Wie läuft eine Demo ab?

Du schreibst uns kurz, wir vereinbaren einen 30-Minuten-Termin. Du siehst RosterIQ live mit deinen eigenen Daten oder einem Beispiel-Plan deiner Branche. Im Anschluss bekommst du einen Pilot-Vorschlag — kostenlos, unverbindlich.

Für welche Unternehmen ist RosterIQ gemacht?

Schichtbetriebe mit 50 bis 500+ Mitarbeitenden — typischerweise Pflege, Versicherungen, Logistik, Produktion, Hotellerie, Arzt-/MVZ-Praxen. Auch Konzerne mit mehreren Standorten und eigener Sub-Struktur sind möglich.

Wie schnell kann ich starten?

Account in unter 60 Sekunden, erste Mitarbeiter per Excel-Import in 10 Minuten. Eine kostenlose Demo richten wir auf Anfrage unverbindlich ein.

Auf Anfrage, individuell basierend auf Mitarbeiterzahl und Funktionsumfang. Demo unverbindlich, kein automatischer Vertragsabschluss.

Unterstützt RosterIQ Schichten mit variablen Startzeiten?

Ja. Schichttypen können flexible Range-Zeiten haben (z.B. eine Tagesschicht zwischen 06:00 und 11:00). Die ArbZG-Compliance-Engine rechnet damit Worst-Case und kennzeichnet Range-Unsicherheiten klar als Info statt Fehler.

Wie kommen meine Excel-Daten rein?

Zwei Wege: Standard-Excel-Template mit Spalten Datum/Mitarbeiter/Schicht — oder ein firmenspezifischer Parser für ein eigenes Layout. Live-Vorschau zeigt Treffer und Konflikte vor dem finalen Import.

Wo sind meine Daten gespeichert?

Server ausschließlich in Deutschland (DSGVO-Region). Backups laufen 3-fach: täglich verschlüsseltes Snapshot auf dem Server, optional Off-Site (B2/Hetzner/S3) und auf deinem lokalen Rechner.

Was passiert bei einem Mitarbeiter-Antrag?

Mitarbeiter stellt Antrag in der App (Urlaub / Homeoffice / Krank / Frei / Schichttausch). Admin bekommt eine Benachrichtigung, entscheidet mit einem Klick. Bei Genehmigung wendet das System die Schichten automatisch an — Urlaubstage werden übersprungen, Krankheit komplett ersetzt.

Kann ich eigene Compliance-Regeln definieren?

Die 7 Standard-ArbZG-Regeln (Ruhezeit, Wochenarbeitszeit, max. Tagesstunden, Sonntagsarbeit etc.) sind eingebaut. Feiertage je Bundesland und Range-Schichten werden per Konfiguration berücksichtigt. Branchen-spezifische Custom-Regeln auf Anfrage.

Funktioniert RosterIQ auf Handy und Tablet?

Ja. Die Mitarbeiter-App ist als Progressive Web App optimiert und installierbar wie eine native App. Das Planungsportal ist responsive ab Tablet-Größe. Native iOS-/Android-Builds in Vorbereitung.

RosterIQIntelligente Dienstplanung

Demo anfragen Login

Compliance

DSGVO-konforme Dienstplanung — was wirklich gefordert ist

Die DSGVO gilt auch für Schicht- und Personalplanung. Hier ist konkret, was Arbeitgeber tun müssen — von Rechtsgrundlage über AVV bis Löschpflicht. Mit Checkliste für HR und IT.

19. Mai 20267 min Lesezeit~1100 Wörter

Kurzfassung: Dienstpläne enthalten personenbezogene Daten — ergo gilt DSGVO. Vier Bausteine sind Pflicht: klare Rechtsgrundlage, Auftragsverarbeitungs-Vertrag mit dem Software-Anbieter, technische Schutzmaßnahmen (TOM) und Prozesse für Auskunfts- und Lösch-Anfragen. Wer Server in Deutschland nutzt und Rollen-Trennung sauber abbildet, hat 90% schon erledigt.

Sind Dienstplan-Daten überhaupt „personenbezogen"?

Ja, eindeutig. Sobald ein Plan einer namentlichen Person eine Schicht zuweist, ist das ein personenbezogenes Datum nach Art. 4 Nr. 1 DSGVO. Selbst Initialen oder Mitarbeiternummern reichen, wenn sie zuordenbar sind.

Zu den datenschutzrelevanten Dienstplan-Daten zählen typisch:

Name, Vorname, Personalnummer, Initialen, Kürzel
Schicht-Zuweisungen (wann, wo, mit wem)
Abwesenheiten (Urlaub, Krank, Homeoffice — sensibel!)
Qualifikationen und Zertifikate
Soll-Stunden, Ist-Stunden, Überstunden-Salden
Wunsch-Daten und Anträge

Krank-Daten sind besonders heikel: nach Art. 9 DSGVO sind sie Gesundheitsdaten und unterliegen strengen Verarbeitungs-Regeln. Im Plan steht oft nur „K" oder „Krank" — das ist OK, solange Diagnose-Details nicht im Tool stehen.

Rechtsgrundlage: Warum darf der Arbeitgeber das überhaupt?

Für Dienstplan-Daten greifen typisch drei Rechtsgrundlagen:

Vertragserfüllung

Art. 6 Abs. 1 lit. b DSGVO

Der Arbeitsvertrag verpflichtet beide Seiten — der Arbeitgeber muss MA einplanen, der MA muss erscheinen. Die Schicht-Zuweisung ist Teil dieser Vertragserfüllung. Für die meisten Plan-Daten greift diese Grundlage.

Beschäftigungsverhältnis

§ 26 BDSG (Beschäftigtendatenschutz)

Speziell für HR-Daten in Deutschland: § 26 BDSG erlaubt Datenverarbeitung im Beschäftigungsverhältnis, soweit erforderlich. Soll-/Ist-Stunden, Anwesenheits-Tracking, Schicht-Zuweisung — alles okay, solange verhältnismäßig.

Berechtigtes Interesse

Art. 6 Abs. 1 lit. f DSGVO

Für sekundäre Verarbeitungen — z.B. Audit-Log zur Missbrauchs-Erkennung, IP-Adresse für Sicherheits-Forensik. Erfordert immer eine Interessenabwägung gegenüber MA-Rechten.

Einwilligung (Art. 6 Abs. 1 lit. a) ist in der Plan-Welt selten tragfähig — sie ist immer widerrufbar und MA können sich kaum „frei entscheiden", wenn der Arbeitgeber fragt. Besser: auf Vertrag oder berechtigtes Interesse stützen.

AVV mit dem Software-Anbieter (Art. 28 DSGVO)

Sobald ein externer Anbieter (RosterIQ, jede SaaS-Software, jeder Cloud- Provider) Plan-Daten verarbeitet, ist ein Auftragsverarbeitungs-Vertrag (AVV) Pflicht. Inhalt nach Art. 28 DSGVO:

Zweck und Umfang der Datenverarbeitung
Kategorien der betroffenen Daten und Personen
Vertraulichkeitspflichten des Anbieter-Personals
Konkrete TOM (technische und organisatorische Maßnahmen)
Liste der Sub-Auftragsverarbeiter (Hosting, Backup, Email)
Unterstützungspflichten bei MA-Anfragen (Auskunft/Löschung)
Lösch- oder Rückgabepflichten am Vertragsende

Der AVV ist kein Formular zum Abnicken — er ist ein echter Vertrag mit Pflichten. Seriöse Anbieter haben ihn als Standard-Dokument fertig zum Download. Wenn du ihn aktiv anfordern musst und Wochen wartest, ist das ein Warnsignal.

TOM — die technischen Schutzmaßnahmen

Art. 32 DSGVO verlangt „geeignete technische und organisatorische Maßnahmen". Das ist kein Pflichten-Katalog, sondern eine risiko-orientierte Prüfung. Für Dienstplan-Software heißt das konkret:

Pseudonymisierung & Verschlüsselung: TLS für Transport (HTTPS), AES-256 für Backups, Passwort-Hashing (Argon2, bcrypt, nie Klartext oder MD5)
Zugriffskontrolle: Rollen-Modell mit feingranularer Berechtigung. Pflegedienstleitung sieht nur ihren Bereich, nicht alle.
Audit-Log: Wer hat wann was geändert. Bei MA-Beschwerden oder Behörden-Anfragen nachweisbar.
Belastbarkeit: Backups (idealerweise 3-fach: Server, Off-Site, lokaler Pull), regelmäßige Wiederherstellungs-Tests
Wiederherstellung: Restore-Prozesse dokumentiert, kein Single-Point-of-Failure
Mandantentrennung: Bei Multi-Tenant-Software müssen die Daten zwischen Kunden technisch sauber getrennt sein (z.B. Postgres RLS)

Der Software-Anbieter dokumentiert das in seinem TOM-Anhang zum AVV. Du musst es nicht selbst implementieren — du musst es prüfen.

Was ein MA von dir verlangen kann

Art. 15

Auskunftsrecht

MA fragt: 'Welche Daten habt ihr über mich?'

So gehst du vor: Innerhalb von 30 Tagen: alle Daten zusammenstellen — Plan-Historie, Anträge, Abwesenheiten, Audit-Log-Einträge zu seiner Person. Gute Software macht das als ZIP-Export auf Knopfdruck (Stammdaten als JSON + Schichten als CSV + Personalkarte als PDF).

Art. 17

Recht auf Löschung

MA fragt: 'Bitte löscht meine Daten.'

So gehst du vor: Während des Arbeitsverhältnisses meist nicht erfüllbar (Vertragsgrundlage). Nach Vertragsende: Daten werden je nach Aufbewahrungspflicht (z.B. 6 Jahre für Lohn-Daten, GoBD) verschlüsselt archiviert oder gelöscht. Audit-Log wird typischerweise pseudonymisiert (Name → Hash), nicht physisch gelöscht.

Art. 20

Datenübertragbarkeit

MA fragt: 'Gebt meine Daten in einem gängigen Format raus.'

So gehst du vor: CSV oder JSON-Export reicht. Die Pflicht ist enger als das Auskunftsrecht — nur Daten, die der MA selbst bereitgestellt hat (z.B. Anträge), nicht abgeleitete Daten.

Art. 21

Widerspruchsrecht

MA widerspricht der Datenverarbeitung auf Basis berechtigten Interesses.

So gehst du vor: Interessenabwägung durchführen. Wenn der Arbeitgeber zwingende Gründe nachweisen kann, geht die Verarbeitung weiter. Bei Werbung/Marketing greift der Widerspruch automatisch — hier praktisch nicht relevant.

Server-Standort: muss Deutschland sein?

Pflicht ist EU/EWR für Standardverarbeitung. US-Hosting (AWS, Google Cloud, Azure us-east) ist nur mit erheblichen Zusatzaufwand zulässig — Standardvertragsklauseln + Transfer-Impact-Assessment + Verschlüsselung — und nach Schrems II rechtlich riskant.

Deutschland-Hosting ist nicht zwingend, aber das einfachste Setup: keine Drittland-Übermittlung, einheitliches Recht, einfacher AVV. Anbieter wie IONOS, Hetzner, OVH, deutsche Telekom-Cloud bieten das.

DSGVO-Checkliste für deine Dienstplan-Software

Diese Liste ist kein Audit-Ersatz, aber sie deckt 90% der typischen Audit-Fragen ab. Bei Unsicherheit: Datenschutzbeauftragten (intern oder extern) zu Rate ziehen.

Wie RosterIQ die DSGVO-Punkte abdeckt

Server bei IONOS in Frankfurt, AVV als Standard-Dokument, TOM detailliert dokumentiert, Audit-Log auf jede Plan-Änderung, Art. 15 Auskunfts-Export als ZIP mit JSON + PDF + CSV pro MA auf Knopfdruck, Postgres RLS für saubere Mandantentrennung, Argon2-Hashing für Passwörter, dreischichtige Backup-Strategie. Alles dokumentiert und prüfbar.

AVV + TOM anfordern

Disclaimer: Dieser Artikel ist eine Praxis-Übersicht und ersetzt keine rechtliche Beratung. Bei konkreten Datenschutz-Fragen wendet euch an einen Datenschutzbeauftragten oder die zuständige Landesdatenschutzbehörde. Stand: Mai 2026.

Vorheriger: Excel vs. Dienstplan-Software Nächster: 5 Fehler im Pflegeheim-Dienstplan