Naar hoofdinhoud springen
Terug naar de startpagina

Privacyverklaring

Conform AVG · Stand: april 2026

1. Verantwoordelijke

Verantwoordelijk voor de gegevensverwerking op deze website is:

Alexander Göcke

Gartenexpedition (eenmanszaak)

Fellackerstr. 4a

47495 Rheinberg, Duitsland

E-mail: hallo@gartenexpedition.de

Telefoon: +49 151-68131395

2. Hosting & infrastructuur

Webhosting: Deze website wordt gehost bij Vercel Inc. (340 S Lemon Ave #4133, Walnut, CA 91789, VS). Vercel verwerkt technisch noodzakelijke gegevens (IP-adres, tijdstempel) voor het leveren van de website. Rechtsgrondslag is art. 6 lid 1 sub f AVG (gerechtvaardigd belang bij een betrouwbare levering). Vercel is gecertificeerd onder het EU-U.S. Data Privacy Framework.

Database: Wij gebruiken Supabase Inc. (San Francisco, CA, VS) als databaseservice. Supabase slaat gebruikersaccounts, profielgegevens, tuininventarissen en cursusvoortgang op. De database wordt beheerd in de EU (Frankfurt am Main). Rechtsgrondslag is art. 6 lid 1 sub b AVG (uitvoering van de overeenkomst).

3. Welke gegevens wij verzamelen

a) Profielgegevens (bij registratie)

Gebruikersnaam, e-mailadres, postcode-regio (alleen de eerste 2 cijfers van je postcode), land, tuingrootte en tuintype. De volledige postcode wordt niet opgeslagen — alleen de postcode-regio voor regionale plantenadviezen. Deze gegevens worden verwerkt om gepersonaliseerde inhoud te bieden.

Rechtsgrondslag: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

b) Tuininventaris & verlanglijstjes

Door jou toegevoegde planten en dieren, verlanglijstjes en tuininventaris-items. Deze gegevens dienen voor het berekenen van je biodiversiteitsscore en gepersonaliseerde aanbevelingen.

Rechtsgrondslag: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

c) Geaggregeerde populariteitsstatistieken

Op pagina's met plantenlijsten tonen we geaggregeerde aantallen zoals „382 tuiniers hebben deze plant". Deze cijfers worden berekend door simpelweg tuininventaris-items over alle gebruikers heen te tellen. Er worden hierbij geen persoonsgegevens verwerkt of openbaar gemaakt — uitsluitend het totaal aantal items per plantensoort. Aantallen onder de 5 worden in principe niet getoond (k-anonimiteit). De aantallen worden per uur gecachet en zijn zichtbaar voor alle bezoekers van de site.

Rechtsgrondslag: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Verbesserung des Nutzererlebnisses). Es findet keine Verarbeitung personenbezogener Daten statt.

c) Cursusvoortgang & quizresultaten

Voortgang in academiecursussen, voltooide lessen en quizresultaten. Dient voor het opslaan van je leervoortgang.

Rechtsgrondslag: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

d) Analytics (geanonimiseerd)

Wij verzamelen interne, cookie-arme gebruiksstatistieken om de stabiliteit, inhoud en navigatie van Naturkompass te verbeteren. Hierbij worden paginabezoeken, verblijfsduur, uitstapevenementen, referrer-informatie en technische basisgegevens zoals apparaattype, schermgrootte en browsertaal verwerkt. Voor herkenning binnen één dag gebruiken we een dagelijks wisselende SHA-256 visitor-hash. Er vindt geen cross-day-tracking plaats – de hash wordt dagelijks opnieuw gegenereerd. Voor deze analytics-functie plaatsen we geen cookies en maken we geen persoonlijke gebruikersprofielen aan.

Rechtsgrondslag: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Verbesserung unseres Angebots)

e) Chatberichten (AI-tuinassistent)

Berichten aan de AI-tuinassistent worden in real-time via streaming verwerkt en niet permanent opgeslagen. Na beëindiging van de chatsessie worden de berichten verwijderd.

Rechtsgrondslag: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

f) Fotoanalyse voor plant- en dierherkenning

Geregistreerde gebruikers kunnen een foto uploaden voor AI-ondersteunde soortherkenning. De afbeelding wordt voor analyse naar Google Gemini Vision verzonden en server-side alleen verwerkt voor de duur van het verzoek. Het wordt niet doorgegeven aan extra externe vision-fallback-diensten. Als je dezelfde foto in het tuindagboek opslaat, gelden aanvullend de opmerkingen over dagboekfoto's.

Rechtsgrondslag: Art. 6 Abs. 1 lit. b DSGVO (Bereitstellung der gewünschten Funktion)

g) Contact- en feedbackformulieren

Wanneer je ons via het contactformulier of een feedbackformulier een bericht stuurt, slaan we je bericht en eventueel je e-mailadres op voor de afhandeling van je verzoek. Bij contactverzoeken wordt bovendien een notificatie-e-mail via de dienst Brevo (Sendinblue GmbH, Berlijn) naar ons team doorgestuurd.

Rechtsgrondslag: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beantwortung von Anfragen)

h) Nieuwsbriefaanmelding

Bij aanmelding voor de nieuwsbrief slaan we je e-mailadres, het tijdstip van toestemming en je consent-status op. De nieuwsbrief kan op elk moment worden opgezegd.

Rechtsgrondslag: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)

i) B2B-functies (Widget & ESG)

Voor onze aanbiedingen die uitsluitend op bedrijven zijn gericht, Naturkompass Widget en Naturkompass ESG, verwerken we aanvullend bedrijfsgegevens, contractgegevens, technische integratiegegevens en gebruikslogboeken. Details zijn te vinden in de afzonderlijke B2B-privacyverklaringen. B2B-Datenschutzhinweisen.

Rechtsgrondslag: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. f DSGVO (Sicherheit, Missbrauchsschutz, Nachweisbarkeit)

4. Derde partijen & gegevensdoorgifte

Wij maken gebruik van de volgende externe aanbieders:

  • Supabase Inc.Database & authenticatie. Serverlocatie: EU (Frankfurt). Verwerkt: gebruikersaccount, profielgegevens, tuininventaris, cursusvoortgang.
  • Vercel Inc.Webhosting & CDN. Verwerkt: IP-adres, technische toegangsgegevens. EU-U.S. Data Privacy Framework gecertificeerd.
  • Anthropic / GoogleAI-functies. Chatberichten en, bij gebruik van fotoanalyse, geüploade afbeeldingen worden voor verwerking naar de betreffende AI-aanbieder verzonden. Er vindt geen permanente opslag van chatberichten plaats door Naturkompass. De fotoanalyse gebruikt Google Gemini Vision zonder extra vision-fallback. Anthropic en Google verwerken de gegevens conform hun respectievelijke privacybeleid en API-voorwaarden.
  • YouTube (Google Ireland Limited)Ingesloten video's. Video's worden pas geladen na jouw uitdrukkelijke toestemming (twee-klik-oplossing). Pas bij het klikken op „Video laden" wordt een verbinding met YouTube-servers tot stand gebracht. YouTube kan hierbij cookies plaatsen en gebruiksgegevens verzamelen. Wij gebruiken de uitgebreide privacy-modus (youtube-nocookie.com).
  • Brevo (Sendinblue GmbH)Nieuwsbriefverzending. Je e-mailadres wordt bij aanmelding voor de nieuwsbrief naar Brevo verzonden (double-opt-in). Brevo verwerkt de gegevens in de EU. Rechtsgrondslag is art. 6 lid 1 sub a AVG (toestemming).
  • Stripe Inc.Betalingsverwerking. Bij betaalde functies (bijv. AI-credits) worden betalingsgegevens direct naar Stripe Inc. (510 Townsend Street, San Francisco, CA 94103, VS) verzonden. Stripe verwerkt: naam, e-mail, betalingsinformatie (creditcard, SEPA, PayPal), IP-adres, apparaatgegevens. Stripe is gecertificeerd onder het EU-U.S. Data Privacy Framework. Rechtsgrondslag: art. 6 lid 1 sub b AVG (uitvoering van de overeenkomst).
  • Ecwid by LightspeedOnline shop. De ingesloten shop wordt beheerd door Ecwid (Lightspeed Commerce Inc., 700 Saint-Antoine Est, Montréal, QC H2Y 1A6, Canada). Bij een bezoek aan de shoppagina kan Ecwid technisch noodzakelijke cookies plaatsen (winkelmandje, sessie) en gebruiksgegevens verzamelen (IP-adres, apparaatinformatie). Bij bestellingen worden bestel- en contactgegevens naar Ecwid verzonden. Rechtsgrondslag: art. 6 lid 1 sub b AVG (uitvoering van de overeenkomst) resp. art. 6 lid 1 sub f AVG (gerechtvaardigd belang bij het aanbieden van de shop).
  • Billbee GmbHOrderverwerking & facturatie. Voor de afhandeling van bestellingen en het opstellen van facturen worden bestelgegevens naar Billbee GmbH (Paulinenstr. 54, 32756 Detmold, Duitsland) verzonden. Billbee verwerkt de gegevens uitsluitend in de EU. Rechtsgrondslag: art. 6 lid 1 sub b AVG (uitvoering van de overeenkomst) en art. 6 lid 1 sub c AVG (wettelijke bewaarplichten).
  • Cloudflare R2Medienspeicherung. Bilder und Mediendateien (z. B. Artenfotos, Tagebuchfotos, Zertifizierungsfotos, Rechnungs-PDFs) werden bei Cloudflare Inc. (101 Townsend St, San Francisco, CA 94107, USA) auf R2 Object Storage gespeichert. Cloudflare ist unter dem EU-U.S. Data Privacy Framework zertifiziert. Es werden keine personenbezogenen Daten der Websitebesucher an Cloudflare übermittelt — lediglich die Mediendateien selbst. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter Medienbereitstellung).
  • Upstash Inc.Rate-Limiting. Zur Absicherung gegen Missbrauch (z. B. beim KI-Chat) setzen wir Upstash Redis (Upstash Inc., San Francisco, CA, USA) für temporäre Rate-Limiting-Zähler ein. Dabei wird ein anonymisierter Hash Ihrer IP-Adresse für maximal 60 Sekunden gespeichert. Es werden keine Klartextdaten oder personenbezogene Informationen dauerhaft bei Upstash abgelegt. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit der Plattform).

3d) Fotos in Beobachtungen (Garten-Tagebuch)

Nutzer können im Garten-Tagebuch Fotos zu Beobachtungen hochladen. Dabei gelten folgende Datenschutzmaßnahmen:

  • EXIF-Metadaten werden entfernt: Beim Upload werden sämtliche EXIF-Metadaten (einschließlich GPS-Koordinaten, Kameramodell und Zeitstempel) serverseitig automatisch entfernt. Es werden ausschließlich die Bilddaten ohne Metadaten gespeichert.
  • Nur privat sichtbar: Hochgeladene Fotos sind ausschließlich für den jeweiligen Nutzer selbst sichtbar. Es findet keine öffentliche Anzeige, kein Social Feed und keine Weitergabe an andere Nutzer statt.
  • Speicherort: Fotos werden auf Cloudflare R2 Object Storage gespeichert (siehe oben). Die Bilder werden beim Upload in das WebP-Format konvertiert und auf maximal 1600 px Breite skaliert, um Speicher zu minimieren.
  • Löschung: Beim Löschen einer Beobachtung werden das zugehörige Foto und die Vorschau sofort und unwiderruflich aus dem Speicher (Cloudflare R2) gelöscht. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch Upload-Aktion).

5. Cookies

Naturkompass verwendet ausschließlich technisch notwendige Cookies. Es werden keine Tracking- oder Werbe-Cookies eingesetzt. Schriftarten werden lokal von unseren eigenen Servern bereitgestellt — es findet keine Verbindung zu Google Fonts statt.

  • Supabase Auth Cookie — Speichert Ihre Anmeldesitzung (Session-Token). Wird bei Abmeldung gelöscht.
  • Beta-Gate Cookie — Speichert den Beta-Zugangsstatus während der geschlossenen Testphase.
  • Ecwid Shop-Cookies — Beim Besuch der Shop-Seite (/shop) kann der eingebettete Ecwid-Shop technisch notwendige Cookies setzen (Warenkorb-Session, Spracheinstellung). Diese Cookies werden nur auf der Shop-Seite geladen.
  • Newsletter-Popup (nk_popup_dismissed) — Speichert, ob das Newsletter-Popup geschlossen oder abonniert wurde. Enthält keine personenbezogenen Daten und dient ausschließlich der Benutzerfreundlichkeit (Präferenz-Cookie). Speicherdauer: 30 Tage.

Rechtsgrundlage: § 25 Abs. 2 TDDDG (technisch notwendige Cookies sind ohne Einwilligung zulässig)

6. Ihre Rechte (Betroffenenrechte)

Sie haben gemäß DSGVO folgende Rechte:

  • Auskunftsrecht (Art. 15)Sie können Auskunft über Ihre bei uns gespeicherten personenbezogenen Daten verlangen.
  • Berichtigungsrecht (Art. 16)Sie können die Berichtigung unrichtiger Daten verlangen.
  • Löschungsrecht (Art. 17)Sie können die Löschung Ihrer Daten verlangen, sofern keine gesetzliche Aufbewahrungspflicht besteht.
  • Einschränkung der Verarbeitung (Art. 18)Sie können die Einschränkung der Verarbeitung Ihrer Daten verlangen.
  • Datenportabilität (Art. 20)Sie können Ihre Daten in einem maschinenlesbaren Format erhalten.
  • Widerspruchsrecht (Art. 21)Sie können der Verarbeitung Ihrer Daten widersprechen, sofern diese auf berechtigtem Interesse basiert.
  • Widerruf der Einwilligung (Art. 7 Abs. 3)Eine erteilte Einwilligung (z.B. Newsletter) können Sie jederzeit mit Wirkung für die Zukunft widerrufen.

Zur Ausübung Ihrer Rechte kontaktieren Sie uns unter hallo@gartenexpedition.de.

Sie haben zudem das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO). Zuständig ist der Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen.

7. Aufbewahrungsfristen

  • Profielgegevens, tuininventaris, verlanglijstjes, cursusvoortgang — Bis zur Löschung Ihres Nutzerkontos. Sie können Ihr Konto jederzeit löschen.
  • Analytics-DatenAnalytics-Daten — Maximal 365 Tage, danach automatische Löschung. Durch den täglichen Hash-Wechsel ist keine Zuordnung zu einzelnen Personen möglich.
  • Chat-NachrichtenChat-Nachrichten — Werden nicht gespeichert (nur Streaming-Verarbeitung).
  • KI-FotoanalyseKI-Fotoanalyse — Hochgeladene Bilder werden nur zur Analyse verarbeitet und nicht gesondert als KI-Anfrage gespeichert; separat im Tagebuch gespeicherte Fotos bleiben bis zur Löschung des Eintrags erhalten.
  • Newsletter-DatenNewsletter-Daten — Bis zum Widerruf der Einwilligung.

8. Datensicherheit

Wir treffen folgende technische und organisatorische Maßnahmen zum Schutz Ihrer Daten:

  • HTTPS-VerschlüsselungAlle Datenübertragungen sind TLS-verschlüsselt.
  • Row Level Security (RLS)Datenbankzugriffe sind auf den jeweiligen Nutzer beschränkt. Jeder Nutzer kann nur seine eigenen Daten einsehen und bearbeiten.
  • Content Security Policy (CSP)Strikte Sicherheitsheader verhindern Cross-Site-Scripting und andere Angriffe.
  • JWT-AuthentifizierungSichere, tokenbasierte Authentifizierung über Supabase Auth.

9. Kinderwelt — Kinder-Datenschutz (DSGVO Art. 8)

Der Bereich „Kinderwelt" richtet sich an Kinder ab 4 Jahren und wird stets unter Aufsicht eines Erziehungsberechtigten genutzt. Die Einrichtung und Verwaltung erfolgt ausschließlich über das Eltern-Konto.

Welche Daten wir verarbeiten:

  • Kinder-Profile (Slots): Vorname und ein Emoji-Icon. Es werden keine Geburtsdaten, Nachnamen oder sonstigen personenbezogenen Daten der Kinder gespeichert.
  • Forschertagebuch-Fotos: Fotos werden automatisch von EXIF-Metadaten (inkl. GPS-Koordinaten) bereinigt, auf maximal 1200×1200 Pixel verkleinert und als WebP in Cloudflare R2 gespeichert.
  • Sammelkarten & Sterne: Der Fortschritt (gesammelte Karten, Sternkonto, abgeschlossene Missionen) wird dem Eltern-Konto zugeordnet, nicht einem eigenständigen Kinderkonto.
  • Hörspiel-Streaming: Audiodaten werden über signierte URLs von Cloudflare R2 bereitgestellt. Es wird kein persönliches Nutzungsprofil des Kindes erstellt.

Keine eigenständigen Kinderkonten: Kinder erhalten keinen eigenen Login. Alle Daten sind an das Eltern-Konto gebunden und können dort jederzeit eingesehen und gelöscht werden.

Löschung: Beim Entfernen eines Kinder-Slots werden alle zugehörigen Tagebuch-Einträge (inkl. Fotos), Sammelkarten und Missions-Fortschritte unwiderruflich gelöscht.

10. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder bei Änderungen des Dienstes anzupassen. Die aktuelle Version finden Sie stets auf dieser Seite. Bei wesentlichen Änderungen informieren wir registrierte Nutzer per E-Mail.