.jpg)
Das DSGVO-Grundgerüst: Was jede Desk-Booking-Software erfüllen muss
Auftragsverarbeitungsvertrag (AVV)
Sobald ein externer Dienstleister personenbezogene Daten verarbeitet, ist ein AVV gemäß Art. 28 DSGVO Pflicht. Kritische Frage an jeden Anbieter: Gibt es einen standardmäßigen AVV oder muss er aufwendig verhandelt werden?
Datenspeicherort
Für viele deutsche Unternehmen, besonders in regulierten Branchen, ist Deutschland als Speicherort die einzig akzeptable Option. US-Cloud-Anbieter als Datenspeicher sind für viele Betriebsräte und Compliance-Teams ein Ausschlusskriterium.
Datensparsamkeit
Bei Desk Booking: Name, E-Mail, Buchungsdaten. Keine Bewegungsprofile, keine Zeiterfassung, keine Auswertungen auf Individualebene.
Die Betriebsratsfrage: Was Mitbestimmung bei Desk-Booking-Software bedeutet
In deutschen Unternehmen mit Betriebsrat unterliegt die Einführung von Softwaresystemen der Mitbestimmung nach § 87 Abs. 1 Nr. 6 BetrVG. Was Betriebsräte typischerweise fordern:
- Keine individuelle Auswertung von Buchungsverhalten oder Anwesenheitszeiten
- Aggregierte Berichte nur auf Zonen- oder Bereichsebene
- Klare Regelung welche Personen auf welche Daten zugreifen können
- Technische Einschränkungen die sicherstellen dass diese Zusagen eingehalten werden
Anbietervergleich: Was DSGVO-konform im Detail bedeutet
Alle genannten Anbieter erfüllen die DSGVO-Grundanforderungen. Die relevanten Unterschiede liegen bei der Tiefe der Microsoft-365-Integration, der Konfigurierbarkeit der Auswertungsebene und der Standardisierung des AVV.
Checkliste: DSGVO-Anforderungen für Desk-Booking-Software
- AVV nach Art. 28 DSGVO standardmäßig verfügbar
- Datenspeicherung ausschließlich in Deutschland
- Kein Drittland-Transfer — auch nicht über Middleware
- Datensparsamkeit: nur buchungsrelevante Daten
- Automatische Datenlöschung nach konfigurierbarer Frist
- Auswertungsebene einschränkbar auf Zonen-/Bereichsebene
- Betriebsratsfähige Konfiguration möglich
- DSFA nach Art. 35 DSGVO geprüft
Praktischer Einführungsprozess: Was in welcher Reihenfolge
Schritt 1: Anbieter nach DSGVO-Kriterien vorauswählen — bevor Funktionsumfang verglichen wird.
Schritt 2: Datenschutzfolgenabschätzung prüfen ob eine DSFA nach Art. 35 DSGVO notwendig ist.
Schritt 3: Betriebsrat frühzeitig einbinden — vor der finalen Auswahl.
Schritt 4: AVV unterzeichnen und Konfiguration dokumentieren.
Fazit
DSGVO-konformes Desk Booking ist in Deutschland kein Hindernis — es ist ein definierbarer Prozess. Die entscheidenden Fragen sind: Wo liegt der Datenspeicher wirklich? Gibt es einen fertigen AVV? Lässt sich die Software so konfigurieren, dass der Betriebsrat zustimmt?
Weiterführende Artikel
Häufig gestellte Fragen
Alle Daten werden ausschließlich auf Servern in Deutschland gespeichert. Es findet kein Transfer in Drittländer statt — weder in die USA noch in andere Nicht-EU-Staaten. Für IT Manager und Datenschutzbeauftragte bedeutet das: volle Kontrolle über den Datenspeicherort, ohne komplexe Zusatzvereinbarungen.
Ja. Seatti stellt standardmäßig einen Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO bereit — fester Bestandteil jeder Implementierung, ohne zusätzlichen juristischen Abstimmungsaufwand.
Seatti ist so konfigurierbar, dass eine Betriebsratsvereinbarung problemlos abgeschlossen werden kann. Auslastungsdaten werden aggregiert ausgewertet — keine individuelle Leistungs- oder Verhaltenskontrolle. IT Manager können die Auswertungsebene gezielt einschränken.
Seatti verarbeitet ausschließlich die für die Buchungsfunktion notwendigen Daten — Name, E-Mail-Adresse und Buchungsverhalten. Keine Bewegungsprofile, konfigurierbare Speicherfristen, automatische Datenlöschung nach Ablauf.
Alle drei sind DSGVO-konform mit deutschem oder EU-Hosting. Der entscheidende Unterschied bei Seatti: die native Integration in Microsoft Teams und Microsoft 365 ist tief und ohne Middleware — für Unternehmen die vollständig auf Microsoft 365 setzen, der relevanteste Differenziator neben dem DSGVO-Status.
AVV unterzeichnen, prüfen ob eine DSFA nach Art. 35 DSGVO notwendig ist, Betriebsrat frühzeitig einbinden und Auswertungsebenen konfigurieren. Da Seatti ohne Hardware und ohne US-Cloud auskommt, ist der Abstimmungsaufwand im Vergleich zu anderen Lösungen deutlich geringer.
