Aller au contenu principal
Retour à l'accueil

Politique de confidentialité

Conforme au RGPD · État : avril 2026

1. Responsable du traitement

Le responsable du traitement des données sur ce site est :

Alexander Göcke

Gartenexpedition (Entreprise individuelle)

Fellackerstr. 4a

47495 Rheinberg, Allemagne

E-mail : hallo@gartenexpedition.de

Téléphone : +49 151-68131395

2. Hébergement et infrastructure

Hébergement web : Ce site est hébergé par Vercel Inc. (340 S Lemon Ave #4133, Walnut, CA 91789, USA). Vercel traite les données techniquement nécessaires (adresse IP, horodatage) pour la livraison du site. La base juridique est l'art. 6 al. 1 lit. f du RGPD (intérêt légitime à une fourniture fiable). Vercel est certifié sous le cadre de protection des données UE-États-Unis.

Base de données : Nous utilisons Supabase Inc. (San Francisco, CA, USA) comme service de base de données. Supabase stocke les comptes utilisateurs, profils, inventaires de jardin et progressions de cours. La base de données est exploitée dans l'UE (Francfort-sur-le-Main). La base juridique est l'art. 6 al. 1 lit. b du RGPD (exécution du contrat).

3. Quelles données nous collectons

a) Données de profil (lors de l'inscription)

Nom d'utilisateur, adresse e-mail, région du code postal (seulement les 2 premiers chiffres), pays, taille et type de jardin. Le code postal complet n'est pas stocké — seulement la région pour des recommandations régionales. Ces données sont traitées pour fournir des contenus personnalisés.

Base juridique : Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

b) Inventaire de jardin et listes de favoris

Plantes et animaux ajoutés par vous, listes de favoris et entrées d'inventaire. Ces données servent à calculer votre score de biodiversité et des recommandations personnalisées.

Base juridique : Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

c) Statistiques de popularité agrégées

Sur les pages de listes de plantes, nous affichons des valeurs agrégées comme « 382 jardiniers ont cette plante ». Ces chiffres sont calculés en comptant simplement les entrées d'inventaire de tous les utilisateurs. Aucune donnée personnelle n'est traitée ou divulguée — uniquement le nombre total d'entrées par espèce. Les valeurs inférieures à 5 ne sont pas affichées (k-anonymat). Les valeurs sont mises en cache toutes les heures.

Base juridique : Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Verbesserung des Nutzererlebnisses). Es findet keine Verarbeitung personenbezogener Daten statt.

c) Progression des cours et résultats de quiz

Progression dans les cours de l'académie, leçons terminées et résultats de quiz. Sert à stocker votre progression d'apprentissage.

Base juridique : Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

d) Analytics (anonymisé)

Nous collectons des statistiques d'utilisation internes et peu intrusives pour améliorer la stabilité, le contenu et la navigation. Sont traitées : pages vues, durée de visite, événements de sortie, informations de référent et données techniques de base (type d'appareil, taille d'écran, langue du navigateur). Pour la reconnaissance sur une journée, nous utilisons un hash visiteur SHA-256 changeant quotidiennement. Aucun suivi inter-journalier n'est effectué. Nous n'utilisons pas de cookies pour cette fonction.

Base juridique : Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Verbesserung unseres Angebots)

e) Messages de chat (Assistant jardin IA)

Les messages envoyés à l'assistant jardin IA sont traités en temps réel par streaming et ne sont pas stockés durablement. Après la fin de la session de chat, les messages sont supprimés.

Base juridique : Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

f) Analyse photo pour la reconnaissance des plantes et animaux

Les utilisateurs enregistrés peuvent télécharger une photo pour une reconnaissance d'espèce assistée par IA. L'image est transmise à Google Gemini Vision pour analyse et traitée côté serveur uniquement pour la durée de la requête. Elle n'est pas transmise à des services de vision externes supplémentaires. Si vous enregistrez la même photo dans le journal de jardin, les notes sur les photos de journal s'appliquent également.

Base juridique : Art. 6 Abs. 1 lit. b DSGVO (Bereitstellung der gewünschten Funktion)

g) Formulaires de contact et de feedback

Si vous nous envoyez un message via le formulaire de contact ou de feedback, nous stockons votre message et éventuellement votre adresse e-mail pour traiter votre demande. Pour les demandes de contact, un e-mail de notification est transmis à notre équipe via le service Brevo (Sendinblue GmbH, Berlin).

Base juridique : Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beantwortung von Anfragen)

h) Inscription à la newsletter

Lors de l'inscription à la newsletter, nous stockons votre adresse e-mail, la date du consentement et votre statut de consentement. La newsletter peut être annulée à tout moment.

Base juridique : Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)

i) Fonctions B2B (Widget & ESG)

Pour nos offres destinées exclusivement aux entreprises (Widget Naturkompass et ESG Naturkompass), nous traitons en plus des données d'entreprise, des données contractuelles, des données d'intégration technique et des journaux d'utilisation. Les détails figurent dans les mentions de confidentialité B2B séparées. B2B-Datenschutzhinweisen.

Base juridique : Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. f DSGVO (Sicherheit, Missbrauchsschutz, Nachweisbarkeit)

4. Tiers et transmission de données

Nous utilisons les tiers suivants :

  • Supabase Inc.Base de données et authentification. Lieu du serveur : UE (Francfort). Traite : compte utilisateur, profil, inventaire, progression.
  • Vercel Inc.Hébergement web et CDN. Traite : adresse IP, données d'accès techniques. Certifié EU-U.S. Data Privacy Framework.
  • Anthropic / GoogleFonctions IA. Les messages de chat et, lors de l'utilisation de l'analyse photo, les images téléchargées sont transmis au fournisseur d'IA utilisé. Aucun stockage permanent des messages de chat par Naturkompass. L'analyse photo utilise Google Gemini Vision sans fallback supplémentaire. Anthropic et Google traitent les données selon leurs politiques de confidentialité respectives.
  • YouTube (Google Ireland Limited)Vidéos intégrées. Les vidéos ne sont chargées qu'après votre consentement explicite (solution en deux clics). Une connexion aux serveurs YouTube n'est établie qu'au clic sur « Charger la vidéo ». YouTube peut définir des cookies et collecter des données d'utilisation. Nous utilisons le mode de confidentialité étendu (youtube-nocookie.com).
  • Brevo (Sendinblue GmbH)Envoi de newsletter. Votre adresse e-mail est transmise à Brevo lors de l'inscription (Double-Opt-In). Brevo traite les données dans l'UE. Base juridique : art. 6 al. 1 lit. a RGPD (consentement).
  • Stripe Inc.Traitement des paiements. Pour les fonctions payantes (ex: crédits IA), les données de paiement sont transmises directement à Stripe Inc. (510 Townsend Street, San Francisco, CA 94103, USA). Stripe traite : nom, e-mail, informations de paiement (carte, SEPA, PayPal), adresse IP, données d'appareil. Stripe est certifié EU-U.S. Data Privacy Framework. Base juridique : art. 6 al. 1 lit. b RGPD (exécution du contrat).
  • Ecwid by LightspeedBoutique en ligne. La boutique intégrée est exploitée par Ecwid (Lightspeed Commerce Inc., Montréal, Canada). Lors de la visite, Ecwid peut définir des cookies techniquement nécessaires (panier, session) et collecter des données d'utilisation (IP, infos appareil). Lors des commandes, les données de contact sont transmises à Ecwid. Base juridique : art. 6 al. 1 lit. b RGPD (exécution du contrat) ou art. 6 al. 1 lit. f RGPD (intérêt légitime).
  • Billbee GmbHTraitement des commandes et facturation. Pour le traitement des commandes et la création de factures, les données sont transmises à Billbee GmbH (Detmold, Allemagne). Billbee traite les données exclusivement dans l'UE. Base juridique : art. 6 al. 1 lit. b RGPD (exécution du contrat) et art. 6 al. 1 lit. c RGPD (obligations légales).
  • Cloudflare R2Stockage média. Les images et fichiers médias (photos d'espèces, de journal, de certification, PDF de factures) sont stockés sur Cloudflare Inc. (San Francisco, USA) via R2 Object Storage. Cloudflare est certifié EU-U.S. Data Privacy Framework. Aucune donnée personnelle des visiteurs n'est transmise à Cloudflare — uniquement les fichiers médias eux-mêmes. Base juridique : art. 6 al. 1 lit. f RGPD (intérêt légitime).
  • Upstash Inc.Limitation de débit (Rate-Limiting). Pour la protection contre les abus (ex: chat IA), nous utilisons Upstash Redis (Upstash Inc., San Francisco, USA) pour des compteurs temporaires. Un hash anonymisé de votre adresse IP est stocké pendant 60 secondes maximum. Aucune donnée en clair ou information personnelle n'est stockée durablement chez Upstash. Base juridique : art. 6 al. 1 lit. f RGPD (intérêt légitime).

3d) Photos dans les observations (Journal de jardin)

Les utilisateurs peuvent télécharger des photos d'observations dans le journal de jardin. Les mesures de confidentialité suivantes s'appliquent :

  • Les métadonnées EXIF sont supprimées : Lors du téléchargement, toutes les métadonnées EXIF (y compris coordonnées GPS, modèle d'appareil et horodatage) sont automatiquement supprimées côté serveur. Seules les données d'image sans métadonnées sont stockées.
  • Visible uniquement en privé : Hochgeladene Fotos sind ausschließlich für den jeweiligen Nutzer selbst sichtbar. Es findet keine öffentliche Anzeige, kein Social Feed und keine Weitergabe an andere Nutzer statt.
  • Speicherort: Fotos werden auf Cloudflare R2 Object Storage gespeichert (siehe oben). Die Bilder werden beim Upload in das WebP-Format konvertiert und auf maximal 1600 px Breite skaliert, um Speicher zu minimieren.
  • Löschung: Beim Löschen einer Beobachtung werden das zugehörige Foto und die Vorschau sofort und unwiderruflich aus dem Speicher (Cloudflare R2) gelöscht. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch Upload-Aktion).

5. Cookies

Naturkompass verwendet ausschließlich technisch notwendige Cookies. Es werden keine Tracking- oder Werbe-Cookies eingesetzt. Schriftarten werden lokal von unseren eigenen Servern bereitgestellt — es findet keine Verbindung zu Google Fonts statt.

  • Supabase Auth Cookie — Speichert Ihre Anmeldesitzung (Session-Token). Wird bei Abmeldung gelöscht.
  • Beta-Gate Cookie — Speichert den Beta-Zugangsstatus während der geschlossenen Testphase.
  • Ecwid Shop-Cookies — Beim Besuch der Shop-Seite (/shop) kann der eingebettete Ecwid-Shop technisch notwendige Cookies setzen (Warenkorb-Session, Spracheinstellung). Diese Cookies werden nur auf der Shop-Seite geladen.
  • Newsletter-Popup (nk_popup_dismissed) — Speichert, ob das Newsletter-Popup geschlossen oder abonniert wurde. Enthält keine personenbezogenen Daten und dient ausschließlich der Benutzerfreundlichkeit (Präferenz-Cookie). Speicherdauer: 30 Tage.

Rechtsgrundlage: § 25 Abs. 2 TDDDG (technisch notwendige Cookies sind ohne Einwilligung zulässig)

6. Ihre Rechte (Betroffenenrechte)

Sie haben gemäß DSGVO folgende Rechte:

  • Auskunftsrecht (Art. 15)Sie können Auskunft über Ihre bei uns gespeicherten personenbezogenen Daten verlangen.
  • Berichtigungsrecht (Art. 16)Sie können die Berichtigung unrichtiger Daten verlangen.
  • Löschungsrecht (Art. 17)Sie können die Löschung Ihrer Daten verlangen, sofern keine gesetzliche Aufbewahrungspflicht besteht.
  • Einschränkung der Verarbeitung (Art. 18)Sie können die Einschränkung der Verarbeitung Ihrer Daten verlangen.
  • Datenportabilität (Art. 20)Sie können Ihre Daten in einem maschinenlesbaren Format erhalten.
  • Widerspruchsrecht (Art. 21)Sie können der Verarbeitung Ihrer Daten widersprechen, sofern diese auf berechtigtem Interesse basiert.
  • Widerruf der Einwilligung (Art. 7 Abs. 3)Eine erteilte Einwilligung (z.B. Newsletter) können Sie jederzeit mit Wirkung für die Zukunft widerrufen.

Zur Ausübung Ihrer Rechte kontaktieren Sie uns unter hallo@gartenexpedition.de.

Sie haben zudem das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO). Zuständig ist der Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen.

7. Aufbewahrungsfristen

  • Données de profil, inventaire du jardin, listes de souhaits, progression des cours — Bis zur Löschung Ihres Nutzerkontos. Sie können Ihr Konto jederzeit löschen.
  • Analytics-DatenAnalytics-Daten — Maximal 365 Tage, danach automatische Löschung. Durch den täglichen Hash-Wechsel ist keine Zuordnung zu einzelnen Personen möglich.
  • Chat-NachrichtenChat-Nachrichten — Werden nicht gespeichert (nur Streaming-Verarbeitung).
  • KI-FotoanalyseKI-Fotoanalyse — Hochgeladene Bilder werden nur zur Analyse verarbeitet und nicht gesondert als KI-Anfrage gespeichert; separat im Tagebuch gespeicherte Fotos bleiben bis zur Löschung des Eintrags erhalten.
  • Newsletter-DatenNewsletter-Daten — Bis zum Widerruf der Einwilligung.

8. Datensicherheit

Wir treffen folgende technische und organisatorische Maßnahmen zum Schutz Ihrer Daten:

  • HTTPS-VerschlüsselungAlle Datenübertragungen sind TLS-verschlüsselt.
  • Row Level Security (RLS)Datenbankzugriffe sind auf den jeweiligen Nutzer beschränkt. Jeder Nutzer kann nur seine eigenen Daten einsehen und bearbeiten.
  • Content Security Policy (CSP)Strikte Sicherheitsheader verhindern Cross-Site-Scripting und andere Angriffe.
  • JWT-AuthentifizierungSichere, tokenbasierte Authentifizierung über Supabase Auth.

9. Kinderwelt — Kinder-Datenschutz (DSGVO Art. 8)

Der Bereich „Kinderwelt" richtet sich an Kinder ab 4 Jahren und wird stets unter Aufsicht eines Erziehungsberechtigten genutzt. Die Einrichtung und Verwaltung erfolgt ausschließlich über das Eltern-Konto.

Welche Daten wir verarbeiten:

  • Kinder-Profile (Slots): Vorname und ein Emoji-Icon. Es werden keine Geburtsdaten, Nachnamen oder sonstigen personenbezogenen Daten der Kinder gespeichert.
  • Forschertagebuch-Fotos: Fotos werden automatisch von EXIF-Metadaten (inkl. GPS-Koordinaten) bereinigt, auf maximal 1200×1200 Pixel verkleinert und als WebP in Cloudflare R2 gespeichert.
  • Sammelkarten & Sterne: Der Fortschritt (gesammelte Karten, Sternkonto, abgeschlossene Missionen) wird dem Eltern-Konto zugeordnet, nicht einem eigenständigen Kinderkonto.
  • Hörspiel-Streaming: Audiodaten werden über signierte URLs von Cloudflare R2 bereitgestellt. Es wird kein persönliches Nutzungsprofil des Kindes erstellt.

Keine eigenständigen Kinderkonten: Kinder erhalten keinen eigenen Login. Alle Daten sind an das Eltern-Konto gebunden und können dort jederzeit eingesehen und gelöscht werden.

Löschung: Beim Entfernen eines Kinder-Slots werden alle zugehörigen Tagebuch-Einträge (inkl. Fotos), Sammelkarten und Missions-Fortschritte unwiderruflich gelöscht.

10. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder bei Änderungen des Dienstes anzupassen. Die aktuelle Version finden Sie stets auf dieser Seite. Bei wesentlichen Änderungen informieren wir registrierte Nutzer per E-Mail.