Datenschutzerklärung

Wir freuen uns, dass Sie unsere Website besuchen, und bedanken uns für Ihr Interesse. Im Folgenden informieren wir Sie über den Umgang mit Ihren personenbezogenen Daten bei der Nutzung unserer Website. Personenbezogene Daten sind hierbei alle Daten, mit denen Sie persönlich identifiziert werden können.

Verantwortlicher für die Datenverarbeitung auf dieser Website im Sinne der Datenschutz-Grundverordnung (DSGVO) ist INVRTUAL UG (haftungsbeschränkt), Frauenweiherstrasse 15, 91058 Erlangen, Deutschland, Tel.: 0049 (0) 9131 6821 020, E-Mail: info@invrtual.de. Der für die Verarbeitung von personenbezogenen Daten Verantwortliche ist diejenige natürliche oder juristische Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

Bei der bloß informatorischen Nutzung unserer Website, also wenn Sie sich nicht registrieren oder uns anderweitig Informationen übermitteln, erheben wir nur solche Daten, die Ihr Browser an unseren Server übermittelt (sog. „Server-Logfiles"). Diese Daten umfassen:

• IP-Adresse
• Datum und Uhrzeit der Anfrage
• Inhalt der Anforderung (konkrete Seite)
• Zugriffsstatus/HTTP-Statuscode
• Jeweils übertragene Datenmenge
• Website, von der die Anforderung kommt (Referrer)
• Browser und Betriebssystem

Die Verarbeitung erfolgt gemäß Art. 6 Abs. 1 lit. f DSGVO auf Basis unseres berechtigten Interesses an der Verbesserung der Stabilität und Funktionalität unserer Website. Die Daten werden nicht weitergegeben oder anderweitig verwendet. Wir behalten uns allerdings vor, die Server-Logfiles nachträglich zu überprüfen, sollten konkrete Anhaltspunkte auf eine rechtswidrige Nutzung hinweisen.

Unsere Website verwendet ausschließlich technisch notwendige Cookies. Cookies sind kleine Textdateien, die auf Ihrem Endgerät gespeichert werden. Technisch notwendige Cookies sind erforderlich, damit unsere Website funktioniert und Sie sich anmelden können.

Folgende technisch notwendige Cookies werden verwendet:

• Sitzungs-Cookie (shiftguard_session): Speichert Ihre Sitzungsinformationen während Sie angemeldet sind. Wird nach dem Schließen des Browsers oder nach Ablauf der Sitzung gelöscht.
• CSRF-Token (XSRF-TOKEN): Schützt vor Cross-Site-Request-Forgery-Angriffen und erhöht die Sicherheit beim Absenden von Formularen.
• Remember-Cookie (remember_web_*): Optional, wenn Sie "Angemeldet bleiben" wählen. Ermöglicht eine automatische Anmeldung bei Ihrem nächsten Besuch.
• Cookie-Consent (cookie_consent_id): Speichert Ihre Cookie-Einwilligung für 2 Jahre.

Rechtsgrundlage für die Verarbeitung ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Funktionsfähigkeit der Website) sowie Art. 6 Abs. 1 lit. a DSGVO (Ihre Einwilligung bei Cookie-Consent). Sie können Ihre Browser-Einstellungen so anpassen, dass Sie über das Setzen von Cookies informiert werden und einzeln über deren Annahme entscheiden können.

Gemäß Art. 6 Abs. 1 lit. b DSGVO werden personenbezogene Daten im jeweils erforderlichen Umfang weiterhin erhoben und verarbeitet, wenn Sie uns diese bei der Eröffnung eines Kundenkontos mitteilen. Welche Daten für die Kontoeröffnung erforderlich sind, entnehmen Sie der Eingabemaske des entsprechenden Formulars auf unserer Website.

Folgende Daten werden bei der Registrierung erhoben:

• Kontaktperson: Vorname, Nachname, E-Mail-Adresse, Passwort (verschlüsselt gespeichert)
• Organisation: Firmenname, Adresse (Straße, PLZ, Stadt, Land), Telefon, E-Mail, Steuernummer (optional)
• Technische Daten: IP-Adresse, Zeitstempel der Registrierung, Browser-Informationen

Nach Abschluss der Registrierung wird Ihr Account zunächst im Status "pending" gespeichert und muss von einem Super-Administrator freigegeben werden. Sie erhalten eine Bestätigungs-E-Mail über Ihre Registrierung sowie eine Benachrichtigung nach Freigabe Ihres Accounts.

Eine Löschung Ihres Kundenkontos ist jederzeit möglich und kann durch eine Nachricht an die o.g. Adresse des Verantwortlichen erfolgen. Nach Löschung Ihres Kundenkontos werden Ihre Daten gelöscht, sofern alle darüber geschlossenen Verträge vollständig abgewickelt sind, keine gesetzlichen Aufbewahrungsfristen entgegenstehen und unsererseits kein berechtigtes Interesse an der Weiterspeicherung fortbesteht.

5.1 Mitarbeiterverwaltung

Als Administrator Ihrer Organisation können Sie Mitarbeiter anlegen. Dabei werden folgende Daten verarbeitet:

• Vorname, Nachname
• Mitarbeiternummer
• E-Mail-Adresse
• Telefonnummer (optional)
• Passwort (verschlüsselt)

Diese Daten werden zur Verwaltung und Zuweisung von Schichten benötigt. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter Personalverwaltung).

5.2 Schichtplanung und Check-in

Bei der Erstellung von Schichten und Check-ins werden folgende Daten erfasst:

• Schichtdaten: Datum, Start- und Endzeit, Standort
• Zugewiesene Mitarbeiter
• Check-in-Zeitstempel
• IP-Adresse beim Check-in
• Status-Informationen (checked_in, missed, etc.)

Diese Daten dienen der Schichtplanung, Anwesenheitserfassung und Abrechnung. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

5.3 Standortverwaltung

Für jeden Einsatzort werden Name, Adresse und optionale Beschreibung gespeichert. Diese Daten dienen der Organisation und Zuordnung von Schichten.

ShiftGuard versendet automatisierte E-Mails für folgende Zwecke:

• Registrierungsbestätigung: Nach Abschluss Ihrer Registrierung
• Account-Freigabe: Nach Genehmigung durch den Super-Administrator
• Passwort-Reset: Wenn Sie Ihr Passwort zurücksetzen
• Passwort-Änderung: Benachrichtigung über Passwortänderungen aus Sicherheitsgründen
• Schicht-Erinnerungen: Erinnerung an anstehende Check-ins
• Verpasste Check-ins: Benachrichtigung an Administratoren und betroffene Mitarbeiter bei verpassten Check-ins
• Willkommens-E-Mail: An neu angelegte Mitarbeiter mit Zugangsdaten
• Lizenz-Warnungen: Bei Erreichen von Lizenzlimits

Diese E-Mails sind für den Betrieb der Plattform erforderlich. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherer und funktionaler Kommunikation).

Für den E-Mail-Versand speichern wir: E-Mail-Adresse, Name des Empfängers, Zeitpunkt des Versands und Versandstatus.

ShiftGuard ist als mandantenfähige Plattform konzipiert. Jede registrierte Organisation bildet einen eigenständigen Mandanten. Alle Daten einer Organisation (Mitarbeiter, Schichten, Standorte, Check-ins) sind strikt von anderen Organisationen isoliert.

Garantierte Datenisolation: Nutzer einer Organisation haben ausschließlich Zugriff auf die Daten ihrer eigenen Organisation. Ein Zugriff auf Daten anderer Organisationen ist technisch ausgeschlossen. Super-Administratoren haben Zugriff auf organisationsübergreifende Verwaltungsfunktionen (Freigaben, Lizenzverwaltung), jedoch nicht auf operative Daten wie Schichten oder Check-ins.

Eine Weitergabe Ihrer Daten an Dritte findet grundsätzlich nicht statt, außer:

• Sie haben nach Art. 6 Abs. 1 lit. a DSGVO ausdrücklich eingewilligt
• Die Weitergabe ist nach Art. 6 Abs. 1 lit. f DSGVO zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich
• Es besteht eine gesetzliche Verpflichtung nach Art. 6 Abs. 1 lit. c DSGVO

Hosting: Unsere Website wird bei einem professionellen Hosting-Anbieter gehostet. Dieser Anbieter ist Auftragsverarbeiter gemäß Art. 28 DSGVO und verarbeitet Daten ausschließlich nach unserer Weisung.

E-Mail-Versand: Für den Versand von E-Mails nutzen wir einen E-Mail-Dienstleister als Auftragsverarbeiter. Mit diesem wurde ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO geschlossen.

Wir verwenden innerhalb des Website-Besuchs das verbreitete SSL-Verfahren (Secure Socket Layer) in Verbindung mit der jeweils höchsten Verschlüsselungsstufe, die von Ihrem Browser unterstützt wird. Ob eine einzelne Seite unseres Internetauftrittes verschlüsselt übertragen wird, erkennen Sie an der geschlossenen Darstellung des Schlosssymbols in der Statusleiste Ihres Browsers.

Sicherheitsmaßnahmen umfassen:

• SSL/TLS-Verschlüsselung für alle Datenübertragungen
• Passwörter werden ausschließlich in verschlüsselter Form (Hashing) gespeichert
• CSRF-Schutz für alle Formulare
• HttpOnly und SameSite-Flags für Cookies
• Regelmäßige Sicherheitsupdates
• Zugriffskontrolle und Berechtigungskonzepte

Das geltende Datenschutzrecht gewährt Ihnen gegenüber dem Verantwortlichen hinsichtlich der Verarbeitung Ihrer personenbezogenen Daten die nachstehenden Betroffenenrechte (Auskunfts- und Interventionsrechte), wobei für die jeweiligen Ausübungsvoraussetzungen auf die angeführte Rechtsgrundlage verwiesen wird:

• Auskunftsrecht gemäß Art. 15 DSGVO
• Recht auf Berichtigung gemäß Art. 16 DSGVO
• Recht auf Löschung gemäß Art. 17 DSGVO
• Recht auf Einschränkung der Verarbeitung gemäß Art. 18 DSGVO
• Recht auf Unterrichtung gemäß Art. 19 DSGVO
• Recht auf Datenübertragbarkeit gemäß Art. 20 DSGVO
• Recht auf Widerruf erteilter Einwilligungen gemäß Art. 7 Abs. 3 DSGVO
• Recht auf Beschwerde gemäß Art. 77 DSGVO

Die Dauer der Speicherung von personenbezogenen Daten bemisst sich anhand der jeweiligen Rechtsgrundlage, am Verarbeitungszweck und – sofern einschlägig – zusätzlich anhand der jeweiligen gesetzlichen Aufbewahrungsfrist (z.B. handels- und steuerrechtliche Aufbewahrungsfristen).

• Bei der Verarbeitung von personenbezogenen Daten auf Grundlage einer ausdrücklichen Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO werden die betroffenen Daten so lange gespeichert, bis Sie Ihre Einwilligung widerrufen.
• Existieren gesetzliche Aufbewahrungsfristen für Daten, die im Rahmen rechtsgeschäftlicher bzw. rechtsgeschäftsähnlicher Verpflichtungen auf der Grundlage von Art. 6 Abs. 1 lit. b DSGVO verarbeitet werden, werden diese Daten nach Ablauf der Aufbewahrungsfristen routinemäßig gelöscht, sofern sie nicht mehr zur Vertragserfüllung oder Vertragsanbahnung erforderlich sind und/oder unsererseits kein berechtigtes Interesse an der Weiterspeicherung fortbesteht.
• Bei der Verarbeitung auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO werden diese Daten so lange gespeichert, bis Sie Ihr Widerspruchsrecht nach Art. 21 Abs. 1 DSGVO ausüben, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen.

Sofern sich aus den sonstigen Informationen dieser Erklärung über spezifische Verarbeitungssituationen nichts anderes ergibt, werden gespeicherte personenbezogene Daten im Übrigen dann gelöscht, wenn sie für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind.

Diese Datenschutzerklärung ist aktuell gültig und hat den Stand 01.05.2026.

Durch die Weiterentwicklung unserer Website und Angebote darüber oder aufgrund geänderter gesetzlicher beziehungsweise behördlicher Vorgaben kann es notwendig werden, diese Datenschutzerklärung zu ändern. Die jeweils aktuelle Datenschutzerklärung kann jederzeit auf der Website von Ihnen abgerufen und ausgedruckt werden.