Aqbeż għall-kontenut prinċipali
Lura għall-paġna ewlenija

Politika ta' Privatezza

Skont il-GDPR · Aġġornat: April 2026

1. Kontrollur

Il-kontrollur għall-ipproċessar tad-dejta fuq dan is-sit huwa:

Alexander Göcke

Gartenexpedition (Intrapriża individwali)

Fellackerstr. 4a

47495 Rheinberg, il-Ġermanja

Email: hallo@gartenexpedition.de

Telefon: +49 151-68131395

2. Hosting u Infrastruttura

Webhosting: Dan is-sit huwa ospitat minn Vercel Inc. (340 S Lemon Ave #4133, Walnut, CA 91789, USA). Vercel tipproċessa dejta teknika meħtieġa (indirizz IP, timestamp) biex twassal is-sit. Il-bażi legali hija l-Art. 6(1)(f) GDPR (interess leġittimu f'servizz affidabbli). Vercel hija ċċertifikata taħt il-Qafas tal-Privatezza tad-Dejta UE-U.S.

Database: Aħna nużaw Supabase Inc. (San Francisco, CA, USA) bħala servizz ta' database. Supabase taħżen kontijiet tal-utenti, dejta tal-profil, inventarji tal-ġnien u progress tal-korsijiet. Id-database titħaddem fl-UE (Frankfurt am Main). Il-bażi legali hija l-Art. 6(1)(b) GDPR (twettiq ta' kuntratt).

3. Liema dejta niġbru

a) Dejta tal-profil (waqt ir-reġistrazzjoni)

Isem tal-utent, indirizz email, reġjun tal-kodiċi postali (l-ewwel 2 ċifri biss), pajjiż, daqs tal-ġnien u tip ta' ġnien. Il-kodiċi postali sħiħ ma jinħażinx — biss ir-reġjun għal rakkomandazzjonijiet reġjonali ta' pjanti. Din id-dejta tiġi pproċessata biex tipprovdi kontenut personalizzat.

Bażi legali: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

b) Inventarju tal-ġnien u listi ta' osservazzjoni

Pjanti u annimali li żidt, listi ta' osservazzjoni u entrati fl-inventarju. Din id-dejta tintuża biex tikkalkula l-punteġġ tal-bijodiversità tiegħek u rakkomandazzjonijiet personalizzati.

Bażi legali: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

c) Statistika aggregata tal-popolarità

Fuq il-paġni tal-listi tal-pjanti, nuru valuri aggregati bħal „382 ġardinar għandhom din il-pjanta". Dawn in-numri huma kkalkulati billi jingħaddu l-entrati fl-inventarju tal-utenti kollha. Ma tiġi pproċessata jew żvelata l-ebda dejta personali — biss in-numru totali ta' entrati għal kull speċi. Valuri taħt il-5 ma jintwerewx (k-anonimità). Il-valuri huma cache kull siegħa u huma viżibbli għall-viżitaturi kollha.

Bażi legali: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Verbesserung des Nutzererlebnisses). Es findet keine Verarbeitung personenbezogener Daten statt.

c) Progress tal-kors u riżultati tal-kwizz

Progress fil-korsijiet tal-akkademja, lezzjonijiet kompluti u riżultati tal-kwizz. Użat biex jinħażen il-progress tat-tagħlim tiegħek.

Bażi legali: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

d) Analytics (anonimizzati)

Niġbru statistika interna ta' użu b'cookies minimi biex intejbu l-istabbiltà, il-kontenut u n-navigazzjoni tan-Naturkompass. Niġbru żjarat fil-paġni, ħin ta' permanenza, avvenimenti ta' ħruġ, informazzjoni ta' referenza u dejta teknika bażika bħal tip ta' apparat, daqs tal-iskrin u lingwa tal-browser. Għar-rikonoxximent fi żmien ġurnata, nużaw SHA-256 Visitor-Hash li jinbidel kuljum. M'hemm l-ebda traċċar bejn il-jiem — il-hash jiġi ġġenerat mill-ġdid kuljum. Għal din il-funzjoni ta' analytics, ma nużawx cookies u ma noħolqux profili personali.

Bażi legali: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Verbesserung unseres Angebots)

e) Messaġġi taċ-chat (Assistent tal-ġnien AI)

Il-messaġġi lill-assistent tal-ġnien AI jiġu pproċessati f'ħin reali permezz ta' streaming u ma jinħażnux b'mod permanenti. Wara t-tmiem tas-sessjoni taċ-chat, il-messaġġi jintremew.

Bażi legali: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

f) Analiżi tar-ritratti għall-identifikazzjoni ta' pjanti u annimali

Utenti rreġistrati jistgħu jtellgħu ritratt għall-identifikazzjoni tal-ispeċi appoġġjata mill-AI. L-immaġni tintbagħat lil Google Gemini Vision għall-analiżi u tiġi pproċessata fuq is-server biss għat-tul tat-talba. Ma tiġix mgħoddija lil servizzi esterni addizzjonali. Jekk issalva l-istess ritratt fid-djarju tal-ġnien, japplikaw ukoll in-noti dwar ir-ritratti tad-djarju.

Bażi legali: Art. 6 Abs. 1 lit. b DSGVO (Bereitstellung der gewünschten Funktion)

g) Formoli ta' kuntatt u feedback

Jekk tibgħatilna messaġġ permezz tal-formola ta' kuntatt jew feedback, aħna naħżnu l-messaġġ tiegħek u, jekk applikabbli, l-indirizz email tiegħek biex nipproċessaw it-talba tiegħek. Għal talbiet ta' kuntatt, tintbagħat email ta' notifika lit-tim tagħna permezz tas-servizz Brevo (Sendinblue GmbH, Berlin).

Bażi legali: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beantwortung von Anfragen)

h) Abbonament għan-newsletter

Meta tabbona għan-newsletter, naħżnu l-indirizz email tiegħek, il-ħin tal-kunsens u l-istatus tal-kunsens tiegħek. In-newsletter tista' tiġi kkanċellata fi kwalunkwe ħin.

Bażi legali: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)

i) Funzjonijiet B2B (Widget u ESG)

Għall-offerti tagħna mmirati esklussivament lejn kumpaniji (Naturkompass Widget u Naturkompass ESG), nipproċessaw ukoll dejta tal-kumpanija, dejta kuntrattwali, dejta ta' integrazzjoni teknika u protokolli ta' użu. Dettalji jinsabu fl-avviżi ta' privatezza B2B separati. B2B-Datenschutzhinweisen.

Bażi legali: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. f DSGVO (Sicherheit, Missbrauchsschutz, Nachweisbarkeit)

4. Fornituri terzi u trasferiment ta' dejta

Aħna nużaw il-fornituri terzi li ġejjin:

  • Supabase Inc.Database u awtentikazzjoni. Post tas-server: UE (Frankfurt). Ipproċessat: Kont tal-utent, dejta tal-profil, inventarju tal-ġnien, progress tal-kors.
  • Vercel Inc.Webhosting u CDN. Ipproċessat: Indirizz IP, dejta ta' aċċess tekniku. Iċċertifikat taħt il-Qafas tal-Privatezza tad-Dejta UE-U.S.
  • Anthropic / GoogleFunzjonijiet AI. Il-messaġġi taċ-chat u, meta tintuża l-analiżi tar-ritratti, l-immaġini mtellgħin jintbagħtu lill-fornitur tal-AI rispettiv għall-ipproċessar. M'hemm l-ebda ħażna permanenti tal-messaġġi taċ-chat min-Naturkompass. L-analiżi tar-ritratti tuża Google Gemini Vision mingħajr fallback addizzjonali. Anthropic u Google jipproċessaw id-dejta skont il-politiki ta' privatezza u t-termini tal-API rispettivi tagħhom.
  • YouTube (Google Ireland Limited)Vidjows inkorporati. Il-vidjows jitgħabbew biss wara l-kunsens espliċitu tiegħek (soluzzjoni ta' żewġ klikks). Biss meta tikklikkja fuq „Tagħbija vidjow" tiġi stabbilita konnessjoni mas-servers ta' YouTube. YouTube jista' jistabbilixxi cookies u jiġbor dejta ta' użu. Aħna nużaw il-modalità ta' privatezza mtejba (youtube-nocookie.com).
  • Brevo (Sendinblue GmbH)Tqassim tan-newsletter. L-indirizz email tiegħek jintbagħat lil Brevo meta tabbona (Double-Opt-In). Brevo tipproċessa d-dejta fl-UE. Il-bażi legali hija l-Art. 6(1)(a) GDPR (kunsens).
  • Stripe Inc.Ipproċessar ta' ħlas. Għal funzjonijiet imħallsa (eż. krediti AI), id-dejta tal-ħlas tintbagħat direttament lil Stripe Inc. (510 Townsend Street, San Francisco, CA 94103, USA). Stripe tipproċessa: Isem, email, informazzjoni ta' ħlas (karta ta' kreditu, SEPA, PayPal), indirizz IP, dejta tal-apparat. Stripe hija ċċertifikata taħt il-Qafas tal-Privatezza tad-Dejta UE-U.S. Bażi legali: Art. 6(1)(b) GDPR (twettiq ta' kuntratt).
  • Ecwid by LightspeedĦanut online. Il-ħanut inkorporat huwa mħaddem minn Ecwid (Lightspeed Commerce Inc., 700 Saint-Antoine Est, Montréal, QC H2Y 1A6, Kanada). Meta żżur il-paġna tal-ħanut, Ecwid jista' jistabbilixxi cookies tekniċi meħtieġa (shopping cart, sessjoni) u jiġbor dejta ta' użu (indirizz IP, informazzjoni dwar l-apparat). Għall-ordnijiet, id-dejta tal-ordni u ta' kuntatt tintbagħat lil Ecwid. Bażi legali: Art. 6(1)(b) GDPR (twettiq ta' kuntratt) jew Art. 6(1)(f) GDPR (interess leġittimu fil-provvista tal-ħanut).
  • Billbee GmbHIpproċessar ta' ordnijiet u fatturazzjoni. Għall-ipproċessar tal-ordnijiet u l-ħolqien ta' fatturi, id-dejta tal-ordni tintbagħat lil Billbee GmbH (Paulinenstr. 54, 32756 Detmold, il-Ġermanja). Billbee tipproċessa d-dejta esklussivament fl-UE. Bażi legali: Art. 6(1)(b) GDPR (twettiq ta' kuntratt) u Art. 6(1)(c) GDPR (obbligi legali ta' żamma).
  • Cloudflare R2Ħażna tal-midja. Stampi u fajls tal-midja (eż. ritratti ta' speċi, ritratti tad-djarju, ritratti ta' ċertifikazzjoni, PDFs tal-fatturi) jinħażnu fuq Cloudflare Inc. (101 Townsend St, San Francisco, CA 94107, USA) fuq R2 Object Storage. Cloudflare hija ċċertifikata taħt il-Qafas tal-Privatezza tad-Dejta UE-U.S. Ma tintbagħat l-ebda dejta personali tal-viżitaturi tas-sit lil Cloudflare — biss il-fajls tal-midja nfushom. Bażi legali: Art. 6(1)(f) GDPR (interess leġittimu fil-provvista effiċjenti tal-midja).
  • Upstash Inc.Rate-Limiting. Biex nipproteġu kontra l-abbuż (eż. waqt iċ-chat AI), nużaw Upstash Redis (Upstash Inc., San Francisco, CA, USA) għal counters temporanji ta' rate-limiting. Hash anonimizzat tal-indirizz IP tiegħek jinħażen għal massimu ta' 60 sekonda. Ma tinħażen l-ebda dejta f'test ċar jew informazzjoni personali b'mod permanenti fuq Upstash. Bażi legali: Art. 6(1)(f) GDPR (interess leġittimu fis-sigurtà tal-pjattaforma).

3d) Ritratti fl-osservazzjonijiet (Djarju tal-ġnien)

L-utenti jistgħu jtellgħu ritratti ta' osservazzjonijiet fid-djarju tal-ġnien. Japplikaw il-miżuri ta' privatezza li ġejjin:

  • Il-metadejta EXIF titneħħa: Waqt it-tlugħ, il-metadejta EXIF kollha (inklużi koordinati GPS, mudell tal-kamera u timestamp) titneħħa awtomatikament fuq is-server. Tinħażen biss id-dejta tal-immaġni mingħajr metadejta.
  • Nur privat sichtbar: Hochgeladene Fotos sind ausschließlich für den jeweiligen Nutzer selbst sichtbar. Es findet keine öffentliche Anzeige, kein Social Feed und keine Weitergabe an andere Nutzer statt.
  • Speicherort: Fotos werden auf Cloudflare R2 Object Storage gespeichert (siehe oben). Die Bilder werden beim Upload in das WebP-Format konvertiert und auf maximal 1600 px Breite skaliert, um Speicher zu minimieren.
  • Löschung: Beim Löschen einer Beobachtung werden das zugehörige Foto und die Vorschau sofort und unwiderruflich aus dem Speicher (Cloudflare R2) gelöscht. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch Upload-Aktion).

5. Cookies

Naturkompass verwendet ausschließlich technisch notwendige Cookies. Es werden keine Tracking- oder Werbe-Cookies eingesetzt. Schriftarten werden lokal von unseren eigenen Servern bereitgestellt — es findet keine Verbindung zu Google Fonts statt.

  • Supabase Auth Cookie — Speichert Ihre Anmeldesitzung (Session-Token). Wird bei Abmeldung gelöscht.
  • Beta-Gate Cookie — Speichert den Beta-Zugangsstatus während der geschlossenen Testphase.
  • Ecwid Shop-Cookies — Beim Besuch der Shop-Seite (/shop) kann der eingebettete Ecwid-Shop technisch notwendige Cookies setzen (Warenkorb-Session, Spracheinstellung). Diese Cookies werden nur auf der Shop-Seite geladen.
  • Newsletter-Popup (nk_popup_dismissed) — Speichert, ob das Newsletter-Popup geschlossen oder abonniert wurde. Enthält keine personenbezogenen Daten und dient ausschließlich der Benutzerfreundlichkeit (Präferenz-Cookie). Speicherdauer: 30 Tage.

Rechtsgrundlage: § 25 Abs. 2 TDDDG (technisch notwendige Cookies sind ohne Einwilligung zulässig)

6. Ihre Rechte (Betroffenenrechte)

Sie haben gemäß DSGVO folgende Rechte:

  • Auskunftsrecht (Art. 15)Sie können Auskunft über Ihre bei uns gespeicherten personenbezogenen Daten verlangen.
  • Berichtigungsrecht (Art. 16)Sie können die Berichtigung unrichtiger Daten verlangen.
  • Löschungsrecht (Art. 17)Sie können die Löschung Ihrer Daten verlangen, sofern keine gesetzliche Aufbewahrungspflicht besteht.
  • Einschränkung der Verarbeitung (Art. 18)Sie können die Einschränkung der Verarbeitung Ihrer Daten verlangen.
  • Datenportabilität (Art. 20)Sie können Ihre Daten in einem maschinenlesbaren Format erhalten.
  • Widerspruchsrecht (Art. 21)Sie können der Verarbeitung Ihrer Daten widersprechen, sofern diese auf berechtigtem Interesse basiert.
  • Widerruf der Einwilligung (Art. 7 Abs. 3)Eine erteilte Einwilligung (z.B. Newsletter) können Sie jederzeit mit Wirkung für die Zukunft widerrufen.

Zur Ausübung Ihrer Rechte kontaktieren Sie uns unter hallo@gartenexpedition.de.

Sie haben zudem das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO). Zuständig ist der Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen.

7. Aufbewahrungsfristen

  • Dejta tal-profil, inventarju tal-ġnien, listi ta' osservazzjoni, progress tal-kors — Bis zur Löschung Ihres Nutzerkontos. Sie können Ihr Konto jederzeit löschen.
  • Analytics-DatenAnalytics-Daten — Maximal 365 Tage, danach automatische Löschung. Durch den täglichen Hash-Wechsel ist keine Zuordnung zu einzelnen Personen möglich.
  • Chat-NachrichtenChat-Nachrichten — Werden nicht gespeichert (nur Streaming-Verarbeitung).
  • KI-FotoanalyseKI-Fotoanalyse — Hochgeladene Bilder werden nur zur Analyse verarbeitet und nicht gesondert als KI-Anfrage gespeichert; separat im Tagebuch gespeicherte Fotos bleiben bis zur Löschung des Eintrags erhalten.
  • Newsletter-DatenNewsletter-Daten — Bis zum Widerruf der Einwilligung.

8. Datensicherheit

Wir treffen folgende technische und organisatorische Maßnahmen zum Schutz Ihrer Daten:

  • HTTPS-VerschlüsselungAlle Datenübertragungen sind TLS-verschlüsselt.
  • Row Level Security (RLS)Datenbankzugriffe sind auf den jeweiligen Nutzer beschränkt. Jeder Nutzer kann nur seine eigenen Daten einsehen und bearbeiten.
  • Content Security Policy (CSP)Strikte Sicherheitsheader verhindern Cross-Site-Scripting und andere Angriffe.
  • JWT-AuthentifizierungSichere, tokenbasierte Authentifizierung über Supabase Auth.

9. Kinderwelt — Kinder-Datenschutz (DSGVO Art. 8)

Der Bereich „Kinderwelt" richtet sich an Kinder ab 4 Jahren und wird stets unter Aufsicht eines Erziehungsberechtigten genutzt. Die Einrichtung und Verwaltung erfolgt ausschließlich über das Eltern-Konto.

Welche Daten wir verarbeiten:

  • Kinder-Profile (Slots): Vorname und ein Emoji-Icon. Es werden keine Geburtsdaten, Nachnamen oder sonstigen personenbezogenen Daten der Kinder gespeichert.
  • Forschertagebuch-Fotos: Fotos werden automatisch von EXIF-Metadaten (inkl. GPS-Koordinaten) bereinigt, auf maximal 1200×1200 Pixel verkleinert und als WebP in Cloudflare R2 gespeichert.
  • Sammelkarten & Sterne: Der Fortschritt (gesammelte Karten, Sternkonto, abgeschlossene Missionen) wird dem Eltern-Konto zugeordnet, nicht einem eigenständigen Kinderkonto.
  • Hörspiel-Streaming: Audiodaten werden über signierte URLs von Cloudflare R2 bereitgestellt. Es wird kein persönliches Nutzungsprofil des Kindes erstellt.

Keine eigenständigen Kinderkonten: Kinder erhalten keinen eigenen Login. Alle Daten sind an das Eltern-Konto gebunden und können dort jederzeit eingesehen und gelöscht werden.

Löschung: Beim Entfernen eines Kinder-Slots werden alle zugehörigen Tagebuch-Einträge (inkl. Fotos), Sammelkarten und Missions-Fortschritte unwiderruflich gelöscht.

10. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder bei Änderungen des Dienstes anzupassen. Die aktuelle Version finden Sie stets auf dieser Seite. Bei wesentlichen Änderungen informieren wir registrierte Nutzer per E-Mail.