Przejdź do głównej treści
Powrót do strony głównej

Polityka prywatności

Zgodnie z RODO · Stan: kwiecień 2026

1. Administrator danych

Administratorem danych na tej stronie jest:

Alexander Göcke

Gartenexpedition (działalność gospodarcza)

Fellackerstr. 4a

47495 Rheinberg, Niemcy

E-mail: hallo@gartenexpedition.de

Telefon: +49 151-68131395

2. Hosting i infrastruktura

Webhosting: Strona jest hostowana przez Vercel Inc. (340 S Lemon Ave #4133, Walnut, CA 91789, USA). Vercel przetwarza technicznie niezbędne dane (adres IP, znacznik czasu) w celu dostarczenia strony. Podstawą prawną jest art. 6 ust. 1 lit. f RODO (uzasadniony interes w zapewnieniu niezawodności). Vercel posiada certyfikat EU-U.S. Data Privacy Framework.

Baza danych: Używamy Supabase Inc. (San Francisco, CA, USA) jako usługi bazodanowej. Supabase przechowuje konta użytkowników, dane profilowe, inwentarz ogrodu i postępy w kursach. Baza danych jest obsługiwana w UE (Frankfurt nad Menem). Podstawą prawną jest art. 6 ust. 1 lit. b RODO (wykonanie umowy).

3. Jakie dane zbieramy

a) Dane profilowe (przy rejestracji)

Nazwa użytkownika, adres e-mail, region kodu pocztowego (tylko pierwsze 2 cyfry), kraj, wielkość i typ ogrodu. Pełny kod pocztowy nie jest zapisywany — jedynie region dla rekomendacji roślin. Dane te służą do personalizacji treści.

Podstawa prawna: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

b) Inwentarz ogrodu i listy obserwowanych

Dodane przez Ciebie rośliny i zwierzęta, listy i wpisy w inwentarzu. Dane te służą do obliczania wyniku bioróżnorodności i personalizacji rekomendacji.

Podstawa prawna: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

c) Zagregowane statystyki popularności

Na stronach z listami roślin pokazujemy zagregowane liczby, np. „382 ogrodników ma tę roślinę". Liczby te są obliczane przez proste zliczanie wpisów w inwentarzach wszystkich użytkowników. Nie są przetwarzane ani ujawniane żadne dane osobowe — tylko łączna liczba wpisów na gatunek. Liczby poniżej 5 nie są wyświetlane (k-anonimowość). Dane są aktualizowane co godzinę.

Podstawa prawna: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Verbesserung des Nutzererlebnisses). Es findet keine Verarbeitung personenbezogener Daten statt.

c) Postępy w kursach i wyniki quizów

Postępy w kursach akademii, ukończone lekcje i wyniki quizów. Służy do zapisywania Twoich postępów w nauce.

Podstawa prawna: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

d) Analityka (zanonimizowana)

Zbieramy wewnętrzne, niskociasteczkowe statystyki użytkowania, aby poprawić stabilność i nawigację Naturkompass. Przetwarzamy odsłony stron, czas trwania sesji, zdarzenia wyjścia, informacje o źródłach i dane techniczne (typ urządzenia, język przeglądarki). Do rozpoznawania w ciągu dnia używamy codziennie zmieniającego się hasha SHA-256. Brak śledzenia między dniami. Nie używamy plików cookie do analityki i nie tworzymy profili użytkowników.

Podstawa prawna: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Verbesserung unseres Angebots)

e) Wiadomości czatu (asystent ogrodowy AI)

Wiadomości do asystenta AI są przetwarzane w czasie rzeczywistym przez streaming i nie są trwale zapisywane. Po zakończeniu sesji czatu wiadomości są usuwane.

Podstawa prawna: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

f) Analiza zdjęć do rozpoznawania roślin i zwierząt

Zarejestrowani użytkownicy mogą przesłać zdjęcie do rozpoznania gatunku przez AI. Obraz jest przesyłany do Google Gemini Vision w celu analizy i przetwarzany po stronie serwera tylko na czas trwania zapytania. Nie jest przekazywany do dodatkowych zewnętrznych usług wizyjnych. Jeśli zapiszesz zdjęcie w dzienniku ogrodu, mają zastosowanie dodatkowe zasady dotyczące zdjęć w dzienniku.

Podstawa prawna: Art. 6 Abs. 1 lit. b DSGVO (Bereitstellung der gewünschten Funktion)

g) Formularze kontaktowe i opinii

Jeśli wyślesz nam wiadomość przez formularz, zapisujemy ją oraz ewentualnie Twój adres e-mail w celu obsługi zapytania. W przypadku zapytań kontaktowych e-mail z powiadomieniem jest przesyłany do naszego zespołu przez usługę Brevo (Sendinblue GmbH, Berlin).

Podstawa prawna: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beantwortung von Anfragen)

h) Zapis do newslettera

Przy zapisie do newslettera zapisujemy Twój adres e-mail, czas wyrażenia zgody i status zgody. Newsletter można w każdej chwili wypisać.

Podstawa prawna: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)

i) Funkcje B2B (Widget i ESG)

Dla naszych ofert skierowanych wyłącznie do firm (Naturkompass Widget i Naturkompass ESG) przetwarzamy dodatkowo dane firmowe, dane umowne, dane integracji technicznej i protokoły użytkowania. Szczegóły znajdują się w osobnych informacjach o ochronie danych B2B. B2B-Datenschutzhinweisen.

Podstawa prawna: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. f DSGVO (Sicherheit, Missbrauchsschutz, Nachweisbarkeit)

4. Dostawcy zewnętrzni i przekazywanie danych

Korzystamy z następujących dostawców zewnętrznych:

  • Supabase Inc.Baza danych i uwierzytelnianie. Lokalizacja serwera: UE (Frankfurt). Przetwarza: konto użytkownika, dane profilowe, inwentarz ogrodu, postępy w kursach.
  • Vercel Inc.Webhosting i CDN. Przetwarza: adres IP, techniczne dane dostępu. Certyfikat EU-U.S. Data Privacy Framework.
  • Anthropic / GoogleFunkcje AI. Wiadomości czatu i przesłane zdjęcia (przy analizie) są przesyłane do dostawcy AI. Brak trwałego zapisu wiadomości przez Naturkompass. Analiza zdjęć korzysta z Google Gemini Vision. Anthropic i Google przetwarzają dane zgodnie ze swoimi politykami prywatności.
  • YouTube (Google Ireland Limited)Osadzone filmy. Filmy są ładowane dopiero po wyraźnej zgodzie (rozwiązanie dwuklikowe). Dopiero po kliknięciu „Załaduj wideo" nawiązywane jest połączenie z serwerami YouTube. YouTube może ustawiać pliki cookie. Używamy rozszerzonego trybu ochrony danych (youtube-nocookie.com).
  • Brevo (Sendinblue GmbH)Wysyłka newslettera. Twój adres e-mail jest przekazywany do Brevo przy zapisie (Double-Opt-In). Brevo przetwarza dane w UE. Podstawa prawna: art. 6 ust. 1 lit. a RODO (zgoda).
  • Stripe Inc.Obsługa płatności. Przy płatnych funkcjach dane płatnicze są przesyłane bezpośrednio do Stripe Inc. (USA). Stripe przetwarza: imię, e-mail, dane płatności (karta, SEPA, PayPal), IP, dane urządzenia. Stripe posiada certyfikat EU-U.S. Data Privacy Framework. Podstawa prawna: art. 6 ust. 1 lit. b RODO.
  • Ecwid by LightspeedSklep internetowy. Sklep jest obsługiwany przez Ecwid (Kanada). Podczas wizyty Ecwid może ustawiać niezbędne pliki cookie (koszyk, sesja) i zbierać dane użytkowania (IP, dane urządzenia). Podstawa prawna: art. 6 ust. 1 lit. b RODO.
  • Billbee GmbHPrzetwarzanie zamówień i fakturowanie. Dane zamówień są przekazywane do Billbee GmbH (Niemcy). Billbee przetwarza dane wyłącznie w UE. Podstawa prawna: art. 6 ust. 1 lit. b i c RODO.
  • Cloudflare R2Przechowywanie mediów. Zdjęcia i pliki (np. zdjęcia gatunków, dziennika, PDF-y faktur) są przechowywane w Cloudflare R2 Object Storage. Cloudflare posiada certyfikat EU-U.S. Data Privacy Framework. Nie są przekazywane dane osobowe odwiedzających stronę — tylko pliki. Podstawa prawna: art. 6 ust. 1 lit. f RODO.
  • Upstash Inc.Rate-Limiting. Do ochrony przed nadużyciami (np. czat AI) używamy Upstash Redis (USA) dla tymczasowych liczników. Zapisywany jest zanonimizowany hash adresu IP na maksymalnie 60 sekund. Brak danych osobowych w Upstash. Podstawa prawna: art. 6 ust. 1 lit. f RODO.

3d) Zdjęcia w obserwacjach (Dziennik ogrodu)

Użytkownicy mogą przesyłać zdjęcia do obserwacji w dzienniku ogrodu. Obowiązują następujące środki ochrony danych:

  • Metadane EXIF są usuwane: Podczas przesyłania wszystkie metadane EXIF (w tym współrzędne GPS, model aparatu i znacznik czasu) są automatycznie usuwane po stronie serwera. Zapisywane są wyłącznie dane obrazu bez metadanych.
  • Widoczne tylko prywatnie: Przesłane zdjęcia są widoczne wyłącznie dla danego użytkownika. Brak publicznego wyświetlania, kanału społecznościowego ani udostępniania innym użytkownikom.
  • Speicherort: Fotos werden auf Cloudflare R2 Object Storage gespeichert (siehe oben). Die Bilder werden beim Upload in das WebP-Format konvertiert und auf maximal 1600 px Breite skaliert, um Speicher zu minimieren.
  • Löschung: Beim Löschen einer Beobachtung werden das zugehörige Foto und die Vorschau sofort und unwiderruflich aus dem Speicher (Cloudflare R2) gelöscht. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch Upload-Aktion).

5. Cookies

Naturkompass verwendet ausschließlich technisch notwendige Cookies. Es werden keine Tracking- oder Werbe-Cookies eingesetzt. Schriftarten werden lokal von unseren eigenen Servern bereitgestellt — es findet keine Verbindung zu Google Fonts statt.

  • Supabase Auth Cookie — Speichert Ihre Anmeldesitzung (Session-Token). Wird bei Abmeldung gelöscht.
  • Beta-Gate Cookie — Speichert den Beta-Zugangsstatus während der geschlossenen Testphase.
  • Ecwid Shop-Cookies — Beim Besuch der Shop-Seite (/shop) kann der eingebettete Ecwid-Shop technisch notwendige Cookies setzen (Warenkorb-Session, Spracheinstellung). Diese Cookies werden nur auf der Shop-Seite geladen.
  • Newsletter-Popup (nk_popup_dismissed) — Speichert, ob das Newsletter-Popup geschlossen oder abonniert wurde. Enthält keine personenbezogenen Daten und dient ausschließlich der Benutzerfreundlichkeit (Präferenz-Cookie). Speicherdauer: 30 Tage.

Rechtsgrundlage: § 25 Abs. 2 TDDDG (technisch notwendige Cookies sind ohne Einwilligung zulässig)

6. Ihre Rechte (Betroffenenrechte)

Sie haben gemäß DSGVO folgende Rechte:

  • Auskunftsrecht (Art. 15)Sie können Auskunft über Ihre bei uns gespeicherten personenbezogenen Daten verlangen.
  • Berichtigungsrecht (Art. 16)Sie können die Berichtigung unrichtiger Daten verlangen.
  • Löschungsrecht (Art. 17)Sie können die Löschung Ihrer Daten verlangen, sofern keine gesetzliche Aufbewahrungspflicht besteht.
  • Einschränkung der Verarbeitung (Art. 18)Sie können die Einschränkung der Verarbeitung Ihrer Daten verlangen.
  • Datenportabilität (Art. 20)Sie können Ihre Daten in einem maschinenlesbaren Format erhalten.
  • Widerspruchsrecht (Art. 21)Sie können der Verarbeitung Ihrer Daten widersprechen, sofern diese auf berechtigtem Interesse basiert.
  • Widerruf der Einwilligung (Art. 7 Abs. 3)Eine erteilte Einwilligung (z.B. Newsletter) können Sie jederzeit mit Wirkung für die Zukunft widerrufen.

Zur Ausübung Ihrer Rechte kontaktieren Sie uns unter hallo@gartenexpedition.de.

Sie haben zudem das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO). Zuständig ist der Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen.

7. Aufbewahrungsfristen

  • Dane profilu, inwentarz ogrodu, listy życzeń, postęp kursu — Bis zur Löschung Ihres Nutzerkontos. Sie können Ihr Konto jederzeit löschen.
  • Analytics-DatenAnalytics-Daten — Maximal 365 Tage, danach automatische Löschung. Durch den täglichen Hash-Wechsel ist keine Zuordnung zu einzelnen Personen möglich.
  • Chat-NachrichtenChat-Nachrichten — Werden nicht gespeichert (nur Streaming-Verarbeitung).
  • KI-FotoanalyseKI-Fotoanalyse — Hochgeladene Bilder werden nur zur Analyse verarbeitet und nicht gesondert als KI-Anfrage gespeichert; separat im Tagebuch gespeicherte Fotos bleiben bis zur Löschung des Eintrags erhalten.
  • Newsletter-DatenNewsletter-Daten — Bis zum Widerruf der Einwilligung.

8. Datensicherheit

Wir treffen folgende technische und organisatorische Maßnahmen zum Schutz Ihrer Daten:

  • HTTPS-VerschlüsselungAlle Datenübertragungen sind TLS-verschlüsselt.
  • Row Level Security (RLS)Datenbankzugriffe sind auf den jeweiligen Nutzer beschränkt. Jeder Nutzer kann nur seine eigenen Daten einsehen und bearbeiten.
  • Content Security Policy (CSP)Strikte Sicherheitsheader verhindern Cross-Site-Scripting und andere Angriffe.
  • JWT-AuthentifizierungSichere, tokenbasierte Authentifizierung über Supabase Auth.

9. Kinderwelt — Kinder-Datenschutz (DSGVO Art. 8)

Der Bereich „Kinderwelt" richtet sich an Kinder ab 4 Jahren und wird stets unter Aufsicht eines Erziehungsberechtigten genutzt. Die Einrichtung und Verwaltung erfolgt ausschließlich über das Eltern-Konto.

Welche Daten wir verarbeiten:

  • Kinder-Profile (Slots): Vorname und ein Emoji-Icon. Es werden keine Geburtsdaten, Nachnamen oder sonstigen personenbezogenen Daten der Kinder gespeichert.
  • Forschertagebuch-Fotos: Fotos werden automatisch von EXIF-Metadaten (inkl. GPS-Koordinaten) bereinigt, auf maximal 1200×1200 Pixel verkleinert und als WebP in Cloudflare R2 gespeichert.
  • Sammelkarten & Sterne: Der Fortschritt (gesammelte Karten, Sternkonto, abgeschlossene Missionen) wird dem Eltern-Konto zugeordnet, nicht einem eigenständigen Kinderkonto.
  • Hörspiel-Streaming: Audiodaten werden über signierte URLs von Cloudflare R2 bereitgestellt. Es wird kein persönliches Nutzungsprofil des Kindes erstellt.

Keine eigenständigen Kinderkonten: Kinder erhalten keinen eigenen Login. Alle Daten sind an das Eltern-Konto gebunden und können dort jederzeit eingesehen und gelöscht werden.

Löschung: Beim Entfernen eines Kinder-Slots werden alle zugehörigen Tagebuch-Einträge (inkl. Fotos), Sammelkarten und Missions-Fortschritte unwiderruflich gelöscht.

10. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder bei Änderungen des Dienstes anzupassen. Die aktuelle Version finden Sie stets auf dieser Seite. Bei wesentlichen Änderungen informieren wir registrierte Nutzer per E-Mail.