Privacy Policy

Responsible for data processing on this website is:

Alexander Göcke

Gartenexpedition (Sole proprietorship)

Fellackerstr. 4a

47495 Rheinberg, Germany

Email: hallo@gartenexpedition.de

Phone: +49 151-68131395

Web hosting: This website is hosted by Vercel Inc. (340 S Lemon Ave #4133, Walnut, CA 91789, USA). Vercel processes technically necessary data (IP address, timestamp) for the delivery of the website. The legal basis is Art. 6(1)(f) GDPR (legitimate interest in reliable provision). Vercel is certified under the EU-U.S. Data Privacy Framework.

Database: We use Supabase Inc. (San Francisco, CA, USA) as a database service. Supabase stores user accounts, profile data, garden inventories and course progress. The database is operated in the EU (Frankfurt am Main). The legal basis is Art. 6(1)(b) GDPR (fulfilment of contract).

We use the following third-party providers:

• Supabase Inc. — Database & authentication. Server location: EU (Frankfurt). Processes: User account, profile data, garden inventory, course progress.
• Vercel Inc. — Web hosting & CDN. Processes: IP address, technical access data. EU-U.S. Data Privacy Framework certified.
• Anthropic / Google — AI functions. Chat messages and, when using photo analysis, uploaded images are transmitted to the respective AI provider for processing. There is no permanent storage of chat messages by Naturkompass. The photo analysis uses Google Gemini Vision without additional vision fallback. Anthropic and Google process the data in accordance with their respective privacy policies and API terms.
• YouTube (Google Ireland Limited) — Embedded videos. Videos are only loaded after your explicit consent (two-click solution). Only when you click on "Load video" is a connection to YouTube servers established. YouTube may set cookies and collect usage data. We use the enhanced privacy mode (youtube-nocookie.com).
• Brevo (Sendinblue GmbH) — Newsletter dispatch. Your email address is transmitted to Brevo when you subscribe to the newsletter (double opt-in). Brevo processes the data in the EU. The legal basis is Art. 6(1)(a) GDPR (consent).
• Stripe Inc. — Payment processing. For paid functions (e.g. AI credits), payment data is transmitted directly to Stripe Inc. (510 Townsend Street, San Francisco, CA 94103, USA). Stripe processes: Name, email, payment information (credit card, SEPA, PayPal), IP address, device data. Stripe is certified under the EU-U.S. Data Privacy Framework. Legal basis: Art. 6(1)(b) GDPR (fulfilment of contract).
• Ecwid by Lightspeed — Online-Shop. Der eingebettete Shop wird von Ecwid (Lightspeed Commerce Inc., 700 Saint-Antoine Est, Montréal, QC H2Y 1A6, Kanada) betrieben. Beim Besuch der Shop-Seite kann Ecwid technisch notwendige Cookies setzen (Warenkorb, Session) und Nutzungsdaten erheben (IP-Adresse, Geräteinformationen). Bei Bestellungen werden Bestell- und Kontaktdaten an Ecwid übermittelt. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bereitstellung des Shops).
• Billbee GmbH — Auftragsverarbeitung & Rechnungsstellung. Zur Abwicklung von Bestellungen und Erstellung von Rechnungen werden Bestelldaten an Billbee GmbH (Paulinenstr. 54, 32756 Detmold, Deutschland) übermittelt. Billbee verarbeitet die Daten ausschließlich in der EU. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Aufbewahrungspflichten).
• Cloudflare R2 — Medienspeicherung. Bilder und Mediendateien (z. B. Artenfotos, Tagebuchfotos, Zertifizierungsfotos, Rechnungs-PDFs) werden bei Cloudflare Inc. (101 Townsend St, San Francisco, CA 94107, USA) auf R2 Object Storage gespeichert. Cloudflare ist unter dem EU-U.S. Data Privacy Framework zertifiziert. Es werden keine personenbezogenen Daten der Websitebesucher an Cloudflare übermittelt — lediglich die Mediendateien selbst. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter Medienbereitstellung).
• Upstash Inc. — Rate-Limiting. Zur Absicherung gegen Missbrauch (z. B. beim KI-Chat) setzen wir Upstash Redis (Upstash Inc., San Francisco, CA, USA) für temporäre Rate-Limiting-Zähler ein. Dabei wird ein anonymisierter Hash Ihrer IP-Adresse für maximal 60 Sekunden gespeichert. Es werden keine Klartextdaten oder personenbezogene Informationen dauerhaft bei Upstash abgelegt. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit der Plattform).

3d) Fotos in Beobachtungen (Garten-Tagebuch)

Nutzer können im Garten-Tagebuch Fotos zu Beobachtungen hochladen. Dabei gelten folgende Datenschutzmaßnahmen:

• EXIF-Metadaten werden entfernt: Beim Upload werden sämtliche EXIF-Metadaten (einschließlich GPS-Koordinaten, Kameramodell und Zeitstempel) serverseitig automatisch entfernt. Es werden ausschließlich die Bilddaten ohne Metadaten gespeichert.
• Nur privat sichtbar: Hochgeladene Fotos sind ausschließlich für den jeweiligen Nutzer selbst sichtbar. Es findet keine öffentliche Anzeige, kein Social Feed und keine Weitergabe an andere Nutzer statt.
• Speicherort: Fotos werden auf Cloudflare R2 Object Storage gespeichert (siehe oben). Die Bilder werden beim Upload in das WebP-Format konvertiert und auf maximal 1600 px Breite skaliert, um Speicher zu minimieren.
• Löschung: Beim Löschen einer Beobachtung werden das zugehörige Foto und die Vorschau sofort und unwiderruflich aus dem Speicher (Cloudflare R2) gelöscht. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch Upload-Aktion).

Naturkompass verwendet ausschließlich technisch notwendige Cookies. Es werden keine Tracking- oder Werbe-Cookies eingesetzt. Schriftarten werden lokal von unseren eigenen Servern bereitgestellt — es findet keine Verbindung zu Google Fonts statt.

• Supabase Auth Cookie — Speichert Ihre Anmeldesitzung (Session-Token). Wird bei Abmeldung gelöscht.
• Beta-Gate Cookie — Speichert den Beta-Zugangsstatus während der geschlossenen Testphase.
• Ecwid Shop-Cookies — Beim Besuch der Shop-Seite (/shop) kann der eingebettete Ecwid-Shop technisch notwendige Cookies setzen (Warenkorb-Session, Spracheinstellung). Diese Cookies werden nur auf der Shop-Seite geladen.
• Newsletter-Popup (nk_popup_dismissed) — Speichert, ob das Newsletter-Popup geschlossen oder abonniert wurde. Enthält keine personenbezogenen Daten und dient ausschließlich der Benutzerfreundlichkeit (Präferenz-Cookie). Speicherdauer: 30 Tage.

Rechtsgrundlage: § 25 Abs. 2 TDDDG (technisch notwendige Cookies sind ohne Einwilligung zulässig)

Sie haben gemäß DSGVO folgende Rechte:

• Auskunftsrecht (Art. 15) — Sie können Auskunft über Ihre bei uns gespeicherten personenbezogenen Daten verlangen.
• Berichtigungsrecht (Art. 16) — Sie können die Berichtigung unrichtiger Daten verlangen.
• Löschungsrecht (Art. 17) — Sie können die Löschung Ihrer Daten verlangen, sofern keine gesetzliche Aufbewahrungspflicht besteht.
• Einschränkung der Verarbeitung (Art. 18) — Sie können die Einschränkung der Verarbeitung Ihrer Daten verlangen.
• Datenportabilität (Art. 20) — Sie können Ihre Daten in einem maschinenlesbaren Format erhalten.
• Widerspruchsrecht (Art. 21) — Sie können der Verarbeitung Ihrer Daten widersprechen, sofern diese auf berechtigtem Interesse basiert.
• Widerruf der Einwilligung (Art. 7 Abs. 3) — Eine erteilte Einwilligung (z.B. Newsletter) können Sie jederzeit mit Wirkung für die Zukunft widerrufen.

Zur Ausübung Ihrer Rechte kontaktieren Sie uns unter hallo@gartenexpedition.de.

Sie haben zudem das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO). Zuständig ist der Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen.

• Profile data, garden inventory, watch lists, course progress — Bis zur Löschung Ihres Nutzerkontos. Sie können Ihr Konto jederzeit löschen.
• Analytics-Daten — Analytics-Daten — Maximal 365 Tage, danach automatische Löschung. Durch den täglichen Hash-Wechsel ist keine Zuordnung zu einzelnen Personen möglich.
• Chat-Nachrichten — Chat-Nachrichten — Werden nicht gespeichert (nur Streaming-Verarbeitung).
• KI-Fotoanalyse — KI-Fotoanalyse — Hochgeladene Bilder werden nur zur Analyse verarbeitet und nicht gesondert als KI-Anfrage gespeichert; separat im Tagebuch gespeicherte Fotos bleiben bis zur Löschung des Eintrags erhalten.
• Newsletter-Daten — Newsletter-Daten — Bis zum Widerruf der Einwilligung.

Wir treffen folgende technische und organisatorische Maßnahmen zum Schutz Ihrer Daten:

• HTTPS-Verschlüsselung — Alle Datenübertragungen sind TLS-verschlüsselt.
• Row Level Security (RLS) — Datenbankzugriffe sind auf den jeweiligen Nutzer beschränkt. Jeder Nutzer kann nur seine eigenen Daten einsehen und bearbeiten.
• Content Security Policy (CSP) — Strikte Sicherheitsheader verhindern Cross-Site-Scripting und andere Angriffe.
• JWT-Authentifizierung — Sichere, tokenbasierte Authentifizierung über Supabase Auth.

Der Bereich „Kinderwelt" richtet sich an Kinder ab 4 Jahren und wird stets unter Aufsicht eines Erziehungsberechtigten genutzt. Die Einrichtung und Verwaltung erfolgt ausschließlich über das Eltern-Konto.

Welche Daten wir verarbeiten:

• Kinder-Profile (Slots): Vorname und ein Emoji-Icon. Es werden keine Geburtsdaten, Nachnamen oder sonstigen personenbezogenen Daten der Kinder gespeichert.
• Forschertagebuch-Fotos: Fotos werden automatisch von EXIF-Metadaten (inkl. GPS-Koordinaten) bereinigt, auf maximal 1200×1200 Pixel verkleinert und als WebP in Cloudflare R2 gespeichert.
• Sammelkarten & Sterne: Der Fortschritt (gesammelte Karten, Sternkonto, abgeschlossene Missionen) wird dem Eltern-Konto zugeordnet, nicht einem eigenständigen Kinderkonto.
• Hörspiel-Streaming: Audiodaten werden über signierte URLs von Cloudflare R2 bereitgestellt. Es wird kein persönliches Nutzungsprofil des Kindes erstellt.

Keine eigenständigen Kinderkonten: Kinder erhalten keinen eigenen Login. Alle Daten sind an das Eltern-Konto gebunden und können dort jederzeit eingesehen und gelöscht werden.

Löschung: Beim Entfernen eines Kinder-Slots werden alle zugehörigen Tagebuch-Einträge (inkl. Fotos), Sammelkarten und Missions-Fortschritte unwiderruflich gelöscht.