Datenschutzerklärung
Informationen gemäß Art. 13 & 14 DSGVO
Verantwortlicher
Grundsätze der Datenverarbeitung
Wir verarbeiten personenbezogene Daten ausschließlich im Einklang mit der Datenschutz-Grundverordnung (DSGVO) sowie dem österreichischen Datenschutzgesetz (DSG 2018). Die Erhebung und Verarbeitung erfolgt nur in dem Umfang, der für die jeweiligen Zwecke erforderlich ist (Grundsatz der Datensparsamkeit gemäß Art. 5 Abs. 1 lit. c DSGVO). Wir erheben keine Daten, die über den für den Betrieb der Plattform notwendigen Umfang hinausgehen.
Verarbeitete personenbezogene Daten
Mitarbeiterdaten (angelegt durch Administratoren)
Personenbezogene Daten von Mitarbeiterinnen und Mitarbeitern werden ausschließlich durch autorisierte Administratoren des jeweiligen Unternehmens angelegt. Verarbeitet werden: Vorname und Nachname, E-Mail-Adresse, Telefonnummer sowie Soll-Arbeitsstunden. Diese Daten dienen der Dienstplanung, Zeiterfassung und der internen Kommunikation innerhalb der jeweiligen Organisation. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Nutzungsdaten der Plattform
Bei der Nutzung unserer Web-Plattform und der mobilen App werden technische Verbindungsdaten verarbeitet (IP-Adresse, Zeitstempel, verwendetes Gerät und Betriebssystem, aufgerufene Seiten). Diese Daten sind technisch notwendig für den Betrieb und werden nicht zu Tracking-Zwecken verwendet. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am sicheren Betrieb der Plattform).
Datentrennung zwischen Unternehmen (Row Level Security)
Unsere Plattform setzt konsequent auf Row Level Security (RLS) auf Datenbankebene. Jedes Unternehmen kann ausschließlich auf seine eigenen Daten zugreifen. Eine unbeabsichtigte oder unbefugte Einsichtnahme in Daten anderer Mandanten ist technisch ausgeschlossen – sowohl im Web-Dashboard als auch in der mobilen App.
Mobile App – Berechtigungen und Gerätezugriff
Standortdaten
Die App nutzt den Gerätestandort ausschließlich zum lokalen Abgleich (z. B. für standortbasierte Funktionen wie Ein- und Ausstempeln). Es werden keine Standortdaten der Mitarbeiter:innen auf unseren Servern gespeichert oder übertragen. Die Verarbeitung erfolgt vollständig auf dem Gerät selbst. Die Berechtigung wird nur nach ausdrücklicher Zustimmung der Nutzerin bzw. des Nutzers aktiviert. Rechtsgrundlage ist Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
Kamera, Fotos und Dateien
Zugriff auf Fotos, Kamera und Dateien erfolgt nur nach ausdrücklicher Erteilung der Berechtigung durch die Nutzerin bzw. den Nutzer. Es gibt keinen automatischen oder stillen Zugriff auf Medien oder Dokumente. Berechtigungen können jederzeit in den Geräteeinstellungen widerrufen werden. Die App ist für iOS (Apple App Store) und Android (Google Play Store) verfügbar. Rechtsgrundlage ist Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
Benachrichtigungen (Push Notifications)
Die App kann Push-Benachrichtigungen senden, sofern die Nutzerin bzw. der Nutzer dies in den Geräteeinstellungen erlaubt hat. Push-Benachrichtigungen dienen ausschließlich der Information über dienstplanrelevante Ereignisse (z. B. neue Schicht, Änderungen). Es werden keine Benachrichtigungen zu Werbezwecken versendet. Die Berechtigung kann jederzeit in den Geräteeinstellungen deaktiviert werden.
Drittdienste & Auftragsverarbeiter
Vercel – Website-Hosting
Unsere Website wird über Vercel Inc., 340 S Lemon Ave #4133, Walnut, CA 91789, USA gehostet. Vercel verarbeitet dabei technische Verbindungsdaten (IP-Adresse, Browser-Informationen) als Auftragsverarbeiter in unserem Auftrag. Mit Vercel besteht ein Auftragsverarbeitungsvertrag (DPA). Da Vercel Server in den USA nutzen kann, stützen wir den Datentransfer auf Standardvertragsklauseln der EU-Kommission gemäß Art. 46 Abs. 2 lit. c DSGVO. Weitere Informationen: https://vercel.com/legal/privacy-policy. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO.
Supabase – Datenbank & Backend
Unsere Plattformdaten werden bei Supabase Inc. gespeichert und verarbeitet. Wir nutzen ausschließlich EU-Server (Rechenzentrumsstandort: Ausschließlich in der EU). Supabase agiert als Auftragsverarbeiter; ein entsprechender Auftragsverarbeitungsvertrag (DPA) wurde abgeschlossen. Personenbezogene Daten verlassen dabei nicht den Europäischen Wirtschaftsraum (EWR). Weitere Informationen: https://supabase.com/privacy. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b und f DSGVO.
Apple App Store & Google Play Store
Unsere mobile App wird über den Apple App Store (Apple Inc., One Apple Park Way, Cupertino, CA 95014, USA) und den Google Play Store (Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA) vertrieben. Im Rahmen des Downloads und der Nutzung der App können diese Plattformen eigene Daten erheben. ShiftStar hat auf diese Datenverarbeitung keinen Einfluss. Weitere Informationen entnehmen Sie bitte den Datenschutzerklärungen von Apple (https://www.apple.com/legal/privacy) und Google (https://policies.google.com/privacy).
Rechtsgrundlagen der Verarbeitung
Art. 6 Abs. 1 lit. a DSGVO – Einwilligung
Soweit Berechtigungen in der mobilen App (z. B. Standort, Kamerazugriff) oder optionale Funktionen genutzt werden, basiert die Verarbeitung auf der ausdrücklichen Einwilligung der Nutzerin bzw. des Nutzers. Die Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden.
Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung
Die Verarbeitung von Mitarbeiterdaten (Name, E-Mail, Telefon, Soll-Stunden) ist zur Erfüllung des Vertrags zwischen ShiftStar und dem jeweiligen Kundenunternehmen (dem Arbeitgeber) erforderlich.
Art. 6 Abs. 1 lit. c DSGVO – Rechtliche Verpflichtung
Soweit gesetzliche Aufbewahrungspflichten bestehen (z. B. nach dem Unternehmensgesetzbuch UGB oder der Bundesabgabenordnung BAO), ist die Verarbeitung zur Erfüllung dieser rechtlichen Verpflichtungen erforderlich.
Art. 6 Abs. 1 lit. f DSGVO – Berechtigte Interessen
Die Verarbeitung technischer Verbindungsdaten sowie die Nutzung von Hosting- und Infrastrukturdiensten dient dem berechtigten Interesse an einem sicheren, stabilen und effizienten Betrieb der Plattform. Das Interesse überwiegt dabei die schutzwürdigen Interessen der betroffenen Personen.
Speicherdauer
Personenbezogene Daten werden nur so lange gespeichert, wie es für den jeweiligen Verarbeitungszweck erforderlich ist oder gesetzliche Aufbewahrungspflichten (z. B. 7 Jahre nach UGB/BAO) bestehen. Mitarbeiterdaten des jeweiligen Kundenunternehmens werden nach Beendigung des Vertragsverhältnisses auf schriftliche Anfrage vollständig gelöscht oder unwiderruflich anonymisiert. Technische Verbindungsdaten (Logs) werden nach spätestens 30 Tagen automatisch gelöscht.
Ihre Rechte
Auskunft (Art. 15 DSGVO)
Sie haben das Recht, jederzeit Auskunft über die zu Ihrer Person gespeicherten Daten zu erhalten, einschließlich Informationen über Verarbeitungszwecke, Kategorien, Empfänger und geplante Speicherdauer.
Berichtigung & Löschung (Art. 16 & 17 DSGVO)
Sie können jederzeit die Berichtigung unrichtiger Daten sowie unter den gesetzlichen Voraussetzungen die vollständige Löschung Ihrer personenbezogenen Daten verlangen.
Einschränkung & Widerspruch (Art. 18 & 21 DSGVO)
Sie können die Einschränkung der Verarbeitung Ihrer Daten verlangen sowie der Verarbeitung auf Basis berechtigter Interessen jederzeit widersprechen. Im Fall eines Widerspruchs verarbeiten wir Ihre Daten nicht weiter, sofern keine zwingenden schutzwürdigen Gründe vorliegen.
Datenportabilität (Art. 20 DSGVO)
Sie haben das Recht, Ihre personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und diese an einen anderen Verantwortlichen zu übermitteln.
Widerruf einer Einwilligung (Art. 7 Abs. 3 DSGVO)
Eine erteilte Einwilligung (z. B. App-Berechtigungen) kann jederzeit mit Wirkung für die Zukunft widerrufen werden, ohne dass die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung berührt wird.
Beschwerderecht (Art. 77 DSGVO)
Sie haben das Recht, Beschwerde bei der zuständigen Datenschutzbehörde einzureichen. In Österreich ist dies die Datenschutzbehörde (DSB), Barichgasse 40-42, 1030 Wien, dsb.gv.at. Zur Wahrnehmung Ihrer Rechte wenden Sie sich bitte an: kontakt@shiftstar.at.
Datensicherheit
Wir setzen umfassende technische und organisatorische Maßnahmen (TOMs) ein, um Ihre Daten vor unberechtigtem Zugriff, Verlust, Zerstörung oder Missbrauch zu schützen. Zu diesen Maßnahmen zählen: verschlüsselte Datenübertragung (TLS 1.2/1.3 & HTTPS), Row Level Security (RLS) auf Datenbankebene, strenge rollenbasierte Zugangskontrollen, regelmäßige Sicherheitsupdates sowie ausschließliche Datenspeicherung innerhalb der Europäischen Union. Unsere Infrastrukturpartner (Supabase, Vercel) sind jeweils ISO 27001-zertifiziert bzw. SOC-2-geprüft.
Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf zu aktualisieren, um sie an geänderte rechtliche Anforderungen oder neue Funktionen der Plattform anzupassen. Bei wesentlichen Änderungen werden aktive Nutzerinnen und Nutzer per E-Mail informiert. Die jeweils aktuelle Version ist stets auf dieser Seite abrufbar. Das Datum der letzten Aktualisierung ist am Ende der Seite angegeben.
Stand: Juni 2026