Wie funktioniert die Dienstplanung in Dienstify?

Dienstify ist eine cloudbasierte Dienstplan-Software, die speziell für den Dienstleistungssektor entwickelt wurde. Mit unserer intuitiven Drag & Drop-Oberfläche können Sie Schichten binnen Sekunden erstellen und Mitarbeitern zuweisen. Der interaktive Schichtkalender zeigt Ihnen auf einen Blick alle Dienste in einer übersichtlichen Monatsansicht.

Ist Dienstify DSGVO-konform und sicher für sensible Mitarbeiterdaten?

Ja, Datenschutz und Sicherheit stehen bei Dienstify an erster Stelle. Alle Mitarbeiterdaten werden verschlüsselt in EU-gehosteten Rechenzentren gespeichert und unterliegen strengen DSGVO-Richtlinien. Unsere Plattform nutzt Row Level Security (RLS), sodass jeder Nutzer nur auf die Daten seiner eigenen Organisation zugreifen kann – selbst auf Datenbankebene sind die Daten isoliert.

Kann ich mit Dienstify Dienstpläne als PDF exportieren und ausdrucken?

Absolut! Dienstify bietet eine professionelle PDF-Export-Funktion, mit der Sie Monatspläne mit nur einem Klick als druckfertige Dokumente erstellen können. Das PDF wird serverseitig generiert und enthält alle relevanten Informationen: Mitarbeiternamen, Schichtzeiten, Wochenenden und Feiertage – übersichtlich formatiert.

Wie viele Mitarbeiter kann ich mit Dienstify verwalten?

Dienstify ist skalierbar und wächst mit Ihrem Unternehmen. Je nach gewähltem Tarif können Sie zwischen 5 und 100+ Mitarbeitern verwalten – von kleinen Betrieben bis hin zu mittelständischen Unternehmen mit mehreren Standorten.

Brauche ich IT-Kenntnisse, um Dienstify zu nutzen?

Nein, Dienstify wurde bewusst einfach und intuitiv gestaltet, sodass auch Nutzer ohne IT-Kenntnisse sofort loslegen können. Die Benutzeroberfläche ist selbsterklärend: Schichten erstellen Sie per Drag & Drop, Mitarbeiter verwalten Sie mit wenigen Klicks, und der Kalender zeigt alle Informationen auf einen Blick.

Vertrag zur Auftragsverarbeitung (AVV)

gemäß Art. 28 DSGVO - Anhang zu den AGB von Dienstify

§ 1 Gegenstand und Laufzeit

(1) Dieser Vertrag zur Auftragsverarbeitung (nachfolgend „AVV") ergänzt die Allgemeinen Geschäftsbedingungen der Yanchew UG (haftungsbeschränkt) (nachfolgend „Auftragnehmer") und wird mit Akzeptanz der AGB durch den Kunden (nachfolgend „Auftraggeber") geschlossen.

(2) Der Auftragnehmer verarbeitet im Auftrag des Auftraggebers personenbezogene Daten im Rahmen der Bereitstellung der Dienstify-Software. Art und Zweck der Verarbeitung ergeben sich aus dem Hauptvertrag (AGB) und der Produktbeschreibung.

(3) Die Laufzeit dieses AVV entspricht der Laufzeit des Hauptvertrags. Er endet automatisch mit Beendigung des Vertragsverhältnisses.

§ 2 Art der Daten und Kategorien betroffener Personen

(1) Gegenstand der Verarbeitung sind folgende Arten personenbezogener Daten:

Stammdaten (Vor-/Nachname, Geburtsdatum, Anschrift, Telefonnummer, E-Mail-Adresse)
Beschäftigungsdaten (Personalnummer, Vertragsart, Arbeitszeitmodell, Urlaubsanspruch)
Besonders schützenswerte Daten (Sozialversicherungsnummer, Personalausweisnummer, Steuer-ID) - verschlüsselt gespeichert
Zeitwirtschaftsdaten (Arbeitszeiten, Schichtpläne, Abwesenheiten, Urlaubsanträge)
Abrechnungsdaten (Stundennachweise, Zuschläge, Lohnrelevante Daten)
Authentifizierungsdaten (E-Mail, Passwort-Hash, Sitzungsinformationen)

(2) Kategorien betroffener Personen:

Mitarbeiter und freie Mitarbeiter des Auftraggebers
Administratoren und Nutzer der Dienstify-Plattform

§ 3 Pflichten des Auftragnehmers

(1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers, es sei denn, er ist nach Unionsrecht oder nationalem Recht zur Verarbeitung verpflichtet.

(2) Der Auftragnehmer gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

(3) Der Auftragnehmer ergreift die gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen (siehe Anlage 1).

(4) Der Auftragnehmer unterstützt den Auftraggeber nach Möglichkeit bei der Erfüllung der Pflichten aus Art. 32-36 DSGVO (Sicherheit der Verarbeitung, Meldung von Verletzungen, Datenschutz-Folgenabschätzung).

(5) Der Auftragnehmer unterstützt den Auftraggeber bei der Beantwortung von Anträgen betroffener Personen auf Ausübung ihrer Rechte gemäß Kapitel III der DSGVO.

(6) Nach Beendigung des Hauptvertrags löscht der Auftragnehmer alle personenbezogenen Daten des Auftraggebers innerhalb von 30 Tagen, sofern keine gesetzliche Aufbewahrungspflicht besteht. Auf Wunsch stellt der Auftragnehmer dem Auftraggeber vor der Löschung einen Datenexport zur Verfügung.

§ 4 Pflichten des Auftraggebers

(1) Der Auftraggeber ist für die Rechtmäßigkeit der Datenverarbeitung sowie für die Wahrung der Rechte der betroffenen Personen verantwortlich.

(2) Der Auftraggeber hat den Auftragnehmer unverzüglich zu informieren, wenn er Fehler oder Unregelmäßigkeiten bei der Verarbeitung feststellt.

(3) Der Auftraggeber ist verantwortlich dafür, nur solche personenbezogenen Daten in die Software einzugeben, deren Verarbeitung durch eine gültige Rechtsgrundlage gedeckt ist.

§ 5 Unterauftragsverarbeiter (Subunternehmer)

(1) Der Auftraggeber erteilt dem Auftragnehmer die allgemeine Genehmigung, weitere Auftragsverarbeiter (Subunternehmer) hinzuzuziehen. Der Auftragnehmer informiert den Auftraggeber über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung von Subunternehmern und gibt dem Auftraggeber die Möglichkeit, gegen derartige Änderungen Einspruch zu erheben.

(2) Der Auftragnehmer stellt sicher, dass den Subunternehmern dieselben Datenschutzpflichten auferlegt werden wie in diesem AVV.

(3) Aktuelle Liste der Subunternehmer (Anlage 2):

Subunternehmer	Zweck	Standort	Garantie
Supabase Inc.	Datenbank, Dateispeicher	EU (Frankfurt, eu-central-1)	DPF, SCC
Clerk Inc.	Authentifizierung, Benutzerverwaltung	USA	DPF, SCC
Vercel Inc.	Hosting, CDN, Serverless-Infrastruktur	USA / Deutschland	DPF, SCC
Stripe Payments Europe Ltd.	Zahlungsabwicklung, Rechnungsstellung	Irland (EU)	EU
Functional Software Inc. (Sentry)	Fehlerüberwachung (maskiert)	USA	DPF, SCC
Upstash Inc.	Rate-Limiting	USA	DPF, SCC

DPF = EU-U.S. Data Privacy Framework, SCC = EU-Standardvertragsklauseln

§ 6 Meldung von Datenschutzverletzungen

(1) Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich, nachdem ihm eine Verletzung des Schutzes personenbezogener Daten bekannt geworden ist.

(2) Die Meldung enthält mindestens: die Art der Verletzung, die betroffenen Datenkategorien, die wahrscheinlichen Folgen und die ergriffenen Abhilfemaßnahmen.

(3) Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung seiner Meldepflichten gemäß Art. 33 und 34 DSGVO.

§ 7 Kontrollrechte des Auftraggebers

(1) Der Auftraggeber hat das Recht, die Einhaltung dieses AVV in angemessener Weise zu überprüfen, einschließlich Inspektionen und Audits.

(2) Der Auftragnehmer stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung.

(3) Inspektionen sind nach angemessener Vorankündigung (mindestens 14 Tage) während der üblichen Geschäftszeiten durchzuführen.

§ 8 Haftung

(1) Die Haftung der Parteien richtet sich nach den Bestimmungen der DSGVO, insbesondere Art. 82 DSGVO, sowie nach den Regelungen des Hauptvertrags (AGB).

§ 9 Schlussbestimmungen

(1) Änderungen und Ergänzungen dieses AVV bedürfen der Textform.

(2) Sollten einzelne Bestimmungen dieses AVV unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

(3) Es gilt deutsches Recht. Gerichtsstand ist der Sitz des Auftragnehmers.

Anlage 1 - Technische und organisatorische Maßnahmen (TOMs)

Der Auftragnehmer hat folgende technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO implementiert:

1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

Zutrittskontrolle:

Die Infrastruktur wird in ISO 27001 und SOC 2 zertifizierten Rechenzentren betrieben (AWS eu-central-1, Frankfurt)
Kein physischer Zugang zu Servern durch den Auftragnehmer erforderlich (vollständig cloudbasierte Infrastruktur)

Zugangskontrolle:

Authentifizierung über Clerk mit sicheren Passwort-Richtlinien und optionaler Multi-Faktor-Authentifizierung (MFA)
Session-basierte Authentifizierung mit kryptographisch signierten JWT-Tokens
Automatische Session-Invalidierung bei Inaktivität
Rate-Limiting zum Schutz vor Brute-Force-Angriffen

Zugriffskontrolle:

Rollenbasiertes Zugriffskonzept (RBAC) mit den Rollen: Administrator, Planer, Mitarbeiter
Serverseitige Rollenvalidierung bei jeder geschützten Aktion (protectedAction-Pattern)
Strikte Multi-Tenancy: Jede Datenbankabfrage wird nach Organisations-ID (orgId) gefiltert
Die orgId wird ausschließlich aus dem serverseitigen Auth-Context bezogen, niemals vom Client

Trennungskontrolle:

Logische Datentrennung durch organisationsbezogene Filterung auf Datenbankebene
Jede Datenbanktabelle enthält eine orgId-Spalte mit entsprechendem Index
Keine mandantenübergreifende Datenzugriffsmöglichkeit

2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)

Weitergabekontrolle:

Verschlüsselung aller Datenübertragungen mittels TLS 1.3 (HTTPS-Only)
Sensible Daten (Sozialversicherungsnummer, Personalausweisnummer) werden mit AES-256-GCM verschlüsselt in der Datenbank gespeichert
Passwörter werden niemals im Klartext gespeichert (Hashing über Clerk)

Eingabekontrolle:

Serverseitige Validierung aller Eingaben mittels Zod-Schemas
Protokollierung von Datenänderungen über Timestamps (createdAt, updatedAt)
ACID-konforme Datenbanktransaktionen zur Sicherstellung der Datenintegrität

3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b, c DSGVO)

Hosting auf redundanter Cloud-Infrastruktur mit automatischem Failover
Tägliche automatische Datenbank-Backups
DDoS-Schutz auf Netzwerkebene (über Vercel und Supabase)
Rate-Limiting zum Schutz vor Überlastung (Upstash Redis mit In-Memory-Fallback)
Mindestverfügbarkeit von 98% pro Kalenderjahr (gemäß AGB § 10)

4. Verfahren zur regelmäßigen Überprüfung (Art. 32 Abs. 1 lit. d DSGVO)

Automatisierte Fehlerüberwachung und Alarmierung über Sentry (mit Maskierung aller personenbezogenen Inhalte)
TypeScript-Strict-Mode und automatisierte Code-Qualitätsprüfungen (ESLint, Typecheck)
Automatisierte Tests (Unit-, Integrations- und End-to-End-Tests)
Regelmäßige Überprüfung und Aktualisierung von Abhängigkeiten

Stand: 22. März 2026 - Version 1.0