Dreamuna

Datenschutzerklärung

Zuletzt aktualisiert: 17. April 2026

Dreamuna („wir“, „uns“, „unser“) betreibt dreamuna.com, einen Abo-Dienst zur KI-Traumdeutung. Diese Datenschutzerklärung erklärt, welche Informationen wir über dich erheben, warum wir sie erheben, mit wem wir sie teilen, wie lange wir sie speichern und welche Rechte du daran hast. Sie ist in klarer Sprache geschrieben. Wo das Gesetz bestimmte Formulierungen verlangt, verwenden wir sie; sonst wollen wir gut lesbar sein. Lies sie zusammen mit unseren Nutzungsbedingungen.

§ 1. Wer wir sind

Dreamuna ist ein unabhängiges digitales Produkt, das aus Zypern, Europäische Union, betrieben wird. Wir sind Verantwortlicher im Sinne der DSGVO für die in dieser Richtlinie beschriebenen personenbezogenen Daten. Wir unterhalten kein öffentliches Büro; die gesamte Korrespondenz läuft über hello@dreamuna.com, wo ein Mensch innerhalb eines Werktags antwortet.

Diese Richtlinie gilt für die Dreamuna-Web-App, die Marketing-Website, transaktionale E-Mails und die öffentlichen Share-Seiten unter /d/[slug]. Die Drittanbieter, die wir einsetzen, haben eigene Datenschutzhinweise; die Links findest du in § 4.

§ 2. Welche Daten wir erheben

Wir erheben das Minimum, das wir zum Betrieb des Dienstes brauchen, gruppiert in vier Kategorien:

§ 2.1 Kontodaten

E-Mail-Adresse, Passwort-Hash, angezeigter Name, optionale Avatar-URL, bevorzugte Sprache und Marketing-E-Mail-Einstellung. Wenn du dich über einen OAuth-Anbieter (Google, Apple) anmeldest, erhalten wir zusätzlich die Anbieter-ID und die grundlegenden Profilfelder, die dieser Anbieter weitergibt.

§ 2.2 Zahlungsdaten

Abostatus, Plan, Trial-/Verlängerungsdaten, Rechnungsland, Teil-Metadaten der Karte (Marke + letzte vier Ziffern) und Lemon-Squeezy-Kunden-/Bestell-IDs. Vollständige Kartennummern und CVV berühren unsere Server nie — sie gehen direkt an Lemon Squeezy, unseren Merchant of Record. Siehe Lemon-Squeezy-Datenschutzerklärung zur Handhabung von Zahlungsdaten.

§ 2.3 Inhalte, die du erstellst

Traumbeschreibungen, die du einreichst, Quizantworten (Stimmung, Lebensphase, Häufigkeit, Personen, Emotionen), generierte Deutungen, KI-generierte Traumbilder, Folgeunterhaltungen mit Dreamuna, synthetisierte Audio-Narrationen sowie alle Tags oder Notizen, die du hinzufügst. Diese Inhalte werden bei der Übertragung verschlüsselt und in einer Datenbank in der EU-Region gespeichert.

§ 2.4 Technische und Gerätedaten

IP-Adresse, User-Agent-String, Gerätetyp, ungefähre Geolokalisierung (Land/Region aus der IP), Zeitstempel von Logins und wichtigen Aktionen sowie eine anonyme Sitzungskennung (eine von uns erzeugte UUID, damit dein Journal dir zwischen Geräten folgt, bevor du dich anmeldest). Außerdem protokollieren wir kurzzeitig Standard-Servertelemetrie (Request-Pfade, Statuscodes, Latenz) zu Betriebs- und Sicherheitszwecken.

§ 3. Wie wir deine Daten verwenden

Wir verwenden die oben erhobenen Daten für die folgenden Zwecke, soweit anwendbar jeweils an eine Rechtsgrundlage nach Art. 6 DSGVO gebunden:

  • Zur Erbringung des Dienstes — deine Deutung generieren, dein Journal anzeigen, den Chat betreiben, die Enthüllungs-E-Mail-Serie ausliefern und deine Träume zwischen Geräten erhalten. Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b).
  • Zur Zahlungsabwicklung — deine Karte über Lemon Squeezy belasten, Trials und Verlängerungen verwalten und Belege ausstellen. Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b) und, für die Aufbewahrung von Steuerunterlagen, rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c).
  • Zur Sicherheit des Dienstes — Betrug, Missbrauch und unbefugten Zugriff verhindern; API-Aufrufe begrenzen; Anomalien erkennen. Rechtsgrundlage: berechtigtes Interesse an einem sicheren Produkt (Art. 6 Abs. 1 lit. f), abgewogen gegen deine Rechte.
  • Zur Verbesserung des Produkts — aggregierte, nicht identifizierende Nutzungstrends ansehen (z. B. wie viele das Quiz auf dem Handy abschließen). Rechtsgrundlage: berechtigtes Interesse (Art. 6 Abs. 1 lit. f).
  • Zur Kommunikation mit dir — transaktionale E-Mails (Belege, Passwort-Resets, Sicherheitswarnungen) auf Grundlage vertraglicher Notwendigkeit; Marketing-E-Mails nur mit deiner Einwilligung (Art. 6 Abs. 1 lit. a), die du in der Kontoseite oder über den Abmeldelink in jeder Marketing-E-Mail widerrufen kannst.
  • Zur Einhaltung der Gesetze und Durchsetzung unserer Rechte — auf rechtmäßige Anfragen reagieren, Betrug verhindern, Ansprüche verteidigen. Rechtsgrundlage: rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c) und berechtigtes Interesse (Art. 6 Abs. 1 lit. f).

Wir verkaufen deine personenbezogenen Daten nicht. Wir trainieren keine fremden KI-Modelle mit dem Inhalt deiner Träume. Wir verwenden deine Träume nicht für Werbung.

§ 4. Mit wem wir Daten teilen

Wir teilen nur, was der jeweilige Auftragsverarbeiter für seine Aufgabe braucht, und binden jeden per Auftragsverarbeitungsvertrag. Unsere aktuellen Auftragsverarbeiter sind:

  • Supabase (EU-Region) — Datenbank- und Authentifizierungs-Hosting. Speichert dein Konto, deine Träume, Chatnachrichten und Abo-Metadaten. Die Daten liegen auf EU-basierter Infrastruktur. Supabase-Datenschutzerklärung.
  • OpenAI (USA) — KI-Inferenz für Deutungen, Chatantworten und Traumbilder. API-Aufrufe laufen unter einer Zero-Retention-Vereinbarung: OpenAI speichert keine Prompts oder Antworten und trainiert seine Modelle nicht mit API-Daten. OpenAI-Datenschutzerklärung.
  • Lemon Squeezy (USA) — Merchant of Record für Zahlungen, Umsatzsteuer und Billing-Portal. Verarbeitet deine Kartendaten durchgehend; wir sehen nur Tokens und Metadaten. Lemon-Squeezy-Datenschutzerklärung.
  • Resend (USA) — Zustellung transaktionaler E-Mails und der Enthüllungsserie. Erhält deine E-Mail-Adresse und E-Mail-Inhalte. Resend-Datenschutzerklärung.
  • Vercel (USA, Edge-Regionen EU) — Hosting der Web-Anwendung und Edge-Auslieferung. Verarbeitet Request-Metadaten (IP, User-Agent, Pfad) für Routing, Caching und DDoS-Schutz. Vercel-Datenschutzerklärung.
  • Cloudflare (global) — falls vor unserer Domain für DNS und DDoS-Schutz eingesetzt. Verarbeitet Request-Metadaten im Transit. Cloudflare-Datenschutzerklärung.

Wir können Daten auch offenlegen, wenn das Gesetz es vorschreibt (gültiger Gerichtsbeschluss, aufsichtsrechtliche Anfrage oder zum Schutz von Leben oder Eigentum). Wenn wir das tun, informieren wir dich, außer die Anfrage verbietet die Benachrichtigung.

§ 5. Deine Rechte

Abhängig davon, wo du lebst, hast du die unten genannten Rechte. Du kannst jedes davon kostenlos ausüben — schreib an hello@dreamuna.com oder nutze die Tools auf deiner Kontoseite. Wir antworten innerhalb von 30 Tagen (die meisten Antworten kommen innerhalb eines Werktags).

§ 5.1 EU- / EWR- / UK-Bewohner — DSGVO Art. 12–23

  • Auskunft (Art. 15) — fordere eine Kopie der von uns über dich gespeicherten personenbezogenen Daten an. Tippe „Meine Daten exportieren“ auf der Kontoseite für einen sofortigen JSON-Download.
  • Berichtigung (Art. 16) — unrichtige oder unvollständige Daten korrigieren.
  • Löschung / Recht auf Vergessenwerden (Art. 17) — lösche dein Konto und die zugehörigen Daten. Nutze den Bestätigungs-per-Eingabe-Flow unter Konto → Gefahrenzone oder schreib uns.
  • Einschränkung (Art. 18) — bitte uns, die Verarbeitung während einer Streitklärung zu pausieren.
  • Datenübertragbarkeit (Art. 20) — erhalte deine Daten in einem strukturierten, maschinenlesbaren JSON-Format; das Exportwerkzeug liefert es.
  • Widerspruch (Art. 21) — widersprich einer Verarbeitung auf Grundlage berechtigter Interessen, einschließlich etwaigem Profiling. Schreib uns, und wir stoppen, sofern keine zwingenden berechtigten Gründe überwiegen.
  • Einwilligung widerrufen (Art. 7 Abs. 3) — widerrufe jederzeit die Einwilligung zu Marketing-E-Mails oder nicht-essenziellen Cookies; die Rechtmäßigkeit der vorherigen Verarbeitung bleibt unberührt.
  • Beschwerde bei einer Aufsichtsbehörde (Art. 77) — reiche eine Beschwerde bei deiner lokalen Datenschutzbehörde ein. Für Zypern ist das das Office of the Commissioner for Personal Data Protection. Die vollständige Liste findest du auf der EDPB-Website.

§ 5.2 Einwohner Kaliforniens — CCPA / CPRA

Du hast das Recht zu wissen, zu löschen, zu korrigieren und die Nutzung deiner personenbezogenen Daten einzuschränken sowie den „Verkauf“ oder die „Weitergabe“ personenbezogener Daten im Sinne der CPRA abzulehnen. Wir verkaufen deine personenbezogenen Daten nicht und geben sie nicht für kontextübergreifende verhaltensbasierte Werbung weiter. Wir prüfen Anfragen, indem wir die anfragende E-Mail mit der auf dem Konto abgleichen. Du kannst auch einen bevollmächtigten Vertreter benennen.

§ 5.3 Andere Rechtsräume

Wenn du in Brasilien (LGPD), Kanada (PIPEDA), Australien (Privacy Act), Großbritannien (UK GDPR), der Schweiz (DSG/FADP) oder einem anderen Rechtsraum mit vergleichbarem Datenschutzrecht wohnst, hast du im Wesentlichen ähnliche Rechte. Schreib uns und wir honorieren sie.

§ 6. Speicherdauer

Wir speichern Daten nur so lange, wie es für den Zweck der Erhebung nötig ist, und löschen oder anonymisieren sie dann.

  • Konto + Inhalt — solange dein Konto aktiv ist. Bei Löschung werden personenbezogene Daten sofort aus der Anwendungsebene und innerhalb von 30 Tagen aus den verschlüsselten Backups entfernt.
  • Inaktive Konten — hast du dich 24 Monate nicht angemeldet, senden wir eine Warn-E-Mail und löschen das Konto ohne Antwort 30 Tage später.
  • Transaktionsdaten — werden für den gesetzlich vorgeschriebenen Zeitraum aufbewahrt (in der Regel 6 bis 10 Jahre je nach Rechtsraum, z. B. 6 Jahre in Zypern).
  • Sicherheits-Logs — 90 Tage, danach aggregiert oder gelöscht.
  • Aggregierte Analysen — anonymisierte Kennzahlen (tägliche aktive Nutzer, Funnel-Raten) können unbegrenzt aufbewahrt werden, weil sie niemanden mehr identifizieren.

§ 7. Internationale Datentransfers

Deine Hauptdaten liegen in der Europäischen Union (Supabase-EU-Region). Einige Auftragsverarbeiter sitzen in den USA (OpenAI, Lemon Squeezy, Resend, Vercel). Transfers an sie stützen sich auf das EU–US Data Privacy Framework, sofern der Verarbeiter zertifiziert ist, und auf die von der Europäischen Kommission beschlossenen Standardvertragsklauseln (SCC) in allen übrigen Fällen, wie Kapitel V DSGVO erlaubt. Eine Kopie der Transfer-Garantien kannst du unter hello@dreamuna.com anfordern.

§ 8. Cookies und lokaler Speicher

Wir verwenden wenige Cookies. Beim ersten Besuch siehst du ein Einwilligungs-Banner; nicht-essenzielle Cookies setzen wir erst nach deiner Zustimmung.

  • Session-Cookie (essenziell) — hält dich angemeldet. Läuft mit der Sitzung oder nach 30 Tagen ab.
  • Anonymes Session-Cookie (essenziell) — eine undurchsichtige UUID, damit dein Journal dir vor dem Login folgt. Wird beim Login geleert und die Daten mit deinem Konto zusammengeführt.
  • Sprach-Cookie (essenziell) — merkt sich deine bevorzugte Sprache, damit Seiten beim Wiederbesuch in der richtigen Locale laden.
  • Einwilligungs- und Altersnachweis-Cookies (essenziell) — halten fest, dass du den Banner und die 16+-Selbsterklärung akzeptiert hast, damit wir nicht erneut fragen.
  • Nicht-essenzielle Cookies — falls wir jemals Analytics- oder Marketing-Cookies ergänzen, werden sie nur nach aktiver Einwilligung gesetzt. Du kannst deine Entscheidung ändern, indem du die Cookies löschst und die Seite neu lädst.

§ 9. Kinder und Jugendliche (nur 16+)

Dreamuna richtet sich an Nutzer ab 16. Vor dem Traum-Quiz verlangen wir eine 16+-Selbsterklärung. Wir erheben wissentlich keine Daten von Kindern unter 16. Wenn du Elternteil oder Erziehungsberechtigter bist und annimmst, dass ein Kind uns seine Daten gegeben hat, schreib an hello@dreamuna.com und wir löschen sie umgehend.

§ 10. Sicherheit

Wir nehmen Sicherheit ernst. Technische und organisatorische Maßnahmen umfassen: TLS-1.2+-Verschlüsselung im Transit, Verschlüsselung im Ruhezustand der Primär-Datenbank und der Backups, Argon2-gehashte Passwörter, Mindest-Rechte-Zugriff fürs Team, kurzlebige Zugriffstokens, HTTP-Sicherheits-Header (CSP, HSTS, X-Content-Type-Options), automatisiertes Dependency-Scanning und Incident-Response-Prozesse. Kein System ist perfekt sicher; stellen wir eine Datenschutzverletzung fest, die dich voraussichtlich schädigt, melden wir sie der zuständigen Aufsichtsbehörde innerhalb von 72 Stunden und benachrichtigen die betroffenen Nutzer unverzüglich, wie Art. 33–34 DSGVO verlangt.

§ 11. Automatisierte Entscheidungen und KI

Deine Traumdeutung wird von einem KI-System erzeugt (OpenAI-API). Sie ist keine rechtlich erhebliche automatisierte Entscheidung im Sinne von Art. 22 DSGVO — sie berührt deine Rechte, deinen rechtlichen Status oder den Zugang zu Gütern oder Diensten nicht. Du kannst sie jederzeit nicht verwenden. Gemäß Art. 50 der EU-KI-Verordnung legen wir klar offen, dass Deutungen, Chatantworten, Enthüllungs-E-Mails und Traumbilder KI-generiert sind.

§ 12. Änderungen dieser Richtlinie

Wir können diese Richtlinie aktualisieren, wenn sich der Dienst oder das Recht ändert. Wesentliche Änderungen — z. B. eine neue Kategorie von Auftragsverarbeitern oder ein neuer Verarbeitungszweck — werden per E-Mail und durch ein seitenweites Banner mindestens 14 Tage vor Wirksamwerden angekündigt. Nicht-wesentliche Änderungen (Präzisierungen, Tippfehler) werden still vorgenommen; das Datum „Zuletzt aktualisiert“ oben spiegelt immer die letzte Änderung wider.

§ 13. Kontakt

Fragen, Anliegen oder Bedenken? Schreib an hello@dreamuna.com — ein Mensch antwortet innerhalb eines Werktags. Für förmliche DSGVO-Anträge gib bitte die E-Mail deines Kontos an, damit wir deine Identität prüfen können.