← Login Datenschutz Impressum

Datenschutzerklärung

Stand: [TODO: Datum einfügen, z.B. 19. April 2026]

Hinweis an den Betreiber: Diese Datenschutzerklärung ist eine Vorlage. Alle mit [TODO: …] markierten Stellen müssen vor der produktiven Nutzung durch konkrete Angaben ersetzt werden. Zusätzlich empfiehlt sich eine Prüfung durch einen Datenschutzbeauftragten oder eine Rechtsberatung.

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung auf dieser Plattform im Sinne der DSGVO ist:

[TODO: Name / Firma]
[TODO: Straße und Hausnummer]
[TODO: PLZ Ort]
[TODO: Land]
E-Mail: [TODO: kontakt@example.com]
Telefon: [TODO: +49 …]

2. Zweck der Verarbeitung

Shift-Shaper ist eine interne Anwendung zur Planung von Assistenz-Schichten, zur Führung von Stundenkonten und zur organisatorischen Kommunikation zwischen Leitung und Assistenzkräften eines Betriebs. Die Verarbeitung personenbezogener Daten dient ausschließlich diesen Zwecken.

3. Rechtsgrundlagen

Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) für die Verarbeitung, die zur Erfüllung des Arbeits- oder Assistenzverhältnisses erforderlich ist.
Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung) für die Dokumentation von Arbeitszeit und Abrechnungsdaten.
Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) für Protokoll- und Sicherheitsdaten, die den Betrieb der Plattform absichern.

4. Welche Daten werden verarbeitet?

4.1 Stammdaten

Anzeigename
E-Mail-Adresse
Passwort (ausschließlich gehasht mit bcrypt; Klartext-Passwörter werden niemals gespeichert)
Rolle (Assistenz, Leitung, Verwaltung, Plattform-Admin)
Zugeordneter Betrieb (Tenant) und ggf. Team

4.2 Schicht- und Abrechnungsdaten

Schichten (Datum, Uhrzeit, Art, zugeordneter Kalender)
Stundenkonto-Bewegungen (Abrechnungen, Korrekturen, Korrekturnotizen)
Ausfälle (krank, kurzfristig abgesagt, nicht erschienen) – ohne medizinische Diagnosen
Verträge / Arbeitszeiten

4.3 Technische Nutzungsdaten

Server-Zugriffe (Server-Logs, siehe §8)
Audit-Protokolle über Aktionen in der Plattform (wer hat wann was geändert)
JWT-Tokens im lokalen Browser-Speicher zur Aufrechterhaltung der Sitzung

5. Empfänger der Daten

Die Daten werden grundsätzlich nicht an Dritte weitergegeben. Folgende externe Dienste werden jedoch auf technischer Ebene eingebunden:

Google Calendar (Google Ireland Ltd.): Für den Import von Schichtplänen aus einem Google-Kalender. Die Verbindung erfolgt über OAuth 2.0 und nur nach ausdrücklicher Autorisierung durch eine berechtigte Person im Betrieb. Es werden ausschließlich die Kalender ausgelesen, die dafür freigegeben wurden.
Google Sign-In (Google Ireland Ltd.): Optional für den Login. Verwendet wird der Basis-Scope (openid email profile); es werden keine weiteren Inhalte aus dem Google-Konto gelesen.

Weitere Drittanbieter-Inhalte werden nicht eingebunden. Insbesondere werden keine externen Schriften, CDNs oder Tracking-Pixel nachgeladen. Chart.js und die verwendeten Zeitformat-Adapter werden lokal auf dem Server mit ausgeliefert (/static/vendor/).

Ein Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO besteht mit:

[TODO: Google LLC / Google Ireland Ltd. - Link zur AV-Vereinbarung: https://cloud.google.com/terms/data-processing-terms]
[TODO: weitere Auftragsverarbeiter, falls zutreffend]

6. Speicherort

Sämtliche Anwendungsdaten werden in einer PostgreSQL-Datenbank gespeichert, die auf einem Server in [TODO: z.B. Deutschland / beim Betreiber vor Ort / bei Hoster X] betrieben wird. Eine Verarbeitung außerhalb der EU findet nicht statt, mit Ausnahme der unter §5 genannten Dienste.

7. Speicherdauer

Stamm- und Abrechnungsdaten werden so lange gespeichert, wie das Vertragsverhältnis besteht. Nach Ende des Assistenzverhältnisses werden sie gemäß den gesetzlichen Aufbewahrungsfristen (insbesondere § 147 AO, §§ 257 HGB) aufbewahrt und danach gelöscht.
Audit-Protokolle werden bis zu [TODO: z.B. 12 Monate] aufbewahrt.
Server-Logs werden maximal [TODO: z.B. 14 Tage] aufbewahrt.

8. Server-Logs

Aus technischen Gründen werden beim Aufruf der Anwendung folgende Daten automatisch erfasst:

IP-Adresse (ggf. anonymisiert)
Zeitpunkt der Anfrage
Aufgerufene URL, HTTP-Methode, Statuscode
Referer und User-Agent (sofern übermittelt)

Die Verarbeitung erfolgt auf Grundlage des berechtigten Interesses an einem stabilen und sicheren Betrieb der Anwendung (Art. 6 Abs. 1 lit. f DSGVO).

9. Cookies und lokaler Speicher

Shift-Shaper setzt keine Tracking-Cookies ein. Für den Betrieb sind jedoch folgende Speichermechanismen im Browser erforderlich:

LocalStorage: Zugangs- und Refresh-Token nach dem Login sowie der zuletzt genutzte Betrieb. Diese Daten verbleiben ausschließlich auf dem Endgerät und werden beim Abmelden gelöscht.
Session-Cookie oauth_state: Wird nur während des Google-Logins gesetzt (CSRF-Schutz) und unmittelbar danach wieder entfernt.

10. Rechte der Betroffenen

Sie haben das Recht:

Auskunft über die zu Ihrer Person verarbeiteten Daten zu verlangen (Art. 15 DSGVO);
die Berichtigung unrichtiger Daten zu verlangen (Art. 16 DSGVO);
die Löschung Ihrer Daten zu verlangen (Art. 17 DSGVO), soweit keine gesetzliche Aufbewahrungspflicht entgegensteht;
die Einschränkung der Verarbeitung zu verlangen (Art. 18 DSGVO);
die Übertragung Ihrer Daten in einem maschinenlesbaren Format zu erhalten (Art. 20 DSGVO);
einer Verarbeitung auf Grundlage eines berechtigten Interesses zu widersprechen (Art. 21 DSGVO);
eine erteilte Einwilligung jederzeit zu widerrufen (Art. 7 Abs. 3 DSGVO).

Wenden Sie sich dazu an die unter §1 genannte Verantwortliche.

11. Beschwerderecht

Unbeschadet anderer Rechtsmittel haben Sie das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO). Zuständig ist die Aufsichtsbehörde Ihres gewöhnlichen Aufenthaltsorts, Ihres Arbeitsplatzes oder des Ortes des mutmaßlichen Verstoßes.

Die für den Betreiber zuständige Aufsichtsbehörde ist:

[TODO: zuständige Landesdatenschutzbehörde, z.B. "Die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen, Kavalleriestr. 2-4, 40213 Düsseldorf"]

12. Datensicherheit

Die Übertragung zwischen Browser und Server erfolgt verschlüsselt per TLS (HTTPS). Passwörter werden ausschließlich mit bcrypt (Kostenfaktor 12) gehasht gespeichert. Zugriffe auf administrative Funktionen werden protokolliert.

13. Änderungen dieser Erklärung

Der Betreiber behält sich vor, diese Datenschutzerklärung bei Änderungen am Funktionsumfang oder an der technischen Infrastruktur anzupassen. Die jeweils aktuelle Fassung ist unter /datenschutz abrufbar.