Přejít na hlavní obsah
Zpět na hlavní stránku

Zásady ochrany osobních údajů

Dle GDPR · Stav: duben 2026

1. Správce údajů

Odpovědný za zpracování údajů na této webové stránce je:

Alexander Göcke

Gartenexpedition (OSVČ)

Fellackerstr. 4a

47495 Rheinberg, Německo

E-mail: hallo@gartenexpedition.de

Telefon: +49 151-68131395

2. Hosting a infrastruktura

Webhosting: Tato webová stránka je hostována u Vercel Inc. (340 S Lemon Ave #4133, Walnut, CA 91789, USA). Vercel zpracovává technicky nezbytné údaje (IP adresa, časové razítko) pro doručení webu. Právním základem je čl. 6 odst. 1 písm. f GDPR (oprávněný zájem na spolehlivém poskytování). Vercel je certifikován podle EU-U.S. Data Privacy Framework.

Databáze: Jako databázovou službu používáme Supabase Inc. (San Francisco, CA, USA). Supabase ukládá uživatelské účty, profilové údaje, zahradní inventáře a postup v kurzech. Databáze je provozována v EU (Frankfurt nad Mohanem). Právním základem je čl. 6 odst. 1 písm. b GDPR (plnění smlouvy).

3. Jaké údaje shromažďujeme

a) Profilové údaje (při registraci)

Uživatelské jméno, e-mailová adresa, PSČ region (pouze první 2 číslice vašeho PSČ), země, velikost zahrady a typ zahrady. Úplné PSČ se neukládá — pouze PSČ region pro regionální doporučení rostlin. Tyto údaje jsou zpracovávány za účelem poskytování personalizovaného obsahu.

Právní základ: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

b) Zahradní inventář a seznamy přání

Vámi přidané rostliny a živočichové, seznamy přání a záznamy v zahradním inventáři. Tyto údaje slouží k výpočtu vašeho skóre biodiverzity a personalizovaných doporučení.

Právní základ: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

c) Agregované statistiky popularity

Na stránkách se seznamy rostlin zobrazujeme agregované počty, např. „382 zahradníků má tuto rostlinu". Tato čísla se vypočítávají jednoduchým součtem záznamů v zahradním inventáři napříč všemi uživateli. Přitom nejsou zpracovávány ani zveřejňovány žádné osobní údaje — pouze celkový počet záznamů na druh rostliny. Hodnoty pod 5 se zásadně nezobrazují (k-anonymita). Hodnoty jsou každou hodinu cachovány a jsou viditelné pro všechny návštěvníky stránek.

Právní základ: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Verbesserung des Nutzererlebnisses). Es findet keine Verarbeitung personenbezogener Daten statt.

c) Postup v kurzu a výsledky kvízů

Postup v kurzech akademie, dokončené lekce a výsledky kvízů. Slouží k ukládání vašeho studijního pokroku.

Právní základ: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

d) Analytika (anonymizovaná)

Shromažďujeme interní statistiky využití s nízkým využitím cookies pro zlepšení stability, obsahu a navigace Naturkompass. Zpracovávají se zobrazení stránek, doba trvání návštěvy, události opuštění, informace o odkazujících stránkách a základní technické údaje, jako je typ zařízení, velikost obrazovky a jazyk prohlížeče. Pro rozpoznání v rámci jednoho dne používáme denně se měnící SHA-256 Visitor-Hash. Nedochází k žádnému sledování mezi dny – hash se denně generuje znovu. Pro tuto analytickou funkci nepoužíváme žádné cookies a nevytváříme žádné osobní uživatelské profily.

Právní základ: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Verbesserung unseres Angebots)

e) Chatové zprávy (AI zahradní asistent)

Zprávy zaslané AI zahradnímu asistentovi jsou zpracovávány v reálném čase prostřednictvím streamování a nejsou trvale ukládány. Po ukončení chatové relace jsou zprávy odstraněny.

Právní základ: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

f) Analýza fotografií pro rozpoznávání rostlin a živočichů

Registrovaní uživatelé mohou nahrát fotografii pro AI rozpoznávání druhů. Obrázek je odeslán ke zpracování službě Google Gemini Vision a na straně serveru je zpracován pouze po dobu trvání požadavku. Není předáván žádným dalším externím vision fallback službám. Pokud stejnou fotografii uložíte do zahradního deníku, platí navíc pokyny pro fotografie v deníku.

Právní základ: Art. 6 Abs. 1 lit. b DSGVO (Bereitstellung der gewünschten Funktion)

g) Kontaktní a zpětnovazební formuláře

Pokud nám zašlete zprávu prostřednictvím kontaktního formuláře nebo formuláře zpětné vazby, uložíme vaši zprávu a případně vaši e-mailovou adresu pro vyřízení vašeho požadavku. U kontaktních dotazů je navíc prostřednictvím služby Brevo (Sendinblue GmbH, Berlín) odeslán e-mail s upozorněním našemu týmu.

Právní základ: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beantwortung von Anfragen)

h) Přihlášení k newsletteru

Při přihlášení k newsletteru ukládáme vaši e-mailovou adresu, čas souhlasu a stav vašeho souhlasu. Newsletter lze kdykoli odhlásit.

Právní základ: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)

i) B2B funkce (Widget & ESG)

Pro naše nabídky určené výhradně firmám, Naturkompass Widget a Naturkompass ESG, navíc zpracováváme firemní údaje, smluvní údaje, technické integrační údaje a protokoly o využití. Podrobnosti naleznete ve zvláštních B2B zásadách ochrany osobních údajů. B2B-Datenschutzhinweisen.

Právní základ: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. f DSGVO (Sicherheit, Missbrauchsschutz, Nachweisbarkeit)

4. Poskytovatelé třetích stran a přenos údajů

Využíváme následující poskytovatele třetích stran:

  • Supabase Inc.Databáze a autentizace. Umístění serveru: EU (Frankfurt). Zpracovává: uživatelský účet, profilové údaje, zahradní inventář, postup v kurzu.
  • Vercel Inc.Webhosting a CDN. Zpracovává: IP adresu, technické přístupové údaje. Certifikováno podle EU-U.S. Data Privacy Framework.
  • Anthropic / GoogleAI funkce. Chatové zprávy a při použití analýzy fotografií i nahrané obrázky jsou odesílány ke zpracování příslušnému poskytovateli AI. Naturkompass neprovádí trvalé ukládání chatových zpráv. Analýza fotografií využívá Google Gemini Vision bez dodatečného vision fallbacku. Anthropic a Google zpracovávají údaje v souladu se svými zásadami ochrany osobních údajů a podmínkami API.
  • YouTube (Google Ireland Limited)Vložená videa. Videa se načítají až po vašem výslovném souhlasu (řešení na dvě kliknutí). Teprve po kliknutí na „Načíst video" je navázáno spojení se servery YouTube. YouTube přitom může ukládat cookies a shromažďovat údaje o využití. Používáme rozšířený režim ochrany soukromí (youtube-nocookie.com).
  • Brevo (Sendinblue GmbH)Rozesílání newsletteru. Vaše e-mailová adresa je při přihlášení k newsletteru předána službě Brevo (Double-Opt-In). Brevo zpracovává údaje v EU. Právním základem je čl. 6 odst. 1 písm. a GDPR (souhlas).
  • Stripe Inc.Zpracování plateb. U placených funkcí (např. AI kredity) jsou platební údaje předávány přímo společnosti Stripe Inc. (510 Townsend Street, San Francisco, CA 94103, USA). Stripe zpracovává: jméno, e-mail, platební údaje (kreditní karta, SEPA, PayPal), IP adresu, údaje o zařízení. Stripe je certifikován podle EU-U.S. Data Privacy Framework. Právní základ: čl. 6 odst. 1 písm. b GDPR (plnění smlouvy).
  • Ecwid by LightspeedInternetový obchod. Vložený obchod provozuje společnost Ecwid (Lightspeed Commerce Inc., 700 Saint-Antoine Est, Montréal, QC H2Y 1A6, Kanada). Při návštěvě stránky obchodu může Ecwid ukládat technicky nezbytné cookies (košík, relace) a shromažďovat údaje o využití (IP adresa, informace o zařízení). Při objednávkách jsou údaje o objednávce a kontaktní údaje předávány společnosti Ecwid. Právní základ: čl. 6 odst. 1 písm. b GDPR (plnění smlouvy) nebo čl. 6 odst. 1 písm. f GDPR (oprávněný zájem na poskytování obchodu).
  • Billbee GmbHZpracování zakázek a fakturace. Pro vyřízení objednávek a vystavení faktur jsou údaje o objednávce předávány společnosti Billbee GmbH (Paulinenstr. 54, 32756 Detmold, Německo). Billbee zpracovává údaje výhradně v EU. Právní základ: čl. 6 odst. 1 písm. b GDPR (plnění smlouvy) a čl. 6 odst. 1 písm. c GDPR (zákonné archivační povinnosti).
  • Cloudflare R2Ukládání médií. Obrázky a mediální soubory (např. fotografie druhů, fotografie z deníku, certifikační fotografie, PDF faktury) jsou ukládány u Cloudflare Inc. (101 Townsend St, San Francisco, CA 94107, USA) na R2 Object Storage. Cloudflare je certifikován podle EU-U.S. Data Privacy Framework. Cloudflare nejsou předávány žádné osobní údaje návštěvníků webu — pouze samotné mediální soubory. Právní základ: čl. 6 odst. 1 písm. f GDPR (oprávněný zájem na efektivním poskytování médií).
  • Upstash Inc.Rate-Limiting. Pro zabezpečení proti zneužití (např. u AI chatu) používáme Upstash Redis (Upstash Inc., San Francisco, CA, USA) pro dočasné čítače rate-limitu. Přitom je anonymizovaný hash vaší IP adresy uložen maximálně na 60 sekund. U Upstash nejsou trvale uloženy žádné údaje v čistém textu ani osobní informace. Právní základ: čl. 6 odst. 1 písm. f GDPR (oprávněný zájem na bezpečnosti platformy).

3d) Fotografie v pozorováních (Zahradní deník)

Uživatelé mohou do zahradního deníku nahrávat fotografie k pozorováním. Přitom platí následující opatření na ochranu osobních údajů:

  • EXIF metadata jsou odstraněna: Při nahrávání jsou veškerá EXIF metadata (včetně GPS souřadnic, modelu fotoaparátu a časového razítka) na straně serveru automaticky odstraněna. Ukládají se výhradně obrazová data bez metadat.
  • Viditelné pouze soukromě: Nahrané fotografie jsou viditelné výhradně pro příslušného uživatele. Nedochází k žádnému veřejnému zobrazení, sociálnímu feedu ani předávání jiným uživatelům.
  • Místo uložení: Fotos werden auf Cloudflare R2 Object Storage gespeichert (siehe oben). Die Bilder werden beim Upload in das WebP-Format konvertiert und auf maximal 1600 px Breite skaliert, um Speicher zu minimieren.
  • Löschung: Beim Löschen einer Beobachtung werden das zugehörige Foto und die Vorschau sofort und unwiderruflich aus dem Speicher (Cloudflare R2) gelöscht. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch Upload-Aktion).

5. Cookies

Naturkompass verwendet ausschließlich technisch notwendige Cookies. Es werden keine Tracking- oder Werbe-Cookies eingesetzt. Schriftarten werden lokal von unseren eigenen Servern bereitgestellt — es findet keine Verbindung zu Google Fonts statt.

  • Supabase Auth Cookie — Speichert Ihre Anmeldesitzung (Session-Token). Wird bei Abmeldung gelöscht.
  • Beta-Gate Cookie — Speichert den Beta-Zugangsstatus während der geschlossenen Testphase.
  • Ecwid Shop-Cookies — Beim Besuch der Shop-Seite (/shop) kann der eingebettete Ecwid-Shop technisch notwendige Cookies setzen (Warenkorb-Session, Spracheinstellung). Diese Cookies werden nur auf der Shop-Seite geladen.
  • Newsletter-Popup (nk_popup_dismissed) — Speichert, ob das Newsletter-Popup geschlossen oder abonniert wurde. Enthält keine personenbezogenen Daten und dient ausschließlich der Benutzerfreundlichkeit (Präferenz-Cookie). Speicherdauer: 30 Tage.

Rechtsgrundlage: § 25 Abs. 2 TDDDG (technisch notwendige Cookies sind ohne Einwilligung zulässig)

6. Ihre Rechte (Betroffenenrechte)

Sie haben gemäß DSGVO folgende Rechte:

  • Auskunftsrecht (Art. 15)Sie können Auskunft über Ihre bei uns gespeicherten personenbezogenen Daten verlangen.
  • Berichtigungsrecht (Art. 16)Sie können die Berichtigung unrichtiger Daten verlangen.
  • Löschungsrecht (Art. 17)Sie können die Löschung Ihrer Daten verlangen, sofern keine gesetzliche Aufbewahrungspflicht besteht.
  • Einschränkung der Verarbeitung (Art. 18)Sie können die Einschränkung der Verarbeitung Ihrer Daten verlangen.
  • Datenportabilität (Art. 20)Sie können Ihre Daten in einem maschinenlesbaren Format erhalten.
  • Widerspruchsrecht (Art. 21)Sie können der Verarbeitung Ihrer Daten widersprechen, sofern diese auf berechtigtem Interesse basiert.
  • Widerruf der Einwilligung (Art. 7 Abs. 3)Eine erteilte Einwilligung (z.B. Newsletter) können Sie jederzeit mit Wirkung für die Zukunft widerrufen.

Zur Ausübung Ihrer Rechte kontaktieren Sie uns unter hallo@gartenexpedition.de.

Sie haben zudem das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO). Zuständig ist der Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen.

7. Aufbewahrungsfristen

  • Profilová data, zahradní inventář, seznamy přání, postup v kurzu — Bis zur Löschung Ihres Nutzerkontos. Sie können Ihr Konto jederzeit löschen.
  • Analytics-DatenAnalytics-Daten — Maximal 365 Tage, danach automatische Löschung. Durch den täglichen Hash-Wechsel ist keine Zuordnung zu einzelnen Personen möglich.
  • Chat-NachrichtenChat-Nachrichten — Werden nicht gespeichert (nur Streaming-Verarbeitung).
  • KI-FotoanalyseKI-Fotoanalyse — Hochgeladene Bilder werden nur zur Analyse verarbeitet und nicht gesondert als KI-Anfrage gespeichert; separat im Tagebuch gespeicherte Fotos bleiben bis zur Löschung des Eintrags erhalten.
  • Newsletter-DatenNewsletter-Daten — Bis zum Widerruf der Einwilligung.

8. Datensicherheit

Wir treffen folgende technische und organisatorische Maßnahmen zum Schutz Ihrer Daten:

  • HTTPS-VerschlüsselungAlle Datenübertragungen sind TLS-verschlüsselt.
  • Row Level Security (RLS)Datenbankzugriffe sind auf den jeweiligen Nutzer beschränkt. Jeder Nutzer kann nur seine eigenen Daten einsehen und bearbeiten.
  • Content Security Policy (CSP)Strikte Sicherheitsheader verhindern Cross-Site-Scripting und andere Angriffe.
  • JWT-AuthentifizierungSichere, tokenbasierte Authentifizierung über Supabase Auth.

9. Kinderwelt — Kinder-Datenschutz (DSGVO Art. 8)

Der Bereich „Kinderwelt" richtet sich an Kinder ab 4 Jahren und wird stets unter Aufsicht eines Erziehungsberechtigten genutzt. Die Einrichtung und Verwaltung erfolgt ausschließlich über das Eltern-Konto.

Welche Daten wir verarbeiten:

  • Kinder-Profile (Slots): Vorname und ein Emoji-Icon. Es werden keine Geburtsdaten, Nachnamen oder sonstigen personenbezogenen Daten der Kinder gespeichert.
  • Forschertagebuch-Fotos: Fotos werden automatisch von EXIF-Metadaten (inkl. GPS-Koordinaten) bereinigt, auf maximal 1200×1200 Pixel verkleinert und als WebP in Cloudflare R2 gespeichert.
  • Sammelkarten & Sterne: Der Fortschritt (gesammelte Karten, Sternkonto, abgeschlossene Missionen) wird dem Eltern-Konto zugeordnet, nicht einem eigenständigen Kinderkonto.
  • Hörspiel-Streaming: Audiodaten werden über signierte URLs von Cloudflare R2 bereitgestellt. Es wird kein persönliches Nutzungsprofil des Kindes erstellt.

Keine eigenständigen Kinderkonten: Kinder erhalten keinen eigenen Login. Alle Daten sind an das Eltern-Konto gebunden und können dort jederzeit eingesehen und gelöscht werden.

Löschung: Beim Entfernen eines Kinder-Slots werden alle zugehörigen Tagebuch-Einträge (inkl. Fotos), Sammelkarten und Missions-Fortschritte unwiderruflich gelöscht.

10. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder bei Änderungen des Dienstes anzupassen. Die aktuelle Version finden Sie stets auf dieser Seite. Bei wesentlichen Änderungen informieren wir registrierte Nutzer per E-Mail.