Liigu põhisisu juurde
Tagasi avalehele

Privaatsuspoliitika

Vastavalt GDPR-ile · Seisuga: aprill 2026

1. Vastutav töötleja

Selle veebisaidi andmetöötluse eest vastutab:

Alexander Göcke

Gartenexpedition (füüsilisest isikust ettevõtja)

Fellackerstr. 4a

47495 Rheinberg, Saksamaa

E-post: hallo@gartenexpedition.de

Telefon: +49 151-68131395

2. Majutus ja infrastruktuur

Veebimajutus: Seda veebisaiti majutab Vercel Inc. (340 S Lemon Ave #4133, Walnut, CA 91789, USA). Vercel töötleb tehniliselt vajalikke andmeid (IP-aadress, ajatempel) veebisaidi edastamiseks. Õiguslik alus on GDPR-i artikli 6 lõike 1 punkt f (õigustatud huvi usaldusväärse teenuse pakkumiseks). Vercel on sertifitseeritud EL-USA andmekaitse raamistiku alusel.

Andmebaas: Kasutame andmebaasiteenusena Supabase Inc.-i (San Francisco, CA, USA). Supabase salvestab kasutajakontod, profiiliandmed, aia inventari ja kursuste edenemise. Andmebaasi hallatakse EL-is (Frankfurt am Main). Õiguslik alus on GDPR-i artikli 6 lõike 1 punkt b (lepingu täitmine).

3. Milliseid andmeid me kogume

a) Profiiliandmed (registreerimisel)

Kasutajanimi, e-posti aadress, sihtnumber (ainult esimesed 2 numbrit), riik, aia suurus ja aia tüüp. Täielikku sihtnumbrit ei salvestata — ainult piirkond piirkondlike taimesoovituste jaoks. Neid andmeid töödeldakse isikupärastatud sisu pakkumiseks.

Õiguslik alus: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

b) Aia inventar ja nimekirjad

Sinu lisatud taimed ja loomad, nimekirjad ja aia inventari kirjed. Need andmed aitavad arvutada sinu elurikkuse skoori ja isikupärastatud soovitusi.

Õiguslik alus: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

c) Koondatud populaarsusstatistika

Taimelehtedel näitame koondatud loendureid, nt „382 aednikku on selle taime valinud". Need arvud arvutatakse kõigi kasutajate aia inventari kirjete põhjal. Isikuandmeid ei töödelda ega avaldata — ainult taime liikide koguarv. Alla 5-seid loendureid ei kuvata (k-anonüümsus). Loendurid uuenevad kord tunnis ja on nähtavad kõigile külastajatele.

Õiguslik alus: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Verbesserung des Nutzererlebnisses). Es findet keine Verarbeitung personenbezogener Daten statt.

c) Kursuse edenemine ja viktoriini tulemused

Edenemine akadeemia kursustel, läbitud õppetunnid ja viktoriini tulemused. Kasutatakse õppimise edenemise salvestamiseks.

Õiguslik alus: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

d) Analüütika (anonüümne)

Kogume sisemist, vähese küpsiste kasutamisega statistikat, et parandada Naturkompassi stabiilsust, sisu ja navigeerimist. Töödeldakse lehevaatamisi, viibimisaega, väljumisi, viiteallikaid ja tehnilisi andmeid (seadme tüüp, ekraani suurus, brauseri keel). Ühe päeva jooksul tuvastamiseks kasutame iga päev muutuvat SHA-256 külastaja-räsi. Päevadeülest jälgimist ei toimu – räsi genereeritakse iga päev uuesti. Me ei kasuta selleks küpsiseid ega loo isikustatud profiile.

Õiguslik alus: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Verbesserung unseres Angebots)

e) Vestlussõnumid (AI-aiaassistent)

AI-aiaassistendile saadetud sõnumid töödeldakse reaalajas voogedastuse kaudu ja neid ei salvestata püsivalt. Pärast vestluse lõpetamist sõnumid kustutatakse.

Õiguslik alus: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

f) Fotoanalüüs taimede ja loomade tuvastamiseks

Registreeritud kasutajad saavad üles laadida foto AI-põhiseks liigituvastuseks. Pilt edastatakse analüüsiks Google Gemini Visionile ja seda töödeldakse serveris ainult päringu kestuse ajal. Seda ei edastata täiendavatele välistele teenustele. Kui salvestad sama foto aia päevikusse, kehtivad lisaks päeviku fotode juhised.

Õiguslik alus: Art. 6 Abs. 1 lit. b DSGVO (Bereitstellung der gewünschten Funktion)

g) Kontakt- ja tagasisidevormid

Kui saadad meile sõnumi kontaktivormi kaudu, salvestame sinu sõnumi ja vajadusel e-posti aadressi päringu töötlemiseks. Kontaktpäringute korral edastatakse teavitusmeil meie meeskonnale Brevo (Sendinblue GmbH, Berliin) teenuse kaudu.

Õiguslik alus: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beantwortung von Anfragen)

h) Uudiskirjaga liitumine

Uudiskirjaga liitumisel salvestame sinu e-posti aadressi, nõusoleku aja ja staatuse. Uudiskirjast saab igal ajal loobuda.

Õiguslik alus: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)

i) B2B-funktsioonid (vidin ja ESG)

Ettevõtetele suunatud Naturkompassi vidina ja ESG-teenuste puhul töötleme lisaks ettevõtte andmeid, lepinguandmeid, tehnilisi integratsiooniandmeid ja kasutusprotokolle. Üksikasjad on toodud eraldi B2B-privaatsusteates. B2B-Datenschutzhinweisen.

Õiguslik alus: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. f DSGVO (Sicherheit, Missbrauchsschutz, Nachweisbarkeit)

4. Kolmandad osapooled ja andmeedastus

Kasutame järgmisi kolmandaid osapooli:

  • Supabase Inc.Andmebaas ja autentimine. Serveri asukoht: EL (Frankfurt). Töödeldakse: kasutajakonto, profiiliandmed, aia inventar, kursuse edenemine.
  • Vercel Inc.Veebimajutus ja CDN. Töödeldakse: IP-aadress, tehnilised juurdepääsuandmed. Sertifitseeritud EL-USA andmekaitse raamistiku alusel.
  • Anthropic / GoogleAI-funktsioonid. Vestlussõnumid ja fotoanalüüsi pildid edastatakse töötlemiseks vastavale AI-teenuse pakkujale. Naturkompass ei salvesta vestlussõnumeid püsivalt. Fotoanalüüs kasutab Google Gemini Visioni. Anthropic ja Google töötlevad andmeid vastavalt oma privaatsuspoliitikale ja API-tingimustele.
  • YouTube (Google Ireland Limited)Manustatud videod. Videod laaditakse alles pärast sinu selgesõnalist nõusolekut (kahe kliki lahendus). Alles „Video laadimine" nupule vajutamisel luuakse ühendus YouTube'i serveritega. YouTube võib seada küpsiseid ja koguda kasutusandmeid. Kasutame täiustatud privaatsusrežiimi (youtube-nocookie.com).
  • Brevo (Sendinblue GmbH)Uudiskirja saatmine. Sinu e-posti aadress edastatakse uudiskirjaga liitumisel Brevole (Double-Opt-In). Brevo töötleb andmeid EL-is. Õiguslik alus on GDPR-i artikli 6 lõike 1 punkt a (nõusolek).
  • Stripe Inc.Maksete töötlemine. Tasuliste funktsioonide (nt AI-krediidid) puhul edastatakse makseandmed otse Stripe Inc.-ile (510 Townsend Street, San Francisco, CA 94103, USA). Stripe töötleb: nimi, e-post, makseteave (krediitkaart, SEPA, PayPal), IP-aadress, seadme andmed. Stripe on sertifitseeritud EL-USA andmekaitse raamistiku alusel. Õiguslik alus: GDPR-i artikli 6 lõike 1 punkt b (lepingu täitmine).
  • Ecwid by LightspeedVeebipood. Manustatud poodi haldab Ecwid (Lightspeed Commerce Inc., 700 Saint-Antoine Est, Montréal, QC H2Y 1A6, Kanada). Poe külastamisel võib Ecwid seada tehniliselt vajalikke küpsiseid (ostukorv, sessioon) ja koguda kasutusandmeid (IP-aadress, seadme teave). Tellimuste korral edastatakse tellimuse ja kontaktandmed Ecwidile. Õiguslik alus: GDPR-i artikli 6 lõike 1 punkt b (lepingu täitmine) või punkt f (õigustatud huvi poe pakkumiseks).
  • Billbee GmbHTellimuste töötlemine ja arveldamine. Tellimuste haldamiseks ja arvete koostamiseks edastatakse tellimuse andmed Billbee GmbH-le (Paulinenstr. 54, 32756 Detmold, Saksamaa). Billbee töötleb andmeid ainult EL-is. Õiguslik alus: GDPR-i artikli 6 lõike 1 punkt b (lepingu täitmine) ja punkt c (seadusest tulenevad säilitamiskohustused).
  • Cloudflare R2Meediasalvestus. Pildid ja meediumifailid (nt liikide fotod, päevikufotod, sertifikaadid, arvete PDF-id) salvestatakse Cloudflare Inc.-i (101 Townsend St, San Francisco, CA 94107, USA) R2 Object Storage'is. Cloudflare on sertifitseeritud EL-USA andmekaitse raamistiku alusel. Veebisaidi külastajate isikuandmeid Cloudflare'ile ei edastata — ainult meediumifailid ise. Õiguslik alus: GDPR-i artikli 6 lõike 1 punkt f (õigustatud huvi tõhusaks meedia edastamiseks).
  • Upstash Inc.Kiiruse piiramine (Rate-Limiting). Kuritarvituste vältimiseks (nt AI-vestluses) kasutame Upstash Redist (Upstash Inc., San Francisco, CA, USA) ajutiste piirangute jaoks. Seejuures salvestatakse sinu IP-aadressi anonüümne räsi maksimaalselt 60 sekundiks. Upstashi ei salvestata püsivalt selgesõnalisi andmeid ega isikuandmeid. Õiguslik alus: GDPR-i artikli 6 lõike 1 punkt f (õigustatud huvi platvormi turvalisuse tagamiseks).

3d) Fotod vaatlustes (aia päevik)

Kasutajad saavad aia päevikusse vaatluste kohta fotosid üles laadida. Kehtivad järgmised andmekaitsemeetmed:

  • EXIF-metaandmed eemaldatakse: Üleslaadimisel eemaldatakse serveris automaatselt kõik EXIF-metaandmed (sh GPS-koordinaadid, kaamera mudel ja ajatempel). Salvestatakse ainult pildiandmed ilma metaandmeteta.
  • Nähtav ainult privaatselt: Üleslaaditud fotod on nähtavad ainult kasutajale endale. Avalikku kuvamist, sotsiaalvoogu ega teistele kasutajatele edastamist ei toimu.
  • Salvestuskoht: Fotod salvestatakse Cloudflare R2 Object Storage'is (vt eespool). Pildid teisendatakse üleslaadimisel WebP-vormingusse ja skaleeritakse maksimaalselt 1600 px laiuseks, et minimeerida salvestusruumi.
  • Kustutamine: Beim Löschen einer Beobachtung werden das zugehörige Foto und die Vorschau sofort und unwiderruflich aus dem Speicher (Cloudflare R2) gelöscht. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch Upload-Aktion).

5. Cookies

Naturkompass verwendet ausschließlich technisch notwendige Cookies. Es werden keine Tracking- oder Werbe-Cookies eingesetzt. Schriftarten werden lokal von unseren eigenen Servern bereitgestellt — es findet keine Verbindung zu Google Fonts statt.

  • Supabase Auth Cookie — Speichert Ihre Anmeldesitzung (Session-Token). Wird bei Abmeldung gelöscht.
  • Beta-Gate Cookie — Speichert den Beta-Zugangsstatus während der geschlossenen Testphase.
  • Ecwid Shop-Cookies — Beim Besuch der Shop-Seite (/shop) kann der eingebettete Ecwid-Shop technisch notwendige Cookies setzen (Warenkorb-Session, Spracheinstellung). Diese Cookies werden nur auf der Shop-Seite geladen.
  • Newsletter-Popup (nk_popup_dismissed) — Speichert, ob das Newsletter-Popup geschlossen oder abonniert wurde. Enthält keine personenbezogenen Daten und dient ausschließlich der Benutzerfreundlichkeit (Präferenz-Cookie). Speicherdauer: 30 Tage.

Rechtsgrundlage: § 25 Abs. 2 TDDDG (technisch notwendige Cookies sind ohne Einwilligung zulässig)

6. Ihre Rechte (Betroffenenrechte)

Sie haben gemäß DSGVO folgende Rechte:

  • Auskunftsrecht (Art. 15)Sie können Auskunft über Ihre bei uns gespeicherten personenbezogenen Daten verlangen.
  • Berichtigungsrecht (Art. 16)Sie können die Berichtigung unrichtiger Daten verlangen.
  • Löschungsrecht (Art. 17)Sie können die Löschung Ihrer Daten verlangen, sofern keine gesetzliche Aufbewahrungspflicht besteht.
  • Einschränkung der Verarbeitung (Art. 18)Sie können die Einschränkung der Verarbeitung Ihrer Daten verlangen.
  • Datenportabilität (Art. 20)Sie können Ihre Daten in einem maschinenlesbaren Format erhalten.
  • Widerspruchsrecht (Art. 21)Sie können der Verarbeitung Ihrer Daten widersprechen, sofern diese auf berechtigtem Interesse basiert.
  • Widerruf der Einwilligung (Art. 7 Abs. 3)Eine erteilte Einwilligung (z.B. Newsletter) können Sie jederzeit mit Wirkung für die Zukunft widerrufen.

Zur Ausübung Ihrer Rechte kontaktieren Sie uns unter hallo@gartenexpedition.de.

Sie haben zudem das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO). Zuständig ist der Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen.

7. Aufbewahrungsfristen

  • Profiiliandmed, aia inventar, märkmed, kursuse edenemine — Bis zur Löschung Ihres Nutzerkontos. Sie können Ihr Konto jederzeit löschen.
  • Analytics-DatenAnalytics-Daten — Maximal 365 Tage, danach automatische Löschung. Durch den täglichen Hash-Wechsel ist keine Zuordnung zu einzelnen Personen möglich.
  • Chat-NachrichtenChat-Nachrichten — Werden nicht gespeichert (nur Streaming-Verarbeitung).
  • KI-FotoanalyseKI-Fotoanalyse — Hochgeladene Bilder werden nur zur Analyse verarbeitet und nicht gesondert als KI-Anfrage gespeichert; separat im Tagebuch gespeicherte Fotos bleiben bis zur Löschung des Eintrags erhalten.
  • Newsletter-DatenNewsletter-Daten — Bis zum Widerruf der Einwilligung.

8. Datensicherheit

Wir treffen folgende technische und organisatorische Maßnahmen zum Schutz Ihrer Daten:

  • HTTPS-VerschlüsselungAlle Datenübertragungen sind TLS-verschlüsselt.
  • Row Level Security (RLS)Datenbankzugriffe sind auf den jeweiligen Nutzer beschränkt. Jeder Nutzer kann nur seine eigenen Daten einsehen und bearbeiten.
  • Content Security Policy (CSP)Strikte Sicherheitsheader verhindern Cross-Site-Scripting und andere Angriffe.
  • JWT-AuthentifizierungSichere, tokenbasierte Authentifizierung über Supabase Auth.

9. Kinderwelt — Kinder-Datenschutz (DSGVO Art. 8)

Der Bereich „Kinderwelt" richtet sich an Kinder ab 4 Jahren und wird stets unter Aufsicht eines Erziehungsberechtigten genutzt. Die Einrichtung und Verwaltung erfolgt ausschließlich über das Eltern-Konto.

Welche Daten wir verarbeiten:

  • Kinder-Profile (Slots): Vorname und ein Emoji-Icon. Es werden keine Geburtsdaten, Nachnamen oder sonstigen personenbezogenen Daten der Kinder gespeichert.
  • Forschertagebuch-Fotos: Fotos werden automatisch von EXIF-Metadaten (inkl. GPS-Koordinaten) bereinigt, auf maximal 1200×1200 Pixel verkleinert und als WebP in Cloudflare R2 gespeichert.
  • Sammelkarten & Sterne: Der Fortschritt (gesammelte Karten, Sternkonto, abgeschlossene Missionen) wird dem Eltern-Konto zugeordnet, nicht einem eigenständigen Kinderkonto.
  • Hörspiel-Streaming: Audiodaten werden über signierte URLs von Cloudflare R2 bereitgestellt. Es wird kein persönliches Nutzungsprofil des Kindes erstellt.

Keine eigenständigen Kinderkonten: Kinder erhalten keinen eigenen Login. Alle Daten sind an das Eltern-Konto gebunden und können dort jederzeit eingesehen und gelöscht werden.

Kustutamine: Beim Entfernen eines Kinder-Slots werden alle zugehörigen Tagebuch-Einträge (inkl. Fotos), Sammelkarten und Missions-Fortschritte unwiderruflich gelöscht.

10. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder bei Änderungen des Dienstes anzupassen. Die aktuelle Version finden Sie stets auf dieser Seite. Bei wesentlichen Änderungen informieren wir registrierte Nutzer per E-Mail.