Personvernerklæring

Ansvarlig for databehandlingen på dette nettstedet er:

Alexander Göcke

Gartenexpedition (enkeltpersonforetak)

Fellackerstr. 4a

47495 Rheinberg, Tyskland

E-post: hallo@gartenexpedition.de

Telefon: +49 151-68131395

Webhosting: Dette nettstedet hostes hos Vercel Inc. (340 S Lemon Ave #4133, Walnut, CA 91789, USA). Vercel behandler teknisk nødvendige data (IP-adresse, tidsstempel) for levering av nettstedet. Rettslig grunnlag er Art. 6 Abs. 1 lit. f GDPR (berettiget interesse i en pålitelig levering). Vercel er sertifisert under EU-U.S. Data Privacy Framework.

Database: Vi bruker Supabase Inc. (San Francisco, CA, USA) som databasetjeneste. Supabase lagrer brukerkontoer, profildata, hageinventar og kursfremgang. Databasen drives i EU (Frankfurt am Main). Rettslig grunnlag er Art. 6 Abs. 1 lit. b GDPR (oppfyllelse av kontrakt).

Vi bruker følgende tredjepartsleverandører:

• Supabase Inc. — Database og autentisering. Serverplassering: EU (Frankfurt). Behandler: Brukerkonto, profildata, hageinventar, kursfremgang.
• Vercel Inc. — Webhosting og CDN. Behandler: IP-adresse, tekniske tilgangsdata. Sertifisert under EU-U.S. Data Privacy Framework.
• Anthropic / Google — KI-funksjoner. Chat-meldinger og, ved bruk av fotoanalyse, opplastede bilder sendes til den aktuelle KI-leverandøren for behandling. Det skjer ingen permanent lagring av chat-meldinger hos Naturkompass. Fotoanalysen bruker Google Gemini Vision uten ekstra Vision-fallback. Anthropic og Google behandler dataene i henhold til deres respektive personvernregler og API-vilkår.
• YouTube (Google Ireland Limited) — Innebygde videoer. Videoer lastes først etter ditt uttrykkelige samtykke (to-klikks-løsning). Først når du klikker på «Last inn video», opprettes en forbindelse til YouTube-servere. YouTube kan sette informasjonskapsler og samle inn bruksdata. Vi bruker utvidet personvernmodus (youtube-nocookie.com).
• Brevo (Sendinblue GmbH) — Utsending av nyhetsbrev. E-postadressen din sendes til Brevo ved påmelding til nyhetsbrev (Double-Opt-In). Brevo behandler dataene i EU. Rettslig grunnlag er Art. 6 Abs. 1 lit. a GDPR (samtykke).
• Stripe Inc. — Betalingsbehandling. Ved betalte funksjoner (f.eks. KI-kreditter) sendes betalingsdata direkte til Stripe Inc. (510 Townsend Street, San Francisco, CA 94103, USA). Stripe behandler: Navn, e-post, betalingsinformasjon (kredittkort, SEPA, PayPal), IP-adresse, enhetsdata. Stripe er sertifisert under EU-U.S. Data Privacy Framework. Rettslig grunnlag: Art. 6 Abs. 1 lit. b GDPR (oppfyllelse av kontrakt).
• Ecwid by Lightspeed — Nettbutikk. Den innebygde butikken drives av Ecwid (Lightspeed Commerce Inc., 700 Saint-Antoine Est, Montréal, QC H2Y 1A6, Canada). Ved besøk på butikksiden kan Ecwid sette teknisk nødvendige informasjonskapsler (handlekurv, sesjon) og samle inn bruksdata (IP-adresse, enhetsinformasjon). Ved bestillinger sendes bestillings- og kontaktdata til Ecwid. Rettslig grunnlag: Art. 6 Abs. 1 lit. b GDPR (oppfyllelse av kontrakt) eller Art. 6 Abs. 1 lit. f GDPR (berettiget interesse i å tilby butikken).
• Billbee GmbH — Ordrebehandling og fakturering. For behandling av bestillinger og opprettelse av fakturaer sendes bestillingsdata til Billbee GmbH (Paulinenstr. 54, 32756 Detmold, Tyskland). Billbee behandler dataene utelukkende i EU. Rettslig grunnlag: Art. 6 Abs. 1 lit. b GDPR (oppfyllelse av kontrakt) og Art. 6 Abs. 1 lit. c GDPR (lovpålagte oppbevaringsplikter).
• Cloudflare R2 — Medielagring. Bilder og mediefiler (f.eks. artsbilder, dagbokbilder, sertifiseringsbilder, faktura-PDF-er) lagres hos Cloudflare Inc. (101 Townsend St, San Francisco, CA 94107, USA) på R2 Object Storage. Cloudflare er sertifisert under EU-U.S. Data Privacy Framework. Ingen personopplysninger om nettstedsbesøkende sendes til Cloudflare — kun selve mediefilene. Rettslig grunnlag: Art. 6 Abs. 1 lit. f GDPR (berettiget interesse i effektiv medielevering).
• Upstash Inc. — Rate-limiting. For beskyttelse mot misbruk (f.eks. ved KI-chat) bruker vi Upstash Redis (Upstash Inc., San Francisco, CA, USA) for midlertidige rate-limiting-tellere. En anonymisert hash av IP-adressen din lagres i maksimalt 60 sekunder. Ingen klartekstdata eller personopplysninger lagres permanent hos Upstash. Rettslig grunnlag: Art. 6 Abs. 1 lit. f GDPR (berettiget interesse i plattformens sikkerhet).

3d) Bilder i observasjoner (hagedagbok)

Brukere kan laste opp bilder til observasjoner i hagedagboken. Følgende personverntiltak gjelder:

• EXIF-Metadaten werden entfernt: Beim Upload werden sämtliche EXIF-Metadaten (einschließlich GPS-Koordinaten, Kameramodell und Zeitstempel) serverseitig automatisch entfernt. Es werden ausschließlich die Bilddaten ohne Metadaten gespeichert.
• Nur privat sichtbar: Hochgeladene Fotos sind ausschließlich für den jeweiligen Nutzer selbst sichtbar. Es findet keine öffentliche Anzeige, kein Social Feed und keine Weitergabe an andere Nutzer statt.
• Speicherort: Fotos werden auf Cloudflare R2 Object Storage gespeichert (siehe oben). Die Bilder werden beim Upload in das WebP-Format konvertiert und auf maximal 1600 px Breite skaliert, um Speicher zu minimieren.
• Löschung: Beim Löschen einer Beobachtung werden das zugehörige Foto und die Vorschau sofort und unwiderruflich aus dem Speicher (Cloudflare R2) gelöscht. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch Upload-Aktion).

Naturkompass verwendet ausschließlich technisch notwendige Cookies. Es werden keine Tracking- oder Werbe-Cookies eingesetzt. Schriftarten werden lokal von unseren eigenen Servern bereitgestellt — es findet keine Verbindung zu Google Fonts statt.

• Supabase Auth Cookie — Speichert Ihre Anmeldesitzung (Session-Token). Wird bei Abmeldung gelöscht.
• Beta-Gate Cookie — Speichert den Beta-Zugangsstatus während der geschlossenen Testphase.
• Ecwid Shop-Cookies — Beim Besuch der Shop-Seite (/shop) kann der eingebettete Ecwid-Shop technisch notwendige Cookies setzen (Warenkorb-Session, Spracheinstellung). Diese Cookies werden nur auf der Shop-Seite geladen.
• Newsletter-Popup (nk_popup_dismissed) — Speichert, ob das Newsletter-Popup geschlossen oder abonniert wurde. Enthält keine personenbezogenen Daten und dient ausschließlich der Benutzerfreundlichkeit (Präferenz-Cookie). Speicherdauer: 30 Tage.

Rechtsgrundlage: § 25 Abs. 2 TDDDG (technisch notwendige Cookies sind ohne Einwilligung zulässig)

Sie haben gemäß DSGVO folgende Rechte:

• Auskunftsrecht (Art. 15) — Sie können Auskunft über Ihre bei uns gespeicherten personenbezogenen Daten verlangen.
• Berichtigungsrecht (Art. 16) — Sie können die Berichtigung unrichtiger Daten verlangen.
• Löschungsrecht (Art. 17) — Sie können die Löschung Ihrer Daten verlangen, sofern keine gesetzliche Aufbewahrungspflicht besteht.
• Einschränkung der Verarbeitung (Art. 18) — Sie können die Einschränkung der Verarbeitung Ihrer Daten verlangen.
• Datenportabilität (Art. 20) — Sie können Ihre Daten in einem maschinenlesbaren Format erhalten.
• Widerspruchsrecht (Art. 21) — Sie können der Verarbeitung Ihrer Daten widersprechen, sofern diese auf berechtigtem Interesse basiert.
• Widerruf der Einwilligung (Art. 7 Abs. 3) — Eine erteilte Einwilligung (z.B. Newsletter) können Sie jederzeit mit Wirkung für die Zukunft widerrufen.

Zur Ausübung Ihrer Rechte kontaktieren Sie uns unter hallo@gartenexpedition.de.

Sie haben zudem das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO). Zuständig ist der Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen.

• Profildata, hageinventar, huskelister, kursfremgang — Bis zur Löschung Ihres Nutzerkontos. Sie können Ihr Konto jederzeit löschen.
• Analytics-Daten — Analytics-Daten — Maximal 365 Tage, danach automatische Löschung. Durch den täglichen Hash-Wechsel ist keine Zuordnung zu einzelnen Personen möglich.
• Chat-Nachrichten — Chat-Nachrichten — Werden nicht gespeichert (nur Streaming-Verarbeitung).
• KI-Fotoanalyse — KI-Fotoanalyse — Hochgeladene Bilder werden nur zur Analyse verarbeitet und nicht gesondert als KI-Anfrage gespeichert; separat im Tagebuch gespeicherte Fotos bleiben bis zur Löschung des Eintrags erhalten.
• Newsletter-Daten — Newsletter-Daten — Bis zum Widerruf der Einwilligung.

Wir treffen folgende technische und organisatorische Maßnahmen zum Schutz Ihrer Daten:

• HTTPS-Verschlüsselung — Alle Datenübertragungen sind TLS-verschlüsselt.
• Row Level Security (RLS) — Datenbankzugriffe sind auf den jeweiligen Nutzer beschränkt. Jeder Nutzer kann nur seine eigenen Daten einsehen und bearbeiten.
• Content Security Policy (CSP) — Strikte Sicherheitsheader verhindern Cross-Site-Scripting und andere Angriffe.
• JWT-Authentifizierung — Sichere, tokenbasierte Authentifizierung über Supabase Auth.

Der Bereich „Kinderwelt" richtet sich an Kinder ab 4 Jahren und wird stets unter Aufsicht eines Erziehungsberechtigten genutzt. Die Einrichtung und Verwaltung erfolgt ausschließlich über das Eltern-Konto.

Welche Daten wir verarbeiten:

• Kinder-Profile (Slots): Vorname und ein Emoji-Icon. Es werden keine Geburtsdaten, Nachnamen oder sonstigen personenbezogenen Daten der Kinder gespeichert.
• Forschertagebuch-Fotos: Fotos werden automatisch von EXIF-Metadaten (inkl. GPS-Koordinaten) bereinigt, auf maximal 1200×1200 Pixel verkleinert und als WebP in Cloudflare R2 gespeichert.
• Sammelkarten & Sterne: Der Fortschritt (gesammelte Karten, Sternkonto, abgeschlossene Missionen) wird dem Eltern-Konto zugeordnet, nicht einem eigenständigen Kinderkonto.
• Hörspiel-Streaming: Audiodaten werden über signierte URLs von Cloudflare R2 bereitgestellt. Es wird kein persönliches Nutzungsprofil des Kindes erstellt.

Keine eigenständigen Kinderkonten: Kinder erhalten keinen eigenen Login. Alle Daten sind an das Eltern-Konto gebunden und können dort jederzeit eingesehen und gelöscht werden.

Löschung: Beim Entfernen eines Kinder-Slots werden alle zugehörigen Tagebuch-Einträge (inkl. Fotos), Sammelkarten und Missions-Fortschritte unwiderruflich gelöscht.