Datenschutzerklärung
Informationen zur Verarbeitung personenbezogener Daten gemäß Art. 13 und 14 DSGVO.
1. Verantwortliche
Verantwortlich für die Datenverarbeitung auf shiftdesk.app und innerhalb des Shiftdesk-Dienstes im Sinne von Art. 4 Nr. 7 DSGVO ist:
Valerie Koch
Shiftdesk (Einzelunternehmen)
Herforder Str. 176
33609 Bielefeld
Deutschland
E-Mail: support@shiftdesk.app
Hinweis zur Rollenverteilung: Für Daten, die Kundinnen und Kunden (Arbeitgeber) ihrer Mitarbeitenden in Shiftdesk einpflegen, ist die Kundin bzw. der Kunde Verantwortlicher; Shiftdesk agiert als Auftragsverarbeiter. Einzelheiten siehe Abschnitt 5.
2. Datenschutz-Koordination
Eine Pflicht zur Benennung einer/eines Datenschutzbeauftragten nach § 38 BDSG bzw. Art. 37 DSGVO besteht nach unserer derzeitigen Prüfung nicht. Wir überprüfen dies regelmäßig, insbesondere mit Blick auf Umfang und Art der verarbeiteten Beschäftigtendaten. Fragen zum Datenschutz richten Sie bitte direkt an die Verantwortliche unter support@shiftdesk.app.
3. Ihre Rechte als betroffene Person
Sie haben gegenüber uns folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:
- Recht auf Auskunft (Art. 15 DSGVO)
- Recht auf Berichtigung (Art. 16 DSGVO)
- Recht auf Löschung (Art. 17 DSGVO), soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen
- Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
- Recht auf Widerspruch (Art. 21 DSGVO)
- Recht auf Widerruf einer erteilten Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)
Sie haben ferner das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten durch uns zu beschweren (Art. 77 DSGVO). Zuständig ist die Aufsichtsbehörde des Bundeslandes, in dem die Verantwortliche ihren Sitz hat — Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW), Kavalleriestraße 2–4, 40213 Düsseldorf, https://www.ldi.nrw.de — oder jede andere Aufsichtsbehörde innerhalb der EU.
Wichtiger Hinweis für Mitarbeitende unserer Kunden: Ihre personenbezogenen Daten werden in Shiftdesk im Auftrag Ihres Arbeitgebers verarbeitet. Für die Geltendmachung Ihrer Betroffenenrechte ist Ihr Arbeitgeber als Verantwortlicher zuständig. Wir unterstützen Ihren Arbeitgeber bei der Erfüllung dieser Rechte.
4. Datenverarbeitung auf der Website (shiftdesk.app)
4.1 Server-Logfiles
Beim Aufruf der Website werden automatisch Informationen an den Server unseres Hosting-Dienstleisters übermittelt und temporär in sogenannten Server-Logfiles gespeichert:
- IP-Adresse (gekürzt, sofern technisch möglich)
- Datum und Uhrzeit des Zugriffs
- Aufgerufene URL
- Referrer-URL (vorher besuchte Seite)
- User-Agent (Browser/Betriebssystem)
- HTTP-Statuscode
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der Sicherstellung eines störungsfreien Betriebs sowie der Abwehr von Angriffen (Integrität und Verfügbarkeit).
Speicherdauer: 14 Tage; längere Speicherung nur bei konkreten Anhaltspunkten für sicherheitsrelevante Ereignisse.
4.2 Cookies und lokale Speicher (technisch notwendig)
Auf shiftdesk.app setzen wir technisch notwendige Cookies bzw. Local-Storage-Einträge ein, die zum Betrieb der Website und des Logins erforderlich sind. Dazu zählen insbesondere Session-Cookies von Supabase Auth (sb-access-token, sb-refresh-token), CSRF-Tokens, Ihre Spracheinstellung (shiftdesk_locale), der Speicherort Ihrer Cookie-Entscheidung selbst (shiftdesk_consent_v1) sowie — nur nach Ihrem aktiven Klick auf einen Partner-Empfehlungslink — der Empfehlungs-Cookie sd_ref (Einzelheiten in Ziffer 4.5.2).
Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TDDDG (technisch unbedingt erforderlich) i. V. m. Art. 6 Abs. 1 lit. f DSGVO. Eine Einwilligung ist hierfür nicht erforderlich.
4.2a Reichweitenmessung mit Vercel Web Analytics (cookielos)
Wir nutzen auf shiftdesk.app den Dienst Vercel Web Analytics der Vercel Inc. (440 N Barranca Ave #4133, Covina, CA 91723, USA), um anonymisierte Nutzungsstatistiken zu erheben. Ziel ist die Reichweitenmessung und Performance-Beobachtung unserer Seiten, um Inhalte und technische Stabilität zu verbessern.
Der Dienst arbeitet cookielos: Es werden keine Informationen auf Ihrem Endgerät gespeichert oder daraus ausgelesen (keine Cookies, kein Local Storage, keine clientseitigen Kennungen). Nach Angaben des Anbieters werden zudem keine IP-Adressen dauerhaft gespeichert. Erfasst werden anonymisierte Seitenaufrufe, Referrer, grobe Geolokation (Land), Gerätetyp und Browserklasse. Eine Wiedererkennung einzelner Personen ist nach Vercels Dokumentation nicht vorgesehen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer datensparsamen Reichweitenmessung und an der technischen Stabilität unserer Seiten). § 25 TDDDG ist nach unserer Bewertung nicht einschlägig, da keine Informationen im Endgerät gespeichert oder ausgelesen werden. Die Messung läuft daher unabhängig von Ihrer Auswahl im Cookie-Banner.
Speicherdauer beim Anbieter: laut Vercel bis zu 30 Tage auf Einzelereignis-Ebene, anschließend nur noch aggregiert.
Widerspruch (Art. 21 Abs. 1 DSGVO): Sie können der Verarbeitung jederzeit mit Wirkung für die Zukunft widersprechen, zum Beispiel per E-Mail an support@shiftdesk.app. Darüber hinaus verhindern gängige Content- und Skript-Blocker die Einbindung des Mess-Skripts wirksam.
Drittlandübermittlung: Vercel Inc. ist im EU-US Data Privacy Framework zertifiziert (siehe Ziffer 7).
4.2b Reichweitenmessung mit Google Analytics 4 (einwilligungsbasiert)
Zusätzlich zu Vercel Web Analytics setzen wir auf shiftdesk.app den Dienst Google Analytics 4 der Google Ireland Limited (Gordon House, Barrow Street, Dublin 4, Irland) ein, um aggregierte Reichweiten- und Nutzungsmuster zu erheben (Measurement-ID G-DH96XEBTSL). Muttergesellschaft ist die Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA.
Google Analytics setzt Cookies (typischerweise _ga und _ga_<Container-ID>) und überträgt Ereignisdaten (Seitenaufrufe, Klicks, Verweildauer, grobe Geolokation auf Stadt-/Länderebene, Gerätekategorie) an Google Server. Google Analytics 4 speichert nach Angaben des Anbieters keine IP-Adressen; die bei der Erhebung verwendete IP-Adresse wird ausschließlich zur groben Geolokalisierung genutzt und anschließend verworfen. Zusätzlich haben wir folgende datenschutzfreundliche Einstellungen aktiviert: keine Weitergabe von Werbedaten (ads_data_redaction: true), kein URL-Parameter-Passthrough (url_passthrough: false), Google Signals deaktiviert sowie eine auf 14 Monate begrenzte Aufbewahrungsdauer.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) i. V. m. § 25 Abs. 1 TDDDG. Das gtag.js-Skript wird nur geladen, wenn Sie im Cookie-Banner die Kategorie „Statistik“ ausdrücklich aktiviert haben. Ohne Einwilligung findet in Ihrem Browser weder ein Script-Load noch ein Cookie-Setzen statt.
Serverseitige Conversion-Ereignisse (Measurement Protocol): Bestimmte Ereignisse mit Zahlungsbezug (Kaufabschluss, Trial-Start, Trial-Umwandlung) entstehen technisch nicht in Ihrem Browser, sondern im Zahlungsvorgang auf unseren Servern. Diese Ereignisse übermitteln wir serverseitig über das Google Analytics Measurement Protocol an Google — ausschließlich dann, wenn die Kontoinhaberin bzw. der Kontoinhaber der Organisation die Kategorie „Statistik“ im Cookie-Banner aktiviert hat. Übermittelt werden dabei nur eine pseudonyme Kennung der Organisation (Zufalls-UUID), der Ereignistyp, der gewählte Tarif und der Umsatzwert — keine Namen, E-Mail-Adressen, IP-Adressen oder Zahlungsdaten; eine Verwendung für personalisierte Werbung ist deaktiviert (non_personalized_ads). Da hierbei nicht auf Ihr Endgerät zugegriffen wird, ist § 25 TDDDG nicht einschlägig. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Der Widerruf über die „Cookie-Einstellungen“ im Seitenfuß wirkt auch für diese serverseitige Übermittlung: Nach dem Widerruf werden keine weiteren Ereignisse gesendet.
Speicherdauer beim Anbieter: Ereignisbezogene Nutzerdaten werden gemäß unseren Konto-Einstellungen nach maximal 14 Monaten automatisch gelöscht; aggregierte Berichte können länger aufbewahrt werden.
Widerruf: Sie können Ihre Einwilligung jederzeit widerrufen — über den Link „Cookie-Einstellungen“ im Seitenfuß oder durch Löschen des Eintrags shiftdesk_consent_v1 in Ihrem Browser-Speicher. Nach dem Widerruf wird das Google-Analytics-Skript nicht mehr geladen. Bereits gesetzte Cookies (_ga, _ga_*) können Sie in den Browsereinstellungen löschen.
Drittlandübermittlung: Google LLC (USA) ist im EU-US Data Privacy Framework zertifiziert; Google Ireland Limited ist Verantwortlicher im Sinne der EU-DSGVO (siehe Ziffer 7).
Nachweis der Einwilligung (Art. 7 Abs. 1 DSGVO): Wir protokollieren Ihre Cookie-Entscheidung serverseitig in einer internen Tabelle (consent_log) mit den Feldern Einwilligungs-ID (Zufallswert), Bannerversion, Version dieser Datenschutzerklärung, getroffene Kategorien-Auswahl, Quelle (Banner, Einstellungen oder Widerruf) und Zeitstempel. IP-Adresse und User-Agent werden dabei ausdrücklich nicht gespeichert. Sind Sie beim Treffen der Entscheidung in Ihrem Shiftdesk-Konto angemeldet, speichern wir zusätzlich die Konto- und Organisations-Referenz, damit wir Ihre Entscheidung kontobezogen umsetzen können — insbesondere für die oben beschriebenen serverseitigen Conversion-Ereignisse. Aufbewahrungsdauer: drei Jahre (Verjährungsfrist datenschutzrechtlicher Ansprüche).
4.2c Google Ads Conversion-Messung (einwilligungsbasiert, Kategorie „Marketing“)
Wenn Sie im Cookie-Banner zusätzlich die Kategorie „Marketing“ aktivieren, nutzen wir Google Analytics 4 auch zur Erfolgsmessung unserer Google-Ads-Anzeigen (Conversion-Messung). Dazu setzen wir über den Google Consent Mode die Signale ad_storage und ad_user_data auf „granted“. Google kann dann einen Klick auf eine unserer Anzeigen (Klick-Kennung gclid und Cookies wie _gcl_au) mit einer späteren Registrierung oder Buchung auf shiftdesk.app verknüpfen. Wir erfahren dadurch nur, welche Anzeigen zu Anmeldungen führen; es kommen keine neuen Datenkategorien gegenüber Ziffer 4.2b hinzu.
Personalisierte Werbung bleibt deaktiviert: Das Signal ad_personalization steht dauerhaft auf „denied“; es werden keine Remarketing-Zielgruppen gebildet. Ohne Marketing-Einwilligung übermitteln wir keine Werbesignale. Vor Ihrer Entscheidung im Banner lädt kein Google-Skript, und es werden auch keine cookielosen Pings gesendet (Consent Mode „Basic“).
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) i. V. m. § 25 Abs. 1 TDDDG. Die Kategorie „Marketing“ ist nicht vorangehakt und kann unabhängig von der Kategorie „Statistik“ abgelehnt werden.
Widerruf: Sie können Ihre Einwilligung jederzeit widerrufen — über den Link „Cookie-Einstellungen“ im Seitenfuß. Nach dem Widerruf setzen wir die Werbesignale auf „denied“ und löschen gesetzte Werbe-Cookies (_gcl_*) in Ihrem Browser.
Drittlandübermittlung: Es gelten die Angaben zu Google in Ziffer 4.2b (EU-US Data Privacy Framework, Google Ireland Limited).
4.3 Kontaktaufnahme
Wenn Sie uns per E-Mail kontaktieren, verarbeiten wir Ihre Angaben (mindestens: E-Mail-Adresse, Nachrichtentext; optional: Name, Telefon, Firma) zur Bearbeitung Ihrer Anfrage.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Anbahnung eines Vertrages) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beantwortung allgemeiner Anfragen).
Speicherdauer: bis zum Abschluss des Anliegens; darüber hinaus nur, soweit handels- oder steuerrechtliche Aufbewahrungspflichten (6–8 Jahre nach HGB/AO in der seit 2025 geltenden Fassung) bestehen.
4.4a Terminbuchung und Online-Demo
Über unsere Seite shiftdesk.app/termin-buchen sowie über nicht öffentlich gelistete Einladungslinks können Sie einen kostenlosen, unverbindlichen Demo- oder Beratungstermin buchen. Wir verarbeiten Ihre Angaben, um den Termin zu vereinbaren, durchzuführen und nachzubereiten.
Verarbeitete Daten: Vor- und Nachname, E-Mail-Adresse, der gewählte Terminzeitpunkt sowie Ihre Antworten auf die terminbezogenen Fragen (z. B. Unternehmen, Branche, Mitarbeiterzahl, Telefonnummer, Ihre Fragestellung zur Dienstplanung/Zeiterfassung). Zur Spam- und Missbrauchsabwehr erfassen und speichern wir zudem die IP-Adresse, von der die Buchung abgesendet wurde.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Durchführung vorvertraglicher Maßnahmen auf Ihre Anfrage) für die Terminabwicklung; Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Sicherheit und Missbrauchsabwehr) für die Speicherung der IP-Adresse und den Bot-Schutz.
Empfänger: Zur Terminverwaltung und für das Videogespräch übermitteln wir ausschließlich Ihren Namen, Ihre E-Mail-Adresse und die Terminzeit an Google Workspace (Kalender/Meet) der Google Ireland Limited; Ihre Antworten auf die Buchungsfragen werden nicht an Google übertragen. Google sendet Ihnen zusätzlich eine Kalendereinladung. Für den Versand der Termin-Bestätigung (inklusive Kalenderdatei), der Erinnerungen und der Nachbereitung setzen wir Resend, Inc. ein. Die Buchungsdaten werden bei Supabase in der EU-Region (Frankfurt) gespeichert. Einzelheiten zu allen Empfängern finden Sie in der Auftragsverarbeiter-Übersicht (Abschnitt 6).
Drittlandübermittlung: Google Ireland Limited verarbeitet im EU-/EWR-Raum; Konzern-Übermittlungen in die USA erfolgen auf Grundlage von Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO), Google LLC ist zusätzlich EU-US-Data-Privacy-Framework-zertifiziert. Resend, Inc. (USA): Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO.
Speicherdauer: Buchungsdaten und Ihre Antworten speichern wir bis zu 12 Monate nach dem Termin, um Rückfragen zu beantworten und die Beratung fortzuführen; danach werden sie gelöscht oder anonymisiert. Die zur Buchung erfasste IP-Adresse speichern wir nur, solange dies zur Missbrauchsabwehr erforderlich ist. Kommt es aus dem Termin zu einem Vertrag, gelten anschließend die handels- und steuerrechtlichen Aufbewahrungsfristen.
4.4 Newsletter-Versand (Brevo / Sendinblue)
Auf unserer Website — insbesondere auf der Lead-Magnet-Seite /vorlagen/dienstplan — bieten wir die Möglichkeit, sich für einen kostenlosen Newsletter anzumelden, der Dienstplan-Vorlagen und begleitende Tipps per E-Mail ausliefert. Für den Versand setzen wir den Dienstleister Brevo (Sendinblue SAS), 7 rue de Madrid, 75008 Paris, Frankreich ein.
Verarbeitete Daten: E-Mail-Adresse, optional Vorname, Zeitpunkt der Anmeldung, Quelle der Anmeldung (LEAD_SOURCE), Status des Double-Opt-in.
Double-Opt-in-Verfahren: Wir setzen ein zweistufiges Anmeldeverfahren ein. Nach Absenden des Anmeldeformulars erhalten Sie eine Bestätigungsmail mit einem einmaligen Bestätigungslink. Erst mit dem Klick auf diesen Link nehmen wir Sie in den Verteiler auf und starten die Willkommens-Sequenz. Ohne Bestätigung wird der Eintrag nicht weiterverarbeitet.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung), erteilt durch aktives Ankreuzen der Einwilligungs-Checkbox im Anmeldeformular und Bestätigung per Double-Opt-in.
Widerruf: Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. In jeder Newsletter-E-Mail befindet sich ein Abmelde-Link. Nach Abmeldung wird Ihr Eintrag bei Brevo gelöscht. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt.
Speicherdauer: bis zum Widerruf der Einwilligung. Bei bestätigten Anmeldungen protokollieren wir Zeitpunkt und IP-Adresse der Bestätigung als Nachweis der Einwilligung gemäß Art. 7 Abs. 1 DSGVO.
Server-Standort: Brevo verarbeitet die Daten ausschließlich innerhalb der Europäischen Union (Paris, Frankreich). Mit Brevo besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO (enthalten als Appendix der Brevo-Nutzungsbedingungen).
Weitere Informationen zum Datenschutz bei Brevo finden Sie unter brevo.com/de/legal/privacypolicy.
4.5 Partnerprogramm (Affiliate)
Shiftdesk betreibt ein Partnerprogramm, über das Vermittlungspartner Kundinnen und Kunden empfehlen können (Partnerbedingungen). In diesem Rahmen finden die folgenden Verarbeitungen statt.
4.5.1 Partner-Bewerbung
Bei einer Bewerbung über shiftdesk.app/partnerprogramm verarbeiten wir: Vor- und Nachname, optional Firma/Marke, E-Mail-Adresse, optional Website, Partner-Kategorie, optional Angaben zu Zielgruppe, Reichweite und geplanter Bewerbung sowie eine optionale Nachricht. Zusätzlich protokollieren wir den Zeitpunkt der Annahme der Partnerbedingungen und der Kenntnisnahme dieser Datenschutzhinweise.
Zweck: Prüfung der Bewerbung und Entscheidung über die Aufnahme in das Partnerprogramm. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen). Speicherdauer: Bei Ablehnung werden die Bewerbungsdaten sechs (6) Monate nach der Entscheidung gelöscht; bei Annahme werden sie in das Partnerkonto übernommen und für die Dauer des Partnervertrags gespeichert.
4.5.2 Empfehlungs-Tracking (Referral-Cookie)
Klicken Sie auf den Empfehlungslink eines Partners, setzen wir einen First-Party-Cookie (sd_ref), der den empfehlenden Partner und den Klick-Zeitpunkt enthält (kryptografisch signiert, httpOnly, Standard-Laufzeit 60 Tage; das konkrete Attributionsfenster kann je Partner abweichen). Der Cookie dient ausschließlich dazu, bei einer späteren Registrierung die Vermittlung dem Partner für dessen Vergütungsabrechnung zuzuordnen. Es findet kein Profiling, keine seitenübergreifende Nachverfolgung und keine Weitergabe an Werbenetzwerke statt.
Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TDDDG (unbedingt erforderlich), da der Cookie ausschließlich durch Ihren aktiven Klick auf einen Empfehlungslink gesetzt wird und allein der Abrechnung des von Ihnen gewählten Vermittlungswegs dient; für die Verarbeitung im Übrigen Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der vertragsgemäßen Vergütung unserer Partner). Sie können den Cookie jederzeit in Ihren Browser-Einstellungen löschen.
Klick-Statistik: Beim Klick auf einen Empfehlungslink speichern wir zur Missbrauchs-Erkennung und Reichweiten-Zählung einen täglich rotierenden, nicht rückrechenbaren Hashwert (gebildet aus IP-Adresse, Browser-Kennung und Tagesdatum), die aufgerufene Seite und etwaige Kampagnen-Parameter. IP-Adresse und Browser-Kennung selbst werden nicht gespeichert; eine Verkettung über mehrere Tage ist durch die tägliche Rotation ausgeschlossen. Klick-Datensätze werden nach 90 Tagen automatisch gelöscht.
Hinweis für geworbene Kundinnen und Kunden: Der empfehlende Partner erhält eine Provision. Ihre Identität wird dem Partner gegenüber nicht offengelegt — geworbene Kunden erscheinen im Partner-Dashboard ausschließlich pseudonymisiert (z. B. „Kunde #a1b2c3d4“) mit Status- und Provisionsinformationen ohne Namens-, Firmen- oder Kontaktangaben.
4.5.3 Partner-Vertrags-, Steuer- und Auszahlungsdaten
Von freigeschalteten Partnern verarbeiten wir zur Durchführung des Partnervertrags: rechtlicher Name, Anschrift, Rechtsform, umsatzsteuerlicher Status, Steuernummer bzw. USt-IdNr., Bankverbindung (IBAN, Kontoinhaber) sowie die Provisionsdaten (vermittelte Abschlüsse, Gutschriften, Auszahlungen).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung) sowie Art. 6 Abs. 1 lit. c DSGVO (steuer- und handelsrechtliche Pflichten, insbesondere § 14 UStG für Provisionsgutschriften). Speicherdauer: für die Dauer des Partnervertrags; Provisionsgutschriften und zugehörige Abrechnungsdaten als Buchungsbelege 8 Jahre (§ 147 Abs. 3 AO, § 257 Abs. 4 HGB in der seit 2025 geltenden Fassung).
5. Datenverarbeitung in der Anwendung (Shiftdesk-Dienst)
5.1 Abgrenzung Verantwortlicher / Auftragsverarbeiter
Für personenbezogene Daten, die unsere Kunden (Arbeitgeber) in Shiftdesk über sich selbst, ihre Mitarbeitenden oder Dritte einpflegen, ist der Kunde Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO. Wir verarbeiten diese Daten ausschließlich weisungsgebunden im Rahmen eines Auftragsverarbeitungsvertrages (AVV) gemäß Art. 28 DSGVO.
Der nachstehende Abschnitt beschreibt die Verarbeitungen, für die wir entweder selbst Verantwortliche sind (z. B. Account-Registrierung des Kunden) oder die wir im Auftrag unserer Kunden durchführen.
5.2 Registrierung und Anmeldung
Für die Nutzung von Shiftdesk ist ein Nutzerkonto erforderlich. Bei der Registrierung verarbeiten wir:
- E-Mail-Adresse
- Passwort (ausschließlich als kryptografischer Hash)
- Vor- und Nachname
- Organisationsname
- Zeitpunkt der Registrierung, letzter Login
- Gegebenenfalls MFA-Faktoren (z. B. TOTP-Secret)
Zweck: Bereitstellung des Nutzerkontos, Authentifizierung, Schutz vor unbefugtem Zugriff.
Nachweis des Vertragsschlusses: Bei der Registrierung protokollieren wir die aktive Annahme der AGB und des Auftragsverarbeitungsvertrags mit Zeitpunkt, den jeweiligen Dokumentversionen und der IP-Adresse zum Zeitpunkt der Annahme (Beweissicherung für den Vertragsschluss).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (IT-Sicherheit, insbesondere MFA; Beweissicherung des Vertragsschlusses).
Speicherdauer: für die Dauer der Vertragsbeziehung sowie anschließend für die Dauer der gesetzlichen Aufbewahrungsfristen (Rechnungen und Buchungsbelege: 8 Jahre nach § 147 Abs. 3 AO, § 257 Abs. 4 HGB in der seit 2025 geltenden Fassung). Authentifizierungs-Logs: 90 Tage.
5.3 Personalstammdaten (im Auftrag des Kunden)
Im Auftrag des Kunden verarbeiten wir folgende Kategorien personenbezogener Daten von Beschäftigten des Kunden sowie — soweit der Kunde sie im Dienst führt — von Bewerberinnen und Bewerbern und freien Mitarbeitenden:
- Stammdaten: Name, Anschrift, Geburtsdatum, Kontaktdaten
- Beschäftigungsdaten: Vertragsart, Arbeitszeit, Stundenlohn, Qualifikationen, Rollen
- Bankverbindung (optional, benutzerdefiniertes Feld)
- Steuerliche Merkmale (optional, benutzerdefiniertes Feld)
- Besondere Kategorien nach Art. 9 DSGVO, insbesondere Abwesenheitsgründe mit Gesundheitsbezug (siehe 5.5)
Zweck: Personalverwaltung, Dienstplanung, Zeiterfassung, Lohnvorbereitung durch den Kunden.
Rechtsgrundlage (Rolle des Kunden als Verantwortlicher): § 26 Abs. 1 BDSG (Beschäftigtendatenverarbeitung) i. V. m. Art. 6 Abs. 1 lit. b, lit. c und ggf. lit. f DSGVO; für besondere Kategorien zusätzlich Art. 9 Abs. 2 lit. b DSGVO i. V. m. § 26 Abs. 3 BDSG.
Unsere Rolle: Auftragsverarbeiterin nach Art. 28 DSGVO.
5.4 Zeiterfassung (einschließlich optionaler GPS-Daten)
Zur Erfassung von Arbeitszeiten werden Zeitpunkte des Arbeitsbeginns, des Arbeitsendes und von Pausen einschließlich der Geräte-IP zum Zeitpunkt der Buchung verarbeitet.
Standortdaten werden nur verarbeitet, wenn der Kunde diese Funktion für eine Arbeitsstätte ausdrücklich aktiviert hat. In diesem Fall kann Shiftdesk beim Ein- und Ausstempeln die GPS-Position des Endgeräts zum konkreten Zeitpunkt des Stempelvorgangs verarbeiten. Eine dauerhafte Standortverfolgung, Hintergrundortung oder Erstellung von Bewegungsprofilen findet nicht statt.
Zweck: Erfüllung der arbeitszeitrechtlichen Aufzeichnungspflicht (BAG, Beschluss vom 13.09.2022 — 1 ABR 22/21; Umsetzung der EuGH-Rechtsprechung C-55/18), Lohnvorbereitung, Einhaltung ArbZG. Zweck der Standorterfassung ist ausschließlich die Plausibilisierung, ob ein Stempelvorgang an oder in der Nähe eines vom Kunden definierten Arbeitsortes erfolgt.
Verantwortlichkeit für die Standorterfassung: Die Entscheidung, ob und in welchen Betrieben Standortdaten verarbeitet werden, trifft ausschließlich der Kunde als Arbeitgeber und Verantwortlicher. Shiftdesk verarbeitet Standortdaten insoweit ausschließlich als Auftragsverarbeiterin nach Weisung des Kunden.
Geofence-Prüfung und Ablehnung: Sofern der Kunde die Standortprüfung für eine Arbeitsstätte aktiviert hat, berechnet Shiftdesk beim Stempelvorgang die Distanz zwischen dem aktuellen Endgerät-Standort und dem vom Kunden hinterlegten Mittelpunkt der Arbeitsstätte. Liegt die Distanz außerhalb des vom Kunden konfigurierten Radius (typischerweise 50–2000 Meter), wird der Stempelvorgang abgelehnt. Die Position wird in diesem Fall ausschließlich für die direkte Plausibilitätsprüfung herangezogen und nicht persistiert.
Adress-Geocoding: Damit der Kunde beim Aktivieren der Standortprüfung keine geographischen Koordinaten manuell ermitteln muss, kann Shiftdesk die Stamm-Adresse einer Filiale serverseitig an OpenStreetMap Nominatim (Betreiber: OpenStreetMap Foundation, Vereinigtes Königreich) übermitteln. Übertragen wird ausschließlich die Adresse der Arbeitsstätte (Straße, Postleitzahl, Stadt, Land); Personendaten von Beschäftigten werden nicht übermittelt. Das Vereinigte Königreich verfügt über einen Angemessenheitsbeschluss der EU-Kommission vom 28.06.2021; ein Drittlandtransfer im Sinne des Art. 44 ff. DSGVO findet damit nicht statt. Die Geocoding-Anfrage erfolgt einmalig beim Aktivieren der Standortprüfung; das Ergebnis (lat/lng) wird in der Datenbank des Kunden gespeichert und für nachfolgende Stempelvorgänge wiederverwendet, ohne erneute Übermittlung an Nominatim. Der Kunde kann die Koordinaten alternativ manuell festlegen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO i. V. m. § 16 Abs. 2 ArbZG, § 26 Abs. 1 BDSG. Auf Seiten des Kunden ist die Rechtsgrundlage für die Standorterfassung abhängig vom konkreten Einsatzszenario insbesondere § 26 Abs. 1 BDSG i. V. m. Art. 6 Abs. 1 lit. f DSGVO oder Art. 6 Abs. 1 lit. c DSGVO, soweit die Verarbeitung zur ordnungsgemäßen Arbeitszeiterfassung erforderlich ist. Eine Einwilligung von Beschäftigten kommt im Arbeitsverhältnis nur ausnahmsweise in Betracht, wenn sie freiwillig, informiert, widerruflich und nachweisbar erteilt wird. Shiftdesk empfiehlt Kunden nicht, die Standorterfassung allein auf eine Beschäftigteneinwilligung zu stützen, ohne dies im Einzelfall rechtlich zu prüfen.
Vorabprüfung durch den Kunden: Der Kunde hat vor Aktivierung eigenständig zu prüfen, ob die Standorterfassung erforderlich und verhältnismäßig ist, ob mildere Mittel ausreichen und ob Informationspflichten gegenüber Beschäftigten sowie gegebenenfalls Mitbestimmungsrechte des Betriebsrats — insbesondere nach § 87 Abs. 1 Nr. 6 BetrVG — zu beachten sind. Shiftdesk verlangt produktseitig eine entsprechende Bestätigung pro Standort, bevor die Funktion freigeschaltet wird.
Speicherdauer: 2 Jahre gemäß § 16 Abs. 2 ArbZG; längere Aufbewahrung bei lohn- oder sozialversicherungsrechtlich relevanten Daten nach § 41 Abs. 1 EStG (6 Jahre) bzw. bis zum Ende des auf die Prüfung folgenden Kalenderjahres (§ 28f SGB IV).
5.5 Abwesenheitsverwaltung (Art. 9 DSGVO)
Shiftdesk ermöglicht die Erfassung von Abwesenheitsarten wie Urlaub, Krankheit, Mutterschutz und Elternzeit. Der Abwesenheitsgrund „Krank“ sowie mutterschutz- und elternzeitbezogene Angaben sind besondere Kategorien personenbezogener Daten gemäß Art. 9 Abs. 1 DSGVO (Gesundheitsdaten).
Shiftdesk ist darauf ausgelegt, bei krankheitsbezogenen Abwesenheiten grundsätzlich nur die Abwesenheitsart und den Zeitraum zu verarbeiten. Diagnosen, konkrete Krankheitsbilder, ärztliche Befunde oder sonstige medizinische Details sollen nicht eingetragen werden. Soweit der Kunde Freitextfelder oder Dokumenten-Uploads nutzt, ist der Kunde als Verantwortlicher verpflichtet, die Erforderlichkeit, Zugriffsbeschränkung und Speicherdauer dieser Angaben zu prüfen.
Die Eingabemaske weist Nutzerinnen und Nutzer ausdrücklich darauf hin, dass keine Diagnosen oder medizinischen Details eingetragen werden sollen, sofern sie für den jeweiligen Zweck nicht zwingend erforderlich sind. Beim Hochladen von Dokumenten erscheint zusätzlich der Hinweis, nur erforderliche Dokumente hochzuladen und nicht erforderliche medizinische Angaben — soweit möglich — zu schwärzen.
Rechtsgrundlage:
- Art. 9 Abs. 2 lit. b DSGVO i. V. m. § 26 Abs. 3 BDSG (Rechte und Pflichten im Arbeitsrecht, z. B. Entgeltfortzahlung, Mutterschutz, BEEG) — primäre Grundlage.
- Art. 6 Abs. 1 lit. c DSGVO für die zugrunde liegende nicht-sensible Teilinformation.
Empfänger: Innerhalb der Organisation des Kunden der berechtigte Personenkreis (Personalabteilung, Dienstplanverantwortliche). Keine Weitergabe an Dritte außerhalb der vom Kunden gewählten Zwecke (z. B. DATEV-Export, siehe 5.7).
Zugriffsbeschränkung: Gesundheitsbezogene Abwesenheitsdaten sind innerhalb von Shiftdesk rollenbasiert zugriffsbeschränkt. Technische und organisatorische Maßnahmen (TOM) siehe Anlage zum Auftragsverarbeitungsvertrag.
5.6 Arbeitszeitrechtliche Prüfungen (ArbZG-Validierung)
Shiftdesk prüft eingegebene Dienstpläne und Zeitbuchungen automatisiert auf die Einhaltung gesetzlicher Vorgaben nach Arbeitszeitgesetz (ArbZG), Mutterschutzgesetz (MuSchG) und Jugendarbeitsschutzgesetz (JArbSchG) und zeigt dem Planer entsprechende Warnungen an (z. B. zur täglichen Höchstarbeitszeit, Ruhezeit, Pausen).
Es findet keine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO statt. Die Prüfung hat ausschließlich informatorischen Charakter; sämtliche Entscheidungen über Dienstpläne, Arbeitszeiten oder arbeitsrechtliche Maßnahmen trifft der Arbeitgeber durch natürliche Personen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b, lit. c DSGVO i. V. m. § 26 BDSG und den jeweils genannten arbeitsrechtlichen Vorschriften.
5.7 Lohnvorbereitung und DATEV-Export
Shiftdesk bietet den Export von Lohnvorbereitungsdaten (z. B. im DATEV-LODAS- oder Lohn-und-Gehalt-Format) an. Der Export wird vom Kunden oder — nach ausdrücklicher Freigabe durch den Kunden — von dessen Steuerberater bzw. Lohnbüro über das Kanzlei-Portal ausgelöst (Abschnitt 5.7a). Die Datei wird entweder direkt heruntergeladen oder über den DATEV Lohnimportdatenservice an das DATEV-Rechenzentrum übermittelt, wo sie von der Kanzlei in deren Lohnsystem übernommen wird.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b, lit. c DSGVO (Lohnabrechnungspflichten) sowie § 26 Abs. 1 BDSG. Die Verantwortlichkeit für die Übermittlung an einen Steuerberater, ein Lohnbüro oder an DATEV liegt beim Kunden (Arbeitgeber); die DATEV eG ist dabei Empfängerin im Auftrag des Mandatsverhältnisses zwischen Kunde und Kanzlei.
5.7a Kanzlei-Portal (Steuerberater-Zugang)
Kunden können ihrem Steuerberater oder Lohnbüro über ein separates Kanzlei-Portal Zugriff auf die lohnrelevanten Daten ihres Unternehmens freigeben. Für die eingeladene Kanzlei wird dabei ein Berater-Konto angelegt (Vor- und Nachname, E-Mail-Adresse, optional Kanzleiname). Der Zugriff umfasst ausschließlich lohnrelevante Daten (Lohnjournal, Arbeitszeiten, Zuschläge, Abwesenheiten als Kategorien und Tage ohne Freitext-Notizen, Stundenkonten, Personalnummern); Beschäftigtendaten sind für die Kanzlei nur lesend verfügbar. Zusätzlich kann die Kanzlei die Lohnübergabe-Konfiguration (DATEV-Lohnarten, Kostenstellen-Codes, Exportformat) pflegen, Exporte erzeugen und vom Kunden abgeschlossene Abrechnungsmonate an das DATEV-Rechenzentrum übermitteln. Steuerberater sind für die Verarbeitung im Mandat datenschutzrechtlich regelmäßig eigenständig verantwortlich.
Zugriffe, Exporte, Konfigurationsänderungen und DATEV-Übermittlungen der Kanzlei werden zu Nachweiszwecken protokolliert (Zeitpunkt, Aktion, betroffener Zeitraum, IP-Adresse). Das Protokoll dient dem Nachweis der Zugriffskontrolle über Beschäftigtendaten und wird für drei Jahre gespeichert und anschließend gelöscht.
Rechtsgrundlage: Für das Berater-Konto und die Portalnutzung Art. 6 Abs. 1 lit. b DSGVO; für das Zugriffs- und Übermittlungsprotokoll einschließlich IP-Adresse Art. 6 Abs. 1 lit. f DSGVO in Verbindung mit Art. 32 DSGVO (Nachweis- und Sicherheitsinteresse). Die Entscheidung über Freigabe und Widerruf liegt beim Kunden (Arbeitgeber).
5.8 Audit-Logs und Fälschungssicherheit
Zur Erfüllung der Anforderungen an Integrität und Nachvollziehbarkeit (insbesondere aus § 16 ArbZG, § 147 AO, Grundsätze ordnungsgemäßer Buchführung und DSGVO Art. 5 Abs. 1 lit. f, Art. 32) protokollieren wir sicherheitsrelevante Vorgänge (z. B. Anmeldungen, Änderungen an Zeitbuchungen, Exporte) in einem Audit-Log mit Zeitstempel und Benutzerreferenz.
Rechtsgrundlage: Art. 6 Abs. 1 lit. c und lit. f DSGVO.
Speicherdauer: 6 Jahre in Anlehnung an § 257 HGB / § 147 AO.
5.9 Mobile Apps (iOS und Android)
Die Shiftdesk-Funktionen sind zusätzlich über native Apps für iOS (App Store) und Android (Google Play) verfügbar. Die nachfolgenden Ausführungen beschreiben die zusätzlich oder abweichend von der Webanwendung stattfindende Datenverarbeitung. Alle anderen in Abschnitt 5 beschriebenen Verarbeitungen (insbesondere Zeiterfassung 5.4, Abwesenheitsverwaltung 5.5 und Audit-Logs 5.8) gelten auch für die mobilen Anwendungen.
5.9.1 Gerätekennung und Plattform-Identifikatoren
Beim Start der mobilen Anwendung übermittelt das Betriebssystem an uns technische Merkmale zur Abwicklung der Kommunikation: Betriebssystem und -version, App-Version, Gerätetyp (Fabrikat und Modell) sowie eine plattformseitig vergebene Installations-Identifikation (Android: Firebase Installation ID; iOS: Vendor-ID „identifierForVendor“). Apple-Werbeidentifikatoren (IDFA) werden nicht erhoben; das App-Tracking-Transparency-Framework wird nicht ausgelöst.
Zweck: Fehleranalyse, Zuordnung von Push-Tokens, Kompatibilitätsprüfung bei App-Updates.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung); für die technische Speicherung des Installations-Identifikators auf dem Endgerät zusätzlich § 25 Abs. 2 Nr. 2 TDDDG (unbedingt erforderlicher Zugriff zur Bereitstellung des ausdrücklich angeforderten Telemedien-Dienstes).
5.9.2 Push-Benachrichtigungen
Zur Zustellung von Push-Benachrichtigungen (z. B. neue Nachrichten im Team-Chat, Schichtänderungen, Freigabe-Anforderungen) registrieren wir auf dem Endgerät ein plattformspezifisches Token. Das Token wird an den Push-Dienst des Betriebssystems übergeben (Apple Push Notification service „APNs“ für iOS; Firebase Cloud Messaging „FCM“ für Android). Der Versand an APNs / FCM erfolgt über den Push-Relay-Dienst von Expo (Expo Push Service, Expo Application Services, Inc., 650 Castro Street, Mountain View, CA 94041, USA).
Zweck: Zustellung operativer Nachrichten innerhalb des Arbeitsverhältnisses.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung im Rahmen des vom Arbeitgeber eingesetzten Dienstes); für die Speicherung des Tokens auf dem Endgerät zusätzlich § 25 Abs. 2 Nr. 2 TDDDG.
Widerruf / Widerspruch: Push-Benachrichtigungen können jederzeit über die Systemeinstellungen des Endgeräts deaktiviert werden. Das Token wird dann beim nächsten App-Start serverseitig invalidiert.
Inhalt der Push-Texte: Push-Inhalte enthalten keine besonders sensiblen personenbezogenen Daten. Servergenerierte Benachrichtigungen zu Krankheit, Abwesenheit oder Personaldokumenten werden neutral formuliert (beispielsweise „Es liegt eine neue Abwesenheitsanfrage vor" statt Gesundheitsdetails im Push-Text). Inhalte aus Chat-Nachrichten werden im Push wiedergegeben, damit der Empfänger die Mitteilung in der Vorschau erkennen kann; sensible Inhalte sollten daher von Beschäftigten nicht über den App-Chat versandt werden.
Drittlandtransfer: APNs und FCM werden von Apple Inc. bzw. Google LLC (beide USA) betrieben. Der Transfer stützt sich auf den EU-US Data Privacy Framework (Angemessenheitsbeschluss der EU-Kommission vom 10.07.2023). Für den Expo Push Service bestehen zusätzlich Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO.
5.9.3 Standortdaten in der Mobile App
Die mobile App kann, wenn vom Arbeitgeber für die jeweilige Arbeitsstätte aktiviert, die GPS-Position zum Zeitpunkt des Clock-In oder Clock-Out erfassen. Details zu Rechtsgrundlage, Zweck und Speicherdauer siehe Abschnitt 5.4.
Die Berechtigung „Standort bei Nutzung der App“ wird beim erstmaligen Einstempeln durch das Betriebssystem abgefragt. Die App fordert keinen Hintergrund-Standortzugriff an. Bei aktivierter Standortprüfung kann das Ein- oder Ausstempeln außerhalb des vom Arbeitgeber festgelegten Radius oder ohne Standortfreigabe abgelehnt werden. Eine Hintergrundortung oder dauerhafte Standortverfolgung findet nicht statt.
5.9.4 Kamera- und Fotobibliothek-Zugriff
Für das Versenden von Bildern innerhalb des Team-Chats sowie das Hochladen von Personaldokumenten (z. B. Krankmeldungen, sofern vom Arbeitgeber zugelassen) fordert die App Zugriff auf die Kamera und die Fotobibliothek an. Der Zugriff erfolgt ereignisgesteuert jeweils erst nach aktiver Nutzerhandlung („Foto aufnehmen“, „Bild auswählen“).
Zweck: Übermittlung vom Nutzer ausgewählter Inhalte an den Team-Chat bzw. das Personaldokumenten-Modul.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung, ausgedrückt durch die aktive Auswahl eines Bildes) sowie Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Hinweis: Es werden ausschließlich die vom Nutzer konkret ausgewählten Dateien übertragen. Ein breiter Scan der Fotobibliothek findet nicht statt.
5.9.5 Lokale Speicherung auf dem Endgerät
Die App speichert zur Aufrechterhaltung des Login-Status einen Authentifizierungs-Token in einem durch das Betriebssystem verwalteten, verschlüsselten Schlüsselspeicher (iOS Keychain über expo-secure-store; Android EncryptedSharedPreferences). Zusätzlich legt die App lokal einen Cache für Schichtpläne, Nachrichten und heruntergeladene Dokumente an, damit Inhalte auch ohne Netzwerkverbindung verfügbar bleiben.
Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TDDDG i. V. m. Art. 6 Abs. 1 lit. b DSGVO.
Löschung: Alle lokal gespeicherten Daten werden automatisch entfernt, sobald sich der Nutzer abmeldet oder die App deinstalliert wird.
Geteilte oder dienstliche Endgeräte: Bei gemeinsam genutzten oder dienstlichen Endgeräten sollten Nutzer sich nach der Nutzung abmelden. Der Kunde ist verantwortlich, geeignete Vorgaben zur Nutzung dienstlicher oder privater Endgeräte zu treffen.
5.9.6 Deep-Links
Die App registriert das URL-Schema shiftdesk:// sowie — sofern konfiguriert — Universal Links auf die Domainshiftdesk.app, um Links aus E-Mails und Benachrichtigungen direkt im entsprechenden App-Bereich zu öffnen. Es werden dabei keine zusätzlichen personenbezogenen Daten erhoben.
5.9.7 Keine Nutzungsanalyse in der App
Die mobilen Apps setzen kein Analyse- oder Tracking-SDK ein (kein Google Analytics, kein Firebase Analytics, kein Crashlytics, kein Sentry Mobile). Es finden keine Werbemessungen und kein Profiling zum Zweck der Reichweitenmessung statt.
5.10 Kiosk-/Terminal-Modus (gemeinsames Stempel-Terminal)
Aktiviert der Arbeitgeber den Kiosk-Modus, wird ein fest aufgestelltes Tablet zum gemeinsamen Stempel-Terminal. Am Terminal werden — je nach Konfiguration des Arbeitgebers — Vorname und Namensinitiale, die Mitarbeiternummer und, sofern der Arbeitgeber dies ausdrücklich aktiviert, das Profilfoto der stempelberechtigten Beschäftigten angezeigt, damit diese sich auswählen und per persönlicher PIN ein- und ausstempeln können.
Unsere Rolle: Auftragsverarbeiterin nach Art. 28 DSGVO. Verantwortlicher für die Anzeige dieser Beschäftigtendaten am Terminal, für dessen Aufstellort und für die Information der Beschäftigten nach Art. 13 DSGVO ist der Arbeitgeber (Kunde).
Datensparsamkeit (Art. 5 Abs. 1 lit. c, Art. 25 DSGVO): Die Anzeige von Profilfotos ist standardmäßig deaktiviert (Privacy by Default) und wird serverseitig nur ausgeliefert, wenn der Arbeitgeber sie bewusst aktiviert. Für öffentlich zugängliche Aufstellorte steht ein Modus „Nur Mitarbeiternummer“ bereit, der weder Namen noch Fotos anzeigt. Profilbilder werden über kurzlebige, signierte Abruf-Links bereitgestellt.
Hinweis für Arbeitgeber: Beim Einsatz eines Stempel-Terminals können Mitbestimmungsrechte des Betriebsrats nach § 87 Abs. 1 Nr. 6 BetrVG zu beachten sein. Dies ist ein Hinweis, keine Rechtsberatung.
6. Auftragsverarbeiter und externe Dienste
Wir setzen zur Erbringung unserer Leistungen die nachfolgend aufgeführten Dienstleister ein. Diese sind je nach Datenkategorie und Verarbeitungszweck Auftragsverarbeiter im Sinne von Art. 28 DSGVO, eigene Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO oder technische Drittanbieter mit eng begrenzter Verarbeitungsfunktion (z. B. Plattform-Push-Dienste mit Token-Routing oder einmaliges Adress-Geocoding ohne Personenbezug).
Die Einträge, die Daten unserer Kunden (Auftraggeber) betreffen, finden sich — aus derselben technischen Quelle generiert — auch in Anlage 3 unseres Auftragsverarbeitungsvertrags (/avv#anlage-3). Dienste, die ausschließlich eigene Verarbeitungen von Shiftdesk betreffen (z. B. Newsletter, Abonnement-Abrechnung, Website-Reichweitenmessung), sind nur in der nachfolgenden Liste aufgeführt.
| Dienst | Anbieter | Rolle | Sitz / Region | Zweck und Datenkategorien | Übermittlungsgrundlage |
|---|---|---|---|---|---|
| Hosting (Frontend, Edge, Web Analytics) | Vercel Inc. | Auftragsverarbeiter (Art. 28 DSGVO) | USA (Unternehmenssitz); Hosting Frankfurt (Region fra1) | Bereitstellung der Website und Webanwendung; cookielose Reichweitenmessung via Vercel Web Analytics (Art. 6 Abs. 1 lit. f DSGVO) Daten: IP-Adresse, User-Agent, Request-Pfad, Performance-Metriken; bei Analytics zusätzlich Aggregate-Statistiken | EU-US Data Privacy Framework (Vercel Inc. ist DPF-zertifiziert) |
| Datenbank, Auth und Storage | Supabase Inc. | Auftragsverarbeiter (Art. 28 DSGVO) | USA (Unternehmenssitz); Hosting EU (Frankfurt) | Persistenz aller Anwendungsdaten, Authentifizierung, Storage für Personaldokumente und Chat-Anhänge Daten: Sämtliche im Dienst erfassten personenbezogenen Daten gemäß Abschnitt 5 | Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO (DPA mit SCC-Modulen inkl. UK-Addendum); Verarbeitung und Speicherung in der EU-Region (Frankfurt) |
| Transaktions-E-Mail | Resend, Inc. | Auftragsverarbeiter (Art. 28 DSGVO) | USA | Versand transaktionaler E-Mails (Account-Verifikation, Stripe-Belege, Schicht-Benachrichtigungen, Lösch-Bestätigungen) sowie der Terminbuchungs-E-Mails (Bestätigung, Erinnerung, Nachbereitung) Daten: E-Mail-Adresse, Anrede, transaktionsspezifischer Inhalt | Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO |
| E-Mail-Marketing (Newsletter, Lead-Funnel) | Sendinblue SAS (Marke Brevo) | Auftragsverarbeiter (Art. 28 DSGVO) | Frankreich (EU) | Versand des Newsletters und der Lead-Magnet-Sequenz inkl. Double-Opt-in (siehe Ziffer 4.4 der Datenschutzerklärung) Daten: E-Mail-Adresse, Anrede, Listen-Zugehörigkeit | EU-Inland — keine Drittlandsübermittlung |
| CDN, WAF und DDoS-Schutz | Cloudflare, Inc. | Auftragsverarbeiter (Art. 28 DSGVO) | USA (Unternehmenssitz); Edge-Server weltweit | Performance-Beschleunigung, Web Application Firewall, DDoS-Schutz Daten: IP-Adresse, User-Agent, Request-Metadaten | EU-US Data Privacy Framework (Cloudflare, Inc. ist DPF-zertifiziert) |
| Push-Benachrichtigungs-Relay (Mobile) | Expo Application Services, Inc. | Auftragsverarbeiter (Art. 28 DSGVO) | USA | Routing der Push-Benachrichtigungen von der Shiftdesk-Anwendung zu den Plattform-Push-Diensten APNs (iOS) und FCM (Android) Daten: Geräte-Token, Push-Inhalt (operative Schicht-/Nachrichten-Hinweise, ohne Gesundheitsdaten) | Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO |
| Error-Tracking | Sentry GmbH (EU-Region) / Functional Software, Inc. | Auftragsverarbeiter (Art. 28 DSGVO) | EU (Frankfurt) bei aktivierter EU-Region | Fehlerdiagnose und Stacktrace-Sammlung zur Stabilisierung der Anwendung. Erfasst werden Fehler-Stacktraces, anonymisierte Browser-/Geräte-Daten und eine pseudonyme User-ID (keine Mail-Adresse, kein Name). IP-Adressen werden vor der Speicherung anonymisiert; Auth-Tokens und Mail-Adressen in Stacktraces werden serverseitig redactiert. Kein Session-Replay aktiv. Daten: Fehler-Stacktraces, anonymisierte technische Geräte-/Browser-Daten, pseudonyme User-ID, Tenant-ID, Rolle | EU-Region: Verarbeitung im EU-Wirtschaftsraum. Konzern-Transfers in die USA via EU-US Data Privacy Framework und Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Anwendungs-Stabilität). |
| Zahlungsabwicklung | Stripe Payments Europe, Ltd. / Stripe, Inc. | Eigener Verantwortlicher (Art. 4 Nr. 7 DSGVO) | Irland (EU); USA (Konzernmutter) | Abonnement-Abrechnung der Shiftdesk-Tarife. Stripe ist für die Verarbeitung der Zahlungsdaten als eigener Verantwortlicher zuständig (PCI-DSS, Geldwäschegesetz, Steuerrecht). Daten: Rechnungsadresse, Zahlungsmittel-Metadaten (kein Klartext-Karteninhalt; Stripe-eigenes Tokenisierungs-Verfahren), Transaktionshistorie | Stripe Payments Europe Ltd. ist EU-Verantwortlicher; Konzern-Transfers in die USA via Standardvertragsklauseln und EU-US Data Privacy Framework |
| Reichweitenmessung Web (Google Analytics 4) | Google Ireland Limited (Konzernmutter: Google LLC) | Eigener Verantwortlicher (Art. 4 Nr. 7 DSGVO) | Irland (EU); USA (Konzernmutter und Verarbeitungs-Backend) | Einwilligungsbasierte Reichweitenmessung. Google handelt für Teile der Verarbeitung (z. B. Cross-Property-Aggregation, Sicherheits-Audits) als eigener Verantwortlicher. Daten: Aggregierte Nutzungsstatistiken, IP-Adresse (anonymisiert), Pseudonyme Client-ID Browser-Tracking und serverseitige Conversion-Ereignisse (Measurement Protocol) jeweils nur mit Statistik-Einwilligung (siehe Ziffer 4.2b der Datenschutzerklärung) | EU-US Data Privacy Framework (Google LLC ist DPF-zertifiziert) |
| Push-Notification-Service iOS | Apple Inc. | Technischer Drittanbieter | USA | Apple stellt die plattformseitige Push-Infrastruktur (Apple Push Notification service) bereit und verarbeitet hierfür insbesondere Geräte-Token und technische Zustellinformationen. Die Push-Inhalte werden durch Shiftdesk so gestaltet, dass keine Gesundheitsdaten oder sonstigen besonders sensiblen Inhalte enthalten sind. Daten: APNs-Device-Token, Push-Payload (operative Hinweise) Funktion: Push-Token-Routing | EU-US Data Privacy Framework (Apple Inc. ist DPF-zertifiziert) |
| Push-Notification-Service Android | Google LLC (Firebase Cloud Messaging) | Technischer Drittanbieter | USA | Google stellt die plattformseitige Push-Infrastruktur (Firebase Cloud Messaging) bereit und verarbeitet hierfür insbesondere Geräte-Token, eine Installations-ID und technische Zustellinformationen. Die Push-Inhalte werden durch Shiftdesk so gestaltet, dass keine Gesundheitsdaten oder sonstigen besonders sensiblen Inhalte enthalten sind. Daten: FCM-Token, Firebase Installation ID, Push-Payload (operative Hinweise) Funktion: Push-Token-Routing | EU-US Data Privacy Framework (Google LLC ist DPF-zertifiziert) |
| Adress-Geocoding (Standort-Aktivierung Compliance-Modal) | OpenStreetMap Foundation (Nominatim-Dienst) | Technischer Drittanbieter | Vereinigtes Königreich | Wenn der Kunde beim Aktivieren der Standortprüfung das automatische Geocoding nutzt, wird die Stamm-Adresse einer Filiale (Straße, Postleitzahl, Stadt, Land) einmalig an Nominatim übermittelt, um daraus geographische Koordinaten (Breiten- / Längengrad) zu ermitteln. Es werden keine Personendaten von Beschäftigten übermittelt; die Adresse selbst ist nicht personenbezogen. Das Ergebnis wird im Datenbestand des Kunden gespeichert und nicht erneut übertragen. Daten: Adresse einer Filiale (Straße, PLZ, Stadt, Land) Funktion: einmaliges Adress-Geocoding (kein Token-Routing) | Angemessenheitsbeschluss der EU-Kommission vom 28.06.2021 für das Vereinigte Königreich |
| Terminbuchung & Online-Meeting (Demo-/Beratungstermine) | Google Ireland Limited (Google Workspace; Konzernmutter: Google LLC) | Auftragsverarbeiter (Art. 28 DSGVO) | Irland (EU); USA (Konzernmutter und Verarbeitungs-Backend) | Verarbeitung der über die Shiftdesk-Webseite gebuchten Demo-/Beratungstermine in Google Kalender und Bereitstellung des Videotermins via Google Meet. Betrifft ausschließlich Interessenten-/Lead-Daten der Terminbuchung, keine Beschäftigtendaten von Kunden. Daten: Name, E-Mail-Adresse, Terminzeitpunkt, Event-Name, Meeting-Link Datenminimierung: an Google werden ausschließlich Name, E-Mail, Terminzeit, Event-Name und Meeting-Link übertragen — keine Antworten auf die Buchungsfragen. Der Kalender wird auf der öffentlichen Buchungsseite nicht eingebettet (serverseitige Anbindung). | Auftragsverarbeitung auf Basis der Google-Workspace-Datenschutz-Zusatzvereinbarung (Cloud Data Processing Addendum) mit Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO; Google LLC ist zudem EU-US Data Privacy Framework-zertifiziert. Rechtsgrundlage Art. 6 Abs. 1 lit. b DSGVO (Anbahnung/Durchführung). |
7. Drittlandtransfers
Einige der unter Ziffer 6 genannten Auftragsverarbeiter haben ihren Sitz in den Vereinigten Staaten oder übermitteln Daten in die USA. Für die USA besteht seit dem 10.07.2023 ein Angemessenheitsbeschluss der EU-Kommission auf Basis des EU-US Data Privacy Framework (DPF).
Soweit unsere Dienstleister unter dem DPF zertifiziert sind, erfolgt die Übermittlung auf Grundlage von Art. 45 DSGVO. Ist dies nicht der Fall, stützen wir die Übermittlung auf Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO (Durchführungsbeschluss (EU) 2021/914), ergänzt um technische und organisatorische Maßnahmen nach Maßgabe der Empfehlungen des EDSA.
Eine Kopie der Standardvertragsklauseln sowie Informationen über den Zertifizierungsstatus unserer Dienstleister stellen wir auf Anfrage unter support@shiftdesk.app zur Verfügung.
8. Speicherdauer (Übersicht)
| Datenkategorie | Dauer | Grundlage |
|---|---|---|
| Server-Logfiles | 14 Tage | Art. 6 Abs. 1 lit. f DSGVO |
| Account-Daten | Vertragsdauer + 8 Jahre (bei Rechnungsbezug) | § 147 Abs. 3 AO, § 257 Abs. 4 HGB (Fassung seit 2025) |
| Authentifizierungs-Logs | 90 Tage | Art. 32 DSGVO |
| Arbeitszeit-Aufzeichnungen | 2 Jahre | § 16 Abs. 2 ArbZG |
| Lohnrelevante Zeitdaten | 6 Jahre | § 41 Abs. 1 EStG |
| Audit-Logs | 6 Jahre | Art. 6 Abs. 1 lit. f DSGVO (Nachweis- und Integritätsinteresse); Fristbemessung in Orientierung an § 257 HGB |
| Abwesenheiten (Art. 9 DSGVO) | bis Ende Beschäftigung zzgl. gesetzlicher Aufbewahrungsfristen | § 26 BDSG |
| Support-Tickets | bis Erledigung + 3 Jahre | Verjährung § 195 BGB |
| Newsletter-Anmeldungen | bis zum Widerruf der Einwilligung | Art. 6 Abs. 1 lit. a, Art. 7 DSGVO |
| Push-Token (Mobile App) | bis Logout, Deaktivierung der Push-Berechtigung im Betriebssystem, Token-Invalidierung durch APNs/FCM oder Ende des Nutzerkontos | Art. 6 Abs. 1 lit. b DSGVO, § 25 Abs. 2 Nr. 2 TDDDG |
| Lokale App-Daten (Cache, Auth-Token) | bis Logout oder Deinstallation; serverseitige Daten bleiben gemäß Konfiguration des Kunden / AVV bestehen | § 25 Abs. 2 Nr. 2 TDDDG |
| Dokumenten-Uploads (Personalakte) | gemäß Konfiguration des Kunden bzw. bis Zweckfortfall; vorbehaltlich gesetzlicher Aufbewahrungspflichten | § 26 BDSG; ggf. § 257 HGB, § 147 AO |
| Chat-Nachrichten | gemäß Konfiguration des Kunden bzw. Vertragsdauer, sofern nicht vorher gelöscht | Art. 6 Abs. 1 lit. b DSGVO |
| Lösch-Anfragen (deletion_requests) | 3 Jahre nach Abschluss zur Nachweisbarkeit | Art. 5 Abs. 2 DSGVO (Rechenschaftspflicht) |
| AGB-/AVV-Annahme (terms_acceptances) | Vertragslaufzeit zzgl. Verjährungsfrist (3 Jahre) | Art. 6 Abs. 1 lit. f DSGVO; § 195 BGB |
| Partner-Bewerbungen (abgelehnt) | 6 Monate nach Entscheidung | Art. 6 Abs. 1 lit. b, lit. f DSGVO |
| Empfehlungslink-Klicks (pseudonymer Hash) | 90 Tage | Art. 6 Abs. 1 lit. f DSGVO |
| Partner-Vertrags- und Auszahlungsdaten | Vertragslaufzeit zzgl. Verjährungsfrist (3 Jahre) | Art. 6 Abs. 1 lit. b DSGVO; § 195 BGB |
| Provisionsgutschriften (Buchungsbelege) | 8 Jahre | § 147 Abs. 3 AO, § 257 Abs. 4 HGB (Fassung seit 2025) |
8a. Account- und Datenlöschung in der App
Nutzerinnen und Nutzer können eine Löschung bzw. Datenlöschanfrage über die Webseite /account-loeschung oder per E-Mail an support@shiftdesk.appinitiieren. Eine In-App-Löschanfrage wird vor dem öffentlichen App-Store-Launch ergänzt.
Bei Beschäftigtenkonten erfolgt die Löschung personenbezogener Beschäftigtendaten grundsätzlich über den Arbeitgeber als Verantwortlichen. Shiftdesk leitet Lösch-Anfragen von Beschäftigten an den zuständigen Arbeitgeber weiter und unterstützt diesen bei der Bearbeitung.
Bei Inhaber- bzw. Administrator-Konten kann die Löschung des eigenen Accounts und der zugehörigen Organisation über die Anwendung initiiert werden. Die Bestätigung erfolgt über einen per E-Mail zugestellten Bestätigungslink (Double-Opt-in). Die tatsächliche Löschung wird durch ein manuelles Review-Verfahren bei Shiftdesk durchgeführt, um Datenintegrität (z. B. laufende Stripe-Abrechnungen, Storage-Bereinigung) sicherzustellen.
Unabhängig vom oben beschriebenen Weg können sich Betroffene jederzeit an support@shiftdesk.app wenden. Gesetzliche Aufbewahrungspflichten bleiben unberührt.
9. Automatisierte Entscheidungsfindung
Eine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne von Art. 22 DSGVO findet nicht statt. Die arbeitszeitrechtliche Validierung (siehe 5.6) ist rein informatorisch.
10. Änderungen dieser Datenschutzerklärung
Wir passen diese Datenschutzerklärung an, wenn sich die Rechtslage, unsere Verarbeitungen oder eingesetzte Dienstleister ändern. Die jeweils aktuelle Version ist unter shiftdesk.app/datenschutzabrufbar.
Stand: 2. Juli 2026
