Datenschutzerklärung
Informationen zur Verarbeitung personenbezogener Daten gemäß Art. 13 und 14 DSGVO.
1. Verantwortliche
Verantwortlich für die Datenverarbeitung auf shiftdesk.app und innerhalb des Shiftdesk-Dienstes im Sinne von Art. 4 Nr. 7 DSGVO ist:
Valerie Koch
Shiftdesk (Einzelunternehmen)
Herforder Str. 176
33609 Bielefeld
Deutschland
E-Mail: support@shiftdesk.app
Hinweis zur Rollenverteilung: Für Daten, die Kundinnen und Kunden (Arbeitgeber) ihrer Mitarbeitenden in Shiftdesk einpflegen, ist die Kundin bzw. der Kunde Verantwortlicher; Shiftdesk agiert als Auftragsverarbeiter. Einzelheiten siehe Abschnitt 5.
2. Datenschutz-Koordination
Eine gesetzliche Pflicht zur Bestellung einer/eines Datenschutzbeauftragten besteht derzeit nicht (§ 38 BDSG). Fragen zum Datenschutz richten Sie bitte direkt an die Verantwortliche unter support@shiftdesk.app.
3. Ihre Rechte als betroffene Person
Sie haben gegenüber uns folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:
- Recht auf Auskunft (Art. 15 DSGVO)
- Recht auf Berichtigung (Art. 16 DSGVO)
- Recht auf Löschung (Art. 17 DSGVO), soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen
- Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
- Recht auf Widerspruch (Art. 21 DSGVO)
- Recht auf Widerruf einer erteilten Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)
Sie haben ferner das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten durch uns zu beschweren (Art. 77 DSGVO). Zuständig ist die Aufsichtsbehörde des Bundeslandes, in dem die Verantwortliche ihren Sitz hat — Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW), Kavalleriestraße 2–4, 40213 Düsseldorf, https://www.ldi.nrw.de — oder jede andere Aufsichtsbehörde innerhalb der EU.
Wichtiger Hinweis für Mitarbeitende unserer Kunden: Ihre personenbezogenen Daten werden in Shiftdesk im Auftrag Ihres Arbeitgebers verarbeitet. Für die Geltendmachung Ihrer Betroffenenrechte ist Ihr Arbeitgeber als Verantwortlicher zuständig. Wir unterstützen Ihren Arbeitgeber bei der Erfüllung dieser Rechte.
4. Datenverarbeitung auf der Website (shiftdesk.app)
4.1 Server-Logfiles
Beim Aufruf der Website werden automatisch Informationen an den Server unseres Hosting-Dienstleisters übermittelt und temporär in sogenannten Server-Logfiles gespeichert:
- IP-Adresse (gekürzt, sofern technisch möglich)
- Datum und Uhrzeit des Zugriffs
- Aufgerufene URL
- Referrer-URL (vorher besuchte Seite)
- User-Agent (Browser/Betriebssystem)
- HTTP-Statuscode
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der Sicherstellung eines störungsfreien Betriebs sowie der Abwehr von Angriffen (Integrität und Verfügbarkeit).
Speicherdauer: 14 Tage; längere Speicherung nur bei konkreten Anhaltspunkten für sicherheitsrelevante Ereignisse.
4.2 Cookies und lokale Speicher (technisch notwendig)
Auf shiftdesk.app setzen wir technisch notwendige Cookies bzw. Local-Storage-Einträge ein, die zum Betrieb der Website und des Logins erforderlich sind. Dazu zählen insbesondere Session-Cookies von Supabase Auth (sb-access-token, sb-refresh-token), CSRF-Tokens, Ihre Spracheinstellung (shiftdesk_locale) sowie der Speicherort Ihrer Cookie-Entscheidung selbst (shiftdesk_consent_v1).
Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TDDDG (technisch unbedingt erforderlich) i. V. m. Art. 6 Abs. 1 lit. f DSGVO. Eine Einwilligung ist hierfür nicht erforderlich.
4.2a Reichweitenmessung mit Vercel Web Analytics (einwilligungsbasiert)
Wir nutzen auf shiftdesk.app den Dienst Vercel Web Analytics der Vercel Inc. (440 N Barranca Ave #4133, Covina, CA 91723, USA), um anonymisierte Nutzungsstatistiken zu erheben. Ziel ist die Reichweitenmessung und Performance-Beobachtung unserer Seiten, um Inhalte und technische Stabilität zu verbessern.
Nach Angaben des Anbieters werden hierbei keine Cross-Site-Cookies gesetzt und keine IP-Adressen dauerhaft gespeichert. Erfasst werden anonymisierte Seitenaufrufe, Referrer, grobe Geolokation (Land), Gerätetyp und Browserklasse. Eine Wiedererkennung einzelner Personen ist nach Vercels Dokumentation nicht vorgesehen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) i. V. m. § 25 Abs. 1 TDDDG. Die Erhebung findet nur statt, wenn Sie im Cookie-Banner die Kategorie „Statistik“ ausdrücklich aktiviert haben. Ohne Einwilligung wird das entsprechende Skript nicht geladen.
Speicherdauer beim Anbieter: laut Vercel bis zu 30 Tage auf Einzelereignis-Ebene, anschließend nur noch aggregiert.
Widerruf: Sie können Ihre Einwilligung jederzeit widerrufen — über den Link „Cookie-Einstellungen“ im Seitenfuß oder durch Löschen des Eintrags shiftdesk_consent_v1 in Ihrem Browser-Speicher. Nach dem Widerruf wird das Analytics-Skript nicht mehr geladen.
Drittlandübermittlung: Vercel Inc. ist im EU-US Data Privacy Framework zertifiziert (siehe Ziffer 7).
Nachweis der Einwilligung (Art. 7 Abs. 1 DSGVO): Wir protokollieren Ihre Cookie-Entscheidung serverseitig in einer internen Tabelle (consent_log) mit den Feldern Einwilligungs-ID (Zufallswert), Bannerversion, Version dieser Datenschutzerklärung, getroffene Kategorien-Auswahl, Quelle (Banner, Einstellungen oder Widerruf) und Zeitstempel. IP-Adresse und User-Agent werden dabei ausdrücklich nicht gespeichert. Aufbewahrungsdauer: drei Jahre (Verjährungsfrist datenschutzrechtlicher Ansprüche).
4.2b Reichweitenmessung mit Google Analytics 4 (einwilligungsbasiert)
Zusätzlich zu Vercel Web Analytics setzen wir auf shiftdesk.app den Dienst Google Analytics 4 der Google Ireland Limited (Gordon House, Barrow Street, Dublin 4, Irland) ein, um aggregierte Reichweiten- und Nutzungsmuster zu erheben (Measurement-ID G-DH96XEBTSL). Muttergesellschaft ist die Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA.
Google Analytics setzt Cookies (typischerweise _ga und _ga_<Container-ID>) und überträgt Ereignisdaten (Seitenaufrufe, Klicks, Verweildauer, grobe Geolokation auf Stadt-/Länderebene, Gerätekategorie) an Google Server. Wir haben in der Konfiguration folgende datenschutzfreundliche Voreinstellungen aktiviert: IP-Anonymisierung (anonymize_ip: true), keine Weitergabe von Werbedaten(ads_data_redaction: true) sowie keine URL-Parameter-Passthrough(url_passthrough: false).
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) i. V. m. § 25 Abs. 1 TDDDG. Das gtag.js-Skript wird nur geladen, wenn Sie im Cookie-Banner die Kategorie „Statistik“ ausdrücklich aktiviert haben. Ohne Einwilligung findet weder ein Script-Load noch ein Cookie-Setzen statt.
Speicherdauer beim Anbieter: Ereignisbezogene Nutzerdaten werden gemäß unseren Konto-Einstellungen nach maximal 14 Monaten automatisch gelöscht; aggregierte Berichte können länger aufbewahrt werden.
Widerruf: Sie können Ihre Einwilligung jederzeit widerrufen — über den Link „Cookie-Einstellungen“ im Seitenfuß oder durch Löschen des Eintrags shiftdesk_consent_v1 in Ihrem Browser-Speicher. Nach dem Widerruf wird das Google-Analytics-Skript nicht mehr geladen. Bereits gesetzte Cookies (_ga, _ga_*) können Sie in den Browsereinstellungen löschen.
Drittlandübermittlung: Google LLC (USA) ist im EU-US Data Privacy Framework zertifiziert; Google Ireland Limited ist Verantwortlicher im Sinne der EU-DSGVO (siehe Ziffer 7).
4.3 Kontaktaufnahme
Wenn Sie uns per E-Mail kontaktieren, verarbeiten wir Ihre Angaben (mindestens: E-Mail-Adresse, Nachrichtentext; optional: Name, Telefon, Firma) zur Bearbeitung Ihrer Anfrage.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Anbahnung eines Vertrages) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beantwortung allgemeiner Anfragen).
Speicherdauer: bis zum Abschluss des Anliegens; darüber hinaus nur, soweit handels- oder steuerrechtliche Aufbewahrungspflichten (6–10 Jahre nach HGB/AO) bestehen.
4.4 Newsletter-Versand (Brevo / Sendinblue)
Auf unserer Website — insbesondere auf der Lead-Magnet-Seite /vorlagen/dienstplan — bieten wir die Möglichkeit, sich für einen kostenlosen Newsletter anzumelden, der Dienstplan-Vorlagen und begleitende Tipps per E-Mail ausliefert. Für den Versand setzen wir den Dienstleister Brevo (Sendinblue SAS), 7 rue de Madrid, 75008 Paris, Frankreich ein.
Verarbeitete Daten: E-Mail-Adresse, optional Vorname, Zeitpunkt der Anmeldung, Quelle der Anmeldung (LEAD_SOURCE), Status des Double-Opt-in.
Double-Opt-in-Verfahren: Wir setzen ein zweistufiges Anmeldeverfahren ein. Nach Absenden des Anmeldeformulars erhalten Sie eine Bestätigungsmail mit einem einmaligen Bestätigungslink. Erst mit dem Klick auf diesen Link nehmen wir Sie in den Verteiler auf und starten die Willkommens-Sequenz. Ohne Bestätigung wird der Eintrag nicht weiterverarbeitet.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung), erteilt durch aktives Ankreuzen der Einwilligungs- Checkbox im Anmeldeformular und Bestätigung per Double-Opt-in.
Widerruf: Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. In jeder Newsletter-E-Mail befindet sich ein Abmelde-Link. Nach Abmeldung wird Ihr Eintrag bei Brevo gelöscht. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt.
Speicherdauer: bis zum Widerruf der Einwilligung. Bei bestätigten Anmeldungen protokollieren wir Zeitpunkt und IP-Adresse der Bestätigung als Nachweis der Einwilligung gemäß Art. 7 Abs. 1 DSGVO.
Server-Standort: Brevo verarbeitet die Daten ausschließlich innerhalb der Europäischen Union (Paris, Frankreich). Mit Brevo besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO (enthalten als Appendix der Brevo-Nutzungsbedingungen).
Weitere Informationen zum Datenschutz bei Brevo finden Sie unter brevo.com/de/legal/privacypolicy.
5. Datenverarbeitung in der Anwendung (Shiftdesk-Dienst)
5.1 Abgrenzung Verantwortlicher / Auftragsverarbeiter
Für personenbezogene Daten, die unsere Kunden (Arbeitgeber) in Shiftdesk über sich selbst, ihre Mitarbeitenden oder Dritte einpflegen, ist der Kunde Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO. Wir verarbeiten diese Daten ausschließlich weisungsgebunden im Rahmen eines Auftragsverarbeitungsvertrages (AVV) gemäß Art. 28 DSGVO.
Der nachstehende Abschnitt beschreibt die Verarbeitungen, für die wir entweder selbst Verantwortliche sind (z. B. Account-Registrierung des Kunden) oder die wir im Auftrag unserer Kunden durchführen.
5.2 Registrierung und Anmeldung
Für die Nutzung von Shiftdesk ist ein Nutzerkonto erforderlich. Bei der Registrierung verarbeiten wir:
- E-Mail-Adresse
- Passwort (ausschließlich als kryptografischer Hash)
- Vor- und Nachname
- Organisationsname
- Zeitpunkt der Registrierung, letzter Login
- Gegebenenfalls MFA-Faktoren (z. B. TOTP-Secret)
Zweck: Bereitstellung des Nutzerkontos, Authentifizierung, Schutz vor unbefugtem Zugriff.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (IT-Sicherheit, insbesondere MFA).
Speicherdauer: für die Dauer der Vertragsbeziehung sowie anschließend für die Dauer der gesetzlichen Aufbewahrungsfristen (Rechnungsdaten: 10 Jahre nach § 147 AO, § 257 HGB). Authentifizierungs-Logs: 90 Tage.
5.3 Personalstammdaten (im Auftrag des Kunden)
Im Auftrag des Kunden verarbeiten wir folgende Kategorien personenbezogener Daten von Beschäftigten des Kunden:
- Stammdaten: Name, Anschrift, Geburtsdatum, Kontaktdaten
- Beschäftigungsdaten: Vertragsart, Arbeitszeit, Stundenlohn, Qualifikationen, Rollen
- Bankverbindung (optional, benutzerdefiniertes Feld)
- Steuerliche Merkmale (optional, benutzerdefiniertes Feld)
- Besondere Kategorien nach Art. 9 DSGVO, insbesondere Abwesenheitsgründe mit Gesundheitsbezug (siehe 5.5)
Zweck: Personalverwaltung, Dienstplanung, Zeiterfassung, Lohnvorbereitung durch den Kunden.
Rechtsgrundlage (Rolle des Kunden als Verantwortlicher): § 26 Abs. 1 BDSG (Beschäftigtendatenverarbeitung) i. V. m. Art. 6 Abs. 1 lit. b, lit. c und ggf. lit. f DSGVO; für besondere Kategorien zusätzlich Art. 9 Abs. 2 lit. b DSGVO i. V. m. § 26 Abs. 3 BDSG.
Unsere Rolle: Auftragsverarbeiterin nach Art. 28 DSGVO.
5.4 Zeiterfassung (einschließlich optionaler GPS-Daten)
Zur Erfassung von Arbeitszeiten werden Zeitpunkte des Arbeitsbeginns, des Arbeitsendes und von Pausen einschließlich der Geräte-IP zum Zeitpunkt der Buchung verarbeitet.
Standortdaten werden nur verarbeitet, wenn der Kunde diese Funktion für eine Arbeitsstätte ausdrücklich aktiviert hat. In diesem Fall kann Shiftdesk beim Ein- und Ausstempeln die GPS-Position des Endgeräts zum konkreten Zeitpunkt des Stempelvorgangs verarbeiten. Eine dauerhafte Standortverfolgung, Hintergrundortung oder Erstellung von Bewegungsprofilen findet nicht statt.
Zweck: Erfüllung der arbeitszeitrechtlichen Aufzeichnungspflicht (BAG, Beschluss vom 13.09.2022 — 1 ABR 22/21; Umsetzung der EuGH-Rechtsprechung C-55/18), Lohnvorbereitung, Einhaltung ArbZG. Zweck der Standorterfassung ist ausschließlich die Plausibilisierung, ob ein Stempelvorgang an oder in der Nähe eines vom Kunden definierten Arbeitsortes erfolgt.
Verantwortlichkeit für die Standorterfassung: Die Entscheidung, ob und in welchen Betrieben Standortdaten verarbeitet werden, trifft ausschließlich der Kunde als Arbeitgeber und Verantwortlicher. Shiftdesk verarbeitet Standortdaten insoweit ausschließlich als Auftragsverarbeiterin nach Weisung des Kunden.
Geofence-Prüfung und Ablehnung: Sofern der Kunde die Standortprüfung für eine Arbeitsstätte aktiviert hat, berechnet Shiftdesk beim Stempelvorgang die Distanz zwischen dem aktuellen Endgerät-Standort und dem vom Kunden hinterlegten Mittelpunkt der Arbeitsstätte. Liegt die Distanz außerhalb des vom Kunden konfigurierten Radius (typischerweise 50–2000 Meter), wird der Stempelvorgang abgelehnt. Die Position wird in diesem Fall ausschließlich für die direkte Plausibilitätsprüfung herangezogen und nicht persistiert.
Adress-Geocoding: Damit der Kunde beim Aktivieren der Standortprüfung keine geographischen Koordinaten manuell ermitteln muss, kann Shiftdesk die Stamm-Adresse einer Filiale serverseitig an OpenStreetMap Nominatim (Betreiber: OpenStreetMap Foundation, Vereinigtes Königreich) übermitteln. Übertragen wird ausschließlich die Adresse der Arbeitsstätte (Straße, Postleitzahl, Stadt, Land); Personendaten von Beschäftigten werden nicht übermittelt. Das Vereinigte Königreich verfügt über einen Angemessenheitsbeschluss der EU-Kommission vom 28.06.2021; ein Drittlandtransfer im Sinne des Art. 44 ff. DSGVO findet damit nicht statt. Die Geocoding-Anfrage erfolgt einmalig beim Aktivieren der Standortprüfung; das Ergebnis (lat/lng) wird in der Datenbank des Kunden gespeichert und für nachfolgende Stempelvorgänge wiederverwendet, ohne erneute Übermittlung an Nominatim. Der Kunde kann die Koordinaten alternativ manuell festlegen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO i. V. m. § 16 Abs. 2 ArbZG, § 26 Abs. 1 BDSG. Auf Seiten des Kunden ist die Rechtsgrundlage für die Standorterfassung abhängig vom konkreten Einsatzszenario insbesondere § 26 Abs. 1 BDSG i. V. m. Art. 6 Abs. 1 lit. f DSGVO oder Art. 6 Abs. 1 lit. c DSGVO, soweit die Verarbeitung zur ordnungsgemäßen Arbeitszeiterfassung erforderlich ist. Eine Einwilligung von Beschäftigten kommt im Arbeitsverhältnis nur ausnahmsweise in Betracht, wenn sie freiwillig, informiert, widerruflich und nachweisbar erteilt wird. Shiftdesk empfiehlt Kunden nicht, die Standorterfassung allein auf eine Beschäftigteneinwilligung zu stützen, ohne dies im Einzelfall rechtlich zu prüfen.
Vorabprüfung durch den Kunden: Der Kunde hat vor Aktivierung eigenständig zu prüfen, ob die Standorterfassung erforderlich und verhältnismäßig ist, ob mildere Mittel ausreichen und ob Informationspflichten gegenüber Beschäftigten sowie gegebenenfalls Mitbestimmungsrechte des Betriebsrats — insbesondere nach § 87 Abs. 1 Nr. 6 BetrVG — zu beachten sind. Shiftdesk verlangt produktseitig eine entsprechende Bestätigung pro Standort, bevor die Funktion freigeschaltet wird.
Speicherdauer: 2 Jahre gemäß § 16 Abs. 2 ArbZG; längere Aufbewahrung bei lohn- oder sozialversicherungsrechtlich relevanten Daten nach § 41 AO (6 Jahre) bzw. bis zum Ende des auf die Prüfung folgenden Kalenderjahres (§ 28f SGB IV).
5.5 Abwesenheitsverwaltung (Art. 9 DSGVO)
Shiftdesk ermöglicht die Erfassung von Abwesenheitsarten wie Urlaub, Krankheit, Mutterschutz und Elternzeit. Der Abwesenheitsgrund „Krank“ sowie mutterschutz- und elternzeitbezogene Angaben sind besondere Kategorien personenbezogener Daten gemäß Art. 9 Abs. 1 DSGVO (Gesundheitsdaten).
Shiftdesk ist darauf ausgelegt, bei krankheitsbezogenen Abwesenheiten grundsätzlich nur die Abwesenheitsart und den Zeitraum zu verarbeiten. Diagnosen, konkrete Krankheitsbilder, ärztliche Befunde oder sonstige medizinische Details sollen nicht eingetragen werden. Soweit der Kunde Freitextfelder oder Dokumenten-Uploads nutzt, ist der Kunde als Verantwortlicher verpflichtet, die Erforderlichkeit, Zugriffsbeschränkung und Speicherdauer dieser Angaben zu prüfen.
Die Eingabemaske weist Nutzerinnen und Nutzer ausdrücklich darauf hin, dass keine Diagnosen oder medizinischen Details eingetragen werden sollen, sofern sie für den jeweiligen Zweck nicht zwingend erforderlich sind. Beim Hochladen von Dokumenten erscheint zusätzlich der Hinweis, nur erforderliche Dokumente hochzuladen und nicht erforderliche medizinische Angaben — soweit möglich — zu schwärzen.
Rechtsgrundlage:
- Art. 9 Abs. 2 lit. b DSGVO i. V. m. § 26 Abs. 3 BDSG (Rechte und Pflichten im Arbeitsrecht, z. B. Entgeltfortzahlung, Mutterschutz, BEEG) — primäre Grundlage.
- Art. 6 Abs. 1 lit. c DSGVO für die zugrunde liegende nicht-sensible Teilinformation.
Empfänger: Innerhalb der Organisation des Kunden der berechtigte Personenkreis (Personalabteilung, Dienstplanverantwortliche). Keine Weitergabe an Dritte außerhalb der vom Kunden gewählten Zwecke (z. B. DATEV-Export, siehe 5.7).
Zugriffsbeschränkung: Gesundheitsbezogene Abwesenheitsdaten sind innerhalb von Shiftdesk rollenbasiert zugriffsbeschränkt. Technische und organisatorische Maßnahmen (TOM) siehe Anlage zum Auftragsverarbeitungsvertrag.
5.6 Arbeitszeitrechtliche Prüfungen (ArbZG-Validierung)
Shiftdesk prüft eingegebene Dienstpläne und Zeitbuchungen automatisiert auf die Einhaltung gesetzlicher Vorgaben nach Arbeitszeitgesetz (ArbZG), Mutterschutzgesetz (MuSchG) und Jugendarbeitsschutzgesetz (JArbSchG) und zeigt dem Planer entsprechende Warnungen an (z. B. zur täglichen Höchstarbeitszeit, Ruhezeit, Pausen).
Es findet keine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO statt. Die Prüfung hat ausschließlich informatorischen Charakter; sämtliche Entscheidungen über Dienstpläne, Arbeitszeiten oder arbeitsrechtliche Maßnahmen trifft der Arbeitgeber durch natürliche Personen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b, lit. c DSGVO i. V. m. § 26 BDSG und den jeweils genannten arbeitsrechtlichen Vorschriften.
5.7 Lohnvorbereitung und DATEV-Export
Shiftdesk bietet den Export von Lohnvorbereitungsdaten (z. B. im DATEV-LODAS- oder Lohn-und-Gehalt-Format) an. Der Export wird vom Kunden ausgelöst; die Datei wird entweder direkt heruntergeladen oder — sofern vom Kunden konfiguriert — per gesicherter Schnittstelle an das Abrechnungssystem des Kunden übertragen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b, lit. c DSGVO (Lohnabrechnungspflichten) sowie § 26 Abs. 1 BDSG. Die konkrete Verantwortlichkeit für die Übermittlung an einen Steuerberater oder ein externes Abrechnungsbüro liegt beim Kunden (Arbeitgeber).
5.8 Audit-Logs und Fälschungssicherheit
Zur Erfüllung der Anforderungen an Integrität und Nachvollziehbarkeit (insbesondere aus § 16 ArbZG, § 147 AO, Grundsätze ordnungsgemäßer Buchführung und DSGVO Art. 5 Abs. 1 lit. f, Art. 32) protokollieren wir sicherheitsrelevante Vorgänge (z. B. Anmeldungen, Änderungen an Zeitbuchungen, Exporte) in einem Audit-Log mit Zeitstempel und Benutzerreferenz.
Rechtsgrundlage: Art. 6 Abs. 1 lit. c und lit. f DSGVO.
Speicherdauer: 6 Jahre in Anlehnung an § 257 HGB / § 147 AO.
5.9 Mobile Apps (iOS und Android)
Die Shiftdesk-Funktionen sind zusätzlich über native Apps für iOS (App Store) und Android (Google Play) verfügbar. Die nachfolgenden Ausführungen beschreiben die zusätzlich oder abweichend von der Webanwendung stattfindende Datenverarbeitung. Alle anderen in Abschnitt 5 beschriebenen Verarbeitungen (insbesondere Zeiterfassung 5.4, Abwesenheitsverwaltung 5.5 und Audit-Logs 5.8) gelten auch für die mobilen Anwendungen.
5.9.1 Gerätekennung und Plattform-Identifikatoren
Beim Start der mobilen Anwendung übermittelt das Betriebssystem an uns technische Merkmale zur Abwicklung der Kommunikation: Betriebssystem und -version, App-Version, Gerätetyp (Fabrikat und Modell) sowie eine plattformseitig vergebene Installations-Identifikation (Android: Firebase Installation ID; iOS: Vendor-ID „identifierForVendor“). Apple-Werbeidentifikatoren (IDFA) werden nicht erhoben; das App-Tracking-Transparency- Framework wird nicht ausgelöst.
Zweck: Fehleranalyse, Zuordnung von Push-Tokens, Kompatibilitätsprüfung bei App-Updates.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung); für die technische Speicherung des Installations-Identifikators auf dem Endgerät zusätzlich § 25 Abs. 2 Nr. 2 TDDDG (unbedingt erforderlicher Zugriff zur Bereitstellung des ausdrücklich angeforderten Telemedien-Dienstes).
5.9.2 Push-Benachrichtigungen
Zur Zustellung von Push-Benachrichtigungen (z. B. neue Nachrichten im Team-Chat, Schichtänderungen, Freigabe-Anforderungen) registrieren wir auf dem Endgerät ein plattformspezifisches Token. Das Token wird an den Push-Dienst des Betriebssystems übergeben (Apple Push Notification service „APNs“ für iOS; Firebase Cloud Messaging „FCM“ für Android). Der Versand an APNs / FCM erfolgt über den Push-Relay-Dienst von Expo (Expo Push Service, Expo Application Services, Inc., 650 Castro Street, Mountain View, CA 94041, USA).
Zweck: Zustellung operativer Nachrichten innerhalb des Arbeitsverhältnisses.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung im Rahmen des vom Arbeitgeber eingesetzten Dienstes); für die Speicherung des Tokens auf dem Endgerät zusätzlich § 25 Abs. 2 Nr. 2 TDDDG.
Widerruf / Widerspruch: Push-Benachrichtigungen können jederzeit über die Systemeinstellungen des Endgeräts deaktiviert werden. Das Token wird dann beim nächsten App-Start serverseitig invalidiert.
Inhalt der Push-Texte: Push-Inhalte enthalten keine besonders sensiblen personenbezogenen Daten. Servergenerierte Benachrichtigungen zu Krankheit, Abwesenheit oder Personaldokumenten werden neutral formuliert (beispielsweise „Es liegt eine neue Abwesenheits anfrage vor" statt Gesundheitsdetails im Push-Text). Inhalte aus Chat-Nachrichten werden im Push wiedergegeben, damit der Empfänger die Mitteilung in der Vorschau erkennen kann; sensible Inhalte sollten daher von Beschäftigten nicht über den App-Chat versandt werden.
Drittlandtransfer: APNs und FCM werden von Apple Inc. bzw. Google LLC (beide USA) betrieben. Der Transfer stützt sich auf den EU-US Data Privacy Framework (Angemessenheits- beschluss der EU-Kommission vom 10.07.2023). Für den Expo Push Service bestehen zusätzlich Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO.
5.9.3 Standortdaten in der Mobile App
Die mobile App kann, wenn vom Arbeitgeber für die jeweilige Arbeitsstätte aktiviert, die GPS-Position zum Zeitpunkt des Clock-In oder Clock-Out erfassen. Details zu Rechtsgrundlage, Zweck und Speicherdauer siehe Abschnitt 5.4.
Die Berechtigung „Standort bei Nutzung der App“ wird beim erstmaligen Einstempeln durch das Betriebssystem abgefragt. Die App fordert keinen Hintergrund-Standort zugriff an. Bei aktivierter Standortprüfung kann das Ein- oder Ausstempeln außerhalb des vom Arbeitgeber festgelegten Radius oder ohne Standortfreigabe abgelehnt werden. Eine Hintergrundortung oder dauerhafte Standortverfolgung findet nicht statt.
5.9.4 Kamera- und Fotobibliothek-Zugriff
Für das Versenden von Bildern innerhalb des Team-Chats sowie das Hochladen von Personaldokumenten (z. B. Krankmeldungen, sofern vom Arbeitgeber zugelassen) fordert die App Zugriff auf die Kamera und die Fotobibliothek an. Der Zugriff erfolgt ereignisgesteuert jeweils erst nach aktiver Nutzerhandlung („Foto aufnehmen“, „Bild auswählen“).
Zweck: Übermittlung vom Nutzer ausgewählter Inhalte an den Team-Chat bzw. das Personaldokumenten-Modul.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung, ausgedrückt durch die aktive Auswahl eines Bildes) sowie Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Hinweis: Es werden ausschließlich die vom Nutzer konkret ausgewählten Dateien übertragen. Ein breiter Scan der Fotobibliothek findet nicht statt.
5.9.5 Lokale Speicherung auf dem Endgerät
Die App speichert zur Aufrechterhaltung des Login-Status einen Authentifizierungs-Token in einem durch das Betriebssystem verwalteten, verschlüsselten Schlüsselspeicher (iOS Keychain über expo-secure-store; Android EncryptedSharedPreferences). Zusätzlich legt die App lokal einen Cache für Schichtpläne, Nachrichten und heruntergeladene Dokumente an, damit Inhalte auch ohne Netzwerkverbindung verfügbar bleiben.
Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TDDDG i. V. m. Art. 6 Abs. 1 lit. b DSGVO.
Löschung: Alle lokal gespeicherten Daten werden automatisch entfernt, sobald sich der Nutzer abmeldet oder die App deinstalliert wird.
Geteilte oder dienstliche Endgeräte: Bei gemeinsam genutzten oder dienstlichen Endgeräten sollten Nutzer sich nach der Nutzung abmelden. Der Kunde ist verantwortlich, geeignete Vorgaben zur Nutzung dienstlicher oder privater Endgeräte zu treffen.
5.9.6 Deep-Links
Die App registriert das URL-Schema shiftdesk:// sowie — sofern konfiguriert — Universal Links auf die Domainshiftdesk.app, um Links aus E-Mails und Benachrichtigungen direkt im entsprechenden App-Bereich zu öffnen. Es werden dabei keine zusätzlichen personenbezogenen Daten erhoben.
5.9.7 Keine Nutzungsanalyse in der App
Die mobilen Apps setzen kein Analyse- oder Tracking-SDK ein (kein Google Analytics, kein Firebase Analytics, kein Crashlytics, kein Sentry Mobile). Es finden keine Werbemessungen und kein Profiling zum Zweck der Reichweitenmessung statt.
6. Auftragsverarbeiter und externe Dienste
Wir setzen zur Erbringung unserer Leistungen die nachfolgend aufgeführten Dienstleister ein. Diese sind je nach Datenkategorie und Verarbeitungszweck Auftragsverarbeiter im Sinne von Art. 28 DSGVO, eigene Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO oder technische Drittanbieter mit eng begrenzter Verarbeitungsfunktion (z. B. Plattform-Push-Dienste mit Token-Routing oder einmaliges Adress-Geocoding ohne Personenbezug).
Die identische Aufstellung — einschließlich der konkreten Übermittlungsgrundlagen — findet sich in Anlage 3 unseres Auftragsverarbeitungsvertrags (/avv#anlage-3). Beide Listen werden aus derselben technischen Quelle generiert.
| Dienst | Anbieter | Rolle | Sitz / Region | Zweck und Datenkategorien | Übermittlungsgrundlage |
|---|---|---|---|---|---|
| Hosting (Frontend, Edge, Web Analytics) | Vercel Inc. | Auftragsverarbeiter (Art. 28 DSGVO) | USA (Unternehmenssitz); Hosting Frankfurt (Region fra1) | Bereitstellung der Website und Webanwendung; einwilligungsbasierte Reichweitenmessung via Vercel Web Analytics Daten: IP-Adresse, User-Agent, Request-Pfad, Performance-Metriken; bei Analytics zusätzlich Aggregate-Statistiken | EU-US Data Privacy Framework (Vercel Inc. ist DPF-zertifiziert) |
| Datenbank, Auth und Storage | Supabase Inc. | Auftragsverarbeiter (Art. 28 DSGVO) | USA (Unternehmenssitz); Hosting EU (Frankfurt) | Persistenz aller Anwendungsdaten, Authentifizierung, Storage für Personaldokumente und Chat-Anhänge Daten: Sämtliche im Dienst erfassten personenbezogenen Daten gemäß Abschnitt 5 | EU-US Data Privacy Framework (Supabase Inc. ist DPF-zertifiziert); zusätzlich Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO |
| Transaktions-E-Mail | Resend, Inc. | Auftragsverarbeiter (Art. 28 DSGVO) | USA | Versand transaktionaler E-Mails (Account-Verifikation, Stripe-Belege, Schicht-Benachrichtigungen, Lösch-Bestätigungen) Daten: E-Mail-Adresse, Anrede, transaktionsspezifischer Inhalt | Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO; ggf. EU-US Data Privacy Framework |
| E-Mail-Marketing (Newsletter, Lead-Funnel) | Sendinblue SAS (Marke Brevo) | Auftragsverarbeiter (Art. 28 DSGVO) | Frankreich (EU) | Versand des Newsletters und der Lead-Magnet-Sequenz inkl. Double-Opt-in (siehe Ziffer 4.4 der Datenschutzerklärung) Daten: E-Mail-Adresse, Anrede, Listen-Zugehörigkeit | EU-Inland — keine Drittlandsübermittlung |
| CDN, WAF und DDoS-Schutz | Cloudflare, Inc. | Auftragsverarbeiter (Art. 28 DSGVO) | USA (Unternehmenssitz); Edge-Server weltweit | Performance-Beschleunigung, Web Application Firewall, DDoS-Schutz Daten: IP-Adresse, User-Agent, Request-Metadaten | EU-US Data Privacy Framework (Cloudflare, Inc. ist DPF-zertifiziert) |
| Push-Benachrichtigungs-Relay (Mobile) | Expo Application Services, Inc. | Auftragsverarbeiter (Art. 28 DSGVO) | USA | Routing der Push-Benachrichtigungen von der Shiftdesk-Anwendung zu den Plattform-Push-Diensten APNs (iOS) und FCM (Android) Daten: Geräte-Token, Push-Inhalt (operative Schicht-/Nachrichten-Hinweise, ohne Gesundheitsdaten) | Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO |
| Error-Tracking | Sentry GmbH (EU-Region) / Functional Software, Inc. | Auftragsverarbeiter (Art. 28 DSGVO) | EU (Frankfurt) bei aktivierter EU-Region | Fehlerdiagnose und Stacktrace-Sammlung zur Stabilisierung der Anwendung. Erfasst werden Fehler-Stacktraces, anonymisierte Browser-/Geräte-Daten und eine pseudonyme User-ID (keine Mail-Adresse, kein Name). IP-Adressen werden vor der Speicherung anonymisiert; Auth-Tokens und Mail-Adressen in Stacktraces werden serverseitig redactiert. Kein Session-Replay aktiv. Daten: Fehler-Stacktraces, anonymisierte technische Geräte-/Browser-Daten, pseudonyme User-ID, Tenant-ID, Rolle | EU-Region: Verarbeitung im EU-Wirtschaftsraum. Konzern-Transfers in die USA via EU-US Data Privacy Framework und Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Anwendungs-Stabilität). |
| Zahlungsabwicklung | Stripe Payments Europe, Ltd. / Stripe, Inc. | Eigener Verantwortlicher (Art. 4 Nr. 7 DSGVO) | Irland (EU); USA (Konzernmutter) | Abonnement-Abrechnung der Shiftdesk-Tarife. Stripe ist für die Verarbeitung der Zahlungsdaten als eigener Verantwortlicher zuständig (PCI-DSS, Geldwäschegesetz, Steuerrecht). Daten: Rechnungsadresse, Zahlungsmittel-Metadaten (kein Klartext-Karteninhalt; Stripe-eigenes Tokenisierungs-Verfahren), Transaktionshistorie | Stripe Payments Europe Ltd. ist EU-Verantwortlicher; Konzern-Transfers in die USA via Standardvertragsklauseln und EU-US Data Privacy Framework |
| Reichweitenmessung Web (Google Analytics 4) | Google Ireland Limited (Konzernmutter: Google LLC) | Eigener Verantwortlicher (Art. 4 Nr. 7 DSGVO) | Irland (EU); USA (Konzernmutter und Verarbeitungs-Backend) | Einwilligungsbasierte Reichweitenmessung. Google handelt für Teile der Verarbeitung (z. B. Cross-Property-Aggregation, Sicherheits-Audits) als eigener Verantwortlicher. Daten: Aggregierte Nutzungsstatistiken, IP-Adresse (anonymisiert), Pseudonyme Client-ID Nur aktiv, wenn der Nutzer in die Statistik-Kategorie eingewilligt hat (siehe Ziffer 4.2b) | EU-US Data Privacy Framework (Google LLC ist DPF-zertifiziert) |
| Push-Notification-Service iOS | Apple Inc. | Technischer Drittanbieter | USA | Apple stellt die plattformseitige Push-Infrastruktur (Apple Push Notification service) bereit und verarbeitet hierfür insbesondere Geräte-Token und technische Zustellinformationen. Die Push-Inhalte werden durch Shiftdesk so gestaltet, dass keine Gesundheitsdaten oder sonstigen besonders sensiblen Inhalte enthalten sind. Daten: APNs-Device-Token, Push-Payload (operative Hinweise) Funktion: Push-Token-Routing | EU-US Data Privacy Framework (Apple Inc. ist DPF-zertifiziert) |
| Push-Notification-Service Android | Google LLC (Firebase Cloud Messaging) | Technischer Drittanbieter | USA | Google stellt die plattformseitige Push-Infrastruktur (Firebase Cloud Messaging) bereit und verarbeitet hierfür insbesondere Geräte-Token, eine Installations-ID und technische Zustellinformationen. Die Push-Inhalte werden durch Shiftdesk so gestaltet, dass keine Gesundheitsdaten oder sonstigen besonders sensiblen Inhalte enthalten sind. Daten: FCM-Token, Firebase Installation ID, Push-Payload (operative Hinweise) Funktion: Push-Token-Routing | EU-US Data Privacy Framework (Google LLC ist DPF-zertifiziert) |
| Adress-Geocoding (Standort-Aktivierung Compliance-Modal) | OpenStreetMap Foundation (Nominatim-Dienst) | Technischer Drittanbieter | Vereinigtes Königreich | Wenn der Kunde beim Aktivieren der Standortprüfung das automatische Geocoding nutzt, wird die Stamm-Adresse einer Filiale (Straße, Postleitzahl, Stadt, Land) einmalig an Nominatim übermittelt, um daraus geographische Koordinaten (Breiten- / Längengrad) zu ermitteln. Es werden keine Personendaten von Beschäftigten übermittelt; die Adresse selbst ist nicht personenbezogen. Das Ergebnis wird im Datenbestand des Kunden gespeichert und nicht erneut übertragen. Daten: Adresse einer Filiale (Straße, PLZ, Stadt, Land) Funktion: einmaliges Adress-Geocoding (kein Token-Routing) | Angemessenheitsbeschluss der EU-Kommission vom 28.06.2021 für das Vereinigte Königreich |
7. Drittlandtransfers
Einige der unter Ziffer 6 genannten Auftragsverarbeiter haben ihren Sitz in den Vereinigten Staaten oder übermitteln Daten in die USA. Für die USA besteht seit dem 10.07.2023 ein Angemessenheitsbeschluss der EU-Kommission auf Basis des EU-US Data Privacy Framework (DPF).
Soweit unsere Dienstleister unter dem DPF zertifiziert sind, erfolgt die Übermittlung auf Grundlage von Art. 45 DSGVO. Ist dies nicht der Fall, stützen wir die Übermittlung auf Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO (Durchführungsbeschluss (EU) 2021/914), ergänzt um technische und organisatorische Maßnahmen nach Maßgabe der Empfehlungen des EDSA.
Eine Kopie der Standardvertragsklauseln sowie Informationen über den Zertifizierungsstatus unserer Dienstleister stellen wir auf Anfrage unter support@shiftdesk.app zur Verfügung.
8. Speicherdauer (Übersicht)
| Datenkategorie | Dauer | Grundlage |
|---|---|---|
| Server-Logfiles | 14 Tage | Art. 6 Abs. 1 lit. f DSGVO |
| Account-Daten | Vertragsdauer + 10 Jahre (bei Rechnungsbezug) | § 147 AO, § 257 HGB |
| Authentifizierungs-Logs | 90 Tage | Art. 32 DSGVO |
| Arbeitszeit-Aufzeichnungen | 2 Jahre | § 16 Abs. 2 ArbZG |
| Lohnrelevante Zeitdaten | 6 Jahre | § 41 AO |
| Audit-Logs | 6 Jahre | § 257 HGB sinngemäß |
| Abwesenheiten (Art. 9 DSGVO) | bis Ende Beschäftigung zzgl. gesetzlicher Aufbewahrungsfristen | § 26 BDSG |
| Support-Tickets | bis Erledigung + 3 Jahre | Verjährung § 195 BGB |
| Newsletter-Anmeldungen | bis zum Widerruf der Einwilligung | Art. 6 Abs. 1 lit. a, Art. 7 DSGVO |
| Push-Token (Mobile App) | bis Logout, Deaktivierung der Push-Berechtigung im Betriebssystem, Token-Invalidierung durch APNs/FCM oder Ende des Nutzerkontos | Art. 6 Abs. 1 lit. b DSGVO, § 25 Abs. 2 Nr. 2 TDDDG |
| Lokale App-Daten (Cache, Auth-Token) | bis Logout oder Deinstallation; serverseitige Daten bleiben gemäß Konfiguration des Kunden / AVV bestehen | § 25 Abs. 2 Nr. 2 TDDDG |
| Dokumenten-Uploads (Personalakte) | gemäß Konfiguration des Kunden bzw. bis Zweckfortfall; vorbehaltlich gesetzlicher Aufbewahrungspflichten | § 26 BDSG; ggf. § 257 HGB, § 147 AO |
| Chat-Nachrichten | gemäß Konfiguration des Kunden bzw. Vertragsdauer, sofern nicht vorher gelöscht | Art. 6 Abs. 1 lit. b DSGVO |
| Lösch-Anfragen (deletion_requests) | 3 Jahre nach Abschluss zur Nachweisbarkeit | Art. 5 Abs. 2 DSGVO (Rechenschaftspflicht) |
8a. Account- und Datenlöschung in der App
Nutzerinnen und Nutzer können eine Löschung bzw. Datenlöschanfrage über die Webseite /account-loeschung oder per E-Mail an support@shiftdesk.app initiieren. Eine In-App-Löschanfrage wird vor dem öffentlichen App-Store-Launch ergänzt.
Bei Beschäftigtenkonten erfolgt die Löschung personenbezogener Beschäftigtendaten grundsätzlich über den Arbeitgeber als Verantwortlichen. Shiftdesk leitet Lösch-Anfragen von Beschäftigten an den zuständigen Arbeitgeber weiter und unterstützt diesen bei der Bearbeitung.
Bei Inhaber- bzw. Administrator-Konten kann die Löschung des eigenen Accounts und der zugehörigen Organisation über die Anwendung initiiert werden. Die Bestätigung erfolgt über einen per E-Mail zugestellten Bestätigungslink (Double-Opt-in). Die tatsächliche Löschung wird durch ein manuelles Review-Verfahren bei Shiftdesk durchgeführt, um Datenintegrität (z. B. laufende Stripe-Abrechnungen, Storage- Bereinigung) sicherzustellen.
Unabhängig vom oben beschriebenen Weg können sich Betroffene jederzeit an support@shiftdesk.app wenden. Gesetzliche Aufbewahrungspflichten bleiben unberührt.
9. Automatisierte Entscheidungsfindung
Eine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne von Art. 22 DSGVO findet nicht statt. Die arbeitszeitrechtliche Validierung (siehe 5.6) ist rein informatorisch.
10. Änderungen dieser Datenschutzerklärung
Wir passen diese Datenschutzerklärung an, wenn sich die Rechtslage, unsere Verarbeitungen oder eingesetzte Dienstleister ändern. Die jeweils aktuelle Version ist unter shiftdesk.app/datenschutz abrufbar.
Stand: 17. Mai 2026