Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer nationaler Datenschutzgesetze der EU-Mitgliedsstaaten sowie sonstiger datenschutzrechtlicher Bestimmungen ist:
Hinweis: dream ERP wird als Einzelunternehmen betrieben. Ein benannter Datenschutzbeauftragter ist nach Art. 37 DSGVO bei dieser Unternehmensgröße nicht verpflichtend. Bei datenschutzrechtlichen Anfragen wenden Sie sich direkt an die oben genannte Adresse.
Steuerlicher Hinweis: Peter Schubert ist Kleinunternehmer gemäß § 19 UStG. Es wird daher keine Umsatzsteuer ausgewiesen.
Wir verarbeiten personenbezogene Daten nur, wenn eine der folgenden Rechtsgrundlagen nach Art. 6 DSGVO vorliegt:
Wir erheben und verwenden nur die Daten, die für den jeweiligen Zweck erforderlich sind (Datensparsamkeit, Art. 5 Abs. 1 lit. c DSGVO).
Beim Aufruf unserer Website übermittelt Ihr Browser automatisch Informationen, die in Server-Logfiles gespeichert werden. Dies umfasst:
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse
an der sicheren und stabilen Bereitstellung des Dienstes).
Speicherdauer: 7 Tage, danach automatische Löschung.
Auf unserer Landing Page steht ein Kontaktformular bereit. Eingaben werden über den Dienst Formspree Inc. (USA) an unsere E-Mail-Adresse weitergeleitet und dort nicht dauerhaft gespeichert. Für den Transfer in die USA gelten Standardvertragsklauseln (SCCs) nach Art. 46 DSGVO.
Verarbeitete Daten: Name, E-Mail-Adresse, Nachrichteninhalt.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen)
bzw. Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch Absenden).
Speicherdauer: Bis zur abschließenden Bearbeitung Ihrer Anfrage,
danach im E-Mail-System gemäß Aufbewahrungspflichten (max. 6 Jahre, §147 AO).
Zum Schutz vor automatisierten Zugriffen setzen wir hCaptcha (Intuition Machines Inc., USA) auf Registrierungs- und Kontaktformularen ein. hCaptcha verarbeitet Interaktionsdaten (Mausbewegungen, Tastendrücke) und ggf. technische Gerätedaten, um automatisierte Bots von menschlichen Nutzern zu unterscheiden.
Weitere Informationen: hCaptcha Privacy Policy.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse
an der Sicherheit unserer Dienste).
Drittlandtransfer: USA — Standardvertragsklauseln (SCCs).
Wir verwenden PostHog (PostHog Inc., EU-Instanz auf Servern in der EU) zur anonymisierten Analyse der Website-Nutzung. PostHog erfasst aggregierte Nutzungsmuster (aufgerufene Seiten, Verweildauer, Klickverhalten), jedoch keine personenbezogenen Daten und keine IP-Adressen im Klartext. Es werden keine nutzerindividuellen Profile erstellt.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes
Interesse an der Verbesserung unseres Angebots).
Speicherdauer: 12 Monate, danach automatische Aggregation.
Zur Erkennung und Behebung technischer Fehler nutzen wir Sentry (Functional Software Inc., EU-Datenspeicherung). Sentry erfasst bei Fehlern technische Informationen (Stack Traces, Browser-Version, Fehlerzeitpunkt), nicht jedoch Inhalte von Formularen oder personenbezogene Geschäftsdaten. Sensible Daten (Passwörter, IBANs) werden vor Übertragung an Sentry herausgefiltert.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.
Speicherdauer: 90 Tage.
Zur Nutzung von dream ERP ist die Erstellung eines Benutzerkontos erforderlich. Dabei verarbeiten wir folgende Daten:
| Datenkategorie | Zweck | Rechtsgrundlage |
|---|---|---|
| Name, E-Mail-Adresse | Account-Erstellung, Anmeldung, Kommunikation | Art. 6 Abs. 1 lit. b DSGVO |
| Passwort (nur als bcrypt-Hash) | Authentifizierung — das Klartext-Passwort wird niemals gespeichert | Art. 6 Abs. 1 lit. b DSGVO |
| E-Mail-Verifizierungsstatus | Sicherstellung gültiger E-Mail-Adressen | Art. 6 Abs. 1 lit. f DSGVO |
| TOTP-Secret (2FA, verschlüsselt) | Zwei-Faktor-Authentifizierung (optional, auf Wunsch des Nutzers) | Art. 6 Abs. 1 lit. a DSGVO |
| Anmeldezeitpunkte, IP-Adresse bei Login | Sicherheit, Erkennung unberechtigter Zugriffe | Art. 6 Abs. 1 lit. f DSGVO |
Im Rahmen der Einrichtung Ihres Unternehmenskontos erheben wir:
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Speicherdauer: Für die Dauer des Vertragsverhältnisses zuzüglich
der gesetzlichen Aufbewahrungsfristen (10 Jahre für buchungsrelevante Daten gemäß §147 AO).
Aus Gründen der GoBD-Konformität und der Revisionssicherheit protokolliert dream ERP sicherheitsrelevante Aktionen (z. B. Statusänderungen von Rechnungen, Login-Ereignisse) in einem unveränderlichen Audit-Log. Diese Protokollierung dient dem Nachweis der ordnungsgemäßen Buchführung gemäß §146 AO.
Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung).
Speicherdauer: 10 Jahre (§147 Abs. 1 AO).
dream ERP ist eine Software für die Erstellung von Angeboten, Aufträgen, Rechnungen und die Verwaltung von Kundenstammdaten. In diesem Rahmen verarbeiten wir personenbezogene Daten Ihrer Kunden und Geschäftspartner (sog. „Drittbetroffene"):
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung),
Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Aufbewahrungspflichten).
Speicherdauer: 10 Jahre (§147 AO — steuerrechtliche Aufbewahrungspflicht
für Buchungsbelege, Rechnungen und Geschäftsbriefe).
Auf Wunsch können Nutzer von dream ERP ihr Geschäftskonto über den Dienst finAPI GmbH (Augustenstraße 60, 80333 München, Deutschland) verbinden. finAPI ist ein regulierter Kontoinformationsdienst (KIIS) nach §§ 1 Abs. 1 Satz 2 Nr. 8, 2 Abs. 1 Nr. 8 ZAG und unterliegt der Aufsicht der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin).
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (ausdrückliche
Einwilligung, die jederzeit widerrufbar ist) i. V. m. Art. 94 Abs. 2 PSD2
(Richtlinie über Zahlungsdienste).
Speicherdauer: Für die Dauer der aktiven Banking-Verbindung;
nach Trennung der Verbindung werden die Bankdaten gemäß den
Aufbewahrungspflichten (10 Jahre) anonymisiert.
Datenschutzerklärung finAPI: https://www.finapi.io/datenschutz/
dream ERP bietet eine KI-gestützte Angebotserstellung. Dabei wird eine von Ihnen eingegebene Beschreibung (z. B. „Badezimmer sanieren, 15 qm") an den KI-Dienst Anthropic PBC (San Francisco, USA) übermittelt, um strukturierte Angebotspositionen zu generieren.
Verarbeitete Daten: Von Ihnen eingegebene Beschreibungstexte,
Branchenkonfiguration, Stundensatz-Parameter (keine Kundendaten).
Drittlandtransfer: USA — Anthropic ist in Anthropics DPA
(Data Processing Addendum) mit Standardvertragsklauseln nach Art. 46 DSGVO
abgedeckt, das automatisch Bestandteil der API-Nutzungsbedingungen ist.
Keine Modelltraining-Nutzung: Anthropic verarbeitet über die API
übermittelte Daten nicht zum Training seiner Modelle (vertraglich zugesichert).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung
— die KI ist integraler Bestandteil des gebuchten Dienstes).
Speicherdauer: Keine dauerhafte Speicherung durch Anthropic;
Verarbeitungsprotokoll max. 30 Tage.
Fuer die Funktion "KI-Angebot per Sprache" (PRO-Feature) werden Audio-Aufnahmen an die OpenAI Whisper API (OpenAI Inc., San Francisco, USA) uebermittelt und in Text umgewandelt.
Drittlandtransfer: USA — Standardvertragsklauseln (SCCs) Art. 46 DSGVO.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfuellung).
Datenschutzerklaerung OpenAI: openai.com/privacy
Gemäß Art. 50 EU AI Act (ab August 2026 vollständig anwendbar) weisen wir darauf hin, dass die KI-Angebotserstellung und KI-Texte durch ein KI-System generiert werden. Alle KI-generierten Inhalte werden Ihnen zur Prüfung vorgelegt, bevor sie verwendet werden — eine automatische Übermittlung an Kunden ohne Ihre Bestätigung findet nicht statt.
Für die Zustellung von System-E-Mails (Registrierungsbestätigung, Passwort-Reset, Sicherheitsbenachrichtigungen) nutzen wir Zoho Mail (Zoho Corporation Pvt. Ltd., Indien / EU-Rechenzentren).
Verarbeitete Daten: E-Mail-Adresse des Empfängers, Zeitstempel,
Zustellstatus.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
Drittlandtransfer: Indien — Standardvertragsklauseln (SCCs).
Für den Versand von Angeboten, Rechnungen und Mahnungen an Ihre Kunden verwendet dream ERP wahlweise Ihren eigenen SMTP-Server (dessen Zugangsdaten verschlüsselt gespeichert werden) oder — als Fallback — den oben genannten Zoho-Dienst.
Wenn Sie den automatischen IMAP-Import aktivieren, verbindet sich dream ERP mit dem von Ihnen angegebenen E-Mail-Postfach, um eingehende Lieferantenrechnungen zu erkennen und zu importieren. Dabei werden:
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung
durch Aktivierung der Funktion, jederzeit deaktivierbar).
Speicherdauer: Die importierten Rechnungsdaten werden gemäß §147 AO
10 Jahre aufbewahrt.
Unsere App kann Ihnen Push-Benachrichtigungen senden (z. B. bei neuen Aufträgen, Zahlungseingängen oder Erinnerungen). Dies erfolgt über den integrierten Service Worker Ihres Browsers.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) i. V. m. § 25 TDDDG. Push-Benachrichtigungen werden erst nach Ihrer ausdrücklichen Zustimmung aktiviert. Sie können diese Einwilligung jederzeit in Ihren Browsereinstellungen oder in den App-Einstellungen widerrufen.
Verarbeitete Daten: Push-Subscription-Endpunkt (browserbasiert), keine personenbezogenen Inhalte in der Push-Nachricht selbst.
Für die Abwicklung von Abonnementzahlungen nutzen wir Stripe (Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Dublin, Irland — für EU-Kunden).
Verarbeitete Daten: Name, E-Mail-Adresse, Zahlungsdaten (Kreditkarte
oder SEPA-Lastschrift). Kartendaten werden ausschließlich bei Stripe gespeichert —
dream ERP erhält und speichert keine vollständigen Zahlungsdaten.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
Drittlandtransfer: Im Rahmen der globalen Stripe-Infrastruktur
können Daten in die USA übertragen werden — abgedeckt durch SCCs nach Art. 46 DSGVO.
Datenschutzerklärung Stripe: https://stripe.com/de/privacy
Eine Übersicht aller eingesetzten Dienste, die personenbezogene Daten in unserem Auftrag verarbeiten:
| Dienstleister | Zweck | Sitz | Datenschutz |
|---|---|---|---|
| Hetzner Online GmbH | Hosting, Server-Infrastruktur | Deutschland 🇩🇪 | Link |
| Anthropic PBC | KI-Angebotserstellung (API) | USA 🇺🇸 (SCCs) | Link |
| OpenAI Inc. | Spracherkennung / Whisper API (KI-Angebot per Stimme, PRO) | USA 🇺🇸 (SCCs) | Link |
| Stripe Payments Europe | Zahlungsabwicklung | Irland 🇮🇪 | Link |
| finAPI GmbH | Banking-Integration (KIIS nach ZAG) | Deutschland 🇩🇪 | Link |
| Zoho Corporation | E-Mail-Versand (SMTP) | Indien / EU-Rechenzentren | Link |
| Sentry (Functional Software) | Fehler-Monitoring | EU-Datenspeicherung 🇪🇺 | Link |
| PostHog Inc. | Anonymisierte Nutzungsanalyse | EU-Instanz 🇪🇺 | Link |
| Intuition Machines (hCaptcha) | Bot-Schutz | USA 🇺🇸 (SCCs) | Link |
| Formspree Inc. | Kontaktformular (Landing Page) | USA 🇺🇸 (SCCs) | Link |
Mit allen oben genannten Diensten, die personenbezogene Daten in unserem Auftrag verarbeiten, bestehen Auftragsverarbeitungsverträge (AVV) gemäß Art. 28 DSGVO oder gleichwertige vertragliche Schutzmaßnahmen.
Einige der von uns eingesetzten Dienste übermitteln Daten in Länder außerhalb des Europäischen Wirtschaftsraums (EWR), insbesondere in die USA. Für diese Übermittlungen bestehen geeignete Garantien gemäß Art. 46 DSGVO in Form von Standardvertragsklauseln (SCCs) der Europäischen Kommission.
Betroffen sind: Anthropic (KI-Angebotserstellung), OpenAI (Spracherkennung), hCaptcha (Bot-Schutz), Formspree (Kontaktformular). Details zu den jeweiligen SCCs finden Sie in den verlinkten Datenschutzerklärungen der Anbieter (Abschnitt 10).
Wir weisen darauf hin, dass trotz dieser Maßnahmen in den USA ein gewisses Risiko besteht, dass US-Behörden auf Daten zugreifen können. Dieses Risiko ist bei den genutzten Diensten als gering einzustufen, da keine umfangreichen personenbezogenen Daten übertragen werden.
| Datenkategorie | Speicherdauer | Rechtsgrundlage |
|---|---|---|
| Account- und Nutzerdaten | Für die Dauer des Vertragsverhältnisses + 3 Jahre | Art. 6 Abs. 1 lit. b DSGVO |
| Rechnungen, Buchungsbelege | 10 Jahre | §147 Abs. 1 Nr. 1 AO |
| Geschäftsbriefe (Angebote, E-Mails) | 6 Jahre | §147 Abs. 1 Nr. 2 AO |
| Audit-Log / Revisionsdaten | 10 Jahre | §146 AO (GoBD) |
| Banking-Transaktionsdaten | 10 Jahre (danach anonymisiert) | §147 Abs. 1 Nr. 4 AO |
| Server-Logfiles | 7 Tage | Art. 6 Abs. 1 lit. f DSGVO |
| Fehler-Monitoring (Sentry) | 90 Tage | Art. 6 Abs. 1 lit. f DSGVO |
| Passwort-Reset-Tokens | 1 Stunde (automatisch verfallen) | Art. 6 Abs. 1 lit. b DSGVO |
Nach Ablauf der jeweiligen Speicherdauer werden die Daten automatisch gelöscht oder unwiederbringlich anonymisiert, sofern keine anderen gesetzlichen Aufbewahrungspflichten entgegenstehen.
Sie haben gegenüber uns folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:
Sie können Auskunft darüber verlangen, ob und welche personenbezogenen Daten wir über Sie verarbeiten. Für Nutzer von dream ERP steht unter Einstellungen → Konto → Daten exportieren ein automatisierter DSGVO-Export (JSON-Format) zur Verfügung.
Sie haben das Recht, unrichtige personenbezogene Daten berichtigen zu lassen. In dream ERP können Sie Ihre Daten direkt in den Profileinstellungen anpassen.
Sie können die Löschung Ihrer personenbezogenen Daten verlangen. Für Nutzer von dream ERP steht unter Einstellungen → Konto → Konto löschen eine Selbst-Löschfunktion zur Verfügung. Buchungsrelevante Daten, die gesetzlichen Aufbewahrungspflichten unterliegen (§147 AO), werden anonymisiert statt gelöscht.
Sie können die Einschränkung der Verarbeitung Ihrer Daten verlangen, sofern die Voraussetzungen des Art. 18 DSGVO vorliegen.
Sie haben das Recht, Ihre personenbezogenen Daten in einem strukturierten, maschinenlesbaren Format zu erhalten. Der Datenexport (JSON) steht direkt in der App unter Einstellungen zur Verfügung.
Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Ihrer Daten auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) Widerspruch einzulegen.
Soweit die Verarbeitung auf einer Einwilligung beruht (z. B. Banking-Integration, 2FA-Aktivierung), können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen — ohne dass die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung berührt wird.
Wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt, haben Sie das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren (Art. 77 DSGVO).
Die für uns zuständige Aufsichtsbehörde ist (abhängig von Ihrem Wohnort können auch andere Behörden zuständig sein):
Zusätzlich können Sie sich an die Aufsichtsbehörde Ihres eigenen Bundeslandes wenden. Eine Übersicht aller Behörden: bfdi.bund.de.
Wir behalten uns vor, diese Datenschutzerklärung zu aktualisieren, um sie an geänderte Rechtslagen, neue Funktionen von dream ERP oder veränderte Verarbeitungspraktiken anzupassen.
Die jeweils aktuelle Version ist unter https://dream-erp.de/datenschutz abrufbar. Das Datum der letzten Aktualisierung ist im Header dieser Seite angegeben. Bei wesentlichen Änderungen informieren wir registrierte Nutzer per E-Mail.
Stand dieser Erklärung: April 2026