Fara beint í aðalefni
Aftur á forsíðu

Persónuverndarstefna

Samkvæmt GDPR · Staða: Apríl 2026

1. Ábyrgðaraðili

Ábyrgðaraðili fyrir vinnslu gagna á þessari vefsíðu er:

Alexander Göcke

Gartenexpedition (einkafyrirtæki)

Fellackerstr. 4a

47495 Rheinberg, Þýskaland

Tölvupóstur: hallo@gartenexpedition.de

Sími: +49 151-68131395

2. Hýsing & innviðir

Vefhýsing: Þessi vefsíða er hýst hjá Vercel Inc. (340 S Lemon Ave #4133, Walnut, CA 91789, USA). Vercel vinnur tæknilega nauðsynleg gögn (IP-tölu, tímastimpil) til að birta vefsíðuna. Lagagrundvöllur er gr. 6 (1) (f) GDPR (lögmætir hagsmunir af áreiðanlegri þjónustu). Vercel er vottað samkvæmt EU-U.S. Data Privacy Framework.

Gagnagrunnur: Við notum Supabase Inc. (San Francisco, CA, USA) sem gagnagrunnsþjónustu. Supabase geymir notendareikninga, prófílgögn, garðbirgðir og framvindu námskeiða. Gagnagrunnurinn er rekinn í ESB (Frankfurt am Main). Lagagrundvöllur er gr. 6 (1) (b) GDPR (efndir samnings).

3. Hvaða gögn við söfnum

a) Prófílgögn (við skráningu)

Notendanafn, tölvupóstfang, póstnúmerasvæði (aðeins fyrstu 2 tölustafir póstnúmersins), land, garðstærð og garðgerð. Fullt póstnúmer er ekki vistað — aðeins póstnúmerasvæði fyrir svæðisbundnar plönturáðleggingar. Þessi gögn eru unnin til að veita persónulegt efni.

Lagagrundvöllur: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

b) Garðbirgðir & eftirlitslistar

Plöntur og dýr sem þú bætir við, eftirlitslistar og færslur í garðbirgðum. Þessi gögn þjóna útreikningi á líffræðilegum fjölbreytileika þínum og persónulegum ráðleggingum.

Lagagrundvöllur: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

c) Samanlögð vinsældatölfræði

Á plöntulistasíðum sýnum við samanlagðar tölur eins og „382 garðyrkjumenn hafa þessa plöntu". Þessar tölur eru reiknaðar með einfaldri talningu á færslum í garðbirgðum yfir alla notendur. Engin persónugreinanleg gögn eru unnin eða birt — aðeins heildarfjöldi færslna á hverja plöntutegund. Tölur undir 5 eru almennt ekki birtar (k-nafnleysi). Tölurnar eru uppfærðar klukkutímabundið og eru sýnilegar öllum gestum síðunnar.

Lagagrundvöllur: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Verbesserung des Nutzererlebnisses). Es findet keine Verarbeitung personenbezogener Daten statt.

c) Framvinda námskeiða & spurningakeppnir

Framvinda í akademíunámskeiðum, loknar kennslustundir og niðurstöður spurningakeppna. Þjónar vistun á námsframvindu þinni.

Lagagrundvöllur: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

d) Greining (nafnlaus)

Við söfnum innri, smákökulausri notkunartölfræði til að bæta stöðugleika, efni og leiðsögn Naturkompass. Síðuflettingar, dvalartími, útgönguatburðir, tilvísunarupplýsingar og tæknileg grunngögn eins og tækjagerð, skjástærð og tungumál vafrans eru unnin. Til endurþekkingar innan dags notum við daglega breytilegan SHA-256 gesta-hash. Engin rakning yfir daga á sér stað — hash-ið er endurskapað daglega. Við notum engar smákökur fyrir þessa greiningu og búum ekki til persónulega notendaprófíla.

Lagagrundvöllur: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Verbesserung unseres Angebots)

e) Spjallskilaboð (AI-garðyrkjuassistent)

Skilaboð til AI-garðyrkjuassistentins eru unnin í rauntíma með streymi og ekki vistuð varanlega. Eftir að spjalllotu lýkur er skilaboðunum eytt.

Lagagrundvöllur: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

f) Myndgreining fyrir plöntu- og dýraþekkingu

Skráðir notendur geta hlaðið upp mynd fyrir AI-studda tegundaþekkingu. Myndin er send til Google Gemini Vision til greiningar og aðeins unnin á netþjóninum meðan á beiðni stendur. Hún er ekki send á viðbótar utanaðkomandi Vision-varakerfi. Ef þú vistar sömu mynd í garðdagbókinni gilda einnig leiðbeiningar um dagbókarmyndir.

Lagagrundvöllur: Art. 6 Abs. 1 lit. b DSGVO (Bereitstellung der gewünschten Funktion)

g) Hafðu samband- og endurgjöfarform

Ef þú sendir okkur skilaboð í gegnum samband- eða endurgjöfarformið, vistum við skilaboðin þín og mögulega tölvupóstfangið þitt til að vinna úr erindinu. Við fyrirspurnir er einnig send tilkynning í tölvupósti í gegnum Brevo (Sendinblue GmbH, Berlín) til teymisins okkar.

Lagagrundvöllur: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beantwortung von Anfragen)

h) Skráning á fréttabréf

Við skráningu á fréttabréf vistum við tölvupóstfangið þitt, tíma samþykkis og samþykkisstöðu. Hægt er að afskrá sig af fréttabréfinu hvenær sem er.

Lagagrundvöllur: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)

i) B2B-eiginleikar (græja & ESG)

Fyrir tilboð okkar sem beinast eingöngu að fyrirtækjum, Naturkompass Widget og Naturkompass ESG, vinnum við einnig fyrirtækjagögn, samningsgögn, tæknileg samþættingargögn og notkunarskrár. Upplýsingar er að finna í sérstökum B2B-persónuverndarleiðbeiningum. B2B-Datenschutzhinweisen.

Lagagrundvöllur: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. f DSGVO (Sicherheit, Missbrauchsschutz, Nachweisbarkeit)

4. Þriðju aðilar & gagnaflutningur

Við notum eftirfarandi þriðju aðila:

  • Supabase Inc.Gagnagrunnur & auðkenning. Staðsetning netþjóns: ESB (Frankfurt). Vinnur: Notendareikning, prófílgögn, garðbirgðir, framvindu námskeiða.
  • Vercel Inc.Vefhýsing & CDN. Vinnur: IP-tölu, tæknileg aðgangsgögn. Vottað samkvæmt EU-U.S. Data Privacy Framework.
  • Anthropic / GoogleAI-eiginleikar. Spjallskilaboð og, við notkun myndgreiningar, hlaðnar myndir eru sendar til viðkomandi AI-veitanda til vinnslu. Engin varanleg vistun spjallskilaboða af hálfu Naturkompass. Myndgreining notar Google Gemini Vision án viðbótar Vision-varakerfis. Anthropic og Google vinna gögnin samkvæmt viðkomandi persónuverndarstefnum og API-skilmálum.
  • YouTube (Google Ireland Limited)Innfelld myndbönd. Myndbönd eru aðeins hlaðin eftir skýrt samþykki þitt (tveggja-smella lausn). Aðeins þegar smellt er á „Hlaða myndbandi" er tenging við YouTube-netþjóna stofnuð. YouTube getur sett smákökur og safnað notkunargögnum. Við notum aukna persónuverndarstillingu (youtube-nocookie.com).
  • Brevo (Sendinblue GmbH)Sending fréttabréfa. Tölvupóstfangið þitt er sent til Brevo við skráningu á fréttabréf (Double-Opt-In). Brevo vinnur gögnin í ESB. Lagagrundvöllur er gr. 6 (1) (a) GDPR (samþykki).
  • Stripe Inc.Greiðsluvinnsla. Fyrir greiddar aðgerðir (t.d. AI-einingar) eru greiðslugögn send beint til Stripe Inc. (510 Townsend Street, San Francisco, CA 94103, USA). Stripe vinnur: Nafn, tölvupóst, greiðsluupplýsingar (kreditkort, SEPA, PayPal), IP-tölu, tækjagögn. Stripe er vottað samkvæmt EU-U.S. Data Privacy Framework. Lagagrundvöllur: gr. 6 (1) (b) GDPR (efndir samnings).
  • Ecwid by LightspeedNetverslun. Innfellda verslunin er rekin af Ecwid (Lightspeed Commerce Inc., 700 Saint-Antoine Est, Montréal, QC H2Y 1A6, Kanada). Við heimsókn á verslunarsíðuna getur Ecwid sett tæknilega nauðsynlegar smákökur (innkaupakörfu, lotu) og safnað notkunargögnum (IP-tölu, tækjaupplýsingum). Við pantanir eru pöntunar- og tengiliðagögn send til Ecwid. Lagagrundvöllur: gr. 6 (1) (b) GDPR (efndir samnings) eða gr. 6 (1) (f) GDPR (lögmætir hagsmunir af rekstri verslunar).
  • Billbee GmbHPöntunarvinnsla & reikningagerð. Til að vinna úr pöntunum og búa til reikninga eru pöntunargögn send til Billbee GmbH (Paulinenstr. 54, 32756 Detmold, Þýskaland). Billbee vinnur gögnin eingöngu í ESB. Lagagrundvöllur: gr. 6 (1) (b) GDPR (efndir samnings) og gr. 6 (1) (c) GDPR (lagalegar varðveisluskyldur).
  • Cloudflare R2Geymsla miðla. Myndir og miðlaskrár (t.d. tegundamyndir, dagbókarmyndir, vottunarmyndir, reiknings-PDF) eru vistaðar hjá Cloudflare Inc. (101 Townsend St, San Francisco, CA 94107, USA) á R2 Object Storage. Cloudflare er vottað samkvæmt EU-U.S. Data Privacy Framework. Engin persónugreinanleg gögn gesta vefsíðunnar eru send til Cloudflare — aðeins miðlaskrárnar sjálfar. Lagagrundvöllur: gr. 6 (1) (f) GDPR (lögmætir hagsmunir af skilvirkri miðlun miðla).
  • Upstash Inc.Takmörkun á tíðni (Rate-Limiting). Til varnar gegn misnotkun (t.d. við AI-spjall) notum við Upstash Redis (Upstash Inc., San Francisco, CA, USA) fyrir tímabundna teljara. Þar er nafnlaus hash af IP-tölu þinni vistaður í að hámarki 60 sekúndur. Engin gögn í skýrtexta eða persónuupplýsingar eru vistuð varanlega hjá Upstash. Lagagrundvöllur: gr. 6 (1) (f) GDPR (lögmætir hagsmunir af öryggi vettvangsins).

3d) Myndir í athugunum (Garðdagbók)

Notendur geta hlaðið upp myndum af athugunum í garðdagbókina. Eftirfarandi persónuverndarráðstafanir gilda:

  • EXIF-lýsigögnum er eytt: Við upphleðslu er öllum EXIF-lýsigögnum (þ.m.t. GPS-hnitum, myndavélagerð og tímastimplum) sjálfkrafa eytt á netþjóninum. Aðeins myndgögnin án lýsigagna eru vistuð.
  • Aðeins sýnilegt í einkastillingu: Myndir sem hlaðið er upp eru eingöngu sýnilegar notandanum sjálfum. Engin opinber birting, enginn félagslegur straumur og engin miðlun til annarra notenda á sér stað.
  • Geymslustaður: Myndir eru vistaðar á Cloudflare R2 Object Storage (sjá hér að ofan). Myndirnar eru umbreyttar í WebP-snið við upphleðslu og skalaðar í að hámarki 1600 px breidd til að lágmarka geymsluþörf.
  • Löschung: Beim Löschen einer Beobachtung werden das zugehörige Foto und die Vorschau sofort und unwiderruflich aus dem Speicher (Cloudflare R2) gelöscht. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch Upload-Aktion).

5. Cookies

Naturkompass verwendet ausschließlich technisch notwendige Cookies. Es werden keine Tracking- oder Werbe-Cookies eingesetzt. Schriftarten werden lokal von unseren eigenen Servern bereitgestellt — es findet keine Verbindung zu Google Fonts statt.

  • Supabase Auth Cookie — Speichert Ihre Anmeldesitzung (Session-Token). Wird bei Abmeldung gelöscht.
  • Beta-Gate Cookie — Speichert den Beta-Zugangsstatus während der geschlossenen Testphase.
  • Ecwid Shop-Cookies — Beim Besuch der Shop-Seite (/shop) kann der eingebettete Ecwid-Shop technisch notwendige Cookies setzen (Warenkorb-Session, Spracheinstellung). Diese Cookies werden nur auf der Shop-Seite geladen.
  • Newsletter-Popup (nk_popup_dismissed) — Speichert, ob das Newsletter-Popup geschlossen oder abonniert wurde. Enthält keine personenbezogenen Daten und dient ausschließlich der Benutzerfreundlichkeit (Präferenz-Cookie). Speicherdauer: 30 Tage.

Rechtsgrundlage: § 25 Abs. 2 TDDDG (technisch notwendige Cookies sind ohne Einwilligung zulässig)

6. Ihre Rechte (Betroffenenrechte)

Sie haben gemäß DSGVO folgende Rechte:

  • Auskunftsrecht (Art. 15)Sie können Auskunft über Ihre bei uns gespeicherten personenbezogenen Daten verlangen.
  • Berichtigungsrecht (Art. 16)Sie können die Berichtigung unrichtiger Daten verlangen.
  • Löschungsrecht (Art. 17)Sie können die Löschung Ihrer Daten verlangen, sofern keine gesetzliche Aufbewahrungspflicht besteht.
  • Einschränkung der Verarbeitung (Art. 18)Sie können die Einschränkung der Verarbeitung Ihrer Daten verlangen.
  • Datenportabilität (Art. 20)Sie können Ihre Daten in einem maschinenlesbaren Format erhalten.
  • Widerspruchsrecht (Art. 21)Sie können der Verarbeitung Ihrer Daten widersprechen, sofern diese auf berechtigtem Interesse basiert.
  • Widerruf der Einwilligung (Art. 7 Abs. 3)Eine erteilte Einwilligung (z.B. Newsletter) können Sie jederzeit mit Wirkung für die Zukunft widerrufen.

Zur Ausübung Ihrer Rechte kontaktieren Sie uns unter hallo@gartenexpedition.de.

Sie haben zudem das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO). Zuständig ist der Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen.

7. Aufbewahrungsfristen

  • Prófílgögn, garðbirgðir, minnislistar, námskeiðsframfarir — Bis zur Löschung Ihres Nutzerkontos. Sie können Ihr Konto jederzeit löschen.
  • Analytics-DatenAnalytics-Daten — Maximal 365 Tage, danach automatische Löschung. Durch den täglichen Hash-Wechsel ist keine Zuordnung zu einzelnen Personen möglich.
  • Chat-NachrichtenChat-Nachrichten — Werden nicht gespeichert (nur Streaming-Verarbeitung).
  • KI-FotoanalyseKI-Fotoanalyse — Hochgeladene Bilder werden nur zur Analyse verarbeitet und nicht gesondert als KI-Anfrage gespeichert; separat im Tagebuch gespeicherte Fotos bleiben bis zur Löschung des Eintrags erhalten.
  • Newsletter-DatenNewsletter-Daten — Bis zum Widerruf der Einwilligung.

8. Datensicherheit

Wir treffen folgende technische und organisatorische Maßnahmen zum Schutz Ihrer Daten:

  • HTTPS-VerschlüsselungAlle Datenübertragungen sind TLS-verschlüsselt.
  • Row Level Security (RLS)Datenbankzugriffe sind auf den jeweiligen Nutzer beschränkt. Jeder Nutzer kann nur seine eigenen Daten einsehen und bearbeiten.
  • Content Security Policy (CSP)Strikte Sicherheitsheader verhindern Cross-Site-Scripting und andere Angriffe.
  • JWT-AuthentifizierungSichere, tokenbasierte Authentifizierung über Supabase Auth.

9. Kinderwelt — Kinder-Datenschutz (DSGVO Art. 8)

Der Bereich „Kinderwelt" richtet sich an Kinder ab 4 Jahren und wird stets unter Aufsicht eines Erziehungsberechtigten genutzt. Die Einrichtung und Verwaltung erfolgt ausschließlich über das Eltern-Konto.

Welche Daten wir verarbeiten:

  • Kinder-Profile (Slots): Vorname und ein Emoji-Icon. Es werden keine Geburtsdaten, Nachnamen oder sonstigen personenbezogenen Daten der Kinder gespeichert.
  • Forschertagebuch-Fotos: Fotos werden automatisch von EXIF-Metadaten (inkl. GPS-Koordinaten) bereinigt, auf maximal 1200×1200 Pixel verkleinert und als WebP in Cloudflare R2 gespeichert.
  • Sammelkarten & Sterne: Der Fortschritt (gesammelte Karten, Sternkonto, abgeschlossene Missionen) wird dem Eltern-Konto zugeordnet, nicht einem eigenständigen Kinderkonto.
  • Hörspiel-Streaming: Audiodaten werden über signierte URLs von Cloudflare R2 bereitgestellt. Es wird kein persönliches Nutzungsprofil des Kindes erstellt.

Keine eigenständigen Kinderkonten: Kinder erhalten keinen eigenen Login. Alle Daten sind an das Eltern-Konto gebunden und können dort jederzeit eingesehen und gelöscht werden.

Löschung: Beim Entfernen eines Kinder-Slots werden alle zugehörigen Tagebuch-Einträge (inkl. Fotos), Sammelkarten und Missions-Fortschritte unwiderruflich gelöscht.

10. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder bei Änderungen des Dienstes anzupassen. Die aktuelle Version finden Sie stets auf dieser Seite. Bei wesentlichen Änderungen informieren wir registrierte Nutzer per E-Mail.