Deutsch
Datenschutzerklärung
Stand: April 2026
1. Verantwortlicher
Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer nationaler Datenschutzgesetze sowie sonstiger datenschutzrechtlicher Bestimmungen für den Betrieb des Dienstes Photon Flux Nutrients unter photon-flux.de ist:
- Name
- Nicolas Schraml
- Rechtsform
- geschäftliche Bezeichnung: Photon Flux Nutrients
- Anschrift
- Heide 2, 33824 Werther, Deutschland
- datenschutz@photon-flux.de
2. Allgemeine Hinweise zur Datenverarbeitung
Photon Flux Nutrients ist eine KI-gestützte Anwendung für den kontrollierten Pflanzenanbau. Der Dienst verarbeitet personenbezogene Daten nur, soweit dies für die Bereitstellung und den sicheren Betrieb des Dienstes technisch notwendig ist. Im Folgenden beschreiben wir, welche Daten in welchen Situationen erhoben werden, zu welchem Zweck und auf welcher Rechtsgrundlage die Verarbeitung erfolgt.
Personenbezogene Daten werden insbesondere in den folgenden Situationen verarbeitet:
- Zugriff auf die Website und Verarbeitung von Server-Logfiles
- Erstellung und Nutzung von Benutzerkonten sowie Authentifizierung
- Nutzung der KI-gestützten Chat- und Diagnosefunktionen
- Speicherung und Abruf von Konversationsverläufen
- Abgabe von optionalem Feedback zu KI-Antworten
- Durchführung von In-App-Käufen und Abonnements über Google Play
- Technische und organisatorische Sicherheitsmaßnahmen zum Schutz des Dienstes
Der Dienst ist technisch so konzipiert, dass nur die für den jeweiligen Verarbeitungszweck erforderlichen Daten erfasst werden (Grundsatz der Datenminimierung). Grow-bezogene Inhalte (Pflanzenbilder, Grow-Parameter, Kontexteingaben) werden verarbeitet, um KI-Antworten zu generieren, stellen aber keine dauerhaft personenidentifizierenden Daten im Kern des Profils dar.
3. Zugriff auf Website und Server-Logfiles
Bei jedem Zugriff auf unsere Website und bei jedem Abruf einer Datei werden durch den Webserver automatisch technische Zugriffsdaten erhoben und in Server-Logfiles gespeichert. Folgende Daten werden dabei verarbeitet:
- IP-Adresse des anfragenden Geräts
- Datum und Uhrzeit des Zugriffs
- Angefragter Pfad (URL)
- HTTP-Statuscode der Antwort
- Verwendeter Browser und Betriebssystem (User-Agent)
Diese Daten werden für den technischen Betrieb, die Fehlerdiagnose und die Sicherheit des Dienstes benötigt. Eine Zusammenführung dieser Daten mit anderen Datenquellen findet nicht statt.
- Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherstellung eines störungsfreien Betriebs und der IT-Sicherheit)
- Speicherdauer: Server-Logfiles werden nach spätestens 30 Tagen automatisch gelöscht bzw. rotiert.
4. Nutzung von Benutzerkonto, Authentifizierung und App-Instanz-ID
Die App übermittelt bei jeder Anfrage eine gerätebezogene App-Instanz-ID
(X-App-Instance-Id-Header). Diese dient der technischen Zuordnung von
Anfragen, der Verwaltung von Kontingenten (Rate Limiting) und der Entitlement-Prüfung.
Bei der Nutzung authentifizierter Funktionen stellt der Dienst beim Login ein signiertes JWT (JSON Web Token) aus, das bei nachfolgenden Anfragen als Bearer-Token übermittelt wird. Das Token enthält eine Client-ID und Berechtigungsinformationen. Es werden Session-Daten in Redis für die Dauer der Sitzung zwischengespeichert.
- Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Missbrauchsschutz und sicherem Betrieb)
- Speicherdauer: Redis-basiertes Rate-Limit-Tracking: kurzlebig, üblicherweise ≤ 60 Minuten. JWT-Gültigkeit gemäß Konfiguration; keine serverseitige Session-Persistenz über Redis-TTL hinaus. Datenbankgestützte Kontingent- und Kontodaten: für die Dauer des aktiven Kontos.
5. Chat-, Diagnose- und KI-Anfragen
Eingaben der Nutzenden (Textnachrichten, Grow-Kontext, Parameter) werden an den KI-Dienst übermittelt, um strukturierte Empfehlungen und Diagnosen zu generieren. Die Anfragen werden dabei an externe KI-Anbieter (Google Gemini API) zur Verarbeitung weitergeleitet.
Konversationsdaten werden in PostgreSQL gespeichert, soweit die Funktion „persistente Konversationen“ genutzt wird. Nutzende können einzelne Konversationen oder alle Konversationen über die App löschen.
- Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — Bereitstellung des KI-Dienstes)
- Externe Übermittlung: Anfragen werden an die Google Gemini API (Google LLC, USA) übertragen. Hinweise zur Datenverarbeitung durch Google: Google AI Terms.
- Speicherdauer: Persistente Konversationen werden für die Dauer des Nutzerkontos gespeichert. Die Löschung einzelner Konversationen ist jederzeit über die App möglich. Nicht-persistente Anfragen werden nach Ablauf der serverseitig konfigurierbaren Retention-Frist gelöscht.
6. Bilduploads für Diagnosefunktionen
Nutzende können Bilder (z. B. Blatt-, Wurzel- oder Canopy-Aufnahmen) für die KI-gestützte visuelle Diagnose hochladen. Diese Bilder werden für die Anfrageverarbeitung an den KI-Dienst (Google Gemini API) übermittelt.
Bilder werden nicht dauerhaft auf unseren Servern gespeichert, es sei denn, die nutzende Person hat die Persistenz-Funktion für Konversationen aktiviert. In diesem Fall werden Bilder zusammen mit der zugehörigen Konversation gespeichert und bei Löschung der Konversation ebenfalls gelöscht.
- Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
- Speicherdauer: Temporär für die Dauer der Anfrageverarbeitung, sofern keine Persistenz aktiviert ist. Bei aktivierter Persistenz: für die Dauer der Konversation bzw. des Nutzerkontos.
7. Nutzerprofil, Einstellungen und Präferenzen
Nutzerseitige Einstellungen (Präferenzen, Grow-spezifischer Kontext, bevorzugte Sprache und weitere Konfigurationsoptionen) werden in PostgreSQL gespeichert, um eine personalisierte Nutzung des Dienstes zu ermöglichen.
- Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
- Speicherdauer: Für die Dauer des Nutzerkontos. Bei Löschung des Kontos werden sämtliche Profildaten unwiderruflich gelöscht.
8. Optionales Feedback
Nutzende können optional Feedback zu KI-Antworten abgeben (z. B. Bewertungen oder Freitext-Rückmeldungen). Dieses Feedback wird in der Datenbank (PostgreSQL) gespeichert und dient ausschließlich der Qualitätsverbesserung des Dienstes.
- Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Verbesserung der Dienstqualität)
- Speicherdauer: Bis zur Löschung des Nutzerkontos oder auf ausdrücklichen Wunsch der nutzenden Person.
9. Abonnements und In-App-Kauf-Verifikation
Bei Nutzung der Android-App und von Google-Play-Abonnements übermittelt die App einen Kaufnachweis (Purchase Token) an unseren Dienst. Dieser wird zur Verifikation an die Google Play Developer API weitergeleitet. Wir speichern Transaktionsreferenzen (Purchase Token, Order ID, Produktkennung, Zeitstempel) zur Verwaltung von Berechtigungen und Kontingenten.
Es werden keine Zahlungsdaten (Kreditkartennummer, IBAN o. ä.) auf unseren Systemen gespeichert. Die Zahlungsabwicklung erfolgt ausschließlich über Google Play.
- Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
- Speicherdauer: Transaktionsreferenzen für die Dauer der Abobeziehung und darüber hinaus für die Erfüllung gesetzlicher Aufbewahrungsfristen (§ 147 AO, § 257 HGB).
10. Externe Empfänger und eingesetzte Dienste
Im Rahmen der Bereitstellung des Dienstes werden personenbezogene Daten an die folgenden externen Empfänger bzw. Dienstleister übermittelt:
| Anbieter | Zweck | Sitz | Transfergrundlage |
|---|---|---|---|
| Hosting-Infrastruktur | Serverbetrieb, Datenbank, Cache | EU/EWR | Auftragsverarbeitung |
| Google LLC (Gemini API) | KI-Antwortgenerierung, Bildanalyse | USA | EU-U.S. Data Privacy Framework (DPF) |
| Pinecone Systems Inc. | Vektorsuche (Wissensbasis-Retrieval) | USA | Standardvertragsklauseln (SCC) |
| Tavily AI Inc. | Ergänzende Web-Suche | USA | Standardvertragsklauseln (SCC) |
| Google Play (Billing API) | Verifikation von In-App-Käufen und Abonnements | USA | EU-U.S. Data Privacy Framework (DPF) |
| Google LLC (Google Analytics 4) | Website-Nutzungsanalyse | USA | EU-U.S. Data Privacy Framework (DPF); Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) |
11. Datenübermittlung in Drittländer
Einige der eingesetzten Dienstleister haben ihren Sitz in den USA, einem Land außerhalb des Europäischen Wirtschaftsraums (EWR). Die Übermittlung personenbezogener Daten in die USA erfolgt auf Grundlage geeigneter Garantien gemäß Art. 46 DSGVO:
- Google LLC (Gemini API, Google Play): Google ist unter dem EU-U.S. Data Privacy Framework (DPF) zertifiziert. Ein Angemessenheitsbeschluss der Europäischen Kommission gemäß Art. 45 DSGVO liegt vor.
- Pinecone Systems Inc.: Die Datenübermittlung erfolgt auf Grundlage von Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO.
- Tavily AI Inc.: Die Datenübermittlung erfolgt auf Grundlage von Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO.
Wir überprüfen regelmäßig, ob die eingesetzten Garantien ein angemessenes Schutzniveau gewährleisten, und passen unsere Maßnahmen bei Bedarf an.
12. Hinweise zu Google Gemini API
Photon Flux Nutrients nutzt die Google Gemini API (kostenpflichtige Version) für die Verarbeitung von KI-Anfragen. Gemäß den Nutzungsbedingungen von Google für die kostenpflichtige Gemini API gilt:
- Google kann übermittelte Daten für Zwecke der Missbrauchserkennung und der Durchsetzung der Nutzungsbedingungen (Abuse Monitoring) verarbeiten.
- Bei Nutzung der kostenpflichtigen API werden übermittelte Daten von Google nicht zum allgemeinen Training von KI-Modellen verwendet.
Weitere Informationen finden Sie in den Google AI Terms of Service sowie in den Gemini API Additional Terms of Service.
13. Automatisierte Entscheidungsfindung
Es findet keine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO statt, die gegenüber der betroffenen Person rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.
Die KI-gestützten Empfehlungen und Diagnosen des Dienstes sind ausschließlich als Hilfestellung und Informationsangebot zu verstehen und begründen keine rechtsverbindlichen Entscheidungen.
14. Cookies und lokale Speicherung
14.1 Technisch notwendige Cookies
- Cookie-Einwilligungs-Cookie (
cookie_consent): Speichert Ihre Cookie-Präferenz (Analyse-Cookies akzeptiert oder abgelehnt). First-Party-Cookie, Dauer 180 Tage,SameSite=Lax,Secure. Dieses Cookie ist technisch notwendig, um Ihre Einwilligungsentscheidung zu speichern, und bedarf selbst keiner Einwilligung. - Session-Cookie: Der Admin-Bereich des Dienstes setzt einen Session-Cookie
für die Administrator-Authentifizierung (
HttpOnly,SameSite=Strict). Dieser Cookie ist für reguläre Nutzende nicht zugänglich und nicht relevant. - Admin-Auth-Cookie: Dient der Sitzungsverwaltung im internen Administrationsbereich und wird nach Ende der Sitzung oder nach Ablauf der konfigurierten Gültigkeit gelöscht.
14.2 Analyse-Cookies (optional — nur mit Ihrer Einwilligung)
Wenn Sie im Cookie-Banner auf „Akzeptieren“ klicken, werden die folgenden Cookies durch Google Analytics 4 (GA4) gesetzt:
_ga: Unterscheidet eindeutige Besucher. Dauer: 2 Jahre._ga_<ID>: Speichert den Sitzungsstatus. Dauer: 2 Jahre.
Wir verwenden Google Analytics 4 mit Google Consent Mode v2. Standardmäßig ist die Analysespeicherung auf „denied“ (verweigert) gesetzt. Das GA4-Tracking-Script wird erst nach Ihrer ausdrücklichen Einwilligung geladen, wenn Sie im Cookie-Banner auf „Akzeptieren“ klicken. Wenn Sie „Nur notwendige“ wählen, werden keine Analyse-Cookies gesetzt und keine Daten an Google übermittelt.
Sie können Ihre Einwilligung jederzeit widerrufen, indem Sie Ihre Browser-Cookies löschen. Bei Ihrem nächsten Besuch erscheint das Cookie-Banner erneut und Sie können eine neue Auswahl treffen.
Die Daten von Google Analytics werden von Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA, verarbeitet. Google ist unter dem EU-U.S. Data Privacy Framework zertifiziert. Weitere Informationen finden Sie in der Datenschutzerklärung von Google.
15. Rechtsgrundlagen im Überblick
Die Verarbeitung personenbezogener Daten durch Photon Flux Nutrients erfolgt auf Grundlage der folgenden Rechtsgrundlagen der DSGVO:
- Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung): Die Verarbeitung ist für die Erfüllung eines Vertrags mit der betroffenen Person oder zur Durchführung vorvertraglicher Maßnahmen erforderlich. Dies umfasst die Bereitstellung des KI-Dienstes, die Kontoverwaltung, die Abonnementverwaltung und die Speicherung von Nutzerprofilen und Konversationen.
- Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse): Die Verarbeitung ist zur Wahrung berechtigter Interessen des Verantwortlichen erforderlich. Dies umfasst insbesondere die IT-Sicherheit, den Missbrauchsschutz (Rate Limiting), die Auswertung von Server-Logfiles und die Verarbeitung von optionalem Feedback zur Qualitätsverbesserung.
- Art. 6 Abs. 1 lit. a DSGVO (Einwilligung): Soweit die Verarbeitung auf einer Einwilligung beruht, haben Sie das Recht, diese Einwilligung jederzeit mit Wirkung für die Zukunft zu widerrufen. Dies gilt insbesondere für die Verwendung von Analyse-Cookies (Google Analytics 4). Analyse-Cookies werden erst nach Ihrer ausdrücklichen Einwilligung über das Cookie-Banner gesetzt.
16. Speicherdauer
Personenbezogene Daten werden nur so lange gespeichert, wie dies für die Erreichung des jeweiligen Verarbeitungszwecks erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen. Im Einzelnen gelten folgende Grundsätze:
- Server-Logfiles: bis zu 30 Tage
- Rate-Limit-Tracking (Redis): kurzlebig, üblicherweise ≤ 60 Minuten
- Kontodaten, Profildaten, Präferenzen: für die Dauer des aktiven Nutzerkontos
- Konversationsdaten: für die Dauer des Nutzerkontos oder bis zur Löschung durch die nutzende Person
- Feedback: bis zur Kontolöschung oder auf ausdrücklichen Wunsch
- Transaktionsreferenzen: für die Dauer der Abobeziehung und gesetzliche Aufbewahrungsfristen
Nach Wegfall des Verarbeitungszwecks oder Ablauf gesetzlicher Aufbewahrungsfristen werden die Daten routinemäßig und gemäß den gesetzlichen Vorschriften gelöscht oder gesperrt.
17. Ihre Rechte
Als betroffene Person haben Sie nach der DSGVO folgende Rechte gegenüber dem Verantwortlichen:
- Recht auf Auskunft (Art. 15 DSGVO): Sie können Auskunft über die Sie betreffenden gespeicherten personenbezogenen Daten verlangen, einschließlich Informationen über Verarbeitungszwecke, Kategorien und Empfänger.
- Recht auf Berichtigung (Art. 16 DSGVO): Sie können die unverzügliche Berichtigung unrichtiger oder die Vervollständigung unvollständiger Daten verlangen.
- Recht auf Löschung (Art. 17 DSGVO): Sie können die Löschung Ihrer personenbezogenen Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen und kein anderer Ausnahmetatbestand vorliegt.
- Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie können in bestimmten Fällen die Einschränkung der Verarbeitung Ihrer Daten verlangen.
- Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie haben das Recht, die Sie betreffenden personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten.
- Recht auf Widerspruch (Art. 21 DSGVO): Sie können jederzeit aus Gründen, die sich aus Ihrer besonderen Situation ergeben, gegen die Verarbeitung auf Basis von berechtigten Interessen (Art. 6 Abs. 1 lit. f DSGVO) Widerspruch einlegen.
Zur Ausübung Ihrer Rechte können Sie sich jederzeit an die unter Abschnitt 1 genannte Kontaktadresse oder an datenschutz@photon-flux.de wenden.
18. Beschwerderecht bei einer Aufsichtsbehörde
Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs haben Sie das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt (Art. 77 DSGVO).
Die für uns zuständige Aufsichtsbehörde ist:
- Behörde
- Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW)
- Anschrift
- Postfach 20 04 44, 40102 Düsseldorf
- Website
- https://www.ldi.nrw.de
19. Löschanfragen und Kontakt
Der Dienst stellt technische Endpunkte für die Datenlöschung bereit, die über die App zugänglich sind:
- Löschung aller Nutzerdaten (Konto, Konversationen, Feedback, Präferenzen)
- Löschung einzelner Konversationen
Alternativ können Sie einen Löschantrag per E-Mail an datenschutz@photon-flux.de stellen. Wir werden Ihren Antrag unverzüglich, spätestens jedoch innerhalb eines Monats, bearbeiten.
20. Datensicherheit
Wir setzen technische und organisatorische Maßnahmen ein, um Ihre personenbezogenen Daten vor unbefugtem Zugriff, Verlust, Zerstörung und Manipulation zu schützen. Die Datenübertragung zwischen App und Server erfolgt ausschließlich über TLS-verschlüsselte Verbindungen (HTTPS).
Zu den eingesetzten Maßnahmen gehören insbesondere:
- Verschlüsselte Kommunikation (TLS 1.2/1.3)
- Authentifizierung über JWT mit definierten Gültigkeitszeiträumen
- Passwort-Hashing mit modernen Algorithmen (Argon2)
- Rate Limiting zum Schutz vor Missbrauch
- Strikte Zugriffskontrolle auf administrative Funktionen
- Regelmäßige Sicherheitsüberprüfungen der Serverkonfiguration
- Read-only-Container und minimale Berechtigungen in der Produktionsumgebung
21. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung zu aktualisieren, um sie an geänderte rechtliche Anforderungen, technische Entwicklungen oder an Änderungen des Dienstes anzupassen. Das Datum der letzten Änderung ist am Anfang dieser Seite angegeben.
Bei wesentlichen Änderungen, die Ihre Rechte als betroffene Person betreffen, werden wir Sie nach Möglichkeit gesondert informieren.