Datenschutzerklärung
Informationen zur Verarbeitung personenbezogener Daten gemäß Art. 13 und 14 DSGVO.
1. Verantwortliche
Verantwortlich für die Datenverarbeitung auf shiftdesk.app und innerhalb des Shiftdesk-Dienstes im Sinne von Art. 4 Nr. 7 DSGVO ist:
Valerie Koch
Shiftdesk (Einzelunternehmen)
Herforder Str. 176
33609 Bielefeld
Deutschland
E-Mail: support@shiftdesk.app
Hinweis zur Rollenverteilung: Für Daten, die Kundinnen und Kunden (Arbeitgeber) ihrer Mitarbeitenden in Shiftdesk einpflegen, ist die Kundin bzw. der Kunde Verantwortlicher; Shiftdesk agiert als Auftragsverarbeiter. Einzelheiten siehe Abschnitt 5.
2. Datenschutz-Koordination
Eine gesetzliche Pflicht zur Bestellung einer/eines Datenschutzbeauftragten besteht derzeit nicht (§ 38 BDSG). Fragen zum Datenschutz richten Sie bitte direkt an die Verantwortliche unter support@shiftdesk.app.
3. Ihre Rechte als betroffene Person
Sie haben gegenüber uns folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:
- Recht auf Auskunft (Art. 15 DSGVO)
- Recht auf Berichtigung (Art. 16 DSGVO)
- Recht auf Löschung (Art. 17 DSGVO), soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen
- Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
- Recht auf Widerspruch (Art. 21 DSGVO)
- Recht auf Widerruf einer erteilten Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)
Sie haben ferner das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten durch uns zu beschweren (Art. 77 DSGVO). Zuständig ist die Aufsichtsbehörde des Bundeslandes, in dem die Verantwortliche ihren Sitz hat — Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW), Kavalleriestraße 2–4, 40213 Düsseldorf, https://www.ldi.nrw.de — oder jede andere Aufsichtsbehörde innerhalb der EU.
Wichtiger Hinweis für Mitarbeitende unserer Kunden: Ihre personenbezogenen Daten werden in Shiftdesk im Auftrag Ihres Arbeitgebers verarbeitet. Für die Geltendmachung Ihrer Betroffenenrechte ist Ihr Arbeitgeber als Verantwortlicher zuständig. Wir unterstützen Ihren Arbeitgeber bei der Erfüllung dieser Rechte.
4. Datenverarbeitung auf der Website (shiftdesk.app)
4.1 Server-Logfiles
Beim Aufruf der Website werden automatisch Informationen an den Server unseres Hosting-Dienstleisters übermittelt und temporär in sogenannten Server-Logfiles gespeichert:
- IP-Adresse (gekürzt, sofern technisch möglich)
- Datum und Uhrzeit des Zugriffs
- Aufgerufene URL
- Referrer-URL (vorher besuchte Seite)
- User-Agent (Browser/Betriebssystem)
- HTTP-Statuscode
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der Sicherstellung eines störungsfreien Betriebs sowie der Abwehr von Angriffen (Integrität und Verfügbarkeit).
Speicherdauer: 14 Tage; längere Speicherung nur bei konkreten Anhaltspunkten für sicherheitsrelevante Ereignisse.
4.2 Cookies und lokale Speicher (technisch notwendig)
Auf shiftdesk.app setzen wir technisch notwendige Cookies bzw. Local-Storage-Einträge ein, die zum Betrieb der Website und des Logins erforderlich sind. Dazu zählen insbesondere Session-Cookies von Supabase Auth (sb-access-token, sb-refresh-token), CSRF-Tokens, Ihre Spracheinstellung (shiftdesk_locale) sowie der Speicherort Ihrer Cookie-Entscheidung selbst (shiftdesk_consent_v1).
Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TDDDG (technisch unbedingt erforderlich) i. V. m. Art. 6 Abs. 1 lit. f DSGVO. Eine Einwilligung ist hierfür nicht erforderlich.
4.2a Reichweitenmessung mit Vercel Web Analytics (einwilligungsbasiert)
Wir nutzen auf shiftdesk.app den Dienst Vercel Web Analytics der Vercel Inc. (440 N Barranca Ave #4133, Covina, CA 91723, USA), um anonymisierte Nutzungsstatistiken zu erheben. Ziel ist die Reichweitenmessung und Performance-Beobachtung unserer Seiten, um Inhalte und technische Stabilität zu verbessern.
Nach Angaben des Anbieters werden hierbei keine Cross-Site-Cookies gesetzt und keine IP-Adressen dauerhaft gespeichert. Erfasst werden anonymisierte Seitenaufrufe, Referrer, grobe Geolokation (Land), Gerätetyp und Browserklasse. Eine Wiedererkennung einzelner Personen ist nach Vercels Dokumentation nicht vorgesehen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) i. V. m. § 25 Abs. 1 TDDDG. Die Erhebung findet nur statt, wenn Sie im Cookie-Banner die Kategorie „Statistik“ ausdrücklich aktiviert haben. Ohne Einwilligung wird das entsprechende Skript nicht geladen.
Speicherdauer beim Anbieter: laut Vercel bis zu 30 Tage auf Einzelereignis-Ebene, anschließend nur noch aggregiert.
Widerruf: Sie können Ihre Einwilligung jederzeit widerrufen — über den Link „Cookie-Einstellungen“ im Seitenfuß oder durch Löschen des Eintrags shiftdesk_consent_v1 in Ihrem Browser-Speicher. Nach dem Widerruf wird das Analytics-Skript nicht mehr geladen.
Drittlandübermittlung: Vercel Inc. ist im EU-US Data Privacy Framework zertifiziert (siehe Ziffer 7).
Nachweis der Einwilligung (Art. 7 Abs. 1 DSGVO): Wir protokollieren Ihre Cookie-Entscheidung serverseitig in einer internen Tabelle (consent_log) mit den Feldern Einwilligungs-ID (Zufallswert), Bannerversion, Version dieser Datenschutzerklärung, getroffene Kategorien-Auswahl, Quelle (Banner, Einstellungen oder Widerruf) und Zeitstempel. IP-Adresse und User-Agent werden dabei ausdrücklich nicht gespeichert. Aufbewahrungsdauer: drei Jahre (Verjährungsfrist datenschutzrechtlicher Ansprüche).
4.3 Kontaktaufnahme
Wenn Sie uns per E-Mail kontaktieren, verarbeiten wir Ihre Angaben (mindestens: E-Mail-Adresse, Nachrichtentext; optional: Name, Telefon, Firma) zur Bearbeitung Ihrer Anfrage.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Anbahnung eines Vertrages) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beantwortung allgemeiner Anfragen).
Speicherdauer: bis zum Abschluss des Anliegens; darüber hinaus nur, soweit handels- oder steuerrechtliche Aufbewahrungspflichten (6–10 Jahre nach HGB/AO) bestehen.
5. Datenverarbeitung in der Anwendung (Shiftdesk-Dienst)
5.1 Abgrenzung Verantwortlicher / Auftragsverarbeiter
Für personenbezogene Daten, die unsere Kunden (Arbeitgeber) in Shiftdesk über sich selbst, ihre Mitarbeitenden oder Dritte einpflegen, ist der Kunde Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO. Wir verarbeiten diese Daten ausschließlich weisungsgebunden im Rahmen eines Auftragsverarbeitungsvertrages (AVV) gemäß Art. 28 DSGVO.
Der nachstehende Abschnitt beschreibt die Verarbeitungen, für die wir entweder selbst Verantwortliche sind (z. B. Account-Registrierung des Kunden) oder die wir im Auftrag unserer Kunden durchführen.
5.2 Registrierung und Anmeldung
Für die Nutzung von Shiftdesk ist ein Nutzerkonto erforderlich. Bei der Registrierung verarbeiten wir:
- E-Mail-Adresse
- Passwort (ausschließlich als kryptografischer Hash)
- Vor- und Nachname
- Organisationsname
- Zeitpunkt der Registrierung, letzter Login
- Gegebenenfalls MFA-Faktoren (z. B. TOTP-Secret)
Zweck: Bereitstellung des Nutzerkontos, Authentifizierung, Schutz vor unbefugtem Zugriff.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (IT-Sicherheit, insbesondere MFA).
Speicherdauer: für die Dauer der Vertragsbeziehung sowie anschließend für die Dauer der gesetzlichen Aufbewahrungsfristen (Rechnungsdaten: 10 Jahre nach § 147 AO, § 257 HGB). Authentifizierungs-Logs: 90 Tage.
5.3 Personalstammdaten (im Auftrag des Kunden)
Im Auftrag des Kunden verarbeiten wir folgende Kategorien personenbezogener Daten von Beschäftigten des Kunden:
- Stammdaten: Name, Anschrift, Geburtsdatum, Kontaktdaten
- Beschäftigungsdaten: Vertragsart, Arbeitszeit, Stundenlohn, Qualifikationen, Rollen
- Bankverbindung (optional, benutzerdefiniertes Feld)
- Steuerliche Merkmale (optional, benutzerdefiniertes Feld)
- Besondere Kategorien nach Art. 9 DSGVO, insbesondere Abwesenheitsgründe mit Gesundheitsbezug (siehe 5.5)
Zweck: Personalverwaltung, Dienstplanung, Zeiterfassung, Lohnvorbereitung durch den Kunden.
Rechtsgrundlage (Rolle des Kunden als Verantwortlicher): § 26 Abs. 1 BDSG (Beschäftigtendatenverarbeitung) i. V. m. Art. 6 Abs. 1 lit. b, lit. c und ggf. lit. f DSGVO; für besondere Kategorien zusätzlich Art. 9 Abs. 2 lit. b DSGVO i. V. m. § 26 Abs. 3 BDSG.
Unsere Rolle: Auftragsverarbeiterin nach Art. 28 DSGVO.
5.4 Zeiterfassung (einschließlich optionaler GPS-Daten)
Zur Erfassung von Arbeitszeiten werden Zeitpunkte des Arbeitsbeginns, des Arbeitsendes und von Pausen einschließlich der Geräte-IP sowie — sofern vom Arbeitgeber aktiviert — die GPS-Position zum Zeitpunkt des Clock-In / Clock-Out verarbeitet.
Zweck: Erfüllung der arbeitszeitrechtlichen Aufzeichnungspflicht (BAG, Beschluss vom 13.09.2022 – 1 ABR 22/21; Umsetzung der EuGH-Rechtsprechung C-55/18), Lohnabrechnung, Einhaltung ArbZG.
Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO i. V. m. § 16 Abs. 2 ArbZG, § 26 Abs. 1 BDSG; für GPS-Daten zusätzlich Art. 6 Abs. 1 lit. f DSGVO bzw. — bei Einzelfall-Aktivierung — Einwilligung nach Art. 6 Abs. 1 lit. a, Art. 7 DSGVO.
Speicherdauer: 2 Jahre gemäß § 16 Abs. 2 ArbZG; längere Aufbewahrung bei lohn- oder sozialversicherungsrechtlich relevanten Daten nach § 41 AO (6 Jahre) bzw. bis zum Ende des auf die Prüfung folgenden Kalenderjahres (§ 28f SGB IV).
5.5 Abwesenheitsverwaltung (Art. 9 DSGVO)
Shiftdesk ermöglicht die Erfassung von Abwesenheitsarten wie Urlaub, Krankheit, Mutterschutz und Elternzeit. Der Abwesenheitsgrund „Krank“ sowie mutterschutz- und elternzeitbezogene Angaben sind besondere Kategorien personenbezogener Daten gemäß Art. 9 Abs. 1 DSGVO (Gesundheitsdaten).
Wir speichern ausschließlich die Abwesenheitsart sowie die Dauer, nicht die Diagnose oder weitere medizinische Details.
Rechtsgrundlage:
- Art. 9 Abs. 2 lit. b DSGVO i. V. m. § 26 Abs. 3 BDSG (Rechte und Pflichten im Arbeitsrecht, z. B. Entgeltfortzahlung, Mutterschutz, BEEG) — primäre Grundlage.
- Art. 6 Abs. 1 lit. c DSGVO für die zugrunde liegende nicht-sensible Teilinformation.
Empfänger: Innerhalb der Organisation des Kunden der berechtigte Personenkreis (Personalabteilung, Dienstplanverantwortliche). Keine Weitergabe an Dritte außerhalb der vom Kunden gewählten Zwecke (z. B. DATEV-Export, siehe 5.7).
Zugriffsbeschränkung: Gesundheitsbezogene Abwesenheitsdaten sind innerhalb von Shiftdesk rollenbasiert zugriffsbeschränkt. Technische und organisatorische Maßnahmen (TOM) siehe Anlage zum Auftragsverarbeitungsvertrag.
5.6 Arbeitszeitrechtliche Prüfungen (ArbZG-Validierung)
Shiftdesk prüft eingegebene Dienstpläne und Zeitbuchungen automatisiert auf die Einhaltung gesetzlicher Vorgaben nach Arbeitszeitgesetz (ArbZG), Mutterschutzgesetz (MuSchG) und Jugendarbeitsschutzgesetz (JArbSchG) und zeigt dem Planer entsprechende Warnungen an (z. B. zur täglichen Höchstarbeitszeit, Ruhezeit, Pausen).
Es findet keine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO statt. Die Prüfung hat ausschließlich informatorischen Charakter; sämtliche Entscheidungen über Dienstpläne, Arbeitszeiten oder arbeitsrechtliche Maßnahmen trifft der Arbeitgeber durch natürliche Personen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b, lit. c DSGVO i. V. m. § 26 BDSG und den jeweils genannten arbeitsrechtlichen Vorschriften.
5.7 Lohnvorbereitung und DATEV-Export
Shiftdesk bietet den Export von Lohnvorbereitungsdaten (z. B. im DATEV-LODAS- oder Lohn-und-Gehalt-Format) an. Der Export wird vom Kunden ausgelöst; die Datei wird entweder direkt heruntergeladen oder — sofern vom Kunden konfiguriert — per gesicherter Schnittstelle an das Abrechnungssystem des Kunden übertragen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b, lit. c DSGVO (Lohnabrechnungspflichten) sowie § 26 Abs. 1 BDSG. Die konkrete Verantwortlichkeit für die Übermittlung an einen Steuerberater oder ein externes Abrechnungsbüro liegt beim Kunden (Arbeitgeber).
5.8 Audit-Logs und Fälschungssicherheit
Zur Erfüllung der Anforderungen an Integrität und Nachvollziehbarkeit (insbesondere aus § 16 ArbZG, § 147 AO, Grundsätze ordnungsgemäßer Buchführung und DSGVO Art. 5 Abs. 1 lit. f, Art. 32) protokollieren wir sicherheitsrelevante Vorgänge (z. B. Anmeldungen, Änderungen an Zeitbuchungen, Exporte) in einem Audit-Log mit Zeitstempel und Benutzerreferenz.
Rechtsgrundlage: Art. 6 Abs. 1 lit. c und lit. f DSGVO.
Speicherdauer: 6 Jahre in Anlehnung an § 257 HGB / § 147 AO.
6. Auftragsverarbeiter und externe Dienste
Wir setzen zur Erbringung unserer Leistungen die folgenden Dienstleister ein. Mit allen Auftragsverarbeitern bestehen Verträge nach Art. 28 DSGVO.
| Dienst | Anbieter | Sitz / Region | Zweck | Drittland |
|---|---|---|---|---|
| Hosting / Frontend | Vercel Inc. | USA (Rechenzentrum Frankfurt, Region „fra1“) | Bereitstellung der Website und Applikation; zusätzlich einwilligungsbasierte Reichweitenmessung via Vercel Web Analytics (siehe Ziffer 4.2a) | Teilweise (USA, DPF) |
| Datenbank und Auth | Supabase Inc. | USA (Unternehmen), EU (Hosting Frankfurt) | Persistenz, Authentifizierung | Teilweise |
| Resend, Inc. | USA | Transaktions-E-Mails | Ja | |
| Error-Tracking (geplant) | Functional Software, Inc. (Sentry) | USA | Fehlerdiagnose | Ja — sobald aktiv |
| Zahlungsabwicklung (geplant) | Stripe Payments Europe, Ltd. / Stripe Inc. | Irland / USA | Abonnement-Abrechnung | Teilweise — sobald aktiv |
| CDN / WAF | Cloudflare, Inc. | USA | Performance, Sicherheit | Ja |
7. Drittlandtransfers
Einige der unter Ziffer 6 genannten Auftragsverarbeiter haben ihren Sitz in den Vereinigten Staaten oder übermitteln Daten in die USA. Für die USA besteht seit dem 10.07.2023 ein Angemessenheitsbeschluss der EU-Kommission auf Basis des EU-US Data Privacy Framework (DPF).
Soweit unsere Dienstleister unter dem DPF zertifiziert sind, erfolgt die Übermittlung auf Grundlage von Art. 45 DSGVO. Ist dies nicht der Fall, stützen wir die Übermittlung auf Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO (Durchführungsbeschluss (EU) 2021/914), ergänzt um technische und organisatorische Maßnahmen nach Maßgabe der Empfehlungen des EDSA.
Eine Kopie der Standardvertragsklauseln sowie Informationen über den Zertifizierungsstatus unserer Dienstleister stellen wir auf Anfrage unter support@shiftdesk.app zur Verfügung.
8. Speicherdauer (Übersicht)
| Datenkategorie | Dauer | Grundlage |
|---|---|---|
| Server-Logfiles | 14 Tage | Art. 6 Abs. 1 lit. f DSGVO |
| Account-Daten | Vertragsdauer + 10 Jahre (bei Rechnungsbezug) | § 147 AO, § 257 HGB |
| Authentifizierungs-Logs | 90 Tage | Art. 32 DSGVO |
| Arbeitszeit-Aufzeichnungen | 2 Jahre | § 16 Abs. 2 ArbZG |
| Lohnrelevante Zeitdaten | 6 Jahre | § 41 AO |
| Audit-Logs | 6 Jahre | § 257 HGB sinngemäß |
| Abwesenheiten (Art. 9 DSGVO) | bis Ende Beschäftigung zzgl. gesetzlicher Aufbewahrungsfristen | § 26 BDSG |
| Support-Tickets | bis Erledigung + 3 Jahre | Verjährung § 195 BGB |
9. Automatisierte Entscheidungsfindung
Eine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne von Art. 22 DSGVO findet nicht statt. Die arbeitszeitrechtliche Validierung (siehe 5.6) ist rein informatorisch.
10. Änderungen dieser Datenschutzerklärung
Wir passen diese Datenschutzerklärung an, wenn sich die Rechtslage, unsere Verarbeitungen oder eingesetzte Dienstleister ändern. Die jeweils aktuelle Version ist unter shiftdesk.app/datenschutz abrufbar.
Stand: 8. April 2026