Ein Dienstplan ist mehr als eine Liste von Uhrzeiten. Er verknüpft Namen mit Arbeitszeiten, Abwesenheiten und teilweise Gesundheitsdaten wie Krankmeldungen. Damit fällt er klar in den Anwendungsbereich der Datenschutz-Grundverordnung (DSGVO) — und Unternehmen, die eine Dienstplan-Software einführen, müssen einige Punkte vorab klären.

Der Auftragsverarbeitungsvertrag (AVV)

Sobald ein externer Anbieter Mitarbeiterdaten im Auftrag deines Unternehmens verarbeitet — was bei jeder Cloud-basierten Dienstplan-Software der Fall ist — schreibt Art. 28 DSGVO einen Auftragsverarbeitungsvertrag vor. Dieser regelt unter anderem, wofür die Daten verarbeitet werden dürfen, welche technischen und organisatorischen Maßnahmen der Anbieter trifft, und was bei Beendigung des Vertrags mit den Daten passiert. Ein fehlender AVV ist ein Ausschlusskriterium — unabhängig davon, wie gut die übrige Software ist.

Datensparsamkeit im Standard

Die DSGVO verlangt, dass nur die Daten verarbeitet werden, die für den jeweiligen Zweck tatsächlich notwendig sind. Bei Dienstplan-Software äußert sich das praktisch in:

Besonderheit: Gesundheitsdaten bei Krankmeldungen

Krankmeldungen gelten als Gesundheitsdaten und unterliegen damit einer besonders strengen Schutzkategorie nach Art. 9 DSGVO. Eine Dienstplan-Software sollte Krankmeldungen lediglich als "abwesend" markieren, ohne den Grund für alle sichtbaren Beteiligten offenzulegen. Wer detailliertere Diagnoseinformationen im System hinterlegt, sollte sicherstellen, dass der Zugriff darauf eng begrenzt ist.

Was bei der Auswahl konkret zu prüfen ist

PrüfpunktWorauf zu achten ist
AVV verfügbarWird ein Auftragsverarbeitungsvertrag standardmäßig angeboten?
DatenschutzerklärungIst klar beschrieben, welche Daten zu welchem Zweck verarbeitet werden?
RollenrechteLassen sich Zugriffsrechte granular nach Abteilung oder Standort vergeben?
LöschkonzeptGibt es klare Fristen für die automatische Löschung alter Plan- und Zeitdaten?
BetriebsratWurde die Einführung bei Bedarf mit dem Betriebsrat abgestimmt?
Werbeaussagen wie "DSGVO-konform" allein sind kein Nachweis. Entscheidend ist, ob ein AVV tatsächlich angeboten wird und die Datenschutzerklärung den Verarbeitungszweck konkret beschreibt — nicht nur, wo Server stehen.

Mitbestimmung des Betriebsrats

Bei der Einführung von Software, die Arbeitszeiten erfasst und auswertet, kann der Betriebsrat Mitbestimmungsrechte haben. Es lohnt sich, frühzeitig zu informieren, statt Funktionen "still" zu aktivieren — das reduziert Konflikte und erleichtert spätere Datenschutz-Audits erheblich.

In unserem Gesamtranking bewerten wir DSGVO-Konformität als eigenes Kriterium, basierend auf der Verfügbarkeit eines AVV und der Transparenz der Datenschutzerklärung der jeweiligen Anbieter. Alle zwölf gelisteten Anbieter bieten einen AVV an — Unterschiede zeigen sich vor allem in der granularen Umsetzung von Rollenrechten und Datensparsamkeit im Detail.

DSGVO-Konformität aller 12 Anbieter

Vergleiche dieses Kriterium direkt im Gesamtranking.

Zum Ranking →

Häufige Fragen

Was ist ein AVV und warum brauche ich ihn für Dienstplan-Software?

Ein Auftragsverarbeitungsvertrag (AVV) regelt gemäß Art. 28 DSGVO, wie ein Software-Anbieter personenbezogene Daten im Auftrag deines Unternehmens verarbeitet. Da Dienstplan-Software Namen, Arbeitszeiten und teils Gesundheitsdaten (Krankmeldungen) verarbeitet, ist ein AVV zwingend erforderlich, bevor du das Tool produktiv einsetzt.

Reicht es, wenn eine Software DSGVO-konform wirbt?

Nein. Werbeaussagen allein sind kein Nachweis. Prüfe konkret, ob ein AVV angeboten wird, wie die Datenschutzerklärung den Verarbeitungszweck beschreibt und ob Datensparsamkeit im Standard umgesetzt ist, etwa durch Rollenrechte, die Zugriffe auf das Nötige beschränken.

Quellen

  • Datenschutz-Grundverordnung (DSGVO), Art. 9 und Art. 28
  • Anbieter-Datenschutzerklärungen, Stand Juni 2026