1. Adatkezelő
A weboldalon történő adatfeldolgozásért felelős:
Alexander Göcke
Gartenexpedition (egyéni vállalkozás)
Fellackerstr. 4a
47495 Rheinberg, Németország
E-mail: hallo@gartenexpedition.de
Telefon: +49 151-68131395
2. Tárhely és infrastruktúra
Webtárhely: Ezt a weboldalt a Vercel Inc. (340 S Lemon Ave #4133, Walnut, CA 91789, USA) tárolja. A Vercel technikailag szükséges adatokat (IP-cím, időbélyeg) dolgoz fel a weboldal kiszolgálásához. A jogalap a GDPR 6. cikk (1) bekezdés f) pontja (a megbízható szolgáltatáshoz fűződő jogos érdek). A Vercel rendelkezik az EU-U.S. Data Privacy Framework tanúsítvánnyal.
Adatbázis: A Supabase Inc. (San Francisco, CA, USA) szolgáltatást használjuk adatbázisként. A Supabase tárolja a felhasználói fiókokat, profiladatokat, kerti leltárakat és a kurzusok előrehaladását. Az adatbázis az EU-ban (Frankfurt am Main) működik. A jogalap a GDPR 6. cikk (1) bekezdés b) pontja (szerződés teljesítése).
3. Milyen adatokat gyűjtünk
a) Profiladatok (regisztrációkor)
Felhasználónév, e-mail cím, irányítószám-régió (csak az irányítószám első 2 számjegye), ország, kertméret és kerttípus. A teljes irányítószámot nem tároljuk — csak az irányítószám-régiót a regionális növényajánlásokhoz. Ezeket az adatokat a személyre szabott tartalmak biztosításához dolgozzuk fel.
Jogalap: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
b) Kerti leltár és figyelőlisták
Az általad hozzáadott növények és állatok, figyelőlisták és kerti leltárbejegyzések. Ezek az adatok a biodiverzitási pontszámod kiszámításához és a személyre szabott ajánlásokhoz szükségesek.
Jogalap: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
c) Összesített népszerűségi statisztikák
A növénylista-oldalakon összesített számlálókat jelenítünk meg, például „382 kertész választotta ezt a növényt". Ezeket a számokat a kerti leltárbejegyzések egyszerű összeszámlálásával számítjuk ki az összes felhasználóra vonatkozóan. Nem dolgozunk fel és nem teszünk közzé személyes adatokat — kizárólag a növényfajonkénti összesített bejegyzésszámot. Az 5 alatti értékeket elvileg nem jelenítjük meg (k-anonimitás). A számlálókat óránként gyorsítótárazzuk, és minden oldal látogatója számára láthatóak.
Jogalap: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Verbesserung des Nutzererlebnisses). Es findet keine Verarbeitung personenbezogener Daten statt.
c) Kurzus előrehaladása és kvízeredmények
Előrehaladás az akadémiai kurzusokon, elvégzett leckék és kvízeredmények. A tanulási folyamat tárolására szolgál.
Jogalap: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
d) Analytics (anonimizált)
Belső, sütiszegény használati statisztikákat gyűjtünk a Naturkompass stabilitásának, tartalmának és navigációjának javítása érdekében. Feldolgozzuk az oldalmegtekintéseket, a tartózkodási időt, a kilépési eseményeket, a hivatkozó információkat és az alapvető technikai adatokat, mint az eszköz típusa, képernyőméret és böngészőnyelv. Az egynapon belüli felismeréshez egy naponta változó SHA-256 látogatói hash-t használunk. Nincs napokon átívelő nyomon követés – a hash naponta újra generálódik. Ehhez az analitikai funkcióhoz nem használunk sütiket, és nem hozunk létre személyes felhasználói profilokat.
Jogalap: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Verbesserung unseres Angebots)
e) Csevegőüzenetek (AI kerti asszisztens)
A mesterséges intelligencia kerti asszisztensnek küldött üzeneteket valós időben, streameléssel dolgozzuk fel, és nem tároljuk tartósan. A csevegési munkamenet befejezése után az üzenetek törlődnek.
Jogalap: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
f) Fotóelemzés növény- és állatfelismeréshez
A regisztrált felhasználók feltölthetnek egy fényképet az AI-alapú fajfelismeréshez. A képet elemzés céljából továbbítjuk a Google Gemini Vision szolgáltatásnak, és a szerveroldalon csak a kérés időtartamáig dolgozzuk fel. Nem adjuk tovább további külső Vision-tartalék szolgáltatásoknak. Ha ugyanazt a fényképet elmented a kerti naplóba, a naplózott fényképekre vonatkozó megjegyzések is érvényesek.
Jogalap: Art. 6 Abs. 1 lit. b DSGVO (Bereitstellung der gewünschten Funktion)
Produktempfehlungen
Naturkompass zeigt auf Artikel- und Art-Seiten passende Produkte aus dem eigenen Shop-Verzeichnis an. Für eingeloggte Nutzer basieren diese Vorschläge auf dem Garteninventar und den Gartenmodulen im eigenen Konto — ohne zusätzliche Datenspeicherung oder Profilbildung. Für anonyme Besucher wird optional der nk_ctx-First-Party-Cookie verwendet, der die Slugs der zuletzt besuchten Art-Seiten speichert (max. 8 Einträge, 30 Tage Laufzeit, SameSite=Strict). Dieser Cookie enthält keine personenbezogenen Daten und wird nicht an Dritte weitergegeben. Produkte werden ausschließlich aus dem Naturkompass-eigenen Shop-Verzeichnis vorgeschlagen; es findet kein Retargeting und keine Weitergabe von Daten an externe Werbepartner statt.
Eingeloggte Nutzer: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung / Account-Funktion). Anonyme Besucher (nk_ctx): Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) i. V. m. TDDDG § 25 Abs. 1 — nur wenn der Einwilligung in der CMP-Kategorie „Statistik & Personalisierung" zugestimmt wurde.
g) Kapcsolatfelvételi és visszajelzési űrlapok
Ha üzenetet küldesz nekünk a kapcsolatfelvételi vagy visszajelzési űrlapon keresztül, elmentjük az üzenetedet és adott esetben az e-mail címedet a kérésed feldolgozásához. Kapcsolatfelvételi kérések esetén egy értesítő e-mailt is továbbítunk csapatunknak a Brevo (Sendinblue GmbH, Berlin) szolgáltatáson keresztül.
Jogalap: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beantwortung von Anfragen)
h) Hírlevél feliratkozás
A hírlevélre való feliratkozáskor elmentjük az e-mail címedet, a hozzájárulás időpontját és a hozzájárulási státuszodat. A hírlevél bármikor lemondható.
Jogalap: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)
i) B2B funkciók (Widget & ESG)
Kizárólag vállalatoknak szóló ajánlatainkhoz, a Naturkompass Widgethez és a Naturkompass ESG-hez, további vállalati adatokat, szerződéses adatokat, technikai integrációs adatokat és használati naplókat dolgozunk fel. A részletek a külön B2B adatvédelmi tájékoztatóban találhatók. B2B-Datenschutzhinweisen.
Jogalap: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. f DSGVO (Sicherheit, Missbrauchsschutz, Nachweisbarkeit)
4. Harmadik felek és adattovábbítás
A következő harmadik feleket alkalmazzuk:
- Supabase Inc. — Adatbázis és hitelesítés. Szerver helye: EU (Frankfurt). Feldolgozott adatok: felhasználói fiók, profiladatok, kerti leltár, kurzus előrehaladása.
- Vercel Inc. — Webtárhely és CDN. Feldolgozott adatok: IP-cím, technikai hozzáférési adatok. EU-U.S. Data Privacy Framework tanúsítvánnyal rendelkezik.
- Anthropic / Google — AI funkciók. A csevegőüzenetek és a fotóelemzés használata esetén a feltöltött képek feldolgozásra kerülnek az alkalmazott AI-szolgáltatónál. A Naturkompass nem tárolja tartósan a csevegőüzeneteket. A fotóelemzés a Google Gemini Visiont használja további Vision-tartalék nélkül. Az Anthropic és a Google az adatokat a saját adatvédelmi irányelveik és API-feltételeik szerint dolgozza fel.
- YouTube (Google Ireland Limited) — Beágyazott videók. A videók csak a kifejezett hozzájárulásod után töltődnek be (kétkattintásos megoldás). Csak a „Videó betöltése" gombra kattintáskor jön létre kapcsolat a YouTube szervereivel. A YouTube eközben sütiket helyezhet el és használati adatokat gyűjthet. A bővített adatvédelmi módot használjuk (youtube-nocookie.com).
- Brevo (Sendinblue GmbH) — Hírlevél küldése. Az e-mail címedet hírlevél-feliratkozáskor továbbítjuk a Brevo felé (Double-Opt-In). A Brevo az adatokat az EU-ban dolgozza fel. A jogalap a GDPR 6. cikk (1) bekezdés a) pontja (hozzájárulás).
- Stripe Inc. — Fizetésfeldolgozás. Fizetős funkciók (pl. AI-kreditek) esetén a fizetési adatokat közvetlenül a Stripe Inc. (510 Townsend Street, San Francisco, CA 94103, USA) felé továbbítjuk. A Stripe feldolgozza: név, e-mail, fizetési információk (hitelkártya, SEPA, PayPal), IP-cím, eszközadatok. A Stripe rendelkezik az EU-U.S. Data Privacy Framework tanúsítvánnyal. Jogalap: GDPR 6. cikk (1) bekezdés b) pontja (szerződés teljesítése).
- Ecwid by Lightspeed — Online bolt. A beágyazott boltot az Ecwid (Lightspeed Commerce Inc., 700 Saint-Antoine Est, Montréal, QC H2Y 1A6, Kanada) üzemelteti. A bolt oldalának látogatásakor az Ecwid technikailag szükséges sütiket helyezhet el (kosár, munkamenet) és használati adatokat gyűjthet (IP-cím, eszközinformációk). Rendelések esetén a rendelési és kapcsolattartási adatokat továbbítjuk az Ecwid felé. Jogalap: GDPR 6. cikk (1) bekezdés b) pontja (szerződés teljesítése) vagy GDPR 6. cikk (1) bekezdés f) pontja (a bolt biztosításához fűződő jogos érdek).
- Billbee GmbH — Megrendelés-feldolgozás és számlázás. A megrendelések feldolgozásához és a számlák kiállításához a megrendelési adatokat továbbítjuk a Billbee GmbH (Paulinenstr. 54, 32756 Detmold, Németország) felé. A Billbee az adatokat kizárólag az EU-ban dolgozza fel. Jogalap: GDPR 6. cikk (1) bekezdés b) pontja (szerződés teljesítése) és GDPR 6. cikk (1) bekezdés c) pontja (törvényi megőrzési kötelezettségek).
- Cloudflare R2 — Médiatárolás. A képeket és médiafájlokat (pl. fajfotók, naplófotók, tanúsítványfotók, számla-PDF-ek) a Cloudflare Inc. (101 Townsend St, San Francisco, CA 94107, USA) R2 Object Storage-án tároljuk. A Cloudflare rendelkezik az EU-U.S. Data Privacy Framework tanúsítvánnyal. A weboldal látogatóinak személyes adatait nem továbbítjuk a Cloudflare felé — kizárólag magukat a médiafájlokat. Jogalap: GDPR 6. cikk (1) bekezdés f) pontja (a hatékony médiakiszolgáláshoz fűződő jogos érdek).
- Upstash Inc. — Rate-Limiting. Zur Absicherung gegen Missbrauch (z. B. beim KI-Chat) setzen wir Upstash Redis (Upstash Inc., San Francisco, CA, USA) für temporäre Rate-Limiting-Zähler ein. Dabei wird ein anonymisierter Hash Ihrer IP-Adresse für maximal 60 Sekunden gespeichert. Es werden keine Klartextdaten oder personenbezogene Informationen dauerhaft bei Upstash abgelegt. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit der Plattform).
3d) Fotos in Beobachtungen (Garten-Tagebuch)
Nutzer können im Garten-Tagebuch Fotos zu Beobachtungen hochladen. Dabei gelten folgende Datenschutzmaßnahmen:
- EXIF-Metadaten werden entfernt: Beim Upload werden sämtliche EXIF-Metadaten (einschließlich GPS-Koordinaten, Kameramodell und Zeitstempel) serverseitig automatisch entfernt. Es werden ausschließlich die Bilddaten ohne Metadaten gespeichert.
- Nur privat sichtbar: Hochgeladene Fotos sind ausschließlich für den jeweiligen Nutzer selbst sichtbar. Es findet keine öffentliche Anzeige, kein Social Feed und keine Weitergabe an andere Nutzer statt.
- Speicherort: Fotos werden auf Cloudflare R2 Object Storage gespeichert (siehe oben). Die Bilder werden beim Upload in das WebP-Format konvertiert und auf maximal 1600 px Breite skaliert, um Speicher zu minimieren.
- Löschung: Beim Löschen einer Beobachtung werden das zugehörige Foto und die Vorschau sofort und unwiderruflich aus dem Speicher (Cloudflare R2) gelöscht. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch Upload-Aktion).
5. Cookies
Naturkompass verwendet ausschließlich technisch notwendige Cookies. Es werden keine Tracking- oder Werbe-Cookies eingesetzt. Schriftarten werden lokal von unseren eigenen Servern bereitgestellt — es findet keine Verbindung zu Google Fonts statt.
- Supabase Auth Cookie — Speichert Ihre Anmeldesitzung (Session-Token). Wird bei Abmeldung gelöscht.
- Beta-Gate Cookie — Speichert den Beta-Zugangsstatus während der geschlossenen Testphase.
- Ecwid Shop-Cookies — Beim Besuch der Shop-Seite (/shop) kann der eingebettete Ecwid-Shop technisch notwendige Cookies setzen (Warenkorb-Session, Spracheinstellung). Diese Cookies werden nur auf der Shop-Seite geladen.
- Newsletter-Popup (nk_popup_dismissed) — Speichert, ob das Newsletter-Popup geschlossen oder abonniert wurde. Enthält keine personenbezogenen Daten und dient ausschließlich der Benutzerfreundlichkeit (Präferenz-Cookie). Speicherdauer: 30 Tage.
- nk_ctx— First-Party-Cookie für kontextbasierte Produktempfehlungen. Speichert die Slugs der zuletzt besuchten Art-Seiten (max. 8 Einträge, keine personenbezogenen Daten, keine User-ID). Laufzeit: 30 Tage. SameSite=Strict (kein Cross-Site-Zugriff). Wird nur gesetzt, wenn der Einwilligung in der Kategorie „Statistik & Personalisierung" zugestimmt wurde. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO i. V. m. TDDDG § 25 Abs. 1.
Rechtsgrundlage: § 25 Abs. 2 TDDDG (technisch notwendige Cookies sind ohne Einwilligung zulässig)
6. Ihre Rechte (Betroffenenrechte)
Sie haben gemäß DSGVO folgende Rechte:
- Auskunftsrecht (Art. 15) — Sie können Auskunft über Ihre bei uns gespeicherten personenbezogenen Daten verlangen.
- Berichtigungsrecht (Art. 16) — Sie können die Berichtigung unrichtiger Daten verlangen.
- Löschungsrecht (Art. 17) — Sie können die Löschung Ihrer Daten verlangen, sofern keine gesetzliche Aufbewahrungspflicht besteht.
- Einschränkung der Verarbeitung (Art. 18) — Sie können die Einschränkung der Verarbeitung Ihrer Daten verlangen.
- Datenportabilität (Art. 20) — Sie können Ihre Daten in einem maschinenlesbaren Format erhalten.
- Widerspruchsrecht (Art. 21) — Sie können der Verarbeitung Ihrer Daten widersprechen, sofern diese auf berechtigtem Interesse basiert.
- Widerruf der Einwilligung (Art. 7 Abs. 3) — Eine erteilte Einwilligung (z.B. Newsletter) können Sie jederzeit mit Wirkung für die Zukunft widerrufen.
Zur Ausübung Ihrer Rechte kontaktieren Sie uns unter hallo@gartenexpedition.de.
Sie haben zudem das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO). Zuständig ist der Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen.
7. Aufbewahrungsfristen
- Profiladatok, kertleltár, figyelőlisták, kurzus haladása — Bis zur Löschung Ihres Nutzerkontos. Sie können Ihr Konto jederzeit löschen.
- Analytics-Daten — Analytics-Daten — Maximal 365 Tage, danach automatische Löschung. Durch den täglichen Hash-Wechsel ist keine Zuordnung zu einzelnen Personen möglich.
- Chat-Nachrichten — Chat-Nachrichten — Werden nicht gespeichert (nur Streaming-Verarbeitung).
- KI-Fotoanalyse — KI-Fotoanalyse — Hochgeladene Bilder werden nur zur Analyse verarbeitet und nicht gesondert als KI-Anfrage gespeichert; separat im Tagebuch gespeicherte Fotos bleiben bis zur Löschung des Eintrags erhalten.
- Newsletter-Daten — Newsletter-Daten — Bis zum Widerruf der Einwilligung.
8. Datensicherheit
Wir treffen folgende technische und organisatorische Maßnahmen zum Schutz Ihrer Daten:
- HTTPS-Verschlüsselung — Alle Datenübertragungen sind TLS-verschlüsselt.
- Row Level Security (RLS) — Datenbankzugriffe sind auf den jeweiligen Nutzer beschränkt. Jeder Nutzer kann nur seine eigenen Daten einsehen und bearbeiten.
- Content Security Policy (CSP) — Strikte Sicherheitsheader verhindern Cross-Site-Scripting und andere Angriffe.
- JWT-Authentifizierung — Sichere, tokenbasierte Authentifizierung über Supabase Auth.
9. Kinderwelt — Kinder-Datenschutz (DSGVO Art. 8)
Der Bereich „Kinderwelt" richtet sich an Kinder ab 4 Jahren und wird stets unter Aufsicht eines Erziehungsberechtigten genutzt. Die Einrichtung und Verwaltung erfolgt ausschließlich über das Eltern-Konto.
Welche Daten wir verarbeiten:
- Kinder-Profile (Slots): Vorname und ein Emoji-Icon. Es werden keine Geburtsdaten, Nachnamen oder sonstigen personenbezogenen Daten der Kinder gespeichert.
- Forschertagebuch-Fotos: Fotos werden automatisch von EXIF-Metadaten (inkl. GPS-Koordinaten) bereinigt, auf maximal 1200×1200 Pixel verkleinert und als WebP in Cloudflare R2 gespeichert.
- Sammelkarten & Sterne: Der Fortschritt (gesammelte Karten, Sternkonto, abgeschlossene Missionen) wird dem Eltern-Konto zugeordnet, nicht einem eigenständigen Kinderkonto.
- Hörspiel-Streaming: Audiodaten werden über signierte URLs von Cloudflare R2 bereitgestellt. Es wird kein persönliches Nutzungsprofil des Kindes erstellt.
Keine eigenständigen Kinderkonten: Kinder erhalten keinen eigenen Login. Alle Daten sind an das Eltern-Konto gebunden und können dort jederzeit eingesehen und gelöscht werden.
Löschung: Beim Entfernen eines Kinder-Slots werden alle zugehörigen Tagebuch-Einträge (inkl. Fotos), Sammelkarten und Missions-Fortschritte unwiderruflich gelöscht.
10. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder bei Änderungen des Dienstes anzupassen. Die aktuelle Version finden Sie stets auf dieser Seite. Bei wesentlichen Änderungen informieren wir registrierte Nutzer per E-Mail.
Citizen Science — Kertmegfigyelő
Ha aktiválod az anonim adatgyűjtést a kertmegfigyelőhöz, kizárólag a következő anonimizált kertjellemzőket dolgozzuk fel:
- Nincs név, nincs felhasználónév
- Nincs e-mail cím
- Nincs teljes cím
- Nincsenek GPS-koordináták vagy pontos helyadatok
- A pontos lakóhelyed nem következtethető ki
- Csak anonim kertjellemzők (típus, modulok, megfigyelések) — összesítve, nem látható egyedileg
A részvételt bármikor visszavonhatod a kerted beállításaiban. A már összesített statisztikákba bekerült adatok nem távolíthatók el visszamenőleg.
Personal raw data, names, email addresses, user IDs, exact garden locations and exact GPS coordinates are not published and not shared with third parties as part of citizen science analyses. Citizen science analyses are conducted on a voluntary basis only, in aggregated form, spatially generalised, and subject to defined minimum thresholds.
🔒 Technikailag a kert-azonosítókat tárolás előtt HMAC-SHA256-tal pszeudonimizáljuk (pgcrypto, PostgreSQL). A hash-saltot évente rotáljuk, hogy az újraazonosítást jelentősen megnehezítsük.
📊 Az adatok csak akkor kerülnek közzétételre, ha legalább 500 kert vesz részt, és egy kategória legalább 5 kertet tartalmaz (k-anonimitás).
Methodological privacy documentation
The privacy and anonymisation architecture of Naturkompass is additionally documented in DOI-published methodological whitepapers.
The documents describe privacy by design, spatial generalisation, thresholds, and the structure of voluntary garden and observation data.
Auftragsverarbeiter & Drittanbieter
Naturkompass setzt verschiedene Dienstleister ein, die im Auftrag personenbezogene Daten verarbeiten können. Alle Anbieter sind durch Auftragsverarbeitungsverträge (AVV) gemäß Art. 28 DSGVO gebunden.