Datenschutzerklärung

⚠️ Wichtiger Hinweis: Shiftpilot befindet sich derzeit in der Entwicklungsphase (Alpha/Beta). Diese Datenschutzerklärung gilt für die Test- und Entwicklungsumgebung. Vor der vollständigen Produktionsfreigabe wird diese Erklärung von einem Rechtsberater überprüft und finalisiert.

Hinweis zum Demo-Modus: Die in unserem Demo-Modus angezeigten Mitarbeiter-, Vertrags-, Abwesenheits- und Statistikdaten werden synthetisch erzeugt und dienen ausschließlich der Veranschaulichung von Funktionen. Diese Daten haben keinen Bezug zu realen Personen. Sollte es im Einzelfall zu einer zufälligen Übereinstimmung von Vor- und Nachnamen mit einer realen Person kommen, ist diese Übereinstimmung rein zufällig. Auch dann sind alle dargestellten Inhalte vollständig fiktiv und ohne Bezug zu tatsächlichen Verhältnissen.

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung auf dieser Website im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

Haluande / Shiftpilot
E-Mail: [email protected]
Website: https://haluande.com

2. Allgemeine Hinweise zur Datenverarbeitung

Wir nehmen den Schutz Ihrer persönlichen Daten sehr ernst. Wir behandeln Ihre personenbezogenen Daten vertraulich und entsprechend der gesetzlichen Datenschutzvorschriften sowie dieser Datenschutzerklärung.

Die Nutzung unserer Website ist grundsätzlich ohne Angabe personenbezogener Daten möglich. Soweit auf unseren Seiten personenbezogene Daten (beispielsweise Name, E-Mail-Adresse) erhoben werden, erfolgt dies stets auf freiwilliger Basis und mit Ihrer ausdrücklichen Einwilligung.

3. Welche Daten werden erhoben?

3.1 Google OAuth Authentifizierung

Shiftpilot verwendet Google OAuth 2.0 als einzige Authentifizierungsmethode. Bei der Anmeldung über Google werden folgende Daten von Google an uns übermittelt:

E-Mail-Adresse (primärer Identifikator)
Vollständiger Name (wie in Ihrem Google-Konto hinterlegt)
Profilbild-URL (optional, falls in Ihrem Google-Profil verfügbar)
Google User ID (eindeutige Kennung)

Wichtig: Wir speichern oder verarbeiten keine Passwörter. Die Authentifizierung erfolgt vollständig über Google. Wir haben keinen Zugriff auf Ihr Google-Passwort.

3.2 Nutzungsdaten und Session-Daten

Beim Zugriff auf unsere Dienste werden folgende technische Daten automatisch erfasst:

Session-ID (temporärer Sitzungsidentifikator)
Login-Zeitstempel
Browser-Typ und -Version (über User-Agent-String)
Betriebssystem
Referrer-URL (falls vorhanden)
IP-Adresse (zur Sicherheit, wird nicht dauerhaft gespeichert)

3.3 Arbeitsdaten (bei Nutzung der Anwendung)

Sobald Sie Shiftpilot aktiv nutzen, werden folgende Daten von Ihnen erstellt und gespeichert:

Mitarbeiterdaten (Namen, Rollen, Standorte)
Schichtpläne und Kalendereinträge
Krankenstand- und Urlaubsdaten
Benutzereinstellungen (Sprache, Zeitzone, Feiertage)
Statistik- und Reporting-Daten

Hinweis: Derzeit werden Daten in lokalen JSON-Dateien auf dem Server gespeichert. Eine vollständige Datenbankintegration (MySQL/PostgreSQL) ist in Planung.

3.4 Demo-Daten und fiktive Inhalte

Im Demo-Modus werden ausschließlich künstlich generierte Beispieldaten verwendet. Dazu können unter anderem Namen, Schichtpläne, Vertragsarten, Vertragsenden, Abwesenheiten, Urlaubsstände und Statistiken gehören.

Diese Demo-Daten werden nicht aus realen Mitarbeiterdaten übernommen.
Sie dienen ausschließlich der technischen Demonstration und Produktvorschau.
Etwaige Namensgleichheiten mit realen Personen beruhen ausschließlich auf Zufall.
Auch bei zufälliger Namensgleichheit sind sämtliche Inhalte vollständig fiktiv und sachlich ohne Bezug zur Realität.

4. Zweck der Datenverarbeitung

Die Verarbeitung Ihrer personenbezogenen Daten erfolgt zu folgenden Zwecken:

Authentifizierung: Identifikation und Zugriffskontrolle über Google OAuth
Bereitstellung der Dienste: Schichtverwaltung, Kalenderansicht, Statistiken
Personalisierung: Anpassung der Benutzeroberfläche (Sprache, Zeitzone)
Sicherheit: Schutz vor unbefugtem Zugriff und Missbrauch
Technische Funktionalität: Session-Management, Sitzungspersistenz

5. Rechtsgrundlage der Datenverarbeitung

Die Verarbeitung Ihrer personenbezogenen Daten erfolgt auf Grundlage der folgenden Rechtsgrundlagen gemäß DSGVO:

Art. 6 Abs. 1 lit. a DSGVO (Einwilligung): Sie willigen durch die Anmeldung über Google OAuth ausdrücklich in die Verarbeitung Ihrer Daten ein.
Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung): Die Datenverarbeitung ist erforderlich, um die von Ihnen angeforderten Dienste bereitzustellen.
Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse): Zur Gewährleistung der Sicherheit und Funktionsfähigkeit unserer Systeme.

6. Datenspeicherung und Speicherdauer

6.1 Session-Daten

Session-Daten werden für die Dauer Ihrer aktiven Sitzung gespeichert. Nach dem Logout oder nach Ablauf der Session (standardmäßig 24 Stunden Inaktivität) werden Session-Daten automatisch gelöscht.

6.2 Benutzerdaten

Ihre Google-Profildaten (E-Mail, Name, Profilbild) werden gespeichert, solange Ihr Konto bei Shiftpilot aktiv ist. Bei Löschung Ihres Kontos werden alle personenbezogenen Daten innerhalb von 30 Tagen vollständig und unwiderruflich gelöscht.

6.3 Arbeitsdaten

Von Ihnen erstellte Arbeitsdaten (Schichten, Mitarbeiter, Statistiken) werden gespeichert, bis Sie diese selbst löschen oder Ihr Konto schließen. Nach Kontolöschung werden alle zugehörigen Daten innerhalb von 30 Tagen gelöscht.

6.4 Backup-Daten

Zu Sicherheitszwecken werden regelmäßige Backups erstellt. Gelöschte Daten werden auch aus allen Backups innerhalb von 90 Tagen entfernt.

7. Weitergabe von Daten an Dritte

Eine Übermittlung Ihrer personenbezogenen Daten an Dritte erfolgt grundsätzlich nicht, außer in folgenden Fällen:

Google LLC: Bei der OAuth-Authentifizierung kommunizieren wir mit Google APIs. Es gelten die Google Datenschutzbestimmungen.
Hosting-Provider: Unsere Dienste werden auf Servern von [Hosting-Anbieter Name] gehostet. Der Anbieter hat keinen Zugriff auf personenbezogene Daten außer technische Logs.
Gesetzliche Verpflichtung: Wenn wir gesetzlich zur Herausgabe verpflichtet sind (z.B. behördliche Anfrage, Gerichtsbeschluss).

Keine Datenverkäufe: Wir verkaufen Ihre Daten niemals an Dritte. Wir verwenden keine Tracking-Dienste, Analytics oder Werbenetzwerke von Drittanbietern.

8. Cookies und Tracking-Technologien

8.1 Session-Cookies

Shiftpilot verwendet nur essentielle Session-Cookies, die für die Funktionsfähigkeit der Anwendung erforderlich sind. Diese Cookies:

Enthalten eine eindeutige Session-ID
Speichern keine personenbezogenen Daten
Werden nach dem Logout oder Sitzungsende gelöscht
Sind HTTPOnly und Secure (falls HTTPS aktiv)

8.2 Keine Tracking-Cookies

Wir verwenden keine Tracking-, Analyse- oder Werbe-Cookies. Es erfolgt kein Tracking Ihres Verhaltens über mehrere Websites hinweg.

Cookie-Zustimmung: Da wir nur essentielle Cookies verwenden, ist gemäß DSGVO keine explizite Cookie-Einwilligung erforderlich. Ein Cookie-Banner dient lediglich zu Informationszwecken.

9. Datensicherheit

Wir setzen technische und organisatorische Sicherheitsmaßnahmen ein, um Ihre Daten gegen zufällige oder vorsätzliche Manipulationen, Verlust, Zerstörung oder den Zugriff unberechtigter Personen zu schützen:

HTTPS-Verschlüsselung: Alle Datenübertragungen erfolgen verschlüsselt (TLS 1.2+)
Sichere Authentifizierung: OAuth 2.0 mit Google (keine Passwortespeicherung)
Session-Sicherheit: HTTPOnly und Secure Cookies, SameSite-Attribut
Zugriffskontrolle: Rollenbasierte Zugriffsverwaltung (in Entwicklung)
Server-Sicherheit: Firewall, regelmäßige Security-Updates
.htaccess-Schutz: Sensible Dateien und Verzeichnisse sind geschützt
Regelmäßige Backups: Automatische verschlüsselte Backups

Entwicklungsstatus: Shiftpilot befindet sich in Entwicklung. Zusätzliche Sicherheitsmaßnahmen wie CSRF-Token, 2FA und umfassende Audit-Logs sind in Planung.

10. Ihre Rechte als Betroffener

Gemäß der DSGVO haben Sie folgende Rechte bezüglich Ihrer personenbezogenen Daten:

10.1 Auskunftsrecht (Art. 15 DSGVO)

Sie haben das Recht, Auskunft über die von uns verarbeiteten personenbezogenen Daten zu erhalten.

10.2 Recht auf Berichtigung (Art. 16 DSGVO)

Sie haben das Recht, die Berichtigung unrichtiger oder die Vervollständigung unvollständiger Daten zu verlangen.

10.3 Recht auf Löschung (Art. 17 DSGVO)

Sie können die Löschung Ihrer personenbezogenen Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten bestehen. Die Löschung erfolgt innerhalb von 30 Tagen.

10.4 Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

Sie haben das Recht, die Einschränkung der Verarbeitung Ihrer Daten zu verlangen.

10.5 Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Sie haben das Recht, die Sie betreffenden personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten (z.B. JSON, CSV).

10.6 Widerspruchsrecht (Art. 21 DSGVO)

Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Ihrer Daten Widerspruch einzulegen.

10.7 Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO)

Sie haben das Recht, Ihre Einwilligung zur Datenverarbeitung jederzeit zu widerrufen. Der Widerruf der Einwilligung lässt die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung unberührt.

10.8 Beschwerderecht bei einer Aufsichtsbehörde (Art. 77 DSGVO)

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten zu beschweren.

Zuständige Aufsichtsbehörde für Deutschland:
Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI)
Graurheindorfer Str. 153, 53117 Bonn
Telefon: +49 (0)228 997799-0
E-Mail: [email protected]
Website: www.bfdi.bund.de

11. Kontodaten-Export und Löschung

Sie können jederzeit:

Datenexport anfordern: Laden Sie alle Ihre Daten in maschinenlesbarem Format herunter (verfügbar in den Kontoeinstellungen oder per E-Mail-Anfrage)
Konto löschen: Löschen Sie Ihr Konto vollständig über die Einstellungen oder kontaktieren Sie uns per E-Mail

Nach Kontolöschung werden alle Daten innerhalb von 30 Tagen permanent gelöscht (inkl. Backups innerhalb 90 Tagen).

12. Kinder und Minderjährige

Shiftpilot richtet sich nicht an Personen unter 16 Jahren. Wir erheben wissentlich keine personenbezogenen Daten von Kindern unter 16 Jahren. Falls wir feststellen, dass Daten von Minderjährigen ohne elterliche Zustimmung erfasst wurden, werden diese umgehend gelöscht.

13. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder Änderungen unserer Dienste anzupassen. Die jeweils aktuelle Fassung ist auf unserer Website verfügbar.

Letzte Aktualisierung: 26. Februar 2026

Bei wesentlichen Änderungen werden registrierte Nutzer per E-Mail benachrichtigt.

14. Haftungsausschluss und Disclaimer

⚠️ Alpha/Beta-Software - Nutzung auf eigenes Risiko

Shiftpilot befindet sich derzeit in der Entwicklungs- und Testphase (Alpha/Beta). Die Software wird "wie besehen" (AS IS) ohne jegliche Gewährleistung bereitgestellt.

14.1 Keine Garantie für Verfügbarkeit

Wir bemühen uns um einen störungsfreien Betrieb, können jedoch keine Garantie für ununterbrochene Verfügbarkeit oder Fehlerfreiheit geben. Während der Entwicklungsphase kann es zu:

Ungeplanten Ausfallzeiten und Wartungsarbeiten
Datenverlust bei Updates oder Migrationen
Funktionsstörungen oder Bugs
Sicherheitslücken (die wir schnellstmöglich beheben)

14.2 Keine Haftung für Datenverlust

Wichtig: Während der Beta-Phase können Daten verloren gehen. Wir empfehlen dringend:

Regelmäßige manuelle Backups Ihrer wichtigen Daten
Keine ausschließliche Speicherung kritischer Geschäftsdaten in Shiftpilot
Nutzung der Export-Funktionen zur lokalen Sicherung

Wir übernehmen keine Haftung für Datenverlust, Geschäftsausfälle oder sonstige Schäden, die durch die Nutzung von Shiftpilot entstehen.

14.3 Ausschluss von Gewährleistung

Die Software wird kostenlos bereitgestellt und ist nicht für den produktiven Einsatz in kritischen Geschäftsumgebungen vorgesehen. Es besteht kein Anspruch auf Support, Updates oder Fehlerbehebung.

14.4 Haftungsbeschränkung

Wir haften nur für Schäden, die auf Vorsatz oder grober Fahrlässigkeit beruhen. Die Haftung für leichte Fahrlässigkeit ist ausgeschlossen, soweit gesetzlich zulässig. Dies gilt nicht für Schäden aus der Verletzung des Lebens, des Körpers oder der Gesundheit.

15. Internationale Datenübertragung

Unsere Server befinden sich in [Land/Region]. Google (OAuth-Provider) verarbeitet Daten in den USA und anderen Ländern. Google ist nach dem EU-US Data Privacy Framework zertifiziert und gewährleistet angemessenen Datenschutz.

16. Kontakt

Bei Fragen zum Datenschutz, zur Geltendmachung Ihrer Rechte oder bei Beschwerden kontaktieren Sie uns:

E-Mail: [email protected]
Bei allgemeinen Fragen: [email protected]

Wir werden Ihre Anfrage innerhalb von 30 Tagen beantworten.

Hinweis: Diese Datenschutzerklärung wurde nach bestem Wissen und Gewissen erstellt. Vor der finalen Produktionsfreigabe wird diese von einem Rechtsanwalt mit Spezialisierung auf Datenschutzrecht überprüft und finalisiert. Stand: Alpha-Version, Februar 2026.