Datenschutzerklärung

Stand: April 2026

§ 1 Zweck und Kontext

denschShift ist eine SaaS-Lösung zur Dienstplan- und Verfügbarkeitsverwaltung für Gastronomie- und Dienstleistungsbetriebe. Der Dienst verarbeitet personenbezogene Daten von Mitarbeitern des Kunden (Beschäftigtendaten) und ist daher – zusätzlich zur DSGVO – nach Art. 88 DSGVO und § 26 BDSG einzuordnen.

Wichtige Unterscheidung:

Der Kunde (Betrieb/Unternehmer) ist der Verantwortliche für die Verarbeitung von Mitarbeiterdaten i.S.v. Art. 4 Nr. 7 DSGVO. dasdensch agiert als Auftragsverarbeiter nach Art. 28 DSGVO im Auftrag des Kunden.

Ein Auftragsverarbeitungsvertrag (AVV) ist mit Vertragsabschluss inklusive und liegt auf Anfrage zur Einsicht bereit.

§ 2 Verantwortlicher (denschShift als Diensteanbieter)

Für den Betrieb der technischen Infrastruktur und Kontoverwaltung:
dasdensch.com – Dennis Schneider
Hannoversche Str. 11
37176 Nörten-Hardenberg
E-Mail: datenschutz@dasdensch.com

§ 3 Verarbeitete Datenkategorien

Kundenkonto (Betrieb/Verantwortlicher):

Firmenname, Rechnungsadresse, E-Mail, Telefonnummer des Kunden-Accounts
Login-Daten (E-Mail, bcrypt-Passwort-Hash, 2FA-Secret)
Abo-/Zahlungsdaten (über Stripe)

Mitarbeiterdaten (Beschäftigtendaten, Art. 88 DSGVO / § 26 BDSG):

Vor- und Nachname, ggf. Rufname
E-Mail-Adresse (dienstlich)
Rolle/Funktion im Betrieb (z.B. Koch, Service, Abteilungsleitung)
Arbeitszeiten, Dienstpläne, zugeordnete Schichten
Qualifikationen/Zertifikate (z.B. Hygieneschulung, Führerschein)
Verfügbarkeits-Angaben (pro Tag/Zeitraum)
Login-Daten, falls Mitarbeiter eigenen Zugang erhalten

§ 4 Rechtsgrundlagen

Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung gegenüber Kunden-Accounts (Bereitstellung der Plattform, Abrechnung).
Art. 6 Abs. 1 lit. f DSGVO – Berechtigtes Interesse an Sicherheit (Rate-Limits, Audit-Logs, Missbrauchsschutz).
Art. 88 DSGVO i.V.m. § 26 Abs. 1 BDSG – Verarbeitung von Beschäftigtendaten zur Durchführung des Beschäftigungsverhältnisses (Dienstplanung, Arbeitszeit, Verfügbarkeit). Die Einzelheiten ergeben sich aus dem Auftragsverarbeitungsvertrag zwischen dem Kunden-Betrieb und dasdensch.
Art. 6 Abs. 1 lit. c DSGVO – Gesetzliche Pflichten (Aufbewahrung für arbeitsrechtliche/steuerliche Nachweise).

§ 5 Speicherdauer

Kundenkonto: Für die Dauer des Vertragsverhältnisses, danach 90 Tage bis zur endgültigen Löschung.
Mitarbeiterdaten: Für die Dauer des Beschäftigungsverhältnisses plus max. 6 Monate; arbeitsrechtliche Dokumente (z.B. Dienstpläne mit Arbeitszeitnachweis) gemäß gesetzlichen Aufbewahrungsfristen (i.d.R. 2 Jahre, bei abrechnungsrelevanten Daten bis zu 10 Jahre).
Fehlgeschlagene Login-Versuche: 30 Tage.
Audit-Logs: 12 Monate.

Der Kunde (als Verantwortlicher) kann die Löschung einzelner Mitarbeiterdaten jederzeit veranlassen, sofern dem keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

§ 6 Empfänger / Auftragsverarbeiter (Unter-AV)

denschShift-Daten werden ausschließlich auf Servern des folgenden Auftragsverarbeiters verarbeitet:

STRATO AG, Pascalstraße 10, 10587 Berlin – Hosting des VPS in Deutschland.
Stripe Payments Europe, Ltd., Dublin, Irland – Zahlungsabwicklung (nur für Kunden-Zahlungen, keine Mitarbeiterdaten).

Auftragsverarbeitungsverträge (AVV) liegen jeweils vor. Keine Datenübermittlung in Drittländer außerhalb der EU/des EWR.

§ 7 Mitbestimmung / Personalrat

Sofern im Kunden-Betrieb ein Betriebsrat oder Personalrat besteht, ist dessen Mitbestimmungsrecht (§ 87 BetrVG) beim Einsatz dieses Dienstes zu beachten. Verantwortlich für die Einbindung des Betriebsrats ist der Kunde als Verantwortlicher der Beschäftigtendatenverarbeitung. dasdensch stellt auf Anfrage die für eine Betriebsvereinbarung nötigen Unterlagen bereit (Funktionsumfang, Datenflussdiagramm, technische und organisatorische Maßnahmen).

§ 8 Cookies

denschShift setzt ausschließlich technisch notwendige Session-Cookies gemäß § 25 Abs. 2 TDDDG (SameSite=Strict). Es erfolgt kein Tracking, keine Werbecookies, keine Drittanbieter-Cookies.

§ 9 Ihre Rechte

Sie haben gegenüber dem Verantwortlichen folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:

Recht auf Auskunft (Art. 15 DSGVO)
Recht auf Berichtigung (Art. 16 DSGVO)
Recht auf Löschung (Art. 17 DSGVO)
Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
Widerspruchsrecht (Art. 21 DSGVO)
Beschwerderecht bei der zuständigen Aufsichtsbehörde (Art. 77 DSGVO)

Für Beschäftigte: Anfragen richten Sie bitte zunächst an Ihren Arbeitgeber (als Verantwortlichen). Bei technischen Rückfragen können Sie sich zusätzlich an datenschutz@dasdensch.com wenden.

§ 10 Kontakt Datenschutz

Verantwortlicher (für Diensteanbieter-Daten):
Dennis Schneider
datenschutz@dasdensch.com