wobei dieser Kanal in der EU ohnehin Opt-in ist; (b) Konto + Premium-Cloud-Synchronisierung — Übermittlung, die für die Erfüllung des von dir angeforderten Vertrags erforderlich ist (Art. 49(1)(b)). Ergänzende Maßnahmen: Pseudonymisierung + Minimierung (SecretRedactor/UrlRedactor) + Verschlüsselung bei der Übertragung; alleiniger Verantwortlicher (der Herausgeber hostet selbst, kein gesonderter Drittimporteur im Sinne der Leitlinien des EDSA 05/2021); lokaler Rechtsrahmen Gesetz 09-08 + Aufsichtsbehörde CNDP. |
| AdMob (Free) / Play Billing (Premium) → Google LLC (USA) | SCC + DPF. |
| Transit Cloudflare | Netzwerkweiterleitung (keine Speicherung personenbezogener Daten); Cloudflare-DPA. |
10. Aufbewahrungsdauer (DSGVO Art. 13.2.a)
- Lokale Daten (Xtream, M3U, EPG, Verlauf, Aufnahmen, Downloads): solange die App installiert ist; sofortige Löschung bei der Deinstallation oder über „Cache leeren".
- Diagnose-Telemetrie (
crash_reports+app_events+ Leistungsprotokoll): 90 Tage, danach automatische Löschung. Vorzeitiger Widerruf über den Schalter. - Firebase Crashlytics / Analytics: entfällt (entfernt, keine Erhebung mehr).
- Konto (E-Mail, Entitlement, Geräte, Kopplungen, Profile, Favoriten, Verlauf): bis zur Löschung des Kontos (kaskadierende Löschung). Entitlement: bis zum Ablauf + Streit-/Erstattungsfenster.
- Rechnungen (Metadaten): bei der Kontoschließung gelöscht (kaskadierende Löschung). Der Zahlungsdienstleister behält seine eigene Kopie aufgrund seiner Aufbewahrungspflicht (auch im Streitfall).
- AdMob-Kohorten (Free): gemäß der Google-Richtlinie (~14 Monate). Premium-Purchase Token: solange das Abonnement aktiv ist + Grace Period.
- Audit-Protokoll (
audit_log, inkl. Client-IP): 90 Tage; Zeilen bei der Kontolöschung anonymisiert.
11. Aktualisierung dieser Richtlinie
Jede wesentliche Änderung führt zu: In-App-Benachrichtigung beim nächsten Start (nicht blockierender Banner + Link zum Diff) + Aktualisierung des Datums + Aufbewahrung des öffentlich versionierten Git-Diffs + erneute Zustimmung, falls eine neue Verarbeitungskategorie hinzugefügt wird (z. B. neues Werbenetzwerk). Geringfügige Änderungen lösen keine erneute Zustimmung aus.
12. Kontakt
- Allgemeine E-Mail:
contact@tivera.tv - E-Mail Datenschutz (Ausübung der Rechte):
privacy@tivera.tv - E-Mail DMCA:
dmca@tivera.tv(vgl. DMCA-Richtlinie) - Postanschrift: Tralles, rue Essanaouabar, Casablanca, Marokko
Antwortfrist: 30 Tage (DSGVO) / 45 Tage (CCPA).
13. Zugehörige Dokumente
Status: ENTWURF v2.1 — legt das Modell Free + Premium (AdMob im Free-Modus, Play Billing im Premium-Modus), die selbstgehostete Telemetrie (Firebase entfernt) und die Premium-Cloud-Synchronisierung offen. Vor der endgültigen Veröffentlichung von einem Anwalt zu prüfen (Gesetz 09-08 / CNDP + DSGVO/ePrivacy): Rechtsgrundlage der Telemetrie, Übermittlungsgarantien Marokko → EU, Opt-out-Mechanismus. Maßgeblich ist die französische Fassung; die anderen Sprachen sind Übersetzungen aus Gefälligkeit.