Datenschutzerklärung — FinOpsAnalyzer

1. Verantwortlicher

Verantwortlicher im Sinne des Art. 4 Z 7 DSGVO ist:

byting GmbH
Guglgasse 8/4/64
1110 Wien, Österreich
UID: ATU64878877
Firmenbuchnummer: FN 323806 k
Telefon: +43 (0) 1 748 478 510
E-Mail: datenschutz@byting.at (allgemeine Datenschutz-Anfragen)
Web: https://finopsanalyzer.com

byting GmbH ist Anbieter und Betreiber der unter https://finopsanalyzer.com erreichbaren SaaS-Plattform „FinOpsAnalyzer” (im Folgenden „FOA”).

2. Allgemeines, Geltungsbereich und Anwendung

2.1. Diese Datenschutzerklärung gilt für sämtliche personenbezogenen Daten, die im Rahmen der Nutzung von FOA — einschließlich der zugehörigen Webseite, der Benutzeroberfläche und der zur Leistungserbringung erforderlichen Hintergrundsysteme — verarbeitet werden.

2.2. Begriffe wie „Verantwortlicher”, „Auftragsverarbeiter”, „Verarbeitung”, „personenbezogene Daten” und „Einwilligung” werden im Sinne der DSGVO verwendet.

2.3. Zusätzlich zu dieser Datenschutzerklärung wird mit jedem Geschäftskunden ein gesonderter Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO abgeschlossen, sofern byting personenbezogene Daten im Auftrag des Kunden verarbeitet.

3. Kategorien verarbeiteter Daten und Verarbeitungszwecke

byting verarbeitet im Rahmen der Bereitstellung von FOA folgende Kategorien personenbezogener Daten:

3.1. Stammdaten der Benutzer:innen

Daten: Vor- und Nachname, geschäftliche E-Mail-Adresse, Organisations- bzw. Firmenname, Land, bevorzugte Sprache (DE/EN), Passwort (ausschließlich als bcrypt-Hash), optional aktivierte Zwei-Faktor-Authentifizierung (TOTP-Secret in verschlüsselter Form).

Zweck: Registrierung, Authentifizierung, Identifikation gegenüber dem Dienst, Vertragsabwicklung, Kommunikation.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Speicherdauer: Für die Dauer des Vertragsverhältnisses; nach Vertragsende anonymisiert oder gelöscht, ausgenommen Daten, die aus steuer- oder unternehmensrechtlichen Gründen (insbesondere BAO § 132, UGB §§ 190 ff.) aufbewahrt werden müssen (sieben Jahre).

3.2. AWS-Zugangsdaten der Kunden

Daten: Entweder AWS Access Key + Secret Key oder — bevorzugt und architektonischer Standard — IAM Role ARN für die Cross-Account-Authentifizierung („Assume Role”). Sämtliche Zugangsdaten werden symmetrisch mit Fernet (AES-128) verschlüsselt gespeichert; der Verschlüsselungsschlüssel wird auf byting-Infrastruktur getrennt vom Datenbestand gehalten.

Zweck: Lesender (und im Fall des Autopilot-Moduls schreibender) Zugriff auf die AWS-Konten der Kunden zur Erfüllung der vertraglich vereinbarten Optimierungsleistungen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Speicherdauer: Bis zum Widerruf der Zugriffsrechte oder Vertragsende. Nach Beendigung sofortige Löschung.

3.3. AWS-Nutzungs- und Abrechnungsdaten

Daten: Aus den verbundenen AWS-Konten abgerufene technische und kaufmännische Daten — insbesondere Ressourceninventar (EC2, RDS, EBS, S3, Lambda, ElastiCache u. a.), Tags, Cost-Explorer-Auswertungen, Abrechnungspositionen, CloudWatch-Metriken, Konfigurationsdaten.

Personenbezug: Im engeren Sinne nur dann personenbezogen, wenn Tags, Bezeichnungen oder Konfigurationen Namen, E-Mail-Adressen oder andere Personenbezüge enthalten. byting verarbeitet diese Daten ausschließlich zur technischen Analyse.

Zweck: Kostenanalyse, Erkennung von Optimierungspotenzialen, Generierung von Empfehlungen, Anomalie-Erkennung, Autopilot-Aktionen, Berichtswesen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), bezüglich aggregierter Auswertungen ergänzend Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Produktverbesserung; Interessenabwägung dokumentiert).

Speicherdauer: Für die Dauer des Vertragsverhältnisses zuzüglich 30 Tagen für Exportzwecke; aggregierte und anonymisierte Auswertungen können darüber hinaus aufbewahrt werden.

3.4. Anwendungs- und Sicherheitsprotokolle

Daten: IP-Adresse, User-Agent, Zeitstempel von Logins, fehlgeschlagene Anmeldeversuche, API-Aufrufe, sicherheitsrelevante Ereignisse.

Personenbezug: IP-Adressen gelten gemäß ständiger Rechtsprechung und § 165 Abs. 3 TKG 2021 als personenbezogene Daten.

Zweck: Sicherstellung des ordnungsgemäßen Betriebs, Rate-Limiting, Abwehr von Missbrauchsversuchen, Aufklärung von Sicherheitsvorfällen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am sicheren Betrieb).

Speicherdauer: Sechs Monate, danach Löschung bzw. Anonymisierung. Im Falle eines konkreten Sicherheitsvorfalls längere Speicherung zur Aufklärung.

3.5. Kommunikations- und Kontaktdaten

Daten: Transaktionale E-Mails (Registrierungsbestätigung, Passwort-Zurücksetzung, Team-Einladungen, Budget-Benachrichtigungen, Autopilot-Benachrichtigungen), Support-Korrespondenz.

Zweck: Vertragsabwicklung, Authentifizierung, Benachrichtigung über vertragsrelevante Ereignisse.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

Speicherdauer: Vertragsdauer + gesetzliche Aufbewahrungsfristen.

3.6. Rechnungsdaten

Daten: Rechnungspositionen, Provisionsberechnungen, Zahlungsstatus, UID-Nummer.

Zweck: Vertragsgemäße Abrechnung, Rechnungslegung, Buchhaltung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b und c DSGVO (Vertragserfüllung und gesetzliche Verpflichtungen aus BAO, UGB, USt-Gesetz).

Speicherdauer: Sieben Jahre ab Ende des betreffenden Kalenderjahres (BAO § 132, UGB § 212).

3.7. KI-Verarbeitungsdaten

Daten: Zur Generierung von Empfehlungen (insbesondere „Architecture Recommendations”) wird ein strukturiertes, kostenbezogenes Abbild der AWS-Umgebung des Kunden erzeugt und an einen KI-Subdienstleister übermittelt. Dieses Abbild enthält Ressourcen-Identifikatoren, Kostenkategorien und Topologieinformationen, jedoch keine Anmeldedaten oder Anwendungsinhalte.

Zweck: KI-gestützte Erstellung architektonischer Optimierungsempfehlungen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Bei der Verarbeitung durch Anthropic (USA) zusätzlich Standardvertragsklauseln gemäß Art. 46 DSGVO.

Speicherdauer: Maximal 30 Tage in den Logs des Subdienstleisters; FOA-seitig nur die generierten Empfehlungen, jedoch nicht das Roh-Snapshot.

4. Empfänger und Subdienstleister

byting setzt zur Erbringung der vertragsgegenständlichen Leistungen sorgfältig ausgewählte Subdienstleister ein. Mit allen Subdienstleistern bestehen — soweit gesetzlich erforderlich — Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO.

Subdienstleister	Sitz	Verarbeitungszweck	Übermittlungsgrundlage
Amazon Web Services EMEA SARL	Luxemburg, EU	Lesender / schreibender Zugriff auf die AWS-Konten der Kunden (Kunde ist hier eigenständiger AWS-Vertragspartner)	Vertragsbeziehung des Kunden mit AWS; byting handelt im Auftrag
Hetzner Online GmbH	Deutschland, EU	Hosting der FOA-Anwendung und Datenbank	AVV nach Art. 28 DSGVO
byting GmbH (interne KI-Infrastruktur „ai-router”)	Wien, Österreich	KI-gestützte Generierung von Berichten und Narrativen auf byting-eigenen Servern	Eigene Infrastruktur, kein externer Transfer
Anthropic PBC	USA	KI-gestützte „Architecture Recommendations” (ab geplantem Funktions-Launch)	Standardvertragsklauseln (SCC, Modul 2) gemäß Art. 46 DSGVO; ergänzende Schutzmaßnahmen
byting GmbH („mailgw.byting.com”)	Wien, Österreich	Versand transaktionaler E-Mails	Eigene Infrastruktur
Intuition Machines, Inc. (hCaptcha)	USA	Bot-Schutz bei Registrierung / Login	SCC gemäß Art. 46 DSGVO; minimale Datenübermittlung (IP-Adresse, User-Agent)

Eine aktualisierte Liste der Subdienstleister wird im Auftragsverarbeitungsvertrag (AVV) geführt und bei Änderungen mit angemessener Vorlaufzeit kommuniziert.

5. Drittlandübermittlung

5.1. Übermittlungen in Drittländer außerhalb der EU/EEA finden — soweit unvermeidbar — ausschließlich auf folgender Grundlage statt:

EU-US Data Privacy Framework, sofern der jeweilige Subdienstleister zertifiziert ist;
andernfalls Standardvertragsklauseln gemäß Beschluss (EU) 2021/914 in der jeweils gültigen Fassung (Art. 46 Abs. 2 lit. c DSGVO);
ergänzende technische und organisatorische Maßnahmen (Verschlüsselung in Transit und at-rest, Minimierung des übermittelten Datenumfangs, Zugriffskontrollen, Audit-Logs).

5.2. Aktuell betrifft dies insbesondere die geplante Nutzung von Anthropic (USA) sowie hCaptcha (USA).

6. Automatisierte Entscheidungen (Art. 22 DSGVO)

6.1. byting setzt im Rahmen des Autopilot-Moduls automatisierte Verarbeitungen ein, die in Einzelfällen zu Eingriffen in die AWS-Ressourcen des Kunden führen können (z. B. Beenden von Instanzen, Löschung von Snapshots).

6.2. Diese Entscheidungen erfolgen ausschließlich unter folgenden Bedingungen:

vorgängige individuelle Freigabe durch den Kunden, oder
vorab konfigurierte kundenseitige Autorisierung von Aktionen unterhalb definierter Risiko- und Vertrauensschwellen, oder
Verarbeitung ausschließlich solcher Ressourcen, die nicht vom Kunden mit den Schutz-Tags Protected=true, Critical=true oder production=* versehen wurden.

6.3. Der Kunde kann die Funktionsweise des Autopilot-Moduls jederzeit über die Benutzeroberfläche ändern, einschränken oder deaktivieren. Vor jeder Ausführung erhält der Kunde — soweit nicht ausdrücklich vorab freigegeben — eine Information zur Möglichkeit der manuellen Intervention.

6.4. Eine automatisierte Entscheidung über natürliche Personen mit rechtlicher Wirkung im Sinne des Art. 22 Abs. 1 DSGVO findet nicht statt; das Autopilot-Modul wirkt ausschließlich auf technische Ressourcen.

7. Cookies und vergleichbare Technologien

7.1. Die FOA-Anwendung verwendet ausschließlich technisch notwendige Cookies bzw. Local-Storage-Einträge, insbesondere für die Aufrechterhaltung authentifizierter Sitzungen, CSRF-Schutz und das Speichern der Sprachpräferenz (DE/EN).

7.2. Diese Cookies sind im Sinne des § 165 Abs. 3 TKG 2021 „zur Erfüllung eines vom Nutzer gewünschten Dienstes notwendig oder technisch erforderlich” und bedürfen keiner gesonderten Einwilligung.

7.3. byting setzt im FOA-Produktbereich keine Marketing-, Tracking- oder Analyse-Cookies Dritter ein. Insbesondere finden weder Google Analytics noch Meta-Pixel oder vergleichbare Dienste Verwendung. (Hinweis: Auf der Unternehmenswebsite byting.at gilt eine eigene Datenschutzerklärung mit abweichendem Cookie-Einsatz.)

7.4. Etwaige künftige Erweiterungen um optionale Analyse-Cookies werden ausschließlich auf Basis vorhergehender, ausdrücklicher Einwilligung (Art. 6 Abs. 1 lit. a DSGVO und § 165 Abs. 3 TKG 2021) implementiert und über einen entsprechenden Cookie-Banner einholbar sein.

8. Betroffenenrechte

Jede betroffene Person hat — vorbehaltlich der gesetzlichen Voraussetzungen — folgende Rechte:

Auskunft über die zu ihrer Person gespeicherten Daten (Art. 15 DSGVO);
Berichtigung unrichtiger Daten (Art. 16 DSGVO);
Löschung ihrer Daten (Art. 17 DSGVO), soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen;
Einschränkung der Verarbeitung (Art. 18 DSGVO);
Datenübertragbarkeit in einem strukturierten, gängigen, maschinenlesbaren Format (Art. 20 DSGVO);
Widerspruch gegen Verarbeitungen, die auf Art. 6 Abs. 1 lit. e oder f DSGVO beruhen (Art. 21 DSGVO);
Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO);
Beschwerde bei einer Aufsichtsbehörde, in Österreich bei der Datenschutzbehörde (siehe Abschnitt 11).

Die Geltendmachung dieser Rechte erfolgt formlos per E-Mail an datenschutz@byting.at. byting bearbeitet derartige Anfragen innerhalb der gesetzlichen Frist von einem Monat (verlängerbar um zwei weitere Monate bei komplexen Anfragen, mit entsprechender Vorinformation).

9. Pflicht zur Bereitstellung von Daten

9.1. Die in Abschnitt 3 genannten Stamm- und AWS-Zugangsdaten sind zur Begründung und Durchführung des Vertrages über die Nutzung von FOA erforderlich. Ohne diese Daten kann der Vertrag nicht abgeschlossen oder durchgeführt werden.

9.2. Eine gesetzliche Verpflichtung zur Bereitstellung besteht nur für die im Rahmen der Rechnungslegung erforderlichen Daten (BAO, UGB, USt-Gesetz).

9.3. Die Erteilung optionaler Einwilligungen — etwa für künftige Analyse-Cookies — ist freiwillig und kann jederzeit widerrufen werden, ohne dass dem Betroffenen Nachteile entstehen.

10. Technische und organisatorische Maßnahmen (TOMs)

byting trifft geeignete technische und organisatorische Maßnahmen im Sinne des Art. 32 DSGVO zum Schutz personenbezogener Daten, insbesondere:

Transportverschlüsselung sämtlicher Verbindungen (TLS 1.2 oder höher);
Verschlüsselung sensibler gespeicherter Daten (AWS-Zugangsdaten Fernet/AES-128; Passwörter bcrypt);
Zugriffskontrolle durch rollenbasierte Berechtigungen, Zwei-Faktor-Authentifizierung;
Mandantentrennung auf Datenbank- und Applikationsebene;
Protokollierung sicherheitsrelevanter Ereignisse;
Regelmäßige Sicherheitsaudits und Penetrationstests;
Backup-Strategie mit verschlüsselten täglichen Backups, gestaffelten Aufbewahrungsfristen (7 / 14 / 30 Tage je Umgebung);
Schulung der mit der Verarbeitung befassten Mitarbeiter:innen.

Detaillierte Angaben zu den TOMs finden sich im Auftragsverarbeitungsvertrag (AVV).

11. Aufsichtsbehörde

Beschwerden in datenschutzrechtlichen Angelegenheiten können bei der zuständigen Aufsichtsbehörde eingebracht werden:

Österreichische Datenschutzbehörde
Barichgasse 40-42
1030 Wien
Telefon: +43 1 52 152-0
E-Mail: dsb@dsb.gv.at
Web: https://www.dsb.gv.at

12. Änderungen dieser Datenschutzerklärung

12.1. byting behält sich vor, diese Datenschutzerklärung anzupassen, sofern dies aufgrund geänderter rechtlicher Vorgaben, technischer Entwicklungen oder erweiterten Funktionsumfangs erforderlich wird.

12.2. Die jeweils aktuelle Fassung ist unter https://finopsanalyzer.com/datenschutz abrufbar. Wesentliche Änderungen — insbesondere die Aufnahme neuer Subdienstleister oder Verarbeitungszwecke — werden den Kunden mit angemessener Vorlaufzeit gesondert mitgeteilt.

Stand: 2026-05-14