Hyppää pääsisältöön
Takaisin etusivulle

Tietosuojaseloste

GDPR-mukainen · Päivitetty: huhtikuu 2026

1. Rekisterinpitäjä

Tämän verkkosivuston tietojenkäsittelystä vastaa:

Alexander Göcke

Gartenexpedition (yksityinen elinkeinonharjoittaja)

Fellackerstr. 4a

47495 Rheinberg, Saksa

Sähköposti: hallo@gartenexpedition.de

Puhelin: +49 151-68131395

2. Hosting ja infrastruktuuri

Web-hosting: Tätä sivustoa hostaa Vercel Inc. (340 S Lemon Ave #4133, Walnut, CA 91789, USA). Vercel käsittelee teknisesti välttämättömiä tietoja (IP-osoite, aikaleima) sivuston toimittamiseksi. Oikeusperuste on GDPR:n 6 artiklan 1 kohdan f alakohta (oikeutettu etu luotettavaan tarjoamiseen). Vercel on sertifioitu EU-U.S. Data Privacy Frameworkin mukaisesti.

Tietokanta: Käytämme Supabase Inc:iä (San Francisco, CA, USA) tietokantapalveluna. Supabase tallentaa käyttäjätilit, profiilitiedot, puutarhainventaariot ja kurssien edistymisen. Tietokantaa ylläpidetään EU:ssa (Frankfurt am Main). Oikeusperuste on GDPR:n 6 artiklan 1 kohdan b alakohta (sopimuksen täyttäminen).

3. Mitä tietoja keräämme

a) Profiilitiedot (rekisteröityessä)

Käyttäjätunnus, sähköpostiosoite, postinumeroalue (vain postinumeron kaksi ensimmäistä numeroa), maa, puutarhan koko ja tyyppi. Koko postinumeroa ei tallenneta — vain alueellisia kasvisuosituksia varten. Näitä tietoja käsitellään henkilökohtaisen sisällön tarjoamiseksi.

Oikeusperuste: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

b) Puutarhainventaario ja muistilistat

Lisäämäsi kasvit ja eläimet, muistilistat ja puutarhainventaariomerkinnät. Näitä tietoja käytetään biodiversiteettipisteesi laskemiseen ja henkilökohtaisiin suosituksiin.

Oikeusperuste: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

c) Aggregoidut suosiostatistiikat

Kasvilistasivuilla näytämme aggregoidut luvut, kuten „382 puutarhuria on valinnut tämän kasvin". Nämä luvut lasketaan laskemalla puutarhainventaariomerkinnät kaikkien käyttäjien kesken. Henkilötietoja ei käsitellä tai paljasteta — ainoastaan kokonaismäärä kasvilajia kohden. Alle 5 merkinnän lukuja ei näytetä (k-anonymiteetti). Luvut päivittyvät tunneittain ja ovat kaikkien sivuston kävijöiden nähtävissä.

Oikeusperuste: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Verbesserung des Nutzererlebnisses). Es findet keine Verarbeitung personenbezogener Daten statt.

c) Kurssien edistyminen ja tietovisan tulokset

Edistyminen akatemiakursseilla, suoritetut oppitunnit ja tietovisan tulokset. Käytetään oppimisen edistymisen tallentamiseen.

Oikeusperuste: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

d) Analytiikka (anonymisoitu)

Keräämme sisäisiä, evästeettömiä käyttöstatistiikkoja Naturkompassin vakauden, sisällön ja navigoinnin parantamiseksi. Käsittelemme sivunäyttöjä, viipymisaikaa, poistumistapahtumia, viittaustietoja ja teknisiä perustietoja, kuten laitteen tyyppiä, näytön kokoa ja selaimen kieltä. Käytämme päivittäin vaihtuvaa SHA-256-vierailijahashia tunnistamiseen päivän sisällä. Emme tee päivien välistä seurantaa – hash luodaan uudelleen joka päivä. Emme käytä evästeitä tähän analytiikkaan emmekä luo henkilökohtaisia käyttäjäprofiileja.

Oikeusperuste: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Verbesserung unseres Angebots)

e) Chat-viestit (AI-puutarha-avustaja)

AI-puutarha-avustajalle lähetetyt viestit käsitellään reaaliajassa suoratoistona, eikä niitä tallenneta pysyvästi. Chat-istunnon päätyttyä viestit hävitetään.

Oikeusperuste: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

f) Valokuva-analyysi kasvien ja eläinten tunnistamiseen

Rekisteröityneet käyttäjät voivat ladata kuvan tekoälypohjaista tunnistusta varten. Kuva lähetetään Google Gemini Visionille analysoitavaksi ja sitä käsitellään palvelimella vain pyynnön keston ajan. Sitä ei jaeta muille ulkoisille tunnistuspalveluille. Jos tallennat saman kuvan puutarhapäiväkirjaan, sovelletaan lisäksi päiväkirjakuvia koskevia ohjeita.

Oikeusperuste: Art. 6 Abs. 1 lit. b DSGVO (Bereitstellung der gewünschten Funktion)

g) Yhteydenotto- ja palautelomakkeet

Kun lähetät meille viestin yhteydenotto- tai palautelomakkeella, tallennamme viestisi ja mahdollisesti sähköpostiosoitteesi asian käsittelyä varten. Yhteydenottopyynnöissä tiimillemme välitetään lisäksi ilmoitussähköposti Brevo-palvelun (Sendinblue GmbH, Berliini) kautta.

Oikeusperuste: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beantwortung von Anfragen)

h) Uutiskirjeen tilaus

Uutiskirjeen tilauksen yhteydessä tallennamme sähköpostiosoitteesi, suostumuksen ajankohdan ja suostumuksen tilan. Uutiskirjeen voi peruuttaa milloin tahansa.

Oikeusperuste: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)

i) B2B-toiminnot (Widget & ESG)

Yrityksille suunnatuissa Naturkompass Widget- ja Naturkompass ESG -palveluissa käsittelemme lisäksi yritystietoja, sopimustietoja, teknisiä integraatiotietoja ja käyttölokeja. Yksityiskohdat löytyvät erillisistä B2B-tietosuojatiedoista. B2B-Datenschutzhinweisen.

Oikeusperuste: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. f DSGVO (Sicherheit, Missbrauchsschutz, Nachweisbarkeit)

4. Kolmannen osapuolen palvelut ja tiedonsiirto

Käytämme seuraavia kolmannen osapuolen palveluntarjoajia:

  • Supabase Inc.Tietokanta ja tunnistautuminen. Palvelimen sijainti: EU (Frankfurt). Käsittelee: käyttäjätili, profiilitiedot, puutarhainventaario, kurssien edistyminen.
  • Vercel Inc.Web-hosting ja CDN. Käsittelee: IP-osoite, tekniset pääsytiedot. EU-U.S. Data Privacy Framework -sertifioitu.
  • Anthropic / GoogleTekoälytoiminnot. Chat-viestit ja valokuva-analyysissä ladatut kuvat lähetetään käsiteltäväksi käytettävälle tekoälypalveluntarjoajalle. Naturkompass ei tallenna chat-viestejä pysyvästi. Valokuva-analyysi käyttää Google Gemini Visionia ilman lisäpalveluita. Anthropic ja Google käsittelevät tietoja omien tietosuojakäytäntöjensä ja API-ehtojensa mukaisesti.
  • YouTube (Google Ireland Limited)Upotetut videot. Videot ladataan vasta nimenomaisen suostumuksesi jälkeen (kahden klikkauksen ratkaisu). Vasta kun klikkaat „Lataa video", muodostetaan yhteys YouTuben palvelimiin. YouTube voi asettaa evästeitä ja kerätä käyttötietoja. Käytämme laajennettua tietosuoja-asetusta (youtube-nocookie.com).
  • Brevo (Sendinblue GmbH)Uutiskirjeiden lähetys. Sähköpostiosoitteesi välitetään uutiskirjeen tilauksen yhteydessä Brevolle (Double-Opt-In). Brevo käsittelee tiedot EU:ssa. Oikeusperuste on GDPR:n 6 artiklan 1 kohdan a alakohta (suostumus).
  • Stripe Inc.Maksunvälitys. Maksullisissa toiminnoissa (esim. AI-krediitit) maksutiedot välitetään suoraan Stripe Inc:lle (510 Townsend Street, San Francisco, CA 94103, USA). Stripe käsittelee: nimi, sähköposti, maksutiedot (luottokortti, SEPA, PayPal), IP-osoite, laitetiedot. Stripe on EU-U.S. Data Privacy Framework -sertifioitu. Oikeusperuste: GDPR:n 6 artiklan 1 kohdan b alakohta (sopimuksen täyttäminen).
  • Ecwid by LightspeedVerkkokauppa. Upotettua kauppaa ylläpitää Ecwid (Lightspeed Commerce Inc., 700 Saint-Antoine Est, Montréal, QC H2Y 1A6, Kanada). Kauppasivulla vieraillessa Ecwid voi asettaa teknisesti välttämättömiä evästeitä (ostoskori, istunto) ja kerätä käyttötietoja (IP-osoite, laitetiedot). Tilauksia tehtäessä tilaus- ja yhteystiedot välitetään Ecwidille. Oikeusperuste: GDPR:n 6 artiklan 1 kohdan b alakohta (sopimuksen täyttäminen) tai 6 artiklan 1 kohdan f alakohta (oikeutettu etu kaupan tarjoamiseen).
  • Billbee GmbHAuftragsverarbeitung & Rechnungsstellung. Zur Abwicklung von Bestellungen und Erstellung von Rechnungen werden Bestelldaten an Billbee GmbH (Paulinenstr. 54, 32756 Detmold, Deutschland) übermittelt. Billbee verarbeitet die Daten ausschließlich in der EU. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Aufbewahrungspflichten).
  • Cloudflare R2Medienspeicherung. Bilder und Mediendateien (z. B. Artenfotos, Tagebuchfotos, Zertifizierungsfotos, Rechnungs-PDFs) werden bei Cloudflare Inc. (101 Townsend St, San Francisco, CA 94107, USA) auf R2 Object Storage gespeichert. Cloudflare ist unter dem EU-U.S. Data Privacy Framework zertifiziert. Es werden keine personenbezogenen Daten der Websitebesucher an Cloudflare übermittelt — lediglich die Mediendateien selbst. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter Medienbereitstellung).
  • Upstash Inc.Rate-Limiting. Zur Absicherung gegen Missbrauch (z. B. beim KI-Chat) setzen wir Upstash Redis (Upstash Inc., San Francisco, CA, USA) für temporäre Rate-Limiting-Zähler ein. Dabei wird ein anonymisierter Hash Ihrer IP-Adresse für maximal 60 Sekunden gespeichert. Es werden keine Klartextdaten oder personenbezogene Informationen dauerhaft bei Upstash abgelegt. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit der Plattform).

3d) Fotos in Beobachtungen (Garten-Tagebuch)

Nutzer können im Garten-Tagebuch Fotos zu Beobachtungen hochladen. Dabei gelten folgende Datenschutzmaßnahmen:

  • EXIF-Metadaten werden entfernt: Beim Upload werden sämtliche EXIF-Metadaten (einschließlich GPS-Koordinaten, Kameramodell und Zeitstempel) serverseitig automatisch entfernt. Es werden ausschließlich die Bilddaten ohne Metadaten gespeichert.
  • Nur privat sichtbar: Hochgeladene Fotos sind ausschließlich für den jeweiligen Nutzer selbst sichtbar. Es findet keine öffentliche Anzeige, kein Social Feed und keine Weitergabe an andere Nutzer statt.
  • Speicherort: Fotos werden auf Cloudflare R2 Object Storage gespeichert (siehe oben). Die Bilder werden beim Upload in das WebP-Format konvertiert und auf maximal 1600 px Breite skaliert, um Speicher zu minimieren.
  • Löschung: Beim Löschen einer Beobachtung werden das zugehörige Foto und die Vorschau sofort und unwiderruflich aus dem Speicher (Cloudflare R2) gelöscht. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch Upload-Aktion).

5. Cookies

Naturkompass verwendet ausschließlich technisch notwendige Cookies. Es werden keine Tracking- oder Werbe-Cookies eingesetzt. Schriftarten werden lokal von unseren eigenen Servern bereitgestellt — es findet keine Verbindung zu Google Fonts statt.

  • Supabase Auth Cookie — Speichert Ihre Anmeldesitzung (Session-Token). Wird bei Abmeldung gelöscht.
  • Beta-Gate Cookie — Speichert den Beta-Zugangsstatus während der geschlossenen Testphase.
  • Ecwid Shop-Cookies — Beim Besuch der Shop-Seite (/shop) kann der eingebettete Ecwid-Shop technisch notwendige Cookies setzen (Warenkorb-Session, Spracheinstellung). Diese Cookies werden nur auf der Shop-Seite geladen.
  • Newsletter-Popup (nk_popup_dismissed) — Speichert, ob das Newsletter-Popup geschlossen oder abonniert wurde. Enthält keine personenbezogenen Daten und dient ausschließlich der Benutzerfreundlichkeit (Präferenz-Cookie). Speicherdauer: 30 Tage.

Rechtsgrundlage: § 25 Abs. 2 TDDDG (technisch notwendige Cookies sind ohne Einwilligung zulässig)

6. Ihre Rechte (Betroffenenrechte)

Sie haben gemäß DSGVO folgende Rechte:

  • Auskunftsrecht (Art. 15)Sie können Auskunft über Ihre bei uns gespeicherten personenbezogenen Daten verlangen.
  • Berichtigungsrecht (Art. 16)Sie können die Berichtigung unrichtiger Daten verlangen.
  • Löschungsrecht (Art. 17)Sie können die Löschung Ihrer Daten verlangen, sofern keine gesetzliche Aufbewahrungspflicht besteht.
  • Einschränkung der Verarbeitung (Art. 18)Sie können die Einschränkung der Verarbeitung Ihrer Daten verlangen.
  • Datenportabilität (Art. 20)Sie können Ihre Daten in einem maschinenlesbaren Format erhalten.
  • Widerspruchsrecht (Art. 21)Sie können der Verarbeitung Ihrer Daten widersprechen, sofern diese auf berechtigtem Interesse basiert.
  • Widerruf der Einwilligung (Art. 7 Abs. 3)Eine erteilte Einwilligung (z.B. Newsletter) können Sie jederzeit mit Wirkung für die Zukunft widerrufen.

Zur Ausübung Ihrer Rechte kontaktieren Sie uns unter hallo@gartenexpedition.de.

Sie haben zudem das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO). Zuständig ist der Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen.

7. Aufbewahrungsfristen

  • Profiilitiedot, puutarhainventaario, muistilistat, kurssien edistyminen — Bis zur Löschung Ihres Nutzerkontos. Sie können Ihr Konto jederzeit löschen.
  • Analytics-DatenAnalytics-Daten — Maximal 365 Tage, danach automatische Löschung. Durch den täglichen Hash-Wechsel ist keine Zuordnung zu einzelnen Personen möglich.
  • Chat-NachrichtenChat-Nachrichten — Werden nicht gespeichert (nur Streaming-Verarbeitung).
  • KI-FotoanalyseKI-Fotoanalyse — Hochgeladene Bilder werden nur zur Analyse verarbeitet und nicht gesondert als KI-Anfrage gespeichert; separat im Tagebuch gespeicherte Fotos bleiben bis zur Löschung des Eintrags erhalten.
  • Newsletter-DatenNewsletter-Daten — Bis zum Widerruf der Einwilligung.

8. Datensicherheit

Wir treffen folgende technische und organisatorische Maßnahmen zum Schutz Ihrer Daten:

  • HTTPS-VerschlüsselungAlle Datenübertragungen sind TLS-verschlüsselt.
  • Row Level Security (RLS)Datenbankzugriffe sind auf den jeweiligen Nutzer beschränkt. Jeder Nutzer kann nur seine eigenen Daten einsehen und bearbeiten.
  • Content Security Policy (CSP)Strikte Sicherheitsheader verhindern Cross-Site-Scripting und andere Angriffe.
  • JWT-AuthentifizierungSichere, tokenbasierte Authentifizierung über Supabase Auth.

9. Kinderwelt — Kinder-Datenschutz (DSGVO Art. 8)

Der Bereich „Kinderwelt" richtet sich an Kinder ab 4 Jahren und wird stets unter Aufsicht eines Erziehungsberechtigten genutzt. Die Einrichtung und Verwaltung erfolgt ausschließlich über das Eltern-Konto.

Welche Daten wir verarbeiten:

  • Kinder-Profile (Slots): Vorname und ein Emoji-Icon. Es werden keine Geburtsdaten, Nachnamen oder sonstigen personenbezogenen Daten der Kinder gespeichert.
  • Forschertagebuch-Fotos: Fotos werden automatisch von EXIF-Metadaten (inkl. GPS-Koordinaten) bereinigt, auf maximal 1200×1200 Pixel verkleinert und als WebP in Cloudflare R2 gespeichert.
  • Sammelkarten & Sterne: Der Fortschritt (gesammelte Karten, Sternkonto, abgeschlossene Missionen) wird dem Eltern-Konto zugeordnet, nicht einem eigenständigen Kinderkonto.
  • Hörspiel-Streaming: Audiodaten werden über signierte URLs von Cloudflare R2 bereitgestellt. Es wird kein persönliches Nutzungsprofil des Kindes erstellt.

Keine eigenständigen Kinderkonten: Kinder erhalten keinen eigenen Login. Alle Daten sind an das Eltern-Konto gebunden und können dort jederzeit eingesehen und gelöscht werden.

Löschung: Beim Entfernen eines Kinder-Slots werden alle zugehörigen Tagebuch-Einträge (inkl. Fotos), Sammelkarten und Missions-Fortschritte unwiderruflich gelöscht.

10. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder bei Änderungen des Dienstes anzupassen. Die aktuelle Version finden Sie stets auf dieser Seite. Bei wesentlichen Änderungen informieren wir registrierte Nutzer per E-Mail.