Ir al contenido principal
Volver a la página de inicio

Política de privacidad

Según RGPD · Fecha: abril 2026

1. Responsable

El responsable del tratamiento de datos en este sitio web es:

Alexander Göcke

Gartenexpedition (Empresa individual)

Fellackerstr. 4a

47495 Rheinberg, Alemania

Correo electrónico: hallo@gartenexpedition.de

Teléfono: +49 151-68131395

2. Hosting e infraestructura

Alojamiento web: Este sitio web está alojado en Vercel Inc. (340 S Lemon Ave #4133, Walnut, CA 91789, EE. UU.). Vercel procesa datos técnicamente necesarios (dirección IP, marca de tiempo) para la entrega del sitio web. La base legal es el Art. 6, apdo. 1, letra f del RGPD (interés legítimo en una prestación fiable). Vercel está certificado bajo el Marco de Privacidad de Datos UE-EE. UU.

Base de datos: Utilizamos Supabase Inc. (San Francisco, CA, EE. UU.) como servicio de base de datos. Supabase almacena cuentas de usuario, perfiles, inventarios de jardín y progreso de cursos. La base de datos se opera en la UE (Fráncfort del Meno). La base legal es el Art. 6, apdo. 1, letra b del RGPD (cumplimiento del contrato).

3. Qué datos recopilamos

a) Datos de perfil (al registrarse)

Nombre de usuario, dirección de correo electrónico, región del código postal (solo los 2 primeros dígitos), país, tamaño y tipo de jardín. El código postal completo no se almacena, solo la región para recomendaciones regionales de plantas. Estos datos se procesan para proporcionar contenido personalizado.

Base legal: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

b) Inventario de jardín y listas de deseos

Plantas y animales añadidos por usted, listas de deseos y entradas de inventario. Estos datos sirven para calcular su puntuación de biodiversidad y recomendaciones personalizadas.

Base legal: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

c) Estadísticas de popularidad agregadas

En las páginas de listas de plantas mostramos valores agregados como "382 jardineros tienen esta planta". Estas cifras se calculan contando entradas de inventario de todos los usuarios. No se procesan ni revelan datos personales, solo el número total de entradas por especie. Los valores inferiores a 5 no se muestran (k-anonimato). Los valores se actualizan cada hora y son visibles para todos los visitantes.

Base legal: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Verbesserung des Nutzererlebnisses). Es findet keine Verarbeitung personenbezogener Daten statt.

c) Progreso del curso y resultados de cuestionarios

Progreso en cursos de la academia, lecciones completadas y resultados de cuestionarios. Sirve para guardar su progreso de aprendizaje.

Base legal: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

d) Analítica (anonimizada)

Recopilamos estadísticas de uso internas y con pocas cookies para mejorar la estabilidad, el contenido y la navegación de Naturkompass. Se procesan visitas a páginas, tiempo de permanencia, eventos de salida, información de referencia y datos técnicos básicos como tipo de dispositivo, tamaño de pantalla e idioma del navegador. Para el reconocimiento dentro de un mismo día, usamos un hash de visitante SHA-256 que cambia diariamente. No hay seguimiento entre días: el hash se regenera cada día. Para esta función no usamos cookies ni creamos perfiles de usuario personales.

Base legal: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Verbesserung unseres Angebots)

e) Mensajes de chat (asistente de jardín IA)

Los mensajes al asistente de jardín IA se procesan en tiempo real mediante streaming y no se almacenan permanentemente. Al finalizar la sesión de chat, los mensajes se descartan.

Base legal: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

f) Análisis de fotos para reconocimiento de plantas y animales

Los usuarios registrados pueden subir una foto para el reconocimiento de especies asistido por IA. La imagen se transmite a Google Gemini Vision para su análisis y solo se procesa en el servidor durante la duración de la solicitud. No se transmite a servicios externos adicionales de visión. Si guarda la misma foto en el diario del jardín, se aplican además las notas sobre fotos del diario.

Base legal: Art. 6 Abs. 1 lit. b DSGVO (Bereitstellung der gewünschten Funktion)

g) Formularios de contacto y comentarios

Si nos envía un mensaje a través del formulario de contacto o comentarios, guardamos su mensaje y, si procede, su dirección de correo electrónico para procesar su solicitud. En las consultas de contacto, se reenvía un correo electrónico de notificación a nuestro equipo a través del servicio Brevo (Sendinblue GmbH, Berlín).

Base legal: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beantwortung von Anfragen)

h) Suscripción al boletín

Al suscribirse al boletín, guardamos su dirección de correo electrónico, el momento del consentimiento y su estado de consentimiento. El boletín puede cancelarse en cualquier momento.

Base legal: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)

i) Funciones B2B (Widget y ESG)

Para nuestras ofertas dirigidas exclusivamente a empresas (Naturkompass Widget y Naturkompass ESG), procesamos además datos de la empresa, datos contractuales, datos de integración técnica y registros de uso. Los detalles se encuentran en las notas de privacidad B2B separadas. B2B-Datenschutzhinweisen.

Base legal: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. f DSGVO (Sicherheit, Missbrauchsschutz, Nachweisbarkeit)

4. Proveedores externos y transmisión de datos

Utilizamos los siguientes proveedores externos:

  • Supabase Inc.Base de datos y autenticación. Ubicación del servidor: UE (Fráncfort). Procesado: cuenta de usuario, perfil, inventario, progreso del curso.
  • Vercel Inc.Alojamiento web y CDN. Procesado: dirección IP, datos técnicos de acceso. Certificado bajo el Marco de Privacidad de Datos UE-EE. UU.
  • Anthropic / GoogleFunciones de IA. Los mensajes de chat y, al usar el análisis de fotos, las imágenes subidas se transmiten al proveedor de IA utilizado para su procesamiento. No hay almacenamiento permanente de mensajes de chat por parte de Naturkompass. El análisis de fotos utiliza Google Gemini Vision sin respaldo adicional. Anthropic y Google procesan los datos según sus respectivas políticas de privacidad y condiciones de API.
  • YouTube (Google Ireland Limited)Vídeos incrustados. Los vídeos solo se cargan tras su consentimiento expreso (solución de dos clics). Solo al hacer clic en "Cargar vídeo" se establece una conexión con los servidores de YouTube. YouTube puede establecer cookies y recopilar datos de uso. Utilizamos el modo de privacidad mejorada (youtube-nocookie.com).
  • Brevo (Sendinblue GmbH)Envío de boletines. Su dirección de correo electrónico se transmite a Brevo al suscribirse (Double-Opt-In). Brevo procesa los datos en la UE. La base legal es el Art. 6, apdo. 1, letra a del RGPD (consentimiento).
  • Stripe Inc.Procesamiento de pagos. Para funciones de pago (ej. créditos de IA), los datos de pago se transmiten directamente a Stripe Inc. (510 Townsend Street, San Francisco, CA 94103, EE. UU.). Stripe procesa: nombre, correo electrónico, información de pago (tarjeta de crédito, SEPA, PayPal), dirección IP, datos del dispositivo. Stripe está certificado bajo el Marco de Privacidad de Datos UE-EE. UU. Base legal: Art. 6, apdo. 1, letra b del RGPD (cumplimiento del contrato).
  • Ecwid by LightspeedTienda online. La tienda incrustada es operada por Ecwid (Lightspeed Commerce Inc., 700 Saint-Antoine Est, Montreal, QC H2Y 1A6, Canadá). Al visitar la página de la tienda, Ecwid puede establecer cookies técnicamente necesarias (carrito, sesión) y recopilar datos de uso (dirección IP, información del dispositivo). En los pedidos, los datos de contacto y del pedido se transmiten a Ecwid. Base legal: Art. 6, apdo. 1, letra b del RGPD (cumplimiento del contrato) o Art. 6, apdo. 1, letra f del RGPD (interés legítimo en la prestación de la tienda).
  • Billbee GmbHProcesamiento de pedidos y facturación. Para gestionar pedidos y crear facturas, los datos se transmiten a Billbee GmbH (Paulinenstr. 54, 32756 Detmold, Alemania). Billbee procesa los datos exclusivamente en la UE. Base legal: Art. 6, apdo. 1, letra b del RGPD (cumplimiento del contrato) y Art. 6, apdo. 1, letra c del RGPD (obligaciones legales de conservación).
  • Cloudflare R2Almacenamiento de medios. Las imágenes y archivos multimedia (ej. fotos de especies, fotos del diario, fotos de certificación, facturas PDF) se almacenan en Cloudflare Inc. (101 Townsend St, San Francisco, CA 94107, EE. UU.) en R2 Object Storage. Cloudflare está certificado bajo el Marco de Privacidad de Datos UE-EE. UU. No se transmiten datos personales de los visitantes a Cloudflare, solo los archivos multimedia. Base legal: Art. 6, apdo. 1, letra f del RGPD (interés legítimo en la prestación eficiente de medios).
  • Upstash Inc.Limitación de tasa (Rate-Limiting). Para proteger contra abusos (ej. en el chat de IA), usamos Upstash Redis (Upstash Inc., San Francisco, CA, EE. UU.) para contadores temporales. Se almacena un hash anonimizado de su dirección IP durante un máximo de 60 segundos. No se almacenan datos en texto plano ni información personal permanentemente en Upstash. Base legal: Art. 6, apdo. 1, letra f del RGPD (interés legítimo en la seguridad de la plataforma).

3d) Fotos en observaciones (Diario del jardín)

Los usuarios pueden subir fotos de observaciones al diario del jardín. Se aplican las siguientes medidas de privacidad:

  • Los metadatos EXIF se eliminan: Al subir, todos los metadatos EXIF (incluidas coordenadas GPS, modelo de cámara y marca de tiempo) se eliminan automáticamente en el servidor. Solo se almacenan los datos de la imagen sin metadatos.
  • Nur privat sichtbar: Hochgeladene Fotos sind ausschließlich für den jeweiligen Nutzer selbst sichtbar. Es findet keine öffentliche Anzeige, kein Social Feed und keine Weitergabe an andere Nutzer statt.
  • Speicherort: Fotos werden auf Cloudflare R2 Object Storage gespeichert (siehe oben). Die Bilder werden beim Upload in das WebP-Format konvertiert und auf maximal 1600 px Breite skaliert, um Speicher zu minimieren.
  • Löschung: Beim Löschen einer Beobachtung werden das zugehörige Foto und die Vorschau sofort und unwiderruflich aus dem Speicher (Cloudflare R2) gelöscht. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch Upload-Aktion).

5. Cookies

Naturkompass verwendet ausschließlich technisch notwendige Cookies. Es werden keine Tracking- oder Werbe-Cookies eingesetzt. Schriftarten werden lokal von unseren eigenen Servern bereitgestellt — es findet keine Verbindung zu Google Fonts statt.

  • Supabase Auth Cookie — Speichert Ihre Anmeldesitzung (Session-Token). Wird bei Abmeldung gelöscht.
  • Beta-Gate Cookie — Speichert den Beta-Zugangsstatus während der geschlossenen Testphase.
  • Ecwid Shop-Cookies — Beim Besuch der Shop-Seite (/shop) kann der eingebettete Ecwid-Shop technisch notwendige Cookies setzen (Warenkorb-Session, Spracheinstellung). Diese Cookies werden nur auf der Shop-Seite geladen.
  • Newsletter-Popup (nk_popup_dismissed) — Speichert, ob das Newsletter-Popup geschlossen oder abonniert wurde. Enthält keine personenbezogenen Daten und dient ausschließlich der Benutzerfreundlichkeit (Präferenz-Cookie). Speicherdauer: 30 Tage.

Rechtsgrundlage: § 25 Abs. 2 TDDDG (technisch notwendige Cookies sind ohne Einwilligung zulässig)

6. Ihre Rechte (Betroffenenrechte)

Sie haben gemäß DSGVO folgende Rechte:

  • Auskunftsrecht (Art. 15)Sie können Auskunft über Ihre bei uns gespeicherten personenbezogenen Daten verlangen.
  • Berichtigungsrecht (Art. 16)Sie können die Berichtigung unrichtiger Daten verlangen.
  • Löschungsrecht (Art. 17)Sie können die Löschung Ihrer Daten verlangen, sofern keine gesetzliche Aufbewahrungspflicht besteht.
  • Einschränkung der Verarbeitung (Art. 18)Sie können die Einschränkung der Verarbeitung Ihrer Daten verlangen.
  • Datenportabilität (Art. 20)Sie können Ihre Daten in einem maschinenlesbaren Format erhalten.
  • Widerspruchsrecht (Art. 21)Sie können der Verarbeitung Ihrer Daten widersprechen, sofern diese auf berechtigtem Interesse basiert.
  • Widerruf der Einwilligung (Art. 7 Abs. 3)Eine erteilte Einwilligung (z.B. Newsletter) können Sie jederzeit mit Wirkung für die Zukunft widerrufen.

Zur Ausübung Ihrer Rechte kontaktieren Sie uns unter hallo@gartenexpedition.de.

Sie haben zudem das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO). Zuständig ist der Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen.

7. Aufbewahrungsfristen

  • Datos de perfil, inventario del jardín, listas de seguimiento, progreso del curso — Bis zur Löschung Ihres Nutzerkontos. Sie können Ihr Konto jederzeit löschen.
  • Analytics-DatenAnalytics-Daten — Maximal 365 Tage, danach automatische Löschung. Durch den täglichen Hash-Wechsel ist keine Zuordnung zu einzelnen Personen möglich.
  • Chat-NachrichtenChat-Nachrichten — Werden nicht gespeichert (nur Streaming-Verarbeitung).
  • KI-FotoanalyseKI-Fotoanalyse — Hochgeladene Bilder werden nur zur Analyse verarbeitet und nicht gesondert als KI-Anfrage gespeichert; separat im Tagebuch gespeicherte Fotos bleiben bis zur Löschung des Eintrags erhalten.
  • Newsletter-DatenNewsletter-Daten — Bis zum Widerruf der Einwilligung.

8. Datensicherheit

Wir treffen folgende technische und organisatorische Maßnahmen zum Schutz Ihrer Daten:

  • HTTPS-VerschlüsselungAlle Datenübertragungen sind TLS-verschlüsselt.
  • Row Level Security (RLS)Datenbankzugriffe sind auf den jeweiligen Nutzer beschränkt. Jeder Nutzer kann nur seine eigenen Daten einsehen und bearbeiten.
  • Content Security Policy (CSP)Strikte Sicherheitsheader verhindern Cross-Site-Scripting und andere Angriffe.
  • JWT-AuthentifizierungSichere, tokenbasierte Authentifizierung über Supabase Auth.

9. Kinderwelt — Kinder-Datenschutz (DSGVO Art. 8)

Der Bereich „Kinderwelt" richtet sich an Kinder ab 4 Jahren und wird stets unter Aufsicht eines Erziehungsberechtigten genutzt. Die Einrichtung und Verwaltung erfolgt ausschließlich über das Eltern-Konto.

Welche Daten wir verarbeiten:

  • Kinder-Profile (Slots): Vorname und ein Emoji-Icon. Es werden keine Geburtsdaten, Nachnamen oder sonstigen personenbezogenen Daten der Kinder gespeichert.
  • Forschertagebuch-Fotos: Fotos werden automatisch von EXIF-Metadaten (inkl. GPS-Koordinaten) bereinigt, auf maximal 1200×1200 Pixel verkleinert und als WebP in Cloudflare R2 gespeichert.
  • Sammelkarten & Sterne: Der Fortschritt (gesammelte Karten, Sternkonto, abgeschlossene Missionen) wird dem Eltern-Konto zugeordnet, nicht einem eigenständigen Kinderkonto.
  • Hörspiel-Streaming: Audiodaten werden über signierte URLs von Cloudflare R2 bereitgestellt. Es wird kein persönliches Nutzungsprofil des Kindes erstellt.

Keine eigenständigen Kinderkonten: Kinder erhalten keinen eigenen Login. Alle Daten sind an das Eltern-Konto gebunden und können dort jederzeit eingesehen und gelöscht werden.

Löschung: Beim Entfernen eines Kinder-Slots werden alle zugehörigen Tagebuch-Einträge (inkl. Fotos), Sammelkarten und Missions-Fortschritte unwiderruflich gelöscht.

10. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder bei Änderungen des Dienstes anzupassen. Die aktuelle Version finden Sie stets auf dieser Seite. Bei wesentlichen Änderungen informieren wir registrierte Nutzer per E-Mail.