Trust Center

Compliance - DSGVO, NIS2, Schrems II

Zuletzt aktualisiert: 2026-05-23

DSGVO-Rolle und Rechtsgrundlage

clarios solutions GmbH agiert als Auftragsverarbeiter nach Art. 28 DSGVO für die Verarbeitung von Tenant-Konfigurationsdaten aus Microsoft 365. Ihr Unternehmen bleibt Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO.

Die Rechtsgrundlage der Verarbeitung ergibt sich aus dem Auftragsverarbeitungsvertrag, der Bestandteil der Kundenvereinbarung ist. Ein AVV-Template (v2026-01) wird auf Anfrage zur Verfügung gestellt - die finale Version wird beim Vertragsabschluss als beidseitig unterzeichnetes Dokument bereitgestellt.

Welche Daten wir verarbeiten

clarios verarbeitet im Auftrag des Kunden ausschließlich:

  • Konfigurationsdaten des Microsoft-365-Tenants (Conditional Access Policies, Compliance-Profile, DMARC-Records, etc.)
  • Metadaten zu Identitäten und Geräten (User-IDs, Device-IDs, Sign-In-Logs in aggregierter Form)
  • Sicherheits-relevante Logs (Authentifizierungs-Ereignisse, Konfigurationsänderungen)
  • Recovery-Keys (BitLocker, LAPS) - verschlüsselt, mit separaten Schlüsseln pro Kunde

Was wir nicht verarbeiten:

  • Mail-Inhalte oder Postfächer
  • SharePoint- oder OneDrive-Dateien
  • Kalender, Kontakte, Teams-Chat-Inhalte
  • OneNote-Notizen, Forms-Antworten

Die ausgeschlossenen Datenkategorien sind durch das Permission-Modell technisch gesichert (siehe Permissions-Seite).

Speicherort

Sämtliche Tenant-Daten werden in Microsoft Azure Germany West Central verarbeitet. Primär-Region ist das Azure-Rechenzentrum in Frankfurt am Main, Disaster-Recovery-Region ist Germany North (Berlin). Beide Rechenzentren stehen in Deutschland.

Aufbewahrung und Löschung

  • Aktive Daten verbleiben für die Vertragslaufzeit gespeichert.
  • Audit-Logs werden 24 Monate aufbewahrt (für NIS2-Nachweis-Pflichten der Kunden).
  • Nach Vertragsende werden alle kundenspezifischen Daten innerhalb von 30 Tagen vollständig gelöscht. Backup-Tape-Rotation kann verzögert wirken - vollständige Löschung aller Backup-Kopien spätestens nach 90 Tagen.
  • Löschnachweis wird auf Anfrage schriftlich bestätigt.

Schrems II und der Microsoft-Sub-Processor

Schrems II (EuGH-Urteil C-311/18 vom 16.07.2020) hat das Privacy-Shield-Abkommen zwischen EU und USA für unzulässig erklärt und stellt seither erhöhte Anforderungen an die Übermittlung personenbezogener Daten in Drittländer - insbesondere die USA. Dies betrifft uns indirekt, weil Microsoft als zentraler Sub-Processor ein US-amerikanisches Mutterunternehmen hat (Microsoft Corporation in Redmond, WA).

Wir glauben nicht an einfache „die Daten bleiben sicher in Europa”-Versprechen. Hier ist unsere differenzierte Position.

Was zutrifft

  • Hosting erfolgt physisch in Deutschland. Microsoft Azure Germany West Central ist eine deutsche Azure-Region; die Server stehen in Frankfurt am Main (Primär) und Germany North/Berlin (Disaster-Recovery). Microsoft verpflichtet sich vertraglich (Microsoft Products and Services DPA), die Daten in dieser Region zu halten.
  • EU Data Boundary. Microsoft hat seit Februar 2023 die „EU Data Boundary for Microsoft Cloud” eingeführt, die garantiert, dass auch Diagnose- und Telemetriedaten von EU-Kunden in EU-Rechenzentren verarbeitet werden. Das verbessert die Lage substantiell, beseitigt aber nicht alle Schrems-II-Bedenken.
  • clarios-Datenfluss ist minimal. Wir verarbeiten Konfigurationsdaten und sicherheitsrelevante Metadaten - keine Postfachinhalte, keine Dateien, keine Personenstammdaten im klassischen Sinne. Die Datenmenge ist klein, die Sensitivität primär technisch.

Was nicht zutrifft

  • „Microsoft-Daten verlassen niemals die EU.” Diese Aussage wäre verkürzt. Microsoft ist als US-Konzern dem CLOUD Act unterworfen - US-Behörden können theoretisch Datenherausgabe auch dann verlangen, wenn die Daten physisch in der EU liegen. Microsoft kommuniziert offen, dass es solchen Anfragen unter Voraussetzung der eigenen Compliance-Standards nachkommen würde.
  • „clarios ist Schrems-II-konform.” Eine pauschale Konformitäts-Behauptung wäre nicht haltbar. Die Frage nach Schrems-II-Konformität hängt am US-Konzern-Status des Sub-Processors, nicht primär an unserer Architektur.

Wie wir damit umgehen

  • Datenminimierung als Architektur-Prinzip. Wir verarbeiten so wenige personenbezogene Daten wie möglich. Was nicht verarbeitet wird, kann auch nicht herausgegeben werden.
  • Verschlüsselung mit Customer-Managed Keys. Wo möglich, nutzen wir Azure Key Vault mit kundenspezifischen Verschlüsselungs-Schlüsseln. Das schützt nicht vor Live-System-Zugriff, erhöht aber die Hürde für massenhafte Herausgabe.
  • Transparenz statt Schein-Compliance. Wir kommunizieren ehrlich, dass Microsoft als Sub-Processor ein Schrems-II-Restrisiko trägt, und überlassen die Risiko-Bewertung Ihnen als Verantwortlichem.
  • Alternativen-Beobachtung. Wir beobachten die Entwicklung europäischer Cloud-Alternativen (OVH, Hetzner, IONOS, Stackit). Ein Wechsel ist mittelfristig denkbar, sollte die NIS2- und Schrems-II-Lage das angemessen erscheinen lassen. Aktuell ist Microsoft Azure die Plattform mit der besten Microsoft-365-Integration und damit die einzige tragfähige Variante für ein M365-Security-Tool unserer Bauart.

Empfehlung für Ihre Bewertung

Die Schrems-II-Frage ist für jeden Verantwortlichen eine Abwägungsfrage. Maßstab sind:

  1. Sensitivität der konkret verarbeiteten Daten. Bei clarios: primär technische Konfigurationsdaten, wenig Personenstammdaten.
  2. Bestehendes Risiko durch Microsoft-Nutzung im Tenant. Wenn Sie Microsoft 365 ohnehin nutzen (was Voraussetzung für clarios ist), liegen Ihre eigentlichen Postfächer, Files und Identitäten bereits in derselben Microsoft-Cloud. Die clarios-Verarbeitung erweitert das bestehende Risiko nicht wesentlich - sie nutzt dieselbe Infrastruktur und dieselbe DPA-Klausellandschaft.
  3. Branche und Aufsichtsbehörden-Vorgaben. Banken, Versicherer, Versorger und Behörden haben oft strengere Anforderungen. In diesen Sektoren ist eine zusätzliche rechtliche Prüfung empfohlen.

Wir unterstützen Sie gerne bei dieser Abwägung - schreiben Sie an privacy@clarios.app, wenn Sie konkrete Fragen oder Anforderungen aus Ihrer Compliance-Funktion haben.

NIS2

Die clarios solutions GmbH ist selbst nach gegenwärtiger Bewertung wichtige Einrichtung im Sinne des § 28 NIS2UmsuCG (in Kraft seit 6. Dezember 2025). Wir setzen die geforderten technischen und organisatorischen Maßnahmen um (siehe Security & TOMs) und sind in der Lage, in einem Vorfall die geforderten Meldefristen einzuhalten (siehe Incident Response).

Für Kunden, die selbst NIS2-pflichtig sind, ist clarios als Lieferant in der Lieferketten-Sicherheits-Anforderung (Art. 21 Abs. 2 lit. d NIS2-Richtlinie) abgedeckt. Wir liefern auf Anfrage:

  • Eine Bestätigung unserer eigenen NIS2-Selbsteinordnung
  • Eine Übersicht unserer wesentlichen TOMs (siehe Security-Seite)
  • Eine Vorfalls-Meldungs-Selbstverpflichtung (siehe Incident-Response-Seite)

Anwendbare Standards und Frameworks

  • DSGVO (EU 2016/679) - direkte Anwendung
  • NIS2-Richtlinie (EU 2022/2555) und NIS2UmsuCG (Deutschland)
  • Microsoft Service Trust - wir nutzen ausschließlich Azure-Dienste, die unter Microsoft’s Compliance-Zertifizierungen fallen (ISO 27001, ISO 27018, SOC 2 Type II - Microsoft als Cloud-Provider, nicht clarios direkt)

clarios ist nicht selbst ISO-27001-zertifiziert (Stand 2026-05-23). Die Zertifizierung steht für 2027 in Planung, sobald das Unternehmen die für ein sinnvolles Audit erforderliche Größe und Prozess-Reife erreicht hat. Bis dahin gelten unsere TOMs als selbstdokumentiert ohne externe Zertifizierungs-Bescheinigung.

Anfragen Betroffener

Anfragen Betroffener nach Art. 15–22 DSGVO bearbeiten wir innerhalb der gesetzlich vorgegebenen Frist von einem Monat (verlängerbar um zwei Monate bei komplexen Anfragen). Da wir als Auftragsverarbeiter tätig sind, leiten wir Anfragen an den Verantwortlichen (Sie als Kunde) weiter, sofern der Anfragende sich nicht direkt an Sie wendet.

Kontakt: privacy@clarios.app.