Shiftfy berechnet nur pro Nutzer — ohne Grundgebühr. Basic kostet 2,99 €/Nutzer/Monat, Professional 4,99 € und Enterprise 7,99 €. Bei jährlicher Zahlung sparst du bis zu 20 %. Jedes neue Konto startet mit einer 7-tägigen Testphase, danach läuft der gewählte Plan.

Ist Shiftfy DSGVO-konform?

Ja, Shiftfy ist vollständig DSGVO-konform. Alle Daten werden auf deutschen/europäischen Servern gespeichert und nach den strengsten Datenschutzrichtlinien verarbeitet.

Für welche Branchen eignet sich Shiftfy?

Shiftfy eignet sich für alle Branchen mit Schichtarbeit: Sicherheitsdienste, Gastronomie, Einzelhandel, Produktion, Gesundheitswesen, Logistik und weitere Dienstleistungsbranchen.

Wie funktioniert die digitale Zeiterfassung?

Mitarbeiter können ihre Arbeitszeiten über die integrierte Stempeluhr, manuell oder per Schichtplan erfassen. Alle Zeiten werden automatisch in Stunden- und Urlaubskonten übernommen.

Kann ich Shiftfy testen?

Ja, jedes neue Konto erhält eine 7-tägige Testphase mit vollem Funktionsumfang. Nach Ablauf wird der gewählte Plan automatisch abgerechnet — jederzeit kündbar.

Unterstützt Shiftfy automatische Schichtplanung?

Ja, mit dem Professional-Plan können Schichten automatisch anhand von Verfügbarkeiten, Qualifikationen und Arbeitszeitregeln erstellt werden.

Auftragsverarbeitungsvertrag (AVV)

Dieser Auftragsverarbeitungsvertrag (nachfolgend „Vertrag“) konkretisiert die datenschutzrechtlichen Verpflichtungen der Vertragsparteien, die sich aus der Nutzung der Software „Shiftfy“ ergeben. Er gilt zwischen dem Kunden, der Shiftfy im Rahmen seiner geschäftlichen Tätigkeit nutzt, als Verantwortlichem (Art. 4 Nr. 7 DSGVO) und dem Anbieter als Auftragsverarbeiter (Art. 4 Nr. 8 DSGVO). Mit Abschluss der Registrierung und Bestätigung der Vertragsdokumente wird dieser Vertrag wirksam abgeschlossen.

§ 1 Auftragsverarbeiter (Anbieter)

Bashabsheh Vergabepartner
Inhaber: Mohammad Bashabsheh
Kolonnenstraße 8, 10827 Berlin, Deutschland
E-Mail: info@bashabsheh-vergabepartner.de

§ 2 Gegenstand und Dauer des Auftrags

Gegenstand des Auftrags ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Rahmen der Bereitstellung der Software-as-a-Service-Lösung Shiftfy (Personaleinsatz-, Schicht- und Zeiterfassungsplanung sowie damit verbundene Funktionen). Die Verarbeitung erfolgt ausschließlich auf Grundlage dieses Vertrags und der dokumentierten Weisungen des Verantwortlichen. Die Dauer des Auftrags entspricht der Laufzeit des zugrunde liegenden Hauptvertrags (Nutzungsvertrag / Abonnement).

§ 3 Art, Zweck und Umfang der Verarbeitung

Die Verarbeitung umfasst das Erheben, Erfassen, Organisieren, Speichern, Anpassen, Auslesen, Übermitteln, Einschränken und Löschen personenbezogener Daten zum Zweck der Erbringung der vertraglich vereinbarten Leistungen. Eine Verarbeitung der Daten zu eigenen Zwecken des Auftragsverarbeiters findet nicht statt.

§ 4 Kategorien betroffener Personen und Daten

Betroffene Personen: Beschäftigte, Mitarbeitende, Bewerber sowie sonstige vom Verantwortlichen im System erfasste Personen.

Datenkategorien: Stammdaten (Name, Kontaktdaten), Beschäftigungsdaten (Rolle, Qualifikationen, Vertragsdaten), Arbeits- und Pausenzeiten, Schicht- und Abwesenheitsdaten, Lohn-/Vergütungsdaten sowie ggf. weitere vom Verantwortlichen eingegebene Daten.

§ 5 Weisungsrecht des Verantwortlichen

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, einschließlich der Nutzung der über die Software bereitgestellten Funktionen und Einstellungen. Ist der Auftragsverarbeiter der Auffassung, dass eine Weisung gegen datenschutzrechtliche Vorschriften verstößt, informiert er den Verantwortlichen unverzüglich.

§ 6 Pflichten des Auftragsverarbeiters (Art. 28 Abs. 3 DSGVO)

Verarbeitung nur gemäß dokumentierter Weisung, auch hinsichtlich Drittlandübermittlungen (lit. a).
Verpflichtung der zur Verarbeitung befugten Personen zur Vertraulichkeit (lit. b).
Ergreifen der erforderlichen technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO (lit. c, siehe § 8).
Einsatz weiterer Auftragsverarbeiter nur unter den Bedingungen des § 7 (lit. d).
Unterstützung des Verantwortlichen bei Betroffenenrechten (lit. e) sowie bei den Pflichten nach Art. 32–36 DSGVO (lit. f).
Löschung oder Rückgabe aller Daten nach Beendigung (lit. g, siehe § 9).
Bereitstellung aller erforderlichen Informationen zum Nachweis der Einhaltung und Ermöglichung von Überprüfungen (lit. h, siehe § 10).

§ 7 Unterauftragsverarbeiter

Der Verantwortliche erteilt seine allgemeine Genehmigung zum Einsatz der in der Anlage aufgeführten Unterauftragsverarbeiter. Der Auftragsverarbeiter informiert den Verantwortlichen über beabsichtigte Änderungen (Aufnahme oder Ersetzung) und räumt ihm die Möglichkeit zum Widerspruch ein. Mit jedem Unterauftragsverarbeiter werden Verträge geschlossen, die ein dem vorliegenden Vertrag entsprechendes Datenschutzniveau gewährleisten (Art. 28 Abs. 4 DSGVO). Eine aktuelle Liste ist in der Datenschutzerklärung sowie in der Anlage zu diesem Vertrag enthalten.

§ 8 Technische und organisatorische Maßnahmen (Art. 32 DSGVO)

Verschlüsselung der Datenübertragung (TLS) und Daten im Ruhezustand.
Datenhaltung in Rechenzentren innerhalb der EU (Frankfurt am Main).
Rollen- und rechtebasierte Zugriffskontrolle, mandantengetrennte Datenhaltung pro Workspace.
Authentifizierung mit gehashten Passwörtern, Rate Limiting.
Revisionssichere Protokollierung (Audit-Logs).
Regelmäßige Backups sowie Wiederherstellungsverfahren.
Verfahren zur regelmäßigen Überprüfung und Bewertung der Maßnahmen.

§ 9 Löschung und Rückgabe nach Beendigung

Nach Abschluss der Erbringung der Verarbeitungsleistungen löscht der Auftragsverarbeiter nach Wahl des Verantwortlichen sämtliche personenbezogenen Daten oder gibt sie zurück, sofern nicht eine gesetzliche Aufbewahrungspflicht besteht. Der Verantwortliche kann die vollständige Löschung seines Workspace jederzeit über die Anwendung anstoßen.

§ 10 Kontroll- und Auditrechte

Der Verantwortliche ist berechtigt, sich von der Einhaltung der technischen und organisatorischen Maßnahmen zu überzeugen. Der Auftragsverarbeiter stellt hierzu die erforderlichen Informationen bereit und ermöglicht angemessene Überprüfungen, auch durch einen vom Verantwortlichen beauftragten Prüfer.

§ 11 Meldung von Datenschutzverletzungen

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Einhaltung der Pflichten nach Art. 33 und 34 DSGVO und meldet ihm Verletzungen des Schutzes personenbezogener Daten unverzüglich nach Bekanntwerden.

Anlage: Unterauftragsverarbeiter

Die jeweils aktuelle und vollständige Liste der eingesetzten Unterauftragsverarbeiter — einschließlich Sitz, Zweck und Transfergarantien (EU-US Data Privacy Framework bzw. EU-Standardvertragsklauseln) — ist in Abschnitt 6 der Datenschutzerklärung dokumentiert. Sie umfasst u. a. Vercel (Hosting / Dateispeicher), Supabase (Datenbank, EU), Resend (E-Mail), Stripe (Zahlungen), Sentry (Fehlerüberwachung), Upstash (Rate Limiting) sowie — für die optionale Stundenzettel-Erkennung — Anthropic und OpenAI (KI-Texterkennung).

Stand: Juni 2026