Diese Liste enthält alle Sub-Processors, die clarios für die Erbringung des Dienstes einsetzt. „Sub-Processor” bedeutet im DSGVO-Sinne: ein Auftragsverarbeiter-Unter-Verarbeiter, also ein Dritt-Dienstleister, an den wir Verarbeitungs-Schritte weiterreichen.
Die Liste wird laufend gepflegt. Wesentliche Ergänzungen werden im Trust Center Changelog dokumentiert und Bestandskunden mindestens 30 Tage vor Aktivierung per Mail angekündigt - mit Recht zum Widerspruch innerhalb der Ankündigungsfrist.
Aktuelle Sub-Processors
| Anbieter | Rolle | Region | Hinzugefügt | DPA |
|---|---|---|---|---|
| Microsoft Ireland Operations Ltd. | Cloud-Hosting (Azure Germany West Central), Identity-Provider, Mail-Versand (transactional) | Deutschland (Frankfurt / Berlin) | 2026-05-23 | Microsoft DPA |
| Odoo S.A. | CRM - Verarbeitung von Anfragen aus dem Website-Kontaktformular | EU | 2026-06-02 | Odoo DPA |
| Resend, Inc. | Transactional E-Mails (Onboarding-Mails, Report-Versand) | EU-Region (Frankfurt) | 2026-05-23 | Resend DPA |
| Sentry GmbH | Error-Monitoring (Stack Traces ohne personenbezogene Daten) | EU (Wien) | 2026-05-23 | Sentry DPA |
Was die einzelnen Sub-Processors tun
Microsoft Ireland Operations Ltd.
Microsoft ist der zentrale Cloud-Provider. Die clarios-Anwendung läuft auf Azure-Diensten in der Region Germany West Central (Frankfurt). Konkret betrifft das:
- Hosting: Azure App Service, Azure SQL Database, Azure Storage - alles in der Region Germany West Central (primär Frankfurt, mit Disaster-Recovery in Germany North/Berlin).
- Identity: Microsoft Entra ID als Auth-Provider für clarios-User (Login zum clarios-Cockpit erfolgt über Microsoft-Login).
- Mail-Versand: Transactional Mails (Onboarding, Reports) werden via Microsoft Exchange Online versendet, sofern keine separate Mail-Provider-Konfiguration aktiv ist.
Microsoft ist gleichzeitig Hosting-Provider und Identity-Provider - was die DSGVO-rechtliche Beurteilung vereinfacht (nicht zwei separate Verträge, sondern ein Vertragsrahmen mit transparenten Sub-Processor-Listen). Microsoft veröffentlicht eine eigene Sub-Processor-Liste, die im DPA referenziert ist.
Resend, Inc.
Resend ist ein moderner Transactional-Mail-Provider. Wir nutzen Resend für Mails, die nicht über Microsoft Exchange Online laufen müssen - beispielsweise systematische Report-Mails an mehrere Empfänger oder Mails, die in Microsoft-Tenants des Kunden potenziell als Spam klassifiziert werden könnten.
Resend hostet in der EU (Frankfurt) und bietet eine DPA an, die DSGVO-konform ist. Inhalte der Mails sind sensibel (Sicherheits-Reports), aber sie betreffen nicht primär personenbezogene Daten - sondern Tenant-Konfigurations-Aggregate.
Sentry GmbH
Sentry sammelt Error-Reports unserer Anwendung - also Stack Traces und Kontext-Informationen, wenn die clarios-Software einen unerwarteten Fehler wirft. Wir nutzen die EU-gehostete Variante (Wien).
Sentry erhält bewusst keine personenbezogenen Daten aus den Microsoft-365-Tenants. Wir maskieren User-IDs und Tenant-IDs vor dem Versand, sodass im Sentry-Dashboard nur technische Stack Traces ohne Identifikatoren sichtbar sind.
Sub-Processors, die wir NICHT nutzen
Auch hier zur Transparenz, was wir bewusst nicht einsetzen:
- Keine US-basierten Analytics-Tools (kein Google Analytics, kein Mixpanel, kein Segment).
- Kein KI-Provider für Tenant-Daten. Wir nutzen keine OpenAI-, Anthropic- oder Google-AI-APIs, um Tenant-Daten auszuwerten. Tenant-Konfigurationen werden ausschließlich durch deterministische Regeln und unsere eigenen Auswertungs-Algorithmen verarbeitet.
- Keine Customer-Support-Tools mit Tenant-Daten-Zugriff (kein Zendesk, kein Intercom mit aktiver Datensynchronisation). Support-Anfragen werden per Mail oder Telefon bearbeitet, eskalierte Cases manuell im Support-System dokumentiert ohne Zugriff auf den Live-Tenant.
Widerspruchsrecht bei neuen Sub-Processors
Wenn wir einen neuen Sub-Processor hinzufügen wollen, der materielle Auswirkungen auf die Datenverarbeitung hat (z.B. ein zusätzlicher Cloud-Region, ein neuer Mail-Provider, ein Analytics-Tool), informieren wir Bestandskunden mindestens 30 Tage vor Aktivierung per Mail. Innerhalb dieser Frist können Sie widersprechen - wir setzen dann gemeinsam mit Ihnen eine Lösung auf (alternative Konfiguration ohne den Sub-Processor, falls technisch möglich; ansonsten Sonderkündigungsrecht).
Für die Subscription zur Sub-Processor-Update-Notification: Mail an trust@clarios.app.