Datenschutzerklärung

Zuletzt aktualisiert: 18. März 2026

1. Einleitung

Monkaru ("wir", "uns" oder "unser") respektiert Ihre Privatsphäre und verpflichtet sich zum Schutz Ihrer personenbezogenen Daten. Diese Datenschutzerklärung erläutert, wie wir Ihre Informationen erheben, verwenden, offenlegen und schützen, wenn Sie unsere Dienstplanungsanwendung für Mitarbeiter nutzen.

Diese Richtlinie entspricht der Datenschutz-Grundverordnung (DSGVO) und anderen anwendbaren Datenschutzgesetzen.

Hinweis zur Rolle als Auftragsverarbeiter:Soweit Sie als Kunde (z. B. Krankenhaus oder Abteilung) personenbezogene Daten Ihrer Mitarbeiter in Monkaru eingeben und verwalten, handelt Monkaru ausschließlich als Auftragsverarbeiter gemäß Art. 28 DSGVO. Verantwortlicher für diese Daten bleiben Sie als Kunde. Die Verarbeitung erfolgt auf Grundlage einer Auftragsverarbeitungsvereinbarung (AVV), die wir unseren Kunden bereitstellen. Weitere Informationen finden Sie in unserer Auftragsverarbeitungsvereinbarung.

2. Von uns erhobene Informationen

2.1 Kontodaten

  • E-Mail-Adresse
  • Passwort (verschlüsselt)
  • Authentifizierungstoken

2.2 Mitarbeiterdaten

  • Name
  • E-Mail-Adresse
  • Telefonnummer
  • Abteilungs- und Teaminformationen
  • Beschäftigungsart und -daten
  • Urlaubs- und Arbeitszeitdaten
  • Dienstpräferenzen und Verfügbarkeit

2.3 Organisationsdaten

  • Name und Einstellungen der Organisation
  • Dienstplan- und Dienstkonfigurationen
  • Team- und Abteilungsstrukturen

2.4 Nutzungsdaten

  • Benutzereinstellungen und -präferenzen
  • Anwendungsnutzungsmuster
  • Geräte- und Browserinformationen

3. Rechtsgrundlage der Verarbeitung

Wir verarbeiten Ihre personenbezogenen Daten auf folgenden Rechtsgrundlagen:

  • Vertrag: Zur Erbringung unserer Dienstplanungsleistungen und Erfüllung unserer vertraglichen Verpflichtungen
  • Berechtigtes Interesse: Zur Verbesserung unserer Dienste, Gewährleistung der Sicherheit und Kommunikation mit Ihnen
  • Einwilligung: Für nicht wesentliche Verarbeitungstätigkeiten, bei denen wir Ihre ausdrückliche Einwilligung einholen
  • Rechtliche Verpflichtung: Zur Einhaltung anwendbarer Gesetze und Vorschriften

4. Wie wir Ihre Informationen verwenden

Wir verwenden die erhobenen Informationen für folgende Zwecke:

  • Erstellung und Verwaltung von Benutzerkonten
  • Erstellung und Verwaltung von Mitarbeiterdienstplänen
  • Verarbeitung von Mitarbeiterdaten und -präferenzen
  • Kommunikation mit Nutzern über ihre Konten und Dienstpläne
  • Verbesserung unserer Dienste und Nutzererfahrung
  • Gewährleistung der Sicherheit und Betrugsvorbeugung
  • Einhaltung gesetzlicher Verpflichtungen

5. Weitergabe und Offenlegung von Daten

Wir geben Ihre Informationen in folgenden Umständen weiter:

  • Diensteanbieter: An vertrauenswürdige Drittanbieter, die uns beim Betrieb unserer Plattform unterstützen
  • Organisationsmitglieder: Innerhalb Ihrer Organisation für legitime Geschäftszwecke
  • Gesetzliche Anforderungen: Wenn gesetzlich vorgeschrieben oder zum Schutz unserer Rechte
  • Unternehmenstransaktionen: Im Zusammenhang mit einer Fusion, Übernahme oder Veräusserung von Vermögensgegenständen

Wir verkaufen Ihre personenbezogenen Daten nicht an Dritte.

6. Datenspeicherung

Wir speichern Ihre Daten für folgende Zeiträume:

DatenartSpeicherfristRechtsgrundlage
Aktive KontodatenDauer Ihres KontosVertrag (Art. 6(1)(b) DSGVO)
Gelöschte Elemente (Mitarbeiter, Dienste, Dienstpläne, Abwesenheiten)30 Tage in wiederherstellbarem Zustand, dann endgültig gelöschtBerechtigtes Interesse (Art. 6(1)(f) DSGVO) — Wiederherstellung versehentlich gelöschter Daten
Aktivitätsprotokolle90 Tage (in der App zugänglich), dann für bis zu 2 Jahre archiviertRechtliche Verpflichtung (AZG § 26) und berechtigtes Interesse
Audit-Protokolle (Sicherheitsereignisse)2 Jahre, dann endgültig gelöschtRechtliche Verpflichtung und berechtigtes Interesse
DSGVO-Datenanfragen5 Jahre nach AbschlussGesetzliche Dokumentationspflicht

Soft-Delete & Wiederherstellungsfenster

Wenn Sie Daten löschen (z. B. Mitarbeiter, Dienste oder Dienstplaneinträge), gelangen diese in ein 30-tägiges Wiederherstellungsfenster. In diesem Zeitraum sind die Daten für die normale Nutzung ausgeblendet, können aber von einem Kontoadministrator über die Papierkorb-Ansicht wiederhergestellt werden. Nach 30 Tagen werden die Daten durch einen automatisierten Bereinigungsprozess endgültig und unwiderruflich gelöscht.

Archivierung von Aktivitätsprotokollen

Aktivitätsprotokolle sind 90 Tage lang in der Anwendung zugänglich. Nach 90 Tagen werden Protokolle automatisch in ein sicheres Archiv verschoben, wo sie für bis zu 2 Jahre aufbewahrt werden, um die Anforderungen zur Arbeitszeitdokumentation gemäß österreichischem Arbeitszeitgesetz (AZG § 26) zu erfüllen. Archivierte Protokolle sind über die Anwendungsoberfläche nicht zugänglich. Nach 2 Jahren werden archivierte Protokolle endgültig gelöscht.

Wichtig: Als Nutzer unseres Dienstes sind Sie verantwortlich für die Einhaltung der anwendbaren arbeitsrechtlichen Anforderungen, einschliesslich etwaiger Datenspeicherungspflichten. Wir stellen die oben beschriebenen Speichermechanismen bereit, aber der Verantwortliche bleibt zuständig für die Festlegung angemessener Speicherfristen für seinen spezifischen rechtlichen Kontext.

7. Ihre DSGVO-Rechte

Sie haben folgende Rechte hinsichtlich Ihrer personenbezogenen Daten:

  • Auskunftsrecht: Anforderung einer Kopie Ihrer personenbezogenen Daten
  • Berichtigungsrecht: Korrektur unrichtiger oder unvollständiger Daten
  • Recht auf Löschung: Anforderung der Löschung Ihrer personenbezogenen Daten (siehe Details unten)
  • Recht auf Datenübertragbarkeit: Erhalt Ihrer Daten in einem strukturierten Format
  • Recht auf Einschränkung der Verarbeitung: Einschränkung der Art und Weise, wie wir Ihre Daten verarbeiten
  • Widerspruchsrecht: Widerspruch gegen die Verarbeitung auf Grundlage berechtigter Interessen
  • Recht auf Widerruf der Einwilligung: Widerruf der Einwilligung zur einwilligungsbasierten Verarbeitung

Recht auf Löschung — Details

Sie haben das Recht, die Löschung Ihrer personenbezogenen Daten zu verlangen. Nach Eingang eines förmlichen Löschantrags gemäss DSGVO Artikel 17:

  • Personenbezogene Identifikatoren (Name, E-Mail, Telefon) werden innerhalb von 30 Tagen gelöscht oder anonymisiert
  • Arbeitszeitaufzeichnungen werden anonymisiert und für 2 Jahre aufbewahrt, wie es das österreichische Arbeitszeitgesetz (AZG § 26) vorschreibt
  • Aktivitätsprotokolle, die auf Ihre Aktionen verweisen, werden anonymisiert (Benutzeridentität entfernt)
  • Authentifizierungsdaten werden endgültig gelöscht

Hinweis: Das 30-tägige Soft-Delete-Wiederherstellungsfenster für gängige In-App-Löschungen (z. B. Entfernen eines Mitarbeiters oder einer Dienst über die Anwendungsoberfläche) ist von förmlichen DSGVO-Löschanträgen getrennt. Ein förmlicher DSGVO-Antrag umgeht das Wiederherstellungsfenster und führt direkt zur Anonymisierung/Löschung.

Um diese Rechte auszuüben, kontaktieren Sie uns bitte unter den unten angegebenen Informationen oder nutzen Sie die Datenschutzverwaltungsseite.

8. Cookies und Tracking

Wir verwenden Cookies und ähnliche Technologien, um Ihre Erfahrung zu verbessern:

  • Notwendige Cookies: Erforderlich für die ordnungsgemässe Funktion der Website
  • Authentifizierungscookies: Um Sie sicher angemeldet zu halten
  • Präferenz-Cookies: Um Ihre Einstellungen und Präferenzen zu speichern
  • Analysen: Wir verwenden Rybbit, ein cookieloses Analysetool — es werden keine Analyse-Cookies gesetzt

8.1 Vertrauenswürdiges-Gerät-Cookie

Wenn Sie sich mit Zwei-Faktor-Authentifizierung (2FA) anmelden, können Sie sich für "Dieses Gerät 30 Tage lang merken" entscheiden. Wenn Sie diese Option anwählen, setzen wir ein Sicherheits-Cookie (mfa_trusted_device), das Ihnen ermöglicht, die 2FA-Code-Eingabe bei nachfolgenden Anmeldungen vom selben Browser zu überspringen.

  • Name: mfa_trusted_device
  • Zweck: Wiederholte Zwei-Faktor-Authentifizierung auf einem vertrauenswürdigen Gerät überspringen
  • Gespeicherte Daten: Ein kryptografisch signiertes Token mit Ihrer anonymen Benutzer-ID und einem Ablaufzeitstempel. Es werden keine persönlichen Informationen wie Name oder E-Mail gespeichert.
  • Dauer: 30 Tage (läuft automatisch ab)
  • Rechtsgrundlage: Einwilligung (Art. 6(1)(a) DSGVO) — wird nur gesetzt, wenn Sie aktiv über das Kontrollkästchen einwilligen
  • HTTP-only: Ja — nicht zugänglich für JavaScript oder Drittanbieter-Skripte
  • Entfernung: Das Cookie wird automatisch gelöscht, wenn Sie sich abmelden, oder Sie können es jederzeit über Ihre Browsereinstellungen löschen

Sie können Cookie-Präferenzen über unser Cookie-Einwilligungsbanner oder Ihre Browsereinstellungen steuern.

9. Datensicherheit

Wir implementieren angemessene technische und organisatorische Maßnahmen zum Schutz Ihrer Daten:

  • Transportverschlüsselung (SSL/TLS) und Verschlüsselung ruhender Daten (Encryption at Rest)
  • Sichere Authentifizierungsmechanismen
  • Regelmässige Sicherheitsüberprüfungen und -aktualisierungen
  • Zugriffskontrollen und Benutzerberechtigungen
  • Sichere Datensicherungsverfahren

10. Internationale Datenübermittlungen

Alle Dienstplan-, Abwesenheits- und Mitarbeiterdaten werden ausschließlich innerhalb der Europäischen Union gespeichert und verarbeitet (Datenbank und Anwendungsserver in Deutschland gehostet).

Die einzigen personenbezogenen Daten, die außerhalb der EU übermittelt werden, sind Abrechnungsmetadaten (E-Mail-Adresse, Kunden-ID, Abonnementstatus), die von Stripe, Inc. (Vereinigte Staaten) für die Zahlungs- und Abonnementverwaltung verarbeitet werden. Es werden keine Dienstplan-, Abwesenheits- oder Mitarbeiterdaten an Stripe weitergegeben.

Diese Übermittlung ist durch folgende Schutzmaßnahmen abgesichert:

  • EU-US-Datenschutzrahmen (DPF)-Zertifizierung
  • Standardvertragsklauseln (SCC) gemäß Kommissionsbeschluss 2021/914
  • Datenübermittlungsfolgenabschätzung (TIA)

11. Benachrichtigung bei Datenschutzverletzungen

Im Falle einer Datenschutzverletzung, die ein Risiko für Ihre Rechte und Freiheiten darstellt, werden wir:

  • Die zuständige Aufsichtsbehörde innerhalb von 72 Stunden benachrichtigen
  • Betroffene Personen ohne unnötige Verzögerung informieren
  • Klare Informationen über die Verletzung und ihre Auswirkungen bereitstellen
  • Geeignete Maßnahmen zur Behebung der Verletzung ergreifen

12. Änderungen dieser Datenschutzerklärung

Wir können diese Datenschutzerklärung von Zeit zu Zeit aktualisieren. Über wesentliche Änderungen informieren wir Sie durch:

  • E-Mail-Benachrichtigung
  • Deutlichen Hinweis auf unserer Website
  • Aktualisierung des Datums "Zuletzt aktualisiert"

Ihre weitere Nutzung unserer Dienste nach solchen Änderungen gilt als Akzeptanz der aktualisierten Richtlinie.

13. Website-Analysen (Rybbit)

Wir verwenden Rybbit, ein datenschutzfreundliches, cookieloses Analysetool, das in der EU (Deutschland) gehostet wird, um zu verstehen, wie unsere Website genutzt wird, und um unsere Dienste zu verbessern. Rybbit verwendet keine Cookies, erhebt keine personenbezogenen Daten und verfolgt keine einzelnen Nutzer über Sitzungen hinweg. Da keine Cookies gesetzt werden und keine personenbezogenen Daten verarbeitet werden, erfolgen die Analysen auf Grundlage unseres berechtigten Interesses (Art. 6(1)(f) DSGVO) ohne Ihre Einwilligung.

  • Verantwortlicher: Monkaru
  • Tool: Rybbit (gehosteter Plan)
  • Verarbeitete Daten: Seitenaufrufe, Referrer-URLs, Gerätetyp, Browser, ungefähre Standortangabe (Länderebene, abgeleitet von anonymisierter IP)
  • Personenbezogene Daten: keine — keine Cookies, kein Fingerprinting, kein Cross-Site-Tracking
  • Datenspeicherort: EU (Deutschland)
  • Rechtsgrundlage: Berechtigtes Interesse (Art. 6(1)(f) DSGVO)
  • Internationale Übermittlungen: keine — alle Daten verbleiben in der EU

Wir verwenden die Google Search Console zur Überwachung der Indexierung und Site-Gesundheit. Die Search Console setzt für Besucher keine Cookies und stellt uns als Website-Betreibern aggregierte Berichte zur Verfügung.

14. Kontaktinformationen

Wenn Sie Fragen zu dieser Datenschutzerklärung oder unseren Datenpraktiken haben, kontaktieren Sie uns bitte:

Verantwortlicher für den Datenschutz

Name: Manuel Istratoaie

E-Mail: support@monkaru.at

Standort: Wien, Österreich

Sie haben auch das Recht, eine Beschwerde bei Ihrer zuständigen Datenschutzbehörde einzureichen, wenn Sie der Ansicht sind, dass wir die anwendbaren Datenschutzgesetze nicht eingehalten haben.

15. Bevollmächtigungserklärung zur Verarbeitung von Mitarbeiter- und Unternehmensdaten

Wenn Sie personenbezogene Daten von Mitarbeitern oder Unternehmensvertretern in den Dienst eingeben oder verwalten (z. B. Namen, E-Mail-Adressen, Kennungen, Dienstpräferenzen, Verfügbarkeit und damit zusammenhängende Personaldaten), bestätigen Sie als Verantwortlicher, dass Sie alle erforderlichen Genehmigungen, Einwilligungen oder sonstige rechtmässige Grundlagen gemäss anwendbarem Recht, Kollektivverträgen und internen Unternehmensrichtlinien eingeholt haben, um uns diese Daten bereitzustellen und sie für die in dieser Datenschutzerklärung beschriebenen Zwecke verarbeiten zu lassen.

  • Sie haben allen betroffenen Personen die erforderlichen Datenschutzhinweise erteilt;
  • Sie haben eine gültigen Rechtsgrundlage für die Verarbeitung (z. B. Einwilligung, Vertrag, berechtigte Interessen oder rechtliche Verpflichtung) geschaffen;
  • Ihre Nutzung des Dienstes steht im Einklang mit dem Arbeits- und Datenschutzrecht sowie etwaigen anwendbaren Unternehmensregeln oder Betriebsratsanforderungen;
  • Sie werden keine personenbezogenen Daten hochladen oder verarbeiten, für die Sie nicht über die erforderliche Genehmigung oder Rechtsgrundlage verfügen.

Wir handeln als Ihr Auftragsverarbeiter und verlassen uns auf Ihre Angaben zur Genehmigung und Rechtsgrundlage. Sie bleiben allein verantwortlich für die Einhaltung als Verantwortlicher, einschliesslich der Einhaltung etwaiger lokaler Gesetze oder Richtlinieneinschränkungen, die für Ihre Organisation gelten.