Zum Inhalt springen
Datenschutz
9 min19. Juli 2026

Dienstplan-Software & Datenschutz: So wird Ihre Schichtplanung DSGVO-konform

Sie wollen Ihre Dienstplanung digitalisieren – aber Ihr Datenschutzbeauftragter stellt unangenehme Fragen? Berechtigt. Denn in einer Dienstplan-Software stecken hochsensible Daten: Arbeitszeiten, Krankheitstage, Überstunden, manchmal sogar Gesundheitsinformationen. Wer hier schludert, riskiert Bußgelder bis zu 20 Millionen Euro oder 4 % des Jahresumsatzes. Dieser Leitfaden zeigt, worauf Sie achten müssen – ohne Juristendeutsch, dafür mit konkreten Checklisten.

Welche Daten verarbeitet eine Dienstplan-Software überhaupt?

Bevor wir über Datenschutz reden, müssen wir wissen, womit wir es zu tun haben. Eine typische Schichtplaner-Software verarbeitet:

  • Stammdaten: Name, E-Mail, Telefonnummer, Personalnummer, Qualifikationen
  • Arbeitszeitdaten: Schichtpläne, Stempelzeiten, Überstunden, Pausenzeiten
  • Abwesenheitsdaten: Urlaub, Krankheit, Elternzeit, Sonderurlaub
  • Kommunikationsdaten: Schichttausch-Anfragen, Nachrichten im Team
  • Gerätedaten: IP-Adressen, Browser-Informationen bei Login

Alle diese Daten sind personenbezogen im Sinne der DSGVO. Arbeitszeitdaten gelten nach Art. 9 Abs. 1 DSGVO sogar als besonders schützenswert, sobald Rückschlüsse auf den Gesundheitszustand möglich sind – etwa wenn aus Krankmeldungsmustern Erkrankungen ableitbar wären.

Rechtsgrundlage: Warum dürfen Sie diese Daten überhaupt verarbeiten?

Die gute Nachricht vorweg: Sie brauchen für die Dienstplanung keine Einwilligung jedes einzelnen Mitarbeiters. Die Rechtsgrundlage ergibt sich aus drei Quellen:

  • Art. 6 Abs. 1 lit. b DSGVO – Verarbeitung ist für die Erfüllung des Arbeitsvertrags erforderlich. Ohne Dienstplan keine Arbeitseinteilung, ohne Zeiterfassung kein korrekter Lohn.
  • § 26 BDSG – Verarbeitung für Zwecke des Beschäftigungsverhältnisses. Konkreter als die DSGVO, weil deutsches Recht.
  • § 16 Abs. 2 ArbZG – Gesetzliche Pflicht zur Aufzeichnung der Arbeitszeiten, bestätigt durch das BAG-Urteil vom 13. September 2022 (Az. 1 ABR 22/21).

Entscheidend ist das Prinzip der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO): Erfassen Sie nur, was Sie tatsächlich brauchen. Eine Dienstplan-Software, die den GPS-Standort beim Stempeln trackt, obwohl Ihre Mitarbeiter nur im Laden arbeiten? Nicht erforderlich, nicht erlaubt.

Der AVV: Pflichtdokument bei jeder Cloud-Lösung

Sobald Sie eine cloudbasierte Personalplanungs-Software nutzen, verarbeitet der Anbieter Daten in Ihrem Auftrag. Dafür schreibt Art. 28 DSGVO einen Auftragsverarbeitungsvertrag (AVV) vor. Ohne AVV ist die Nutzung rechtswidrig – selbst wenn die Software selbst technisch einwandfrei ist.

Ein ordentlicher AVV regelt mindestens:

  • Gegenstand und Dauer der Verarbeitung
  • Art und Zweck – was genau macht der Anbieter mit den Daten?
  • Kategorien betroffener Personen – Ihre Mitarbeiter
  • Technische und organisatorische Maßnahmen (TOMs) – Verschlüsselung, Zugangskontrolle, Backups
  • Subunternehmer – nutzt der Anbieter weitere Dienstleister (z. B. AWS, Google Cloud)?
  • Löschkonzept – was passiert mit den Daten nach Vertragsende?
  • Kontrollrechte – Sie müssen den Anbieter auditieren dürfen

Praxis-Tipp: Fordern Sie den AVV vor Vertragsabschluss an. Seriöse Anbieter stellen ihn auf ihrer Website bereit. Wenn Sie erst danach fragen müssen, ist das ein Warnsignal.

Serverstandort: EU oder Risiko?

Seit dem Schrems-II-Urteil des EuGH (Juli 2020) ist die Übermittlung personenbezogener Daten in die USA und andere Drittländer ein Minenfeld. Zwar gibt es seit Juli 2023 das EU-U.S. Data Privacy Framework – aber dessen Zukunft ist rechtlich umstritten.

Für Mitarbeiterdaten in der Schichtplanung gilt eine klare Empfehlung: Server in der EU, idealerweise in Deutschland. Warum?

  • Kein Transferrisiko nach Art. 44 ff. DSGVO
  • Deutsche Rechenzentren unterliegen dem strengen deutschen Datenschutzrecht
  • Betriebsräte akzeptieren EU-Hosting deutlich leichter
  • Keine Abhängigkeit von politischen Entscheidungen (Privacy Shield wurde gekippt, Framework könnte folgen)

Achten Sie auch auf Subdienstleister: Selbst wenn der Anbieter in Frankfurt hostet – wenn er Google Analytics mit US-Datenübertragung einsetzt oder Supporttickets über ein US-Tool laufen, haben Sie ein Problem.

Praxisbeispiel: Malerbetrieb Schröder, 12 Mitarbeiter

Thomas Schröder betreibt einen Malerbetrieb in Hannover. Seine 12 Mitarbeiter arbeiten auf wechselnden Baustellen, die Einsatzplanung lief bisher per WhatsApp-Gruppe und Excel-Tabelle. Als ein Mitarbeiter Auskunft über seine gespeicherten Daten verlangte (Art. 15 DSGVO), konnte Thomas nicht vollständig antworten – Arbeitszeiten lagen in drei verschiedenen Excel-Dateien, Krankmeldungen in E-Mails, Urlaubsanträge auf Papier.

Das Problem: Ohne zentrales System ist die Erfüllung von Betroffenenrechten praktisch unmöglich. Thomas entschied sich für eine cloudbasierte Dienstplan-Software und prüfte vorab:

  1. AVV: Lag als PDF auf der Website des Anbieters vor ✅
  2. Serverstandort: Frankfurt am Main ✅
  3. Subunternehmer: Nur EU-basierte Dienste ✅
  4. Löschfristen: Automatische Löschung nach 10 Jahren (gesetzliche Aufbewahrungsfrist) ✅
  5. Verschlüsselung: TLS 1.3 bei Übertragung, AES-256 bei Speicherung ✅

Ergebnis: Die Umstellung dauerte einen Nachmittag. Seitdem kann Thomas Auskunftsanfragen in fünf Minuten beantworten – Export-Funktion klicken, fertig. Und die WhatsApp-Gruppe für Einsatzpläne wurde überflüssig, weil alle Mitarbeiter ihre Schichten in der App sehen.

Betriebsrat und Datenschutz: Mitbestimmung bei Software-Einführung

Haben Sie einen Betriebsrat? Dann wird es komplizierter – aber nicht unlösbar. Nach § 87 Abs. 1 Nr. 6 BetrVG hat der Betriebsrat ein Mitbestimmungsrecht bei der Einführung technischer Einrichtungen, die geeignet sind, Verhalten oder Leistung der Arbeitnehmer zu überwachen.

Eine Dienstplan-Software fällt fast immer darunter, weil sie Arbeitszeiten erfasst. Der Betriebsrat kann verlangen:

  • Einsicht in den AVV und die technischen Schutzmaßnahmen
  • Eine Betriebsvereinbarung, die Nutzungszweck, Zugriffsrechte und Auswertungsgrenzen festlegt
  • Einschränkung von Auswertungsfunktionen (z. B. kein Ranking von Mitarbeitern nach Überstunden)
  • Regelmäßige Information über Änderungen an der Software

Binden Sie den Betriebsrat frühzeitig ein. Wer die Software erst einführt und dann den Betriebsrat informiert, riskiert eine einstweilige Verfügung auf Unterlassung – und muss die Software im schlimmsten Fall wieder abschalten.

Checkliste: DSGVO-konforme Dienstplan-Software auswählen

Nutzen Sie diese Checkliste bei der Anbieterauswahl für Ihre digitale Schichtplanung:

  • ✅ AVV gemäß Art. 28 DSGVO verfügbar und unterzeichnet
  • ✅ Server in der EU (idealerweise Deutschland)
  • ✅ Verschlüsselung: TLS bei Übertragung, Verschlüsselung bei Speicherung
  • ✅ Rollenbasierte Zugriffsrechte (nicht jeder sieht alles)
  • ✅ Löschkonzept mit definierten Fristen
  • ✅ Export-Funktion für Betroffenenrechte (Art. 15, 20 DSGVO)
  • ✅ Keine unnötige Datenerhebung (GPS, Screenshots, etc.)
  • ✅ Subunternehmer transparent gelistet
  • ✅ Regelmäßige Sicherheitsupdates und Penetrationstests
  • ✅ Betriebsrat informiert und eingebunden (falls vorhanden)

Betroffenenrechte: Was Ihre Mitarbeiter verlangen können

Ihre Mitarbeiter haben nach der DSGVO umfangreiche Rechte bezüglich ihrer Daten in der Dienstplan-Software:

  • Auskunftsrecht (Art. 15): Welche Daten sind gespeichert? Wer hat Zugriff? An wen wurden Daten weitergegeben?
  • Berichtigungsrecht (Art. 16): Falsche Arbeitszeiten oder Stammdaten müssen korrigiert werden.
  • Löschrecht (Art. 17): Nach Beendigung des Arbeitsverhältnisses – allerdings begrenzt durch die gesetzliche Aufbewahrungspflicht von Arbeitszeitnachweisen (mindestens 2 Jahre nach § 16 Abs. 2 ArbZG, steuerlich bis zu 10 Jahre).
  • Datenportabilität (Art. 20): Mitarbeiter können ihre Daten in einem gängigen Format anfordern.

Eine gute Zeiterfassungs-Software bietet Export-Funktionen, die diese Anfragen mit wenigen Klicks beantworten. Wenn Sie dafür drei Tage lang Excel-Tabellen zusammensuchen müssen, stimmt etwas am System nicht.

Häufig gestellte Fragen (FAQ)

Brauche ich für eine Dienstplan-Software eine Einwilligung meiner Mitarbeiter?

Nein, in der Regel nicht. Die Verarbeitung von Arbeitszeitdaten stützt sich auf Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und § 26 BDSG (Beschäftigtendatenschutz). Eine Einwilligung wäre im Arbeitsverhältnis ohnehin problematisch, weil sie wegen des Machtgefälles selten als „freiwillig“ gilt. Setzen Sie stattdessen auf die gesetzlichen Rechtsgrundlagen – das ist rechtssicherer.

Was passiert, wenn mein Dienstplan-Anbieter keinen AVV anbietet?

Dann dürfen Sie die Software nicht nutzen. Art. 28 Abs. 3 DSGVO schreibt den AVV zwingend vor. Ohne AVV begehen Sie als Verantwortlicher einen DSGVO-Verstoß – auch wenn der Anbieter die Daten technisch korrekt verarbeitet. Wechseln Sie den Anbieter oder fordern Sie den AVV schriftlich ein.

Darf ich Arbeitszeiten in einer US-Cloud speichern?

Technisch ja, rechtlich riskant. Seit dem Schrems-II-Urteil brauchen Sie für US-Transfers zusätzliche Garantien. Das EU-U.S. Data Privacy Framework bietet eine Grundlage, aber seine Zukunft ist unsicher. Für sensible Mitarbeiterdaten empfiehlt sich EU-Hosting – das vermeidet Diskussionen mit Datenschutzbeauftragten und Betriebsrat.

Wie lange darf ich Arbeitszeitdaten speichern?

Arbeitszeitnachweise müssen mindestens 2 Jahre aufbewahrt werden (§ 16 Abs. 2 ArbZG). Steuerrelevante Unterlagen sogar 6 bzw. 10 Jahre (§ 147 AO). Nach Ablauf dieser Fristen müssen die Daten gelöscht werden – automatisierte Löschfristen in der Software sind dafür ideal.

Fazit: Datenschutz ist kein Hindernis – sondern ein Qualitätsmerkmal

DSGVO-konforme Dienstplanung ist kein bürokratisches Monster. Die meisten Anforderungen erfüllt eine gut gemachte Software automatisch: verschlüsselte Übertragung, rollenbasierte Zugriffsrechte, Export-Funktionen für Betroffenenanfragen. Entscheidend sind drei Punkte: AVV abschließen, Serverstandort prüfen, Betriebsrat einbinden. Wenn diese drei Häkchen gesetzt sind, steht der digitalen Zeiterfassung nichts im Weg.

Testen Sie den Teamplaner kostenlos – DSGVO-konform, Server in Deutschland, AVV inklusive. Ihre Schichtplanung verdient Software, der Sie vertrauen können.

Bereit loszulegen?

Testen Sie den Teamplaner kostenlos und erstellen Sie Ihren ersten Schichtplan in Minuten.