Diese Vereinbarung wird abgeschlossen zwischen:
[Name des Kunden]
[Adresse]
[UID / Firmenbuchnummer falls vorhanden]
— im Folgenden „Auftraggeber” (Verantwortlicher im Sinne des Art. 4 Z 7 DSGVO) —
und
byting GmbH
Guglgasse 8/4/64
1110 Wien, Österreich
UID: ATU64878877
Firmenbuchnummer: FN 323806 k
— im Folgenden „Auftragnehmer” (Auftragsverarbeiter im Sinne des Art. 4 Z 8 DSGVO) —
Diese Vereinbarung ist als Ergänzung zu den Allgemeinen Geschäftsbedingungen für FinOpsAnalyzer (AGB, Stand jeweils gültiger Fassung) zu verstehen. Bei Widersprüchen zwischen dieser Vereinbarung und den AGB gehen die Regelungen dieser Vereinbarung vor, soweit sie den Datenschutz betreffen.
Gegenstand und Zweck der Verarbeitung: Der Auftragnehmer erbringt für den Auftraggeber die in den AGB beschriebenen Leistungen des SaaS-Dienstes „FinOpsAnalyzer” — insbesondere die Analyse von AWS-Cloud-Kosten, die Erstellung von Optimierungsempfehlungen, die automatisierte Durchführung freigegebener Optimierungsmaßnahmen („Autopilot”), die Anomalie-Erkennung, das Scheduling von AWS-Ressourcen sowie das Berichts- und Rechnungswesen. Soweit hierbei personenbezogene Daten verarbeitet werden, erfolgt dies ausschließlich im Auftrag und nach den dokumentierten Weisungen des Auftraggebers.
Art der Verarbeitung: Erheben, Erfassen, Organisieren, Ordnen, Speichern, Anpassen, Abfragen, Verwenden, Offenlegen durch Übermittlung an Subdienstleister, Abgleich, Verknüpfung, Einschränken, Löschen oder Vernichten — in elektronischer Form über die FOA-Plattform.
Folgende Datenkategorien werden verarbeitet:
Diese Vereinbarung ist auf unbestimmte Zeit geschlossen und an die Laufzeit des zugrundeliegenden FOA-Hauptvertrages (AGB) gebunden.
Die Vereinbarung endet automatisch mit der Beendigung des FOA-Hauptvertrages oder kann von beiden Parteien gesondert mit einer Frist von einem Monat zum Monatsende schriftlich gekündigt werden, sofern der Hauptvertrag bis zum Wirksamwerden der Kündigung dieser AVV durch eine andere AVV ersetzt wird; andernfalls entfällt mit Kündigung dieser Vereinbarung die Rechtsgrundlage für die Auftragsverarbeitung und damit zwingend auch die Erbringung der Hauptleistung.
Das Recht zur außerordentlichen Kündigung aus wichtigem Grund bleibt unberührt.
Weisungsgebundenheit: Der Auftragnehmer verarbeitet die ihm überlassenen personenbezogenen Daten ausschließlich im Rahmen der dokumentierten Weisungen des Auftraggebers. Die Annahme des FOA-Hauptvertrages sowie die in der FOA-Benutzeroberfläche durch berechtigte Mitarbeiter:innen des Auftraggebers vorgenommenen Konfigurationen (insbesondere Freigaben für Autopilot-Maßnahmen, Festlegung von Protected-Tags, Auswahl der KI-Funktionen) gelten als dokumentierte Weisung.
Behördliche Anordnungen: Erhält der Auftragnehmer einen behördlichen oder gerichtlichen Auftrag zur Herausgabe von Daten des Auftraggebers, hat er — soweit gesetzlich zulässig — den Auftraggeber unverzüglich darüber zu informieren und die anordnende Stelle an den Auftraggeber zu verweisen.
Eigene Zwecke: Eine Verarbeitung der überlassenen Daten zu eigenen Zwecken des Auftragnehmers erfolgt nicht. Aggregierte und anonymisierte Auswertungen zur Verbesserung des Dienstes bleiben davon unberührt, sofern keine Rückschlüsse auf einzelne Auftraggeber oder betroffene Personen möglich sind.
Vertraulichkeit: Der Auftragnehmer verpflichtet sich, sämtliche mit der Datenverarbeitung beauftragten Personen vor Aufnahme ihrer Tätigkeit zur Vertraulichkeit zu verpflichten oder sicherzustellen, dass diese einer angemessenen gesetzlichen Verschwiegenheitsverpflichtung unterliegen. Die Verschwiegenheitsverpflichtung besteht auch nach Beendigung der Tätigkeit oder Ausscheiden der Person fort.
Sicherheit der Verarbeitung (Art. 32 DSGVO): Der Auftragnehmer trifft die erforderlichen technischen und organisatorischen Maßnahmen zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus. Die Einzelheiten der eingesetzten Maßnahmen sind Anlage 1 zu entnehmen. Der Auftragnehmer wird diese Maßnahmen laufend an den Stand der Technik anpassen und den Auftraggeber über wesentliche Änderungen informieren.
Unterstützung Betroffenenrechte: Der Auftragnehmer trifft die technischen und organisatorischen Maßnahmen, damit der Auftraggeber die Rechte der betroffenen Personen nach Kapitel III der DSGVO (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch sowie das Recht, nicht einer ausschließlich automatisierten Entscheidung unterworfen zu werden) innerhalb der gesetzlichen Fristen erfüllen kann. Geht ein entsprechender Antrag direkt beim Auftragnehmer ein und ist erkennbar, dass der Antragsteller den Auftragnehmer irrtümlich für den Verantwortlichen hält, leitet der Auftragnehmer den Antrag unverzüglich an den Auftraggeber weiter und informiert den Antragsteller entsprechend.
Unterstützung sonstiger Pflichten (Art. 32–36 DSGVO): Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in den Art. 32 bis 36 DSGVO genannten Pflichten — insbesondere bei der Umsetzung von Datensicherheitsmaßnahmen, der Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde (Art. 33 DSGVO), der Benachrichtigung betroffener Personen (Art. 34 DSGVO), der Durchführung von Datenschutz-Folgenabschätzungen (Art. 35 DSGVO) sowie bei vorherigen Konsultationen der Aufsichtsbehörde (Art. 36 DSGVO).
Verarbeitungsverzeichnis (Art. 30 DSGVO): Der Auftragnehmer führt ein Verzeichnis aller im Auftrag des Auftraggebers ausgeführten Kategorien von Verarbeitungstätigkeiten nach Art. 30 Abs. 2 DSGVO und stellt dieses der Aufsichtsbehörde auf Anfrage zur Verfügung.
Kontroll- und Auditrechte: Der Auftraggeber hat das Recht, die Einhaltung der Pflichten aus dieser Vereinbarung jederzeit — auch durch von ihm beauftragte unabhängige Dritte (vorbehaltlich der Verschwiegenheitspflicht) — zu kontrollieren. Der Auftragnehmer stellt dem Auftraggeber auf Anfrage die hierfür erforderlichen Informationen zur Verfügung, einschließlich aktueller Audit- oder Zertifizierungsberichte (z. B. ISO 27001, SOC 2 Type 2 — sobald vorhanden). Vor-Ort-Kontrollen sind mit angemessener Vorlaufzeit (mindestens 14 Tage) anzukündigen und so durchzuführen, dass der laufende Betrieb nicht beeinträchtigt wird. Etwaige Kosten der Kontrolle trägt der Auftraggeber, soweit keine schwerwiegende Pflichtverletzung des Auftragnehmers festgestellt wird.
Hinweis auf rechtswidrige Weisungen: Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Ansicht ist, dass eine Weisung gegen Datenschutzbestimmungen der Union oder ihrer Mitgliedstaaten verstößt. Er ist berechtigt, die Ausführung einer solchen Weisung bis zur Bestätigung oder Änderung durch den Auftraggeber auszusetzen.
Rückgabe oder Löschung nach Beendigung: Nach Beendigung dieser Vereinbarung — gleich aus welchem Rechtsgrund — ist der Auftragnehmer verpflichtet, sämtliche in seinem Besitz befindlichen personenbezogenen Daten des Auftraggebers nach dessen Wahl entweder herauszugeben oder zu vernichten. Die Herausgabe erfolgt auf Wunsch des Auftraggebers in einem gängigen, strukturierten und maschinenlesbaren Format (z. B. JSON oder CSV) oder in dem Format, in dem die Daten ursprünglich empfangen wurden. Nach Herausgabe oder bei Wahl der Löschung werden die Daten innerhalb von 30 Tagen nach Vertragsende vernichtet, sofern keine gesetzlichen Aufbewahrungspflichten (insbesondere BAO § 132, UGB § 212) entgegenstehen. In Backup-Systemen verbleibende Daten werden nach Maßgabe der Backup-Rotation automatisch überschrieben; ein gesonderter Zugriff darauf erfolgt nicht.
Primärer Verarbeitungsort: Die zentrale Verarbeitung erfolgt auf byting-eigenen Servern (on-premise) in Wien, Österreich.
Drittlandtransfers: Soweit für die Erbringung einzelner Funktionen Datenübermittlungen in Drittländer außerhalb der EU/EEA erforderlich sind, erfolgen diese ausschließlich auf einer der folgenden Grundlagen:
Allgemeine Zulässigkeit: Der Auftraggeber erteilt dem Auftragnehmer mit Abschluss dieser Vereinbarung die allgemeine schriftliche Genehmigung im Sinne des Art. 28 Abs. 2 DSGVO zur Heranziehung der in Anlage 2 aufgeführten Sub-Auftragsverarbeiter.
Pflichten des Auftragnehmers gegenüber Sub-Auftragsverarbeitern: Der Auftragnehmer schließt mit jedem Sub-Auftragsverarbeiter eine Vereinbarung im Sinne des Art. 28 Abs. 4 DSGVO, die diesem dieselben Datenschutzpflichten auferlegt, die dem Auftragnehmer aus dieser Vereinbarung obliegen — insbesondere hinsichtlich der technisch-organisatorischen Maßnahmen.
Ankündigung neuer Sub-Auftragsverarbeiter: Beabsichtigt der Auftragnehmer die Hinzuziehung weiterer Sub-Auftragsverarbeiter oder den Austausch bestehender Sub-Auftragsverarbeiter, informiert er den Auftraggeber mindestens 30 Tage vor Wirksamwerden der Änderung in Textform. Innerhalb dieser Frist kann der Auftraggeber der Änderung aus gewichtigen, dokumentierten Datenschutzgründen widersprechen. Im Falle eines Widerspruchs sind die Parteien zu einer einvernehmlichen Lösung verpflichtet; gelingt diese nicht, hat der Auftragnehmer das Recht zur außerordentlichen Kündigung des FOA-Hauptvertrages aus wichtigem Grund.
Haftung für Sub-Auftragsverarbeiter: Kommt ein Sub-Auftragsverarbeiter seinen Datenschutzpflichten nicht nach, haftet der Auftragnehmer gegenüber dem Auftraggeber für die Einhaltung der Pflichten des Sub-Auftragsverarbeiters nach Maßgabe des Art. 28 Abs. 4 DSGVO.
Die jeweils aktuelle Fassung der Sub-Auftragsverarbeiterliste (Anlage 2) wird vom Auftragnehmer geführt und ist auf Anfrage in der aktuellen Fassung zur Verfügung zu stellen.
Der Auftragnehmer informiert den Auftraggeber unverzüglich — spätestens jedoch innerhalb von 48 Stunden ab Kenntnis — über jede Verletzung des Schutzes personenbezogener Daten im Sinne des Art. 4 Z 12 DSGVO, die in seinem Verantwortungsbereich oder im Verantwortungsbereich seiner Sub-Auftragsverarbeiter eingetreten ist.
Die Meldung enthält — soweit zum Zeitpunkt der Meldung verfügbar — mindestens:
Die in den Abschnitten 3, 5, 6 und 9 (3) genannten Unterstützungsleistungen sind grundsätzlich mit dem im FOA-Hauptvertrag vereinbarten Entgelt abgegolten, soweit sie sich im üblichen Rahmen halten.
Außergewöhnliche Unterstützungsleistungen — insbesondere umfangreiche Vor-Ort-Audits, individuelle Datenschutz-Folgenabschätzungen oder die Erfüllung außergewöhnlich umfangreicher Betroffenenanfragen — werden nach Aufwand zu den jeweils gültigen Stundensätzen des Auftragnehmers verrechnet.
Schriftform: Änderungen und Ergänzungen dieser Vereinbarung bedürfen der Schriftform; dies gilt auch für die Aufhebung dieses Schriftformerfordernisses. Textform per E-Mail genügt.
Salvatorische Klausel: Sollten einzelne Bestimmungen dieser Vereinbarung unwirksam oder undurchführbar sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. Die unwirksame Bestimmung wird durch eine wirksame ersetzt, die dem wirtschaftlich Gewollten am nächsten kommt.
Rechtswahl und Gerichtsstand: Es gilt ausschließlich österreichisches Recht unter Ausschluss seiner Verweisungsnormen sowie unter Ausschluss des UN-Kaufrechts. Ausschließlicher Gerichtsstand ist das sachlich zuständige Gericht am Sitz des Auftragnehmers in Wien, soweit nicht zwingendes Recht etwas anderes vorsieht.
Vorrang dieser Vereinbarung: Bei Widersprüchen zwischen dieser Vereinbarung und den AGB oder anderen vertraglichen Regelungen zwischen den Parteien gehen die Regelungen dieser Vereinbarung vor, soweit der Datenschutz betroffen ist.
[Ort], am [Datum] [Ort], am [Datum]
Für den Auftraggeber: Für den Auftragnehmer:
[Name samt Funktion] [Name samt Funktion, byting GmbH]
Der Auftragnehmer setzt zum Schutz der im Rahmen dieser Vereinbarung verarbeiteten personenbezogenen Daten die folgenden technischen und organisatorischen Maßnahmen ein.
Zutrittskontrolle (physischer Schutz der Verarbeitungsanlagen):
- byting-eigene Rechenzentrumsinfrastruktur in gesicherten Räumlichkeiten in Wien (24/7-Bewachung, Zutrittskontrolle, Videoüberwachung, Brand- und Einbruchschutz)
- Rechenzentren der Subdienstleister (AWS) mit zertifizierten physischen Sicherheitsmaßnahmen
- Zutritt zu Produktionsumgebungen nur für autorisiertes Personal
Zugangskontrolle (Schutz vor unbefugter Systembenutzung):
- Starke Passwörter mit bcrypt-Hashing
- Zwei-Faktor-Authentifizierung (TOTP) als optionale, aktiv empfohlene Schutzmaßnahme für alle Benutzer:innen
- Automatische Sperrung nach Inaktivität (Session-Timeout konfigurierbar)
- Rate-Limiting auf Login-Endpoints zur Abwehr von Brute-Force-Angriffen
- IP-basierte Sperrung verdächtiger Anmeldeversuche
Zugriffskontrolle (Berechtigungssteuerung innerhalb des Systems):
- Rollenbasierte Zugriffskontrolle (RBAC) mit den Rollen Admin, Editor, Viewer
- „Need-to-know”-Prinzip auf Datenbankebene
- Protokollierung sämtlicher sicherheitsrelevanter Zugriffe (Audit-Log)
- Periodische Überprüfung administrativer Berechtigungen
- Datenschutzgerechte Entsorgung nicht mehr benötigter Datenträger
Pseudonymisierung: Soweit für die jeweilige Verarbeitung technisch möglich, werden primäre Identifikationsmerkmale getrennt von den verknüpften Datensätzen gespeichert.
Klassifikationsschema: Datenkategorien werden hinsichtlich ihres Schutzbedarfs klassifiziert (öffentlich / intern / vertraulich / streng vertraulich). AWS-Zugangsdaten und Authentifizierungsdaten werden als „streng vertraulich” eingestuft.
Weitergabekontrolle:
- Sämtliche Datenübertragungen ausschließlich verschlüsselt über TLS 1.2 oder höher
- AWS-Zugangsdaten werden symmetrisch mit Fernet (AES-128) verschlüsselt gespeichert; der Verschlüsselungsschlüssel wird getrennt vom Datenbestand verwaltet
- Verschlüsselung von Backups („at-rest”)
- Interne Datenübertragungen zwischen byting-Komponenten ausschließlich über private, segmentierte Netze (10.10.10.0/24)
Eingabekontrolle:
- Vollständige Protokollierung aller Schreibzugriffe auf personenbezogene Daten
- Audit-Log mit unveränderlichen Einträgen (append-only) für sicherheitsrelevante Aktionen
- Dokumentenmanagement-Prozess für Vertragsunterlagen
Verfügbarkeitskontrolle:
- Automatisierte tägliche Backups mit gestaffelten Aufbewahrungsfristen (7 / 14 / 30 Tage je nach Umgebung dev / staging / prod)
- Verschlüsselte Backups
- Aktuelle Antiviren- und Anti-Malware-Software
- Firewall-Regelwerk auf Netzwerk- und Applikationsebene
- Dokumentierte Meldewege und Notfallpläne
- Regelmäßige Security-Checks und Penetrationstests
Rasche Wiederherstellbarkeit: Definierte Restore-Prozeduren ermöglichen die Wiederherstellung aus Backups innerhalb der vereinbarten Wiederherstellungszeit.
Datenschutz-Management:
- Schriftlich dokumentierte interne Datenschutzrichtlinien
- Regelmäßige Schulung der Mitarbeiter:innen zu Datenschutz und IT-Sicherheit
- Verarbeitungsverzeichnis nach Art. 30 DSGVO
Incident-Response-Management:
- Dokumentierter Prozess zur Erkennung, Bewertung und Behandlung von Sicherheits- und Datenschutzvorfällen
- 24/7-Erreichbarkeit für sicherheitskritische Meldungen
- Eingespielte Eskalations- und Meldekette zur Erfüllung der 72-Stunden-Frist nach Art. 33 DSGVO
Datenschutzfreundliche Voreinstellungen (Privacy by Default, Art. 25 Abs. 2 DSGVO):
- Standardmäßig minimaler Funktionsumfang; erweiterte Funktionen müssen aktiv aktiviert werden
- Autopilot-Modul standardmäßig im Bestätigungsmodus (Approval Required), nicht im Auto-Approve-Modus
- „Protected”-Tag-Logik als Schutz vor versehentlicher Automatisierung
Auftragskontrolle:
- Eindeutige Vertragsgestaltung dieser AVV
- Formalisiertes Auftragsmanagement
- Strenge Auswahl der Sub-Auftragsverarbeiter (Bevorzugung EU-ansässiger Anbieter; bei US-Anbietern: Vorhandensein einer zertifizierten Übermittlungsgrundlage)
- Periodische Überprüfung der Datenschutzpraxis der Sub-Auftragsverarbeiter
Der Auftraggeber genehmigt mit Abschluss dieser Vereinbarung die Hinzuziehung der folgenden Sub-Auftragsverarbeiter:
| Nr. | Sub-Auftragsverarbeiter | Sitz | Verarbeitungszweck | Übermittlungsgrundlage |
|---|---|---|---|---|
| 1 | byting GmbH (FOA-Anwendung und Datenbank, on-premise Wien) | Wien, Österreich | Hosting der FOA-Anwendung und Datenbank, verschlüsselte Backups auf byting-eigenen Servern | EU/EEA — kein Drittlandtransfer |
| 2 | Amazon Web Services EMEA SARL | 38 avenue John F. Kennedy, 1855 Luxemburg | Lese- und ggf. Schreibzugriff auf die AWS-Konten des Auftraggebers im Auftrag des Auftragnehmers; der Auftraggeber ist eigenständiger AWS-Vertragspartner | EU/EEA — kein Drittlandtransfer für EU-Regionen; bei Nicht-EU-AWS-Regionen entscheidet der Auftraggeber durch Auswahl der Region |
| 3 | byting GmbH (interne KI-Infrastruktur „ai-router”, on-premise Wien) | Wien, Österreich | KI-gestützte Erstellung von Berichten, Anomalie-Narrativen und Empfehlungstexten auf byting-eigenen Servern | EU/EEA — kein Drittlandtransfer |
| 4 | byting GmbH („mailgw.byting.com”, on-premise Wien) | Wien, Österreich | Versand transaktionaler E-Mails | EU/EEA — kein Drittlandtransfer |
| 5 | Anthropic PBC (geplant, ab Launch der Funktion „Architecture Recommendations”) | 548 Market Street, PMB 90375, San Francisco, CA 94104, USA | KI-gestützte architektonische Optimierungsempfehlungen auf Basis eines strukturierten, kostenbezogenen Abbilds der AWS-Umgebung des Auftraggebers | EU-Standardvertragsklauseln (SCC), Durchführungsbeschluss (EU) 2021/914, Modul 3 (Auftragsverarbeiter zu Sub-Auftragsverarbeiter), nebst ergänzenden technischen Schutzmaßnahmen (Minimierung übermittelter Daten, keine Anmeldedaten oder Anwendungsinhalte) |
| 6 | Intuition Machines, Inc. (hCaptcha) | 350 Alabama Street, San Francisco, CA 94110, USA | Bot-Schutz bei Registrierung und Anmeldung; minimale Datenübermittlung (IP-Adresse, User-Agent) | EU-Standardvertragsklauseln; ggf. EU-US Data Privacy Framework, sofern aktuelle Zertifizierung vorliegt |
Hinweis zu Position 5 (Anthropic): Die Funktion „Architecture Recommendations” befindet sich zum Zeitpunkt des Vertragsabschlusses in Planung. Vor dem produktiven Einsatz wird der Auftraggeber gemäß Abschnitt 5 (3) der Vereinbarung gesondert informiert; bis dahin findet keine Datenübermittlung an Anthropic statt.
Aktualisierungen: Diese Liste wird vom Auftragnehmer aktuell gehalten. Änderungen werden den Auftraggebern gemäß Abschnitt 5 (3) angekündigt.
Stand: 2026-05-17