← Zurück zum Login

Datenschutzerklärung

Stand: 24. März 2026 | DienStar UG (haftungsbeschränkt)

1. Verantwortlicher

DienStar UG (haftungsbeschränkt)
Kontakt: datenschutz@dienstar.de

2. Welche Daten werden erhoben?

Wir verarbeiten ausschließlich Daten, die für die Dienstplanung erforderlich sind:

  • Mitarbeiterdaten: Name, geschäftliche E-Mail, Wochenstunden, Kompetenzen, Gruppenzuordnung
  • Benutzerdaten: E-Mail (Login), Passwort-Hash (bcrypt, nie im Klartext)
  • Dienstplandaten: Schichten (Datum, Uhrzeit, Raum, Tätigkeit)
  • Zeiterfassung: Ein-/Ausstempelzeiten, Arbeitsminuten
  • Abwesenheiten: Urlaub, Krankmeldungen (Zeitraum und Status)

3. Zweck der Verarbeitung

Die Daten werden ausschließlich zur Erstellung, Verwaltung und Optimierung von Dienstplänen in Hort-Einrichtungen verwendet (Art. 6 Abs. 1 b DSGVO — Vertragserfüllung).

Kein Tracking, keine Analyse, keine Weitergabe an Dritte zu Werbezwecken.

4. Hosting & Speicherung

  • Hosting: Hetzner Online GmbH, Deutschland (EU)
  • Datenbank: PostgreSQL, verschlüsselt gespeichert
  • Übertragung: HTTPS/TLS 1.2+ für alle Verbindungen
  • Backups: Täglich, verschlüsselt (AES-256), 30 Tage Aufbewahrung

Alle Daten bleiben in der EU. Es erfolgt keine Übermittlung in Drittländer.

5. Sicherheitsmaßnahmen

  • Passwörter: bcrypt-Hash (13 Runden), nie im Klartext
  • Sensible Felder: Application-Level-Verschlüsselung (AES-256-GCM)
  • Multi-Tenant-Isolation: Jede Einrichtung sieht nur eigene Daten
  • Rollenbasierte Zugriffskontrolle (5 Stufen)
  • Session: JWT mit 2h Gültigkeit, HttpOnly + Secure + SameSite-Cookie
  • Input-Validierung: Zod-Schemas auf allen API-Endpoints
  • Audit-Log: Alle schreibenden Aktionen werden protokolliert

6. Ihre Rechte (DSGVO)

Sie haben folgende Rechte bezüglich Ihrer personenbezogenen Daten:

  • Auskunft (Art. 15): Welche Daten über Sie gespeichert sind
  • Berichtigung (Art. 16): Unrichtige Daten korrigieren lassen
  • Löschung (Art. 17): Vollständige Löschung aller personenbezogenen Daten
  • Einschränkung (Art. 18): Verarbeitung einschränken lassen
  • Datenportabilität (Art. 20): Daten als JSON- oder CSV-Export erhalten — in der App unter Ihrem Profil oder über die Einrichtungsleitung abrufbar
  • Widerspruch (Art. 21): Der Verarbeitung widersprechen

Anfragen richten Sie bitte an: datenschutz@dienstar.de
Antwortzeit: innerhalb von 14 Tagen.

7. Cookies & Browser-Speicher

DienStar unterscheidet zwei Kategorien:

a) Technisch notwendig (immer aktiv)

  • Session-Cookie (authjs.session-token) — Anmeldung und Sitzungsverwaltung. Wird beim Logout oder nach 2 Stunden gelöscht.
  • Cookie-Einstellung (cookie-consent, localStorage) — Speichert Ihre Cookie-Auswahl, damit der Banner nicht erneut erscheint.

Diese Cookies sind für den Betrieb zwingend erforderlich und bedürfen keiner Einwilligung (§ 25 Abs. 2 TDDDG).

b) Fehleranalyse (optional, nur mit Einwilligung)

  • Sentry — Erfasst technische Fehler und kann bei Fehlern den Sitzungsverlauf aufzeichnen (Session Replay), um Probleme nachzuvollziehen. Es werden keine personenbezogenen Daten übermittelt (keine IP-Adressen, keine E-Mails). Alle Eingabefelder werden maskiert.

Die Fehleranalyse wird nur aktiviert, wenn Sie im Cookie-Banner “Alle akzeptieren” wählen. Sie können Ihre Wahl jederzeit ändern, indem Sie den Eintrag cookie-consent in den Browser-Einstellungen (Websitedaten / localStorage) löschen.

Es werden keine Tracking-, Marketing- oder Analyse-Cookies gesetzt.

8. Auftragsverarbeiter

  • Hetzner Online GmbH (Hosting, Rechenzentrum Falkenstein, Deutschland) — AVV vorhanden
  • Brevo / Sendinblue (E-Mail-Versand, Frankfurt) — AVV vorhanden
  • Sentry (Fehler-Monitoring, nur technische Daten, keine PII, EU) — AVV vorhanden

Es werden keine Daten an KI-Dienste, Analysedienste oder Werbeplattformen übermittelt.

AVV für Kunden: Als Einrichtung (Verantwortlicher) können Sie unseren Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO herunterladen: AVV herunterladen

9. Datenlöschung

Bei Kündigung oder auf Anfrage werden alle personenbezogenen Daten vollständig gelöscht (nicht nur deaktiviert). Dies umfasst Mitarbeiterdaten, Schichten, Zeiteinträge, Abwesenheiten, Urlaubsanträge, Krankmeldungen und den Benutzer-Account.

Löschung erfolgt innerhalb von 14 Tagen nach Anfrage. Backups werden nach 30 Tagen automatisch überschrieben.

10. Beschwerderecht

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren, insbesondere beim:

Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit
Ludwig-Erhard-Str. 22, 20459 Hamburg
mailbox@datenschutz.hamburg.de

11. Kontakt

Bei Fragen zum Datenschutz erreichen Sie uns unter:
datenschutz@dienstar.de

Impressum