Baumcheck LogoBAUMCHECK.

Datenschutzerklärung

1. Verantwortlicher und Kontakt

David Schomburg
Talheimer Straße 32, 74223 Flein
E-Mail: info@baumcheck.ai

Verantwortliche Stelle im Sinne der Datenschutzgesetze ist die oben genannte natürliche Person.

2. Übersicht der Verarbeitungstätigkeiten

Im Rahmen der Nutzung von Baumcheck erheben und verarbeiten wir folgende Kategorien personenbezogener Daten:

  • Session-ID — Anonyme, zufällig generierte Kennung zur Zuordnung Ihres Vorgangs (kein Account, kein Passwort)
  • E-Mail-Adresse — Für Kaufbestätigung, Zustellung des PDF-Berichts, Vermittlungsanfragen und optionale Erinnerungen
  • IP-Adresse (gehasht) — Gespeichert in irreversibel gehashter Form (SHA-256) zum Schutz vor Missbrauch
  • Fotos — Ihre hochgeladenen oder per Kamera aufgenommenen Baumfotos zur KI-Analyse
  • Browser-Informationen — User-Agent und Gerätetyp für technische Kompatibilität
  • Zahlungsdaten — Werden ausschließlich durch PayPal verarbeitet (siehe Abschnitt 11)
  • Kontaktdaten — Name, Telefonnummer und Nachricht bei Nutzung des Vermittlungsformulars (siehe Abschnitt 16)
  • Cookie- und Einwilligungsdaten — Ihre Einstellungen zur Cookie-Nutzung
  • Analyseergebnisse — KI-generierte Bewertung (Ampelstatus, Befunde, Gesundheitsbewertung)

3. Rechtsgrundlagen der Verarbeitung

Die Verarbeitung Ihrer personenbezogenen Daten erfolgt auf Basis folgender Rechtsgrundlagen:

  • Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung: Die Datenverarbeitung ist zur Durchführung des Vertrags (Baumcheck-Analyse, PDF-Erstellung, E-Mail-Zustellung) erforderlich.
  • Art. 6 Abs. 1 lit. a DSGVO — Einwilligung: Für Analytics-Cookies (Google Analytics 4, PostHog) und optionale Dienste (Erinnerungsfunktion), die nur nach ausdrücklicher Zustimmung aktiviert werden.
  • Art. 6 Abs. 1 lit. f DSGVO — Berechtigtes Interesse: Für den technisch notwendigen Betrieb der Website, die Sicherheit des Dienstes (Rate-Limiting, IP-Hashing) und Bereitstellung über den Hosting-Anbieter.
  • Art. 6 Abs. 1 lit. c DSGVO — Rechtliche Verpflichtung: Für die Aufbewahrung von Rechnungsdaten gem. § 147 AO und § 257 HGB (steuer- und handelsrechtliche Aufbewahrungspflichten).

4. Technische und organisatorische Maßnahmen

Wir setzen gem. Art. 32 DSGVO angemessene technische und organisatorische Maßnahmen zum Schutz Ihrer Daten ein:

  • Verschlüsselung: Sämtliche Datenübertragungen erfolgen über TLS/HTTPS. Gespeicherte Daten werden verschlüsselt abgelegt (AES-256 at rest).
  • IP-Anonymisierung: IP-Adressen werden vor der Speicherung irreversibel gehasht (SHA-256, auf 16 Zeichen gekürzt).
  • Kein Benutzerkonto: Der Dienst arbeitet session-basiert — es werden keine Accounts oder Passwörter angelegt.
  • Automatische Löschung: Nicht bezahlte Vorgänge werden nach 30 Tagen automatisch gelöscht.
  • Zugriffskontrolle: Datenbankzugriff ist durch Row-Level-Security (RLS) abgesichert.
  • Rate-Limiting: API-Endpunkte sind gegen Missbrauch geschützt.

5. Übermittlung an Drittländer

Einige der von uns eingesetzten Dienstleister haben ihren Sitz in den USA. Eine Datenübermittlung in die USA erfolgt auf Grundlage des EU-U.S. Data Privacy Framework (DPF) gem. Art. 45 DSGVO (Angemessenheitsbeschluss der EU-Kommission vom 10. Juli 2023, bestätigt durch das EuG am 3. September 2025). Ergänzend werden EU-Standardvertragsklauseln (SCCs) gem. Art. 46 Abs. 2 lit. c DSGVO als zusätzliche Schutzmaßnahme eingesetzt.

US-basierte Dienstleister mit Drittlandtransfer:

  • Vercel Inc. (Hosting) — DPF-zertifiziert
  • Google LLC (KI-Analyse via Gemini, Google Analytics 4) — DPF-zertifiziert
  • PayPal (Europe) S.à r.l. et Cie, S.C.A. (Zahlungsabwicklung) — EU-Sitz in Luxemburg, Binding Corporate Rules (BCR) für konzerninterne Transfers

EU-basierte Dienstleister (kein Drittlandtransfer):

  • PostHog (Analytics) — EU-Instanz in Frankfurt, Deutschland
  • Supabase (Datenbank & Speicher) — EU-Region
  • Strato AG (E-Mail-Versand) — Berlin, Deutschland

6. Hosting und Bereitstellung — Vercel

Diese Website wird gehostet von Vercel Inc., 340 S Lemon Ave #4133, Walnut, CA 91789, USA. Beim Aufruf unserer Website werden durch den Hosting-Anbieter automatisch folgende Daten verarbeitet:

  • IP-Adresse des anfragenden Geräts
  • Datum und Uhrzeit der Anfrage
  • Angeforderte URL und HTTP-Methode
  • Übertragene Datenmenge
  • Referrer-URL

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der stabilen und sicheren Bereitstellung der Website). Vercel ist unter dem EU-US Data Privacy Framework zertifiziert. Ein Auftragsverarbeitungsvertrag (DPA) ist abgeschlossen.

Weitere Informationen: Vercel Datenschutzerklärung

7. Datenspeicherung — Supabase

Für die Speicherung und Verwaltung Ihrer Daten nutzen wir Supabase Inc. (als Managed Service über die Vercel-Integration). Supabase stellt die Datenbank, Dateispeicherung und Authentifizierung bereit.

Gespeicherte Daten: Sessions, hochgeladene Fotos, generierte PDF-Berichte, Transaktionsdaten, Erinnerungen, Cookie-Einwilligungen.

Hosting-Region: EU — Ihre Daten werden in der Europäischen Union gespeichert. Es findet kein Drittlandtransfer für gespeicherte Daten statt.

Ein Auftragsverarbeitungsvertrag (DPA) ist über die Vercel-Integration abgeschlossen. Weitere Informationen: Supabase Datenschutzerklärung

8. Kamerazugriff und Bildverarbeitung

Baumcheck bietet die Möglichkeit, Baumfotos direkt über die Kamera Ihres Geräts aufzunehmen. Dazu wird über die Browser-Schnittstelle MediaDevices.getUserMedia() der Zugriff auf Ihre Rückkamera angefragt. Die Kamera wird ausschließlich nach Ihrer ausdrücklichen Erlaubnis über den Browser-Dialog aktiviert.

Verarbeitungskette: Die aufgenommenen Fotos werden zunächst lokal in Ihrem Browser (localStorage) zwischengespeichert, dann auf unseren Server (Supabase Storage) hochgeladen und anschließend zur Analyse an die Google Gemini API übermittelt (siehe Abschnitt 9).

Alternativ können Sie Fotos auch über die Datei-Upload-Funktion Ihres Geräts bereitstellen, ohne Kamerazugriff zu erteilen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — die Fotos sind zur Durchführung der Baumanalyse erforderlich).

9. KI-gestützte Bildanalyse — Google Gemini

Für die Analyse Ihrer Baumfotos nutzen wir KI-Modelle der Gemini-Familie von Google LLC (1600 Amphitheatre Parkway, Mountain View, CA 94043, USA), derzeit Gemini 3.1 Pro und Gemini 3 Flash.

Ihre hochgeladenen Fotos werden zur Analyse an die Google Gemini API übermittelt. Die Übermittlung in die USA erfolgt auf Grundlage des EU-US Data Privacy Framework (DPF) gem. Art. 45 DSGVO sowie ergänzend auf Grundlage von EU-Standardvertragsklauseln (SCCs) gem. Art. 46 Abs. 2 lit. c DSGVO.

Wir nutzen die kostenpflichtige Gemini API. Google verarbeitet die übermittelten Daten ausschließlich im Auftrag und verwendet eingereichte Bilder und Prompts nicht für das Training eigener Modelle (gem. Google Cloud Data Processing Addendum und den Gemini API Service Terms für kostenpflichtige Nutzung).

Weitere Informationen: Google Datenschutzerklärung

10. Automatisierte Entscheidungsfindung (Art. 22 DSGVO)

Im Rahmen der Baumanalyse werden Ihre hochgeladenen Fotos durch ein KI-Modell automatisiert ausgewertet. Das Ergebnis umfasst eine Ampelbewertung (grün, gelb, rot), eine Gesundheitsbewertung, erkannte Baumart und identifizierte Befunde.

Diese KI-gestützte Bewertung dient ausschließlich als unverbindliche Ersteinschätzung. Sie stellt keine zertifizierte Baumkontrolle im Sinne der FLL-Richtlinie dar und entfaltet keine rechtliche oder ähnlich erhebliche Wirkung im Sinne von Art. 22 Abs. 1 DSGVO.

Wir empfehlen, bei auffälligen Ergebnissen einen qualifizierten Baumsachverständigen hinzuzuziehen.

11. Zahlungsdienstleister — PayPal

Für die Zahlungsabwicklung nutzen wir den Dienst von PayPal (Europe) S.à r.l. et Cie, S.C.A., 22-24 Boulevard Royal, L-2449 Luxemburg. PayPal ist eigenständiger Verantwortlicher für die Verarbeitung Ihrer Zahlungsdaten.

An PayPal übermittelte Daten: E-Mail-Adresse, Bestellbetrag (EUR), Bestellreferenz. Wir selbst speichern keine Kreditkartennummern oder PayPal-Kontodaten. Wir erhalten von PayPal lediglich eine Transaktions-ID, den Zahlungsstatus und Ihre bei PayPal hinterlegte E-Mail-Adresse.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — die Zahlungsabwicklung ist zur Erbringung der Leistung erforderlich). Für konzerninterne Datenübermittlungen setzt PayPal Binding Corporate Rules (BCR) ein.

Weitere Informationen: Datenschutzerklärung von PayPal

12. Cookies und Einwilligungsmanagement

Wir setzen Cookies und vergleichbare Technologien (localStorage) gem. § 25 TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz) ein. Technisch notwendige Cookies werden ohne Einwilligung gesetzt; Analyse-Cookies nur nach Ihrer ausdrücklichen Zustimmung über unseren Cookie-Banner.

Übersicht der eingesetzten Cookies und Speicher

NameTypZweckDauerEinwilligung
baumcheck_cookie_consentlocalStorageCookie-EinstellungenBis WiderrufNicht erforderlich
baumcheck_session_statelocalStorageSession-Zustand24 StundenNicht erforderlich
baumcheck_photo_*localStorageFoto-Zwischenspeicher24 StundenNicht erforderlich
_gaCookieGoogle Analytics2 JahreErforderlich
_gidCookieGoogle Analytics24 StundenErforderlich
ph_*Cookie + localStoragePostHog AnalyticsSessionErforderlich

Sie können Ihre Einwilligung jederzeit über den Cookie-Banner oder im Footer unter "Cookie-Einstellungen" widerrufen. Nach dem Widerruf werden die entsprechenden Cookies und localStorage-Einträge gelöscht.

13. Webanalyse — Google Analytics 4

Nur nach Ihrer ausdrücklichen Einwilligung setzen wir Google Analytics 4 ein, einen Webanalysedienst der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland (Muttergesellschaft: Google LLC, USA).

Google Analytics verwendet die Cookies _ga (Laufzeit: 2 Jahre) und _gid (Laufzeit: 24 Stunden), die eine Analyse Ihrer Benutzung der Website ermöglichen.

Wir haben die IP-Anonymisierung aktiviert, sodass Ihre IP-Adresse vor der Speicherung gekürzt wird. Die durch die Cookies erzeugten Informationen werden an einen Server von Google in den USA übertragen. Die Übermittlung erfolgt auf Grundlage des EU-US Data Privacy Framework (DPF).

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Sie können Ihre Einwilligung jederzeit über den Cookie-Banner oder die Cookie-Einstellungen im Footer widerrufen. Nach dem Widerruf werden die Google Analytics Cookies gelöscht.

Weitere Informationen: Google Datenschutzerklärung

14. Webanalyse — PostHog

Zur Analyse der Nutzungsabläufe verwenden wir PostHog (PostHog Inc.). PostHog wird ebenfalls nur nach ausdrücklicher Einwilligung aktiviert.

EU-Hosting: Wir nutzen die EU-Instanz von PostHog, gehostet in Frankfurt, Deutschland (AWS eu-central-1). Es findet kein Datentransfer in Drittländer statt.

Datenschutzeinstellungen: Session-Recording ist deaktiviert. Autocapture ist deaktiviert — es werden ausschließlich manuell definierte Events erfasst (Seitenaufrufe, Fotoaufnahmen, Checkout, Zahlungen, Analyseergebnisse, PDF-Downloads).

PostHog verwendet Cookies und localStorage-Einträge mit dem Präfix ph_. Ein Auftragsverarbeitungsvertrag (DPA) ist abgeschlossen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Der Widerruf ist jederzeit über den Cookie-Banner möglich.

Weitere Informationen: PostHog Datenschutzerklärung

15. E-Mail-Kommunikation

Für den Versand transaktionaler E-Mails (Kaufbestätigung, PDF-Zustellung, Vermittlungsbestätigung, Erinnerungs-E-Mails) nutzen wir den SMTP-Dienst der Strato AG, Pascalstraße 10, 10587 Berlin, Deutschland.

Strato ist ein EU-basierter Anbieter — es findet kein Drittlandtransfer statt. Die E-Mail-Zustellung erfolgt über eine TLS-verschlüsselte SMTP-Verbindung. Ein Auftragsverarbeitungsvertrag (AVV) mit Strato ist abgeschlossen.

Übermittelte Daten: Empfänger-E-Mail-Adresse, E-Mail-Betreff, HTML-Inhalt und ggf. PDF-Anhang. Ihre E-Mail-Adresse wird ausschließlich zum Zweck der jeweiligen E-Mail-Zustellung verarbeitet.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) für transaktionale E-Mails; Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) für Erinnerungs-E-Mails.

16. Kontaktaufnahme und Vermittlung

Baumcheck bietet ein Vermittlungsformular, über das Sie bei auffälligen Analyseergebnissen Kontaktdaten für eine professionelle Beratung hinterlassen können.

Erhobene Daten: Name (Pflicht), E-Mail-Adresse (Pflicht), Telefonnummer (optional), Nachricht (optional). Zusätzlich werden automatisch Ihre Analyseergebnisse (Ampelstatus, Baumart, Gesundheitsbewertung, Befunde) angehängt.

Verarbeitung: Ihre Daten werden an info@baumcheck.ai übermittelt. Sie erhalten anschließend eine Empfehlung und kontaktieren qualifizierte Baumsachverständige eigenständig. Es findet keine automatische Weitergabe Ihrer Daten an Dritte statt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — Bestandteil der Baumcheck-Dienstleistung).

17. Erinnerungsfunktion

Bei einem positiven Analyseergebnis (grüner Ampelstatus) können Sie optional eine Erinnerung für eine erneute Baumkontrolle in 6 Monaten einrichten.

Gespeicherte Daten: Session-ID, E-Mail-Adresse und gewünschter Erinnerungszeitpunkt. Diese werden in unserer Datenbank (Supabase, EU-Region) gespeichert.

Die Erinnerungs-E-Mail wird zum gewählten Zeitpunkt versendet. Danach werden die Erinnerungsdaten innerhalb von 30 Tagen gelöscht.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung — Sie aktivieren die Erinnerung ausdrücklich durch Opt-in). Sie können die Löschung Ihrer Erinnerungsdaten jederzeit unter info@baumcheck.ai verlangen.

18. Lokale Datenspeicherung (localStorage)

Baumcheck nutzt den localStorage Ihres Browsers zur temporären Speicherung folgender Daten auf Ihrem Endgerät:

  • Session-Zustand — Baumanzahl, aktueller Schritt, Session-ID (Ablauf: 24 Stunden)
  • Foto-Daten — Aufgenommene oder hochgeladene Fotos als Base64-Daten (Ablauf: 24 Stunden)
  • Cookie-Einstellungen — Ihre Einwilligungspräferenzen (persistent bis zum Widerruf)

Diese Daten verbleiben auf Ihrem Gerät und werden nicht an unseren Server übertragen (mit Ausnahme der Fotos beim Upload). Session- und Fotodaten werden nach 24 Stunden automatisch gelöscht. Sie können die Daten jederzeit über die Browser-Einstellungen löschen.

Rechtsgrundlage: § 25 Abs. 2 TDDDG (technisch unbedingt erforderlich für die Funktionalität des Dienstes).

19. Speicherdauer und Löschung

Wir speichern Ihre personenbezogenen Daten nur so lange, wie es für die jeweiligen Zwecke erforderlich ist:

  • Nicht bezahlte Vorgänge: Fotos und Session-Daten werden nach 30 Tagen automatisch gelöscht.
  • Hochgeladene Fotos (bezahlte Vorgänge): Ihre Originalfotos (Rohbilder) werden nach 30 Tagen automatisch gelöscht — unabhängig vom Zahlungsstatus.
  • Analysedaten und PDF-Berichte: Analyseergebnisse und Zertifikat-PDFs werden für 1 Jahr nach Kaufdatum gespeichert, um Ihnen den erneuten Download zu ermöglichen.
  • Rechnungsdaten: Aufgrund steuerrechtlicher Aufbewahrungspflichten (§ 147 AO, § 257 HGB) werden Rechnungsdaten für 10 Jahre aufbewahrt.
  • Einwilligungsdaten: Cookie-Consent-Protokolle werden für 3 Jahre aufbewahrt (Rechenschaftspflicht gem. Art. 5 Abs. 2 DSGVO).
  • Analytics-Daten: Google Analytics Daten werden nach 14 Monaten automatisch gelöscht. PostHog-Daten gemäß der konfigurierten Aufbewahrungsfrist.
  • Erinnerungsdaten: Bis zum Versand der Erinnerung, dann innerhalb von 30 Tagen gelöscht.
  • Vermittlungsdaten: 6 Monate nach Absendung.
  • Server-Logs (Vercel): 30 Tage.
  • Sofortige Löschung: Auf Ihren Wunsch können wir Ihre Daten jederzeit sofort löschen (siehe Abschnitt 20 — Betroffenenrechte).

20. Ihre Rechte als betroffene Person

Nach der DSGVO stehen Ihnen folgende Rechte zu:

  • Auskunftsrecht (Art. 15 DSGVO): Sie können Auskunft über Ihre bei uns gespeicherten Daten verlangen.
  • Berichtigungsrecht (Art. 16 DSGVO): Sie können die Berichtigung unrichtiger Daten verlangen.
  • Löschungsrecht (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
  • Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie können die Einschränkung der Verarbeitung Ihrer Daten verlangen.
  • Datenübertragbarkeit (Art. 20 DSGVO): Sie können verlangen, dass Ihre Daten in einem maschinenlesbaren Format übermittelt werden.
  • Widerspruchsrecht (Art. 21 DSGVO): Sie können der Verarbeitung Ihrer Daten widersprechen, soweit diese auf berechtigtem Interesse basiert.
  • Recht bzgl. automatisierter Entscheidungen (Art. 22 DSGVO): Sie haben das Recht, nicht einer ausschließlich auf automatisierter Verarbeitung beruhenden Entscheidung unterworfen zu werden (siehe Abschnitt 10).
  • Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Erteilte Einwilligungen (z. B. für Analytics oder Erinnerungen) können Sie jederzeit mit Wirkung für die Zukunft widerrufen.

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: info@baumcheck.ai

21. Beschwerderecht bei der Aufsichtsbehörde

Sie haben das Recht, sich bei der zuständigen Datenschutz-Aufsichtsbehörde über unsere Verarbeitung personenbezogener Daten zu beschweren. Die für uns zuständige Aufsichtsbehörde ist:

Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI)
Lautenschlagerstraße 20
70173 Stuttgart
www.baden-wuerttemberg.datenschutz.de

22. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder bei Änderungen des Dienstes anzupassen. Die aktuelle Version finden Sie stets auf dieser Seite.

Stand: März 2026