Datenschutzerklärung
1. Verantwortlicher
Verantwortlicher für die Datenverarbeitung im Sinne der DSGVO ist:
Robert Gürgens Software- und IT-Dienstleistungen Suhler Straße 17 12629 Berlin Deutschland
E-Mail: dpo@gartenkern.de
2. Allgemeines zur Datenverarbeitung
Wir verarbeiten personenbezogene Daten unserer Nutzer grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen Plattform sowie zur Erfüllung unserer vertraglichen und gesetzlichen Pflichten erforderlich ist (Datenminimierung, Art. 5 DSGVO).
Rechtsgrundlagen
- Art. 6 Abs. 1 lit. a DSGVO — Einwilligung (sofern du sie für einzelne Funktionen separat erteilst)
- Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung (Account, Plattform-Nutzung)
- Art. 6 Abs. 1 lit. c DSGVO — rechtliche Verpflichtung (Buchhaltung, Steuern)
- Art. 6 Abs. 1 lit. f DSGVO — berechtigte Interessen (Sicherheit, Missbrauchs-Erkennung)
3. Welche Daten wir verarbeiten
| Daten | Zweck | Rechtsgrundlage |
|---|---|---|
| Email, Display-Name | Account-Anlage, Login | Art. 6 (1)(b) |
| Workspace + Garten-Inhalte (Pflanzungen, Tagebuch, Tasks, Bilder) | Plattform-Nutzung | Art. 6 (1)(b) |
| Standort-Polygon des Gartens | Karten-/Wetter-Funktionen | Art. 6 (1)(b), Einwilligung implizit |
| EXIF-Daten in hochgeladenen Bildern | Werden vor Speicherung entfernt (DSGVO-Datenminimierung) | — |
| IP-Adresse beim Login + Upload | Sicherheit, Missbrauchs-Erkennung | Art. 6 (1)(f) |
| Cookies (Session, Locale, Theme) | Plattform-Funktion (technisch notwendig) | Art. 6 (1)(b) + § 25 (2) TTDSG |
4. Cookies
Wir setzen ausschließlich technisch notwendige Cookies:
ory_kratos_session— Login-Sitzung (essentiell, Session-Cookie)csrf_token_…— Schutz vor Cross-Site-Request-Forgery (essentiell)NEXT_LOCALE— gewählte Sprache (essentiell)theme— Hell/Dunkel-Präferenz (essentiell)gartenkern_invite_token— Validierung deines Einladungscodes in der geschlossenen Beta (essentiell, HttpOnly, läuft nach 2 Stunden ab)
Es findet kein Tracking, kein Profiling und keine Drittanbieter-Werbung statt. Daher kein Cookie-Consent-Banner gemäß § 25 (2) TTDSG.
5. Auftragsverarbeiter & externe Dienste
| Provider | Zweck | Standort | Rechtsgrundlage |
|---|---|---|---|
| netcup GmbH | Hosting | DE Nürnberg | AVV nach Art. 28 DSGVO |
| Hetzner Online GmbH | Backup-Storage (verschlüsselt) | DE | AVV nach Art. 28 DSGVO |
| Proton AG | Email-Empfang + Versand | CH (Adäquanzbeschluss) | AVV |
| Stripe Payments Europe, Ltd. | Zahlungsabwicklung (Abonnements, Rechnungen) | IE (EU) | DPA nach Art. 28 DSGVO |
| Mistral AI SAS | Pflanzen-Erkennung, KI-Chat, Saison-Zusammenfassung, Beleg-/Zähler-OCR, Krankheits-Diagnose | FR (EU) | AVV nach Art. 28 DSGVO |
| OpenRouter, Inc. | Öffentliche Pflanzen-Wissensanreicherung + DE↔EN-Übersetzungen | US (SCCs) | Art. 28 + Art. 46 DSGVO |
Mistral La Plateforme (Server in der EU, Frankreich) verarbeitet für uns:
- Pflanzenfotos zur Erkennung (Plant-Identify) und Krankheits-Diagnose
- KI-Chat-Anfragen mit Tagebuch-Kontext (nur wenn du KI-Chat nutzt)
- Saison-Zusammenfassungen über deinen Garten (nur wenn du sie erstellst)
- Belege und Quittungen beim Hochladen ins Haushaltsbuch
- Zählerstand-Fotos beim Hochladen ins Zähler-Tracking
Mistral verarbeitet diese Inhalte ausschließlich zur Inferenz und löscht sie gemäß Scale-Plan-DPA innerhalb von 30 Tagen aus den Audit-Logs. Keine Trainings-Verwendung. Wir speichern weder das Original-Bild noch Roh-Antworten von Mistral langfristig — nur das strukturierte Ergebnis (erkannte Pflanze, extrahierter Beleg-Posten, Antwort-Text) kommt in deinen Garten.
Für öffentliche Daten ohne Personenbezug (allgemeine Pflanzen-Wissensanreicherung in unserer Plant-Knowledge-Base, Übersetzungen DE↔EN für Pflanzen-Inhalte und Blog-Artikel) nutzen wir zusätzlich OpenRouter, Inc. (USA, mit EU-Standardvertragsklauseln nach Art. 46 DSGVO). Dort werden niemals deine Tagebuch-Einträge, KI-Chat-Anfragen oder Fotos verarbeitet — der Router verweigert diese Routen technisch (DSGVO-Hard-Fail).
Detaillierte Sub-Auftragsverarbeiter-Liste mit Modellen, Pricing und Architektur-Garantien auf Anfrage an dpo@gartenkern.de.
Bei Abschluss eines kostenpflichtigen Abonnements verarbeitet Stripe Payments Europe, Ltd. (Irland, EU) deine Zahlungsdaten (z. B. Zahlungsmittel, Rechnungsadresse) zur Abwicklung. Wir speichern selbst keine vollständigen Zahlungsdaten — nur die Stripe-Referenz-IDs und den Abo-Status.
Externe Dienste, die dein Browser direkt aufruft
Für einzelne Funktionen kontaktiert dein Browser direkt externe Dienste; technisch bedingt wird dabei deine IP-Adresse übertragen. Diese Dienste sind keine Auftragsverarbeiter, sondern eigenständige Empfänger. Rechtsgrundlage ist unser berechtigtes Interesse an der Bereitstellung der jeweiligen Funktion (Art. 6 Abs. 1 lit. f DSGVO):
| Dienst | Zweck | Standort |
|---|---|---|
| OpenFreeMap | Karten-Kacheln (Standard-Kartenansicht) | EU (öffentliche Instanz) |
| MapTiler AG | Karten-Kacheln (Satellit/Hybrid) | CH (Adäquanzbeschluss) |
| Open-Meteo | Wetterdaten für deinen Garten (kein API-Key, kein Tracking) | DE/EU |
Push-Benachrichtigungen: Aktivierst du Browser-Benachrichtigungen, werden diese über den Push-Dienst deines Browsers zugestellt (z. B. Mozilla, Google oder Apple — je nach Browser). Wir speichern dafür nur ein technisches Push-Abonnement, das du jederzeit in den Einstellungen widerrufen kannst.
Fehler-Telemetrie: Technische Fehler erfassen wir über ein selbst-gehostetes GlitchTip auf unserem Server in Deutschland (keine Weitergabe an Dritte), um Probleme zu beheben. IP-Adressen werden dabei nicht standardmäßig mitgespeichert.
6. Deine Rechte (DSGVO Art. 15–22)
Du hast jederzeit das Recht auf:
- Auskunft (Art. 15) — was wir über dich gespeichert haben → auf Anfrage an dpo@gartenkern.de
- Berichtigung (Art. 16) — direkt im Account-Profil
- Löschung (Art. 17, „Recht auf Vergessenwerden") → auf Anfrage an dpo@gartenkern.de; Soft-Delete mit 30-Tage-Frist, dann unwiderruflich
- Einschränkung der Verarbeitung (Art. 18) — auf Anfrage per Mail
- Datenübertragbarkeit (Art. 20) — auf Anfrage in einem strukturierten, gängigen Format
- Widerspruch (Art. 21) — auf Anfrage per Mail
- Beschwerde bei einer Aufsichtsbehörde (Art. 77) — z. B. Landesbeauftragte für Datenschutz
Diese Anfragen sowie alle weiteren Datenschutz-Fragen richtest du an dpo@gartenkern.de. Wir antworten innerhalb von 30 Tagen (DSGVO Art. 12 Abs. 3).
7. Mindestalter
Die Plattform ist für Personen ab 16 Jahren zugänglich (Art. 8 DSGVO, § 3 BDSG für Deutschland). Wer jünger ist, darf das Angebot nicht nutzen, bzw. nur mit Einwilligung der Erziehungsberechtigten.
8. Backups und Löschfristen
Backups werden verschlüsselt für 30 Tage aufbewahrt. Eine Lösch-Anfrage greift sofort in der Live-Datenbank; die Löschung wird in den Backups durch Rollover binnen 30 Tagen finalisiert. Backups werden ausschließlich zur Disaster-Recovery genutzt.
9. Sicherheit (DSGVO Art. 32)
Stand der Technik: TLS 1.3 für alle Verbindungen, Argon2 für Passwort-Hashes (via Ory Kratos), EXIF-Stripping bei Bilder-Uploads, isolierte Workspace- Verarbeitung, Authorization auf jedem Endpoint.
10. Datenschutzverletzung (Breach Notification)
Im Fall einer Datenschutzverletzung mit Risiko für deine Rechte werden wir dich und die zuständige Aufsichtsbehörde innerhalb von 72 Stunden informieren (DSGVO Art. 33).
Stand: 2026-06-05 · letzte Aktualisierung: Zahlungsdienstleister (Stripe) als aktiver Auftragsverarbeiter ergänzt, Beta-Einladungs-Cookie ergänzt